乜大偉

（山東醫(yī)學高等?？茖W校 山東省臨沂市 276000）

隨著網(wǎng)絡技術(shù)、計算機技術(shù)以及數(shù)據(jù)庫技術(shù)的成熟發(fā)展，學校在學生的管理理念和方式上也發(fā)生著深刻的改變，學校也逐步認識到只有在不斷將管理信息化和智能化才能促使學校的發(fā)展邁向現(xiàn)代化。目前，很多學校在“校園一卡通”項目建設(shè)中取得了很好的成果，并逐步實現(xiàn)學校管理的數(shù)字化，堅持高起點、高標準以及高質(zhì)量統(tǒng)一的組織協(xié)調(diào)，項目專項管理以及整體規(guī)劃設(shè)計等標準化建設(shè)?！靶@一卡通”主要借助IC 卡的功能實現(xiàn)對數(shù)據(jù)的采集，進而建立一個個人數(shù)據(jù)管理應用平臺，并且集證件管理、檔案管理、考勤管理以及機房管理等一體化的綜合管理功能，真正實現(xiàn)一卡在手，服務都有，也是實現(xiàn)校園現(xiàn)代文明建設(shè)和校園管理水平的一個重要標志。這一系統(tǒng)的應用也促使學校各項工作能夠安全。[1]平穩(wěn)開展，正因為校園一卡通有著如此多的功能，這也促使其安全性不斷被關(guān)注，本文就校園一卡通的安全性進行分析，并提出了有利于保障其安全的措施，以期能夠充分在保障安全的基礎(chǔ)上將其功能充分發(fā)揮出來。

1 校園一卡通信息安全性分析

1.1 建設(shè)系統(tǒng)安全

校園一卡通的使用對象包含了教師、學生以及商戶主體等，并且其再使用的過程中將涉及到很多敏感的交易數(shù)據(jù)，因此，要保障其安全顯得至關(guān)重要。一般來說，一卡通系統(tǒng)數(shù)據(jù)安全保障主要集中在訪問與存儲兩個環(huán)節(jié)，只有通過授權(quán)才能訪問到用戶的相關(guān)信息。一般來說，用戶只有得到權(quán)限后方可進行使用與充值操作，一旦在這個環(huán)節(jié)中用戶的口令設(shè)置過于簡單，或者對自身權(quán)限的設(shè)置操作不當，就會遭受到非法入侵，用戶自身的財務信息將可能被盜取。在儲存過程的安全主要表現(xiàn)在數(shù)據(jù)庫安全管控上，備份管理主要對日常內(nèi)容進行備份，在遇到突發(fā)情況時，操作系統(tǒng)將使存儲的數(shù)據(jù)丟失。另一方面，還需要做好一卡通的終端安全的保障措施，針對一卡通終端，其內(nèi)網(wǎng)將與消費平臺實現(xiàn)鏈接，借助終端操作，就能實現(xiàn)所有業(yè)務的實現(xiàn)，并借助內(nèi)網(wǎng)及時對軟件內(nèi)的病毒軟件進行更新和查殺，確保運行過程中的數(shù)據(jù)安全。如果相關(guān)工作人員并未及時對軟件進行更新，那么很有可能導致內(nèi)網(wǎng)在拷貝信息用戶時遭受病毒的入侵，以APP 木馬為例，其是造成整個網(wǎng)絡癱瘓的罪魁禍首，進而造成校園網(wǎng)絡運行的不穩(wěn)定。可見，消費終端能夠?qū)σ豢ㄍㄖ猩婕暗男畔⑴c消費金額作讀寫操作，直接與系統(tǒng)的安全性緊密相關(guān)。

1.2 服務器安全

校園一卡通的核心服務器主要是一卡通身份認證服務器與核心服務器，兩者都采用了高性能的服務器，能夠?qū)崿F(xiàn)雙機熱備。即其中一臺服務器停止運行，能夠有銷切換另一臺服務器繼續(xù)工作，進而實現(xiàn)整個一卡通服務西戎都能夠正常、穩(wěn)定運行。由于一卡通服務器機房為專用機房，需要運用UPS 斷電 保護，并且需要24h 恒溫，還需要做好機房的氣體消防以及防靜電處理等。

