校園一卡通中信息安全技術分析

乜大偉

（山東醫學高等專科學校 山東省臨沂市 276000）

隨著網絡技術、計算機技術以及數據庫技術的成熟發展，學校在學生的管理理念和方式上也發生著深刻的改變，學校也逐步認識到只有在不斷將管理信息化和智能化才能促使學校的發展邁向現代化。目前，很多學校在“校園一卡通”項目建設中取得了很好的成果，并逐步實現學校管理的數字化，堅持高起點、高標準以及高質量統一的組織協調，項目專項管理以及整體規劃設計等標準化建設。“校園一卡通”主要借助IC 卡的功能實現對數據的采集，進而建立一個個人數據管理應用平臺，并且集證件管理、檔案管理、考勤管理以及機房管理等一體化的綜合管理功能，真正實現一卡在手，服務都有，也是實現校園現代文明建設和校園管理水平的一個重要標志。這一系統的應用也促使學校各項工作能夠安全。[1]平穩開展，正因為校園一卡通有著如此多的功能，這也促使其安全性不斷被關注，本文就校園一卡通的安全性進行分析，并提出了有利于保障其安全的措施，以期能夠充分在保障安全的基礎上將其功能充分發揮出來。

1 校園一卡通信息安全性分析

1.1 建設系統安全

校園一卡通的使用對象包含了教師、學生以及商戶主體等，并且其再使用的過程中將涉及到很多敏感的交易數據，因此，要保障其安全顯得至關重要。一般來說，一卡通系統數據安全保障主要集中在訪問與存儲兩個環節，只有通過授權才能訪問到用戶的相關信息。一般來說，用戶只有得到權限后方可進行使用與充值操作，一旦在這個環節中用戶的口令設置過于簡單，或者對自身權限的設置操作不當，就會遭受到非法入侵，用戶自身的財務信息將可能被盜取。在儲存過程的安全主要表現在數據庫安全管控上，備份管理主要對日常內容進行備份，在遇到突發情況時，操作系統將使存儲的數據丟失。另一方面，還需要做好一卡通的終端安全的保障措施，針對一卡通終端，其內網將與消費平臺實現鏈接，借助終端操作，就能實現所有業務的實現，并借助內網及時對軟件內的病毒軟件進行更新和查殺，確保運行過程中的數據安全。如果相關工作人員并未及時對軟件進行更新，那么很有可能導致內網在拷貝信息用戶時遭受病毒的入侵，以APP 木馬為例，其是造成整個網絡癱瘓的罪魁禍首，進而造成校園網絡運行的不穩定。可見，消費終端能夠對一卡通中涉及的信息與消費金額作讀寫操作，直接與系統的安全性緊密相關。

1.2 服務器安全

校園一卡通的核心服務器主要是一卡通身份認證服務器與核心服務器，兩者都采用了高性能的服務器，能夠實現雙機熱備。即其中一臺服務器停止運行，能夠有銷切換另一臺服務器繼續工作，進而實現整個一卡通服務西戎都能夠正常、穩定運行。由于一卡通服務器機房為專用機房，需要運用UPS 斷電 保護，并且需要24h 恒溫，還需要做好機房的氣體消防以及防靜電處理等。

1.3 一卡通數據安全

一卡通數據安全主要包含了數據的傳輸安全和系統的數據安全。在對數據進行傳輸時，為了有效保障傳輸的業務數據安全就需要借助DES 采用動態密鑰對其進行加密處理，該動態密鑰施行每日一變的原則，這樣也能確保數據在傳輸的過程中及時被非法竊取也能保證其安全性，校園一卡通主要采用SUN Solaris 操作系統以及Oracle 作為整個系統后臺中心的數據庫。其中Oracle10.0 數據庫已經被廣泛應用于各大金融、證券以及郵電業務處理系統，進而保證該行業內部數據信息的安全性與可靠性，并且其安全級別達到了美國國防部要求的安全標準的C2 級，為了有效強化其在這個過程中的安全等級，還可以通過以下措施進行保障：

（1）強化做好登錄過程中的授權管理。任何涉及到維護以及直接或者間接訪問與數據庫相關操作的授權和認證，如果未通過授權的人員將不能進入且進行任何的操作。

（2）合理運用磁盤鏡像技術。為了確保數據庫存儲安全，就需要依靠磁盤鏡像技術對數據實時備份，并且在遇到原始數據錯誤時，會對數據進行備份操作，并實現對原始數據的修復功能，進而有效保證了數據儲存的安全性。

