中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A

0 引言

校園一卡通系統(tǒng)是高校智慧校園的重要組成部分，已從單一消費(fèi)場(chǎng)景擴(kuò)展至門禁、考勤、圖書借閱、醫(yī)療健康等領(lǐng)域，覆蓋學(xué)校教學(xué)、管理、生活的方方面面[1]。據(jù)統(tǒng)計(jì)，學(xué)校一卡通現(xiàn)有師生、校友及各類臨時(shí)人員持卡用戶11萬余人，年交易筆數(shù)2041萬次，年交易金額1.5億余元，存儲(chǔ)大量師生個(gè)人敏感信息和金融交易數(shù)據(jù)。系統(tǒng)一旦遭到網(wǎng)絡(luò)攻擊或數(shù)據(jù)破壞，對(duì)學(xué)校正常秩序和師生財(cái)產(chǎn)安全造成極大破壞，亟須建立融合網(wǎng)絡(luò)與數(shù)據(jù)安全的綜合防護(hù)體系。

按照教育行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南[2]，根據(jù)用戶規(guī)模、業(yè)務(wù)連續(xù)性要求和業(yè)務(wù)數(shù)據(jù)的重要性分析校園一卡通系統(tǒng)受到破壞后對(duì)學(xué)校和師生合法權(quán)益造成的危害程度，確定其為第三級(jí)系統(tǒng)。按照國(guó)家有關(guān)技術(shù)標(biāo)準(zhǔn)構(gòu)建網(wǎng)絡(luò)安全技術(shù)防護(hù)體系，確保校園一卡通網(wǎng)絡(luò)與數(shù)據(jù)安全，是保障師生合法權(quán)益、維護(hù)校園秩序穩(wěn)定的重要手段。

1網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)安全技術(shù)要求

根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239—2019）[3]，第三級(jí)系統(tǒng)安全技術(shù)要求包含安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心5個(gè)方面，每方面包含若干控制點(diǎn)，如表1所示。因此，校園一卡通系統(tǒng)技術(shù)安全體系要根據(jù)上述5個(gè)方面要求逐一分析構(gòu)建。

表1網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)安全技術(shù)要求

2校園一卡通系統(tǒng)架構(gòu)

校園一卡通系統(tǒng)架構(gòu)（見圖1）可分為3層：最底層是核心數(shù)據(jù)庫，以RAC模式部署于Oracle一體機(jī)；中間層是校園一卡通系統(tǒng)軟件和各個(gè)子系統(tǒng)，部署于服務(wù)器虛擬化平臺(tái)若干虛擬機(jī)上；最上層的刷卡終端設(shè)備遍布校園（網(wǎng)）的各個(gè)角落；校園一卡通系統(tǒng)運(yùn)維、安全審計(jì)和安全管理工具均部署于專門的安全管理區(qū)。同時(shí)，通過部署防火墻實(shí)現(xiàn)校園一卡通專網(wǎng)內(nèi)部區(qū)域間及與校園網(wǎng)的可靠隔離和訪問控制。

圖1校園一卡通系統(tǒng)架構(gòu)

3校園一卡通技術(shù)安全體系

3.1 物理環(huán)境安全

網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求中關(guān)于物理環(huán)境安全的要求包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)等。校園一卡通系統(tǒng)核心數(shù)據(jù)庫的Oracle一體機(jī)和系統(tǒng)軟件所在的服務(wù)器虛擬化平臺(tái)，均部署于學(xué)校數(shù)據(jù)中心機(jī)房。數(shù)據(jù)中心機(jī)房選址充分考慮了防震、防風(fēng)、防雨、防水、防潮等因素，按照《數(shù)據(jù)中心設(shè)計(jì)規(guī)范》（GB50174—2017）B級(jí)設(shè)計(jì)（供配電系統(tǒng)參照A級(jí)），配備雙路市電供電及后備柴油發(fā)電機(jī)；機(jī)柜采用封閉冷通道設(shè)計(jì)并配備精密空調(diào)實(shí)現(xiàn)溫濕度控制；配備門禁系統(tǒng)實(shí)現(xiàn)機(jī)房物理訪問控制；配備紅外報(bào)警及視頻監(jiān)控系統(tǒng)防盜竊和防破壞；配備智能火災(zāi)報(bào)警及自動(dòng)氣體滅火系統(tǒng)；機(jī)房設(shè)置過壓保護(hù)裝置防止感應(yīng)雷；所有機(jī)柜和設(shè)備進(jìn)行接地處理，起到防雷防靜電作用；機(jī)房供電線路和網(wǎng)絡(luò)線纜敷設(shè)于不同的橋架，防止互相電磁干擾。通過以上措施，數(shù)據(jù)中心機(jī)房能夠滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)物理環(huán)境安全要求。

