“數(shù)字化校園一卡通”在學(xué)校使用中的安全思考

文章出處：http://www.xujuanpiju.com 作者： 人氣： 發(fā)表時(shí)間：2011年09月09日

　在以 “科教興國(guó)”為戰(zhàn)略背景的形勢(shì)下，信息技術(shù)對(duì)教育系統(tǒng)的改革產(chǎn)生了深遠(yuǎn)的影響，使得高校數(shù)字化校園建設(shè)勢(shì)在必行。一種高效、安全的校園服務(wù)信息化系統(tǒng)悄然來(lái)臨，特別是在磁卡的基礎(chǔ)上開(kāi)發(fā)的各類社會(huì)化的應(yīng)用與服務(wù)，即在學(xué)校范圍內(nèi)，凡有現(xiàn)金、票證或需要識(shí)別身份的場(chǎng)合均采用卡來(lái)完成，開(kāi)辟了數(shù)字信息化校園的整體設(shè)計(jì)思想，提出了“多網(wǎng)、一庫(kù)、一卡”為主線的設(shè)計(jì)構(gòu)思，不僅具備消費(fèi)系統(tǒng)、管理功能，還要與學(xué)校現(xiàn)有的管理信息系統(tǒng)結(jié)合起來(lái)，使其具有身份識(shí)別功能，建立統(tǒng)一身份信息數(shù)據(jù)中心。同時(shí)“一卡在手，走遍校園”的總體思想體現(xiàn)了網(wǎng)絡(luò)時(shí)代數(shù)字化校園理念已形成，使學(xué)校在行政、教學(xué)、科研等管理方面走上網(wǎng)絡(luò)化、智能化、科技化的道路。

　　目前“數(shù)字化校園一卡通”的關(guān)鍵問(wèn)題主要涉及交易時(shí)卡片安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全，可以說(shuō)，安全性是校園一卡通系統(tǒng)的的生命線[1]，所以必須要把安全放在首位。由于“數(shù)字化校園一卡通”系統(tǒng)既要提供校內(nèi)消費(fèi)的金融平臺(tái)，又要同步提供數(shù)字化校園的數(shù)據(jù)平臺(tái)，為此對(duì)每一道安全細(xì)節(jié)都要深思熟慮，思考能不能防止、要不要防護(hù)，該如何避免相關(guān)安全隱患等一系列問(wèn)題，通過(guò)技術(shù)和管理手段，去構(gòu)建一個(gè)立體的、完整的安全防范體系，確保系統(tǒng)能夠高效、安全、穩(wěn)定、可持續(xù)地運(yùn)行。下面將具體地加以分析。

　　1 “數(shù)字化校園一卡通”的結(jié)構(gòu)體系

　　目前數(shù)字化校園一卡通系統(tǒng)都遵循“一體化、兩級(jí)體系、三層結(jié)構(gòu)”的原則進(jìn)行統(tǒng)籌規(guī)劃與建設(shè)，不斷加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的可用性和高安全性，采取雙機(jī)熱備份方式確保整個(gè)系統(tǒng)的高可靠性、高安全性、數(shù)據(jù)不丟失和系統(tǒng)不癱瘓，從而保障數(shù)字化校園一卡通系統(tǒng)的可持續(xù)運(yùn)行。

