校園一卡通系統安全模型的構建及應用

吳文暉

摘?要：校園一卡通系統在高校的應用經歷了高速發展的過程，給學校和師生帶來便捷的同時，也呈現出紛繁復雜的安全問題。多數校園一卡通系統是從食堂收費系統發展而來，缺少必要的頂層設計和標準規范，其組成模式基本采用搭積木方式整合而成。經多年使用，目前系統的安全不僅牽涉到硬件故障、軟件缺陷，還涉及管理問題。本文通過對校園一卡通系統安全模型的構建和對風險來源的分析，在實踐的基礎上，提出規避風險的應用策略。

關鍵詞： 一卡通系統;安全模型;風險來源;應用策略

文章編號： 2095-2163（2021）01-0024-04 中圖分類號：TP393.08 文獻標志碼：A

【Abstract】The application of the campus all-in-one card system in colleges and universities has undergone a rapid development process， which brings convenience to schools， teachers and students， but also presents numerous and complicated safety problems. Most campus all-in-one card systems are developed from the mess-hall charging system， lacking the necessary top-level design and standard specifications， and their composition mode is basically integrated by building blocks. After years of use， the current system security not only involves hardware failures and software defects， but also management problems. Based on the construction of the security model of the campus all-in-one card system and the analysis of risk sources， this paper proposes application strategies to avoid risks on the basis of practice.

【Key words】all-in-one card system; security model; source of risk; application strategy

0 引?言

目前，針對校園一卡通系統安全問題的研究通常基于數據存儲、卡安全和病毒防范等單一層面，忽略了校園一卡通系統的自身缺陷、布線環境和缺乏可行的管理制度等帶來的綜合風險。這些問題均可引發故障，造成危害。隨著高校的高速發展，一卡通系統的需求范圍不斷擴大，業務功能日益豐富，專業應用持續深入，由此帶來的流量也急劇上升，數據交換頻率和系統集成的復雜程度都超出原有設計要求，應用系統經常處于臨界運行狀態。雖然系統不斷采取修補式升級，但安全風險還是頻現。

1 校園一卡通系統概念

校園一卡通系統是在學校專用網絡基礎上，以使用RFID和IC技術封裝的智能卡片或虛擬卡技術集成應用的手機為載體，利用終端采集數據，經應用系統管理主機分類，實時上傳至服務器處理，再將處理后的數據回傳主機和終端，完成身份認證，實現教學服務、生活服務和校園收支等數字化管理。

1.1 平臺架構

校園一卡通系統實施統一管理，分級運用綜合性平臺架構，通過系統的模塊化結構設計，按需配置功能，實現數據共享，提高運行效率。并預留接口方便其后的擴展。校園一卡通系統的平臺架構如圖1所示。

1.2 業務模塊

具體功能包括：數據收發（對食堂、超市、浴室、洗衣房等的消費數據實時處理）;卡務中心（含發卡、銷戶、掛失、解掛等業務功能）;結算中心（負責銷售報表和管理報表的生成與審計）;管理中心（負責教務系統、圖書系統、醫療系統、圈存系統各主機與服務器的對接、設備授權和系統升級）;數據處理服務（運行于服務器端，完成數據監控、采集和存儲）;多媒體自助圈存服務（含自助查詢、充值、報名與綜合繳費等業務功能）;自動喚醒服務（當系統進程掉線時自動重啟程序）。

2 校園一卡通系統的安全

校園一卡通系統的安全是指在相對封閉的專用網絡中，系統的硬件、軟件、網絡、管理環境及所發生的業務資源受到保護，不因意外或惡意原因遭受損毀、更改和泄露，系統能夠可靠地運行，網絡連接不間斷，數據收發和管理信息交換持續，滿足校園用戶的正常業務需求。

2.1 安全模型的構建

校園一卡通系統安全模型由實體和虛擬兩類共五層組成[1-2]，見圖2。其中，實體層的第一層、即核心層由服務器群組成，通過TCP/IP協議與主機通信，同時圈存服務器通過DDN專線與銀行前置機通信。第二層、即應用層由主機及一卡通應用系統組成。第三層、即業務層由終端群組成。消費終端和門禁終端以RS485協議與管理主機互聯。多媒體自助終端以TCP/IP協議與圈存服務器聯接。第四層、即網絡層由各級網絡關口、通信線路和網絡設施組成。數據通過網絡層上傳下達。第五層為虛擬的，即管理層。由管理人員、操作人員和管理制度組成。負責細則的制定和人員落實，強化安全意識。

