張永偉

（中鐵十五局集團電氣化工程有限公司 上海市 200000）

隨著我國社會事業(yè)的不斷發(fā)展，在信息化技術方面的推廣下，越來越智能化的技術得到迅猛發(fā)展，一卡通系統(tǒng)得到了廣泛的應用，并已經(jīng)普遍應用于我國大部分高等學校的管理過程中，比如說教務系統(tǒng)，管理圖書借閱，食堂就餐，生活繳費，醫(yī)療服務以及門禁考勤等各個方面，讓高等教育的發(fā)展更加全面化。一卡通系統(tǒng)的建設，不僅為高校的服務提供更方便的幫助，在全新的管理方式下，一卡通系統(tǒng)需要做好安全服務方面的工作，主要是因為信息技術的不斷發(fā)展容易引發(fā)各種安全問題，無論在學校、用戶、銀行管理層方面，都會因為信息方面的問題產(chǎn)生數(shù)據(jù)錯誤的情況，而一個小小的錯誤都會影響到管理方式的發(fā)展。任何數(shù)據(jù)出現(xiàn)問題，比如說遺漏、篡改、泄密，或者是出現(xiàn)誤差，都會成為安全性設計潛在的安全隱患。因此，作為高校還需要重視對智慧校園一考通的安全性管理工作，不斷優(yōu)化一卡通的技術設計，進一步提高智慧校園一卡通的技術水平。未來我國高等教育事業(yè)的發(fā)展更需要更安全可靠的技術加以支持，為我國今后的高效管理和服務提供更安全的技術保障，減少管理工作中存在的安全隱患，避免因為一卡通系統(tǒng)的故障影響到用戶的使用，造成校園巨大的經(jīng)濟損失情況。

1 智慧校園一卡通系統(tǒng)基礎架構層

智慧校園一卡通系統(tǒng)的結構，最重要的就是對每一個架構層都要進行安全檢測，而智慧校園主要的架構層有物理層，數(shù)據(jù)層、應用層以及中間件層。

1.1 物理層

如圖1所示，物理層是整個智慧校園一卡通系統(tǒng)運行的基礎，設施不僅包括了網(wǎng)絡設備、服務器等物理設備，還包括了磁盤等軟件設計，設備與軟件之間的相互連通，更能提供全面的技術保障。

圖1：一卡通系統(tǒng)物理層

1.2 數(shù)據(jù)層

數(shù)據(jù)層由智慧校園一卡通中心的數(shù)據(jù)庫以及管理中心組成，包括對數(shù)據(jù)的緩沖服務系統(tǒng)，數(shù)據(jù)調度系統(tǒng)，服務組以及技術組上都有更安全的管理工作，進一步實現(xiàn)智慧校園一卡通系統(tǒng)數(shù)據(jù)的采集和處理工作。

1.3 應用層

應用程式用戶能夠感知和體驗到的業(yè)務系統(tǒng)，所有的子系統(tǒng)必須經(jīng)過核心平臺管理中心的授權，才能夠進入到智慧校園一卡通的中心平臺，并接受統(tǒng)一規(guī)范的管理，這樣一來在能夠保證用戶在操作上更加統(tǒng)一規(guī)范，同時也是在進一步保證校園一卡通建設的穩(wěn)定性。

1.4 中間件層

中間件層的主要作用，就是隔離智慧校園一卡通中心數(shù)據(jù)庫與應用層之間的距離，使得用戶無法直接對數(shù)據(jù)庫進行操作，避免出現(xiàn)更多的不確定安全隱患情況，數(shù)據(jù)庫更應當由管理工作人員進行專業(yè)化的操作，以此來保證數(shù)據(jù)的安全穩(wěn)定。另外，對于這方面的管理需要更加科學規(guī)范，嚴格按照數(shù)據(jù)訪問策略才能夠對數(shù)據(jù)庫進行訪問，從數(shù)據(jù)管理方面嚴格落實，根本上減少安全問題。