3.2 通信網(wǎng)絡(luò)安全

通信網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證3方面要求，校園一卡通系統(tǒng)具體實(shí)現(xiàn)如下。

3.2.1 網(wǎng)絡(luò)架構(gòu)

（1）網(wǎng)絡(luò)設(shè)備帶寬和業(yè)務(wù)處理能力。校園一卡通網(wǎng)絡(luò)采用物理專網(wǎng)加虛擬專網(wǎng)（VirtualLocalAreaNetwork，VLAN）的模式，配備兩臺(tái)高性能核心交換機(jī)，最大交換容量 200Tbps⁺ ，專網(wǎng)骨干帶寬雙40G，接入層帶寬1G和10G，業(yè)務(wù)處理能力滿足高峰期需要。

（2）區(qū)域劃分。一卡通專網(wǎng)劃分為數(shù)據(jù)中心區(qū)、用戶終端區(qū)和安全管理區(qū)3個(gè)區(qū)域，部署兩臺(tái)防火墻（主備模式）實(shí)現(xiàn)區(qū)域間的可靠隔離和訪問控制

（3）鏈路與設(shè)備冗余。一卡通網(wǎng)絡(luò)采用鏈路捆綁和虛擬路由冗余協(xié)議（VirtualRouterRedundancyProtocol，VRRP）技術(shù)，實(shí)現(xiàn)通信線路和關(guān)鍵網(wǎng)絡(luò)設(shè)備冗余；數(shù)據(jù)庫采用OracleRAC集群部署模式，系統(tǒng)軟件部署于資源池化的服務(wù)器虛擬化平臺(tái)，實(shí)現(xiàn)了計(jì)算設(shè)備的硬件冗余。

3.2.2 通信傳輸

校園一卡通數(shù)據(jù)傳輸采用金融報(bào)文交換格式ISO8583標(biāo)準(zhǔn)，通信傳輸采用TCP/IP協(xié)議，使用一卡通系統(tǒng)密鑰（見表2）進(jìn)行數(shù)據(jù)加密[4]、數(shù)據(jù)簽名[5]，防止對(duì)數(shù)據(jù)的非法截取、篡改、破譯。

表2一卡通系統(tǒng)密鑰

根密鑰 K_# 是整個(gè)一卡通系統(tǒng)密鑰體系的基礎(chǔ)，由2人以上同時(shí)輸入密鑰管理系統(tǒng)生成；管理員使用K_# 為各個(gè)子系統(tǒng)生成認(rèn)證密鑰 K_☉ （靜態(tài)密碼），每天子系統(tǒng)通過認(rèn)證密鑰 K_☉ ，獲取當(dāng)日子系統(tǒng)與核心數(shù)據(jù)庫數(shù)據(jù)傳輸加密密鑰 K_☉ 和數(shù)字簽名密鑰 K_☉ 。子系統(tǒng)與核心數(shù)據(jù)庫傳輸數(shù)據(jù)時(shí)，使用MD5算法和密鑰 K_☉ 生成數(shù)字簽名以防抵賴和驗(yàn)證數(shù)據(jù)完整性，使用DES算法和密鑰 K_☉ 對(duì)數(shù)據(jù)進(jìn)行加密。

