校園一卡通系統(tǒng)安全分析及對策

摘 要：一卡通系統(tǒng)作為數(shù)字校園的重要基礎(chǔ)設(shè)施之一，為全校師生提供證明及支付功能。隨著一卡通系統(tǒng)功能的多樣化及復雜化，其安全問題日益突出，本文針對應用過程中所面臨的典型安全問題，從數(shù)據(jù)安全、終端安全、管理制度方面提出了相應的安全策略，為校園一卡通系統(tǒng)的建設(shè)和管理提供借鑒。

關(guān)鍵詞：校園一卡通；網(wǎng)絡安全；數(shù)據(jù)安全；終端

中圖分類號：TP393.18

校園一卡通系統(tǒng)作為校園數(shù)字化平臺一個子系統(tǒng)，具有實時消費處理、門禁管理、繳費補貼等功能。通過平臺的集中化管理，使全校師生的學習和生活更加方便和快捷，但隨著一卡通系統(tǒng)功能的多樣化及復雜化，在系統(tǒng)應用中面臨諸多問題，其中安全問題尤為突出，如何有效的防范及應對這些安全問題是一卡通系統(tǒng)穩(wěn)定運行的重點之重。本文首先分析目前校園一卡通系統(tǒng)面臨的主要安全問題，然后針對這些安全問題提出了相應的防范對策。

1 校園一卡通系統(tǒng)應用中的安全問題分析

1.1 數(shù)據(jù)安全。一卡通系統(tǒng)處理的數(shù)據(jù)流主要涉及到全校師生、商戶個人及交易敏感數(shù)據(jù)，其安全性對整個系統(tǒng)來說尤為重要。系統(tǒng)數(shù)據(jù)安全主要面臨兩個問題：安全訪問、安全存儲。安全訪問通過授權(quán)控制用戶對信息的訪問，以一卡通管理系統(tǒng)為例，用戶的權(quán)限分為系統(tǒng)管理權(quán)限、卡充值、卡處理等，不同權(quán)限訪問不同的報表。由于用戶權(quán)限設(shè)置不當及用戶口令過于簡單，容易造成非法人員的入侵，非法獲取人員信息及財務信息。安全存儲涉及數(shù)據(jù)庫數(shù)據(jù)的安全存儲，一卡通系統(tǒng)一般采用ORACLE數(shù)據(jù)庫。數(shù)據(jù)庫日常備份包括圈存、卡消費和人員信息，由于師生照片信息量大，在日常的備份中不包括照片的備份。因此在斷電等意外情況下，如果linux操作系統(tǒng)的文件系統(tǒng)出現(xiàn)故障，很容易出現(xiàn)照片丟失等嚴重情況。

1.2 終端安全問題。一卡通系統(tǒng)終端包括平臺終端和消費終端。平臺終端接入一卡通內(nèi)網(wǎng)，前臺工作人員通過平臺終端進行校園卡充值及其他處理。由于終端平臺處在一個內(nèi)網(wǎng)，殺毒軟件更新不及時，且在日常工作中會涉及師生一些照片、名單等數(shù)據(jù)的拷貝，平臺終端很容易感染蠕蟲病毒[1]、ARP木馬，其中ARP木馬容易導致網(wǎng)絡癱瘓，嚴重威脅校園網(wǎng)的穩(wěn)定運行。消費終端通常指POS消費機，用來讀寫卡片內(nèi)人員信息及金額信息，其穩(wěn)定性及安全性直接影響到系統(tǒng)安全及穩(wěn)定。

1.3 管理制度方面的不完善。管理制度對一卡通各工作崗位職責進行規(guī)范，使校園一卡通各項工作井然有序。目前管理制度只包括了運行總則、崗位職責、卡務管理，在一卡通維護登記制度的管理處于一個薄弱環(huán)節(jié)。一卡通系統(tǒng)建設(shè)初期是軟件服務商和學校共同管理階段，這個階段系統(tǒng)處于不斷完善過程，根據(jù)用戶的需求或者系統(tǒng)故障需要軟件商技術(shù)人員的維護，然而在維護過程中缺乏相應的維護日志，當出現(xiàn)問題時往往責權(quán)難分，互相推諉。人員安全培訓制度的建設(shè)也是一個容易忽略的環(huán)節(jié)，由于工作人員網(wǎng)絡安全意識薄弱[2][3]，沒有良好的網(wǎng)絡使用習慣，且缺乏相應的安全知識培訓，工作人員的某些操作會導致系統(tǒng)的不穩(wěn)定。

2 校園一卡通系統(tǒng)安全控制策略

2.1 數(shù)據(jù)安全保護策略。理清一卡通系統(tǒng)用戶分類，嚴格劃分各類用戶權(quán)限，不同權(quán)限賦予不同操作及報表查看功能。根據(jù)需求可以將一卡通系統(tǒng)用戶分為卡充值、卡處理、卡注銷、系統(tǒng)管理四類?？ǔ渲稻哂行@卡充值及充值報表查看權(quán)限；卡處理不僅具有卡充值權(quán)限，并且具有充值金額修正、水費修正等權(quán)限；卡注銷只有卡批量掛失及注銷功能，主要用于畢業(yè)生校園卡注銷操作；系統(tǒng)管理具有所有的操作權(quán)限，用來對卡充值及卡處理權(quán)限的分配。與此同時，加大用戶及數(shù)據(jù)庫登陸密碼強度，及時更改系統(tǒng)和數(shù)據(jù)庫口令，消去弱密碼對系統(tǒng)的威脅，防止暴力破解弱密碼。

