“數(shù)字化校園一卡通”在學校使用中的安全思考

文章出處：http://www.xianjuhong.com 作者： 人氣： 發(fā)表時間：2011年09月09日

　在以 “科教興國”為戰(zhàn)略背景的形勢下，信息技術(shù)對教育系統(tǒng)的改革產(chǎn)生了深遠的影響，使得高校數(shù)字化校園建設勢在必行。一種高效、安全的校園服務信息化系統(tǒng)悄然來臨，特別是在磁卡的基礎(chǔ)上開發(fā)的各類社會化的應用與服務，即在學校范圍內(nèi)，凡有現(xiàn)金、票證或需要識別身份的場合均采用卡來完成，開辟了數(shù)字信息化校園的整體設計思想，提出了“多網(wǎng)、一庫、一卡”為主線的設計構(gòu)思，不僅具備消費系統(tǒng)、管理功能，還要與學?，F(xiàn)有的管理信息系統(tǒng)結(jié)合起來，使其具有身份識別功能，建立統(tǒng)一身份信息數(shù)據(jù)中心。同時“一卡在手，走遍校園”的總體思想體現(xiàn)了網(wǎng)絡時代數(shù)字化校園理念已形成，使學校在行政、教學、科研等管理方面走上網(wǎng)絡化、智能化、科技化的道路。

　　目前“數(shù)字化校園一卡通”的關(guān)鍵問題主要涉及交易時卡片安全、網(wǎng)絡安全和數(shù)據(jù)安全，可以說，安全性是校園一卡通系統(tǒng)的的生命線[1]，所以必須要把安全放在首位。由于“數(shù)字化校園一卡通”系統(tǒng)既要提供校內(nèi)消費的金融平臺，又要同步提供數(shù)字化校園的數(shù)據(jù)平臺，為此對每一道安全細節(jié)都要深思熟慮，思考能不能防止、要不要防護，該如何避免相關(guān)安全隱患等一系列問題，通過技術(shù)和管理手段，去構(gòu)建一個立體的、完整的安全防范體系，確保系統(tǒng)能夠高效、安全、穩(wěn)定、可持續(xù)地運行。下面將具體地加以分析。

　　1 “數(shù)字化校園一卡通”的結(jié)構(gòu)體系

　　目前數(shù)字化校園一卡通系統(tǒng)都遵循“一體化、兩級體系、三層結(jié)構(gòu)”的原則進行統(tǒng)籌規(guī)劃與建設，不斷加強網(wǎng)絡系統(tǒng)的可用性和高安全性，采取雙機熱備份方式確保整個系統(tǒng)的高可靠性、高安全性、數(shù)據(jù)不丟失和系統(tǒng)不癱瘓，從而保障數(shù)字化校園一卡通系統(tǒng)的可持續(xù)運行。

　　該體系中的用戶單位主要分持卡人、商戶、學校財務、銀行;四者間的業(yè)務來往和資金運轉(zhuǎn)決定了校園一卡通的功能和使用價值。按照系統(tǒng)設計思路，著眼于各院校的長遠發(fā)展和需求，組建以校園網(wǎng)絡為依托，實現(xiàn)校園內(nèi)各種商務消費和身份識別的一卡通用;其中客戶消費服務系統(tǒng)和身份識別系統(tǒng)都借助計算機、校園網(wǎng)、終端等設備，以卡片為載體，實現(xiàn)信息化管理系統(tǒng);網(wǎng)絡線路采用專網(wǎng)，使內(nèi)部信息和數(shù)據(jù)不受校園網(wǎng)的影響。在結(jié)構(gòu)設計上，采用層次化模型結(jié)構(gòu)，以“千兆主干、百兆接入”來保證網(wǎng)絡的數(shù)據(jù)傳輸量的穩(wěn)定;采用星型網(wǎng)絡結(jié)構(gòu)，并以一卡通網(wǎng)關(guān)作為集線器來連接終端設備，以TCP/IP主干網(wǎng)作為網(wǎng)關(guān)的另一端接入，該網(wǎng)關(guān)具備智能管理功能，分擔著大量上位機的工作，具有可靠性和通信效率。在安全體系上分后臺數(shù)據(jù)存儲層、中間通訊隔離層和前后業(yè)務應用層，其中以后臺數(shù)據(jù)存儲層為核心，中間通訊隔離層為橋梁，前后業(yè)務應用層為服務，并且此項系統(tǒng)的安全設計不包括卡片、網(wǎng)絡和數(shù)據(jù)中心的安全等等。

　　一卡通的系統(tǒng)平臺由前、后臺管理業(yè)務系統(tǒng)組成。前臺管理業(yè)務系統(tǒng)主要包括用戶綜合業(yè)務管理系統(tǒng)、商戶綜合業(yè)務管理系統(tǒng)、會計賬務管理系統(tǒng)和人事管理業(yè)務系統(tǒng);后臺管理業(yè)務系統(tǒng)主要包括系統(tǒng)配置管理業(yè)務系統(tǒng)、終端前置管理系統(tǒng)和圈存前置管理系統(tǒng)組成。