3.2.3 可信驗(yàn)證

目前一卡通專網(wǎng)中的交換機(jī)、路由器等設(shè)備未使用可信根芯片或硬件，未實(shí)現(xiàn)基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，此項(xiàng)要求尚不滿足。

3.3區(qū)域邊界安全

區(qū)域邊界安全包含邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)、可信驗(yàn)證等方面要求，校園一卡通專網(wǎng)邊界部署了防火墻，融合了網(wǎng)絡(luò)層傳輸層包過濾、應(yīng)用識(shí)別控制、入侵防御（IntrusionPreventionSystem，IPS）、高級(jí)持續(xù)性威脅（AdvancedPersistentThreat，APT）檢測(cè)、防病毒等功能，實(shí)現(xiàn)區(qū)域邊界安全，如圖2所示。

圖2一卡通區(qū)域劃分

（1）邊界防護(hù)。在一卡通專網(wǎng)與校園網(wǎng)邊界處部署了兩臺(tái)互為主備的下一代防火墻（NextGenerationFirewall，NGFW），實(shí)現(xiàn)專網(wǎng)邊界防護(hù)。所有一卡通終端設(shè)備和子系統(tǒng)設(shè)備必須注冊(cè)并獲得認(rèn)證密鑰后才能投入使用，有效限制非授權(quán)設(shè)備私自聯(lián)入，確保一卡通專網(wǎng)邊界的完整性。

（2）訪問控制。防火墻隔離出4個(gè)區(qū)域（如圖2所示），即校園網(wǎng)區(qū)域和一卡通數(shù)據(jù)中心區(qū)域、一卡通用戶終端區(qū)域、一卡通安全管理區(qū)域，區(qū)域間默認(rèn)無法通信，通過添加包含源地址、源區(qū)域、源端口、目的地址、目的區(qū)域、目的端口、動(dòng)作（允許/拒絕）的策略，實(shí)現(xiàn)一卡通網(wǎng)絡(luò)邊界和區(qū)域之間的訪問控制。

（3）入侵防范和惡意代碼防范。下一代防火墻融合了包過濾、應(yīng)用識(shí)別控制、入侵防御、高級(jí)持續(xù)性威脅檢測(cè)、防病毒等功能，可實(shí)現(xiàn)在一卡通專網(wǎng)關(guān)鍵節(jié)點(diǎn)處入侵防范和惡意代碼防范的功能。

（4）安全審計(jì)。防火墻日志詳細(xì)記錄放行和阻斷的各類訪問日志并保存6個(gè)月以上，同時(shí)發(fā)送至綜合日志審計(jì)系統(tǒng)進(jìn)行統(tǒng)一存儲(chǔ)和關(guān)聯(lián)分析。

（5）可信驗(yàn)證。邊界防護(hù)設(shè)備未使用可信根芯片或硬件，此項(xiàng)要求尚不滿足。

3.4計(jì)算環(huán)境安全

計(jì)算環(huán)境安全包含身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個(gè)人信息保護(hù)等方面要求，具體實(shí)現(xiàn)如下。

（1）身份鑒別與訪問控制。校園一卡通系統(tǒng)管理員同時(shí)使用“用戶名 + 口令”和加密卡作為雙因素身份鑒別技術(shù)進(jìn)行登錄；所有登錄接口均已設(shè)置口令復(fù)雜度策略以及登錄失敗處理策略；使用SSH協(xié)議對(duì)一卡通系統(tǒng)服務(wù)器進(jìn)行遠(yuǎn)程管理，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。用戶分角色及分組，用戶組可多層嵌套，根據(jù)不同的角色和用戶組級(jí)別進(jìn)行權(quán)限分配。

（2）入侵防范與惡意代碼防范。校園一卡通系統(tǒng)服務(wù)器統(tǒng)一安裝學(xué)校網(wǎng)絡(luò)版終端防護(hù)軟件EDR，實(shí)時(shí)檢測(cè)各種威脅并自動(dòng)化響應(yīng)，實(shí)現(xiàn)服務(wù)器主機(jī)層的入侵防范和惡意代碼防范。

