亚洲狼窝一区二区在线观看-米奇精品一区二区三区在线观看-一区二区三区美女免费作爱视频-av中文字幕不卡在线播放

歡迎您訪問鄭州興邦電子股份有限公司官方網(wǎng)站!
阿里巴巴誠信通企業(yè)
全國咨詢熱線:40000-63966
興邦電子,中國水控機第一品牌

聯(lián)系興邦電子

全國咨詢熱線:40000-63966

售后:0371-55132951/55132952

工廠:河南省 鄭州市 高新區(qū)蓮花街電子電器產(chǎn)業(yè)園

校園一卡通系統(tǒng)的設(shè)計及安全性措施的研究

文章出處:http://www.luckydriving.com 作者:易著梁 韓偉平 人氣: 發(fā)表時間:2010年04月09日

[文章內(nèi)容簡介]:對校園一卡通系統(tǒng)的總體目標(biāo)、各子系統(tǒng)功能以及一卡通系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和管理組織結(jié)構(gòu)進(jìn)行了設(shè)計,分別從操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全機制、終端安全及卡片安全等幾個方面進(jìn)行了分析,提出了防止一卡通系統(tǒng)中數(shù)據(jù)被非法竊取、篡改以及丟失的幾種聯(lián)合安全措施,消除了校園一卡通系統(tǒng)潛在的安全性隱患問題,可為各院校建設(shè)校園一卡通系統(tǒng)提供借鑒。

引言

隨著計算機技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展和融合,各高校相繼建立了自己的校園網(wǎng)并得到不斷完善,校園網(wǎng)的日趨成熟為校園一卡通系統(tǒng)的建立提供了網(wǎng)絡(luò)平臺。數(shù)據(jù)庫技術(shù)和射頻IC卡技術(shù)的發(fā)展和成熟,也為校園一卡通系統(tǒng)的建立提供了技術(shù)保障。同時高校信息管理理念與方式也在發(fā)生著深刻的變化,在校園內(nèi)實現(xiàn)一卡通系統(tǒng)已成為學(xué)院提高管理水平、促進(jìn)學(xué)院管理手段數(shù)字化的必然 趨勢。

1. 校園一卡通系統(tǒng)的設(shè)計

學(xué)院在引入校園一卡通系統(tǒng)前,教職工和學(xué)生存在“多卡在手”的狀況。以學(xué)生為例,每個學(xué)生持學(xué)生證卡、食堂飯卡、圖書借閱卡、就醫(yī)卡、上網(wǎng)卡以及熱水卡等多張卡,造成資源的浪費,給學(xué)生用卡及學(xué)院管理帶來極大的不便。

1. 1 校園一卡通系統(tǒng)總體目標(biāo)設(shè)計
為了解決以上弊端,促進(jìn)學(xué)院管理手段現(xiàn)代化,提高校園的智能化管理水平,學(xué)院在2004年引入校園一卡通系統(tǒng)。引入校園一卡通系統(tǒng)的總體目標(biāo)是實現(xiàn)“一卡在手,走遍校園”的校園數(shù)字管理模式, 為此,學(xué)院在總體目標(biāo)設(shè)計時,主要考慮了以下幾個方面:

(1)建立統(tǒng)一管理的校園基礎(chǔ)數(shù)據(jù)平臺 建立學(xué)生、教職員工、各種部門機構(gòu)基本的與統(tǒng)一的信息標(biāo)準(zhǔn)化管理平臺,實現(xiàn)數(shù)據(jù)信息共享,實現(xiàn)信息的集中式規(guī)范管理,促進(jìn)學(xué)院數(shù)字化建設(shè)的發(fā)展。作為校園一卡通系統(tǒng)的骨干平臺,校園卡應(yīng)用的商務(wù)管理、身份識別、學(xué)籍管理、校務(wù)管理等各種應(yīng)用子系統(tǒng)都建立在此平臺的基礎(chǔ)上,當(dāng)學(xué)院應(yīng)用規(guī)模擴大時,只需增加相應(yīng)子系統(tǒng)即可。持卡人的基本信息資料作為統(tǒng)一的公用數(shù)據(jù)在全網(wǎng)上實時共享,做到一人一卡、一人一戶,所有數(shù)據(jù)的變更都做到全網(wǎng)立即生效。

