六大安全措施護(hù)駕中央民族大學(xué)校園一卡通

文章出處：http://www.xianjuhong.com 作者：賈玲玲 馬傳連 童霞 人氣： 發(fā)表時(shí)間：2011年07月09日

        隨著信息時(shí)代的到來，傳統(tǒng)學(xué)校管理模式的不足之處逐漸顯露出來，將先進(jìn)的技術(shù)手段與學(xué)?，F(xiàn)有的管理模式結(jié)合已成為時(shí)代發(fā)展的必然要求。在這樣的環(huán)境下，數(shù)字化校園的提出為高校發(fā)展掀開了嶄新的一頁。在數(shù)字化校園建設(shè)初期，我校首先要完成的是“校園一卡通系統(tǒng)”的建設(shè)工作。校園一卡通系統(tǒng)是數(shù)字化校園的骨干力量，是數(shù)字化校園的先行者，它為后續(xù)的數(shù)字化校園其他子項(xiàng)目的建設(shè)打下堅(jiān)實(shí)基礎(chǔ)。

　　一卡通系統(tǒng)使用情況

　　經(jīng)過前期調(diào)研、規(guī)劃、招標(biāo)等工作，我校于2003年8月4日啟動(dòng)校園一卡通建設(shè)項(xiàng)目，經(jīng)過多方的共同努力，系統(tǒng)于2003年9月6日正式上線投入使用。我校一卡通系統(tǒng)建設(shè)原則是：立足現(xiàn)狀，面向未來，系統(tǒng)既要依托現(xiàn)有的資源進(jìn)行建設(shè)，又要做到符合數(shù)字化校園未來的整體規(guī)劃；系統(tǒng)既要具有消費(fèi)、管理等功能，又要與學(xué)校的信息系統(tǒng)結(jié)合起來，適應(yīng)學(xué)校的發(fā)展，為學(xué)校有效管理提供完善的服務(wù)目前，我校正式在職人員及離退休老干部享有貴賓卡3411張，在校預(yù)科生、本科生、研究生共享有16805張貴賓卡，留學(xué)生享有1647張普通卡，校外其他人員使用2000余張臨時(shí)卡。

　　我校使用的卡片為MIFARE ONE型卡，卡片按照身份主要?jiǎng)澐殖蓭最悾航坦?、本科生、碩士生、博士生、專科生、留學(xué)生、離退休人員等；按照卡片類型劃分為：貴賓卡、有成本卡、無成本卡、臨時(shí)卡。貴賓卡的持卡人主要是在校師生、離退休人員，主要功能包括各類消費(fèi)、圖書借閱、門禁、身份識別、多媒體管理、網(wǎng)絡(luò)開通與繳費(fèi)等。臨時(shí)卡主要是提供給非在校師生使用，臨時(shí)卡根據(jù)持卡人的身份對其功能進(jìn)行授權(quán)，主要用于消費(fèi)。

　　目前，我校一卡通系統(tǒng)的主要功能有：銀校轉(zhuǎn)賬、門禁管理、圖書管理、綜合消費(fèi)、浴室水控、機(jī)房計(jì)費(fèi)管理、考勤管理、綜合查詢等。

　　安全保障體系

　　可靠的安全保障是一卡通系統(tǒng)得以正常運(yùn)作的關(guān)鍵因素。一卡通系統(tǒng)既涉及到銀行、商戶、持卡人等不同層面，又涉及到消費(fèi)、圈存、結(jié)算等交易，因此對系統(tǒng)安全性有很高的要求。

　　1、卡片的安全性

　　在提高卡片安全性方面，學(xué)校主要采取以下幾種方式：采用一卡一密、一區(qū)一密的加密機(jī)制，防止被盜濫用；加入專用標(biāo)識、采用專用算法來防止偽卡；采用DES專有混合算法形成一套高效的卡片密鑰管理機(jī)制；采用公共、獨(dú)立的信息共享區(qū)，形成一種統(tǒng)一且又分而治之的數(shù)據(jù)管理策略；對卡片采用分類管理，授予不同權(quán)限和功能，增強(qiáng)安全性。