　　2 “數(shù)字化校園一卡通”的卡片安全

　　如何確保“一卡通”的私人信息數(shù)據(jù)得以安全保護和分散使用，這是一個急需解決的問題。我將通過以下四塊內(nèi)容，逐步分析該磁卡的安全性和使用性。

　　2.1 身份信息識別功能模塊 包括卡面信息和隱藏卡內(nèi)信息。它集持卡人姓名、照片、卡號、學生證、工作證、借書賬號、身份證明、醫(yī)療證、門禁等證件信息于一體;在刷卡時，部分信息肉眼可識別，部分信息可隱藏使用，有利于私人信息和資料的不對外公開。
　　2.2 劃分客戶消費服務系統(tǒng)的區(qū)域信息數(shù)據(jù) 客戶消費服務系統(tǒng)功能模塊包括很多子功能模塊;如收費模塊、綜合管理模塊、綜合查詢模塊、學籍管理模塊、圖書借閱模塊、門禁模塊、考勤模塊、銀行系統(tǒng)模塊等，分別由學校一卡通中心牽頭，聯(lián)合財務處、學生處、招生就業(yè)辦公室、教務處、圖書館、網(wǎng)絡管理中心、人事處、后勤服務公司等相關(guān)部門，根據(jù)需求各自獨立核算。因此必須獨立地劃分“一卡通”磁卡里儲存的幾個應用區(qū)域，分別用于儲存各自獨立部門的信息數(shù)據(jù)，這樣有利于各主管部門職責明確、條理清晰，哪環(huán)節(jié)出了問題都有據(jù)可依。
　　2.3 防止卡片被偽造 必須建立一套完整的密鑰管理體系，降低安全風險，保證卡片的安全。密鑰的產(chǎn)生、儲存和發(fā)行都需要經(jīng)過安全嚴格的程序，并在機具中進行;發(fā)行后的卡片，其密鑰信息是不可讀取的，卡片內(nèi)的所有敏感數(shù)據(jù)的讀寫都須經(jīng)過密鑰的驗證。因此密鑰體系的實施可以杜絕偽造帶來的危害。
　　2.4 加強“一卡通”卡片信息讀寫系統(tǒng)的“密鑰認證”，通過“一卡多密、密鑰分離[2]”來實現(xiàn)卡片的安全。根據(jù)卡片劃分的不同應用區(qū)域，采用“一區(qū)一密”的加密機制，使各分區(qū)擁有各自不同的密鑰管理，保證各自應用領(lǐng)域有多層密鑰體系，各個密鑰完成各自的功能模塊，從而為密鑰的管理建立科學的安全機制。首先這些密鑰都分散采用3DES和單向算法，在數(shù)據(jù)加密時將加密的數(shù)據(jù)儲存在磁卡中，并采用數(shù)據(jù)冗余校驗來保證數(shù)據(jù)不被篡改，這樣有利于保護“一卡通”卡內(nèi)信息和個人證件信息的分離與管理。其次卡內(nèi)也可以采取PIN保護，使消費額超過一定額度時就需要輸入個人密碼，防止惡意的消費。

　　3 “數(shù)字化校園一卡通”的網(wǎng)絡安全

　　數(shù)據(jù)共享、網(wǎng)絡互連，是整個一卡通系統(tǒng)運轉(zhuǎn)的關(guān)鍵所在。因此一卡通系統(tǒng)大多以數(shù)據(jù)庫為依托，以校園網(wǎng)為支撐進行統(tǒng)籌規(guī)劃建設;校園網(wǎng)的網(wǎng)絡環(huán)境(如路由器、交換機及網(wǎng)絡線路等)必須安全穩(wěn)定。

　　3.1 網(wǎng)絡安全 為確保數(shù)據(jù)傳輸安全，學校中心數(shù)據(jù)庫服務器、POS機、語音服務、銀校轉(zhuǎn)賬前置觸摸屏等專用設備應鋪設有冗余的專網(wǎng)線路，專網(wǎng)線路和各業(yè)務部門采用虛擬專用網(wǎng)(VLAN)相連，從物理上與外界隔離，也可通過VLAN虛擬局域網(wǎng)或軟硬件防火墻與其他網(wǎng)絡進行隔離。對無法實現(xiàn)專網(wǎng)線路的場所，在原有網(wǎng)絡環(huán)境的基礎(chǔ)上，通過VLAN手段和基于源IP地址和目的IP地址的訪問控制列表來實現(xiàn)對用戶及一卡通系統(tǒng)中數(shù)據(jù)的訪問限制[3]。