2.2 安全模型的內容

（1）核心層。由信息中心數據服務器負責控制整個系統數據的采集與交換，最終存儲原始數據。結算服務器通過原始數據的統計與分析生成財務報表，匯總出所有數據源供應用層調用。管理服務器負責應用層統一管理、身份驗證、行為審計、權限下發、系統設置，實現對應用系統的部署和數據的組織、調用。圈存服務器負責學校與銀行間財務數據的交換與結算。

（2）應用層。由賦予一卡通系統應用功能的主機群實施。在行使數據收發、卡務管理、餐飲管理、水控管理、圖書管理、教務管理和醫療管理的同時，履行數據上傳、日常查詢、卡務辦理和報表打印等具體作業的功能。

（3）業務層。屬于窗口業務網點，面向校園卡最終用戶。消費終端和門禁終端自身采用EPROM存儲芯片，可存儲2 000筆本機交易數據和10批次黑名單數據，網絡中斷時可比對黑名單脫機使用。多媒體自助終端提供人機交互服務。

（4）網絡層。由服務器通過光纖連接至各管理機房主機組成一級主干網，由主機連接多媒體自助終端組成二級子網，由主機連接消費終端和門禁終端組成三級子網。這些都是連接核心層、應用層和業務層的橋梁。

（5）管理層。是虛擬的邏輯層。安全問題多由系統內部引起。缺乏相應的規章制度、制度不落實及權責不明都可引發風險。因此建立和完善一套行之有效的安全管理規章制度十分必要。同時對從業人員要強化責任意識和專業技能培訓。為預防突發事件，還應制訂對應的應急工作預案。

2.3 安全模型的作用

安全模型的建立，簡潔明了地展現校園一卡通系統各個層次的安全節點，有利于厘清各方關系，專注其風險控制，配合管理制度的有效實施，可以積極保障系統的持續安全運行。

3 校園一卡通系統安全風險來源

根據安全模型的構建，可將校園一卡通系統風險的來源歸納為軟件、硬件和安全管理三個方面。對此展開的研討分述如下。

3.1 軟件安全風險

這類風險來自于操作系統、數據庫系統、應用系統等軟件。其中，操作系統應定期安裝補丁程序，才能避免相關安全風險。應用系統包含服務器應用、主機應用和終端單片機應用軟件。數據服務器與消費終端進行數據交換時，或結算服務器、自助圈存終端與銀行前置機進行數據交換時，因軟件自身缺陷或病毒侵入，即可引發數據安全風險。服務器的初期配置主要為校園生活業務服務，完全能夠支持一卡通系統的正常運作。隨著高校人數逐年增長，以及各項業務的逐步展開，服務器群的負載越來越重，系統陳舊數據也越積越多，業務流量經常瞬間超負荷即會造成服務器系統崩潰，引起連鎖反應。

3.2 硬件安全風險

這類風險主要來自通信線路（含交換機等網絡設備）和電源線路（包括機房UPS及其電池組）。此外，主機、終端也會因故障引發一定風險，但一經發現可用備件更換。

服務器與主機、多媒體自助終端間連接的光纖網絡是串聯整個系統的主線，但線路的鋪設常非一次完成，欠規范;且因校園施工、維修等因素常易受到損壞。主機采用RS485協議與消費終端、門禁終端連接，接頭各異，導致節點故障頻率也較高。某一節點發生短路或間歇故障時，即可引起子網線路整體癱瘓。

3.3 安全管理風險

這類風險來自管理制度和從業人員。例如：管理員對服務器運行異常警惕性低，當銀行前置機傳入蠕蟲病毒并在專網的主機內互相感染時未能及時發現;操作員密碼泄露，造成校園卡被惡意退費致商戶損失;意外停電時起應急作用的UPS系統因疏于專業維護，未發現個別電池失效，導致系統無法運行;廠方維護員使用帶病毒U盤升級應用系統，使主機感染中毒。

4 校園一卡通系統的安全應用

依照“統一規劃、分步實施”的原則，校園一卡通系統的安全應用應形成專門體系，整合學校技術和管理方面的優勢，建立有效的更新機制，并在實踐中逐步完善[3-4]。

4.1 服務器

服務器是校園一卡通系統的核心，宜采用新版Windows Server操作系統和Oracle數據庫系統實現數據存儲和管理功能。對服務器應分類管理，通過本機RID3模式進行一級備份，外置二級備份作為冗余手段，以保證原始數據安全。對一卡通系統在數據收發等過程中自身導致的錯誤，要及時將消費終端底層的保留數據進行比對校正，保持卡賬平衡。圈存服務器是校園專網與銀行外網間數據通信的唯一網絡關口，應配置硬件防火墻作安全防護，對業務請求加以實時過濾，外來敏感數據則做到有效隔離，防止蠕蟲類病毒感染、傳播和破壞。根據校園一卡通系統發展和使用的需求，提前做好服務器更換或升級規劃，對系統、數據的遷移和測試宜安排在寒暑假期間，預留充分時間處理突發問題。

