談高校一卡通的全方位安全體系建設

　高校一卡通系統涉及高校管理的多個(gè)層面，用戶(hù)群體復雜，其系統架構層次化，終端形式多樣化，外聯(lián)單位多。這些情況導致高校一卡通系統在信息安全方面存在固有風(fēng)險，在當前信息安全形勢嚴峻的情況下，傳統的比較單一的防護體系已經(jīng)不能滿(mǎn)足高校一卡通系統信息安全方面的要求，建設高校一卡通系統的全方位安全體系勢在必行。

　　一卡通系統是基于信息集成、小額支付、資源管控和身份識別的綜合信息化管理系統。一卡通系統是指凡有現金、票證或需要識別身份的場(chǎng)合均采用智能卡來(lái)完成，為管理帶來(lái)高效、方便與安全。校園一卡通系統是高校數字化、信息化建設的重要組成部分，為信息化建設提供全面的數據采集平臺，結合管理信息系統和網(wǎng)絡(luò )，形成數字空間和共享環(huán)境。以一卡通系統為平臺，充分利用銀行的金融服務(wù)，最終實(shí)現“信息共享、集中控制”。

　　1 高校一卡通系統的體系架構復雜

　　校園一卡通系統包括消費、門(mén)禁、考勤、公交刷卡、超市購物、水電費繳納、圖書(shū)借閱、銀行圈存等功能。按照系統的功能模塊劃分，一卡通系統可以分為數據中心、卡業(yè)務(wù)中心、結算中心、消費中心、身份認證中心、管理中心、自助消費渠道、第三方通訊接口和銀行結算接口共九大模塊。

　　一卡通體系架構的復雜性表現在如下幾個(gè)方面：

　　(1)一卡通系統中涉及的設備類(lèi)型多。系統使用的終端設備包括個(gè)人電腦、自助業(yè)務(wù)終端、數據存儲設備、應用服務(wù)器、Web服務(wù)器、卡片識別器、門(mén)禁系統、交換機、路由器和光纖轉換器等。

　　(2)終端網(wǎng)絡(luò )環(huán)境復雜。系統提供了消費、門(mén)禁、考勤、公交刷卡、超市購物、水電費繳納、圖書(shū)借閱、銀行圈存等功能。不同的功能接口對網(wǎng)絡(luò )接入的需求是一樣的，但是他們所能提供的網(wǎng)絡(luò )保護能力相差很大。有人管理的網(wǎng)絡(luò )接入相對安全，無(wú)人管理的自助類(lèi)型設備接入環(huán)境零散，有效控制難度大。

　　(3)存在Web訪(fǎng)問(wèn)接口。Web訪(fǎng)問(wèn)接口具有非常好的用戶(hù)體驗，但它也是存在弱點(diǎn)最多，面臨威脅最多，最難以防護的環(huán)節。

　　(4)外聯(lián)機構多。一卡通系統不僅需要和銀行進(jìn)行互聯(lián)互通，還要和多家運營(yíng)商進(jìn)行數據交互，至少存在三四家外聯(lián)機構。因此，與外聯(lián)機構的邊界防護同樣需要統一納入一卡通系統的信息安全防護體系中。

　　(5)設備數量多。一卡通涉及的各種設備加起來(lái)有幾十臺，并且設備存在應用多種操作系統的情況。如何將這些不同硬件類(lèi)型、不同操作系統的設備納入系統的安全管理體系將是系統建設的一個(gè)難點(diǎn)。

　　2 高校一卡通系統信息安全的固有風(fēng)險分析

　　(1)設備類(lèi)型多和數量多導致的固有風(fēng)險為每種設備、每臺設備都存在各自的固有風(fēng)險，多個(gè)小的固有風(fēng)險可能通過(guò)蝴蝶效應形成導致系統無(wú)法提供服務(wù)的高級系統風(fēng)險。因此需要針對不同設備類(lèi)型進(jìn)行風(fēng)險控制，部署安全防范設備，實(shí)施安全控制措施。