　　該體系中的用戶單位主要分持卡人、商戶、學(xué)校財(cái)務(wù)、銀行;四者間的業(yè)務(wù)來(lái)往和資金運(yùn)轉(zhuǎn)決定了校園一卡通的功能和使用價(jià)值。按照系統(tǒng)設(shè)計(jì)思路，著眼于各院校的長(zhǎng)遠(yuǎn)發(fā)展和需求，組建以校園網(wǎng)絡(luò)為依托，實(shí)現(xiàn)校園內(nèi)各種商務(wù)消費(fèi)和身份識(shí)別的一卡通用;其中客戶消費(fèi)服務(wù)系統(tǒng)和身份識(shí)別系統(tǒng)都借助計(jì)算機(jī)、校園網(wǎng)、終端等設(shè)備，以卡片為載體，實(shí)現(xiàn)信息化管理系統(tǒng);網(wǎng)絡(luò)線路采用專網(wǎng)，使內(nèi)部信息和數(shù)據(jù)不受校園網(wǎng)的影響。在結(jié)構(gòu)設(shè)計(jì)上，采用層次化模型結(jié)構(gòu)，以“千兆主干、百兆接入”來(lái)保證網(wǎng)絡(luò)的數(shù)據(jù)傳輸量的穩(wěn)定;采用星型網(wǎng)絡(luò)結(jié)構(gòu)，并以一卡通網(wǎng)關(guān)作為集線器來(lái)連接終端設(shè)備，以TCP/IP主干網(wǎng)作為網(wǎng)關(guān)的另一端接入，該網(wǎng)關(guān)具備智能管理功能，分擔(dān)著大量上位機(jī)的工作，具有可靠性和通信效率。在安全體系上分后臺(tái)數(shù)據(jù)存儲(chǔ)層、中間通訊隔離層和前后業(yè)務(wù)應(yīng)用層，其中以后臺(tái)數(shù)據(jù)存儲(chǔ)層為核心，中間通訊隔離層為橋梁，前后業(yè)務(wù)應(yīng)用層為服務(wù)，并且此項(xiàng)系統(tǒng)的安全設(shè)計(jì)不包括卡片、網(wǎng)絡(luò)和數(shù)據(jù)中心的安全等等。

　　一卡通的系統(tǒng)平臺(tái)由前、后臺(tái)管理業(yè)務(wù)系統(tǒng)組成。前臺(tái)管理業(yè)務(wù)系統(tǒng)主要包括用戶綜合業(yè)務(wù)管理系統(tǒng)、商戶綜合業(yè)務(wù)管理系統(tǒng)、會(huì)計(jì)賬務(wù)管理系統(tǒng)和人事管理業(yè)務(wù)系統(tǒng);后臺(tái)管理業(yè)務(wù)系統(tǒng)主要包括系統(tǒng)配置管理業(yè)務(wù)系統(tǒng)、終端前置管理系統(tǒng)和圈存前置管理系統(tǒng)組成。

　　2 “數(shù)字化校園一卡通”的卡片安全

　　如何確保“一卡通”的私人信息數(shù)據(jù)得以安全保護(hù)和分散使用，這是一個(gè)急需解決的問(wèn)題。我將通過(guò)以下四塊內(nèi)容，逐步分析該磁卡的安全性和使用性。

