六大安全措施护驾中央民族大学校园一卡通

文章出处：http://www.singbon.com 作者：贾玲玲 马传连 童霞 人气： 发表时间：2011年07月09日

        随着信息时代的到来，传统学校管理模式的不足之处逐渐显露出来，将先进的技术手段与学校现有的管理模式结合已成为时代发展的必然要求。在这样的环境下，数字化校园的提出为高校发展掀开了崭新的一页。在数字化校园建设初期，我校首先要完成的是“校园一卡通系统”的建设工作。校园一卡通系统是数字化校园的骨干力量，是数字化校园的先行者，它为后续的数字化校园其他子项目的建设打下坚实基础。

　　一卡通系统使用情况

　　经过前期调研、规划、招标等工作，我校于2003年8月4日启动校园一卡通建设项目，经过多方的共同努力，系统于2003年9月6日正式上线投入使用。我校一卡通系统建设原则是：立足现状，面向未来，系统既要依托现有的资源进行建设，又要做到符合数字化校园未来的整体规划；系统既要具有消费、管理等功能，又要与学校的信息系统结合起来，适应学校的发展，为学校有效管理提供完善的服务目前，我校正式在职人员及离退休老干部享有贵宾卡3411张，在校预科生、本科生、研究生共享有16805张贵宾卡，留学生享有1647张普通卡，校外其他人员使用2000余张临时卡。

　　我校使用的卡片为MIFARE ONE型卡，卡片按照身份主要划分成几类：教工、本科生、硕士生、博士生、专科生、留学生、离退休人员等；按照卡片类型划分为：贵宾卡、有成本卡、无成本卡、临时卡。贵宾卡的持卡人主要是在校师生、离退休人员，主要功能包括各类消费、图书借阅、门禁、身份识别、多媒体管理、网络开通与缴费等。临时卡主要是提供给非在校师生使用，临时卡根据持卡人的身份对其功能进行授权，主要用于消费。

　　目前，我校一卡通系统的主要功能有：银校转账、门禁管理、图书管理、综合消费、浴室水控、机房计费管理、考勤管理、综合查询等。

　　安全保障体系

　　可靠的安全保障是一卡通系统得以正常运作的关键因素。一卡通系统既涉及到银行、商户、持卡人等不同层面，又涉及到消费、圈存、结算等交易，因此对系统安全性有很高的要求。

　　1、卡片的安全性

　　在提高卡片安全性方面，学校主要采取以下几种方式：采用一卡一密、一区一密的加密机制，防止被盗滥用；加入专用标识、采用专用算法来防止伪卡；采用DES专有混合算法形成一套高效的卡片密钥管理机制；采用公共、独立的信息共享区，形成一种统一且又分而治之的数据管理策略；对卡片采用分类管理，授予不同权限和功能，增强安全性。

　　2、终端设备的安全性

　　在实际使用过程中，设备难免会有脱机操作的情况，在这种情况下就要保证数据的安全性，比如：将密钥管理系统指定的密钥和算法载入到所使用的终端设备中，通过上位管理软件或者通过授权卡才能实现对终端设备参数的设定，保证终端设备上传的数据是经过数据加密认证的。同时，为了保证脱机操作时数据的安全性，采用非易失存储芯片，并且可以通过数据指针在存储芯片上将数据保存至多个不同的地方的方法来避免数据的丢失。为了防止由于网络问题而导致数据丢失的现象，在硬件设计中通常采用增加重复采集功能，脱机交易流水储存时，采用循环覆盖最初流水的方式。

　　3、网络传输过程的安全性

　　为保证校园一卡通数据的安全性，我们为校园一卡通系统建设了专网，限制用户的非法访问。校园卡相关的数据采用金融报文交换格式ISO8583标准，传输过程中进行MD5电子印鉴认证和标准三层128位DES、RSA加密措施。对于在校园网上传输的重要数据，系统直接采用SCOKET底层编程，在数据发送和接收时都采用数字签名的方式。

