一卡通系統(tǒng)是基于信息集成、小額支付、資源管控和身份識(shí)別的綜合信息化管理系統(tǒng)。一卡通系統(tǒng)是指凡有現(xiàn)金、票證或需要識(shí)別身份的場合均采用智能卡來完成,為管理帶來高效、方便與安全。校園一卡通系統(tǒng)是高校數(shù)字化、信息化建設(shè)的重要組成部分,為信息化建設(shè)提供全面的數(shù)據(jù)采集平臺(tái),結(jié)合管理信息系統(tǒng)和網(wǎng)絡(luò),形成數(shù)字空間和共享環(huán)境。以一卡通系統(tǒng)為平臺(tái),充分利用銀行的金融服務(wù),最終實(shí)現(xiàn)“信息共享、集中控制”。
1 高校一卡通系統(tǒng)的體系架構(gòu)復(fù)雜
校園一卡通系統(tǒng)包括消費(fèi)、門禁、考勤、公交刷卡、超市購物、水電費(fèi)繳納、圖書借閱、銀行圈存等功能。按照系統(tǒng)的功能模塊劃分,一卡通系統(tǒng)可以分為數(shù)據(jù)中心、卡業(yè)務(wù)中心、結(jié)算中心、消費(fèi)中心、身份認(rèn)證中心、管理中心、自助消費(fèi)渠道、第三方通訊接口和銀行結(jié)算接口共九大模塊。
一卡通體系架構(gòu)的復(fù)雜性表現(xiàn)在如下幾個(gè)方面:
(1)一卡通系統(tǒng)中涉及的設(shè)備類型多。系統(tǒng)使用的終端設(shè)備包括個(gè)人電腦、自助業(yè)務(wù)終端、數(shù)據(jù)存儲(chǔ)設(shè)備、應(yīng)用服務(wù)器、Web服務(wù)器、卡片識(shí)別器、門禁系統(tǒng)、交換機(jī)、路由器和光纖轉(zhuǎn)換器等。
(2)終端網(wǎng)絡(luò)環(huán)境復(fù)雜。系統(tǒng)提供了消費(fèi)、門禁、考勤、公交刷卡、超市購物、水電費(fèi)繳納、圖書借閱、銀行圈存等功能。不同的功能接口對(duì)網(wǎng)絡(luò)接入的需求是一樣的,但是他們所能提供的網(wǎng)絡(luò)保護(hù)能力相差很大。有人管理的網(wǎng)絡(luò)接入相對(duì)安全,無人管理的自助類型設(shè)備接入環(huán)境零散,有效控制難度大。
(3)存在Web訪問接口。Web訪問接口具有非常好的用戶體驗(yàn),但它也是存在弱點(diǎn)最多,面臨威脅最多,最難以防護(hù)的環(huán)節(jié)。
(4)外聯(lián)機(jī)構(gòu)多。一卡通系統(tǒng)不僅需要和銀行進(jìn)行互聯(lián)互通,還要和多家運(yùn)營商進(jìn)行數(shù)據(jù)交互,至少存在三四家外聯(lián)機(jī)構(gòu)。因此,與外聯(lián)機(jī)構(gòu)的邊界防護(hù)同樣需要統(tǒng)一納入一卡通系統(tǒng)的信息安全防護(hù)體系中。
(5)設(shè)備數(shù)量多。一卡通涉及的各種設(shè)備加起來有幾十臺(tái),并且設(shè)備存在應(yīng)用多種操作系統(tǒng)的情況。如何將這些不同硬件類型、不同操作系統(tǒng)的設(shè)備納入系統(tǒng)的安全管理體系將是系統(tǒng)建設(shè)的一個(gè)難點(diǎn)。
2 高校一卡通系統(tǒng)信息安全的固有風(fēng)險(xiǎn)分析
(1)設(shè)備類型多和數(shù)量多導(dǎo)致的固有風(fēng)險(xiǎn)為每種設(shè)備、每臺(tái)設(shè)備都存在各自的固有風(fēng)險(xiǎn),多個(gè)小的固有風(fēng)險(xiǎn)可能通過蝴蝶效應(yīng)形成導(dǎo)致系統(tǒng)無法提供服務(wù)的高級(jí)系統(tǒng)風(fēng)險(xiǎn)。因此需要針對(duì)不同設(shè)備類型進(jìn)行風(fēng)險(xiǎn)控制,部署安全防范設(shè)備,實(shí)施安全控制措施。