　　2、終端設(shè)備的安全性

　　在實(shí)際使用過程中，設(shè)備難免會有脫機(jī)操作的情況，在這種情況下就要保證數(shù)據(jù)的安全性，比如：將密鑰管理系統(tǒng)指定的密鑰和算法載入到所使用的終端設(shè)備中，通過上位管理軟件或者通過授權(quán)卡才能實(shí)現(xiàn)對終端設(shè)備參數(shù)的設(shè)定，保證終端設(shè)備上傳的數(shù)據(jù)是經(jīng)過數(shù)據(jù)加密認(rèn)證的。同時(shí)，為了保證脫機(jī)操作時(shí)數(shù)據(jù)的安全性，采用非易失存儲芯片，并且可以通過數(shù)據(jù)指針在存儲芯片上將數(shù)據(jù)保存至多個(gè)不同的地方的方法來避免數(shù)據(jù)的丟失。為了防止由于網(wǎng)絡(luò)問題而導(dǎo)致數(shù)據(jù)丟失的現(xiàn)象，在硬件設(shè)計(jì)中通常采用增加重復(fù)采集功能，脫機(jī)交易流水儲存時(shí)，采用循環(huán)覆蓋最初流水的方式。

　　3、網(wǎng)絡(luò)傳輸過程的安全性

　　為保證校園一卡通數(shù)據(jù)的安全性，我們?yōu)樾@一卡通系統(tǒng)建設(shè)了專網(wǎng)，限制用戶的非法訪問。校園卡相關(guān)的數(shù)據(jù)采用金融報(bào)文交換格式ISO8583標(biāo)準(zhǔn)，傳輸過程中進(jìn)行MD5電子印鑒認(rèn)證和標(biāo)準(zhǔn)三層128位DES、RSA加密措施。對于在校園網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，系統(tǒng)直接采用SCOKET底層編程，在數(shù)據(jù)發(fā)送和接收時(shí)都采用數(shù)字簽名的方式。

　　4、數(shù)據(jù)庫的安全策略

　　數(shù)據(jù)庫安全可分為系統(tǒng)安全和數(shù)據(jù)安全兩種。系統(tǒng)安全包括在系統(tǒng)級別上，控制數(shù)據(jù)庫的存取和使用機(jī)制，如有效的用戶名/密碼組合、用戶模式對象的可用磁盤空間數(shù)量、用戶的資源限制。數(shù)據(jù)安全包括模式對象級別、控制數(shù)據(jù)庫的存取和使用的機(jī)制(比如哪些用戶有權(quán)存取指定的模式對象，在模式對象上允許每個(gè)用戶采取的動(dòng)作，每個(gè)模式的審計(jì)動(dòng)作)。

　　我們選擇的Oracle數(shù)據(jù)庫可以通過數(shù)據(jù)庫用戶、特權(quán)、角色、存儲設(shè)置和限額、資源限制和審計(jì)等機(jī)制來確保數(shù)據(jù)庫的安全。在Oracle多用戶數(shù)據(jù)庫系統(tǒng)中，安全機(jī)制完成以下任務(wù)：防止非授權(quán)的數(shù)據(jù)存取、防止非授權(quán)的模式對象存取、控制磁盤使用、控制系統(tǒng)資源的使用、審計(jì)用戶動(dòng)作。

　　5、軟件的安全策略

　　在軟件的安全策略方面，我們通過對登錄安全控制、操作員權(quán)限控制、數(shù)據(jù)庫防篡改、第三方接入的安全控制、客戶機(jī)登錄的安全性、防止惡意攻擊、記錄日志、自動(dòng)日結(jié)等方式加以限制。比如對于操作員的權(quán)限控制，通常都是細(xì)化到系統(tǒng)提供的每一個(gè)模塊，只有授權(quán)的操作員才能訪問相應(yīng)的模塊，這使得不同的操作員只能在自己權(quán)限范圍內(nèi)進(jìn)行操作，任何操作員都無法訪問系統(tǒng)內(nèi)任何未經(jīng)授權(quán)的部分。