　　4、数据库的安全策略

　　数据库安全可分为系统安全和数据安全两种。系统安全包括在系统级别上，控制数据库的存取和使用机制，如有效的用户名/密码组合、用户模式对象的可用磁盘空间数量、用户的资源限制。数据安全包括模式对象级别、控制数据库的存取和使用的机制(比如哪些用户有权存取指定的模式对象，在模式对象上允许每个用户采取的动作，每个模式的审计动作)。

　　我们选择的Oracle数据库可以通过数据库用户、特权、角色、存储设置和限额、资源限制和审计等机制来确保数据库的安全。在Oracle多用户数据库系统中，安全机制完成以下任务：防止非授权的数据存取、防止非授权的模式对象存取、控制磁盘使用、控制系统资源的使用、审计用户动作。

　　5、软件的安全策略

　　在软件的安全策略方面，我们通过对登录安全控制、操作员权限控制、数据库防篡改、第三方接入的安全控制、客户机登录的安全性、防止恶意攻击、记录日志、自动日结等方式加以限制。比如对于操作员的权限控制，通常都是细化到系统提供的每一个模块，只有授权的操作员才能访问相应的模块，这使得不同的操作员只能在自己权限范围内进行操作，任何操作员都无法访问系统内任何未经授权的部分。

　　6、数据存储方式的安全性

　　我校一卡通系统数据存储采用的是数据级异地灾备，在学校的南睿楼设立灾备中心，在数据库服务器和灾备中心之间建立一条高速的网络通路，按照一天一备份的规则将数据库的备份传输到灾备中心的磁盘阵列上。一旦本地服务器上的数据出现损坏，可将灾备中心的数据导入数据库，实现数据的恢复。

　　校园一卡通系统的建设符合高校日常管理工作的需要，是推进高校信息化建设、提高管理水平的重要举措。我校一卡通发展至今，已基本上实现了“一卡在手、走遍校园”的目标，为师生在校的工作、学习提供很大帮助。随着信息技术的不断进步，一卡通技术也在不断地更新，我们将紧跟发展步伐，量身打造符合我校发展的系统，争取为全校师生提供更多更好的服务。

　　民大一卡通系统发展历程

　　初步建设阶段

　　2003年，我校正式启动一卡通系统工程，系统主要是以2个双机热备SUN F280服务器为中心，通过前置机系统和前台管理软件、POS Server机之间进行数据交换。该系统采用多层混合架构，金融业务系统主要采用C/S模式，身份识别、信息管理以及自助服务类系统采用B/S模式。一卡通平台由中心数据库、中心主机系统、配置管理系统、信息同步系统、公共应用平台服务器端、公共应用平台客户端、第三方接入套件构成，系统的投入使用基本上实现消费、水控、门禁管理等功能。

　　功能扩展阶段

　　随着校园各业务系统的不断增加，各部门之间的合作不断加强，校园一卡通系统与其他系统的衔接也不断增多。2004年，校园一卡通系统与图书管理系统实现对接；2006年，数字迎新系统和校园一卡通系统完成对接；同年，校园一卡通系统与校园信息门户系统接口调试完成，这些都方便了用户的使用。

　　2009年，校园一卡通系统与网络计费系统的接口程序经过调试也投入使用，通过一卡通缴网费解决以往人工收费费时、易错等问题，实现师生自助交网费的功能。

　　升级完善阶段

　　2009年，我校对校园一卡通系统硬件进行升级，将底层服务器替换成虚拟服务器。虚拟服务器的使用大大降低一卡通系统的运营成本，提升业务的持续性，提高负载均衡的能力，不仅解决了以往硬件出现故障所带来的不便，而且大大提高系统的访问速度。

　　2010年，我校对银校转账系统进行升级，解决之前存在的部分问题，新的银校转账系统投入使用后得到广大师生的一致好评。