4.2 主機

主機負責各業務部門功能的實施。主機應采用授權方式打開應用管理系統，廠方維護員和校方從業人員均需按各自用戶名及密碼登錄行使工作權限，人員離開即時注銷。發現問題憑操作日志或工作記錄來進行追溯。針對主機操作系統及應用軟件故障或病毒感染問題，應提前做好防護及備份工作。操作系統安裝與設置用時較長，一卡通系統安裝要求更為復雜，需綁定計算機名、用戶名并以IP地址驗證的方式連接服務器調試參數。在軟件安裝調試結束后，應立即用PE系統啟動主機，調用Acronis True Image軟件，將上述系統備份至專門分區保存，再調用Disk Genius工具將備份分區設為隱藏加以保護，需要時可快速恢復，見圖3。

4.3 終端

終端故障主要以鍵盤、通信芯片和接頭為主。一般現場更換備件，在油污、水氣侵蝕嚴重的食堂、水房和浴室等區域，接頭應選用防水接頭;鍵盤主要采用加貼硅膠保護套及終端整體覆膜保護。

更換終端時要在正面標記序號和機號，避免數據錯亂。應建立設備日常保養制度，以檢查、培訓手段促進長效管理。對終端更新系統碼、黑名單等引起的網絡數據阻塞，應在零點后、早餐前進行。

4.4 網絡

網絡中最重要的是通信線路安全。光纖線路及網絡關口發生問題時，應先用智能尋線儀探查配線架和光交換機模塊。若因跳線接觸不良或設備故障，同型號備件更換;否則需用可視故障探測儀分段檢查光纖線路，逐步縮小范圍查明斷點，熔接修復。

食堂、水房和浴室等單位的三級子網均以RS485協議上連主機、下接消費終端，承載著底層數據傳輸的作用，最易發生電線與通信線的短路風險，引發線路損毀。依據綜合布線可靠性原則，在環境復雜和終端集中布設的重要部門，推薦采取間隔冗余布線方案。在每個機位下方分別設立強電、弱電兩只分線盒連入終端，一路線接單號機，另一路線接雙號機，詳見圖4。故障發生時，即可保證每個營業點內都有一臺終端可用，避免因線路故障產生營業損失，也給搶修和設備維護帶來了便利。

4.5 管理方面

管理策略首先要在制度建設的基礎上，彌補缺乏頂層設計帶來的缺陷，逐步完善一卡通系統的管理措施和人員管理，使其既符合技術規范要求，又能充分發揮業務功能。校園一卡通系統發展到現在，欲達到優化管理的目標，必須充分發揮學校各部門的優勢，聯合廠方共同做好安全保障工作。

建議學校以信息部門牽頭組建一卡通管理中心，負責系統的規劃、維護和日常服務管理。校財務部門負責銀行、師生間賬務業務，代表學校監管圈存、繳費資金。將校園的生活業務和醫療業務歸屬

后勤部門。圖書館負責圖書系統的工作。教務部門負責選課、報名考試、繳費等功能的管理。做到規范劃分，分工明確，各司其職。

學校對校園一卡通從業人員應統一管理，制定崗位職責、技能要求及考核內容。從機房每日工作要點、維修流程、應急預案等細節入手，不斷改進管理措施。梳理日常故障案例，總結維護經驗，定期組織管理人員和操作人員進行專業技能和安全知識的培訓。

5 結束語

校園一卡通系統安全性的建立，是一個系統工程，從設計之初、施工過程到應用期間都需不斷總結經驗，加以完善。一卡通已不再是學校某部門的單一應用，而是具有匯聚全校行政管理功能、教學與生活業務功能和數字收付功能的三重屬性。面對智慧校園的創新發展和大數據的綜合運用，業務開放性和數據共享性將使系統安全受到進一步挑戰。如何保證系統的安全，體現了高校信息化管理水平再上一個臺階，則亟待后續的深入研究及探討。

參考文獻

[1]田愛寶，董增華. 校園一卡通網絡安全設計與實現[J]. 微型電腦應用， 2016， 32（7）：68-70.

[2]王永建，郎豐凱，王迅，等. 智慧校園一卡通系統安全研究[J]. 信息安全研究， 2016， 2（5）：454-461.

[3]陳曉紅. 校園一卡通系統安全方案設計[J]. 武漢職業技術學院學報， 2008， 7（1）：79-82，86.

[4]鄢翔. 基于安全等級保護2.0的高校一卡通應用系統安全方案設計[J]. 電子技術與軟件工程， 2019 （1）：192-195.