　　2.1 身份信息識(shí)別功能模塊 包括卡面信息和隱藏卡內(nèi)信息。它集持卡人姓名、照片、卡號(hào)、學(xué)生證、工作證、借書賬號(hào)、身份證明、醫(yī)療證、門禁等證件信息于一體;在刷卡時(shí)，部分信息肉眼可識(shí)別，部分信息可隱藏使用，有利于私人信息和資料的不對(duì)外公開(kāi)。
　　2.2 劃分客戶消費(fèi)服務(wù)系統(tǒng)的區(qū)域信息數(shù)據(jù) 客戶消費(fèi)服務(wù)系統(tǒng)功能模塊包括很多子功能模塊;如收費(fèi)模塊、綜合管理模塊、綜合查詢模塊、學(xué)籍管理模塊、圖書借閱模塊、門禁模塊、考勤模塊、銀行系統(tǒng)模塊等，分別由學(xué)校一卡通中心牽頭，聯(lián)合財(cái)務(wù)處、學(xué)生處、招生就業(yè)辦公室、教務(wù)處、圖書館、網(wǎng)絡(luò)管理中心、人事處、后勤服務(wù)公司等相關(guān)部門，根據(jù)需求各自獨(dú)立核算。因此必須獨(dú)立地劃分“一卡通”磁卡里儲(chǔ)存的幾個(gè)應(yīng)用區(qū)域，分別用于儲(chǔ)存各自獨(dú)立部門的信息數(shù)據(jù)，這樣有利于各主管部門職責(zé)明確、條理清晰，哪環(huán)節(jié)出了問(wèn)題都有據(jù)可依。
　　2.3 防止卡片被偽造 必須建立一套完整的密鑰管理體系，降低安全風(fēng)險(xiǎn)，保證卡片的安全。密鑰的產(chǎn)生、儲(chǔ)存和發(fā)行都需要經(jīng)過(guò)安全嚴(yán)格的程序，并在機(jī)具中進(jìn)行;發(fā)行后的卡片，其密鑰信息是不可讀取的，卡片內(nèi)的所有敏感數(shù)據(jù)的讀寫都須經(jīng)過(guò)密鑰的驗(yàn)證。因此密鑰體系的實(shí)施可以杜絕偽造帶來(lái)的危害。
　　2.4 加強(qiáng)“一卡通”卡片信息讀寫系統(tǒng)的“密鑰認(rèn)證”，通過(guò)“一卡多密、密鑰分離[2]”來(lái)實(shí)現(xiàn)卡片的安全。根據(jù)卡片劃分的不同應(yīng)用區(qū)域，采用“一區(qū)一密”的加密機(jī)制，使各分區(qū)擁有各自不同的密鑰管理，保證各自應(yīng)用領(lǐng)域有多層密鑰體系，各個(gè)密鑰完成各自的功能模塊，從而為密鑰的管理建立科學(xué)的安全機(jī)制。首先這些密鑰都分散采用3DES和單向算法，在數(shù)據(jù)加密時(shí)將加密的數(shù)據(jù)儲(chǔ)存在磁卡中，并采用數(shù)據(jù)冗余校驗(yàn)來(lái)保證數(shù)據(jù)不被篡改，這樣有利于保護(hù)“一卡通”卡內(nèi)信息和個(gè)人證件信息的分離與管理。其次卡內(nèi)也可以采取PIN保護(hù)，使消費(fèi)額超過(guò)一定額度時(shí)就需要輸入個(gè)人密碼，防止惡意的消費(fèi)。

　　3 “數(shù)字化校園一卡通”的網(wǎng)絡(luò)安全

　　數(shù)據(jù)共享、網(wǎng)絡(luò)互連，是整個(gè)一卡通系統(tǒng)運(yùn)轉(zhuǎn)的關(guān)鍵所在。因此一卡通系統(tǒng)大多以數(shù)據(jù)庫(kù)為依托，以校園網(wǎng)為支撐進(jìn)行統(tǒng)籌規(guī)劃建設(shè);校園網(wǎng)的網(wǎng)絡(luò)環(huán)境(如路由器、交換機(jī)及網(wǎng)絡(luò)線路等)必須安全穩(wěn)定。

　　3.1 網(wǎng)絡(luò)安全 為確保數(shù)據(jù)傳輸安全，學(xué)校中心數(shù)據(jù)庫(kù)服務(wù)器、POS機(jī)、語(yǔ)音服務(wù)、銀校轉(zhuǎn)賬前置觸摸屏等專用設(shè)備應(yīng)鋪設(shè)有冗余的專網(wǎng)線路，專網(wǎng)線路和各業(yè)務(wù)部門采用虛擬專用網(wǎng)(VLAN)相連，從物理上與外界隔離，也可通過(guò)VLAN虛擬局域網(wǎng)或軟硬件防火墻與其他網(wǎng)絡(luò)進(jìn)行隔離。對(duì)無(wú)法實(shí)現(xiàn)專網(wǎng)線路的場(chǎng)所，在原有網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上，通過(guò)VLAN手段和基于源IP地址和目的IP地址的訪問(wèn)控制列表來(lái)實(shí)現(xiàn)對(duì)用戶及一卡通系統(tǒng)中數(shù)據(jù)的訪問(wèn)限制[3]。

