六大安全措施護駕中央民族大學校園一卡通
文章出處:http://coolbang.cn 作者:賈玲玲 馬傳連 童霞 人氣: 發(fā)表時間:2011年07月09日
隨著信息時代的到來,傳統(tǒng)學校管理模式的不足之處逐漸顯露出來,將先進的技術手段與學?,F(xiàn)有的管理模式結合已成為時代發(fā)展的必然要求。在這樣的環(huán)境下,數(shù)字化校園的提出為高校發(fā)展掀開了嶄新的一頁。在數(shù)字化校園建設初期,我校首先要完成的是“校園一卡通系統(tǒng)”的建設工作。校園一卡通系統(tǒng)是數(shù)字化校園的骨干力量,是數(shù)字化校園的先行者,它為后續(xù)的數(shù)字化校園其他子項目的建設打下堅實基礎。
一卡通系統(tǒng)使用情況
經(jīng)過前期調(diào)研、規(guī)劃、招標等工作,我校于2003年8月4日啟動校園一卡通建設項目,經(jīng)過多方的共同努力,系統(tǒng)于2003年9月6日正式上線投入使用。我校一卡通系統(tǒng)建設原則是:立足現(xiàn)狀,面向未來,系統(tǒng)既要依托現(xiàn)有的資源進行建設,又要做到符合數(shù)字化校園未來的整體規(guī)劃;系統(tǒng)既要具有消費、管理等功能,又要與學校的信息系統(tǒng)結合起來,適應學校的發(fā)展,為學校有效管理提供完善的服務目前,我校正式在職人員及離退休老干部享有貴賓卡3411張,在校預科生、本科生、研究生共享有16805張貴賓卡,留學生享有1647張普通卡,校外其他人員使用2000余張臨時卡。
我校使用的卡片為MIFARE ONE型卡,卡片按照身份主要劃分成幾類:教工、本科生、碩士生、博士生、??粕⒘魧W生、離退休人員等;按照卡片類型劃分為:貴賓卡、有成本卡、無成本卡、臨時卡。貴賓卡的持卡人主要是在校師生、離退休人員,主要功能包括各類消費、圖書借閱、門禁、身份識別、多媒體管理、網(wǎng)絡開通與繳費等。臨時卡主要是提供給非在校師生使用,臨時卡根據(jù)持卡人的身份對其功能進行授權,主要用于消費。
目前,我校一卡通系統(tǒng)的主要功能有:銀校轉賬、門禁管理、圖書管理、綜合消費、浴室水控、機房計費管理、考勤管理、綜合查詢等。
安全保障體系
可靠的安全保障是一卡通系統(tǒng)得以正常運作的關鍵因素。一卡通系統(tǒng)既涉及到銀行、商戶、持卡人等不同層面,又涉及到消費、圈存、結算等交易,因此對系統(tǒng)安全性有很高的要求。
1、卡片的安全性
在提高卡片安全性方面,學校主要采取以下幾種方式:采用一卡一密、一區(qū)一密的加密機制,防止被盜濫用;加入專用標識、采用專用算法來防止偽卡;采用DES專有混合算法形成一套高效的卡片密鑰管理機制;采用公共、獨立的信息共享區(qū),形成一種統(tǒng)一且又分而治之的數(shù)據(jù)管理策略;對卡片采用分類管理,授予不同權限和功能,增強安全性。
2、終端設備的安全性
在實際使用過程中,設備難免會有脫機操作的情況,在這種情況下就要保證數(shù)據(jù)的安全性,比如:將密鑰管理系統(tǒng)指定的密鑰和算法載入到所使用的終端設備中,通過上位管理軟件或者通過授權卡才能實現(xiàn)對終端設備參數(shù)的設定,保證終端設備上傳的數(shù)據(jù)是經(jīng)過數(shù)據(jù)加密認證的。同時,為了保證脫機操作時數(shù)據(jù)的安全性,采用非易失存儲芯片,并且可以通過數(shù)據(jù)指針在存儲芯片上將數(shù)據(jù)保存至多個不同的地方的方法來避免數(shù)據(jù)的丟失。為了防止由于網(wǎng)絡問題而導致數(shù)據(jù)丟失的現(xiàn)象,在硬件設計中通常采用增加重復采集功能,脫機交易流水儲存時,采用循環(huán)覆蓋最初流水的方式。
3、網(wǎng)絡傳輸過程的安全性
為保證校園一卡通數(shù)據(jù)的安全性,我們?yōu)樾@一卡通系統(tǒng)建設了專網(wǎng),限制用戶的非法訪問。校園卡相關的數(shù)據(jù)采用金融報文交換格式ISO8583標準,傳輸過程中進行MD5電子印鑒認證和標準三層128位DES、RSA加密措施。對于在校園網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù),系統(tǒng)直接采用SCOKET底層編程,在數(shù)據(jù)發(fā)送和接收時都采用數(shù)字簽名的方式。
4、數(shù)據(jù)庫的安全策略
