浅谈高校一卡通系统的安全设计<br/>——以宿迁学院一卡通系统建设为例

浅谈高校一卡通系统的安全设计
——以宿迁学院一卡通系统建设为例

2010-10-10许立春

黑龙江教育学院学报 2010年11期

关键词：校园卡宿迁一卡通

许立春

（宿迁学院,江苏宿迁 223800）

浅谈高校一卡通系统的安全设计
——以宿迁学院一卡通系统建设为例

许立春

（宿迁学院,江苏宿迁 223800）

一卡通系统是高校数字化校园建设的重要基础平台之一,在一卡通系统的设计、部署和实施中,安全性是首要考虑问题。基于此从介质及终端、网络安全、第三方接口安全、软件安全、系统数据库安全、数据容灾等六个方面对校园一卡通系统的安全性进行设计,以期进一步推进数字化校园建设。

一卡通;安全;设计

随着高校数字化、信息化校园建设工作的推进,一卡通系统的建设成为消灭高校中存在的各类“信息孤岛”并切实防止新“信息孤岛”的产生,在全校范围内形成实时数据更新和规范一致的共享环境,为学校管理提供直接可靠的信息来源和决策依据的重要抓手[1]。作为数字校园的重要基础设施之一,一卡通系统将涉及到每位在校学习、工作和生活的师生,并为学校的教学、管理、服务及其他公共服务提供身份证明和支付手段,所以对系统的安全性有着非常高的要求。系统的安全性是校园卡系统的生命线,在校园卡系统的设计和建设过程中,要把安全性设计放在首位,要确保系统能够高效、安全和可靠地运行[2]。在宿迁学院一卡通系统建设项目中,我们主要从以下几个方面实现系统的安全设计:介质及终端安全设计、网络安全设计、第三方接口安全、软件安全设计、系统数据库安全、数据容灾。

1 介质及终端安全设计

使用遵循国际认可加密标准设计的 F-S IM或 CPU校园卡,系统通过对校园卡发送给 PSAM卡的随机数 MAC1,PSAM卡发送给校园卡的随机数MAC2和由校园卡返回的随机数 TAC,可以实现数据传输验证的计算。而且MAC1、MAC2和 TAC即便是同一张校园卡每次传输的过程中都是不同的,因此无法使用空中接收的办法来破解校园卡的密钥。

为防止篡改 POS机中的数据,这些数据应带消费交易认证码存放,数据中心的数据加密存放,可防止数据泄露。在终端设备比较集中的场所,如食堂等地方,需配置 UPS,以此保障终端设备在断电后能够继续运行使用。

2 网络安全设计

为保证一卡通系统数据传输的安全,系统应采用专网。中心数据库服务器、圈存自助机、语音服务、银校转账前置机等校园卡系统专用设备直接连接到一卡通专网上。校园卡专网和各业务部门虚拟专用网（VLAN）相连。POS机直接连接到业务部门的VLAN上,通过 TCP/IP协议和中心数据库服务器通信。原有 POS机通过业务部门的应用系统服务器连接到其VLAN上,经过应用系统服务器和中心数据库服务器通信。门禁系统的读卡器通过门禁控制器和 RS232/485转换器连接到业务部门的 VLAN上。

为保证读卡机具与中心数据库服务器和应用系统服务器之间的数据通信安全,读卡机具在系统中进行注册,未注册的机具卡片无法使用。对于从 POS机中采集的交易流水,为防止在传输过程中数据被篡改,应对所有交易流水加校验。如果系统发现交易流水被篡改,则可以重新采集所有数据,并从中过滤正常的数据。

3 第三方接口安全

校园一卡通系统由多个子系统组成,接入并共享一卡通平台提供的资料,为了保证每一个子系统及终端设备接入的合法性与安全性,系统应采取严格的控制流程。每一个子系统都要通过系统授权、系统认证才能接入平台。核心平台为每一个子系统及终端设备建立授权注册信息,实现子系统授权信息的安全传递与存储。信息包括:终端设备 ID号、终端设备号。经过认证后的子系统及终端设备才能与一卡通系统进行信息交互、实现信息共享、完成业务交易。认证过程全部由一卡通统一接入接口自动完成,对子系统而言是透明的,通过以上措施严格保证系统接入的安全。

4 软件安全设计

软件系统既包括校园卡系统的系统软件,也包括与校园卡系统相关的各个数字校园的应用系统软件。就校园卡系统的系统软件,应从登陆控制、操作员权限控制、数据库防篡改和登记操作日志等方面来考虑。通过对客户机登陆采取控制,对非法的客户机加以拒绝,来防止非法的客户机向服务器发送业务请求。

在登陆控制的基础上,采用对操作员进行权限控制的方式来控制操作员对校园卡系统的访问,使得不同的操作员只能在自己的权限范围内对系统进行操作。为防止发生数据库的合法用户非法修改数据库中的重要数据的情况,应对数据库的重要数据表加校验。系统定期对这些表格进行扫描,当发现校验异常时报警,对于已有的与校园卡系统相关的数字校园应用系统,应通过提供一整套应用编程接口,使得应用系统经过小范围的改造,就能接入整个校园卡系统。由于应用系统在接入校园卡系统时只能使用指定的接口,因而也只能完成许可范围内的操作,这样可以提高一卡通系统的安全系数。

5 系统数据库安全

在一卡通系统的WEB服务器与应用服务器之间建立信任边界,应用服务器与数据库服务器之间建立信任边界,根据这样的信任边界划分,系统中的用户与数据库服务器之间没有可靠的信任关系,也就不能直接对数据库进行访问,系统结构如图 1所示。这样,即使在公共的网络环境下,一卡通中心数据库的信息也能保证不被恶意访问[3]。在一卡通系统中,每一个用户角色都有其不同的身份,他所访问的数据库信息也相对固定,在应用服务器上的业务逻辑层,将不通的角色访问设计成不通的访问策略,这样用户访问数据库时,就只能访问被限定的数据库信息,访问流程如图 2所示:

6 系统容灾设计

一卡通系统服务器的软件故障、硬件损坏（如系统崩溃、硬盘损坏等）、病毒破坏和网络攻击等原因都可能导致数据丢失,并造成整个系统的瘫痪。因此数据备份及灾难恢复对于数据安全是必不可少的。系统的备份容灾设计应符合稳定性、全面性、自动化、高性能、容错性等原则。对数据进行备份,要考虑灾难发生时系统恢复,故障时的快速系统恢复,备份过程尽量减少对系统性能影响等多方面因素,要保证数据备份的频率、以及备份介质上数据的保存时间符合预期设计的目标,备份策略应该满足:备份的数据内容的选择、备份时间的定制、备份方式的选取（如全备份或增量备份）、备份设备或介质的指定等等。