2 智慧校園一卡通技術存在的安全問題

2.1 數(shù)據(jù)安全問題

智慧校園一卡通系統(tǒng)中的數(shù)據(jù)不僅涵蓋了許多的師生信息，并且在其他交易數(shù)據(jù)方面也有一定的備份，對于整個系統(tǒng)來說控制風險性是非常重要的，如果沒有做好對數(shù)據(jù)安全的工作，就會影響到數(shù)據(jù)的管理，不僅會影響到個人信息的管理，還會影響到智慧校園一卡通系統(tǒng)的發(fā)展。在數(shù)據(jù)安全上，主要存在的問題其一是安全訪問，其二是用戶訪問信息，只有對這兩方面進行控制，才能夠做好對信息授權方面的工作。用戶的權限主要包括一卡通的充值情況以及卡片的使用，在系統(tǒng)管理方面更重要的是做好數(shù)據(jù)安全的各項保障工作，確保用戶在使用過程中減少安全隱患。如果過于簡單的操作或者是權限設置不當?shù)膯栴}，很容易造成黑客非法侵入盜取重要的數(shù)據(jù)信息，用戶的基本信息和財務狀況，如果一旦泄露將會影響到個人的生活甚至是學校的名譽。安全儲存主要是指進一步保證數(shù)據(jù)庫的安全性，需要在備份方面多做幾個備份，如果遇到突發(fā)的狀況，就需要在操作方面做好相應的保障工作，才能夠保證部分數(shù)據(jù)不會丟失。

2.2 終端系統(tǒng)問題

智慧校園一卡通系統(tǒng)的終端主要有兩種方式，第一POS，第二是工作站，通過這兩個平臺將一卡通的內容進行連接，通過工作站到前臺工作人員，可以進一步實現(xiàn)對卡片的充值和處理。如果一卡通的內網(wǎng)出現(xiàn)問題或者是沒有及時更新軟件就會出現(xiàn)病毒入侵的情況，那要想處理病毒入侵的情況是非常復雜的，還需要在內網(wǎng)的工作站進行排查病毒，確保校園網(wǎng)的穩(wěn)定運行。然而，很多學校在一卡通的內網(wǎng)方面不夠重視，在終端系統(tǒng)方面容易出現(xiàn)安全問題，甚至會因為病毒的情況對校園網(wǎng)的穩(wěn)定運行產(chǎn)生一定的威脅。POS不僅會對一卡通內的金額和用戶信息進行入侵或者盜取，直接影響到用戶信息的安全性以及系統(tǒng)的穩(wěn)定性，危害終端系統(tǒng)的安全運行和穩(wěn)定發(fā)展，因此我們更需要做好校園一卡通技術安全性設計方面的各項工作。一卡通內網(wǎng)的終端系統(tǒng)更需要做好安全保障工作，它不僅會影響到個人用戶信息，還會引導校園網(wǎng)的崩潰，使得整個校園網(wǎng)出現(xiàn)故障的情況。另外，如果工作站也出現(xiàn)了病毒入侵的情況，同樣也會影響到系統(tǒng)的終端，因此，需要做好病毒入侵的檢查工作，不定期的對工作站情況進行檢查和維護。與此同時，工作站的各項職業(yè)工作同樣也需要跟進，才能夠保證智慧校園一卡通技術的安全發(fā)展。

3 智慧校園一卡通技術安全性設計策略

3.1 改善網(wǎng)絡環(huán)境

由于校園一卡通在使用的過程中，也要通過互聯(lián)網(wǎng)進行數(shù)據(jù)信息的傳輸。因此我們也應該重視改善一卡通的網(wǎng)絡環(huán)境，做好相關的網(wǎng)絡安全工作。所謂的網(wǎng)絡安全，主要是指數(shù)據(jù)信息在局域網(wǎng)中進行傳輸時的安全性。因為一卡通在日常工作的過程中有能夠確定訪問者的真實身份等作用，在進行網(wǎng)絡安全保護的過程中，需要根據(jù)學校校園網(wǎng)的實際情況開展對網(wǎng)絡環(huán)境的監(jiān)察，采用一些網(wǎng)絡安全保護措施來改善校園的網(wǎng)絡環(huán)境。以下兩種措施就是改善校園網(wǎng)絡環(huán)境的常用技術手段。

3.1.1 建設一卡通專網(wǎng)

