校园一卡通系统安全分析及对策
摘 要:一卡通系统作为数字校园的重要基础设施之一,为全校师生提供证明及支付功能。随着一卡通系统功能的多样化及复杂化,其安全问题日益突出,本文针对应用过程中所面临的典型安全问题,从数据安全、终端安全、管理制度方面提出了相应的安全策略,为校园一卡通系统的建设和管理提供借鉴。
关键词:校园一卡通;网络安全;数据安全;终端
中图分类号:TP393.18
校园一卡通系统作为校园数字化平台一个子系统,具有实时消费处理、门禁管理、缴费补贴等功能。通过平台的集中化管理,使全校师生的学习和生活更加方便和快捷,但随着一卡通系统功能的多样化及复杂化,在系统应用中面临诸多问题,其中安全问题尤为突出,如何有效的防范及应对这些安全问题是一卡通系统稳定运行的重点之重。本文首先分析目前校园一卡通系统面临的主要安全问题,然后针对这些安全问题提出了相应的防范对策。
1 校园一卡通系统应用中的安全问题分析
1.1 数据安全。一卡通系统处理的数据流主要涉及到全校师生、商户个人及交易敏感数据,其安全性对整个系统来说尤为重要。系统数据安全主要面临两个问题:安全访问、安全存储。安全访问通过授权控制用户对信息的访问,以一卡通管理系统为例,用户的权限分为系统管理权限、卡充值、卡处理等,不同权限访问不同的报表。由于用户权限设置不当及用户口令过于简单,容易造成非法人员的入侵,非法获取人员信息及财务信息。安全存储涉及数据库数据的安全存储,一卡通系统一般采用ORACLE数据库。数据库日常备份包括圈存、卡消费和人员信息,由于师生照片信息量大,在日常的备份中不包括照片的备份。因此在断电等意外情况下,如果linux操作系统的文件系统出现故障,很容易出现照片丢失等严重情况。
1.2 终端安全问题。一卡通系统终端包括平台终端和消费终端。平台终端接入一卡通内网,前台工作人员通过平台终端进行校园卡充值及其他处理。由于终端平台处在一个内网,杀毒软件更新不及时,且在日常工作中会涉及师生一些照片、名单等数据的拷贝,平台终端很容易感染蠕虫病毒[1]、ARP木马,其中ARP木马容易导致网络瘫痪,严重威胁校园网的稳定运行。消费终端通常指POS消费机,用来读写卡片内人员信息及金额信息,其稳定性及安全性直接影响到系统安全及稳定。
1.3 管理制度方面的不完善。管理制度对一卡通各工作岗位职责进行规范,使校园一卡通各项工作井然有序。目前管理制度只包括了运行总则、岗位职责、卡务管理,在一卡通维护登记制度的管理处于一个薄弱环节。一卡通系统建设初期是软件服务商和学校共同管理阶段,这个阶段系统处于不断完善过程,根据用户的需求或者系统故障需要软件商技术人员的维护,然而在维护过程中缺乏相应的维护日志,当出现问题时往往责权难分,互相推诿。人员安全培训制度的建设也是一个容易忽略的环节,由于工作人员网络安全意识薄弱[2][3],没有良好的网络使用习惯,且缺乏相应的安全知识培训,工作人员的某些操作会导致系统的不稳定。
2 校园一卡通系统安全控制策略
2.1 数据安全保护策略。理清一卡通系统用户分类,严格划分各类用户权限,不同权限赋予不同操作及报表查看功能。根据需求可以将一卡通系统用户分为卡充值、卡处理、卡注销、系统管理四类。卡充值具有校园卡充值及充值报表查看权限;卡处理不仅具有卡充值权限,并且具有充值金额修正、水费修正等权限;卡注销只有卡批量挂失及注销功能,主要用于毕业生校园卡注销操作;系统管理具有所有的操作权限,用来对卡充值及卡处理权限的分配。与此同时,加大用户及数据库登陆密码强度,及时更改系统和数据库口令,消去弱密码对系统的威胁,防止暴力破解弱密码。
