|
|
馬上注冊�,結交更多好友��,享用更多功能���。
您需要 登錄 才可以下載或查看�,沒(méi)有帳號���?注冊
x
隨著(zhù)網(wǎng)絡(luò )技術(shù)����、計算機技術(shù)����、數據庫技術(shù)以及智能卡技術(shù)的發(fā)展與成熟�,各學(xué)校原有的消費和管理模式已不能適應新的發(fā)展要求����,取而代之的是校園一卡通系統��。所謂校園一卡通就是利用IC卡實(shí)現數據采集而建成的校園個(gè)人數據管理應用平臺�,集證件管理���、檔案管理��、考勤管理�����、餐廳管理��、公寓管理�、機房管理及其他多種管理服務(wù)功能于一體�,真正實(shí)現了”一卡在手�����,走遍校園”的目的����。
校園一卡通系統是數字化校園的基礎工程��,是數字化校園系統的重要組成部分��,也是教育信息化建設的基礎支撐點(diǎn)之一�����。校園一卡通系統涉及到大多數在校學(xué)習���、工作和生活的人員���,并為學(xué)校的教學(xué)�����、管理���、門(mén)禁�����、餐飲及其它公共服務(wù)提供身份證明和支付手段��,所以對安全性有非常高的要求�����,可以說(shuō)���,安全性是校園一卡通系統的生命線(xiàn)����。
本文根據大連醫科大學(xué)校園一卡通建設的實(shí)踐經(jīng)驗�����,對校園一卡通系統的安全性進(jìn)行了分析�。
1 網(wǎng)絡(luò )安全
在數字化校園的局域網(wǎng)中���,用戶(hù)量大��、病毒多而且擴散快��,而一卡通系統對網(wǎng)絡(luò )要求比較高���,如建立在局域網(wǎng)上���,那么勢必導致較高風(fēng)險�����,所以����,大連醫科大學(xué)采用安全系數較高的一卡通專(zhuān)網(wǎng)����,(校園一卡通網(wǎng)絡(luò )結構示意圖如圖所示)保證一卡通系統中數據只在本網(wǎng)絡(luò )中傳輸�����,并屏蔽其它網(wǎng)絡(luò )的干擾��。
校園一卡通結構示意圖
2 服務(wù)器的安全
一卡通系統的核心服務(wù)器即一卡通身份認證服務(wù)器與核心數據庫服務(wù)器均采用高性能的HP服務(wù)器(如圖1)����,并配備大容量的磁盤(pán)陣列�、磁帶機和uPS���。兩臺服務(wù)器同時(shí)連接磁盤(pán)陣列柜����,且兩臺服務(wù)器之間通過(guò)心跳電纜進(jìn)行連接���,通過(guò)雙機熱備軟件完成監控和接管準備��,以保證數據的安全性��;磁帶與服務(wù)器相連�,一方面定期數據備份�,另一方面采用異地備份方式以備災難恢復���。
3 一卡通數據安全
一卡通數據安全包括數據存儲的安全和數據傳輸的安全���。
3.1數據存儲的安全性
在系統中數據主要存儲在以下三個(gè)載體中:卡片�、后臺數據庫�����、交易終端����。這三個(gè)載體的數據存儲安全是整個(gè)系統數據存儲安全的關(guān)鍵�。
3.1.1卡片的安全性卡片采用一卡一密����、一區一密的加密機制���,防止被盜濫用���。我們學(xué)校采用的是PHILIPs公司的非接觸式IC卡(S70)�,該卡片本身具有非常高的安全性����,Mifare 0ne卡物理破譯時(shí)間長(cháng)����������?ㄆ32個(gè)扇區�,前16個(gè)扇區為一卡通數據區��,后16個(gè)扇區為指紋信息存儲區�����。在出廠(chǎng)時(shí)通過(guò)加密算法生成出廠(chǎng)密鑰�,防止偽卡的應用�����。在使用之前首先要注冊���,注冊時(shí)先驗證出廠(chǎng)密碼��,然后根據持卡人信息生成卡片密鑰�,根據加密算法得出卡片的讀寫(xiě)控制密鑰寫(xiě)入卡內���。任何試圖偽造卡片或更改卡片中的數據都是徒勞的���。
