“数字化校园一卡通”在学校使用中的安全思考

　　在以 “科教兴国”为战略背景的形势下，信息技术对教育系统的改革产生了深远的影响，使得高校数字化校园建设势在必行。一种高效、安全的校园服务信息化系统悄然来临，特别是在磁卡的基础上开发的各类社会化的应用与服务，即在学校范围内，凡有现金、票证或需要识别身份的场合均采用卡来完成，开辟了数字信息化校园的整体设计思想，提出了“多网、一库、一卡”为主线的设计构思，不仅具备消费系统、管理功能，还要与学校现有的管理信息系统结合起来，使其具有身份识别功能，建立统一身份信息数据中心。同时“一卡在手，走遍校园”的总体思想体现了网络时代数字化校园理念已形成，使学校在行政、教学、科研等管理方面走上网络化、智能化、科技化的道路。

　　目前“数字化校园一卡通”的关键问题主要涉及交易时卡片安全、网络安全和数据安全，可以说，安全性是校园一卡通系统的的生命线，所以必须要把安全放在首位。由于“数字化校园一卡通”系统既要提供校内消费的金融平台，又要同步提供数字化校园的数据平台，为此对每一道安全细节都要深思熟虑，思考能不能防止、要不要防护，该如何避免相关安全隐患等一系列问题，通过技术和管理手段，去构建一个立体的、完整的安全防范体系，确保系统能够高效、安全、稳定、可持续地运行。下面将具体地加以分析。

　　1 “数字化校园一卡通”的结构体系

　　目前数字化校园一卡通系统都遵循“一体化、两级体系、三层结构”的原则进行统筹规划与建设，不断加强网络系统的可用性和高安全性，采取双机热备份方式确保整个系统的高可靠性、高安全性、数据不丢失和系统不瘫痪，从而保障数字化校园一卡通系统的可持续运行。

　　该体系中的用户单位主要分持卡人、商户、学校财务、银行;四者间的业务来往和资金运转决定了校园一卡通的功能和使用价值。按照系统设计思路，着眼于各院校的长远发展和需求，组建以校园网络为依托，实现校园内各种商务消费和身份识别的一卡通用;其中客户消费服务系统和身份识别系统都借助计算机、校园网、终端等设备，以卡片为载体，实现信息化管理系统;网络线路采用专网，使内部信息和数据不受校园网的影响。在结构设计上，采用层次化模型结构，以“千兆主干、百兆接入”来保证网络的数据传输量的稳定;采用星型网络结构，并以一卡通网关作为集线器来连接终端设备，以TCP/IP主干网作为网关的另一端接入，该网关具备智能管理功能，分担着大量上位机的工作，具有可靠性和通信效率。在安全体系上分后台数据存储层、中间通讯隔离层和前后业务应用层，其中以后台数据存储层为核心，中间通讯隔离层为桥梁，前后业务应用层为服务，并且此项系统的安全设计不包括卡片、网络和数据中心的安全等等。

　　一卡通的系统平台由前、后台管理业务系统组成。前台管理业务系统主要包括用户综合业务管理系统、商户综合业务管理系统、会计账务管理系统和人事管理业务系统;后台管理业务系统主要包括系统配置管理业务系统、终端前置管理系统和圈存前置管理系统组成。