1.3 一卡通數(shù)據(jù)安全

一卡通數(shù)據(jù)安全主要包含了數(shù)據(jù)的傳輸安全和系統(tǒng)的數(shù)據(jù)安全。在對數(shù)據(jù)進行傳輸時，為了有效保障傳輸?shù)臉I(yè)務數(shù)據(jù)安全就需要借助DES 采用動態(tài)密鑰對其進行加密處理，該動態(tài)密鑰施行每日一變的原則，這樣也能確保數(shù)據(jù)在傳輸?shù)倪^程中及時被非法竊取也能保證其安全性，校園一卡通主要采用SUN Solaris 操作系統(tǒng)以及Oracle 作為整個系統(tǒng)后臺中心的數(shù)據(jù)庫。其中Oracle10.0 數(shù)據(jù)庫已經(jīng)被廣泛應用于各大金融、證券以及郵電業(yè)務處理系統(tǒng)，進而保證該行業(yè)內(nèi)部數(shù)據(jù)信息的安全性與可靠性，并且其安全級別達到了美國國防部要求的安全標準的C2 級，為了有效強化其在這個過程中的安全等級，還可以通過以下措施進行保障：

（1）強化做好登錄過程中的授權(quán)管理。任何涉及到維護以及直接或者間接訪問與數(shù)據(jù)庫相關(guān)操作的授權(quán)和認證，如果未通過授權(quán)的人員將不能進入且進行任何的操作。

（2）合理運用磁盤鏡像技術(shù)。為了確保數(shù)據(jù)庫存儲安全，就需要依靠磁盤鏡像技術(shù)對數(shù)據(jù)實時備份，并且在遇到原始數(shù)據(jù)錯誤時，會對數(shù)據(jù)進行備份操作，并實現(xiàn)對原始數(shù)據(jù)的修復功能，進而有效保證了數(shù)據(jù)儲存的安全性。

（3）合理運用雙機熱備技術(shù)。為了有效強化校園一卡通系統(tǒng)的正常穩(wěn)定運行，防止其在運行過程中突然斷定或者發(fā)生故障，就需要采用雙機熱備技術(shù)，在一臺主機出現(xiàn)故障時，也能促使另一臺主立即啟動運行，并接管其全部數(shù)據(jù)進行繼續(xù)工作。

（4）借鑒大型數(shù)據(jù)庫系統(tǒng)及優(yōu)秀數(shù)據(jù)庫系統(tǒng)的設(shè)計。Oracle大型數(shù)據(jù)庫在很多領(lǐng)域應用并取得了不錯的成效，因此在保障校園一卡通系統(tǒng)安全性和可靠性的過程中就需要在設(shè)計時進一步借助Oracle 數(shù)據(jù)庫強大的數(shù)據(jù)處理能力以及數(shù)據(jù)庫的并發(fā)功能，在優(yōu)化了數(shù)據(jù)結(jié)構(gòu)、提高系統(tǒng)運行效率的同時也能有效保障整個系統(tǒng)在運行中的安全性。

（5）運用先進的數(shù)據(jù)庫備份技術(shù)。每一個成熟的系統(tǒng)在運行的過程中都需要有一個完備的數(shù)據(jù)庫備份機制，這樣就能結(jié)合系統(tǒng)實際運用物理和邏輯及誒和的形式進行數(shù)據(jù)的混合備份機制，既能保證對整個數(shù)據(jù)庫整點做某一時間點的完全恢復，也能對單張數(shù)據(jù)表中的數(shù)據(jù)進行恢復。[2]

1.4 一卡通卡片的安全性

一卡通的卡片在設(shè)計時都是堅持一卡一戶，一卡一密的原則，這樣就能有效防止其被盜用和濫用。一般將一卡通卡片內(nèi)的數(shù)據(jù)區(qū)分為一卡通數(shù)據(jù)去和個性化子西戎數(shù)據(jù)區(qū)兩大類，這樣就能雙重保證數(shù)據(jù)的安全性，并且一卡通在出廠時，還可結(jié)合出廠加密算法生成密鑰，這樣就能有效防止偽卡的應用。校園一卡通在使用前首先就需要每個用戶進行注冊，進對出廠密碼進行驗證，并結(jié)合持卡人自身信息對密鑰進行修改，再得出讀寫控制密鑰。寫入到卡片內(nèi)，整個一卡通內(nèi)部的存儲都將采用128 為加密算法進行相關(guān)的加密操作。