（3）數(shù)據(jù)完整性和保密性。如前（3.2.2）所述校園一卡通系統(tǒng)在數(shù)據(jù)傳輸過程中，基于系統(tǒng)密鑰采取加密和數(shù)字簽名等措施，確保數(shù)據(jù)的完整性和保密性。在數(shù)據(jù)存儲(chǔ)安全方面，對(duì)一卡通數(shù)據(jù)進(jìn)行分類分級(jí)，如用戶生物特征、金融賬戶為重要數(shù)據(jù)，消費(fèi)記錄、門禁日志為一般數(shù)據(jù)；重要數(shù)據(jù)和普通數(shù)據(jù)存放在不同的表中，建立必要的視圖，以隔離一些重要數(shù)據(jù)；重要數(shù)據(jù)表使用數(shù)字簽名防惡意篡改，密碼表使用3DES或SM4算法進(jìn)行加密。

（4）數(shù)據(jù)備份。校園一卡通系統(tǒng)包含2個(gè)數(shù)據(jù)庫實(shí)例，即金融庫wallet和身份庫iddb，對(duì)應(yīng)用戶分別是walletuser和iddbuser。一卡通作為金融級(jí)應(yīng)用，對(duì)于交易數(shù)據(jù)的恢復(fù)點(diǎn)目標(biāo)RPO為零，即不允許任何數(shù)據(jù)丟失。因此一卡通數(shù)據(jù)備份采用的策略是：（1）每天凌晨日結(jié)（停止交易）后做一次數(shù)據(jù)庫全備份：exp walletuser/walletpwd @ wallet file Σ=Σ /backup/YYYYMMDD. dmp owner τ=τ wallet（身份庫備份略）；（2）每天開工后每條流水除寫入數(shù)據(jù)庫外，均同步寫入一個(gè)二進(jìn)制文件作為備份；（3）數(shù)據(jù)恢復(fù)時(shí)，使用前一天dmp文件導(dǎo)人數(shù)據(jù)庫，再根據(jù)二進(jìn)制文件逐條恢復(fù)當(dāng)日流水，即可恢復(fù)到故障發(fā)生時(shí)的數(shù)據(jù)狀態(tài)，做到數(shù)據(jù)零丟失。

（5）剩余信息保護(hù)。Linux操作系統(tǒng)鑒別信息所在存儲(chǔ)空間被釋放或重新分配前得到完全清除。Windows操作系統(tǒng)開啟“關(guān)機(jī)：清除虛擬內(nèi)存頁面文件”，保證存有敏感數(shù)據(jù)的存儲(chǔ)空間被釋放或重新分配前得到完全清除。

（6）個(gè)人信息保護(hù)。在用戶個(gè)人信息的采集和管理方面，針對(duì)業(yè)務(wù)需求進(jìn)行評(píng)估，遵循“數(shù)據(jù)采集最小化”原則，避免過度收集個(gè)人信息，采集過程中注明數(shù)據(jù)收集目的和使用范圍，并獲得用戶同意授權(quán)。數(shù)據(jù)使用授權(quán)管理方面，開放數(shù)據(jù)共享前，評(píng)估數(shù)據(jù)應(yīng)用功能和數(shù)據(jù)使用范圍，嚴(yán)格遵循“最小夠用”原則，并定期回收冗余權(quán)限。

（7）可信驗(yàn)證。計(jì)算設(shè)備未使用可信根芯片或硬件，此項(xiàng)要求尚不滿足。

3.5安全管理中心

一卡通專網(wǎng)劃分出單獨(dú)區(qū)域安全管理區(qū)，集中部署安全管理平臺(tái)、堡壘機(jī)、綜合日志審計(jì)系統(tǒng)、終端安全管理系統(tǒng)等安全平臺(tái)，通過數(shù)據(jù)融合和聯(lián)動(dòng)處置實(shí)現(xiàn)安全管理中心功能。