　　6、數(shù)據(jù)存儲方式的安全性

　　我校一卡通系統(tǒng)數(shù)據(jù)存儲采用的是數(shù)據(jù)級異地災(zāi)備，在學(xué)校的南睿樓設(shè)立災(zāi)備中心，在數(shù)據(jù)庫服務(wù)器和災(zāi)備中心之間建立一條高速的網(wǎng)絡(luò)通路，按照一天一備份的規(guī)則將數(shù)據(jù)庫的備份傳輸?shù)綖?zāi)備中心的磁盤陣列上。一旦本地服務(wù)器上的數(shù)據(jù)出現(xiàn)損壞，可將災(zāi)備中心的數(shù)據(jù)導(dǎo)入數(shù)據(jù)庫，實(shí)現(xiàn)數(shù)據(jù)的恢復(fù)。

　　校園一卡通系統(tǒng)的建設(shè)符合高校日常管理工作的需要，是推進(jìn)高校信息化建設(shè)、提高管理水平的重要舉措。我校一卡通發(fā)展至今，已基本上實(shí)現(xiàn)了“一卡在手、走遍校園”的目標(biāo)，為師生在校的工作、學(xué)習(xí)提供很大幫助。隨著信息技術(shù)的不斷進(jìn)步，一卡通技術(shù)也在不斷地更新，我們將緊跟發(fā)展步伐，量身打造符合我校發(fā)展的系統(tǒng)，爭取為全校師生提供更多更好的服務(wù)。

　　民大一卡通系統(tǒng)發(fā)展歷程

　　初步建設(shè)階段

　　2003年，我校正式啟動(dòng)一卡通系統(tǒng)工程，系統(tǒng)主要是以2個(gè)雙機(jī)熱備SUN F280服務(wù)器為中心，通過前置機(jī)系統(tǒng)和前臺管理軟件、POS Server機(jī)之間進(jìn)行數(shù)據(jù)交換。該系統(tǒng)采用多層混合架構(gòu)，金融業(yè)務(wù)系統(tǒng)主要采用C/S模式，身份識別、信息管理以及自助服務(wù)類系統(tǒng)采用B/S模式。一卡通平臺由中心數(shù)據(jù)庫、中心主機(jī)系統(tǒng)、配置管理系統(tǒng)、信息同步系統(tǒng)、公共應(yīng)用平臺服務(wù)器端、公共應(yīng)用平臺客戶端、第三方接入套件構(gòu)成，系統(tǒng)的投入使用基本上實(shí)現(xiàn)消費(fèi)、水控、門禁管理等功能。

　　功能擴(kuò)展階段

　　隨著校園各業(yè)務(wù)系統(tǒng)的不斷增加，各部門之間的合作不斷加強(qiáng)，校園一卡通系統(tǒng)與其他系統(tǒng)的銜接也不斷增多。2004年，校園一卡通系統(tǒng)與圖書管理系統(tǒng)實(shí)現(xiàn)對接；2006年，數(shù)字迎新系統(tǒng)和校園一卡通系統(tǒng)完成對接；同年，校園一卡通系統(tǒng)與校園信息門戶系統(tǒng)接口調(diào)試完成，這些都方便了用戶的使用。

　　2009年，校園一卡通系統(tǒng)與網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)的接口程序經(jīng)過調(diào)試也投入使用，通過一卡通繳網(wǎng)費(fèi)解決以往人工收費(fèi)費(fèi)時(shí)、易錯(cuò)等問題，實(shí)現(xiàn)師生自助交網(wǎng)費(fèi)的功能。

　　升級完善階段

　　2009年，我校對校園一卡通系統(tǒng)硬件進(jìn)行升級，將底層服務(wù)器替換成虛擬服務(wù)器。虛擬服務(wù)器的使用大大降低一卡通系統(tǒng)的運(yùn)營成本，提升業(yè)務(wù)的持續(xù)性，提高負(fù)載均衡的能力，不僅解決了以往硬件出現(xiàn)故障所帶來的不便，而且大大提高系統(tǒng)的訪問速度。

　　2010年，我校對銀校轉(zhuǎn)賬系統(tǒng)進(jìn)行升級，解決之前存在的部分問題，新的銀校轉(zhuǎn)賬系統(tǒng)投入使用后得到廣大師生的一致好評。