（3）合理運用雙機熱備技術。為了有效強化校園一卡通系統的正常穩定運行，防止其在運行過程中突然斷定或者發生故障，就需要采用雙機熱備技術，在一臺主機出現故障時，也能促使另一臺主立即啟動運行，并接管其全部數據進行繼續工作。

（4）借鑒大型數據庫系統及優秀數據庫系統的設計。Oracle大型數據庫在很多領域應用并取得了不錯的成效，因此在保障校園一卡通系統安全性和可靠性的過程中就需要在設計時進一步借助Oracle 數據庫強大的數據處理能力以及數據庫的并發功能，在優化了數據結構、提高系統運行效率的同時也能有效保障整個系統在運行中的安全性。

（5）運用先進的數據庫備份技術。每一個成熟的系統在運行的過程中都需要有一個完備的數據庫備份機制，這樣就能結合系統實際運用物理和邏輯及誒和的形式進行數據的混合備份機制，既能保證對整個數據庫整點做某一時間點的完全恢復，也能對單張數據表中的數據進行恢復。[2]

1.4 一卡通卡片的安全性

一卡通的卡片在設計時都是堅持一卡一戶，一卡一密的原則，這樣就能有效防止其被盜用和濫用。一般將一卡通卡片內的數據區分為一卡通數據去和個性化子西戎數據區兩大類，這樣就能雙重保證數據的安全性，并且一卡通在出廠時，還可結合出廠加密算法生成密鑰，這樣就能有效防止偽卡的應用。校園一卡通在使用前首先就需要每個用戶進行注冊，進對出廠密碼進行驗證，并結合持卡人自身信息對密鑰進行修改，再得出讀寫控制密鑰。寫入到卡片內，整個一卡通內部的存儲都將采用128 為加密算法進行相關的加密操作。

1.5 一卡通使用中的安全性

各類IC 卡讀寫終端設備在校園內廣泛分布，這也為破壞者攻擊系統提供了條件，因此，為了保證一卡通使用安全，就需要有效防止一卡通在使用過程中能夠避免可能存在的各種攻擊和消費欺騙。校園一卡通其終端設備有防偽卡功能，并采用卡與設備的雙向認證，對于系統不能識別以及未注冊的卡列入黑名單。現階段，應用廣泛的POS 機對于每一筆教育都有明確的記錄流水號，所有交易的賬目都有詳細的校驗功能，POS 在實際運用時采用的是雙CPU 機制，即一個負責讀寫卡，另一個負責數據的通訊和記錄，并協助雙FLASH 數據存儲的方式。另外，校園一卡通使用終端與整個管理系統都將保持信息互換，并且一卡通專用網絡存在不暢的問題時，一卡通系統具有數據緩存功能，能夠在短暫等待后繼續運行。

1.6 持卡人安全防范意識

校園一卡通在校園內廣泛推廣的前提就是要保障持卡人的利益，同時也是考核一卡痛安全性的重要舉措，校園一卡通可通過如下方式保障持卡人權益：

（1）首先，學校方面就需要在網絡發布一卡通的使用方法和注意事項，并在一卡通發放的過程中向每一位學生發放帶有說明書的卡片，并做好學生的指導閱讀，強化每一個學生對校園一卡通的認識和重視程度。

（2）學生在拿到校園一卡通后，第一件事情就是要進行設置，并且當一次或者累計一天內的消費超過一定額度時，系統就會自動要求持卡人在交易時輸入持卡密碼。這樣就算持卡人將一卡通丟失后未及時進行掛失的損失降到最低。

（3）設置校園一卡通掛失的實時生效，當持卡人不小心將一卡通遺失后，可以運用電話語言、圈存機以及卡務中心等途徑進行掛職，并且一旦掛失，那么一卡通的使用終端將會立即停止運行。

（4）強化做好校園一卡通使用監控，學校在較高頻率的一卡通場所都安裝了監控器，并且對于任何威脅一卡通安全使用的疑慮，學生都可到卡務中心對消費流水賬進行打印，還可借助調取監控錄像的形式，充分驗證一卡通在校園使用中的安全性。

