文 /王海濤 楊樹春 王義 李穎

安全風險

校園一卡通系統(tǒng)運行在校園網(wǎng)上，以IC卡為信息載體，實現(xiàn)了持卡人在身份允許范圍內(nèi)進行消費支付、身份認證等諸多日?；顒拥男畔⒒?。對于傳統(tǒng)校園一卡通系統(tǒng)而言，其安全風險主要集中在卡片的安全性、數(shù)據(jù)的安全性兩個方面，這些安全風險已經(jīng)通過一定的技術(shù)和管理措施進行有效控制。校園一卡通系統(tǒng)增加支付寶的充值業(yè)務的安全風險，具體體現(xiàn)在數(shù)據(jù)傳輸安全、數(shù)據(jù)安全和網(wǎng)絡鏈路層面安全風險等幾方面。

數(shù)據(jù)傳輸?shù)陌踩?/h3>

校園一卡通系統(tǒng)基本為封閉系統(tǒng)，在增加支付寶充值功能后，一卡通用戶與支付寶系統(tǒng)、一卡通系統(tǒng)與支付寶系統(tǒng)、銀行系統(tǒng)與支付寶系統(tǒng)都會出現(xiàn)數(shù)據(jù)交換行為，這些數(shù)據(jù)信息在網(wǎng)絡傳輸過程中，存在數(shù)據(jù)包被人為非法獲取、修改或者數(shù)據(jù)包丟失現(xiàn)象，這些均會給數(shù)據(jù)的真實性和完整性帶來風險。

數(shù)據(jù)的安全性

一卡通系統(tǒng)需要交換的數(shù)據(jù)包括校園用戶的用戶信息、一卡通信息、支付寶信息、銀行卡信息等內(nèi)容。校園一卡通系統(tǒng)與支付寶系統(tǒng)進行對接，必然會在校園網(wǎng)本地增加支付記錄等相關(guān)數(shù)據(jù)，大批量的數(shù)據(jù)在本地存儲，會形成數(shù)據(jù)庫存儲的安全隱患。更重要的是，校園一卡通系統(tǒng)所記錄的校園消費數(shù)據(jù)是否能夠和支付寶系統(tǒng)的數(shù)據(jù)流吻合，同樣是對數(shù)據(jù)完整性和安全性的一個考驗。

圖1 校園一卡通充值模式

網(wǎng)絡的安全性

校園一卡通系統(tǒng)一般運行在校園網(wǎng)專網(wǎng)上，實現(xiàn)的是物理隔離或準物理隔離。以往校園一卡通網(wǎng)絡的“開口”只針對于銀行卡圈存。在一卡通圈存方面，由于銀行網(wǎng)絡是有別于互聯(lián)網(wǎng)的相對封閉的網(wǎng)絡，防護措施相對成熟、簡單。支付寶系統(tǒng)完全運行在互聯(lián)網(wǎng)上，在支付寶與一卡通網(wǎng)絡對接后，形成了一個一卡通網(wǎng)絡與互聯(lián)網(wǎng)的出口。由于互聯(lián)網(wǎng)安全防護的復雜性，這條網(wǎng)絡路徑的安全性對于兩個系統(tǒng)都至關(guān)重要。如果有未授權(quán)的訪問通過這個網(wǎng)絡路徑入侵一卡通系統(tǒng)，將會給系統(tǒng)帶來很大安全隱患，兩個系統(tǒng)的邊界安全，即圖1中的“b-充值”交易環(huán)節(jié)是最主要的安全問題節(jié)點。

安全策略

數(shù)據(jù)傳輸?shù)陌踩呗?/h3>

1.在用戶的瀏覽器和支付寶系統(tǒng)之間，可以通過HTTPS來保護用戶信息，確保用戶信息在傳輸過程中的機密性和完整性，并且可抵抗重放攻擊，即攻擊者截取用戶正常數(shù)據(jù)包后重新發(fā)送給網(wǎng)站的攻擊方式。

2.在一卡通系統(tǒng)和支付寶系統(tǒng)之間，制定可靠的數(shù)據(jù)報文格式，可以通過DESede加密方式+SHA1withRSA加簽名，在一方接收到另一方的報文后需要使用相應的密鑰進行驗簽和解密，保證傳輸過程中數(shù)據(jù)的機密性、安全性要求。

3.在一卡通系統(tǒng)和支付寶系統(tǒng)之間，對于由于網(wǎng)絡中斷或者其他因素引起的數(shù)據(jù)傳輸過程中的丟包現(xiàn)象，需要系統(tǒng)增加對數(shù)據(jù)完整性的檢測，及時發(fā)現(xiàn)和恢復丟失的數(shù)據(jù)，并對數(shù)據(jù)進行沖正，以保證數(shù)據(jù)的完整性。