(2)實現(xiàn)校內(nèi)消費一卡通 在學(xué)院范圍內(nèi)實現(xiàn)統(tǒng)一的電子支付和費用收繳管理。持卡人可以在校內(nèi)任何一個消費網(wǎng)點進(jìn)行消費,所有商戶單位不論其性質(zhì)與規(guī)模都可以授權(quán)代理收款、結(jié)算。如:超市、餐飲、飲料吧、精品屋、影印室、繳費、上機收費管理、校園網(wǎng)收費管理、醫(yī)院收費管理、圖書超期收費管理、水控管理等。

(3)實現(xiàn)身份識別一卡通 用校園卡取代學(xué)院以前的學(xué)生證、工作證、借書證、出入證等各種證件,實現(xiàn)持卡人身份識別一卡通。

(4)實現(xiàn)子系統(tǒng)的掛接與捆綁 通過平臺預(yù)留的擴展接口實現(xiàn)各校園應(yīng)用子系統(tǒng)與校園一卡通系統(tǒng)平臺的數(shù)據(jù)共享。如通過一卡通系統(tǒng)實現(xiàn)學(xué)生公寓的用水控制管理;實現(xiàn)與圖書館管理系統(tǒng)、電子閱 覽室等系統(tǒng)的對接連通;公用機房上機收費管理、校醫(yī)院收費管理、宿舍樓出入門禁、教職工考勤管理、安全保衛(wèi)的巡更管理等系統(tǒng),都可以與一卡通系統(tǒng)平臺掛接與捆綁。

(5)實現(xiàn)財務(wù)統(tǒng)一管理 通過建設(shè)校園一卡通結(jié)算中心,對所有校園商戶實現(xiàn)統(tǒng)一結(jié)算和管理。

1. 2 校園一卡通系統(tǒng)功能模塊設(shè)計

我院建設(shè)的校園一卡通系統(tǒng)功能模塊設(shè)計如下:

(1)校園一卡通后臺管理系統(tǒng)平臺 該系統(tǒng)平臺主要是系統(tǒng)管理員進(jìn)行系統(tǒng)管理設(shè)置和系統(tǒng)初始化的平臺。為系統(tǒng)管理員提供了修改口令、創(chuàng)建賬號、分配管理員和組權(quán)限、備份數(shù)據(jù)以及系統(tǒng)異常情況處理的功能。

(2)校園管理平臺子系統(tǒng) 校園管理平臺是一卡通系統(tǒng)運行的基礎(chǔ),負(fù)責(zé)一卡通系統(tǒng)數(shù)據(jù)的采集和維護(hù)等。主要包括系統(tǒng)管理、學(xué)生基本信息管理、學(xué)籍基本信息、學(xué)籍日常事務(wù)、教學(xué)基本信息等功能部分。

(3)學(xué)院信息管理 系統(tǒng)管理員進(jìn)行系統(tǒng)初始化時將學(xué)院的各項信息進(jìn)行注冊,設(shè)置學(xué)院學(xué)期日期、周教學(xué)日數(shù)以及課長和上、下午課數(shù)等信息。

(4)系統(tǒng)管理 系統(tǒng)管理模塊應(yīng)提供強大的操作日志,對相關(guān)的操作都進(jìn)行記錄。同時系統(tǒng)管理還應(yīng)提供強大的用戶和權(quán)限設(shè)置,提供多種權(quán)限設(shè)定方式。

(5)卡管理系統(tǒng) 該系統(tǒng)實現(xiàn)校園一卡通系統(tǒng)維護(hù)、用戶卡片的發(fā)放、充值、掛失、解掛、換卡、查詢等,以及對各部門、各子系統(tǒng)進(jìn)行數(shù)據(jù)統(tǒng)計、財務(wù)結(jié)算等。

(6)餐飲消費子系統(tǒng) 該子系統(tǒng)提供對餐飲POS機的數(shù)據(jù)采集和參數(shù)下發(fā)的功能,并能對所采集的數(shù)據(jù)按學(xué)院要求進(jìn)行統(tǒng)計。

(7)機房管理子系統(tǒng) 該子系統(tǒng)按學(xué)院規(guī)定設(shè)置收費標(biāo)準(zhǔn),完成學(xué)生課外上機的收費。

