六大安全措施護駕中央民族大學校園一卡通
文章出處:http://botanicstilllife.com 作者:賈玲玲 馬傳連 童霞 人氣: 發(fā)表時間:2011年07月09日
隨著信息時代的到來,傳統(tǒng)學校管理模式的不足之處逐漸顯露出來,將先進的技術手段與學?,F有的管理模式結合已成為時代發(fā)展的必然要求。在這樣的環(huán)境下,數字化校園的提出為高校發(fā)展掀開了嶄新的一頁。在數字化校園建設初期,我校首先要完成的是“校園一卡通系統(tǒng)”的建設工作。校園一卡通系統(tǒng)是數字化校園的骨干力量,是數字化校園的先行者,它為后續(xù)的數字化校園其他子項目的建設打下堅實基礎。
一卡通系統(tǒng)使用情況
經過前期調研、規(guī)劃、招標等工作,我校于2003年8月4日啟動校園一卡通建設項目,經過多方的共同努力,系統(tǒng)于2003年9月6日正式上線投入使用。我校一卡通系統(tǒng)建設原則是:立足現狀,面向未來,系統(tǒng)既要依托現有的資源進行建設,又要做到符合數字化校園未來的整體規(guī)劃;系統(tǒng)既要具有消費、管理等功能,又要與學校的信息系統(tǒng)結合起來,適應學校的發(fā)展,為學校有效管理提供完善的服務目前,我校正式在職人員及離退休老干部享有貴賓卡3411張,在校預科生、本科生、研究生共享有16805張貴賓卡,留學生享有1647張普通卡,校外其他人員使用2000余張臨時卡。
我校使用的卡片為MIFARE ONE型卡,卡片按照身份主要劃分成幾類:教工、本科生、碩士生、博士生、專科生、留學生、離退休人員等;按照卡片類型劃分為:貴賓卡、有成本卡、無成本卡、臨時卡。貴賓卡的持卡人主要是在校師生、離退休人員,主要功能包括各類消費、圖書借閱、門禁、身份識別、多媒體管理、網絡開通與繳費等。臨時卡主要是提供給非在校師生使用,臨時卡根據持卡人的身份對其功能進行授權,主要用于消費。
目前,我校一卡通系統(tǒng)的主要功能有:銀校轉賬、門禁管理、圖書管理、綜合消費、浴室水控、機房計費管理、考勤管理、綜合查詢等。
安全保障體系
可靠的安全保障是一卡通系統(tǒng)得以正常運作的關鍵因素。一卡通系統(tǒng)既涉及到銀行、商戶、持卡人等不同層面,又涉及到消費、圈存、結算等交易,因此對系統(tǒng)安全性有很高的要求。
1、卡片的安全性
在提高卡片安全性方面,學校主要采取以下幾種方式:采用一卡一密、一區(qū)一密的加密機制,防止被盜濫用;加入專用標識、采用專用算法來防止偽卡;采用DES專有混合算法形成一套高效的卡片密鑰管理機制;采用公共、獨立的信息共享區(qū),形成一種統(tǒng)一且又分而治之的數據管理策略;對卡片采用分類管理,授予不同權限和功能,增強安全性。
2、終端設備的安全性
在實際使用過程中,設備難免會有脫機操作的情況,在這種情況下就要保證數據的安全性,比如:將密鑰管理系統(tǒng)指定的密鑰和算法載入到所使用的終端設備中,通過上位管理軟件或者通過授權卡才能實現對終端設備參數的設定,保證終端設備上傳的數據是經過數據加密認證的。同時,為了保證脫機操作時數據的安全性,采用非易失存儲芯片,并且可以通過數據指針在存儲芯片上將數據保存至多個不同的地方的方法來避免數據的丟失。為了防止由于網絡問題而導致數據丟失的現象,在硬件設計中通常采用增加重復采集功能,脫機交易流水儲存時,采用循環(huán)覆蓋最初流水的方式。
3、網絡傳輸過程的安全性
為保證校園一卡通數據的安全性,我們?yōu)樾@一卡通系統(tǒng)建設了專網,限制用戶的非法訪問。校園卡相關的數據采用金融報文交換格式ISO8583標準,傳輸過程中進行MD5電子印鑒認證和標準三層128位DES、RSA加密措施。對于在校園網上傳輸的重要數據,系統(tǒng)直接采用SCOKET底層編程,在數據發(fā)送和接收時都采用數字簽名的方式。
4、數據庫的安全策略
