张永伟
(中铁十五局集团电气化工程有限公司 上海市 200000)
随着我国社会事业的不断发展,在信息化技术方面的推广下,越来越智能化的技术得到迅猛发展,一卡通系统得到了广泛的应用,并已经普遍应用于我国大部分高等学校的管理过程中,比如说教务系统,管理图书借阅,食堂就餐,生活缴费,医疗服务以及门禁考勤等各个方面,让高等教育的发展更加全面化。一卡通系统的建设,不仅为高校的服务提供更方便的帮助,在全新的管理方式下,一卡通系统需要做好安全服务方面的工作,主要是因为信息技术的不断发展容易引发各种安全问题,无论在学校、用户、银行管理层方面,都会因为信息方面的问题产生数据错误的情况,而一个小小的错误都会影响到管理方式的发展。任何数据出现问题,比如说遗漏、篡改、泄密,或者是出现误差,都会成为安全性设计潜在的安全隐患。因此,作为高校还需要重视对智慧校园一考通的安全性管理工作,不断优化一卡通的技术设计,进一步提高智慧校园一卡通的技术水平。未来我国高等教育事业的发展更需要更安全可靠的技术加以支持,为我国今后的高效管理和服务提供更安全的技术保障,减少管理工作中存在的安全隐患,避免因为一卡通系统的故障影响到用户的使用,造成校园巨大的经济损失情况。
智慧校园一卡通系统的结构,最重要的就是对每一个架构层都要进行安全检测,而智慧校园主要的架构层有物理层,数据层、应用层以及中间件层。
如图1所示,物理层是整个智慧校园一卡通系统运行的基础,设施不仅包括了网络设备、服务器等物理设备,还包括了磁盘等软件设计,设备与软件之间的相互连通,更能提供全面的技术保障。
图1:一卡通系统物理层
数据层由智慧校园一卡通中心的数据库以及管理中心组成,包括对数据的缓冲服务系统,数据调度系统,服务组以及技术组上都有更安全的管理工作,进一步实现智慧校园一卡通系统数据的采集和处理工作。
应用程式用户能够感知和体验到的业务系统,所有的子系统必须经过核心平台管理中心的授权,才能够进入到智慧校园一卡通的中心平台,并接受统一规范的管理,这样一来在能够保证用户在操作上更加统一规范,同时也是在进一步保证校园一卡通建设的稳定性。
中间件层的主要作用,就是隔离智慧校园一卡通中心数据库与应用层之间的距离,使得用户无法直接对数据库进行操作,避免出现更多的不确定安全隐患情况,数据库更应当由管理工作人员进行专业化的操作,以此来保证数据的安全稳定。另外,对于这方面的管理需要更加科学规范,严格按照数据访问策略才能够对数据库进行访问,从数据管理方面严格落实,根本上减少安全问题。
智慧校园一卡通系统中的数据不仅涵盖了许多的师生信息,并且在其他交易数据方面也有一定的备份,对于整个系统来说控制风险性是非常重要的,如果没有做好对数据安全的工作,就会影响到数据的管理,不仅会影响到个人信息的管理,还会影响到智慧校园一卡通系统的发展。在数据安全上,主要存在的问题其一是安全访问,其二是用户访问信息,只有对这两方面进行控制,才能够做好对信息授权方面的工作。用户的权限主要包括一卡通的充值情况以及卡片的使用,在系统管理方面更重要的是做好数据安全的各项保障工作,确保用户在使用过程中减少安全隐患。如果过于简单的操作或者是权限设置不当的问题,很容易造成黑客非法侵入盗取重要的数据信息,用户的基本信息和财务状况,如果一旦泄露将会影响到个人的生活甚至是学校的名誉。安全储存主要是指进一步保证数据库的安全性,需要在备份方面多做几个备份,如果遇到突发的状况,就需要在操作方面做好相应的保障工作,才能够保证部分数据不会丢失。
智慧校园一卡通系统的终端主要有两种方式,第一POS,第二是工作站,通过这两个平台将一卡通的内容进行连接,通过工作站到前台工作人员,可以进一步实现对卡片的充值和处理。如果一卡通的内网出现问题或者是没有及时更新软件就会出现病毒入侵的情况,那要想处理病毒入侵的情况是非常复杂的,还需要在内网的工作站进行排查病毒,确保校园网的稳定运行。然而,很多学校在一卡通的内网方面不够重视,在终端系统方面容易出现安全问题,甚至会因为病毒的情况对校园网的稳定运行产生一定的威胁。POS不仅会对一卡通内的金额和用户信息进行入侵或者盗取,直接影响到用户信息的安全性以及系统的稳定性,危害终端系统的安全运行和稳定发展,因此我们更需要做好校园一卡通技术安全性设计方面的各项工作。一卡通内网的终端系统更需要做好安全保障工作,它不仅会影响到个人用户信息,还会引导校园网的崩溃,使得整个校园网出现故障的情况。另外,如果工作站也出现了病毒入侵的情况,同样也会影响到系统的终端,因此,需要做好病毒入侵的检查工作,不定期的对工作站情况进行检查和维护。与此同时,工作站的各项职业工作同样也需要跟进,才能够保证智慧校园一卡通技术的安全发展。