安全管理平臺(tái)的IT資源監(jiān)測(cè)模塊使用SNMP協(xié)議監(jiān)測(cè)交換機(jī)、網(wǎng)絡(luò)鏈路、安全設(shè)備、服務(wù)器的運(yùn)行狀況；威脅感知模塊通過在一卡通專網(wǎng)核心節(jié)點(diǎn)處鏡像采集流量，分析發(fā)現(xiàn)各類攻擊事件；聯(lián)動(dòng)阻斷模塊對(duì)接防火墻和WAF的黑名單接口，預(yù)設(shè)緊急高危事件條件，實(shí)現(xiàn)自動(dòng)阻斷。

綜合日志審計(jì)系統(tǒng)以syslog方式收集各個(gè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的日志，進(jìn)行集中關(guān)聯(lián)分析，發(fā)現(xiàn)隱藏攻擊行為。

終端安全管理系統(tǒng)通過安裝在各個(gè)服務(wù)器上的EDR客戶端集中下發(fā)統(tǒng)一的安全策略，規(guī)劃補(bǔ)丁升級(jí)，更新惡意代碼特征庫。

一卡通系統(tǒng)的系統(tǒng)管理員、審計(jì)管理員、安全管理員進(jìn)行系統(tǒng)運(yùn)維、審計(jì)分析和安全配置等操作，均須登錄堡壘機(jī)進(jìn)行并對(duì)所有操作記錄和審計(jì)。

4結(jié)語

校園一卡通系統(tǒng)按照《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中的第三級(jí)安全要求，構(gòu)建了“縱深防御、集中管控”的技術(shù)安全體系，融合區(qū)域劃分、邊界防護(hù)、訪問控制、威脅監(jiān)測(cè)、入侵防御、病毒防范、日志審計(jì)、數(shù)據(jù)加密、數(shù)據(jù)簽名、數(shù)據(jù)備份等技術(shù)措施，保障物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境安全，實(shí)現(xiàn)統(tǒng)一運(yùn)維、統(tǒng)一審計(jì)和集中管控。但在通信網(wǎng)絡(luò)、邊界設(shè)備、計(jì)算設(shè)備的可信驗(yàn)證方面，未實(shí)現(xiàn)硬件可信根和可信啟動(dòng)鏈，仍須在硬件國(guó)產(chǎn)化更新進(jìn)程中予以實(shí)現(xiàn)。

參考文獻(xiàn)

[1]高逸昕，孔敬媛，王逸群.校園一卡通能力開放平臺(tái)設(shè)計(jì)[J].無線互聯(lián)科技，2023（12）：19-22.

[2]教育部辦公廳.教育部辦公廳關(guān)于印發(fā)《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）的通知[EB/OL].（2014-10-27）[2025-04-08].http：//www. moe.gov.cn/srcsite/A16/s3342/201410/t20141029_178343.html.

[3]國(guó)家市場(chǎng)監(jiān)督管理總局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求：GB/T22239—2019［S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2019.

[4]宋陽.數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)通信安全中的應(yīng)用[J].信息與電腦（理論版），2024（4）：226-228.

[5]周海東，王三超.數(shù)字簽名技術(shù)在網(wǎng)絡(luò)通信安全中的應(yīng)用[J].集成電路應(yīng)用，2023（3）：344-345.

[6]王彥.對(duì)“可信驗(yàn)證”保證國(guó)家網(wǎng)絡(luò)安全的重要性分析[J].中國(guó)認(rèn)證認(rèn)可，2022（12）：36-37，21.

（編輯戴啟潤(rùn)）

Abstract： The campus card system，asthe important infrastructure of smart campus，deeply integrates identity authentication，financial payment，and datamanagement functions.With the expansion of system scale and the diversificationof external attck methods，networkanddata securityisues have become keybottlenecksrestricting its development.Thisarticleanalyzesand implements technical securitymeasuresinphysical environment， communication network，regional boundary，computing environment，and security managementcenter according to he thirdlevel technical securityrequirements of network security level protection，and constructs campus card technology security system with“defense in depth，centralized control\".

Key words： campus card system; network security level protection; security system