數(shù)據(jù)庫安全可分為系統(tǒng)安全和數(shù)據(jù)安全兩種。系統(tǒng)安全包括在系統(tǒng)級別上,控制數(shù)據(jù)庫的存取和使用機制,如有效的用戶名/密碼組合、用戶模式對象的可用磁盤空間數(shù)量、用戶的資源限制。數(shù)據(jù)安全包括模式對象級別、控制數(shù)據(jù)庫的存取和使用的機制(比如哪些用戶有權存取指定的模式對象,在模式對象上允許每個用戶采取的動作,每個模式的審計動作)。
我們選擇的Oracle數(shù)據(jù)庫可以通過數(shù)據(jù)庫用戶、特權、角色、存儲設置和限額、資源限制和審計等機制來確保數(shù)據(jù)庫的安全。在Oracle多用戶數(shù)據(jù)庫系統(tǒng)中,安全機制完成以下任務:防止非授權的數(shù)據(jù)存取、防止非授權的模式對象存取、控制磁盤使用、控制系統(tǒng)資源的使用、審計用戶動作。
5、軟件的安全策略
在軟件的安全策略方面,我們通過對登錄安全控制、操作員權限控制、數(shù)據(jù)庫防篡改、第三方接入的安全控制、客戶機登錄的安全性、防止惡意攻擊、記錄日志、自動日結等方式加以限制。比如對于操作員的權限控制,通常都是細化到系統(tǒng)提供的每一個模塊,只有授權的操作員才能訪問相應的模塊,這使得不同的操作員只能在自己權限范圍內(nèi)進行操作,任何操作員都無法訪問系統(tǒng)內(nèi)任何未經(jīng)授權的部分。
6、數(shù)據(jù)存儲方式的安全性
我校一卡通系統(tǒng)數(shù)據(jù)存儲采用的是數(shù)據(jù)級異地災備,在學校的南睿樓設立災備中心,在數(shù)據(jù)庫服務器和災備中心之間建立一條高速的網(wǎng)絡通路,按照一天一備份的規(guī)則將數(shù)據(jù)庫的備份傳輸?shù)綖膫渲行牡拇疟P陣列上。一旦本地服務器上的數(shù)據(jù)出現(xiàn)損壞,可將災備中心的數(shù)據(jù)導入數(shù)據(jù)庫,實現(xiàn)數(shù)據(jù)的恢復。
校園一卡通系統(tǒng)的建設符合高校日常管理工作的需要,是推進高校信息化建設、提高管理水平的重要舉措。我校一卡通發(fā)展至今,已基本上實現(xiàn)了“一卡在手、走遍校園”的目標,為師生在校的工作、學習提供很大幫助。隨著信息技術的不斷進步,一卡通技術也在不斷地更新,我們將緊跟發(fā)展步伐,量身打造符合我校發(fā)展的系統(tǒng),爭取為全校師生提供更多更好的服務。
民大一卡通系統(tǒng)發(fā)展歷程
初步建設階段
2003年,我校正式啟動一卡通系統(tǒng)工程,系統(tǒng)主要是以2個雙機熱備SUN F280服務器為中心,通過前置機系統(tǒng)和前臺管理軟件、POS Server機之間進行數(shù)據(jù)交換。該系統(tǒng)采用多層混合架構,金融業(yè)務系統(tǒng)主要采用C/S模式,身份識別、信息管理以及自助服務類系統(tǒng)采用B/S模式。一卡通平臺由中心數(shù)據(jù)庫、中心主機系統(tǒng)、配置管理系統(tǒng)、信息同步系統(tǒng)、公共應用平臺服務器端、公共應用平臺客戶端、第三方接入套件構成,系統(tǒng)的投入使用基本上實現(xiàn)消費、水控、門禁管理等功能。
功能擴展階段
隨著校園各業(yè)務系統(tǒng)的不斷增加,各部門之間的合作不斷加強,校園一卡通系統(tǒng)與其他系統(tǒng)的銜接也不斷增多。2004年,校園一卡通系統(tǒng)與圖書管理系統(tǒng)實現(xiàn)對接;2006年,數(shù)字迎新系統(tǒng)和校園一卡通系統(tǒng)完成對接;同年,校園一卡通系統(tǒng)與校園信息門戶系統(tǒng)接口調(diào)試完成,這些都方便了用戶的使用。
2009年,校園一卡通系統(tǒng)與網(wǎng)絡計費系統(tǒng)的接口程序經(jīng)過調(diào)試也投入使用,通過一卡通繳網(wǎng)費解決以往人工收費費時、易錯等問題,實現(xiàn)師生自助交網(wǎng)費的功能。
升級完善階段
2009年,我校對校園一卡通系統(tǒng)硬件進行升級,將底層服務器替換成虛擬服務器。虛擬服務器的使用大大降低一卡通系統(tǒng)的運營成本,提升業(yè)務的持續(xù)性,提高負載均衡的能力,不僅解決了以往硬件出現(xiàn)故障所帶來的不便,而且大大提高系統(tǒng)的訪問速度。
2010年,我校對銀校轉賬系統(tǒng)進行升級,解決之前存在的部分問題,新的銀校轉賬系統(tǒng)投入使用后得到廣大師生的一致好評。