吳文暉

摘?要：校園一卡通系統(tǒng)在高校的應(yīng)用經(jīng)歷了高速發(fā)展的過程，給學(xué)校和師生帶來便捷的同時，也呈現(xiàn)出紛繁復(fù)雜的安全問題。多數(shù)校園一卡通系統(tǒng)是從食堂收費系統(tǒng)發(fā)展而來，缺少必要的頂層設(shè)計和標準規(guī)范，其組成模式基本采用搭積木方式整合而成。經(jīng)多年使用，目前系統(tǒng)的安全不僅牽涉到硬件故障、軟件缺陷，還涉及管理問題。本文通過對校園一卡通系統(tǒng)安全模型的構(gòu)建和對風(fēng)險來源的分析，在實踐的基礎(chǔ)上，提出規(guī)避風(fēng)險的應(yīng)用策略。

關(guān)鍵詞： 一卡通系統(tǒng);安全模型;風(fēng)險來源;應(yīng)用策略

文章編號： 2095-2163（2021）01-0024-04 中圖分類號：TP393.08 文獻標志碼：A

【Abstract】The application of the campus all-in-one card system in colleges and universities has undergone a rapid development process， which brings convenience to schools， teachers and students， but also presents numerous and complicated safety problems. Most campus all-in-one card systems are developed from the mess-hall charging system， lacking the necessary top-level design and standard specifications， and their composition mode is basically integrated by building blocks. After years of use， the current system security not only involves hardware failures and software defects， but also management problems. Based on the construction of the security model of the campus all-in-one card system and the analysis of risk sources， this paper proposes application strategies to avoid risks on the basis of practice.

【Key words】all-in-one card system; security model; source of risk; application strategy

0 引?言

目前，針對校園一卡通系統(tǒng)安全問題的研究通常基于數(shù)據(jù)存儲、卡安全和病毒防范等單一層面，忽略了校園一卡通系統(tǒng)的自身缺陷、布線環(huán)境和缺乏可行的管理制度等帶來的綜合風(fēng)險。這些問題均可引發(fā)故障，造成危害。隨著高校的高速發(fā)展，一卡通系統(tǒng)的需求范圍不斷擴大，業(yè)務(wù)功能日益豐富，專業(yè)應(yīng)用持續(xù)深入，由此帶來的流量也急劇上升，數(shù)據(jù)交換頻率和系統(tǒng)集成的復(fù)雜程度都超出原有設(shè)計要求，應(yīng)用系統(tǒng)經(jīng)常處于臨界運行狀態(tài)。雖然系統(tǒng)不斷采取修補式升級，但安全風(fēng)險還是頻現(xiàn)。

1 校園一卡通系統(tǒng)概念

校園一卡通系統(tǒng)是在學(xué)校專用網(wǎng)絡(luò)基礎(chǔ)上，以使用RFID和IC技術(shù)封裝的智能卡片或虛擬卡技術(shù)集成應(yīng)用的手機為載體，利用終端采集數(shù)據(jù)，經(jīng)應(yīng)用系統(tǒng)管理主機分類，實時上傳至服務(wù)器處理，再將處理后的數(shù)據(jù)回傳主機和終端，完成身份認證，實現(xiàn)教學(xué)服務(wù)、生活服務(wù)和校園收支等數(shù)字化管理。

1.1 平臺架構(gòu)

校園一卡通系統(tǒng)實施統(tǒng)一管理，分級運用綜合性平臺架構(gòu)，通過系統(tǒng)的模塊化結(jié)構(gòu)設(shè)計，按需配置功能，實現(xiàn)數(shù)據(jù)共享，提高運行效率。并預(yù)留接口方便其后的擴展。校園一卡通系統(tǒng)的平臺架構(gòu)如圖1所示。

