文/鄢翔

1 引言

高校一卡通系统为高校师生提供了身份识别、电子支付、电控、水控等多种公共服务，可以说一卡在手校园畅通，因此一卡通是高校智慧校园建设中的一个核心应用，也是实施安全等级保护2.0的重点领域。

2 一卡通应用系统安全等级保护及定级情况

2.1 安全等级保护2.0与安全保护1.0对计算机信息系统的要求区别

从表1可以看出2017年颁布的计算机信息系统安全等级保护2.0相对于2008年发布的1.0版本在通用要求技术部分的基础上进行了一些调整，控制点要求上并没有明显增加，相反通过合并整合后还略有缩减。普洱学院一卡通应用系统的保护定级也是基于表1中的安全等级保护2.0的基本要求展开评定。

2.2 普洱学院一卡通应用系统的定级依据与等保定级

根据我国信息系统安全等级保护的相关文件可知，我国对计算机信息系统按等级进行管理，对信息系统中发生的信息安全事件分等级响应、处置。保护等级可划分为1-5级，信息系统受到破坏后的危害程度呈单调递增关系。根据危害程度，笔者制作了表2，普洱学院一卡通信息系统保护等级评定的主要依据即为表2。

普洱学院一卡通应用系统主要服务全院师生，截至2018年12月普洱学院共有全日制在校生12107人，教师514人，因此普洱学院信息中心初步认定当一卡通应用系统遭受破坏后，会对全校师生产生影响，影响人群在1万人以上已经属于对社会秩序和公共利益造成损害，达到信息系统安全等级保护2级。随后，普洱学院一卡通应用系统引入了第三方专业测评机构进行测评，给出的专家评审意见也是达到信息系统安全等级保护2级，并形成了《定级报告》，且提交到普洱市公安局进行审核。

表1

3 一卡通应用系统安全保护建设现状分析

3.1 目前普洱学院一卡通应用系统运行的环境

如图1所示，由于普洱学院是新升格本科院校，新校区建设之初由于建设经费有限，为节省经费采用了共用校园网主干光纤的方式组网，由路由器逻辑上IP地址划断的方式来架构一卡通应用系统，整个一卡通系统均使用192.xxx.xxx.xxx段IP地址单独成为校园网内网的一个子网，逻辑上不与internet相连接。宿舍楼每层均有楼层交换机，各宿舍楼栋水电控汇聚交换机均安放学生宿舍楼一楼电控室。在管理方面，普洱学院信息中心技术人员按岗位职责每人负责校园网中的一至三个应用系统，各司其职，像笔者就专门负责一卡通应用系统的运维工作。

3.2 普洱学院一卡通应用系统参照安全等级保护2.0要求在技术方面存在的主要问题

表2 信息系统安全等级保护要素关系表

表3：测评后发现的基础设施类安全问题

表4：测评后发现的安全策略类安全问题

表5：测评后发现的管理类安全问题

经过第三方测评机构的测评，参照图1，普洱学院一卡通应用系统在技术方面的主要安全漏洞可以归纳为基础设施类安全问题、安全策略类问题两大类，如表3、表4所示。

3.3 普洱学院一卡通应用系统参照安全等级保护2.0要求在管理方面存在的主要问题

经过第三方测评机构的测评，普洱学院一卡通应用系统在管理方面的主要安全漏洞如表5所示。

在管理中以上问题确实存在，例如从图1可以看出，通过放置在各宿舍楼栋的水电控汇聚交换机中的任意一台，均可以接入一卡通网络，而在高校一卡通应用系统的管理中侧重于中心机房的服务器管理，而忽视宿舍楼栋交换机的管理，由此可能给类似撞库攻击接入机会。

4 一卡通应用系统安全建设方案设计

4.1 一卡通应用系统安全建设方案设计目标与依据

安全建设方案设计目标是全面提升普洱学院一卡通应用系统的安全性，能面对目前和未来一段时期的各类安全威胁，保证一卡通应用系统能长期持续、稳定的运行。使得一卡通应用系统安全防护能力达到等级保护二级的基本要求。

安全建设方案设计依据为：GB/T 22239-2008：《信息安全技术信息系统安全等级保护基本要求》、GB/T28448-2012：《信息安全技术系统等级保护测评要求》、GB/T28449-2012：《信息系统安全等级保护测评过程指南》。

4.2 一卡通应用系统安全建设方案设计

4.2.1 按安全等级保护2.0的要求进行物理安全加固设计

物理安全加固包括：物理访问控制、防盗窃和防破坏、防火、防水、防潮、电力供应和电磁防护。具体方案如表6所示。

4.2.2 按安全等级保护2.0的要求进行网络安全加固设计

采用防火墙对一卡通重要节点和网段进行边界保护，对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，防范各类攻击行为，杜绝越权访问，抵御可能的 DOS和 DDOS攻击。具体措施如表7所示。