數據庫安全可分為系統(tǒng)安全和數據安全兩種。系統(tǒng)安全包括在系統(tǒng)級別上,控制數據庫的存取和使用機制,如有效的用戶名/密碼組合、用戶模式對象的可用磁盤空間數量、用戶的資源限制。數據安全包括模式對象級別、控制數據庫的存取和使用的機制(比如哪些用戶有權存取指定的模式對象,在模式對象上允許每個用戶采取的動作,每個模式的審計動作)。
我們選擇的Oracle數據庫可以通過數據庫用戶、特權、角色、存儲設置和限額、資源限制和審計等機制來確保數據庫的安全。在Oracle多用戶數據庫系統(tǒng)中,安全機制完成以下任務:防止非授權的數據存取、防止非授權的模式對象存取、控制磁盤使用、控制系統(tǒng)資源的使用、審計用戶動作。
5、軟件的安全策略
在軟件的安全策略方面,我們通過對登錄安全控制、操作員權限控制、數據庫防篡改、第三方接入的安全控制、客戶機登錄的安全性、防止惡意攻擊、記錄日志、自動日結等方式加以限制。比如對于操作員的權限控制,通常都是細化到系統(tǒng)提供的每一個模塊,只有授權的操作員才能訪問相應的模塊,這使得不同的操作員只能在自己權限范圍內進行操作,任何操作員都無法訪問系統(tǒng)內任何未經授權的部分。
6、數據存儲方式的安全性
我校一卡通系統(tǒng)數據存儲采用的是數據級異地災備,在學校的南睿樓設立災備中心,在數據庫服務器和災備中心之間建立一條高速的網絡通路,按照一天一備份的規(guī)則將數據庫的備份傳輸到災備中心的磁盤陣列上。一旦本地服務器上的數據出現損壞,可將災備中心的數據導入數據庫,實現數據的恢復。
校園一卡通系統(tǒng)的建設符合高校日常管理工作的需要,是推進高校信息化建設、提高管理水平的重要舉措。我校一卡通發(fā)展至今,已基本上實現了“一卡在手、走遍校園”的目標,為師生在校的工作、學習提供很大幫助。隨著信息技術的不斷進步,一卡通技術也在不斷地更新,我們將緊跟發(fā)展步伐,量身打造符合我校發(fā)展的系統(tǒng),爭取為全校師生提供更多更好的服務。
民大一卡通系統(tǒng)發(fā)展歷程
初步建設階段
2003年,我校正式啟動一卡通系統(tǒng)工程,系統(tǒng)主要是以2個雙機熱備SUN F280服務器為中心,通過前置機系統(tǒng)和前臺管理軟件、POS Server機之間進行數據交換。該系統(tǒng)采用多層混合架構,金融業(yè)務系統(tǒng)主要采用C/S模式,身份識別、信息管理以及自助服務類系統(tǒng)采用B/S模式。一卡通平臺由中心數據庫、中心主機系統(tǒng)、配置管理系統(tǒng)、信息同步系統(tǒng)、公共應用平臺服務器端、公共應用平臺客戶端、第三方接入套件構成,系統(tǒng)的投入使用基本上實現消費、水控、門禁管理等功能。
功能擴展階段
隨著校園各業(yè)務系統(tǒng)的不斷增加,各部門之間的合作不斷加強,校園一卡通系統(tǒng)與其他系統(tǒng)的銜接也不斷增多。2004年,校園一卡通系統(tǒng)與圖書管理系統(tǒng)實現對接;2006年,數字迎新系統(tǒng)和校園一卡通系統(tǒng)完成對接;同年,校園一卡通系統(tǒng)與校園信息門戶系統(tǒng)接口調試完成,這些都方便了用戶的使用。
2009年,校園一卡通系統(tǒng)與網絡計費系統(tǒng)的接口程序經過調試也投入使用,通過一卡通繳網費解決以往人工收費費時、易錯等問題,實現師生自助交網費的功能。
升級完善階段
2009年,我校對校園一卡通系統(tǒng)硬件進行升級,將底層服務器替換成虛擬服務器。虛擬服務器的使用大大降低一卡通系統(tǒng)的運營成本,提升業(yè)務的持續(xù)性,提高負載均衡的能力,不僅解決了以往硬件出現故障所帶來的不便,而且大大提高系統(tǒng)的訪問速度。
2010年,我校對銀校轉賬系統(tǒng)進行升級,解決之前存在的部分問題,新的銀校轉賬系統(tǒng)投入使用后得到廣大師生的一致好評。