采用基于共享磁盤陣列的雙機主-從方式的服務器架構(gòu)來提高數(shù)據(jù)存儲安全。兩臺服務器組成數(shù)據(jù)庫服務器，并共享一個磁盤陣列，在此方式下，只有主服務器響應數(shù)據(jù)服務，備用服務器處于一個待激活狀態(tài)。一旦主服務器出現(xiàn)宕機等嚴重故障，雙機熱備軟件迅速切換到備用服務器，將備用服務器從Standby激活成Active狀態(tài)，繼續(xù)提供數(shù)據(jù)處理服務，從而保證服務的連續(xù)運行。由于數(shù)據(jù)存儲在共享的磁盤陣列上，實現(xiàn)了數(shù)據(jù)與數(shù)據(jù)庫服務器的分離，進一步為保障了數(shù)據(jù)的存儲安全。在交易數(shù)據(jù)日常備份機制下，針對師生照片具有信息量大，變動小的特性，其備份策略可以按學期人工或者自動異機備份。

2.2 終端安全控制策略。一卡通平臺終端是面向全校師生的交互終端，經(jīng)常會涉及師生照片、學生信息等數(shù)據(jù)的拷貝，極易感染各種病毒及木馬，從而影響系統(tǒng)穩(wěn)定運行。結(jié)合系統(tǒng)內(nèi)網(wǎng)的特性，選用一臺內(nèi)網(wǎng)服務器安裝360控制中心，各終端平臺安裝360企業(yè)安全衛(wèi)士，通過控制中心實時監(jiān)控各終端的安全情況，并實現(xiàn)全網(wǎng)統(tǒng)一體檢、補丁跟新、查殺病毒，極大簡化了以往每臺終端需單獨更新及檢測的重復性操作，從而確保各個平臺終端處在一個良好的網(wǎng)絡環(huán)境中。

POS消費終端是數(shù)量最多的終端，用來對校園卡進行頻繁讀寫操作。確保數(shù)據(jù)的正確讀寫，對其穩(wěn)定性及安全可靠性有很高的要求[4]。一方面，對讀寫電路進行改進，增加斷電讀寫保護功能，降低數(shù)據(jù)讀寫錯誤。一方面，在卡內(nèi)增設(shè)備份數(shù)據(jù)，保證卡上金額讀寫正確。其次，增設(shè)POS消費終端UPS供電設(shè)施，在斷電情況下能提供一定時間的供電來確保數(shù)據(jù)正確讀寫。

2.3 完善制度建設(shè)、加強網(wǎng)絡安全培訓。進一步完善一卡通各項管理制度的同時，建立一種維護記錄備查制度[5]。在一卡通系統(tǒng)運行期間，對系統(tǒng)一般故障的維護，需要記錄故障問題描述、故障處理方法、故障處理結(jié)果及相應的操作人員，分別以紙質(zhì)及電子方式形成日志文件并存檔。對系統(tǒng)需求的改進，通過一卡通用戶提出需求，由系統(tǒng)提供商確認及升級，每次需求的提出及系統(tǒng)升級均需要存檔。

系統(tǒng)使用者安全意識是網(wǎng)絡安全中建設(shè)中最容易忽視的一個環(huán)節(jié)，使用者安全意識的薄弱直接影響到系統(tǒng)安全的使用性。鑒于此，可以通過對工作人員的培訓，提高其安全防范意識，具體可以從以下幾個方面來進行：（1）網(wǎng)絡基本知識的培訓，提高使用者對網(wǎng)絡的基本認識，例如，通過對IP地址原理的講解，使工作人員意識到隨意設(shè)置IP會導致IP沖突，造成電腦無法訪問內(nèi)網(wǎng)；（2）網(wǎng)絡安全知識培訓，養(yǎng)成良好上網(wǎng)習慣，增強計算機使用和維護知識，共同承擔網(wǎng)絡安全運行與維護的責任；（3）網(wǎng)絡異常識別能力培訓，提高系統(tǒng)和網(wǎng)絡異常的識別能力，及時向系統(tǒng)技術(shù)工作人員反饋。

3 結(jié)束語

一卡通系統(tǒng)作為數(shù)字化校園的核心系統(tǒng)，一卡通的設(shè)計是否安全、可靠，其重要性是不可忽視的。本文在分析一卡通系統(tǒng)典型安全問題基礎(chǔ)上，從數(shù)據(jù)安全、網(wǎng)絡中斷控制、管理制度上提出了控制對策。網(wǎng)絡安全是一個系統(tǒng)工程，需要全體人員共同參與，通過技術(shù)與制度的相互配合才能起到真正的保護作用，做到防患于未然。

參考文獻：

[1]張鴻軍，張新剛.數(shù)字化校園中典型安全問題分析及防御對策[J].中國電化教育，2009.

[2]裴茂偉，李可勝.高校數(shù)字化校園建設(shè)及安全問題研究[J].中州大學學報，2013.

[3]華興橋.數(shù)字化校園網(wǎng)絡安全問題的分析與對策[J].中國現(xiàn)代教育裝備，2013.

[4]劉恩軍，王克生，孫桂江.校園一卡通系統(tǒng)安全策略的研究[J].電腦知識與技術(shù)，2010.

[5]王娟.校園一卡通系統(tǒng)安全管理策略—以華南師范大學為例[J].數(shù)字技術(shù)與應用，2011.

作者簡介：胡良梁（1987-），男，湖南婁底人，碩士，研究方向：系統(tǒng)應用、算法研究等；李幼蘭，女，就職于財務處；席海，男，就職于財務處。

作者單位：重慶第二師范學院，重慶 400067