1.2 業(yè)務(wù)模塊

具體功能包括：數(shù)據(jù)收發(fā)（對食堂、超市、浴室、洗衣房等的消費數(shù)據(jù)實時處理）;卡務(wù)中心（含發(fā)卡、銷戶、掛失、解掛等業(yè)務(wù)功能）;結(jié)算中心（負責銷售報表和管理報表的生成與審計）;管理中心（負責教務(wù)系統(tǒng)、圖書系統(tǒng)、醫(yī)療系統(tǒng)、圈存系統(tǒng)各主機與服務(wù)器的對接、設(shè)備授權(quán)和系統(tǒng)升級）;數(shù)據(jù)處理服務(wù)（運行于服務(wù)器端，完成數(shù)據(jù)監(jiān)控、采集和存儲）;多媒體自助圈存服務(wù)（含自助查詢、充值、報名與綜合繳費等業(yè)務(wù)功能）;自動喚醒服務(wù)（當系統(tǒng)進程掉線時自動重啟程序）。

2 校園一卡通系統(tǒng)的安全

校園一卡通系統(tǒng)的安全是指在相對封閉的專用網(wǎng)絡(luò)中，系統(tǒng)的硬件、軟件、網(wǎng)絡(luò)、管理環(huán)境及所發(fā)生的業(yè)務(wù)資源受到保護，不因意外或惡意原因遭受損毀、更改和泄露，系統(tǒng)能夠可靠地運行，網(wǎng)絡(luò)連接不間斷，數(shù)據(jù)收發(fā)和管理信息交換持續(xù)，滿足校園用戶的正常業(yè)務(wù)需求。

2.1 安全模型的構(gòu)建

校園一卡通系統(tǒng)安全模型由實體和虛擬兩類共五層組成[1-2]，見圖2。其中，實體層的第一層、即核心層由服務(wù)器群組成，通過TCP/IP協(xié)議與主機通信，同時圈存服務(wù)器通過DDN專線與銀行前置機通信。第二層、即應(yīng)用層由主機及一卡通應(yīng)用系統(tǒng)組成。第三層、即業(yè)務(wù)層由終端群組成。消費終端和門禁終端以RS485協(xié)議與管理主機互聯(lián)。多媒體自助終端以TCP/IP協(xié)議與圈存服務(wù)器聯(lián)接。第四層、即網(wǎng)絡(luò)層由各級網(wǎng)絡(luò)關(guān)口、通信線路和網(wǎng)絡(luò)設(shè)施組成。數(shù)據(jù)通過網(wǎng)絡(luò)層上傳下達。第五層為虛擬的，即管理層。由管理人員、操作人員和管理制度組成。負責細則的制定和人員落實，強化安全意識。

2.2 安全模型的內(nèi)容

（1）核心層。由信息中心數(shù)據(jù)服務(wù)器負責控制整個系統(tǒng)數(shù)據(jù)的采集與交換，最終存儲原始數(shù)據(jù)。結(jié)算服務(wù)器通過原始數(shù)據(jù)的統(tǒng)計與分析生成財務(wù)報表，匯總出所有數(shù)據(jù)源供應(yīng)用層調(diào)用。管理服務(wù)器負責應(yīng)用層統(tǒng)一管理、身份驗證、行為審計、權(quán)限下發(fā)、系統(tǒng)設(shè)置，實現(xiàn)對應(yīng)用系統(tǒng)的部署和數(shù)據(jù)的組織、調(diào)用。圈存服務(wù)器負責學(xué)校與銀行間財務(wù)數(shù)據(jù)的交換與結(jié)算。

（2）應(yīng)用層。由賦予一卡通系統(tǒng)應(yīng)用功能的主機群實施。在行使數(shù)據(jù)收發(fā)、卡務(wù)管理、餐飲管理、水控管理、圖書管理、教務(wù)管理和醫(yī)療管理的同時，履行數(shù)據(jù)上傳、日常查詢、卡務(wù)辦理和報表打印等具體作業(yè)的功能。

（3）業(yè)務(wù)層。屬于窗口業(yè)務(wù)網(wǎng)點，面向校園卡最終用戶。消費終端和門禁終端自身采用EPROM存儲芯片，可存儲2 000筆本機交易數(shù)據(jù)和10批次黑名單數(shù)據(jù)，網(wǎng)絡(luò)中斷時可比對黑名單脫機使用。多媒體自助終端提供人機交互服務(wù)。