(2)終端網(wǎng)絡(luò)環(huán)境復(fù)雜的固有風(fēng)險(xiǎn)。一卡通系統(tǒng)要提供有效的在線服務(wù),就必須通過TCP網(wǎng)絡(luò)與一卡通系統(tǒng)的數(shù)據(jù)中心、應(yīng)用中心進(jìn)行數(shù)據(jù)交換。對(duì)于無人值守的自助服務(wù)設(shè)備,存在網(wǎng)絡(luò)非法接入、搭線、數(shù)據(jù)竊聽、非法篡改、身份偽造等固有風(fēng)險(xiǎn)。
(3)外聯(lián)單位多的固有風(fēng)險(xiǎn)。外聯(lián)單位越多,網(wǎng)絡(luò)邊界的風(fēng)險(xiǎn)就越大。如果與外聯(lián)單位通過互聯(lián)網(wǎng)VPN進(jìn)行交互,同樣存在數(shù)據(jù)泄密等風(fēng)險(xiǎn)。如果與外聯(lián)單位通過數(shù)據(jù)專線進(jìn)行交互,則存在雷擊、光纖中斷和對(duì)方服務(wù)器故障等風(fēng)險(xiǎn)。
(4)Web應(yīng)用的固有風(fēng)險(xiǎn)。Web應(yīng)用的固有風(fēng)險(xiǎn)是有Web應(yīng)用自身的缺陷、Web應(yīng)用服務(wù)器的固有缺陷、Web應(yīng)用服務(wù)器操作系統(tǒng)和DNS服務(wù)提供商的缺陷綜合組成的。而這些缺陷可能造成的常見攻擊類型包括:注入攻擊、跨站腳本攻擊、上傳假冒文件、非法執(zhí)行腳本和系統(tǒng)命令、源代碼泄露、釣魚攻擊等。攻擊的目的包括:非法篡改網(wǎng)頁、非法篡改數(shù)據(jù)庫、非法執(zhí)行命令、資金盜取、系統(tǒng)破壞等。2011年CSDN、天涯社區(qū)等國內(nèi)著名網(wǎng)站發(fā)生信息泄露問題,我們必須高度重視Web應(yīng)用的固有風(fēng)險(xiǎn)在高校一卡通中的存在。
(5)高校網(wǎng)絡(luò)環(huán)境的固有風(fēng)險(xiǎn)。高校中一般只有一套內(nèi)部網(wǎng)絡(luò),日常的辦公和互聯(lián)網(wǎng)訪問都在同一網(wǎng)絡(luò)上運(yùn)行,針對(duì)一卡通系統(tǒng)不能做到專網(wǎng)專用,即使采取了VLAN劃分、私有地址和部署防火墻等安防設(shè)備,外部人員仍然可以通過有漏洞的內(nèi)網(wǎng)終端以跳板機(jī)的方式入侵一卡通系統(tǒng)。
3 高校一卡通系統(tǒng)全方位安全體系的建設(shè)
3.1 建立信息安全管理體系
建立持續(xù)有效的信息安全管理體系是高校一卡通系統(tǒng)安全管理最重要的事情。信息安全工作具有“七分管理、三分技術(shù)”的特點(diǎn),為保障信息安全工作真正落實(shí)到位并持續(xù)進(jìn)行,建立信息安全管理體系。
(1)高校一卡通系統(tǒng)涉及的用戶群體多,包括學(xué)生、老師、學(xué)校管理層、第三方等。同時(shí)一卡通系統(tǒng)的管理人員也很多,有系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、財(cái)務(wù)管理員、圖書館管理員等。這些管理人員各司其職,完成自己的工作,但是他們只是從自己工作的視角來確保系統(tǒng)正常運(yùn)轉(zhuǎn),沒有從整個(gè)系統(tǒng)的層面來進(jìn)行信息安全的統(tǒng)一管理。因此,首先要建立一卡通系統(tǒng)的管理領(lǐng)導(dǎo)小組,由各個(gè)業(yè)務(wù)部門和技術(shù)部門的主要負(fù)責(zé)領(lǐng)導(dǎo)組成,對(duì)整個(gè)一卡通系統(tǒng)的信息安全負(fù)責(zé),制定一卡通系統(tǒng)的信息安全管理方針政策,建立一卡通系統(tǒng)的訪問控制矩陣,嚴(yán)格管理系統(tǒng)管理人員的訪問權(quán)限。
(2)指定專人負(fù)責(zé)一卡通系統(tǒng)的安全管理工作。專職安全管理員負(fù)責(zé)制定所有設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用模塊的安全管理基線,并定期檢查基線定義與實(shí)際情況的差距,定期進(jìn)行一卡通的信息安全巡檢工作,向一卡通管理領(lǐng)導(dǎo)小組上報(bào)信息安全巡檢報(bào)告。指導(dǎo)相關(guān)人員完成系統(tǒng)漏洞的修復(fù)、補(bǔ)丁升級(jí)等工作,逐步完善一卡通系統(tǒng)的信息安全管理體系。在新設(shè)備、新業(yè)務(wù)投入運(yùn)行前嚴(yán)格按照基線定義進(jìn)行安全測試,達(dá)到標(biāo)準(zhǔn)以后才能投入運(yùn)行。