當前一般采用VLAN方式建設一卡通專網(wǎng)，確保一卡通系統(tǒng)能夠有獨立的網(wǎng)絡系統(tǒng)支撐運作，在網(wǎng)絡安全性能方面上也能夠得到很大的提升。在網(wǎng)絡設計方面上，獨立的專網(wǎng)能夠更好的保證一卡通系統(tǒng)的安全性，通過該方式能夠建立起專用的虛擬網(wǎng)絡，還能夠有效的減少一卡通設備在硬件系統(tǒng)方面出現(xiàn)的問題，降低硬件資源的成本支出。為一卡通系統(tǒng)建立專網(wǎng)就能夠從理論上與學校使用的校園網(wǎng)分開，以校園網(wǎng)作為轉網(wǎng)的基礎網(wǎng)址，也就是在校園網(wǎng)覆蓋的地方設置一卡通系統(tǒng)的專網(wǎng)，確保一卡通的設備和卡片能夠在校園的所有地方進行正常使用，給師生提供更加良好的一卡通系統(tǒng)服務體驗，安全性能也會得到很大的提升。一卡通專網(wǎng)如圖2所示。

圖2：一卡通專網(wǎng)

3.1.2 隔離一卡通專網(wǎng)和校園網(wǎng)

為了更好的提升一卡通系統(tǒng)的安全性，就應該在一卡通專網(wǎng)和校園網(wǎng)之間部署應用網(wǎng)關，這樣就能夠有效的隔離一卡通專網(wǎng)和校園網(wǎng)。因為頻繁使用校園網(wǎng)的人群數(shù)量較多，經(jīng)常會使用校園網(wǎng)瀏覽各種類型的網(wǎng)站，所需要處理的數(shù)據(jù)信息以及網(wǎng)頁內容更加的龐大，也更容易導致自身的數(shù)據(jù)信息出現(xiàn)泄露丟失的風險。為了保障一卡通專網(wǎng)的安全性能，應該在兩者的核心交換機部部位時建立相應的應用網(wǎng)關，設置防火墻規(guī)則將校園網(wǎng)存在的不安全的數(shù)據(jù)進行過濾刪除，控制一卡通用戶對于一卡通系統(tǒng)的訪問以及其他網(wǎng)站網(wǎng)頁和訪問，確保一卡通用戶數(shù)據(jù)信息不會向外泄漏，外界的不良信息因素也不會影響到一卡通系統(tǒng)的安全穩(wěn)定性。

3.2 系統(tǒng)架構安全設計

操作系統(tǒng)對于一卡通系統(tǒng)的安全性能來說也是十分重要的，在增強一卡通安全性設計時，也應該重視對于系統(tǒng)內部構架的設計管理。因為一卡通系統(tǒng)內部需要運行一部分應用軟件，也要確保應用軟件的安全性，其主要涉及的方面是系統(tǒng)賬號安全、系統(tǒng)文件權限安全、應用軟件自身安全等。只有設計出更加安全的系統(tǒng)構架方案，才能夠提升一卡通系統(tǒng)安的全性能。

3.2.1 改進系統(tǒng)設計

智慧校園一卡通系統(tǒng)內部一般會部署2~3臺數(shù)據(jù)庫服務器，能夠更好的處理一卡通設備所傳輸過來的數(shù)據(jù)信息，存儲并實現(xiàn)一個共享數(shù)據(jù)信息的功能，能夠確保一卡通系統(tǒng)在運行過程中的連續(xù)性。這樣的設計能夠更好的避免一卡通系統(tǒng)在某一關鍵點出現(xiàn)的故障問題，保證數(shù)據(jù)的安全性和一致性。而且一卡通系統(tǒng)在雙機環(huán)境下的數(shù)據(jù)庫能夠通過自身的IP網(wǎng)絡進行自動備份，房子由于突發(fā)性故障導致用戶的數(shù)據(jù)信息全部消失，即使用戶的數(shù)據(jù)信息消失之后，也能夠通過備份數(shù)據(jù)進行數(shù)據(jù)恢復。由于一卡通系統(tǒng)存在著多臺數(shù)據(jù)庫服務器，也就能夠在異地部署兩臺一體機進行數(shù)據(jù)遠程恢復并且實現(xiàn)數(shù)據(jù)庫的異地備份，這對于一卡通系統(tǒng)來說是安全性能方面上的巨大提升。除此之外，一卡通應用平臺還可以建立虛擬化平臺部署，如果原有的應用服務出現(xiàn)崩潰的跡象，就能夠更好的通過虛擬恢復方案進行相應的彌補，確保一卡通系統(tǒng)的數(shù)據(jù)安全。

