校园一卡通系统安全建设方案的研究与设计

杨翠翠

（中央财经大学网络信息中心，北京 100081）

1 引言

校园一卡通是我国特有的高等教育体系以及国家日益重视的教育信息化战略和方针下的产物，符合我国高等教育机构全面信息化管理的要求，满足政策公开、财务透明、方便学生的高校日常工作管理需要，是校园信息化管理的重要手段与方式，是促进高校管理信息化、提高财务管理水平和管理效益的重要举措，更是数字化校园建设进程中的基础应用和数据来源。

校园一卡通系统的建设目标是用一卡通来替代校园内正在使用的洗澡卡、饭卡、上机卡、医疗卡、考勤卡、门禁卡、借书卡等各类功能卡，最终实现“一卡在手，走遍校园”的目标。这是高校数字化校园建设的重要内容，也是信息化工作的重点环节，是为广大师生的学习、科研、生活提供便利的一种有效方法。

2 校园一卡通系统的建设现状

当前，大部分高校已经建成了基础的校园一卡通系统，主要涵盖了数据交换平台、卡务中心平台、财务清算系统、消费子系统、身份识别类子系统、第三方接口组合、自助服务平台等主要功能。

数据交换平台，是一卡通核心数据平台，由后台处理系统、配置管理系统、信息同步系统、远程监控系统等模块组成，主要实现了对校园一卡通数据的统一存储、管理和信息共享。

卡务中心平台，主要负责制卡、开户、补助发放、信息查询等卡务相关内容。财务清算系统， 包含了财务清算、系统结账、报表生成等功能模块。

消费子系统，目前包含食堂、校医院、商铺、浴室、图书馆、班车等刷卡消费场景。

身份识别类子系统，主要包含学生宿舍门禁、图书馆通道机、办公区域门禁、网络弱电间门禁等。

第三方接口组合，主要是指同图书馆借还书系统、选座系统、多媒体设备刷卡系统、体育管理系统、成绩单打印系统、购电系统等相关系统的对接接口。

自助服务平台，主要包括自助服务机、现金充值机、自助补卡机，为广大师生提供挂失、补卡、修改密码、限额变更、银校转账、网费充值、自助购电、补助领取等相关业务。

高校校园一卡通系统的系统架构图如图1所示。

大部分高校校园一卡通系统的核心功能已经基本完成，但基于该系统的安全建设方案还未真正起步。虽然校园一卡通系统的应用大大推动了高校的改革和发展，却同时也带了诸多的安全问题，如何有效强化校园一卡通系统的安全管理成为了高校所面临的一项重大挑战。必须要采取有效的措施来加强校园一卡通系统的安全管理，以保证系统应用的安全可控。

3 校园一卡通系统安全建设方案的研究

校园一卡通系统是智慧校园的主要组成部分，它对内同各个第三方应用系统、对外与银行系统进行对接。它实现了对校园卡信息的科学管理和信息系统的数据共享，同时也存在各种安全威胁，例如数据传输错误、数据窃取、系统攻击等。

校园一卡通系统安全建设方案的研究，主要从校园一卡通系统存在的安全问题以及安全建设方案的设计原则两个方面展开。

3.1 校园一卡通系统存在的安全问题

一卡通系统的运行除了前端应用外，还与后端基础网络和硬件息息相关。随着技术的不断发展，一卡通在数字化校园中的重要性逐渐增强，其安全问题也与日俱增。校园一卡通系统主要存在六方面的安全问题。

（1）网络和通信安全问题

为了保证校园一卡通的通信和网络安全，有的高校采用专用物理网络，有的高校通过分离校园网的Vlan网络。但无论何种方式，由于网络端口遍布校园各处，不法分子可接入到一卡通网络，存在散播病毒、冒充网关的安全风险。此外，一卡通的食堂POS机、浴室刷卡器等前端设备长期处于高温高湿环境，容易线路老化导致通信异常。

（2）业务安全问题

日常业务操作会涉及到密钥、卡片结构信息等关键因素，如果工作计算机被攻击那么将会存在信息泄露的风险。此外，在同第三方系统进行业务对接时，系统核心数据和服务信息等会暴露给第三方，容易导致安全问题的发生。

（3）运行安全问题

一卡通系统不仅包含POS机、水控器等可以脱机的设备，还有自助充值、购电、考勤等实时的在线应用。一旦一卡通运行中断，所有在线业务暂停，则无法进行充值、购电、补卡等相关业务，会给在校师生的生活带来极大影响。运行安全还包括一卡通服务器的安全，双机模式是否启用、高可用性是否配置、备份恢复机制等都直接关系到一卡通系统的运行安全。