　　2 “数字化校园一卡通”的卡片安全

　　如何确保“一卡通”的私人信息数据得以安全保护和分散使用，这是一个急需解决的问题。我将通过以下四块内容，逐步分析该磁卡的安全性和使用性。

　　2.1 身份信息识别功能模块 包括卡面信息和隐藏卡内信息。它集持卡人姓名、照片、卡号、学生证、工作证、借书账号、身份证明、医疗证、门禁等证件信息于一体;在刷卡时，部分信息肉眼可识别，部分信息可隐藏使用，有利于私人信息和资料的不对外公开。
　　2.2 划分客户消费服务系统的区域信息数据 客户消费服务系统功能模块包括很多子功能模块;如收费模块、综合管理模块、综合查询模块、学籍管理模块、图书借阅模块、门禁模块、考勤模块、银行系统模块等，分别由学校一卡通中心牵头，联合财务处、学生处、招生就业办公室、教务处、图书馆、网络管理中心、人事处、后勤服务公司等相关部门，根据需求各自独立核算。因此必须独立地划分“一卡通”磁卡里储存的几个应用区域，分别用于储存各自独立部门的信息数据，这样有利于各主管部门职责明确、条理清晰，哪环节出了问题都有据可依。
　　2.3 防止卡片被伪造 必须建立一套完整的密钥管理体系，降低安全风险，保证卡片的安全。密钥的产生、储存和发行都需要经过安全严格的程序，并在机具中进行;发行后的卡片，其密钥信息是不可读取的，卡片内的所有敏感数据的读写都须经过密钥的验证。因此密钥体系的实施可以杜绝伪造带来的危害。
　　2.4 加强“一卡通”卡片信息读写系统的“密钥认证”，通过“一卡多密、密钥分离[2]”来实现卡片的安全。根据卡片划分的不同应用区域，采用“一区一密”的加密机制，使各分区拥有各自不同的密钥管理，保证各自应用领域有多层密钥体系，各个密钥完成各自的功能模块，从而为密钥的管理建立科学的安全机制。首先这些密钥都分散采用3DES和单向算法，在数据加密时将加密的数据储存在磁卡中，并采用数据冗余校验来保证数据不被篡改，这样有利于保护“一卡通”卡内信息和个人证件信息的分离与管理。其次卡内也可以采取PIN保护，使消费额超过一定额度时就需要输入个人密码，防止恶意的消费。

　　3 “数字化校园一卡通”的网络安全

　　数据共享、网络互连，是整个一卡通系统运转的关键所在。因此一卡通系统大多以数据库为依托，以校园网为支撑进行统筹规划建设;校园网的网络环境(如路由器、交换机及网络线路等)必须安全稳定。

　　3.1 网络安全 为确保数据传输安全，学校中心数据库服务器、POS机、语音服务、银校转账前置触摸屏等专用设备应铺设有冗余的专网线路，专网线路和各业务部门采用虚拟专用网(VLAN)相连，从物理上与外界隔离，也可通过VLAN虚拟局域网或软硬件防火墙与其他网络进行隔离。对无法实现专网线路的场所，在原有网络环境的基础上，通过VLAN手段和基于源IP地址和目的IP地址的访问控制列表来实现对用户及一卡通系统中数据的访问限制[3]。

　　用户权限的划分可以杜绝非法用户的登入和访问，以免造成一卡通服务器内的信息流失。因此在服务器外围出口处应设立防火墙，采用防火墙隔离技术，通过校内查询，检查进出专用网络的信息是否被准许或用户的服务请求是否被授权，以阻止非用户进入和对信息资源的非法访问;同时划分好用户权限和口令配置，使其得到相应的使用范畴;并且每天对服务器、防火墙及日志进行认真复查，看有无异常状态，随时做好数据备份和记录。

　　网络病毒已经成了网络时代的公害，其传播速度更快，伪装更巧妙，破坏力更强，攻击更加频繁。在“数字化校园一卡通”系统中，往往要通过其他终端设备联接校园网，因此网络病毒防范也就成了系统不可或缺的一部分。必须购买正版网络防病毒产品，以提供稳定的网络防护。同时管理人员也要加强自身的学识修养，提高技术，与时俱进。

　　3.2 数据传输的安全 一卡通系统中有许多基础及核心功能用Web Service来实现网络数据传输，以体现三层架构的优越性，大大增强了系统的伸缩性和重用性，更易于扩展和维护。但是这同时也带来了安全上的隐患。Web Service是一种分布式的组件，没有安全措施的情况下在Internet上发布，是相当危险的;由于对外提供统一的接口，在外部调用时， 只要一方知晓接口属性就可以利用Web Service来提供其功能，因此要保证一卡通系统的安全性，必须保证Web Service的数据传输安全。具体分三方面对数据传输的安全加以阐述。