由于校园一卡通在使用的过程中,也要通过互联网进行数据信息的传输。因此我们也应该重视改善一卡通的网络环境,做好相关的网络安全工作。所谓的网络安全,主要是指数据信息在局域网中进行传输时的安全性。因为一卡通在日常工作的过程中有能够确定访问者的真实身份等作用,在进行网络安全保护的过程中,需要根据学校校园网的实际情况开展对网络环境的监察,采用一些网络安全保护措施来改善校园的网络环境。以下两种措施就是改善校园网络环境的常用技术手段。
3.1.1 建设一卡通专网
当前一般采用VLAN方式建设一卡通专网,确保一卡通系统能够有独立的网络系统支撑运作,在网络安全性能方面上也能够得到很大的提升。在网络设计方面上,独立的专网能够更好的保证一卡通系统的安全性,通过该方式能够建立起专用的虚拟网络,还能够有效的减少一卡通设备在硬件系统方面出现的问题,降低硬件资源的成本支出。为一卡通系统建立专网就能够从理论上与学校使用的校园网分开,以校园网作为转网的基础网址,也就是在校园网覆盖的地方设置一卡通系统的专网,确保一卡通的设备和卡片能够在校园的所有地方进行正常使用,给师生提供更加良好的一卡通系统服务体验,安全性能也会得到很大的提升。一卡通专网如图2所示。
图2:一卡通专网
3.1.2 隔离一卡通专网和校园网
为了更好的提升一卡通系统的安全性,就应该在一卡通专网和校园网之间部署应用网关,这样就能够有效的隔离一卡通专网和校园网。因为频繁使用校园网的人群数量较多,经常会使用校园网浏览各种类型的网站,所需要处理的数据信息以及网页内容更加的庞大,也更容易导致自身的数据信息出现泄露丢失的风险。为了保障一卡通专网的安全性能,应该在两者的核心交换机部部位时建立相应的应用网关,设置防火墙规则将校园网存在的不安全的数据进行过滤删除,控制一卡通用户对于一卡通系统的访问以及其他网站网页和访问,确保一卡通用户数据信息不会向外泄漏,外界的不良信息因素也不会影响到一卡通系统的安全稳定性。
操作系统对于一卡通系统的安全性能来说也是十分重要的,在增强一卡通安全性设计时,也应该重视对于系统内部构架的设计管理。因为一卡通系统内部需要运行一部分应用软件,也要确保应用软件的安全性,其主要涉及的方面是系统账号安全、系统文件权限安全、应用软件自身安全等。只有设计出更加安全的系统构架方案,才能够提升一卡通系统安的全性能。
3.2.1 改进系统设计
智慧校园一卡通系统内部一般会部署2~3台数据库服务器,能够更好的处理一卡通设备所传输过来的数据信息,存储并实现一个共享数据信息的功能,能够确保一卡通系统在运行过程中的连续性。这样的设计能够更好的避免一卡通系统在某一关键点出现的故障问题,保证数据的安全性和一致性。而且一卡通系统在双机环境下的数据库能够通过自身的IP网络进行自动备份,房子由于突发性故障导致用户的数据信息全部消失,即使用户的数据信息消失之后,也能够通过备份数据进行数据恢复。由于一卡通系统存在着多台数据库服务器,也就能够在异地部署两台一体机进行数据远程恢复并且实现数据库的异地备份,这对于一卡通系统来说是安全性能方面上的巨大提升。除此之外,一卡通应用平台还可以建立虚拟化平台部署,如果原有的应用服务出现崩溃的迹象,就能够更好的通过虚拟恢复方案进行相应的弥补,确保一卡通系统的数据安全。
3.2.2 加强用户权限管理
在一卡通系统内部应该加强对于用户权限的管理,防止由于用户自身的不恰当操作导致一卡通系统出现问题。一卡通系统应该严格的控制用户访问系统的权限,防止用户针对数据库进行篡改,后者是在系统日志方面上做出修改。因为这些操作在很大程度上都会影响到一卡通系统的安全性。对于普通的用户来说,一卡通系统应该严格的限制用户在权限范围内进行系统的操作。一卡通系统在内部还应该设置校验装置,针对用户的异常数据信息和异常操作进行检测,如果发现一些异常举动应该及时的进行报警,可以有效地组织用户针对数据库和系统日志的修改。系统还应该针对各项修改操作进行日志记录,以便在后续出现问题之后及时的针对用户个人进行追查。
3.3.1 存储安全