（4）網(wǎng)絡(luò)層。由服務(wù)器通過光纖連接至各管理機房主機組成一級主干網(wǎng)，由主機連接多媒體自助終端組成二級子網(wǎng)，由主機連接消費終端和門禁終端組成三級子網(wǎng)。這些都是連接核心層、應(yīng)用層和業(yè)務(wù)層的橋梁。

（5）管理層。是虛擬的邏輯層。安全問題多由系統(tǒng)內(nèi)部引起。缺乏相應(yīng)的規(guī)章制度、制度不落實及權(quán)責不明都可引發(fā)風(fēng)險。因此建立和完善一套行之有效的安全管理規(guī)章制度十分必要。同時對從業(yè)人員要強化責任意識和專業(yè)技能培訓(xùn)。為預(yù)防突發(fā)事件，還應(yīng)制訂對應(yīng)的應(yīng)急工作預(yù)案。

2.3 安全模型的作用

安全模型的建立，簡潔明了地展現(xiàn)校園一卡通系統(tǒng)各個層次的安全節(jié)點，有利于厘清各方關(guān)系，專注其風(fēng)險控制，配合管理制度的有效實施，可以積極保障系統(tǒng)的持續(xù)安全運行。

3 校園一卡通系統(tǒng)安全風(fēng)險來源

根據(jù)安全模型的構(gòu)建，可將校園一卡通系統(tǒng)風(fēng)險的來源歸納為軟件、硬件和安全管理三個方面。對此展開的研討分述如下。

3.1 軟件安全風(fēng)險

這類風(fēng)險來自于操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)等軟件。其中，操作系統(tǒng)應(yīng)定期安裝補丁程序，才能避免相關(guān)安全風(fēng)險。應(yīng)用系統(tǒng)包含服務(wù)器應(yīng)用、主機應(yīng)用和終端單片機應(yīng)用軟件。數(shù)據(jù)服務(wù)器與消費終端進行數(shù)據(jù)交換時，或結(jié)算服務(wù)器、自助圈存終端與銀行前置機進行數(shù)據(jù)交換時，因軟件自身缺陷或病毒侵入，即可引發(fā)數(shù)據(jù)安全風(fēng)險。服務(wù)器的初期配置主要為校園生活業(yè)務(wù)服務(wù)，完全能夠支持一卡通系統(tǒng)的正常運作。隨著高校人數(shù)逐年增長，以及各項業(yè)務(wù)的逐步展開，服務(wù)器群的負載越來越重，系統(tǒng)陳舊數(shù)據(jù)也越積越多，業(yè)務(wù)流量經(jīng)常瞬間超負荷即會造成服務(wù)器系統(tǒng)崩潰，引起連鎖反應(yīng)。

3.2 硬件安全風(fēng)險

這類風(fēng)險主要來自通信線路（含交換機等網(wǎng)絡(luò)設(shè)備）和電源線路（包括機房UPS及其電池組）。此外，主機、終端也會因故障引發(fā)一定風(fēng)險，但一經(jīng)發(fā)現(xiàn)可用備件更換。

服務(wù)器與主機、多媒體自助終端間連接的光纖網(wǎng)絡(luò)是串聯(lián)整個系統(tǒng)的主線，但線路的鋪設(shè)常非一次完成，欠規(guī)范;且因校園施工、維修等因素常易受到損壞。主機采用RS485協(xié)議與消費終端、門禁終端連接，接頭各異，導(dǎo)致節(jié)點故障頻率也較高。某一節(jié)點發(fā)生短路或間歇故障時，即可引起子網(wǎng)線路整體癱瘓。

3.3 安全管理風(fēng)險

這類風(fēng)險來自管理制度和從業(yè)人員。例如：管理員對服務(wù)器運行異常警惕性低，當銀行前置機傳入蠕蟲病毒并在專網(wǎng)的主機內(nèi)互相感染時未能及時發(fā)現(xiàn);操作員密碼泄露，造成校園卡被惡意退費致商戶損失;意外停電時起應(yīng)急作用的UPS系統(tǒng)因疏于專業(yè)維護，未發(fā)現(xiàn)個別電池失效，導(dǎo)致系統(tǒng)無法運行;廠方維護員使用帶病毒U盤升級應(yīng)用系統(tǒng)，使主機感染中毒。