　　用戶權(quán)限的劃分可以杜絕非法用戶的登入和訪問(wèn)，以免造成一卡通服務(wù)器內(nèi)的信息流失。因此在服務(wù)器外圍出口處應(yīng)設(shè)立防火墻，采用防火墻隔離技術(shù)，通過(guò)校內(nèi)查詢，檢查進(jìn)出專用網(wǎng)絡(luò)的信息是否被準(zhǔn)許或用戶的服務(wù)請(qǐng)求是否被授權(quán)，以阻止非用戶進(jìn)入和對(duì)信息資源的非法訪問(wèn);同時(shí)劃分好用戶權(quán)限和口令配置，使其得到相應(yīng)的使用范疇;并且每天對(duì)服務(wù)器、防火墻及日志進(jìn)行認(rèn)真復(fù)查，看有無(wú)異常狀態(tài)，隨時(shí)做好數(shù)據(jù)備份和記錄。

　　網(wǎng)絡(luò)病毒已經(jīng)成了網(wǎng)絡(luò)時(shí)代的公害，其傳播速度更快，偽裝更巧妙，破壞力更強(qiáng)，攻擊更加頻繁。在“數(shù)字化校園一卡通”系統(tǒng)中，往往要通過(guò)其他終端設(shè)備聯(lián)接校園網(wǎng)，因此網(wǎng)絡(luò)病毒防范也就成了系統(tǒng)不可或缺的一部分。必須購(gòu)買正版網(wǎng)絡(luò)防病毒產(chǎn)品，以提供穩(wěn)定的網(wǎng)絡(luò)防護(hù)。同時(shí)管理人員也要加強(qiáng)自身的學(xué)識(shí)修養(yǎng)，提高技術(shù)，與時(shí)俱進(jìn)。

　　3.2 數(shù)據(jù)傳輸?shù)陌踩?一卡通系統(tǒng)中有許多基礎(chǔ)及核心功能用Web Service來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸，以體現(xiàn)三層架構(gòu)的優(yōu)越性，大大增強(qiáng)了系統(tǒng)的伸縮性和重用性，更易于擴(kuò)展和維護(hù)。但是這同時(shí)也帶來(lái)了安全上的隱患。Web Service是一種分布式的組件，沒(méi)有安全措施的情況下在Internet上發(fā)布，是相當(dāng)危險(xiǎn)的;由于對(duì)外提供統(tǒng)一的接口，在外部調(diào)用時(shí)， 只要一方知曉接口屬性就可以利用Web Service來(lái)提供其功能，因此要保證一卡通系統(tǒng)的安全性，必須保證Web Service的數(shù)據(jù)傳輸安全。具體分三方面對(duì)數(shù)據(jù)傳輸?shù)陌踩右躁U述。

　　3.2.1 卡片與機(jī)具間的數(shù)據(jù)傳輸安全，可采用CA認(rèn)證方案，使X.509數(shù)字證書能很好地保證其安全性。另外，接入一卡通系統(tǒng)的應(yīng)用系統(tǒng)，應(yīng)采用卡片EKey加密完成身份認(rèn)證、數(shù)據(jù)安全傳輸和數(shù)據(jù)安全存儲(chǔ)。因?yàn)槊荑€存儲(chǔ)在EKey卡片中，由加密卡內(nèi)置的加密算法實(shí)現(xiàn)敏感數(shù)據(jù)的硬加密。并且EKey卡片加密必須通過(guò)國(guó)家密碼管理委員會(huì)認(rèn)證的硬件加密產(chǎn)品，支持DES/3DES/MD5等加密算法，支持RAS1024bit、ECCl60bit/l92bit公鑰算法，才行之有效。這樣有利于卡片和機(jī)具間傳遞的數(shù)據(jù)經(jīng)過(guò)加密算法加密后，才不被破解、不被篡改，有效保證網(wǎng)絡(luò)鏈路中數(shù)據(jù)傳輸?shù)陌踩?br /> 　　3.2.2 數(shù)據(jù)包的傳輸應(yīng)引入數(shù)據(jù)加密技術(shù)，由于密鑰對(duì)原始數(shù)據(jù)進(jìn)行特定的加密運(yùn)算后得到一個(gè)加密校驗(yàn)數(shù)據(jù)域，在傳輸中如果有人篡改了數(shù)據(jù)，將導(dǎo)致數(shù)據(jù)到達(dá)接收端后是無(wú)法通過(guò)校驗(yàn)的。
　　3.2.3 在交易終端與后臺(tái)交換系統(tǒng)間應(yīng)建立多重對(duì)賬機(jī)制，防止傳輸中的數(shù)據(jù)丟失。由于在交易終端上存有交易記錄，應(yīng)將上傳的總數(shù)、脫機(jī)和聯(lián)機(jī)的交易明細(xì)記錄與后臺(tái)操作系統(tǒng)的數(shù)據(jù)進(jìn)行比對(duì)，最大限度地防止數(shù)據(jù)信息的丟失。

