文/王河堂
七大角度剖析高校一卡通安全
文/王河堂
一卡通安全
作为与师生最密切相关的应用,校园一卡通对安全的要求极高。影响其正常安全运行的因素很多:包括卡片本身,通信,数据……除了传统的卡片外,电子一卡通这种“新新”应用的安全又如何保障?本专题,我们从两种卡的角度揭示校园一卡通存在的安全问题和应对策略。
校园一卡通系统涉及到校园生活的诸多方面,概括为三大类:消费类,金融类,身份认证类。这三类基本覆盖了多数应用,如图1所示。
除了前端应用之外,一卡通的运行离不开后端基础网络和硬件的支持,其所关联的网络与终端硬件也是非常庞大的,遍布在校园的各个角落,与每位师生的生活关系密切。随着技术发展,一卡通在数字化校园中的地位及重要程度与日俱增,其安全问题关系面广,是一个需要长期探讨和长久防范的问题。
图1 一卡通系统功能
一卡通应用多,安全因素也多。下文从不同的角度全方位地剖析一卡通系统的安全因素,如图2所示。
从传统的角度看,一卡通系统的安全要考虑它的通信安全、网络安全;校园一卡通系统是一个金融消费系统,与钱有关,安全起见,校园一卡通的网络必须是专用网络。通常由两部分组成,一部分是TCP/IP主干网,另一部分是485协议的局域网。每一部分都会涉及到网络安全问题。传统的网络安全问题:防火墙、安全策略等本文不做深入讨论。
主干网安全问题:
对于一卡通网络,有一些高校是专用的物理网络,有一些高校是通过分离校园网的VLAN网络。这样做的目的就是为了保证通信和网络安全。一卡通网络接入的主要对象是一卡通相关设备,相对来说网络环境简单。但是存在一个弊端,网络端口遍布校园各个楼宇公共场所,不可能有专人值守,蓄意破坏者可以接入到一卡通网络,存在冒充网关、散播病毒等安全风险。
局域网的安全问题:
1.一卡通消费POS设备,身份识别设备等的接入网络都是485协议局域网,比如食堂的POS机局域网,它的潜在安全问题主要是网络线路本身所处环境高温高湿,容易导致网络线路老化,影响通信。
2.局域网络的通信网关也是经常出现故障的安全隐患点。由于其所处的弱电间身处一个高温高湿的大环境中,而没有制冷设备,特别是到了夏季,环境温度过高,散热不及时,一直处于工作状态的网关设备容易死机、损坏,导致通信中断。
一卡通是一个应用系统,同时也在发挥一个身份接入平台的作用,其业务涉及范围较广。
业务操作安全:一卡通所涉及到的业务操作包括:卡业务窗口工作人员的日常操作包括卡初始化、卡发行、卡回收、卡充值等业务;一卡通系统运维人员日常的运维操作包括一卡通终端设备的注册、接入、交易冲正、卡库不平处理、账务问题处理等。业务操作会涉及到密钥、卡片结构信息等安全的关键因素。需要确保工作计算机的安全。
业务对接安全:一卡通基于其身份识别功能,较多业务考虑到了把一卡通作为身份的线下入口。本文中业务对接安全指一卡通系统既能实现与第三方系统的互联信息互通,又能保证数据和系统的安全。业务不同,对接方式也不同,比如开放卡片的某个扇区密钥与结构、提供数据库访问接口、以Web Service的方式提供数据接口等等。一卡通在与第三方做对接时,一卡通核心服务信息及数据必然会不同程度地提供给了第三方,增加一卡通的安全风险。
一卡通系统不仅有一些可以脱机的POS机消费,还有实时的在线应用,比如考勤、报名等应用系统、学生购电系统、自助充值等。如果一卡通运行中断,那么在线业务都会中断,将直接影响学生的购电、充值及自助卡务等业务,进而会影响到师生的生活。在某些高校曾出现一卡通无法购电,导致寝室没电引发轩然大波的案例。
一卡通服务器安全,是系统安全的基础,是所有因素中非常重要的安全因素。服务器安全主要包括:服务器硬件设备运行安全、服务器操作系统的安全、核心数据库的安全等。服务器稳定性与构建服务器的策略有关,例如是否采用双机热备,是否使用了高可用性,数据库的备份恢复机制,应用后台的稳定性等都直接关系到一卡通系统的运行安全。
图2 一卡通系统安全运维七个角度
智能卡系统本身也是一个非常重要的安全因素。目前很多高校都仍然在使用M1卡,M1是非接触逻辑加密卡,密钥是一个预先设定的固定密码,存储在卡片扇区内的,很容易复制。早在2008年10月,互联网上公布了破解MIFARE CLASSIC IC芯片密码的方法,不法分子利用这种方法可以很低的经济成本对采用该芯片的各类“一卡通”、门禁卡进行非法充值或复制,带来很大的社会安全隐患。对于该问题,大部分高校升级系统时,基本上都采用CPU卡系统。