4 校園一卡通系統(tǒng)的安全應(yīng)用

依照“統(tǒng)一規(guī)劃、分步實施”的原則，校園一卡通系統(tǒng)的安全應(yīng)用應(yīng)形成專門體系，整合學(xué)校技術(shù)和管理方面的優(yōu)勢，建立有效的更新機制，并在實踐中逐步完善[3-4]。

4.1 服務(wù)器

服務(wù)器是校園一卡通系統(tǒng)的核心，宜采用新版Windows Server操作系統(tǒng)和Oracle數(shù)據(jù)庫系統(tǒng)實現(xiàn)數(shù)據(jù)存儲和管理功能。對服務(wù)器應(yīng)分類管理，通過本機RID3模式進行一級備份，外置二級備份作為冗余手段，以保證原始數(shù)據(jù)安全。對一卡通系統(tǒng)在數(shù)據(jù)收發(fā)等過程中自身導(dǎo)致的錯誤，要及時將消費終端底層的保留數(shù)據(jù)進行比對校正，保持卡賬平衡。圈存服務(wù)器是校園專網(wǎng)與銀行外網(wǎng)間數(shù)據(jù)通信的唯一網(wǎng)絡(luò)關(guān)口，應(yīng)配置硬件防火墻作安全防護，對業(yè)務(wù)請求加以實時過濾，外來敏感數(shù)據(jù)則做到有效隔離，防止蠕蟲類病毒感染、傳播和破壞。根據(jù)校園一卡通系統(tǒng)發(fā)展和使用的需求，提前做好服務(wù)器更換或升級規(guī)劃，對系統(tǒng)、數(shù)據(jù)的遷移和測試宜安排在寒暑假期間，預(yù)留充分時間處理突發(fā)問題。

4.2 主機

主機負責各業(yè)務(wù)部門功能的實施。主機應(yīng)采用授權(quán)方式打開應(yīng)用管理系統(tǒng)，廠方維護員和校方從業(yè)人員均需按各自用戶名及密碼登錄行使工作權(quán)限，人員離開即時注銷。發(fā)現(xiàn)問題憑操作日志或工作記錄來進行追溯。針對主機操作系統(tǒng)及應(yīng)用軟件故障或病毒感染問題，應(yīng)提前做好防護及備份工作。操作系統(tǒng)安裝與設(shè)置用時較長，一卡通系統(tǒng)安裝要求更為復(fù)雜，需綁定計算機名、用戶名并以IP地址驗證的方式連接服務(wù)器調(diào)試參數(shù)。在軟件安裝調(diào)試結(jié)束后，應(yīng)立即用PE系統(tǒng)啟動主機，調(diào)用Acronis True Image軟件，將上述系統(tǒng)備份至專門分區(qū)保存，再調(diào)用Disk Genius工具將備份分區(qū)設(shè)為隱藏加以保護，需要時可快速恢復(fù)，見圖3。

4.3 終端

終端故障主要以鍵盤、通信芯片和接頭為主。一般現(xiàn)場更換備件，在油污、水氣侵蝕嚴重的食堂、水房和浴室等區(qū)域，接頭應(yīng)選用防水接頭;鍵盤主要采用加貼硅膠保護套及終端整體覆膜保護。

更換終端時要在正面標記序號和機號，避免數(shù)據(jù)錯亂。應(yīng)建立設(shè)備日常保養(yǎng)制度，以檢查、培訓(xùn)手段促進長效管理。對終端更新系統(tǒng)碼、黑名單等引起的網(wǎng)絡(luò)數(shù)據(jù)阻塞，應(yīng)在零點后、早餐前進行。

4.4 網(wǎng)絡(luò)

網(wǎng)絡(luò)中最重要的是通信線路安全。光纖線路及網(wǎng)絡(luò)關(guān)口發(fā)生問題時，應(yīng)先用智能尋線儀探查配線架和光交換機模塊。若因跳線接觸不良或設(shè)備故障，同型號備件更換;否則需用可視故障探測儀分段檢查光纖線路，逐步縮小范圍查明斷點，熔接修復(fù)。

