校園虛擬卡安全防護體系設計思路

文/王 成 李千目 翟永思

如今，以虛擬卡技術為特征的新一代一卡通已經逐漸成熟并大規模投入使用。與傳統實體卡不同，虛擬卡的使用伴隨著相應的信息安全問題，這也成為新一代一卡通系統的一個重要關注點。

信息保障技術框架模型（Information Assurance Technical Framework，IATF）由美國國家安全局制定并公開發布，是指導美國信息安全相關防護、系統保障的指導性文件。本文通過IATF安全模型指導，圍繞關鍵業務域、縱深防御、安全強健性等概念，對網絡、計算環境、業務區域邊界等進行總體防護設計，使虛擬卡具備較強的整體防護能力，實現抵御互聯網惡意攻擊目的。

安全模型內容框架

IATF安全模型論述全面且具體，其部分核心內容如縱深防御（Defense in Depth）、技術框架焦點域、安全強健性等概念對于指導虛擬卡系統安全具有重要意義。IATF模型定義了信息安全的焦點域：區域邊界、計算環境、網絡基礎和支撐基礎設施，在每個焦點域都有相關安全需求和具體技術措施[1]。焦點域包含基礎的硬件支撐平臺，是剖析安全需求、制定安全防護的基礎性工作。

縱深防御是IATF的重要內涵之一，認為信息安全無法僅靠幾種單一技術或設備來實現，通過合理組織和規劃，并通過具有層次性焦點域保護，才有可能最大程度降低風險。

縱深防御即非平面化的、具有縱深性、層次性的安全措施來防護系統安全。其中包括人、操作和技術三個核心因素。IATF模型極為重視“人”的因素，認為其是安全的靈魂，在加強安全技術防范的同時，也須加強人的安全管理。

綜上所述，信息安全防護重點從以下幾個方面展開：

1.依據“最少暴露”原則，對新一代一卡通業務層進行功能拆分。明確定義必須對互聯網開放的業務功能，如虛擬卡充值、消費、繳費等接口。而虛擬卡系統后臺、實體卡系統能夠分層設計，依然在內網中相對獨立運行。實體卡系統和虛擬卡系統保持相對獨立，虛擬卡服務端集群采用DMZ方式，相互之間的交互通過數據接口、業務端口模式進行數據交換和業務互動，支持通過第三方系統或者業務通過接口方式進行互動。

2.對區域邊界、計算環境、基礎設施的保護。信息安全體系中任何一個子項漏洞都有可能導致嚴重后果，所以僅保護重要部位是不夠的。計算環境等是基礎的硬件支撐平臺，其安全性包括物理安全和信息防護安全。

3.縱深防御。常表現為縱向防御或者橫向分層防御，這種分層防御把攻擊者和攻擊目標進行邏輯隔離，兩者之間部署不同策略防護，每層都給潛在攻擊者設置了障礙。同時分層防御并不被動，具備一定的反制措施，一般通過保護重點目標、檢測入侵、鎖定目標反擊流程，重點對攻擊者定位并反擊，使得攻擊者付出代價。

4.安全強健性。安全防護本身分有若干等級，安全強健性一方面體現對安全性能的一種評價，另外也包含對不同價值的應用進行分類保護。由于不同系統模塊價值不同，相應被破壞、被竊造成的后果也

不同，一般安全組件健壯性越高則付出的成本也越高，需要合理設計安全防護體系，綜合考慮成本問題。

依據安全模型的 虛擬卡安全防護設計

圍繞安全模型的核心思想，展開虛擬卡信息安全框架設計。由于虛擬卡系統兼有實體卡系統，其應用功能相對龐雜，通常與銀行、支付寶、微信等第三方采用不同對接方式。目前采用聚合支付平臺對接逐漸增多，需要一定程度上對互聯網開放。同時，虛擬卡與數據中心在校園網中進行數據交換，根據虛擬卡業務進行功能分類和系統邊界設計。

