关于高校一卡通财务消费数据安全性的建议及思考
中图分类号:F253文献标识码:A
引言
校园一卡通,是数字化校园建设中有机重要的组成部分,更是当代高校现代化管理的重要信息化方式。一卡通系统平台的建设范围集中在全校的范围内,可以实现以卡代币“。以卡代证“的双重论文网功能,通过卡片内身份唯一标识能够实现餐饮。购物。门禁等内部消费,转账以及身份识别等功能,可较大提高校园统一管理的效率,规范管理流程等。
自上世纪末期以来,各高校普遍建立了校园一卡通系统,一卡通卡片大都采用了当时较为先进的Mifare1(简称M1)卡。M1卡属于非接触式IC卡,又称射频卡,它成功地解决了无源(卡中无电源)和免接触这一难题,是电子器件领域的一大突破[]。2008年,德国研究员HenrykPlotz与其同事成功破解了M1卡,这意味其内部数据可被轻易改写,市面上的M1卡片的使用不再有安全的保障[]。
一般地,为了保证一卡通网络消费数据的安全传输,其网络建设结构会采用专有局域网,数据传输尽量避免无线传输,并且与外部系统的连接链路配置防火墙[]。随着科技的进步与发展,现代局域网的网络安全性问题也逐渐凸显。来自局域网外部的网路攻击。病毒的侵袭以及无线传输带来的安全性问题都是局域网的巨大安全威胁。这样,上述的一卡通网络建设架构就面临着较大的安全性问题,严重影响了其财务消费数据安全。本文将从网络的建设。卡面的选取等方面介绍对一卡通现有运行模式的安全性改造建议。
一。校园一卡通卡片的财务数据安全
M1卡是目前应用最广泛的校园一卡通卡片,也广泛地应用在了公交。地铁等公共服务业务中。2008年M1卡被破解后,国家信产部和工信部联合发布了关于做好应对部分IC卡出现严重安全漏洞的通知,提醒慎用M1卡。
CPU卡是一种安全性更高的卡片,它拥有独立的CPU处理器和芯片操作系统,具有三种安全性认证方式,卡合法性认证(内部认证),系统合法性认证(外部认证)以及持卡者合法性认证(PIN校验),可以实现对交易的各个单元(持卡人。卡片。终端设备)的相互认证,保证交易介质的合法性[],更大限度上杜绝伪造卡。保证财务消费数据的安全性[]。
在技术上来说,目前M1卡被破解已经不存在技术性难题,卡内余额的篡改以及消费流水的隐藏或删除都可以较为轻易地实现,而且同时财务消费数据的对账。结算等操作却是正常的。2009年2月后,北京公交一卡通新发行卡都改为了CPU卡。为了保证在校教职工及在校学生的一卡通财务消费及身份识别的安全性和合法性,需要更新现有M1卡片为CPU卡片。
近几年各一卡通厂商的技术攻关重点也都放在了支持CPU卡片的相关设备上,支持CPU卡片的刷卡机。门禁等各种消费终端也都有了成熟的产品并得到了良好的应用。另外,各大国有及商业银行发行的银行卡片也都普遍选用CPU卡。所以,在终端支持的角度上来说,目前CPU卡也有着较好的支持。
二。一卡通财务消费网络的安全建设
校园内部存在着多种类型的网络,其中一卡通财务消费数据网络应建设为专用局域网,目的是保证其中传输的消费数据的安全性。及时性及完整性。一卡通财务消费数据网络的安全包括内部安全及与外部连接的安全,其中一卡通财务消费数据网络包括刷卡终端至数据交换机的网络以及交换机至数据中心的网络。
首先,刷卡终端至数据交换机的网络。目前多采用RS-485串行总线的方式完成刷卡终端至数据交换机的网络的建设,这样可满足数据信号的抗干扰性及较长距离传输的要求。不过,根据数据交换机的实际运行环境及网络管理的需要,也为了适应刷卡终端的网络接口,此段网络建议由以太网线敷设至统一管理平台,刷卡终端采用支持TCP/IP传输协议的设备。如此,即可保证财务消费数据的安全。及时。完整上传,也可以实现实时在线网络管理功能,可使对每台刷卡终端的管理更为有效。
其次,数据交换机至数据中心的网络。由于校园网络的多样性和复杂性,为了节省人力物力成本,有时一卡通财务消费数据网络会借用校园网网络(标记VLAN)。出于规整性和安全性的考虑,不建议做如此建设,因为需要保证一卡通财务消费数据单独传输在安全的网络中。因此,此部分可以根据数据交换机距数据中心的距离采用RJ-45网线(六类)及单模光纤的线路构成。
最后,一卡通财务消费数据网络与外部网络连接的安全性。此部分设立普通防火墙是最为普遍的做法,可以实时监控一卡通财务消费数据网络与外部网络的交互数据,保证正常数据传输的情况下过滤非安全信息。然而,软件的更新往往不及病毒发展的速度,维护的进度也受到很多外界因素的干扰。相应地,更为有效的方法是加入专用安全设备。网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备[]。网闸可以分别从软件硬件和的角度最大限度地保证网络间数据交换的安全性。
这样,整个一卡通财务消费数据网络的简要图示如下:
图1:一卡通消费系统网络系统图示
三。一卡通财务数据安全管理
根据上述篇幅的阐述,对于一卡通财务数据的安全管理,我们认为主要分为技术上和管理上两方面。
首先,从技术上来讲,为了保证消费数据的完整性及安全传输,我们需要从软件和硬件上分别建设相应的系统。
1。一卡通卡片。刷卡终端。网络设备以及后台安全管理程序都需要向高安全性的CPU卡。TCP/IP等标准靠拢;
2。更多地采用运用最新技术的。行业中已经成熟运用的设备及应用软件;
3。各子系统都需要符合各种国际。国家以及行业标准,结合学校自身情况选择最优方案。
其次,管理的角度上来说,需要保证一卡通系统的独立性。
1。建立健全一卡通相关规章制度,包括各项技术规范标准。一卡通消费点各项审批程序。第三方接入一卡通系统的相关规定以及一卡通数据共享的服务规定等。
2。制定各项内控制度及应急响应预案,明确服务供应商。学校一卡通管理部门。学校接入使用部门及其他相关单位的对一卡通各子系统的权责。权限并严格遵照执行。完成数据备份。各风险点。系统离线运行等各项应急响应预案。
四。总结
一卡通财务消费数据的安全性是目前高校财务安全性的一个重要组成部分,本文从技术和管理两个角度重点阐述了保证其数据安全性的方式。为了适应科技的快速发展,保证校园一卡通支付的财务安全性,使用CPU卡。建设支持TCP/IP传输方式的消费终端及网络。设立高安全性网络隔离设备等是可行的技术手段。从管理上来讲,建立健全各项规章制度及内控措施并严格遵照执行更是不可或缺的。只有这样,通过学校各部门的协同配合,在保证财务消费数据能够安全。及时。完整地传输的前提下,整个一卡通系统才可以安全平稳地运行,财务消费数据的安全性。及时性及完整性才能得到更好的保障。
关于高校一卡通财务消费数据安全性的建议及思考
關于高校一卡通财务消费数据安全性的建议及思考【2626字】:http://www.youerw.com/kuaiji/lunwen_125278.html