3.2.2 加強用戶權限管理

在一卡通系統(tǒng)內部應該加強對于用戶權限的管理，防止由于用戶自身的不恰當操作導致一卡通系統(tǒng)出現(xiàn)問題。一卡通系統(tǒng)應該嚴格的控制用戶訪問系統(tǒng)的權限，防止用戶針對數(shù)據(jù)庫進行篡改，后者是在系統(tǒng)日志方面上做出修改。因為這些操作在很大程度上都會影響到一卡通系統(tǒng)的安全性。對于普通的用戶來說，一卡通系統(tǒng)應該嚴格的限制用戶在權限范圍內進行系統(tǒng)的操作。一卡通系統(tǒng)在內部還應該設置校驗裝置，針對用戶的異常數(shù)據(jù)信息和異常操作進行檢測，如果發(fā)現(xiàn)一些異常舉動應該及時的進行報警，可以有效地組織用戶針對數(shù)據(jù)庫和系統(tǒng)日志的修改。系統(tǒng)還應該針對各項修改操作進行日志記錄，以便在后續(xù)出現(xiàn)問題之后及時的針對用戶個人進行追查。

3.3 數(shù)據(jù)安全設計

3.3.1 存儲安全

對于數(shù)據(jù)安全設計來說，數(shù)據(jù)的安全儲存是必要的。因為一卡通系統(tǒng)再進行運轉的過程中，需要通過數(shù)據(jù)信息來針對用戶的個人身份進行核定，也就必須要將一卡通用戶的個人信息進行儲存起來。在儲存數(shù)據(jù)信息的過程中，必須要確保用戶個人自身的數(shù)據(jù)信息出現(xiàn)錯誤或者泄露出去。應該選用安全系數(shù)級別較高的數(shù)據(jù)庫系統(tǒng)，在進行數(shù)據(jù)庫訪問的過程中，應該要通過主機系統(tǒng)驗證、網(wǎng)絡驗證、數(shù)據(jù)庫驗證等多個關卡的驗證，更好的保障數(shù)據(jù)存儲過程中的安全性能。當前的數(shù)據(jù)庫一般采用集群式數(shù)據(jù)庫模式，會針對較為敏感的數(shù)據(jù)進行加密儲存，而且用戶支撐也能夠針對加密的密碼進行修改，在安全性能方面上展現(xiàn)出個性化設置。而且在針對數(shù)據(jù)庫訪問機制方面上做出相應的調整，在訪問權限方面上作出嚴格的界定，限制訪問時間能夠訪問授權的部分數(shù)據(jù)信息，不能夠將所有的數(shù)據(jù)信息都暴露在用戶面前。

3.3.2 傳輸安全

一卡通系統(tǒng)在運作的過程中也經(jīng)常會涉及到數(shù)據(jù)的傳輸工作，但是數(shù)據(jù)在傳輸?shù)倪^程中也容易出現(xiàn)泄漏的問題。所以當前一卡通系統(tǒng)在進行數(shù)據(jù)傳輸?shù)倪^程中一般會采用加密傳輸?shù)姆绞剑用軅鬏斔褂玫乃惴〞拥膰栏窬?，能夠有效的防止密碼外泄，保證持卡人自身的數(shù)據(jù)隱私。而且當前也會采取簽到和設備接入等方式進行持卡人的身份認證，采用臨時交換的密鑰使用對稱密碼算法來針對數(shù)據(jù)進行加密傳輸，密碼復雜程度越高，數(shù)據(jù)信息傳輸?shù)陌踩阅芤矔鼜姡軌蛴行У姆乐雇饨绲姆欠ń厝『痛鄹?。當前校內終端設備一般采用。DES加密和動態(tài)密鑰，這些方式都能夠進行臨時密碼的交換，在每次進行數(shù)據(jù)傳輸?shù)倪^程中都會針對不同的數(shù)據(jù)信息傳輸進行密鑰交換，在很大程度上提升了一卡通系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩浴?/p>