3.1.2后臺系統的數據安全一卡通系統采用suN Solaris操作系統以及Oracle 作為整個(gè)系統的后臺中心數據庫����。Oracle 10.0數據庫平臺被廣大金融�、證券��、郵電業(yè)務(wù)處理系統所采用其安全性可靠����,達到美國國防部安全標準c2級�����。為了達到更安全的目的���,還采取了以下措施:①登錄授權管理�。任何涉及到維護及直接或間接訪(fǎng)問(wèn)數據庫的操作都必須通過(guò)相應的授權認證����,未通過(guò)認證的人員是無(wú)權進(jìn)行任何操作的�;②采用磁盤(pán)鏡像技術(shù)���。為保證數據存儲的安全����,采用磁盤(pán)鏡像技術(shù)使所有的數據都能進(jìn)行實(shí)時(shí)的備份�����,如果遇到原數據錯誤���,會(huì )立即切換到備份數據��,并修復被損數據�;③采用雙機熱備技術(shù)��。為了保證系統運行更加安全��、可靠�����,我們選擇雙機熱備技術(shù)�,這樣當一臺主機出現問(wèn)題的時(shí)候���,另一臺主機會(huì )立即啟動(dòng)�,接管全部工作���;④ 大型數據庫系統及優(yōu)良的數據庫設計���。采用0racle等大型數據庫系統�,為進(jìn)一步提高數據處理能力�、數據庫并發(fā)功能��、數據的安全等各個(gè)方面提供了前提�����,同時(shí)在數據庫的設計上引入了很多先進(jìn)的技術(shù)��,優(yōu)化了數據結構����,在提高效率的同時(shí)也提高了安全性��;⑤安全先進(jìn)的數據庫備份技術(shù)�����。建立良好的數據庫備份機制�,例如可以根據系統的需要采用物理與邏輯相結合的混合數據備份機制���,既可以對整個(gè)數據庫做截止某一時(shí)間點(diǎn)的完全恢復��,也可以對單張數據表的數據進(jìn)行恢復����。
3.1.3交易終端POS機的數據安全為了確保POS機數據存儲的安全�����,每臺POS機有大量的存儲空間��,可以保證17000筆交易記錄�,260000個(gè)黑名單��,確保系統出現重大故障脫機使用時(shí)間���,并且在內部的數據存儲器空閑存儲空間不多時(shí)��,POS機會(huì )自動(dòng)產(chǎn)生提示信息����;在內部的數據存儲器已經(jīng)存滿(mǎn)時(shí)����。POS機會(huì )自動(dòng)報警并拒絕消費��,保證已經(jīng)存儲的數據安全可靠���。存儲脫機交易流水信息時(shí)�,在每條記錄中增加通過(guò)加密算法生成的校驗碼��,以識別對數據存儲器的非法修改��。
3.2數據傳輸的安全性
一卡通數據的傳輸都是通過(guò)與外界隔離的專(zhuān)有網(wǎng)絡(luò )來(lái)完成的�����。在數據傳輸時(shí)對傳輸的業(yè)務(wù)數據通過(guò)DES用動(dòng)態(tài)密鑰進(jìn)行加密����,該動(dòng)態(tài)密鑰是每日一變�,所以即使通訊包被非法截獲����,截獲者也是不可破解����,更得不到正確的數據��。 同時(shí)為了防止傳輸中的數據丟失�,在交易終端與后臺間建立了多重對帳體制�,即在交易終端上傳交易記錄后���,還要將上傳的總數���、脫機交易明細����、聯(lián)機交易明細再與后臺進(jìn)行對帳�,來(lái)最大限度地防止數據的丟失�����。
4 終端設備的安全性
POS機處于系統的最前端�����,直接面向持卡人和商戶(hù)的終端設備�,其穩定性和可靠性直接關(guān)系到一卡通系統的安全與否����,所以在我校的一卡通系統中����,終端設備均具有防偽卡功能�����,卡片與設備進(jìn)行雙向認證�,系統不識別未注冊的卡或者其他系統發(fā)行的卡�、以及被列人黑名單的卡和無(wú)權限的卡都不能使用��。對于POS機每筆交易明細記錄都有流水號�����,所有交易帳目均帶校驗功能����。POS機采用雙CPU機制(一個(gè)負責讀寫(xiě)卡�����,另一個(gè)負責數據通訊)和雙FLASH數據存儲方式��;另外終端機與管理系統保持信息互換����,在一卡通專(zhuān)用網(wǎng)絡(luò )不通的情況下����,具有數據緩存功能����,保證服務(wù)繼續進(jìn)行����;每臺終端POS機都采用TCP/IP端口號�����,便于設備的監控和管理����。