　　3.2.1 卡片与机具间的数据传输安全，可采用CA认证方案，使X.509数字证书能很好地保证其安全性。另外，接入一卡通系统的应用系统，应采用卡片EKey加密完成身份认证、数据安全传输和数据安全存储。因为密钥存储在EKey卡片中，由加密卡内置的加密算法实现敏感数据的硬加密。并且EKey卡片加密必须通过国家密码管理委员会认证的硬件加密产品，支持DES/3DES/MD5等加密算法，支持RAS1024bit、ECCl60bit/l92bit公钥算法，才行之有效。这样有利于卡片和机具间传递的数据经过加密算法加密后，才不被破解、不被篡改，有效保证网络链路中数据传输的安全。
　　3.2.2 数据包的传输应引入数据加密技术，由于密钥对原始数据进行特定的加密运算后得到一个加密校验数据域，在传输中如果有人篡改了数据，将导致数据到达接收端后是无法通过校验的。
　　3.2.3 在交易终端与后台交换系统间应建立多重对账机制，防止传输中的数据丢失。由于在交易终端上存有交易记录，应将上传的总数、脱机和联机的交易明细记录与后台操作系统的数据进行比对，最大限度地防止数据信息的丢失。

　　4 “数字化校园一卡通”的数据库安全

　　交换系统和数据库系统的安全传输是整个“数字化校园一卡通”系统有效运行的基本核心，也是一卡通系统使用卡进行通用的重要环节，该环节也是最薄弱的部位。为防止通过入侵系统来破坏工作站数据资产的完整性，保证系统安全、高效、可持续运行，以最大限度地保全持卡人和其他授权用户或收款单位的利益，应结合一卡通系统功能的结构特点进行相应研究与分析，加强以下几方面的安全规划。

　　4.1 交换系统安全 数据传输与交换平台在技术上并不是一个程序包，而是由数据传输与交换系统、应用接入与集成系统、应用支撑平台的数据交换与共享处理单元等多个程序包组成。校园一卡通系统的集成与扩展通过接口实现扩展和集成，同时通过接口供数字化校园其他系统的调用，提供数据级和功能级的扩展服务。

　　交换系统主要有平台交换管理系统和数据库系统组成，其安全性也是重中之重，需要登录授权管理来保证其后台交换系统及数据库的安全。因此任何涉及维护及直接或间接访问数据库的操作，都必须由后台管理员给以相应的授权认证和等级划分，实现某部分的权限自由;未通过认证的人员无权进行任何操作。

　　4.2 数据库安全 一卡通系统的数据库平台连接在校园网主干上，为保证了系统数据库数据一致性和安全性，防止其数据丢失，数据中断、数据无法访问等现象，应建立数据库的安全应急预案，在工作管理中多加巡视和检查，加强值班制，在技术上可采取以下几种措施和应急机制加以保护。

　　4.2.1 采用磁盘镜像技术：利用磁盘镜像技术使校园一卡通所有的数据都能进行实时备份，一旦发生原数据读写错误，导致数据丢失，将立即切换到备份数据，并对被损数据加以修复，保证校园一卡通系统的数据库安全。
　　4.2.2 采用双机热备份技术：一旦主机出现不可避免的问题时，备用的另一台主机会立即启动响应，并接管全部工作。保证系统更加安全、稳定、可持续正常运行。
　　4.2.3 采用大型数据库系统及优良的数据库设计：为提高数据库处理能力，在保证数据库功能、数据的安全等前提条件下，急需采用ORACLE大型数据库系统。因为只有在数据库设计上导入更多的先进技术、优化数据结构，才能提高效率，提高它的安全性。
　　4.2.4 不断掌握安全先进的数据库备份技术，如对整个数据库做某一时间段的截止恢复，也可对单个数据表的数据内容进行安全恢复;要想建立良好的数据库备份机制，必须根据系统的需求采用物理与逻辑相结合的混合数据备份方式， 总之随着时代的发展，我国信息化校园建设步伐也在不断加大，“数字化校园一卡通”的安全涉及校园生活的方方面面，其关键始终以中心机房和校园网完善的硬件配套设施为基础，以科学的管理为核心，以刷卡机为信息载体，通过其先进的科学技术和强大的软件功能相结合，使之相辅相成统筹发展，实现自动计费管理;其数据量大、涉及面广，数据安全问题倍受关注。针对管理和运作中所遇到的安全问题，以及系统应用领域的不断延伸，新的问题也层出不穷，这一系列问题还有待我们进一步深入研究，采用行之有效的对策和方法，加以完善。