3.3.3 設計數(shù)據(jù)糾錯功能

一卡通系統(tǒng)可以采用485總線網(wǎng)絡組網(wǎng)方式，如果出現(xiàn)網(wǎng)絡中斷或者是網(wǎng)絡故障的情況，消費終端將會進行脫機消費，確保交易的記錄始終會保存在終端設備上，等待網(wǎng)絡能夠繼續(xù)使用之后將消費記錄信息自動上傳到數(shù)據(jù)庫中，實現(xiàn)一個數(shù)據(jù)糾錯的功能。如果數(shù)據(jù)信息出現(xiàn)錯誤或者是由于其他方面無法及時記錄在數(shù)據(jù)信息中，就應該設計數(shù)據(jù)糾錯功能。在一卡通系統(tǒng)內部設置掛賬機制，能夠將已經(jīng)完成的消費記錄暫時保存下來，等待能夠正常運行的過程中再將正確的數(shù)據(jù)信息上傳，防止用戶的利益受到損失。而且這樣的數(shù)據(jù)糾錯機制還能夠確保財務系統(tǒng)在對于數(shù)據(jù)信息核對的過程中有著更高的準確性。

3.4 卡片安全管理

當前大部分一卡通的卡片均采用CPU卡，可以根據(jù)不同的需求針對卡片的種類進行分類，更好的提升卡片的安全性。一卡通內部包含有自身的卡號、學號、姓名、性別等多種個人有效信息。所以一卡通卡片的安全管理也是十分重要的。一卡通的卡片與普通的卡片相比有著更加高級的加密技術，芯片和cos的協(xié)同安全技術在安全保證方面上提供了雙重保證。而且cos安全技術在一卡通使用的過程中有著密鑰的最大重試次數(shù)，防止有人針對一卡通卡片進行惡意攻擊，也無法通過多次嘗試密碼輸入的方式來破解卡片的密碼?？ㄆ陌踩芾碇饕獜囊豢ㄍㄔO備和持卡人安全管理方面展開

3.4.1 一卡通設備管理

在校園內的一卡通設備種類是比較多的，一般就包括校園卡、圈存機、讀卡器、簽到機、數(shù)據(jù)庫服務器、應用服務器、網(wǎng)絡交換機等。這些一卡通設備的安全管理將會直接影響到整個系統(tǒng)工作過程中的穩(wěn)定性，也是一卡通系統(tǒng)實現(xiàn)穩(wěn)定運行的基礎。校園一卡通系統(tǒng)應該充分的考慮到一卡通設備自身的聯(lián)網(wǎng)兼容性，確保一卡通設備既能夠與一卡通專網(wǎng)進行聯(lián)網(wǎng)使用，也能夠進行拖網(wǎng)使用。在一卡通設備離開網(wǎng)絡環(huán)境的情況下，終端設備要保持一定的數(shù)據(jù)存儲，暫時將這一段時間內的數(shù)據(jù)信息儲存起來，當終端設備繼續(xù)連接網(wǎng)絡之后，將儲存和信息同步到數(shù)據(jù)庫中。在一卡通系統(tǒng)內部所使用的設備應該進行安全認證，檢查應建設會是否出現(xiàn)網(wǎng)絡質量問題，才能夠將一卡通系統(tǒng)的部分權限授予終端設備。

3.4.2 持卡人安全管理

技術人員可以在一卡通系統(tǒng)內部設置相應的黑白名單功能，針對那些使用數(shù)據(jù)異常，或者是在監(jiān)控過程中有問題的一卡通用戶加入黑名單。在于一卡通卡片持卡人核對數(shù)據(jù)信息之后再進行后續(xù)的處理，防止因為持卡人丟失一卡通卡片而導致出現(xiàn)其他人的盜刷行為。一卡通系統(tǒng)應該推出掛失實時生效的模塊設置，當持卡人發(fā)現(xiàn)自身的一卡通遺失之后應該及時的進行掛失，杜絕出現(xiàn)一卡通惡性透支的行為。持卡人也可以根據(jù)自身的需求設置個人消費密碼，設置一定的消費限額管理，這樣就能夠從最大限度上保證持卡人卡片的安全性。一卡通系統(tǒng)應當實時的更新系統(tǒng)中的黑名單，幫助持卡人進行實時卡片掛失，更好的保障一卡通內部資金的安全。

4 結語

總而言之，智慧校園一卡通技術對于高校教育事業(yè)的發(fā)展具有重要的現(xiàn)實意義，這方面的技術不僅能夠提高我國高校教學、服務和管理水平，而且我還會對我國的高校教育事業(yè)發(fā)展質量積極意義。智慧校園一卡通技術，無論是在校園安全還是教學質量方面都起到非常積極的作用，我們更需要通過這項技術的研究，為我國高校教育質量和水平提供更可靠的保障。