　　用戶權(quán)限的劃分可以杜絕非法用戶的登入和訪問，以免造成一卡通服務器內(nèi)的信息流失。因此在服務器外圍出口處應設立防火墻，采用防火墻隔離技術(shù)，通過校內(nèi)查詢，檢查進出專用網(wǎng)絡的信息是否被準許或用戶的服務請求是否被授權(quán)，以阻止非用戶進入和對信息資源的非法訪問;同時劃分好用戶權(quán)限和口令配置，使其得到相應的使用范疇;并且每天對服務器、防火墻及日志進行認真復查，看有無異常狀態(tài)，隨時做好數(shù)據(jù)備份和記錄。

　　網(wǎng)絡病毒已經(jīng)成了網(wǎng)絡時代的公害，其傳播速度更快，偽裝更巧妙，破壞力更強，攻擊更加頻繁。在“數(shù)字化校園一卡通”系統(tǒng)中，往往要通過其他終端設備聯(lián)接校園網(wǎng)，因此網(wǎng)絡病毒防范也就成了系統(tǒng)不可或缺的一部分。必須購買正版網(wǎng)絡防病毒產(chǎn)品，以提供穩(wěn)定的網(wǎng)絡防護。同時管理人員也要加強自身的學識修養(yǎng)，提高技術(shù)，與時俱進。

　　3.2 數(shù)據(jù)傳輸?shù)陌踩?一卡通系統(tǒng)中有許多基礎(chǔ)及核心功能用Web Service來實現(xiàn)網(wǎng)絡數(shù)據(jù)傳輸，以體現(xiàn)三層架構(gòu)的優(yōu)越性，大大增強了系統(tǒng)的伸縮性和重用性，更易于擴展和維護。但是這同時也帶來了安全上的隱患。Web Service是一種分布式的組件，沒有安全措施的情況下在Internet上發(fā)布，是相當危險的;由于對外提供統(tǒng)一的接口，在外部調(diào)用時， 只要一方知曉接口屬性就可以利用Web Service來提供其功能，因此要保證一卡通系統(tǒng)的安全性，必須保證Web Service的數(shù)據(jù)傳輸安全。具體分三方面對數(shù)據(jù)傳輸?shù)陌踩右躁U述。

　　3.2.1 卡片與機具間的數(shù)據(jù)傳輸安全，可采用CA認證方案，使X.509數(shù)字證書能很好地保證其安全性。另外，接入一卡通系統(tǒng)的應用系統(tǒng)，應采用卡片EKey加密完成身份認證、數(shù)據(jù)安全傳輸和數(shù)據(jù)安全存儲。因為密鑰存儲在EKey卡片中，由加密卡內(nèi)置的加密算法實現(xiàn)敏感數(shù)據(jù)的硬加密。并且EKey卡片加密必須通過國家密碼管理委員會認證的硬件加密產(chǎn)品，支持DES/3DES/MD5等加密算法，支持RAS1024bit、ECCl60bit/l92bit公鑰算法，才行之有效。這樣有利于卡片和機具間傳遞的數(shù)據(jù)經(jīng)過加密算法加密后，才不被破解、不被篡改，有效保證網(wǎng)絡鏈路中數(shù)據(jù)傳輸?shù)陌踩?br /> 　　3.2.2 數(shù)據(jù)包的傳輸應引入數(shù)據(jù)加密技術(shù)，由于密鑰對原始數(shù)據(jù)進行特定的加密運算后得到一個加密校驗數(shù)據(jù)域，在傳輸中如果有人篡改了數(shù)據(jù)，將導致數(shù)據(jù)到達接收端后是無法通過校驗的。
　　3.2.3 在交易終端與后臺交換系統(tǒng)間應建立多重對賬機制，防止傳輸中的數(shù)據(jù)丟失。由于在交易終端上存有交易記錄，應將上傳的總數(shù)、脫機和聯(lián)機的交易明細記錄與后臺操作系統(tǒng)的數(shù)據(jù)進行比對，最大限度地防止數(shù)據(jù)信息的丟失。

　　4 “數(shù)字化校園一卡通”的數(shù)據(jù)庫安全

　　交換系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全傳輸是整個“數(shù)字化校園一卡通”系統(tǒng)有效運行的基本核心，也是一卡通系統(tǒng)使用卡進行通用的重要環(huán)節(jié)，該環(huán)節(jié)也是最薄弱的部位。為防止通過入侵系統(tǒng)來破壞工作站數(shù)據(jù)資產(chǎn)的完整性，保證系統(tǒng)安全、高效、可持續(xù)運行，以最大限度地保全持卡人和其他授權(quán)用戶或收款單位的利益，應結(jié)合一卡通系統(tǒng)功能的結(jié)構(gòu)特點進行相應研究與分析，加強以下幾方面的安全規(guī)劃。

