中圖分類號：TP393 文獻標志碼：A

0 引言

校園一卡通系統(tǒng)是高校智慧校園的重要組成部分，已從單一消費場景擴展至門禁、考勤、圖書借閱、醫(yī)療健康等領(lǐng)域，覆蓋學校教學、管理、生活的方方面面[1]。據(jù)統(tǒng)計，學校一卡通現(xiàn)有師生、校友及各類臨時人員持卡用戶11萬余人，年交易筆數(shù)2041萬次，年交易金額1.5億余元，存儲大量師生個人敏感信息和金融交易數(shù)據(jù)。系統(tǒng)一旦遭到網(wǎng)絡(luò)攻擊或數(shù)據(jù)破壞，對學校正常秩序和師生財產(chǎn)安全造成極大破壞，亟須建立融合網(wǎng)絡(luò)與數(shù)據(jù)安全的綜合防護體系。

按照教育行業(yè)網(wǎng)絡(luò)安全等級保護定級指南[2]，根據(jù)用戶規(guī)模、業(yè)務(wù)連續(xù)性要求和業(yè)務(wù)數(shù)據(jù)的重要性分析校園一卡通系統(tǒng)受到破壞后對學校和師生合法權(quán)益造成的危害程度，確定其為第三級系統(tǒng)。按照國家有關(guān)技術(shù)標準構(gòu)建網(wǎng)絡(luò)安全技術(shù)防護體系，確保校園一卡通網(wǎng)絡(luò)與數(shù)據(jù)安全，是保障師生合法權(quán)益、維護校園秩序穩(wěn)定的重要手段。

1網(wǎng)絡(luò)安全等級保護第三級安全技術(shù)要求

根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239—2019）[3]，第三級系統(tǒng)安全技術(shù)要求包含安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心5個方面，每方面包含若干控制點，如表1所示。因此，校園一卡通系統(tǒng)技術(shù)安全體系要根據(jù)上述5個方面要求逐一分析構(gòu)建。

表1網(wǎng)絡(luò)安全等級保護第三級安全技術(shù)要求

2校園一卡通系統(tǒng)架構(gòu)

校園一卡通系統(tǒng)架構(gòu)（見圖1）可分為3層：最底層是核心數(shù)據(jù)庫，以RAC模式部署于Oracle一體機；中間層是校園一卡通系統(tǒng)軟件和各個子系統(tǒng)，部署于服務(wù)器虛擬化平臺若干虛擬機上；最上層的刷卡終端設(shè)備遍布校園（網(wǎng)）的各個角落；校園一卡通系統(tǒng)運維、安全審計和安全管理工具均部署于專門的安全管理區(qū)。同時，通過部署防火墻實現(xiàn)校園一卡通專網(wǎng)內(nèi)部區(qū)域間及與校園網(wǎng)的可靠隔離和訪問控制。

圖1校園一卡通系統(tǒng)架構(gòu)

3校園一卡通技術(shù)安全體系

3.1 物理環(huán)境安全

網(wǎng)絡(luò)安全等級保護基本要求中關(guān)于物理環(huán)境安全的要求包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護等。校園一卡通系統(tǒng)核心數(shù)據(jù)庫的Oracle一體機和系統(tǒng)軟件所在的服務(wù)器虛擬化平臺，均部署于學校數(shù)據(jù)中心機房。數(shù)據(jù)中心機房選址充分考慮了防震、防風、防雨、防水、防潮等因素，按照《數(shù)據(jù)中心設(shè)計規(guī)范》（GB50174—2017）B級設(shè)計（供配電系統(tǒng)參照A級），配備雙路市電供電及后備柴油發(fā)電機；機柜采用封閉冷通道設(shè)計并配備精密空調(diào)實現(xiàn)溫濕度控制；配備門禁系統(tǒng)實現(xiàn)機房物理訪問控制；配備紅外報警及視頻監(jiān)控系統(tǒng)防盜竊和防破壞；配備智能火災報警及自動氣體滅火系統(tǒng)；機房設(shè)置過壓保護裝置防止感應(yīng)雷；所有機柜和設(shè)備進行接地處理，起到防雷防靜電作用；機房供電線路和網(wǎng)絡(luò)線纜敷設(shè)于不同的橋架，防止互相電磁干擾。通過以上措施，數(shù)據(jù)中心機房能夠滿足網(wǎng)絡(luò)安全等級保護第三級物理環(huán)境安全要求。

3.2 通信網(wǎng)絡(luò)安全

通信網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗證3方面要求，校園一卡通系統(tǒng)具體實現(xiàn)如下。

