基于第三級等保的高校一卡通系統安全體系研究

艾 飛，時東曉，黃建波，蘇林忠

（1.華南理工大學信息網絡工程研究中心，廣東 廣州 510640；2.廣州城市職業學院信息工程學院，廣東 廣州 510640）

21 世紀的信息技術與各領域的深度融合，在促進社會、經濟發展的同時，因信息技術的快速更迭、管理制度的不完善以及安全意識薄弱等因素所造成的網絡安全問題亦日趨嚴重[1-2]。2017 年，《中華人民共和國網絡安全法》正式頒布實施，從法律層面明確國家信息安全的等級保護機制的落實[3]。信息安全等級保護的目的是保障我國基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全，維護國家安全和公共利益[4]。目前，我國重點高等學校的一卡通系統的信息安全等級保護定級為第三級[5]。

那么，高校一卡通系統安全防護對象包括哪些？如何實施安全防護以應對日趨嚴重的信息安全威脅？如何保障校園一卡通系統滿足網絡信息安全的第三級等保要求？針對這些問題，該文從一卡通計算體系的視角分析一卡通系統可能存在的網絡安全威脅，結合第三級等保要求，從技術和管理兩個方面提出高校一卡通系統的安全體系架構，為高校一卡通系統的安全運行提供一個可執行方案。

1 第三級等保的安全體系

2019 年正式實施《信息安全技術 網絡安全等級保護基本要求》（GB/T 28448-2019）標志著我國的信息安全等保進入2.0 時代[6]。信息系統根據其在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，由低到高劃分為五級[7]。

GB/T 28448-2019 定義的第三級等保安全體系涵蓋安全技術和安全管理兩個方面[8]，其中安全技術針對當前新形勢、新技術提出網絡信息系統的安全要求項和對應的技術措施，進而保護信息系統的運行環境（物理、計算和網絡）、系統服務、系統數據的安全；安全管理則從組織機構、人員、軟件生命周期等方面建立規章制度，明確安全管理的方向、目標、范圍和職責，從外圍加固安全技術無法解決的安全問題[9]，如圖1 所示。

圖1 第三級等保的安全體系

1）測評對象

隨著新技術、新環境的發展，第三級等保的測評對象在通用的信息系統對象的基礎上擴延到新型的計算環境、網絡環境、管理環境和應用對象，包括云計算、移動計算、大數據、物聯網和工業控制。

2）安全技術

安全技術要求物理環境、通信網絡、網絡區域邊界和計算環境的安全性，其中計算環境由主機、數據庫、中間件、信息系統、數據等對象組成。

3）安全管理

安全管理從頂層規劃安全體系的總綱，明確管理的機構、人員、職責和規程，強調信息系統整個生命周期的安全規劃，包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理。

2 一卡通系統的安全威脅分析

2.1 一卡通系統的計算體系

作為高校信息化的基礎工程[10]，一卡通系統的應用場景覆蓋智慧校園，融合智慧校園的信息系統和社會應用，為全校師生的教學、科研、學習和生活提供便利服務[11]，并為領導決策提供大數據分析的數據支持[12]。一卡通系統2.0 以軟件架構為中心，卡片虛擬化，實現身份識別、消費、充值、考勤/簽到、自助服務等功能[13]，其計算體系在邏輯結構上分成5層，如圖2 所示。

圖2 一卡通系統計算體系

其中，網絡通信層融合移動網、無線網、有線網，建立智慧校園的寬帶泛在網絡，打破一卡通傳統的專網；計算與存儲層融合云計算技術，提供高可用的計算平臺；核心服務層基于軟件模塊化計算范式，采用標準的Web 服務接口，實現與智慧校園應用、互聯網應用之間的數據集成和服務融合。

2.2 一卡通系統存在的安全威脅

我國高校一卡通系統始于二十世紀90 年代，技術架構先后融合C/S、B/S 和移動計算。因此，一卡通系統存在安全問題既有技術上的客觀因素，也有管理上的主觀因素[14]：

1）信息系統的安全威脅不斷升級，一卡通系統的早期技術架構無法滿足當今安全要求。

2）業務需求動態變化，一卡通系統不斷融合其他應用，計算體系的技術架構比較混雜，計算體系內的漏洞具有多樣性和隱蔽性。

3）一卡通專網邊界的打破，網絡服務邊界模糊化，訪問控制管控復雜、難度大。

4）高校師生的安全意識普遍薄弱、安全防范意識嚴重不夠。

5）缺乏貫通一卡通軟件生命周期的網絡信息安全的規劃和建設。

綜合上述的一卡通系統的計算體系和一卡通系統自身的不安全要素，安全威脅主要存在以下幾個方面：

1）網絡通信

三網融合打破專網的限制，專網與校園網、校園網與移動網、移動網與專網之間的網絡邊界易造成非法訪問和計算機病毒的傳播。

2）計算環境

在一卡通系統的向下兼容的計算環境內，存在低版本的操作系統、數據庫和中間件，這些低版本系統的漏洞甚至已無法修復，而這些漏洞卻是非法入侵的突破口。

3）技術融合

目前一卡通系統2.0 的技術架構融合Web 技術、移動計算技術等，技術的融合存在接口上的安全漏洞以及數據泄露風險。

4）管理制度

管理制度涉及物理環境、計算環境、系統生命周期等。制度不完善的后果是用戶的安全意識薄弱，系統的脆弱性高，易遭到網絡攻擊和人為破壞。

3 高校一卡通系統的安全體系設計

信息系統的安全應具備機密性、完整性、可用性、可審查性和抗抵賴性等特征[15]。一卡通計算體系由物理環境、網絡環境和計算環境組成，其中物理環境對象是機房以及相應的機房設施，網絡環境對象包括網絡分區以及相應的網絡設備，計算環境包括計算硬件和計算軟件。因此，一卡通系統的安全防護對象主要包括：機房、網絡結構（網絡拓撲、網絡通信）、網絡設備、計算硬件（服務器、存儲、POSE 機、充值機等終端）和計算軟件（包括配置數據和業務數據）。