　　(2)終端網(wǎng)絡(luò )環(huán)境復雜的固有風(fēng)險。一卡通系統要提供有效的在線(xiàn)服務(wù)，就必須通過(guò)TCP網(wǎng)絡(luò )與一卡通系統的數據中心、應用中心進(jìn)行數據交換。對于無(wú)人值守的自助服務(wù)設備，存在網(wǎng)絡(luò )非法接入、搭線(xiàn)、數據竊聽(tīng)、非法篡改、身份偽造等固有風(fēng)險。

　　(3)外聯(lián)單位多的固有風(fēng)險。外聯(lián)單位越多，網(wǎng)絡(luò )邊界的風(fēng)險就越大。如果與外聯(lián)單位通過(guò)互聯(lián)網(wǎng)VPN進(jìn)行交互，同樣存在數據泄密等風(fēng)險。如果與外聯(lián)單位通過(guò)數據專(zhuān)線(xiàn)進(jìn)行交互，則存在雷擊、光纖中斷和對方服務(wù)器故障等風(fēng)險。

　　(4)Web應用的固有風(fēng)險。Web應用的固有風(fēng)險是有Web應用自身的缺陷、Web應用服務(wù)器的固有缺陷、Web應用服務(wù)器操作系統和DNS服務(wù)提供商的缺陷綜合組成的。而這些缺陷可能造成的常見(jiàn)攻擊類(lèi)型包括：注入攻擊、跨站腳本攻擊、上傳假冒文件、非法執行腳本和系統命令、源代碼泄露、釣魚(yú)攻擊等。攻擊的目的包括：非法篡改網(wǎng)頁(yè)、非法篡改數據庫、非法執行命令、資金盜取、系統破壞等。2011年CSDN、天涯社區等國內著(zhù)名網(wǎng)站發(fā)生信息泄露問(wèn)題，我們必須高度重視Web應用的固有風(fēng)險在高校一卡通中的存在。

　　(5)高校網(wǎng)絡(luò )環(huán)境的固有風(fēng)險。高校中一般只有一套內部網(wǎng)絡(luò )，日常的辦公和互聯(lián)網(wǎng)訪(fǎng)問(wèn)都在同一網(wǎng)絡(luò )上運行，針對一卡通系統不能做到專(zhuān)網(wǎng)專(zhuān)用，即使采取了VLAN劃分、私有地址和部署防火墻等安防設備，外部人員仍然可以通過(guò)有漏洞的內網(wǎng)終端以跳板機的方式入侵一卡通系統。

　　3 高校一卡通系統全方位安全體系的建設

　　3.1 建立信息安全管理體系

　　建立持續有效的信息安全管理體系是高校一卡通系統安全管理最重要的事情。信息安全工作具有“七分管理、三分技術(shù)”的特點(diǎn)，為保障信息安全工作真正落實(shí)到位并持續進(jìn)行，建立信息安全管理體系。

　　(1)高校一卡通系統涉及的用戶(hù)群體多，包括學(xué)生、老師、學(xué)校管理層、第三方等。同時(shí)一卡通系統的管理人員也很多，有系統管理員、數據庫管理員、網(wǎng)絡(luò )管理員、財務(wù)管理員、圖書(shū)館管理員等。這些管理人員各司其職，完成自己的工作，但是他們只是從自己工作的視角來(lái)確保系統正常運轉，沒(méi)有從整個(gè)系統的層面來(lái)進(jìn)行信息安全的統一管理。因此，首先要建立一卡通系統的管理領(lǐng)導小組，由各個(gè)業(yè)務(wù)部門(mén)和技術(shù)部門(mén)的主要負責領(lǐng)導組成，對整個(gè)一卡通系統的信息安全負責，制定一卡通系統的信息安全管理方針政策，建立一卡通系統的訪(fǎng)問(wèn)控制矩陣，嚴格管理系統管理人員的訪(fǎng)問(wèn)權限。