(8)門禁子系統(tǒng) 該子系統(tǒng)是一個實時的網(wǎng)絡(luò)系統(tǒng),持卡人只需將卡片在門禁控制器上晃動一下,即可實現(xiàn)出入監(jiān)控的功能,同時系統(tǒng)將所發(fā)生的各種事件日志進(jìn)行數(shù)據(jù)記錄,用戶可通過相應(yīng)模塊進(jìn)行查詢、統(tǒng)計和處理。

(9)考勤管理子系統(tǒng) 該子系統(tǒng)設(shè)定不同的上班類型對員工進(jìn)行考勤,并對出差、請假、加班、調(diào)班、調(diào)休等情況能作出相應(yīng)處理。

(10)巡更子系統(tǒng) 該子系統(tǒng)根據(jù)巡更點采集的數(shù)據(jù)自動記錄保安的編號、時間、地點等巡更情況,并對采集回來的數(shù)據(jù)進(jìn)行整理、存檔,自動生成分類記錄、報表,并打印。

(11)圖書借閱管理子系統(tǒng) 該子系統(tǒng)實現(xiàn)一卡通系統(tǒng)與圖書館借閱系統(tǒng)相兼容,使一卡通能替代原有圖書借閱證,方便持卡人對圖書進(jìn)行借閱和查詢,也方便圖書館的管理。

1. 3 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

校園一卡通系統(tǒng)的網(wǎng)絡(luò)分為主干網(wǎng)和和終端設(shè)備子網(wǎng),其中主干網(wǎng)是整個校園一卡通系統(tǒng)的核心,各終端設(shè)備子網(wǎng)通過接口設(shè)備接入主干網(wǎng),與主干網(wǎng)實時通信。主干網(wǎng)和終端設(shè)備子網(wǎng)都采用TCP / IP傳輸協(xié)議。

校園一卡通系統(tǒng)采用B /S (B rowser/Server)結(jié)構(gòu),即瀏覽器和服務(wù)器結(jié)構(gòu)。在這種結(jié)構(gòu)下,用戶工作界面是通過WEB 瀏覽器來實現(xiàn),極少部分事務(wù)邏輯在前端(Browser)實現(xiàn),但是主要事務(wù)邏輯在服務(wù)器端( Server)實現(xiàn)。

在考慮校園一卡通系統(tǒng)網(wǎng)絡(luò)通信的安全設(shè)計時,一方面采用虛擬局域網(wǎng)技術(shù)(VLAN) ,實現(xiàn)在一套硬件網(wǎng)絡(luò)環(huán)境內(nèi)運行許多個完全獨立、互不通信的虛擬局域網(wǎng),就可以消除無謂的沖突檢測和出錯重發(fā),提高了數(shù)據(jù)傳輸效率。另一方面采用防火墻技術(shù),在網(wǎng)絡(luò)中設(shè)置防火墻,通過防火墻執(zhí)行安全及訪問控制功能,同時控制能登錄到服務(wù)器的IP地址。

1. 4 校園一卡通系統(tǒng)管理組織結(jié)構(gòu)

我院校園一卡通系統(tǒng)管理組織結(jié)構(gòu)由一卡通控制中心、一卡通管理中心和一卡通結(jié)算中心組成。其中一卡通控制中心設(shè)在網(wǎng)絡(luò)管理中心,主要負(fù)責(zé)校園一卡通系統(tǒng)日常運行、維護(hù)、卡片設(shè)計制作管 理、有關(guān)信息管理以及咨詢服務(wù);一卡通管理中心設(shè)在后勤處,主要負(fù)責(zé)發(fā)卡、充值、補(換)卡登記及咨詢服務(wù);一卡通結(jié)算中心設(shè)在財務(wù)處,主要負(fù)責(zé)帳務(wù)結(jié)算核對工作。校園一卡通系統(tǒng)作為數(shù)字化校園的基礎(chǔ)平臺,它的系統(tǒng)結(jié)構(gòu)比較龐大,其典型結(jié)構(gòu)框圖如圖1所示。

校園一卡通系統(tǒng)組成的結(jié)構(gòu)圖

2. 校園一卡通系統(tǒng)的安全問題及解決方案

由于校園一卡通系統(tǒng)上運行的是金融交易數(shù)據(jù)及其它重要的M IS數(shù)據(jù),其安全性要求非常高,因此對整個系統(tǒng)的安全要有全面的考慮。為使整個系統(tǒng)安全、高效地運行,對系統(tǒng)本身的穩(wěn)定性、安全性及健壯性都提出了很高的要求,最大程度地保護(hù)持卡人和校內(nèi)其他授權(quán)商戶或收款單位的利益。依據(jù)校園一卡通系統(tǒng)的功能組成結(jié)構(gòu)特點,可以從以下幾方面進(jìn)行系統(tǒng)安全性的加強:

(1)操作系統(tǒng)安全性 選擇安全性和穩(wěn)定性高的操作系統(tǒng)作為后臺中心數(shù)據(jù)庫的操作支持平臺。SCO UN IX7操作系統(tǒng)就是一個比較合適的選擇,與W INDOWS操作系統(tǒng)相比較而言,UN IX具有高安全性,安全等級達(dá)到C2級;病毒感染較少;操作系統(tǒng)性能相當(dāng)卓越,運行穩(wěn)定,大大減少了維護(hù)工作量。

(2)通信網(wǎng)絡(luò)安全性 校園一卡通系統(tǒng)從某種意義上說是校園網(wǎng)建設(shè)的一部分,但是由于它的應(yīng)用特殊性,實質(zhì)上它是一個專用網(wǎng)絡(luò),也就是一個小型的局域網(wǎng)。它的唯一出口是與銀行相連的通信鏈路,從其他地方是沒有辦法進(jìn)入一卡通系統(tǒng)的。推薦一卡通使用獨立的網(wǎng)絡(luò)或者使用VLAN。在與外界網(wǎng)絡(luò)相連時,使用雙網(wǎng)卡,將中心數(shù)據(jù)與外界進(jìn)行物理隔離,安全封閉,同時通過防火墻對數(shù)據(jù)訪問進(jìn)行過濾,有效控制非法數(shù)據(jù)的侵入。與銀行通訊方面,采用一卡通前置機與銀行前置機單線直聯(lián)方式,不經(jīng)過交換機,可以保證數(shù)據(jù)傳輸?shù)目煽啃院桶踩浴?/P>

(3)數(shù)據(jù)通信安全性 在系統(tǒng)網(wǎng)絡(luò)上,由于通信線路的公共化和電腦的易操作性,使得電子金融犯罪可能通過以下三個主要手段而得逞:一是竊取客戶儲蓄卡上的P IN;二是偽造和篡改財務(wù)交易信息;三是竊取(物理和電子)密鑰。為此,網(wǎng)絡(luò)上必須建立完備的數(shù)據(jù)安全保密體制,所以確定三個針鋒相對的防范原則:
①不允許P IN的明碼在通信線路和人工可操作的電腦存儲媒體上出現(xiàn);
②對任一交易信息必須做真?zhèn)舞b別;
③制定嚴(yán)格的密鑰管理制度。

鑒于上述原因,制定以下方案來保證通訊的安全、可靠:
①數(shù)據(jù)通訊的加密功能:為了保證數(shù)據(jù)傳輸?shù)陌踩?在通訊的過程中,不斷變換加密密鑰,對數(shù)據(jù)包進(jìn)行加密。加密采用的是DES和32DES加密算法。在系統(tǒng)中,設(shè)定兩個密鑰,主密鑰和工作密鑰。其中工作密鑰是用來對每次的通訊數(shù)據(jù)包進(jìn)行加密,通訊數(shù)據(jù)包的加密采用DES算法。而主密鑰是用來交換工作密鑰,工作密鑰交換采用32DES算法進(jìn)行加密,保證數(shù)據(jù)通信的安全性。
②采用特殊的數(shù)據(jù)包格式:與銀行共同定制一套數(shù)據(jù)報文格式,報文中規(guī)定各個含義字段的約束關(guān)系。即使數(shù)據(jù)報文被截獲,截獲者也難以理解其中的意思。

(4)數(shù)據(jù)庫安全性 數(shù)據(jù)庫系統(tǒng)中可能要收集、存儲和分析成千上萬行信息,這些信息本質(zhì)上有公共的,也有私有的。由于有這項責(zé)任在身,數(shù)據(jù)庫系統(tǒng)必須使數(shù)據(jù)庫管理員能適當(dāng)?shù)厥跈?quán)和限制訪問。此外,數(shù)據(jù)庫還必須提供防止未授權(quán)用戶存取機密數(shù)據(jù)的方法;防止任何人對機密數(shù)據(jù)進(jìn)行未授權(quán)的存取;防止未授權(quán)用戶惡意刪除破壞和擅自改變數(shù)據(jù);采用審核技術(shù)監(jiān)視用戶存取數(shù)據(jù);數(shù)據(jù)庫安全性中最基本的概念之一就是驗證,這是一個相當(dāng)簡單的過程,系統(tǒng)通過這個過程來證實用戶身份用戶可以通過提供身份證明或驗證令牌來響應(yīng)驗證請求。