3.2 建立信息安全技術(shù)保障體系
針對(duì)高校一卡通系統(tǒng)五大固有風(fēng)險(xiǎn),采取安全技術(shù)措施,部署適當(dāng)?shù)陌踩O(shè)備,通過技術(shù)手段提高一卡通系統(tǒng)的安全風(fēng)險(xiǎn)防范能力。
(1)針對(duì)終端類型多,部署位置分散的情況,要注意加強(qiáng)對(duì)末端線纜的防護(hù),尤其是RJ45雙絞線的物理防護(hù),雙絞線和自助設(shè)備連接的地方要有金屬防護(hù)罩,外部線纜要穿金屬管路,關(guān)閉末端交換機(jī)上不使用的端口,對(duì)終端設(shè)備采取IP地址、物理地址和交換機(jī)端口綁定的策略。對(duì)于特定時(shí)段開放的終端訪問,要啟用時(shí)間訪問控制策略,禁止在非工作時(shí)段的任何操作。
(2)與銀行、運(yùn)營商等第三方外聯(lián)機(jī)構(gòu)的網(wǎng)絡(luò)通信,盡量租用專線,并且與每個(gè)機(jī)構(gòu)要開通兩條線路,平時(shí)可做流量負(fù)載均衡,避免因?yàn)榫€路單點(diǎn)故障造成系統(tǒng)服務(wù)的中斷。
(3)建立完善的數(shù)據(jù)備份機(jī)制。通過對(duì)數(shù)據(jù)庫進(jìn)行雙機(jī)熱備、對(duì)操作系統(tǒng)和數(shù)據(jù)庫建立鏡像站點(diǎn)、采用磁盤陣列和虛擬帶庫等大容量存儲(chǔ)設(shè)備做好一卡通系統(tǒng)的實(shí)時(shí)備份、增量備份、歷史備份。
(4)加強(qiáng)Web邊界防護(hù)。針對(duì)Web應(yīng)用部分,應(yīng)建立DMZ防護(hù)區(qū)域。在DMZ區(qū)域部署鏈路負(fù)載均衡、異構(gòu)防火墻、IPS入侵防御系統(tǒng)和WAF網(wǎng)絡(luò)應(yīng)用級(jí)防護(hù)系統(tǒng)。嚴(yán)格限制DMZ區(qū)域服務(wù)器對(duì)一卡通系統(tǒng)數(shù)據(jù)中心服務(wù)器的訪問權(quán)限,嚴(yán)格執(zhí)行按需訪問,最小授權(quán)的訪問控制策略。
(5)加強(qiáng)終端管理。在所有終端上關(guān)閉不使用的端口和服務(wù),部署企業(yè)級(jí)防火墻或網(wǎng)絡(luò)硬件防毒墻。建立移動(dòng)存儲(chǔ)設(shè)備的管理策略,嚴(yán)格管理移動(dòng)設(shè)備在關(guān)鍵管理終端上的使用,減少因移動(dòng)終端造成的病毒傳播、數(shù)據(jù)泄露等安全事件發(fā)生。
(6)搭建一卡通系統(tǒng)的實(shí)時(shí)監(jiān)測系統(tǒng)。可以采用開源NAGIOS等監(jiān)控平臺(tái)實(shí)時(shí)監(jiān)控一卡系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端設(shè)備的連通性,實(shí)時(shí)監(jiān)控服務(wù)器、存儲(chǔ)設(shè)備的關(guān)鍵系統(tǒng)指標(biāo)。同時(shí)通過監(jiān)控平臺(tái)與短信平臺(tái)的對(duì)接,被監(jiān)控的任何指標(biāo)故障都可以通過短信形式實(shí)時(shí)發(fā)送給技術(shù)人員和管理人員,確保系統(tǒng)的安全、平穩(wěn)運(yùn)行。
4 總 結(jié)
本文通過建立信息安全管理體系和信息安全技術(shù)保障體系,搭建了一個(gè)適合高校一卡通系統(tǒng)的全方位安全體系,該體系的建設(shè)能夠極大地提高高校一卡通系統(tǒng)信息安全風(fēng)險(xiǎn)控制的有效性,保證高校一卡通系統(tǒng)的正常運(yùn)行。