　　(2)指定專(zhuān)人負責一卡通系統的安全管理工作。專(zhuān)職安全管理員負責制定所有設備、操作系統、數據庫和應用模塊的安全管理基線(xiàn)，并定期檢查基線(xiàn)定義與實(shí)際情況的差距，定期進(jìn)行一卡通的信息安全巡檢工作，向一卡通管理領(lǐng)導小組上報信息安全巡檢報告。指導相關(guān)人員完成系統漏洞的修復、補丁升級等工作，逐步完善一卡通系統的信息安全管理體系。在新設備、新業(yè)務(wù)投入運行前嚴格按照基線(xiàn)定義進(jìn)行安全測試，達到標準以后才能投入運行。

　　3.2 建立信息安全技術(shù)保障體系

　　針對高校一卡通系統五大固有風(fēng)險，采取安全技術(shù)措施，部署適當的安全設備，通過(guò)技術(shù)手段提高一卡通系統的安全風(fēng)險防范能力。

　　(1)針對終端類(lèi)型多，部署位置分散的情況，要注意加強對末端線(xiàn)纜的防護，尤其是RJ45雙絞線(xiàn)的物理防護，雙絞線(xiàn)和自助設備連接的地方要有金屬防護罩，外部線(xiàn)纜要穿金屬管路，關(guān)閉末端交換機上不使用的端口，對終端設備采取IP地址、物理地址和交換機端口綁定的策略。對于特定時(shí)段開(kāi)放的終端訪(fǎng)問(wèn)，要啟用時(shí)間訪(fǎng)問(wèn)控制策略，禁止在非工作時(shí)段的任何操作。

　　(2)與銀行、運營(yíng)商等第三方外聯(lián)機構的網(wǎng)絡(luò )通信，盡量租用專(zhuān)線(xiàn)，并且與每個(gè)機構要開(kāi)通兩條線(xiàn)路，平時(shí)可做流量負載均衡，避免因為線(xiàn)路單點(diǎn)故障造成系統服務(wù)的中斷。

　　(3)建立完善的數據備份機制。通過(guò)對數據庫進(jìn)行雙機熱備、對操作系統和數據庫建立鏡像站點(diǎn)、采用磁盤(pán)陣列和虛擬帶庫等大容量存儲設備做好一卡通系統的實(shí)時(shí)備份、增量備份、歷史備份。

　　(4)加強Web邊界防護。針對Web應用部分，應建立DMZ防護區域。在DMZ區域部署鏈路負載均衡、異構防火墻、IPS入侵防御系統和WAF網(wǎng)絡(luò )應用級防護系統。嚴格限制DMZ區域服務(wù)器對一卡通系統數據中心服務(wù)器的訪(fǎng)問(wèn)權限，嚴格執行按需訪(fǎng)問(wèn)，最小授權的訪(fǎng)問(wèn)控制策略。

　　(5)加強終端管理。在所有終端上關(guān)閉不使用的端口和服務(wù)，部署企業(yè)級防火墻或網(wǎng)絡(luò )硬件防毒墻。建立移動(dòng)存儲設備的管理策略，嚴格管理移動(dòng)設備在關(guān)鍵管理終端上的使用，減少因移動(dòng)終端造成的病毒傳播、數據泄露等安全事件發(fā)生。

　　(6)搭建一卡通系統的實(shí)時(shí)監測系統�？梢圆捎瞄_(kāi)源NAGIOS等監控平臺實(shí)時(shí)監控一卡系統中的網(wǎng)絡(luò )設備、安全設備、終端設備的連通性，實(shí)時(shí)監控服務(wù)器、存儲設備的關(guān)鍵系統指標。同時(shí)通過(guò)監控平臺與短信平臺的對接，被監控的任何指標故障都可以通過(guò)短信形式實(shí)時(shí)發(fā)送給技術(shù)人員和管理人員，確保系統的安全、平穩運行。

　　4 總 結

　　本文通過(guò)建立信息安全管理體系和信息安全技術(shù)保障體系，搭建了一個(gè)適合高校一卡通系統的全方位安全體系，該體系的建設能夠極大地提高高校一卡通系統信息安全風(fēng)險控制的有效性，保證高校一卡通系統的正常運行。

談高校一卡通的全方位安全體系建設