关于高校一卡通财务消费数据安全性的建议及思考.doc

精品文档（可编辑） 值得下载 关于高校一卡通财务消费数据安全性的建议及思考 摘要：校园一卡通建设是提高高校信息化管理的有效手段之一，由于一卡通系统中包含着财务消费数据，其数据安全性就显得尤为重要。本文从技术和管理两个角度分别介绍了保证一卡通财务消费数据安全、及时、完整传输的方法和措施。对规范高校一卡通财务消费系统建设有着一定的参考意义。 关键字：高校一卡通消费系统财务数据安全 中图分类号：F253文献标识码： A 引言 校园一卡通，是数字化校园建设中有机重要的组成部分，更是当代高校现代化管理的重要信息化方式。一卡通系统平台的建设范围集中在全校的范围内，可以实现“以卡代币”、“以卡代证”的双重功能，通过卡片内身份唯一标识能够实现餐饮、购物、门禁等内部消费，转账以及身份识别等功能，可较大提高校园统一管理的效率，规范管理流程等。 自上世纪末期以来，各高校普遍建立了校园一卡通系统，一卡通卡片大都采用了当时较为先进的Mifare1（简称M1）卡。M1卡属于非接触式IC卡，又称射频卡，它成功地解决了无源（卡中无电源）和免接触这一难题，是电子器件领域的一大突破[]。2008年，德国研究员HenrykPlotz与其同事成功破解了M1卡，这意味其内部数据可被轻易改写，市面上的M1卡片的使用不再有安全的保障[]。 一般地，为了保证一卡通网络消费数据的安全传输，其网络建设结构会采用专有局域网，数据传输尽量避免无线传输，并且与外部系统的连接链路配置防火墙[]。随着科技的进步与发展，现代局域网的网络安全性问题也逐渐凸显。来自局域网外部的网路攻击、病毒的侵袭以及无线传输带来的安全性问题都是局域网的巨大安全威胁。这样，上述的一卡通网络建设架构就面临着较大的安全性问题，严重影响了其财务消费数据安全。本文将从网络的建设、卡面的选取等方面介绍对一卡通现有运行模式的安全性改造建议。 一、校园一卡通卡片的财务数据安全 M1卡是目前应用最广泛的校园一卡通卡片，也广泛地应用在了公交、地铁等公共服务业务中。2008年M1卡被破解后，国家信产部和工信部联合发布了《关于做好应对部分IC卡出现严重安全漏洞的通知》，提醒慎用M1卡。 CPU卡是一种安全性更高的卡片，它拥有独立的CPU处理器和芯片操作系统，具有三种安全性认证方式，卡合法性认证（内部认证），系统合法性认证（外部认证）以及持卡者合法性认证（PIN校验），可以实现对交易的各个单元（持卡人、卡片、终端设备）的相互认证，保证交易介质的合法性[]，更大限度上杜绝伪造卡、保证财务消费数据的安全性[]。 在技术上来说，目前M1卡被破解已经不存在技术性难题，卡内余额的篡改以及消费流水的隐藏或删除都可以较为轻易地实现，而且同时财务消费数据的对账、结算等操作却是正常的。2009年2月后，北京公交一卡通新发行卡都改为了CPU卡。为了保证在校教职工及在校学生的一卡通财务消费及身份识别的安全性和合法性，需要更新现有M1卡片为CPU卡片。 近几年各一卡通厂商的技术攻关重点也都放在了支持CPU卡片的相关设备上，支持CPU卡片的刷卡机、门禁等各种消费终端也都有了成熟的产品并得到了良好的应用。另外，各大国有及商业银行发行的银行卡片也都普遍选用CPU卡。所以，在终端支持的角度上来说，目前CPU卡也有着较好的支持。 二、一卡通财务消费网络的安全建设 校园内部存在着多种类型的网络，其中一卡通财务消费数据网络应建设为专用局域网，目的是保证其中传输的消费数据的安全性、及时性及完整性。一卡通财务消费数据网络的安全包括内部安全及与外部连接的安全，其中一卡通财务消费数据网络包括刷卡终端至数据交换机的网络以及交换机至数据中心的网络。 首先，刷卡终端至数据交换机的网络。目前多采用RS-485串行总线的方式完成刷卡终端至数据交换机的网络的建设，这样可满足数据信号的抗干扰性及较长距离传输的要求。不过，根据数据交换机的实际运行环境及网络管理的需要，也为了适应刷卡终端的网络接口，此段网络建议由以太网线敷设至统一管理平台，刷卡终端采用支持TCP/IP传输协议的设备。如此，即可保证财务消费数据的安全、及时、完整上传，也可以实现实时在线网络管理功能，可使对每台刷卡终端的管理更为有效。 其次，数据交换机至数据中心的网络。由于校园网络的多样性和复杂性，为了节省人力物力成本，有时一卡通财务消费数据网络会借用校园网网络（标记VLAN）。出于规整性和安全性的考虑，不建议做如此建设，因为需要保证一卡通财务消费数据单独传输在安全的网络中。因此，此部分可以根据数据交换机距数据中心的距离采用RJ-45网线（六类）及单模光纤的线路构成。 最后，一卡通财务消费数据网络与外部网络连接的安全性。