乜大伟

（山东医学高等专科学校 山东省临沂市 276000）

随着网络技术、计算机技术以及数据库技术的成熟发展，学校在学生的管理理念和方式上也发生着深刻的改变，学校也逐步认识到只有在不断将管理信息化和智能化才能促使学校的发展迈向现代化。目前，很多学校在“校园一卡通”项目建设中取得了很好的成果，并逐步实现学校管理的数字化，坚持高起点、高标准以及高质量统一的组织协调，项目专项管理以及整体规划设计等标准化建设。“校园一卡通”主要借助IC 卡的功能实现对数据的采集，进而建立一个个人数据管理应用平台，并且集证件管理、档案管理、考勤管理以及机房管理等一体化的综合管理功能，真正实现一卡在手，服务都有，也是实现校园现代文明建设和校园管理水平的一个重要标志。这一系统的应用也促使学校各项工作能够安全。[1]平稳开展，正因为校园一卡通有着如此多的功能，这也促使其安全性不断被关注，本文就校园一卡通的安全性进行分析，并提出了有利于保障其安全的措施，以期能够充分在保障安全的基础上将其功能充分发挥出来。

1 校园一卡通信息安全性分析

1.1 建设系统安全

校园一卡通的使用对象包含了教师、学生以及商户主体等，并且其再使用的过程中将涉及到很多敏感的交易数据，因此，要保障其安全显得至关重要。一般来说，一卡通系统数据安全保障主要集中在访问与存储两个环节，只有通过授权才能访问到用户的相关信息。一般来说，用户只有得到权限后方可进行使用与充值操作，一旦在这个环节中用户的口令设置过于简单，或者对自身权限的设置操作不当，就会遭受到非法入侵，用户自身的财务信息将可能被盗取。在储存过程的安全主要表现在数据库安全管控上，备份管理主要对日常内容进行备份，在遇到突发情况时，操作系统将使存储的数据丢失。另一方面，还需要做好一卡通的终端安全的保障措施，针对一卡通终端，其内网将与消费平台实现链接，借助终端操作，就能实现所有业务的实现，并借助内网及时对软件内的病毒软件进行更新和查杀，确保运行过程中的数据安全。如果相关工作人员并未及时对软件进行更新，那么很有可能导致内网在拷贝信息用户时遭受病毒的入侵，以APP 木马为例，其是造成整个网络瘫痪的罪魁祸首，进而造成校园网络运行的不稳定。可见，消费终端能够对一卡通中涉及的信息与消费金额作读写操作，直接与系统的安全性紧密相关。

1.2 服务器安全

校园一卡通的核心服务器主要是一卡通身份认证服务器与核心服务器，两者都采用了高性能的服务器，能够实现双机热备。即其中一台服务器停止运行，能够有销切换另一台服务器继续工作，进而实现整个一卡通服务西戎都能够正常、稳定运行。由于一卡通服务器机房为专用机房，需要运用UPS 断电 保护，并且需要24h 恒温，还需要做好机房的气体消防以及防静电处理等。

1.3 一卡通数据安全

一卡通数据安全主要包含了数据的传输安全和系统的数据安全。在对数据进行传输时，为了有效保障传输的业务数据安全就需要借助DES 采用动态密钥对其进行加密处理，该动态密钥施行每日一变的原则，这样也能确保数据在传输的过程中及时被非法窃取也能保证其安全性，校园一卡通主要采用SUN Solaris 操作系统以及Oracle 作为整个系统后台中心的数据库。其中Oracle10.0 数据库已经被广泛应用于各大金融、证券以及邮电业务处理系统，进而保证该行业内部数据信息的安全性与可靠性，并且其安全级别达到了美国国防部要求的安全标准的C2 级，为了有效强化其在这个过程中的安全等级，还可以通过以下措施进行保障：

（1）强化做好登录过程中的授权管理。任何涉及到维护以及直接或者间接访问与数据库相关操作的授权和认证，如果未通过授权的人员将不能进入且进行任何的操作。

（2）合理运用磁盘镜像技术。为了确保数据库存储安全，就需要依靠磁盘镜像技术对数据实时备份，并且在遇到原始数据错误时，会对数据进行备份操作，并实现对原始数据的修复功能，进而有效保证了数据储存的安全性。