表6

表7

表8

4.2.3 按安全等级保护2.0的要求进行安全审计设计

安全审计又可分为网络安全审计、一卡通业务审计、一卡通数据库审计。具体的安全建设措施见表8。

4.2.4 入侵防护与恶意代码防范设计

由于防火墙并不擅长处理应用层数据，因此各种混合攻击多借助病毒的传播方式进行。建立一套更完整的安全防护体系进行多层、多手段的检测和防护十分必要。可在普洱学院一卡通应用网络中，应采用入侵检测系统，提供边界隔离、实时主动入侵防御阻断及病毒过滤。

如图1所示，可以在普洱学院互联网边界防火墙设备之前部署AV防病毒网关，对夹杂在网络交换数据中的各类网络病毒进行过滤，还可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件等各种广义病毒进行全面拦截。

4.2.5 网络设备防护设计

通过用户名/密码和行业数字证书相结合的方式，对登录网络设备用户进行身份鉴别。在交换机、路由器上配置访问控制列表，对管理终端登录地址进行限制。在防火墙等网络安全设备上对管理终端登录的IP地址进行限制。

在一卡通应用系统安全管理域中部署堡垒机，以双机容错方式旁路部署在一卡通系统前端。加强一卡通运维的内部业务操作行为监管，实现自然人对资源的统一授权，对运维操作进行记录、分析、展现，帮助一卡通信息管理内控工作实现事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。

4.2.6 按安全等级保护2.0的要求进行应用安全加固设计

应用安全由身份鉴别、访问控制、安全审计、剩余信息保护、通讯完整性、抗抵赖、软件容错、资源控制组成。具体的安全建设措施见表9。

4.2.7 一卡通应用系统安全管理体系加固设计

表9

图2

图2

4.2.7.1 一卡通应用系统安全管理体系加固建设目标和原则

安全管理体系加固的设计目标是通过实施信息安全管理体系，使普洱学院一卡通管理从“无序、零散、被动”的风险补救行为转变为“系统、科学、连贯、主动”的风险驾驭状态。

一卡通应用系统安全管理体系的建设原则，首先是要适度公开，要实施信息安全管理体系必须保证所有人员都能了解信息安全战略、自己的信息安全职责、以及与己相关的信息安全制度、规范、流程等的内容和查询途径。其次是逐步完善，一卡通安全策略体系应当依照“统一规划、分布实施”的原则，建立有效的更新机制，逐步完善。最后是合规性，一卡通应用系统安全管理体系是将以文件的形式体现，因此必须保证其符合各项相关的法律法规。

4.2.7.2 一卡通应用系统安全管理组织架构设计

在普洱学院现有信息安全组织的基础上，借鉴业界通用的信息安全组织模型，同时考虑普洱学院安全组织建设的关键因素，提出一卡通应用系统安全组织方案设计，如图2所示。

图2所示模型明确了信息安全相关主要职能及其相应的关系，在具体进行安全组织建设时，应将模型与普洱学院具体的部门和机构设置进行比较，落实相应的角色。

4.2.7.3 一卡通信息安全组织规划设计

（1）在普洱学院信息安全组织结构中建立明确的信息安全管理机构作为一卡通应用系统信息安全工作规则的制定者和决策推行者（实践中单独为一卡通应用系统建立组织成本太高）。在实际工作中，普洱学院信息安全组织管理机构建立了3个职能小组来负责管理一卡通和其他应用系统的信息安全工作：信息安全管理小组主要负责组织开展一卡通信息资产与风险评估相关工作，并向决策机构定期汇报。安全运维小组对一卡通应用系统运行的安全设备进行设备配置管理、安全策略应用、安全事件处理、安全应急响应等。信息安全审计小组：落实信息安全审计职能。

（2）建立外部信息安全专家支持，考虑到信息安全工作的专业性，在普洱学院信息安全决策机构的管理下，以及管理机构的指导下，部分信息安全咨询及执行工作（如灾难恢复操作、安全事件处理等）可由专业的外部信息安全专家给予相关支持，从知识和能力上为普洱学院一卡通应用系统信息安全建设提供有效的支持。

4.2.7.4 一卡通应用系统安全运维体系加固设计

普洱学院一卡通应用系统安全运维体系的设计依托普洱学院信息安全组织架构的设计，根据工作内容的不同采用层次化结构进行划分，用以明确岗位职责及日常运维内容，如图3。

5 结语

高校一卡通应用系统由于具有货币电子化的特性，历来是各类不法份子关注的目标，因此一卡通应用系统的安全等级保护显得尤为迫切。随着技术的进步，新的风险会不断出现，一卡通应用系统的安全等级保护的严密性也必将呈现出一个与时俱进，螺旋上升的过程。