結合第三級等保體系的安全要求，文中從技術和管理兩個方面設計一卡通系統安全體系，對一卡通系統的組成對象進行縱深防護，如圖3 所示。

圖3 一卡通系統安全體系

3.1 技術體系設計

技術體系是通過采用客觀的技術手段實現可控的一卡通系統的物理安全、網絡安全和計算安全。

3.1.1 物理安全

依據第三級等保的物理環境要求建設機房，配置電子門禁、消防系統、監控系統、精密空調、UPS、發電機等。在此基礎上，獨立設置一卡通計算設備的物理區域，保護一卡通計算設備以防人為破壞。

3.1.2 網絡安全

網絡安全是對網絡的可用性和可靠性的要求。實施網絡鏈路、核心網絡設備的冗余設計；合理劃分三網融合（專網、校園網、移動網）的網絡區域，網絡區域邊界部署安全設備，并集中管控訪問策略、審計分析和入侵檢測。

3.1.3 計算安全

計算安全是保證一卡通業務7×24 小時正常、安全、穩定運行，保障一卡通服務的連續性。集群技術是一卡通系統高可用性的關鍵技術；主機的安裝和訪問基于最小權限和最少安裝原則；開啟主機和應用系統的審計功能記錄用戶操作；定期升級病毒軟件和支撐軟件從而避免非法入侵和病毒傳播。

數據安全包括數據的完整性、保密性和備份恢復。數據訪問控制結合身份認證和網絡認證，并基于加密算法加密通信數據以防數據竊取；部署異地容災系統實時備份重要數據并定期驗證備份數據有效性。

3.2 管理體系設計

網絡安全強調“三分技術，七分管理”[16]，安全技術的實施需要管理制度的規范約束。管理體系涉及一卡通信息安全領域、信息安全技術框架、安全操作規程、安全管理機構和人員等對象。

3.2.1 安全總綱

從頂層闡述安全總體目標和范圍、安全技術和安全框架，制定相應的管理制度，明確各安全管理活動和應遵循的規程。

3.2.2 機構人員

設立專門的信息安全機構和職能部門，配置一卡通安全崗位，制定相應崗位的職責和安全操作規程，建立安全人員的培養體系。

3.2.3 建設運維

從一卡通系統的建設、開發、部署、運維等各階段規劃安全方案，實施安全措施，完備一卡通資產管理，制定安全事件響應和應急方案，不定期進行安全檢測和安全演練。

4 一卡通系統的安全體系應用

華南理工大學的一卡通系統由基礎網絡、運行環境、服務器、計算機及相關配套的設備構成。一卡通系統跨越3 個校區，融合當前的Web2.0 技術和移動計算技術實現實體卡與虛擬卡的結合以支持移動自助服務。目前一卡通系統集成圖書館、醫院、食堂、超市、校巴、體育場館、會議室簽到、教學樓考勤、宿舍門禁以及水電空調等校園業務，實現“一卡在手，走遍校園”。

基于該文的一卡通系統安全體系，學校從外而內對一卡通系統實施縱深防御，建立全局域的安全防護和一卡通局域的安全防護，如圖4 所示。

圖4 華南理工大學一卡通安全體系

其中，全局域的安全防護對象涉及公共的物理環境、網絡環境以及管理制度，通過集中管控的方式保護全校的網絡信息安全；一卡通局域安全體系針對一卡通獨立的計算體系，安全保護對象涉及一卡通系統相關的物理、網絡、計算、數據。

在當前信息安全新要求和信息安全威脅新環境的驅動下，華南理工大學先后實施機房改造、網絡設備升級、網絡安全設備的加固、一把手負責的安全管理機構的設立、以及貫徹軟件生命周期的管理制度的制定，從全局域范圍建立全校的網絡信息安全防護。一卡通系統涉及全校師生的身份和消費，系統的重要性促使一卡通系統完善計算架構，其中包括：核心計算主機集群的實施、存儲設備的冗余設計、以及異地容災系統和網絡邊界的防火墻的部署，同時完善相應的管理條例以規范一卡通系統的運維。

目前，華南理工大學一卡通系統具有主動防御能力的安全運行環境。從2019 年始，華南理工大學一卡通系統每年持續通過網絡信息安全第三級等保評測。反之，每年的第三級等保評測又促進一卡通系統安全體系的不斷完善。

5 結束語

一卡通系統作為高校智慧校園的基礎工程，教育部要求定級為第三級等保。文中系統地厘清一卡通系統可能存在的安全威脅，針對這些安全威脅和當前信息安全要求，引入網絡安全第三級等保的安全體系，自下而上設計了高校一卡系統的安全體系。基于文中的安全體系，建設和整改了華南理工大學一卡通系統的安全架構，該架構具有縱深防御能力，保障一卡通系統具有第三級等保的安全防護能力。下一階段將在訪問控制授權粒度、多重身份認證模式、數據庫審計等方面加強系統的抗抵賴性。