我院校園一卡通系統(tǒng)采用Oracle8 /8 i作為整個系統(tǒng)的后臺中心數(shù)據(jù)庫。Oracle具有高安全性,安全等級達(dá)到C2級,架構(gòu)在公認(rèn)系統(tǒng)級數(shù)據(jù)安全的基礎(chǔ)上, Oracle數(shù)據(jù)庫本身使用了多種手段來加強數(shù)據(jù)庫的安全性,常見的就有密碼、角色、權(quán)限等。而且,后臺中心數(shù)據(jù)庫采用雙機熱備份來保證系統(tǒng)安全穩(wěn)定運行,使終端設(shè)備的批量交易數(shù)據(jù)能夠?qū)崟r回傳。中心數(shù)據(jù)存儲采用雙重保障機制,一方面通過磁盤陣列柜進(jìn)行交易數(shù)據(jù)的實時備份;另一方面對每天日結(jié)后的數(shù)據(jù)進(jìn)行備份保存,絕對保證數(shù)據(jù)存儲的完備、安全、可靠。同時,在交易終端,也采取多種措施防止交易數(shù)據(jù)丟失。如在網(wǎng)路不通的情況下,終端機可以脫網(wǎng)運行,終端本身能夠存儲2萬多筆脫機交易流水。另外,現(xiàn)場網(wǎng)絡(luò)的商務(wù)網(wǎng)關(guān)能夠存儲多達(dá)10萬筆的交易數(shù)據(jù),大容量的存儲設(shè)備既保證了交易數(shù)據(jù)的不丟失性,也為系統(tǒng)故障恢復(fù)留出足夠的時間。

(5)跨校區(qū)互聯(lián)安全性 現(xiàn)在一個校園可能存在有多個校區(qū),主校區(qū)在與其他分校區(qū)相掛接時,應(yīng)用代理服務(wù)器機制,保障數(shù)據(jù)庫安全。設(shè)置一臺工作站作為一卡通通信代理服務(wù)器,代理服務(wù)器提供對外的查詢接口,它本身不存放任何數(shù)據(jù),只是接受用戶的查詢并轉(zhuǎn)發(fā)服務(wù)器中的數(shù)據(jù),以此保護(hù)數(shù)據(jù)庫服務(wù)器免受攻擊。如WEB 查詢服務(wù)、多媒體查詢機、電話語音查詢等均運行在代理服務(wù)器上。在代理服務(wù)器上運行專用通訊軟件,定時負(fù)責(zé)與各個分校區(qū)的一卡通子系統(tǒng)交換數(shù)據(jù),所有通訊的數(shù)據(jù)包都采用加密算法和動態(tài)密鑰交換機制,確保數(shù)據(jù)安全。

(6)校園卡的安全性 校園卡采用黑白名單驗證機制,無論聯(lián)機交易還是脫機交易,都會對卡片的有效性進(jìn)行再次的驗證,確保萬無一失。通過對以上多方面安全考慮,可以保證一卡通系統(tǒng)網(wǎng)絡(luò)安全、穩(wěn)定運行。為未來數(shù)字化校園的建設(shè)搭建了很好的擴展平臺。

3. 結(jié)束語

我院校園一卡通系統(tǒng)正式使用近三年來,在學(xué)院的教學(xué)、行政、生活等各個方面發(fā)揮了規(guī)范管理的作用,為統(tǒng)一采集各類數(shù)據(jù)信息奠定了堅實、可靠的基礎(chǔ),促進(jìn)了學(xué)院的數(shù)字化建設(shè),進(jìn)一步提高了學(xué)院信息化管理水平,實踐表明我院校園一卡通系統(tǒng)的設(shè)計達(dá)到了預(yù)期目的。通過對校園一卡通系統(tǒng)安全問題的深入分析,提出了有效的解決方案,杜絕了校園一卡通系統(tǒng)的安全隱患。并將這些安全設(shè)計原則應(yīng)用到我院校園一卡通系統(tǒng)項目實施當(dāng)中,取得了良好的實際效果。

本文關(guān)鍵詞:校園一卡通
回到頂部