虛擬卡安全域概念與劃分

虛擬卡是在傳統實體卡系統基礎功能上延伸而來的，一般包含虛擬卡系統、實體卡系統、聚合支付平臺、在線支付平臺等功能。從信息安全角度考慮，傳統的實體卡系統可以在內網運行，安全性相對較高，虛擬卡等移動端功能需要運行在校園網或者運營商無線網絡，后臺與支付寶、微信等的對接需要運行在互聯網。因此，對虛擬卡進行功能域的劃分并制定不同的安全策略非常重要。

根據信息安全模型指導，依據功能需求，以及面臨的風險等級情況，虛擬卡安全域可分為：虛擬卡域、實體卡域、聚合支付域、虛擬卡前臺移動端接口域等。重點在虛擬卡域安全劃分，另外每個安全域內部根據功能組情況，繼續劃分子安全域。合理的安全域劃分能有針對性的規劃安全策略、配置專用硬件防護設備，實現有防御深度的安全體系，保障在線的各項功能安全運行。

安全域的劃分盡可能隱藏內部結構，減少不必要的暴露，降低受攻擊風險。實體卡域、虛擬卡基本功能等相關域可以設計成內網運行，保障基礎平臺系統的安全。在接口域類等進行重點防范，利用域內設置WAF、防火墻、安全日志定期分析預警等功能，保障接口安全。

虛擬卡系統基于校園網、互聯網不信任原則設計，分如下兩個部分：1.虛擬卡專網邊界，包括虛擬卡與校園網的邊界、虛擬卡專網與銀行專網邊界。通過防火墻對虛擬卡專網和校園網進行邏輯隔離，利用網閘進行虛擬卡內部網絡和校園網之間的硬件隔離。2.虛擬卡接入層在校園網DMZ區邊界，定義虛擬卡專網與校內外邊界關系。

通過立體化的數據保護方案，將大大增加攻擊者難度，使得攻擊者因時間、精力等代價太大而放棄。

技術框架焦點

虛擬卡系統環境較為復雜，涉及焦點域較多，通過梳理需要重點防范的區域和可能的薄弱點，一卡通的技術框架焦點包含計算環境、區域邊界、基礎設施，具體總結如下：

1.計算環境。包括服務器類、OS類、虛擬卡應用軟件、Web服務、目錄服務、打印服務、電子業務和數據庫訪問。

2.區域邊界。包括虛擬卡專網邊界；實體卡專網邊界；專網與校園網的邊界；專網與銀行、支付寶、微信等互聯網間的邊界。虛擬卡系統專網內部邊界。虛擬卡校園網DMZ區邊界：與校內外網絡邊界。

3.網絡基礎設施。涉及虛擬卡專網、校園網、實體卡系統專網；銀行專線；對于基礎設施的管理；數據庫、數據中心等。

4.支撐性基礎設施。密鑰管理基礎設施KMI。檢測與響應：設備檢測與服務監控平臺。

縱深防御

縱深防御在信息安全模型中具有重要意義，保護區域邊界、計算環境、網絡基礎設施等多個重要位置。并且按照系統層次性對每層定義防范策略和規范，把分散的局部安全策略進行統籌整體規劃，是安全規范的核心組成部分[2]。

1.虛擬卡系統網絡基礎設施防護

數據主干傳輸網絡校內部分采用新建的數據網絡。采取網絡分層、業務隔離辦法，隔離Client和數據傳輸網絡之間的通訊。鋪設食堂、超市、樓宇門禁等虛擬卡應用網絡線路。利用原有的一卡通專網的主干網絡備用光纖和接入層交換機，鋪設與一卡通專網邏輯隔離原有的網絡體系。新鋪設接入交換機到掃碼機之間的網絡。

虛擬卡專網物理設備的保護：虛擬卡專網屬于三層網絡架構，核心和匯聚層交換機都部署在核心交換機房，設有較完備防護保障設備，如設備監控系統、動力監控系統、視頻監控系統等；接入層交換機防護。接入虛擬卡專網交換機都有授權保護，防止出現非法設備接入。

數據庫防護：數據庫采用RAC、MySQL等成熟技術，通過開啟審計、訪問策略控制等方法進行安全防護，同時配備數據庫審計服務器，進一步提升一卡通系統的服務可靠性。整合基于AIX、CentOS平臺級別的防護能力，并與Oracle的權限管理體系進行整合，把日志管理、端口管理、表空間管理等統一管理。