（3）合理运用双机热备技术。为了有效强化校园一卡通系统的正常稳定运行，防止其在运行过程中突然断定或者发生故障，就需要采用双机热备技术，在一台主机出现故障时，也能促使另一台主立即启动运行，并接管其全部数据进行继续工作。

（4）借鉴大型数据库系统及优秀数据库系统的设计。Oracle大型数据库在很多领域应用并取得了不错的成效，因此在保障校园一卡通系统安全性和可靠性的过程中就需要在设计时进一步借助Oracle 数据库强大的数据处理能力以及数据库的并发功能，在优化了数据结构、提高系统运行效率的同时也能有效保障整个系统在运行中的安全性。

（5）运用先进的数据库备份技术。每一个成熟的系统在运行的过程中都需要有一个完备的数据库备份机制，这样就能结合系统实际运用物理和逻辑及诶和的形式进行数据的混合备份机制，既能保证对整个数据库整点做某一时间点的完全恢复，也能对单张数据表中的数据进行恢复。[2]

1.4 一卡通卡片的安全性

一卡通的卡片在设计时都是坚持一卡一户，一卡一密的原则，这样就能有效防止其被盗用和滥用。一般将一卡通卡片内的数据区分为一卡通数据去和个性化子西戎数据区两大类，这样就能双重保证数据的安全性，并且一卡通在出厂时，还可结合出厂加密算法生成密钥，这样就能有效防止伪卡的应用。校园一卡通在使用前首先就需要每个用户进行注册，进对出厂密码进行验证，并结合持卡人自身信息对密钥进行修改，再得出读写控制密钥。写入到卡片内，整个一卡通内部的存储都将采用128 为加密算法进行相关的加密操作。

1.5 一卡通使用中的安全性

各类IC 卡读写终端设备在校园内广泛分布，这也为破坏者攻击系统提供了条件，因此，为了保证一卡通使用安全，就需要有效防止一卡通在使用过程中能够避免可能存在的各种攻击和消费欺骗。校园一卡通其终端设备有防伪卡功能，并采用卡与设备的双向认证，对于系统不能识别以及未注册的卡列入黑名单。现阶段，应用广泛的POS 机对于每一笔教育都有明确的记录流水号，所有交易的账目都有详细的校验功能，POS 在实际运用时采用的是双CPU 机制，即一个负责读写卡，另一个负责数据的通讯和记录，并协助双FLASH 数据存储的方式。另外，校园一卡通使用终端与整个管理系统都将保持信息互换，并且一卡通专用网络存在不畅的问题时，一卡通系统具有数据缓存功能，能够在短暂等待后继续运行。

1.6 持卡人安全防范意识

校园一卡通在校园内广泛推广的前提就是要保障持卡人的利益，同时也是考核一卡痛安全性的重要举措，校园一卡通可通过如下方式保障持卡人权益：

（1）首先，学校方面就需要在网络发布一卡通的使用方法和注意事项，并在一卡通发放的过程中向每一位学生发放带有说明书的卡片，并做好学生的指导阅读，强化每一个学生对校园一卡通的认识和重视程度。

（2）学生在拿到校园一卡通后，第一件事情就是要进行设置，并且当一次或者累计一天内的消费超过一定额度时，系统就会自动要求持卡人在交易时输入持卡密码。这样就算持卡人将一卡通丢失后未及时进行挂失的损失降到最低。

（3）设置校园一卡通挂失的实时生效，当持卡人不小心将一卡通遗失后，可以运用电话语言、圈存机以及卡务中心等途径进行挂职，并且一旦挂失，那么一卡通的使用终端将会立即停止运行。

（4）强化做好校园一卡通使用监控，学校在较高频率的一卡通场所都安装了监控器，并且对于任何威胁一卡通安全使用的疑虑，学生都可到卡务中心对消费流水账进行打印，还可借助调取监控录像的形式，充分验证一卡通在校园使用中的安全性。