圈存機是另一個(gè)終端設備�,它的核心任務(wù)是將持卡人的銀行卡賬戶(hù)中的金額轉移到持卡人的校園卡賬戶(hù)和校園卡中�����。由于圈存操作的時(shí)間較長(cháng)��,為防止因持卡人在操作過(guò)程中從圈存機取出校園卡����,圈存機應在感應到校園卡被取出后立刻中止整個(gè)操作���。如果出現因校園卡在圈存過(guò)程中被取出而造成的持卡人銀行卡金額已扣除�����,但是未寫(xiě)人校園卡的情況����,圈存機將自動(dòng)報警并產(chǎn)生相應的操作記錄�,以便管理人員將已扣除但未增加的金額加到持卡人的校園卡中�����。協(xié)議連接���,設備具有唯一的內部地址和端口號��,便于設備的監控和管理����。
5 配置防病毒服務(wù)器��。裝載瑞星網(wǎng)絡(luò )版殺毒軟件和防火墻
瑞星網(wǎng)絡(luò )版殺毒軟件能兼容Windows 9x/ME/NT/2000/XP及UNIX等多種操作系統���。它具有應用特征值掃描����、行為模式分析(BMAT)和腳本判定(SVM)這三重查殺毒引擎���。當任何一個(gè)終端染毒�����,該軟件都會(huì )配合網(wǎng)絡(luò )設備自動(dòng)隔離進(jìn)行清除病毒�����,清毒后重新接入網(wǎng)絡(luò )����;防火墻只允許核準了的合法的數據包進(jìn)出�,對宏病毒��、特洛伊木馬��、黑客程序等都會(huì )在不影響網(wǎng)絡(luò )性能的情況下對網(wǎng)絡(luò )進(jìn)行全面地實(shí)時(shí)監控����,監測各種病毒入口���,提供遠程病毒報警手段��,確保用戶(hù)在瀏覽網(wǎng)頁(yè)時(shí)不被惡意網(wǎng)頁(yè)病毒干擾和破壞���,從而提供對內外部攻擊和錯誤操作的實(shí)時(shí)保護��。由此可見(jiàn)����,瑞星網(wǎng)絡(luò )殺毒軟件功能很強�����,且版本可隨年限升級��。
6 持卡人安全防范意識
保障持卡人利益是考核一卡通的安全性的一重要參數�����。我校一卡通系統從以下幾個(gè)方面做到持卡人的利益保障��。
①首先在網(wǎng)上發(fā)布了一卡通的使用方法及注意事項����;在發(fā)卡同時(shí)向每位同學(xué)發(fā)放了帶有使用說(shuō)明的卡片���,加強同學(xué)對使用一卡通的認識及重視程度�;②根據持卡人設置����,當一次消費或一天累計消費超過(guò)一定額度時(shí)��,系統將啟用個(gè)人消費密碼����。這樣也保證了丟失卡且未及時(shí)掛失的同學(xué)損失降為最����;③掛失實(shí)時(shí)生效:掛失可分為電話(huà)語(yǔ)音掛失�、圈存機掛失����、卡務(wù)中心掛失�、網(wǎng)上掛失����。一經(jīng)掛失���,在各個(gè)終端上立即生效�;④ 學(xué)校在一卡通使用率高的場(chǎng)所都安裝了監控器���,如有任何關(guān)于一卡通使用的疑慮都可以帶著(zhù)一卡通中心打印的消費流水單去監控中心調出對應的錄像�����,充分保證了校園一卡通的安全使用���。
隨著(zhù)校園一卡通系統的不斷向前發(fā)展��,新的安全問(wèn)題將會(huì )不斷出現��,安全矛盾日益激化���,用戶(hù)卡���、終端設備的安全隱患更加突出�,我們只有不斷發(fā)現問(wèn)題�,解決問(wèn)題���,才能讓一卡通系統得到更廣泛的應用���。
|
|
IP卡
狗仔卡
收藏
支持
反對
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