存儲設備防護：存儲系統是數據保護的重要組成部分，是信息防護的核心之一。通過加密和認證技術進行接入管理，包括讀寫權限認證、數據訪問控制，并對敏感數據加密，進行控制器管理和業務通訊管理。由于虛擬卡系統的在線交易特點，存儲系統應用層向分布式的方向設計，對指定服務器開放，同時考慮存儲安全技術、災難恢復及數據備份技術等[3]，存儲控制器制定業務數據訪問的通道，合理設置LUN及劃分目標磁盤，對源地址/MAC進行控制，以增強存儲系統抵御攻擊能力。

2.虛擬卡系統計算環境防護

計算環境防護重點圍繞下面幾項展開說明：

服務器防護。機架式服務器、刀片服務器等啟用安全模塊，配置合適安全策略，增強服務器硬件抵抗風險攻擊能力。

操作系統類防護。AIX、Linux、Windows Server等系列，制定安全策略，開啟審計功能防止攻擊者對操作系統的攻擊，增強風險預判感知能力。

虛擬卡應用軟件防護。采用軟件授權體系，結合防火墻抵御對虛擬卡系統應用層攻擊。

虛擬卡相關Web服務防護。由于Web服務直接對互聯網開放，嚴格實施最小開放原則，配備WAF等設備抵御攻擊。

數據交換服務防護。虛擬卡與銀行等之間采用專線連接，利用防火墻隔離。與數據中心、微信、支付寶等之間數據交換需開發專用交換接口，同步考慮啟用ACL控制列表，確保可信IP接入訪問。

3.縱深防御

由于典型的外部攻擊行為具有鮮明的層次性，一般由外而內可分為互聯網攻擊、校園網攻擊、虛擬卡專網攻擊。

互聯網攻擊防范：虛擬卡系統只開放特定端口，并在專用設備和專用攻擊分析軟件基礎上，及時感知攻擊、定位攻擊并反制。

校園網攻擊防范：設置防火墻，開放特定的端口服務；啟用Web防火墻；配備網閘從邏輯上隔離校園網與虛擬卡專網，使得虛擬卡、實體卡單向通過網閘并傳到數據中心。

虛擬卡專網防護：由于虛擬卡專網遍布校園，需要防止惡意物理接入一卡通專網。設計在線交易數據傳輸網絡采用VLAN隔離，師生Client設備直接通過校園網進行，業務請求通過指定服務器入口轉發、反饋，以完成交易流程。校園網與數據傳輸網隔離；聚合支付平臺與實體卡和虛擬卡，運行為VLAN2與其他業務流程隔離；聚合支付平臺與銀行、支付寶、微信等第三方財務對接VLAN3，配套限制IP、端口等安全設置；關于第三方調用一卡通虛擬卡入口安全策略，多媒體機、支付寶、微信、App等。

虛擬卡服務端集群采用DMZ方式；與后勤消費刷碼設備等線下設備，組成在線交易數據傳輸網絡；與校園網應用隔離。

VLAN1：虛擬卡服務端集群采用DMZ區與后勤消費刷碼設備線下設備，利用“虛擬卡專網主干網備用光纖+專網區的交換機”設置隔離端口，整個通訊鏈路采用新分配IP地址段。

VLAN2：虛擬卡服務端集群采用DMZ區內部隔離，聚合支付平臺和虛擬卡系統之間相互隔離。

VLAN3：財務數據流部分，聚合支付平臺與支付寶、微信、銀行采用不同對接方式和聚合支付平臺對接，校外及校內第三方應用與虛擬卡平臺等相互邏輯隔離。

4.虛擬卡系統對外服務接口安全防范

虛擬卡接口防范包括如下三個方面：虛擬卡在線交易安全防范；交易入口應用、服務器相關防范；第三方對接相關安全防范。

對與一卡通業務無關的通路直接關閉。由于虛擬卡、聚合支付平臺、圖書館扣費、數據中心等一系列應用邏輯上與一卡通的服務區關聯，所以為保護一卡通核心應用的穩定，對接口進行設計。