CPU卡打破了原有M1卡的模式,不再是扇区存储。所有的应用都是以文件的形式,加密后存储在卡片中,对于文件的读写都是通过卡内芯片OS对指令的响应来实现,这极大的提高了卡片的安全性。
除了卡片本身之外,与M1卡所配套的机具也是一卡通安全问题的重要因素。M1卡系统的逻辑密钥体系与POS设备,缺乏有效的安全认证机制,可以相互伪造。而CPU卡的加密算法和随机数发生器与安装在读写设备中的密钥认证卡(SAM卡)相互认证可以实现:
1.通过终端设备上SAM卡实现对卡的认证。
2.非接触CPU卡与终端设备上的SAM卡的相互认证,实现对卡终端的认证。
3.通过ISAM卡对非接触CPU卡进行充值操作,实现安全的储值。
4.通过PSAM卡对非接触CPU卡进行减值操作,实现安全的扣款。
增强了安全性,避免了原有M1卡一台设备既可以减值又可以加值的不安全问题。
关于该角度的安全问题,M1卡更换为CPU卡,基本上确保了卡片本身的安全性。所以在升级或者新建一卡通系统时,选择CPU卡系统,可以规避卡本身的安全问题。
把一卡通归为一个财务系统也不为之过,每天全校师生的消费都会产生大量的消费流水,系统每天都要对流水,按商户进行结算,然后产生财务报表。一卡通系统内部有一套完整的财务机制及财务流程。
首先,在这个财务系统中,交易的安全性是一个前提性安全因素。系统必须保证交易数据的正确性、完整性、不可篡改或者伪造。另外,一卡通系统内的交易,不可避免存在一定的异常情况,如非法卡消费、一卡通丢失后挂失卡消费,一卡通卡状态不正常、一卡通被非法持有后的恶意大额消费等等都会存在安全问题。这些问题,必须要有相应的机制来规避,如:
通过数字签名、双向认证实现卡与设备真伪的双向确认;
系统通过黑白名单管理实现交易的安全;
卡状态及有效期识别功能 ,能有效的防止过期卡片使用;
系统还提供了非法卡、黑卡报警功能;
大额度消费需要输入密码等机制。
其次,财务报表的准确性、完整性机制也是一卡通财务安全的重要因素,系统创建时考虑到审计功能,内部自动对账功能,卡库不平自动报警功能等,可以多方位地发现账务或财务安全问题。
图3 系统分级管理保障操作安全性
一卡通系统的日常管理也涉及到较多安全问题。
日常管理主要有:一卡通工作人员管理、一卡通终端设备管理、一卡通系统财务、账务的管理、系统安全使用管理等。
一卡通工作人员管理:一卡通工作人员包括系统管理员、系统运维人员、卡业务人员等,这三部分人员是保证一卡通安全稳定运行的核心力量,团队管理的好坏决定着系统能否持续稳定良性的运行。比如工作纪律、日常业务操作的规范性、系统的保密制度等等,都可能会直接和间接影响到一卡通的安全。
一卡通终端设备管理:包括硬件资产管理、维修管理、硬件接入管理等等。一卡通终端设备种类繁多,校园内分布广泛,而无人值守,所以资产的财产安全也是一大问题;设备损坏维修有可能会导致设备内流水丢失,导致账务问题及商户营业额损失;硬件的接入必须按照相应的技术规范,比如食堂POS机具、水控POS机,严谨随意移接及乱拆乱接等,会导致短路,烧坏设备。
一卡通系统财务、账务的管理:一卡通有现金业务,对于现金收支存放等必须有严格的管理制度。比如:有时会出现现金与账务不一致问题、当天的现金未结算问题、现金被盗等安全问题,现金操作人员的职业道德和素养问题等等,这些因素都是管理制度必须要考虑的,也是潜在安全风险。
系统安全使用管理:一卡通子系统较多,系统必须具备权限分级管理的功能,来保障操作的安全性。不同级别的人员具备不同的菜单和系统权限,各业务互不影响。同时系统具备安全审计功能。管理员在系统使用和登录时避免密码泄露,确保在安全无毒的工作环境中使用系统,严禁随意接入外部USB设备等等,这些都是系统安全必备的要素,如图3所示。
一卡通产生了很多的消费数据、考勤数据、门禁数据,还有人员基本信息的数据等等。大部分数据涉及个人隐私,同时数据本身也隐藏着很多重要信息,数据安全的重要性不言而喻。确保数据的机密性、完整性、正确性是毋庸置疑的。数据的使用也涉及一些安全因素:一卡通账户信息和数据的共享问题、数据访问传输问题、数据加密机制、数据存储备份机制等。随着大数据时代的兴起,数据安全也愈加重要。综上,校园一卡通系统的安全性包括了许多方面,有些方面是在系统建设时期就要规避的,有些方面是通过日后监督管理等策略来加以控制的。一卡通安全是一个综合的全方位的系统工程,各种安全策略必须相互配合,有机协调才能真正起到保护作用。即便如此,安全问题也没有一劳永逸,绝对安全的策略,需要我们不断地去探索,做到防患于未然。
(责编:王左利)
(作者单位为上海海事大学信息化办公室)