　　4.1 交換系統(tǒng)安全 數(shù)據(jù)傳輸與交換平臺在技術(shù)上并不是一個程序包，而是由數(shù)據(jù)傳輸與交換系統(tǒng)、應用接入與集成系統(tǒng)、應用支撐平臺的數(shù)據(jù)交換與共享處理單元等多個程序包組成。校園一卡通系統(tǒng)的集成與擴展通過接口實現(xiàn)擴展和集成，同時通過接口供數(shù)字化校園其他系統(tǒng)的調(diào)用，提供數(shù)據(jù)級和功能級的擴展服務。

　　交換系統(tǒng)主要有平臺交換管理系統(tǒng)和數(shù)據(jù)庫系統(tǒng)組成，其安全性也是重中之重，需要登錄授權(quán)管理來保證其后臺交換系統(tǒng)及數(shù)據(jù)庫的安全。因此任何涉及維護及直接或間接訪問數(shù)據(jù)庫的操作，都必須由后臺管理員給以相應的授權(quán)認證和等級劃分，實現(xiàn)某部分的權(quán)限自由;未通過認證的人員無權(quán)進行任何操作。

　　4.2 數(shù)據(jù)庫安全 一卡通系統(tǒng)的數(shù)據(jù)庫平臺連接在校園網(wǎng)主干上，為保證了系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)一致性和安全性，防止其數(shù)據(jù)丟失，數(shù)據(jù)中斷、數(shù)據(jù)無法訪問等現(xiàn)象，應建立數(shù)據(jù)庫的安全應急預案，在工作管理中多加巡視和檢查，加強值班制，在技術(shù)上可采取以下幾種措施和應急機制加以保護。

　　4.2.1 采用磁盤鏡像技術(shù)：利用磁盤鏡像技術(shù)使校園一卡通所有的數(shù)據(jù)都能進行實時備份，一旦發(fā)生原數(shù)據(jù)讀寫錯誤，導致數(shù)據(jù)丟失，將立即切換到備份數(shù)據(jù)，并對被損數(shù)據(jù)加以修復，保證校園一卡通系統(tǒng)的數(shù)據(jù)庫安全。
　　4.2.2 采用雙機熱備份技術(shù)：一旦主機出現(xiàn)不可避免的問題時，備用的另一臺主機會立即啟動響應，并接管全部工作。保證系統(tǒng)更加安全、穩(wěn)定、可持續(xù)正常運行。
　　4.2.3 采用大型數(shù)據(jù)庫系統(tǒng)及優(yōu)良的數(shù)據(jù)庫設計：為提高數(shù)據(jù)庫處理能力，在保證數(shù)據(jù)庫功能、數(shù)據(jù)的安全等前提條件下，急需采用ORACLE大型數(shù)據(jù)庫系統(tǒng)。因為只有在數(shù)據(jù)庫設計上導入更多的先進技術(shù)、優(yōu)化數(shù)據(jù)結(jié)構(gòu)，才能提高效率，提高它的安全性。
　　4.2.4 不斷掌握安全先進的數(shù)據(jù)庫備份技術(shù)，如對整個數(shù)據(jù)庫做某一時間段的截止恢復，也可對單個數(shù)據(jù)表的數(shù)據(jù)內(nèi)容進行安全恢復;要想建立良好的數(shù)據(jù)庫備份機制，必須根據(jù)系統(tǒng)的需求采用物理與邏輯相結(jié)合的混合數(shù)據(jù)備份方式， 總之隨著時代的發(fā)展，我國信息化校園建設步伐也在不斷加大，“數(shù)字化校園一卡通”的安全涉及校園生活的方方面面，其關(guān)鍵始終以中心機房和校園網(wǎng)完善的硬件配套設施為基礎(chǔ)，以科學的管理為核心，以刷卡機為信息載體，通過其先進的科學技術(shù)和強大的軟件功能相結(jié)合，使之相輔相成統(tǒng)籌發(fā)展，實現(xiàn)自動計費管理;其數(shù)據(jù)量大、涉及面廣，數(shù)據(jù)安全問題倍受關(guān)注。針對管理和運作中所遇到的安全問題，以及系統(tǒng)應用領(lǐng)域的不斷延伸，新的問題也層出不窮，這一系列問題還有待我們進一步深入研究，采用行之有效的對策和方法，加以完善。

    【參考文獻】

　　[1] 黃輝,高校學術(shù)權(quán)力與行政關(guān)系研究[D].南京師范大學,2006: 27.
　　[2] 張，朱榮釗. 數(shù)字化校園一卡通系統(tǒng)安全問題探討[J].信息安全與通信保密,2007,9:166.
　　[3] COMER DE.用TCP/IP 進行網(wǎng)際互聯(lián):第1卷[M].北京:電子工業(yè)出版社,2001:3.