　　4 “數(shù)字化校園一卡通”的數(shù)據(jù)庫(kù)安全

　　交換系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的安全傳輸是整個(gè)“數(shù)字化校園一卡通”系統(tǒng)有效運(yùn)行的基本核心，也是一卡通系統(tǒng)使用卡進(jìn)行通用的重要環(huán)節(jié)，該環(huán)節(jié)也是最薄弱的部位。為防止通過(guò)入侵系統(tǒng)來(lái)破壞工作站數(shù)據(jù)資產(chǎn)的完整性，保證系統(tǒng)安全、高效、可持續(xù)運(yùn)行，以最大限度地保全持卡人和其他授權(quán)用戶或收款單位的利益，應(yīng)結(jié)合一卡通系統(tǒng)功能的結(jié)構(gòu)特點(diǎn)進(jìn)行相應(yīng)研究與分析，加強(qiáng)以下幾方面的安全規(guī)劃。

　　4.1 交換系統(tǒng)安全 數(shù)據(jù)傳輸與交換平臺(tái)在技術(shù)上并不是一個(gè)程序包，而是由數(shù)據(jù)傳輸與交換系統(tǒng)、應(yīng)用接入與集成系統(tǒng)、應(yīng)用支撐平臺(tái)的數(shù)據(jù)交換與共享處理單元等多個(gè)程序包組成。校園一卡通系統(tǒng)的集成與擴(kuò)展通過(guò)接口實(shí)現(xiàn)擴(kuò)展和集成，同時(shí)通過(guò)接口供數(shù)字化校園其他系統(tǒng)的調(diào)用，提供數(shù)據(jù)級(jí)和功能級(jí)的擴(kuò)展服務(wù)。

　　交換系統(tǒng)主要有平臺(tái)交換管理系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)組成，其安全性也是重中之重，需要登錄授權(quán)管理來(lái)保證其后臺(tái)交換系統(tǒng)及數(shù)據(jù)庫(kù)的安全。因此任何涉及維護(hù)及直接或間接訪問(wèn)數(shù)據(jù)庫(kù)的操作，都必須由后臺(tái)管理員給以相應(yīng)的授權(quán)認(rèn)證和等級(jí)劃分，實(shí)現(xiàn)某部分的權(quán)限自由;未通過(guò)認(rèn)證的人員無(wú)權(quán)進(jìn)行任何操作。

　　4.2 數(shù)據(jù)庫(kù)安全 一卡通系統(tǒng)的數(shù)據(jù)庫(kù)平臺(tái)連接在校園網(wǎng)主干上，為保證了系統(tǒng)數(shù)據(jù)庫(kù)數(shù)據(jù)一致性和安全性，防止其數(shù)據(jù)丟失，數(shù)據(jù)中斷、數(shù)據(jù)無(wú)法訪問(wèn)等現(xiàn)象，應(yīng)建立數(shù)據(jù)庫(kù)的安全應(yīng)急預(yù)案，在工作管理中多加巡視和檢查，加強(qiáng)值班制，在技術(shù)上可采取以下幾種措施和應(yīng)急機(jī)制加以保護(hù)。