2 有利于提升校园一卡通信息安全性的策略

2.1 强化做好数据保护

首先，应理清校园一卡通用户的分类，并严格按照用户使用权限进行划分，并对于不同权限的用户在进行操作和查询其功能时都将赋予不同的权利。结合目前学校一卡通使用情况来看，主要管理类别为卡充值、卡处理、卡注销以及系统管理四类。卡充值主要赋予了对校园一卡通进行充值和对充值信息进行查看的权限；卡处理则主要是卡充值后，能够对其充值的金额进行修正的权限；卡注销则是只有用户在确定自己卡遗失并办理了挂失后相关工作人员才能行使卡注销权利，同时对于校园毕业生也将对其校园一卡通形势注销操作。系统管理还具有较多的操作权限，对于卡的充值和处理权限能够有效进行分配，与此同时，学校方面还可加大对一卡通的管理工作，强化用户在使用数据库时运用密码进行登录，并及时对系统的设置和数据口令更改，有效确保密码设置对安全性保障，防止暴力破解进而对密码产生的弱化作用。此外，在对其进行存储时可采取共享磁盘的双机主构建服务器是实现对数据安全的保护，且两台服务器将组成数据库服务器，并共享一个磁盘阵列，在此方式下，主服务器响应数据服务，备用服务器处于一个激活状态，一旦主服务器发生故障，则双机热备软件立即切换到备用服务器上，并从Standby 状态快速转换到Active 状态,继续为服务器提供可处理的数据服务，也能有效保证服务的连续性。[3]由于数据都是存储在共享的磁盘阵列上，实现数据与数据库服务的分离，保障数据的安全存储。在交易数据日常备份下，由于其信息量大，但是有变动小等特点，按照相关备份策略也应按照学期将其自动移动备份。

2.2 强化使用终端的安全控制

校园一卡通使用终端是面向全校师生的交互终端，并且其会经常涉及到教师和学生的相关个人信息，也会产生数据的拷贝，但是在这个过程中很容易感染病毒，影响整个系统的运行。因此，学校就需要结合内网特性，合理选择一台内网服务器安装360 控制中心，实现对整个内网的监控，确保各个使用终端的安全，并能实现全部网络的检查，补丁更新以及病毒的查杀。这样就能简化了对每一个终端重复性的操作，确保每个终端都能够在安全的网络环境中运行。POS 消费终端是数量最多的终端，且对于校园一卡通的重复频繁读写，要时刻确保数据的正确性，这也就对使用终端的安全性和稳定性提出了更高的要求。一方面，加大对读写电路的改进，增强断电读写能力，降低数据读写错误。另一方面，增加设备数据备份功能，保证对一卡通金额的正确度读写，在POS 终端增设UPS 供电，保证其在断电情况下也能利用短时间供电实现对数据的正确读写。

2.3 强化制度建设，做好网络培训

为进一步完善校园一卡通各项管理制度，就需要建立一种维护记录制度，并对出现的各种故障进行记录，相关管理人员也能借助这部分数据内容研究和分析出其在运行中可能存在的潜在安全威胁，并结合实际对其进行及时的改进。同时，对于系统要定期由商家对其进行升级，并就每次在使用中学生和教师提出的需求商家都要给予及时的回应，并做好记录进行存档。一卡通系统所面向的用户为所有的教师和学生，其自身的安全意识也是整个一卡通系统在运行过程中不容忽视的一个重要环节。一卡通用户自身安全意识薄弱也将给整个系统使用安全性带来影响，基于此，学校方面就需定期对全校师生进行安全培训指导，提高其安全防范意识，具体培训内容为：

（1）一卡通系统基本的安全知识培训，能够有效提升全校师生一卡通安全使用的基本认识。

（2）对全校师生进行网络安全知识培训，使其养成良好的上网习惯，增强自身对计算机的使用和维护能力，降低病毒入侵的风险。

（3）针对可能出现的网络异常，要使其有识别的能力，并对出现的相关威胁安全的问题及时报告给相关技术人员。

3 总结

总之，校园一卡通作为建设数字化校园的核心内容，其在设计、使用过程中的安全性和可靠性将直接影响着使用者的信息和财产安全，因此，保障一卡通的安全性具有十分积极的意义。本文在分析一卡通安全性的基础上，也提出了强化做好数据保护、强化使用终端的安全控制以及强化制度建设，做好网络培训等策略，进而有效保障了校园一卡通在哦实际运行中的安全。