數(shù)據(jù)安全的應對策略

1.校園用戶需根據(jù)自己的實際需求自主選擇開通和關(guān)閉支付寶的“校園一卡通充值”業(yè)務。對于開通業(yè)務的用戶，所輸入的用戶信息都需要在加密后存儲在專用數(shù)據(jù)庫中，其中銀行卡號的加密算法應該采用128位強度對稱加密算法，加密密鑰由統(tǒng)一的密鑰管理系統(tǒng)（采用國家密碼管理局批準的商用金融密碼機）進行集中管理。

2.對訪問用戶數(shù)據(jù)的途徑和過程進行有效的控制。只有授權(quán)的數(shù)據(jù)庫管理員才能登錄數(shù)據(jù)庫服務器，其操作過程會被記錄到集中的日志系統(tǒng)，審計人員事后會對其操作進行審計；其他人員基于業(yè)務需要查看數(shù)據(jù)庫數(shù)據(jù)的，必須提出申請并取得授權(quán)。如果查看的數(shù)據(jù)中包含銀行卡卡號、身份證號碼、手機號碼等用戶敏感信息，將被過濾并不顯示。

3.要確保交易數(shù)據(jù)的安全，數(shù)據(jù)庫要嚴格記錄交易的每個狀態(tài)，以此監(jiān)控和識別各種交易的情況，進行交易風險的實時控制，并通過手機短信的方式通知校園用戶。一卡通系統(tǒng)與支付寶系統(tǒng)進行每日對賬，與支付寶系統(tǒng)的交易數(shù)據(jù)進行比對，進行一卡通系統(tǒng)數(shù)據(jù)沖正調(diào)整，實現(xiàn)交易數(shù)據(jù)的準確性。

4.用戶在網(wǎng)上支付的過程中應該為自己的網(wǎng)上支付賬戶設(shè)定特別的高安全級別的密碼并定期更換，最好還要通過支付平臺的實名認證措施，并使用數(shù)字證書、第三方證書、手機動態(tài)口令等安全產(chǎn)品，以保證傳遞信息的真實性、完整性和有效性。

5.數(shù)據(jù)中心及時進行數(shù)據(jù)文件的備份，以便在出現(xiàn)問題后能夠及時恢復?？梢酝ㄟ^磁盤陣列、雙機熱備份等途徑進行多重備份，以提供足夠的數(shù)據(jù)冗余。

網(wǎng)絡安全性策略

1.校園一卡通系統(tǒng)應該與外圍網(wǎng)絡進行有效隔離。在網(wǎng)絡設(shè)計上，可以通過VPN技術(shù)或VLAN技術(shù)構(gòu)建一卡通網(wǎng)絡邊界隔離措施，數(shù)據(jù)在加密后按照VLAN的隧道協(xié)議進行封裝、傳輸，保障相關(guān)通信鏈接的安全性。

2.一卡通系統(tǒng)與支付寶系統(tǒng)之間應該建立一條惟一的網(wǎng)絡通路。通過采取數(shù)據(jù)身份認證、傳輸過程中增加MAC驗證等方式確保數(shù)據(jù)來源的惟一性；也可以通過防火墻、路由器的設(shè)置，利用路由器中的訪問控制過濾策略實行對網(wǎng)段和主機的訪問控制；利用防火墻的訪問控制功能，對訪問進行授權(quán)分析，限制未授權(quán)的應用接入系統(tǒng)，確保所有的訪問都是正常的、預設(shè)的安全訪問。

3.支付寶系統(tǒng)的對接服務器應設(shè)置在校園網(wǎng)內(nèi)部，通過網(wǎng)絡直連實現(xiàn)與一卡通系統(tǒng)服務器的對接。如無法在校園網(wǎng)內(nèi)部署支付寶系統(tǒng)的服務器，在有條件的情況下通過專用線路實現(xiàn)對接。

4.利用校園網(wǎng)絡性能監(jiān)控平臺實時監(jiān)測一卡通系統(tǒng)的網(wǎng)絡運行狀況，通過系統(tǒng)日志分析網(wǎng)絡的行為，或啟用入侵檢測系統(tǒng)來加強相應的網(wǎng)絡行為監(jiān)測，及時發(fā)現(xiàn)影響系統(tǒng)網(wǎng)絡安全的行為。同時，服務器需要建立有效的防病毒體系，定時進行升級更新，有效阻止非法入侵。