（4）财务安全问题

在一卡通系统中，财务安全问题是一个重要因素。系统必须保证交易数据的完整性、正确性、不可篡改或者伪造。但现有的一卡通系统，不可避免的存在非法卡消费、丢失后挂失卡消费、卡状态异常、非法持有后的恶意消费等一系列财务安全问题。

（5）数据安全问题

一卡通系统里面包含着消费数据、门禁数据、考勤数据、人员数据等信息，其重要性不言而喻。一卡通数据的共享方式、加密机制、数据传输、存储备份机制等都会导致数据安全问题的产生。

（6）管理安全问题

一卡通系统的日常管理中也存在着诸多安全问题。前端设备管理中，POS机、水控器等一旦随意拆接，可能会导致短路等安全问题；账务管理中，可能会出现账实不符、结账失败、现金被盗等安全问题；系统管理方面，存在管理员密码泄露、系统中毒等安全隐患。

3.2 安全建设方案的设计原则

结合校园一卡通系统现有的安全问题，针对性的开展安全建设方案的设计。由于校园一卡通系统具有一定的特殊性，因此其对安全建设的要求也相对较高。为了保证校园一卡通系统安全建设方案的可行性，首先需要明确其安全的建设标准，主要从系统自身和网络这两个层面展开研究。

（1）系统安全建设方案的设计原则

在系统安全建设层面，由于校园一卡通系统存储着师生的个人数据和电子钱包等信息，所以其安全建设方案应当遵循需求、风险、代价平衡分析的原则，且要保证整个系统具有操作一致性原则。校园一卡通系统广泛分布在校园的各个角落，涉及到广大师生的学习、科研和生活，所以在进行安全设计时应该保证其具有易于操作性原则、适应性强原则，除此之外还需要具有多重保护的原则。

（2）网络安全建设方案的设计原则

在网络安全建设层面，主要包含真实性、可控性、可靠性、完整性、保密性这五点安全要求。真实性，是指任何校园一卡通系统的用户或者操作员都不能否认曾对一卡通系统做出过的任何操作和承诺；可控性，是指校园一卡通系统的网络必须对传播信息的内容及传播方式具有调节和控制能力；可靠性，是指校园一卡通系统的网络必须能够迅速完成各项指定的功能和任务；完整性，是指校园一卡通系统的网络在信息传输过程中必须要确保所有的信息资源是完整的；保密性，是指校园一卡通系统的网络必须要确保所有系统中用户信息的安全和保密。

4 校园一卡通系统安全建设方案的设计

4.1 系统结构安全建设方案的设计

校园一卡通系统在系统结构方面可以分为四个层次：物理层，包含各种信息存储交流设备，如POS机、卡片、门禁控制器、水控器等；数据层，包含数据采集、存储、处理等功能；中间件层，主要用于应用系统跟数据库的隔离，保障数据安全，防止非法访问；应用层，负责完成用户与系统的交互，包含自助服务、第三方接口、前端应用等。

（1）物理层的安全方案

针对物理层的安全设计方案主要包含校园卡、前端POS机、门禁控制器、水控器等机具的安全设计。随着传统的校园M1卡被不法分子的破解，其安全性无法得到有效保障，用CPU卡来替代M1卡对高校来说是更安全的选择。CPU卡在密钥管理、芯片架构、交易流程和数据控制等方面均具有较高的先进性和安全性。CPU卡由程序存储器ROM、随机存储器RAM、用户数据存储器EEPROM、微型处理器、处理器操作系统共同组成，可以实现对数据信息的有效处理和安全存储。

与M1卡相比，CPU卡的密钥体系不由生产厂商决定，而是由相关部门统一制定，且密钥在生效后即被置换，有效的避免了因密钥重复使用而导致的安全隐患。在前端机具的安全方面，通过卡片与相应机具的双向身份验证、使用交易验证码来进行交易的记录、在交易数据传输中配备指针进行标记、采用线性结构来提升系统数据读写效率及准确性这四种方式来提升校园一卡通系统前端机具的安全性。

（2）数据层的安全方案

大部分高校的校园一卡通系统由原来的C/S模式升级为了B/S模式，其需要基于Web服务才能正常运行，但Web服务是需要用户与计算机进行频繁的信息交换的，这就会导致攻击事件的发生。为了避免出现数据安全隐患，需要设计相应的安全方案。