1.5 一卡通使用中的安全性

各類IC 卡讀寫終端設(shè)備在校園內(nèi)廣泛分布，這也為破壞者攻擊系統(tǒng)提供了條件，因此，為了保證一卡通使用安全，就需要有效防止一卡通在使用過程中能夠避免可能存在的各種攻擊和消費欺騙。校園一卡通其終端設(shè)備有防偽卡功能，并采用卡與設(shè)備的雙向認證，對于系統(tǒng)不能識別以及未注冊的卡列入黑名單?，F(xiàn)階段，應用廣泛的POS 機對于每一筆教育都有明確的記錄流水號，所有交易的賬目都有詳細的校驗功能，POS 在實際運用時采用的是雙CPU 機制，即一個負責讀寫卡，另一個負責數(shù)據(jù)的通訊和記錄，并協(xié)助雙FLASH 數(shù)據(jù)存儲的方式。另外，校園一卡通使用終端與整個管理系統(tǒng)都將保持信息互換，并且一卡通專用網(wǎng)絡存在不暢的問題時，一卡通系統(tǒng)具有數(shù)據(jù)緩存功能，能夠在短暫等待后繼續(xù)運行。

1.6 持卡人安全防范意識

校園一卡通在校園內(nèi)廣泛推廣的前提就是要保障持卡人的利益，同時也是考核一卡痛安全性的重要舉措，校園一卡通可通過如下方式保障持卡人權(quán)益：

（1）首先，學校方面就需要在網(wǎng)絡發(fā)布一卡通的使用方法和注意事項，并在一卡通發(fā)放的過程中向每一位學生發(fā)放帶有說明書的卡片，并做好學生的指導閱讀，強化每一個學生對校園一卡通的認識和重視程度。

（2）學生在拿到校園一卡通后，第一件事情就是要進行設(shè)置，并且當一次或者累計一天內(nèi)的消費超過一定額度時，系統(tǒng)就會自動要求持卡人在交易時輸入持卡密碼。這樣就算持卡人將一卡通丟失后未及時進行掛失的損失降到最低。

（3）設(shè)置校園一卡通掛失的實時生效，當持卡人不小心將一卡通遺失后，可以運用電話語言、圈存機以及卡務中心等途徑進行掛職，并且一旦掛失，那么一卡通的使用終端將會立即停止運行。

（4）強化做好校園一卡通使用監(jiān)控，學校在較高頻率的一卡通場所都安裝了監(jiān)控器，并且對于任何威脅一卡通安全使用的疑慮，學生都可到卡務中心對消費流水賬進行打印，還可借助調(diào)取監(jiān)控錄像的形式，充分驗證一卡通在校園使用中的安全性。

2 有利于提升校園一卡通信息安全性的策略

2.1 強化做好數(shù)據(jù)保護

首先，應理清校園一卡通用戶的分類，并嚴格按照用戶使用權(quán)限進行劃分，并對于不同權(quán)限的用戶在進行操作和查詢其功能時都將賦予不同的權(quán)利。結(jié)合目前學校一卡通使用情況來看，主要管理類別為卡充值、卡處理、卡注銷以及系統(tǒng)管理四類?？ǔ渲抵饕x予了對校園一卡通進行充值和對充值信息進行查看的權(quán)限；卡處理則主要是卡充值后，能夠?qū)ζ涑渲档慕痤~進行修正的權(quán)限；卡注銷則是只有用戶在確定自己卡遺失并辦理了掛失后相關(guān)工作人員才能行使卡注銷權(quán)利，同時對于校園畢業(yè)生也將對其校園一卡通形勢注銷操作。系統(tǒng)管理還具有較多的操作權(quán)限，對于卡的充值和處理權(quán)限能夠有效進行分配，與此同時，學校方面還可加大對一卡通的管理工作，強化用戶在使用數(shù)據(jù)庫時運用密碼進行登錄，并及時對系統(tǒng)的設(shè)置和數(shù)據(jù)口令更改，有效確保密碼設(shè)置對安全性保障，防止暴力破解進而對密碼產(chǎn)生的弱化作用。此外，在對其進行存儲時可采取共享磁盤的雙機主構(gòu)建服務器是實現(xiàn)對數(shù)據(jù)安全的保護，且兩臺服務器將組成數(shù)據(jù)庫服務器，并共享一個磁盤陣列，在此方式下，主服務器響應數(shù)據(jù)服務，備用服務器處于一個激活狀態(tài)，一旦主服務器發(fā)生故障，則雙機熱備軟件立即切換到備用服務器上，并從Standby 狀態(tài)快速轉(zhuǎn)換到Active 狀態(tài),繼續(xù)為服務器提供可處理的數(shù)據(jù)服務，也能有效保證服務的連續(xù)性。[3]由于數(shù)據(jù)都是存儲在共享的磁盤陣列上，實現(xiàn)數(shù)據(jù)與數(shù)據(jù)庫服務的分離，保障數(shù)據(jù)的安全存儲。在交易數(shù)據(jù)日常備份下，由于其信息量大，但是有變動小等特點，按照相關(guān)備份策略也應按照學期將其自動移動備份。