食堂、水房和浴室等單位的三級子網(wǎng)均以RS485協(xié)議上連主機、下接消費終端，承載著底層數(shù)據(jù)傳輸?shù)淖饔?，最易發(fā)生電線與通信線的短路風(fēng)險，引發(fā)線路損毀。依據(jù)綜合布線可靠性原則，在環(huán)境復(fù)雜和終端集中布設(shè)的重要部門，推薦采取間隔冗余布線方案。在每個機位下方分別設(shè)立強電、弱電兩只分線盒連入終端，一路線接單號機，另一路線接雙號機，詳見圖4。故障發(fā)生時，即可保證每個營業(yè)點內(nèi)都有一臺終端可用，避免因線路故障產(chǎn)生營業(yè)損失，也給搶修和設(shè)備維護帶來了便利。

4.5 管理方面

管理策略首先要在制度建設(shè)的基礎(chǔ)上，彌補缺乏頂層設(shè)計帶來的缺陷，逐步完善一卡通系統(tǒng)的管理措施和人員管理，使其既符合技術(shù)規(guī)范要求，又能充分發(fā)揮業(yè)務(wù)功能。校園一卡通系統(tǒng)發(fā)展到現(xiàn)在，欲達到優(yōu)化管理的目標，必須充分發(fā)揮學(xué)校各部門的優(yōu)勢，聯(lián)合廠方共同做好安全保障工作。

建議學(xué)校以信息部門牽頭組建一卡通管理中心，負責系統(tǒng)的規(guī)劃、維護和日常服務(wù)管理。校財務(wù)部門負責銀行、師生間賬務(wù)業(yè)務(wù)，代表學(xué)校監(jiān)管圈存、繳費資金。將校園的生活業(yè)務(wù)和醫(yī)療業(yè)務(wù)歸屬

后勤部門。圖書館負責圖書系統(tǒng)的工作。教務(wù)部門負責選課、報名考試、繳費等功能的管理。做到規(guī)范劃分，分工明確，各司其職。

學(xué)校對校園一卡通從業(yè)人員應(yīng)統(tǒng)一管理，制定崗位職責、技能要求及考核內(nèi)容。從機房每日工作要點、維修流程、應(yīng)急預(yù)案等細節(jié)入手，不斷改進管理措施。梳理日常故障案例，總結(jié)維護經(jīng)驗，定期組織管理人員和操作人員進行專業(yè)技能和安全知識的培訓(xùn)。

5 結(jié)束語

校園一卡通系統(tǒng)安全性的建立，是一個系統(tǒng)工程，從設(shè)計之初、施工過程到應(yīng)用期間都需不斷總結(jié)經(jīng)驗，加以完善。一卡通已不再是學(xué)校某部門的單一應(yīng)用，而是具有匯聚全校行政管理功能、教學(xué)與生活業(yè)務(wù)功能和數(shù)字收付功能的三重屬性。面對智慧校園的創(chuàng)新發(fā)展和大數(shù)據(jù)的綜合運用，業(yè)務(wù)開放性和數(shù)據(jù)共享性將使系統(tǒng)安全受到進一步挑戰(zhàn)。如何保證系統(tǒng)的安全，體現(xiàn)了高校信息化管理水平再上一個臺階，則亟待后續(xù)的深入研究及探討。

參考文獻

[1]田愛寶，董增華. 校園一卡通網(wǎng)絡(luò)安全設(shè)計與實現(xiàn)[J]. 微型電腦應(yīng)用， 2016， 32（7）：68-70.

[2]王永建，郎豐凱，王迅，等. 智慧校園一卡通系統(tǒng)安全研究[J]. 信息安全研究， 2016， 2（5）：454-461.

[3]陳曉紅. 校園一卡通系統(tǒng)安全方案設(shè)計[J]. 武漢職業(yè)技術(shù)學(xué)院學(xué)報， 2008， 7（1）：79-82，86.

[4]鄢翔. 基于安全等級保護2.0的高校一卡通應(yīng)用系統(tǒng)安全方案設(shè)計[J]. 電子技術(shù)與軟件工程， 2019 （1）：192-195.