在数据访问方面，建议一卡通系统采用系统分区模式，将整个系统划分为前端数据采集区、网络传输区、Web服务区、应用服务区、数据库区等，这样前端用户无法对数据库进行直接访问，必须经过正常流程逐个区域访问后才能到达数据库区，这样可以使访问者进行安全有效的访问。在用户角色设计方面，一卡通系统可以对不同权限的用户进行区分，不同的访问者只能访问其权限范围内的数据信息，这样不仅能够实现对不同层级数据的有序管理，还能减轻一卡通系统的数据处理量。

（3）中间件层的安全方案

中间件层是用户访问数据的重要环节，需要进行统一化的接口定义来确保其安全性。基于Web服务建立的系统，其接口调用方式主要包含调用实体和调用方法两种。结合校园一卡通的实际情况，考虑到其数据交换是以资金流动为主要内容，因此建议接口调用采用调用实体的方式更合适，这样既充分保证了中间件层的安全性，也降低了技术人员的开发难度。

（4）应用层的安全方案

应用层作为直接同访问者交互的区域，极易存在系统漏洞或受到病毒攻击，严重者会造成一卡通系统的瘫痪。在应用层，其安全方案可以从三个方面进行设计。

第一，加强计算机病毒的防范措施，及时升级杀毒软件和应用程序，对数据起到有效的保护作用，防止被非法者破坏。

第二，修复系统漏洞，管理员需要使用漏洞修复软件或杀毒软件等工具，对应用层系统存在的安全漏洞及时进行修复，以保证访问者的使用安全。

第三，利用实名认证技术，使每位访问者的身份合法化，符合网络安全规范，保障一卡通系统的网络安全。

4.2 网络安全建设方案的设计

系统结构安全建设方案是针对一卡通系统本身的安全问题，而网络安全建设方案则是专门针对一卡通系统网络环境层面的安全问题。网络安全建设方案主要从网络安全防护措施、网站和系统的安全管理、等保测评、网络安全管理人才的培养这四个方面进行展开。

（1）完善校园一卡通系统的网络安全防护措施

使用集中监控软件来对一卡通系统的网络进行实时监控，清理放置在校外的相关子系统或接口，清理整顿跟一卡通系统相关的网络域名和校内IP地址。采用IPS设备和防火墙有效阻断网络基础性攻击，运用WAF监控阻断进入一卡通系统网络的攻击，通过访问控制列表来实现校园一卡通网络的访问安全。同时，安装杀毒软件等实现对一卡通系统的边界和网络相结合的多层次环境安全防护。此外，还要进行容灾备份工作，网络设备务必使用国有品牌，以防止国外设备中的隐藏的安全隐患或漏洞。

（2）加强校园一卡通系统的相关网站和系统的安全管理

所有的校园一卡通系统的相关网站和信息系统上线前均进行安全检测，上线后每个月进行定期的安全漏洞扫描。对网站和系统实现统一的安全防护和运维，同时进行IP地址实名登记，防止黑客利用网络对系统进行攻击。加强网络行为审计，保证对一卡通系统里的用户可管可控，实现对不良信息的过滤，及时封堵。为网络设备和安全设备建立日志服务器，至少保存六个月的日志记录，实现统一分析，保证能够准确发现异常，所有操作有痕迹。

（3）切实做好等级保护测评工作

等级保护测评是指信息系统运营、使用单位委托具有等级保护测评资质的测评机构对其建设的已定级的信息系统进行等级保护测评过程。计划开展对校园一卡通系统的等级保护测评工作，对照等级保护标准检查信息系统，发现问题及时整改，以达到相应级别的安全保护能力要求，查漏补缺，最终保障系统的安全运行。

（4）培养一卡通系统网络安全管理人才

有效的网络安全建设工作的开展需要依托专门的网络安全管理人才，因此需要重点培养。一方面，对现有的一卡通管理人员进行安全方面的强化训练，提高其专业知识和业务能力；另一方面积极引进专业人才，建立优秀的一卡通系统网络安全管理小组。通过这两种方式，加强安全建设，满足一卡通系统的安全需求。

5 结束语

校园一卡通系统是高校信息化建设的基础内容，其安全建设关系到一卡通系统的可靠性和稳定性。对于高校而言，校园一卡通系统的安全建设工作是一个系统性的工作，涉及到学校、各二级单位以及广大师生的切身利益。本文从校园一卡通系统的建设现状出发，分析了系统中存在的安全问题，从系统结构和网络两个层面提出了校园一卡通系统安全建设方案。校园一卡通系统的安全建设工作任重道远，需要从学校发展的战略高度来进行统一部署和规划，切实做好一卡通系统的安全管理内容，使高校的信息化水平迈上新的台阶。