2.2 強化使用終端的安全控制

校園一卡通使用終端是面向全校師生的交互終端，并且其會經(jīng)常涉及到教師和學生的相關(guān)個人信息，也會產(chǎn)生數(shù)據(jù)的拷貝，但是在這個過程中很容易感染病毒，影響整個系統(tǒng)的運行。因此，學校就需要結(jié)合內(nèi)網(wǎng)特性，合理選擇一臺內(nèi)網(wǎng)服務器安裝360 控制中心，實現(xiàn)對整個內(nèi)網(wǎng)的監(jiān)控，確保各個使用終端的安全，并能實現(xiàn)全部網(wǎng)絡的檢查，補丁更新以及病毒的查殺。這樣就能簡化了對每一個終端重復性的操作，確保每個終端都能夠在安全的網(wǎng)絡環(huán)境中運行。POS 消費終端是數(shù)量最多的終端，且對于校園一卡通的重復頻繁讀寫，要時刻確保數(shù)據(jù)的正確性，這也就對使用終端的安全性和穩(wěn)定性提出了更高的要求。一方面，加大對讀寫電路的改進，增強斷電讀寫能力，降低數(shù)據(jù)讀寫錯誤。另一方面，增加設(shè)備數(shù)據(jù)備份功能，保證對一卡通金額的正確度讀寫，在POS 終端增設(shè)UPS 供電，保證其在斷電情況下也能利用短時間供電實現(xiàn)對數(shù)據(jù)的正確讀寫。

2.3 強化制度建設(shè)，做好網(wǎng)絡培訓

為進一步完善校園一卡通各項管理制度，就需要建立一種維護記錄制度，并對出現(xiàn)的各種故障進行記錄，相關(guān)管理人員也能借助這部分數(shù)據(jù)內(nèi)容研究和分析出其在運行中可能存在的潛在安全威脅，并結(jié)合實際對其進行及時的改進。同時，對于系統(tǒng)要定期由商家對其進行升級，并就每次在使用中學生和教師提出的需求商家都要給予及時的回應，并做好記錄進行存檔。一卡通系統(tǒng)所面向的用戶為所有的教師和學生，其自身的安全意識也是整個一卡通系統(tǒng)在運行過程中不容忽視的一個重要環(huán)節(jié)。一卡通用戶自身安全意識薄弱也將給整個系統(tǒng)使用安全性帶來影響，基于此，學校方面就需定期對全校師生進行安全培訓指導，提高其安全防范意識，具體培訓內(nèi)容為：

（1）一卡通系統(tǒng)基本的安全知識培訓，能夠有效提升全校師生一卡通安全使用的基本認識。

（2）對全校師生進行網(wǎng)絡安全知識培訓，使其養(yǎng)成良好的上網(wǎng)習慣，增強自身對計算機的使用和維護能力，降低病毒入侵的風險。

（3）針對可能出現(xiàn)的網(wǎng)絡異常，要使其有識別的能力，并對出現(xiàn)的相關(guān)威脅安全的問題及時報告給相關(guān)技術(shù)人員。

3 總結(jié)

總之，校園一卡通作為建設(shè)數(shù)字化校園的核心內(nèi)容，其在設(shè)計、使用過程中的安全性和可靠性將直接影響著使用者的信息和財產(chǎn)安全，因此，保障一卡通的安全性具有十分積極的意義。本文在分析一卡通安全性的基礎(chǔ)上，也提出了強化做好數(shù)據(jù)保護、強化使用終端的安全控制以及強化制度建設(shè)，做好網(wǎng)絡培訓等策略，進而有效保障了校園一卡通在哦實際運行中的安全。