在線交易接口：第三方應用與虛擬卡平臺通過HTTP方式進行通訊，以POST方式發起服務調用，一卡通平臺接收到請求后，進行相應的業務邏輯判斷，通過HTTPS中的response參數返回。

交易接口加密：考慮采用CA中心簽發的證書，增強客戶賬戶安全性，并對不同用戶給予不同資源訪問權限。數字證書以網絡數字加密傳輸電子憑證的方式有效地對賬戶使用者進行確認，幫助新一代一卡通確認使用者是否合法。同時，增強賬戶使用的安全性，實現對網上傳輸的信息進行有效保護，增強信息傳遞的安全性。

在密碼技術方面，實現支持SSL加密傳輸技術，對用戶的關鍵信息進行加密，防止木馬程序截取鍵盤記錄。

安全強健性

虛擬卡系統直接關系到財務安全，同時又暴露在互聯網上。所以極易出現非法攻擊行為。攻擊者通過嘗試篡改交易數據方式實現盜取，導致虛擬卡系統虧損，令師生和商戶受到損失。虛擬卡系統含有大量師生財務數據和個人信息，隨著新型網絡威脅的隱蔽性越來越高，數據泄露的風險也在不斷加劇[4]。

對于虛擬卡的安全強健性，IATF提出三個強健度等級（SML），并將信息的價值分為5個等級，把環境按威脅層度分為7個等級。

針對虛擬卡系統的高價值特征，需要加強安全強健性，重點對如下四個層次進行防護：

1.虛擬卡系統難攻破

通過利用防火墻、WAF、操作系統安全配置，結合訪問源接入控制，落實盡可能小的開放原則，并對行為進行控制。利用網安設備攔截典型攻擊行為,并利用大數據算法進行交易日志、訪問日志特征提取，進一步提升虛擬卡系統安全性，實現難以攻破的目的。

2.交易數據難竊取

防止數據被竊，首先要制定數據策略，避免出現常見的技術性和人為性錯誤行為。

數據庫文件的保護。禁止數據文件直接放在Web目錄，目前有較多掃描工具能發現數據庫文件，從而致其被下載，留下隱患。

防止拖庫。由于各種Web應用漏洞，特別是發生高危的零日漏洞時，Web應用很容易遭到拖庫的危險。

Web服務器保護。Web安全也取決于Web服務器安全，由Web服務器的操作系統安全設置來實現。當Web服務器爆出漏洞時，Web也不能保障安全，會遭到拖庫的危險。

數據庫保護。合理設置數據庫Schema、表空間管理、讀寫權限設計等，這些操作對防止數據竊取也非常重要。

3.敏感數據難利用

通過密鑰管理體系分發設備密鑰，后臺選擇加密算法對敏感數據加密，使得攻擊者即便獲取數據也難以利用。需要重點對交易數據傳輸加密以及數據庫敏感字段加密。

4.業務數據難篡改

篡改數據是盜竊及外部攻擊最主要的目標之一，一般在獲取數據結構后，在對數據結構分析的基礎上才能進行篡改。

通過增加數據庫審計功能，業務層、數據保護（業務數據保護），設置合理數據庫全備期限，以及一卡通專用交易審計軟件，來發現篡改行為，保留篡改證據。同時還需要考慮CDP（Continuous Data Protection）來解決非法的刪改數據問題。為應對數據篡改難以及時發現的問題，通過自動備份方式每天增量數據備份并歷史存檔。

通過上述立體化的數據保護方案，將大大增加攻擊者難度，使得攻擊者因時間、精力等代價太大而放棄。

由于虛擬卡系統相對開放的特征，其存在和面臨各種隱患與風險，通過利用IATF安全模型指導，梳理虛擬卡系統需要保護的資源，確定重點防范邊界，設計合理的縱深防御方案，及時評估反饋安全強健性，防范數據泄露與篡改行為[5]等，能較好地保障虛擬卡系統的信息安全和虛擬卡系統的穩定運行。