　　4.2.1 采用磁盤鏡像技術(shù)：利用磁盤鏡像技術(shù)使校園一卡通所有的數(shù)據(jù)都能進(jìn)行實(shí)時(shí)備份，一旦發(fā)生原數(shù)據(jù)讀寫錯(cuò)誤，導(dǎo)致數(shù)據(jù)丟失，將立即切換到備份數(shù)據(jù)，并對(duì)被損數(shù)據(jù)加以修復(fù)，保證校園一卡通系統(tǒng)的數(shù)據(jù)庫(kù)安全。
　　4.2.2 采用雙機(jī)熱備份技術(shù)：一旦主機(jī)出現(xiàn)不可避免的問(wèn)題時(shí)，備用的另一臺(tái)主機(jī)會(huì)立即啟動(dòng)響應(yīng)，并接管全部工作。保證系統(tǒng)更加安全、穩(wěn)定、可持續(xù)正常運(yùn)行。
　　4.2.3 采用大型數(shù)據(jù)庫(kù)系統(tǒng)及優(yōu)良的數(shù)據(jù)庫(kù)設(shè)計(jì)：為提高數(shù)據(jù)庫(kù)處理能力，在保證數(shù)據(jù)庫(kù)功能、數(shù)據(jù)的安全等前提條件下，急需采用ORACLE大型數(shù)據(jù)庫(kù)系統(tǒng)。因?yàn)橹挥性跀?shù)據(jù)庫(kù)設(shè)計(jì)上導(dǎo)入更多的先進(jìn)技術(shù)、優(yōu)化數(shù)據(jù)結(jié)構(gòu)，才能提高效率，提高它的安全性。
　　4.2.4 不斷掌握安全先進(jìn)的數(shù)據(jù)庫(kù)備份技術(shù)，如對(duì)整個(gè)數(shù)據(jù)庫(kù)做某一時(shí)間段的截止恢復(fù)，也可對(duì)單個(gè)數(shù)據(jù)表的數(shù)據(jù)內(nèi)容進(jìn)行安全恢復(fù);要想建立良好的數(shù)據(jù)庫(kù)備份機(jī)制，必須根據(jù)系統(tǒng)的需求采用物理與邏輯相結(jié)合的混合數(shù)據(jù)備份方式， 總之隨著時(shí)代的發(fā)展，我國(guó)信息化校園建設(shè)步伐也在不斷加大，“數(shù)字化校園一卡通”的安全涉及校園生活的方方面面，其關(guān)鍵始終以中心機(jī)房和校園網(wǎng)完善的硬件配套設(shè)施為基礎(chǔ)，以科學(xué)的管理為核心，以刷卡機(jī)為信息載體，通過(guò)其先進(jìn)的科學(xué)技術(shù)和強(qiáng)大的軟件功能相結(jié)合，使之相輔相成統(tǒng)籌發(fā)展，實(shí)現(xiàn)自動(dòng)計(jì)費(fèi)管理;其數(shù)據(jù)量大、涉及面廣，數(shù)據(jù)安全問(wèn)題倍受關(guān)注。針對(duì)管理和運(yùn)作中所遇到的安全問(wèn)題，以及系統(tǒng)應(yīng)用領(lǐng)域的不斷延伸，新的問(wèn)題也層出不窮，這一系列問(wèn)題還有待我們進(jìn)一步深入研究，采用行之有效的對(duì)策和方法，加以完善。

    【參考文獻(xiàn)】

　　[1] 黃輝,高校學(xué)術(shù)權(quán)力與行政關(guān)系研究[D].南京師范大學(xué),2006: 27.
　　[2] 張，朱榮釗. 數(shù)字化校園一卡通系統(tǒng)安全問(wèn)題探討[J].信息安全與通信保密,2007,9:166.
　　[3] COMER DE.用TCP/IP 進(jìn)行網(wǎng)際互聯(lián):第1卷[M].北京:電子工業(yè)出版社,2001:3.