对于数据安全设计来说,数据的安全储存是必要的。因为一卡通系统再进行运转的过程中,需要通过数据信息来针对用户的个人身份进行核定,也就必须要将一卡通用户的个人信息进行储存起来。在储存数据信息的过程中,必须要确保用户个人自身的数据信息出现错误或者泄露出去。应该选用安全系数级别较高的数据库系统,在进行数据库访问的过程中,应该要通过主机系统验证、网络验证、数据库验证等多个关卡的验证,更好的保障数据存储过程中的安全性能。当前的数据库一般采用集群式数据库模式,会针对较为敏感的数据进行加密储存,而且用户支撑也能够针对加密的密码进行修改,在安全性能方面上展现出个性化设置。而且在针对数据库访问机制方面上做出相应的调整,在访问权限方面上作出严格的界定,限制访问时间能够访问授权的部分数据信息,不能够将所有的数据信息都暴露在用户面前。
3.3.2 传输安全
一卡通系统在运作的过程中也经常会涉及到数据的传输工作,但是数据在传输的过程中也容易出现泄漏的问题。所以当前一卡通系统在进行数据传输的过程中一般会采用加密传输的方式,加密传输所使用的算法会更加的严格精密,能够有效的防止密码外泄,保证持卡人自身的数据隐私。而且当前也会采取签到和设备接入等方式进行持卡人的身份认证,采用临时交换的密钥使用对称密码算法来针对数据进行加密传输,密码复杂程度越高,数据信息传输的安全性能也会更强,能够有效的防止外界的非法截取和篡改。当前校内终端设备一般采用。DES加密和动态密钥,这些方式都能够进行临时密码的交换,在每次进行数据传输的过程中都会针对不同的数据信息传输进行密钥交换,在很大程度上提升了一卡通系统数据传输的安全性。
3.3.3 设计数据纠错功能
一卡通系统可以采用485总线网络组网方式,如果出现网络中断或者是网络故障的情况,消费终端将会进行脱机消费,确保交易的记录始终会保存在终端设备上,等待网络能够继续使用之后将消费记录信息自动上传到数据库中,实现一个数据纠错的功能。如果数据信息出现错误或者是由于其他方面无法及时记录在数据信息中,就应该设计数据纠错功能。在一卡通系统内部设置挂账机制,能够将已经完成的消费记录暂时保存下来,等待能够正常运行的过程中再将正确的数据信息上传,防止用户的利益受到损失。而且这样的数据纠错机制还能够确保财务系统在对于数据信息核对的过程中有着更高的准确性。
当前大部分一卡通的卡片均采用CPU卡,可以根据不同的需求针对卡片的种类进行分类,更好的提升卡片的安全性。一卡通内部包含有自身的卡号、学号、姓名、性别等多种个人有效信息。所以一卡通卡片的安全管理也是十分重要的。一卡通的卡片与普通的卡片相比有着更加高级的加密技术,芯片和cos的协同安全技术在安全保证方面上提供了双重保证。而且cos安全技术在一卡通使用的过程中有着密钥的最大重试次数,防止有人针对一卡通卡片进行恶意攻击,也无法通过多次尝试密码输入的方式来破解卡片的密码。卡片的安全管理主要从一卡通设备和持卡人安全管理方面展开
3.4.1 一卡通设备管理
在校园内的一卡通设备种类是比较多的,一般就包括校园卡、圈存机、读卡器、签到机、数据库服务器、应用服务器、网络交换机等。这些一卡通设备的安全管理将会直接影响到整个系统工作过程中的稳定性,也是一卡通系统实现稳定运行的基础。校园一卡通系统应该充分的考虑到一卡通设备自身的联网兼容性,确保一卡通设备既能够与一卡通专网进行联网使用,也能够进行拖网使用。在一卡通设备离开网络环境的情况下,终端设备要保持一定的数据存储,暂时将这一段时间内的数据信息储存起来,当终端设备继续连接网络之后,将储存和信息同步到数据库中。在一卡通系统内部所使用的设备应该进行安全认证,检查应建设会是否出现网络质量问题,才能够将一卡通系统的部分权限授予终端设备。
3.4.2 持卡人安全管理
技术人员可以在一卡通系统内部设置相应的黑白名单功能,针对那些使用数据异常,或者是在监控过程中有问题的一卡通用户加入黑名单。在于一卡通卡片持卡人核对数据信息之后再进行后续的处理,防止因为持卡人丢失一卡通卡片而导致出现其他人的盗刷行为。一卡通系统应该推出挂失实时生效的模块设置,当持卡人发现自身的一卡通遗失之后应该及时的进行挂失,杜绝出现一卡通恶性透支的行为。持卡人也可以根据自身的需求设置个人消费密码,设置一定的消费限额管理,这样就能够从最大限度上保证持卡人卡片的安全性。一卡通系统应当实时的更新系统中的黑名单,帮助持卡人进行实时卡片挂失,更好的保障一卡通内部资金的安全。
总而言之,智慧校园一卡通技术对于高校教育事业的发展具有重要的现实意义,这方面的技术不仅能够提高我国高校教学、服务和管理水平,而且我还会对我国的高校教育事业发展质量积极意义。智慧校园一卡通技术,无论是在校园安全还是教学质量方面都起到非常积极的作用,我们更需要通过这项技术的研究,为我国高校教育质量和水平提供更可靠的保障。