采用基于共享磁盘阵列的双机主-从方式的服务器架构来提高数据存储安全。两台服务器组成数据库服务器,并共享一个磁盘阵列,在此方式下,只有主服务器响应数据服务,备用服务器处于一个待激活状态。一旦主服务器出现宕机等严重故障,双机热备软件迅速切换到备用服务器,将备用服务器从Standby激活成Active状态,继续提供数据处理服务,从而保证服务的连续运行。由于数据存储在共享的磁盘阵列上,实现了数据与数据库服务器的分离,进一步为保障了数据的存储安全。在交易数据日常备份机制下,针对师生照片具有信息量大,变动小的特性,其备份策略可以按学期人工或者自动异机备份。
2.2 终端安全控制策略。一卡通平台终端是面向全校师生的交互终端,经常会涉及师生照片、学生信息等数据的拷贝,极易感染各种病毒及木马,从而影响系统稳定运行。结合系统内网的特性,选用一台内网服务器安装360控制中心,各终端平台安装360企业安全卫士,通过控制中心实时监控各终端的安全情况,并实现全网统一体检、补丁跟新、查杀病毒,极大简化了以往每台终端需单独更新及检测的重复性操作,从而确保各个平台终端处在一个良好的网络环境中。
POS消费终端是数量最多的终端,用来对校园卡进行频繁读写操作。确保数据的正确读写,对其稳定性及安全可靠性有很高的要求[4]。一方面,对读写电路进行改进,增加断电读写保护功能,降低数据读写错误。一方面,在卡内增设备份数据,保证卡上金额读写正确。其次,增设POS消费终端UPS供电设施,在断电情况下能提供一定时间的供电来确保数据正确读写。
2.3 完善制度建设、加强网络安全培训。进一步完善一卡通各项管理制度的同时,建立一种维护记录备查制度[5]。在一卡通系统运行期间,对系统一般故障的维护,需要记录故障问题描述、故障处理方法、故障处理结果及相应的操作人员,分别以纸质及电子方式形成日志文件并存档。对系统需求的改进,通过一卡通用户提出需求,由系统提供商确认及升级,每次需求的提出及系统升级均需要存档。
系统使用者安全意识是网络安全中建设中最容易忽视的一个环节,使用者安全意识的薄弱直接影响到系统安全的使用性。鉴于此,可以通过对工作人员的培训,提高其安全防范意识,具体可以从以下几个方面来进行:(1)网络基本知识的培训,提高使用者对网络的基本认识,例如,通过对IP地址原理的讲解,使工作人员意识到随意设置IP会导致IP冲突,造成电脑无法访问内网;(2)网络安全知识培训,养成良好上网习惯,增强计算机使用和维护知识,共同承担网络安全运行与维护的责任;(3)网络异常识别能力培训,提高系统和网络异常的识别能力,及时向系统技术工作人员反馈。
3 结束语
一卡通系统作为数字化校园的核心系统,一卡通的设计是否安全、可靠,其重要性是不可忽视的。本文在分析一卡通系统典型安全问题基础上,从数据安全、网络中断控制、管理制度上提出了控制对策。网络安全是一个系统工程,需要全体人员共同参与,通过技术与制度的相互配合才能起到真正的保护作用,做到防患于未然。
参考文献:
[1]张鸿军,张新刚.数字化校园中典型安全问题分析及防御对策[J].中国电化教育,2009.
[2]裴茂伟,李可胜.高校数字化校园建设及安全问题研究[J].中州大学学报,2013.
[3]华兴桥.数字化校园网络安全问题的分析与对策[J].中国现代教育装备,2013.
[4]刘恩军,王克生,孙桂江.校园一卡通系统安全策略的研究[J].电脑知识与技术,2010.
[5]王娟.校园一卡通系统安全管理策略—以华南师范大学为例[J].数字技术与应用,2011.
作者简介:胡良梁(1987-),男,湖南娄底人,硕士,研究方向:系统应用、算法研究等;李幼兰,女,就职于财务处;席海,男,就职于财务处。
作者单位:重庆第二师范学院,重庆 400067
上一篇:信息化建设中的网络安全问题分析