2 有利于提升校園一卡通信息安全性的策略

2.1 強化做好數據保護

首先，應理清校園一卡通用戶的分類，并嚴格按照用戶使用權限進行劃分，并對于不同權限的用戶在進行操作和查詢其功能時都將賦予不同的權利。結合目前學校一卡通使用情況來看，主要管理類別為卡充值、卡處理、卡注銷以及系統管理四類。卡充值主要賦予了對校園一卡通進行充值和對充值信息進行查看的權限；卡處理則主要是卡充值后，能夠對其充值的金額進行修正的權限；卡注銷則是只有用戶在確定自己卡遺失并辦理了掛失后相關工作人員才能行使卡注銷權利，同時對于校園畢業生也將對其校園一卡通形勢注銷操作。系統管理還具有較多的操作權限，對于卡的充值和處理權限能夠有效進行分配，與此同時，學校方面還可加大對一卡通的管理工作，強化用戶在使用數據庫時運用密碼進行登錄，并及時對系統的設置和數據口令更改，有效確保密碼設置對安全性保障，防止暴力破解進而對密碼產生的弱化作用。此外，在對其進行存儲時可采取共享磁盤的雙機主構建服務器是實現對數據安全的保護，且兩臺服務器將組成數據庫服務器，并共享一個磁盤陣列，在此方式下，主服務器響應數據服務，備用服務器處于一個激活狀態，一旦主服務器發生故障，則雙機熱備軟件立即切換到備用服務器上，并從Standby 狀態快速轉換到Active 狀態,繼續為服務器提供可處理的數據服務，也能有效保證服務的連續性。[3]由于數據都是存儲在共享的磁盤陣列上，實現數據與數據庫服務的分離，保障數據的安全存儲。在交易數據日常備份下，由于其信息量大，但是有變動小等特點，按照相關備份策略也應按照學期將其自動移動備份。

2.2 強化使用終端的安全控制

校園一卡通使用終端是面向全校師生的交互終端，并且其會經常涉及到教師和學生的相關個人信息，也會產生數據的拷貝，但是在這個過程中很容易感染病毒，影響整個系統的運行。因此，學校就需要結合內網特性，合理選擇一臺內網服務器安裝360 控制中心，實現對整個內網的監控，確保各個使用終端的安全，并能實現全部網絡的檢查，補丁更新以及病毒的查殺。這樣就能簡化了對每一個終端重復性的操作，確保每個終端都能夠在安全的網絡環境中運行。POS 消費終端是數量最多的終端，且對于校園一卡通的重復頻繁讀寫，要時刻確保數據的正確性，這也就對使用終端的安全性和穩定性提出了更高的要求。一方面，加大對讀寫電路的改進，增強斷電讀寫能力，降低數據讀寫錯誤。另一方面，增加設備數據備份功能，保證對一卡通金額的正確度讀寫，在POS 終端增設UPS 供電，保證其在斷電情況下也能利用短時間供電實現對數據的正確讀寫。

2.3 強化制度建設，做好網絡培訓

為進一步完善校園一卡通各項管理制度，就需要建立一種維護記錄制度，并對出現的各種故障進行記錄，相關管理人員也能借助這部分數據內容研究和分析出其在運行中可能存在的潛在安全威脅，并結合實際對其進行及時的改進。同時，對于系統要定期由商家對其進行升級，并就每次在使用中學生和教師提出的需求商家都要給予及時的回應，并做好記錄進行存檔。一卡通系統所面向的用戶為所有的教師和學生，其自身的安全意識也是整個一卡通系統在運行過程中不容忽視的一個重要環節。一卡通用戶自身安全意識薄弱也將給整個系統使用安全性帶來影響，基于此，學校方面就需定期對全校師生進行安全培訓指導，提高其安全防范意識，具體培訓內容為：

（1）一卡通系統基本的安全知識培訓，能夠有效提升全校師生一卡通安全使用的基本認識。

（2）對全校師生進行網絡安全知識培訓，使其養成良好的上網習慣，增強自身對計算機的使用和維護能力，降低病毒入侵的風險。

（3）針對可能出現的網絡異常，要使其有識別的能力，并對出現的相關威脅安全的問題及時報告給相關技術人員。

3 總結

總之，校園一卡通作為建設數字化校園的核心內容，其在設計、使用過程中的安全性和可靠性將直接影響著使用者的信息和財產安全，因此，保障一卡通的安全性具有十分積極的意義。本文在分析一卡通安全性的基礎上，也提出了強化做好數據保護、強化使用終端的安全控制以及強化制度建設，做好網絡培訓等策略，進而有效保障了校園一卡通在哦實際運行中的安全。