3.2.1 網(wǎng)絡(luò)架構(gòu)

（1）網(wǎng)絡(luò)設(shè)備帶寬和業(yè)務(wù)處理能力。校園一卡通網(wǎng)絡(luò)采用物理專網(wǎng)加虛擬專網(wǎng)（VirtualLocalAreaNetwork，VLAN）的模式，配備兩臺高性能核心交換機，最大交換容量 200Tbps⁺ ，專網(wǎng)骨干帶寬雙40G，接入層帶寬1G和10G，業(yè)務(wù)處理能力滿足高峰期需要。

（2）區(qū)域劃分。一卡通專網(wǎng)劃分為數(shù)據(jù)中心區(qū)、用戶終端區(qū)和安全管理區(qū)3個區(qū)域，部署兩臺防火墻（主備模式）實現(xiàn)區(qū)域間的可靠隔離和訪問控制

（3）鏈路與設(shè)備冗余。一卡通網(wǎng)絡(luò)采用鏈路捆綁和虛擬路由冗余協(xié)議（VirtualRouterRedundancyProtocol，VRRP）技術(shù)，實現(xiàn)通信線路和關(guān)鍵網(wǎng)絡(luò)設(shè)備冗余；數(shù)據(jù)庫采用OracleRAC集群部署模式，系統(tǒng)軟件部署于資源池化的服務(wù)器虛擬化平臺，實現(xiàn)了計算設(shè)備的硬件冗余。

3.2.2 通信傳輸

校園一卡通數(shù)據(jù)傳輸采用金融報文交換格式ISO8583標準，通信傳輸采用TCP/IP協(xié)議，使用一卡通系統(tǒng)密鑰（見表2）進行數(shù)據(jù)加密[4]、數(shù)據(jù)簽名[5]，防止對數(shù)據(jù)的非法截取、篡改、破譯。

表2一卡通系統(tǒng)密鑰

根密鑰 K_# 是整個一卡通系統(tǒng)密鑰體系的基礎(chǔ)，由2人以上同時輸入密鑰管理系統(tǒng)生成；管理員使用K_# 為各個子系統(tǒng)生成認證密鑰 K_☉ （靜態(tài)密碼），每天子系統(tǒng)通過認證密鑰 K_☉ ，獲取當日子系統(tǒng)與核心數(shù)據(jù)庫數(shù)據(jù)傳輸加密密鑰 K_☉ 和數(shù)字簽名密鑰 K_☉ 。子系統(tǒng)與核心數(shù)據(jù)庫傳輸數(shù)據(jù)時，使用MD5算法和密鑰 K_☉ 生成數(shù)字簽名以防抵賴和驗證數(shù)據(jù)完整性，使用DES算法和密鑰 K_☉ 對數(shù)據(jù)進行加密。

3.2.3 可信驗證

目前一卡通專網(wǎng)中的交換機、路由器等設(shè)備未使用可信根芯片或硬件，未實現(xiàn)基于可信根對通信設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進行可信驗證，此項要求尚不滿足。

3.3區(qū)域邊界安全

區(qū)域邊界安全包含邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證等方面要求，校園一卡通專網(wǎng)邊界部署了防火墻，融合了網(wǎng)絡(luò)層傳輸層包過濾、應(yīng)用識別控制、入侵防御（IntrusionPreventionSystem，IPS）、高級持續(xù)性威脅（AdvancedPersistentThreat，APT）檢測、防病毒等功能，實現(xiàn)區(qū)域邊界安全，如圖2所示。

圖2一卡通區(qū)域劃分

（1）邊界防護。在一卡通專網(wǎng)與校園網(wǎng)邊界處部署了兩臺互為主備的下一代防火墻（NextGenerationFirewall，NGFW），實現(xiàn)專網(wǎng)邊界防護。所有一卡通終端設(shè)備和子系統(tǒng)設(shè)備必須注冊并獲得認證密鑰后才能投入使用，有效限制非授權(quán)設(shè)備私自聯(lián)入，確保一卡通專網(wǎng)邊界的完整性。

（2）訪問控制。防火墻隔離出4個區(qū)域（如圖2所示），即校園網(wǎng)區(qū)域和一卡通數(shù)據(jù)中心區(qū)域、一卡通用戶終端區(qū)域、一卡通安全管理區(qū)域，區(qū)域間默認無法通信，通過添加包含源地址、源區(qū)域、源端口、目的地址、目的區(qū)域、目的端口、動作（允許/拒絕）的策略，實現(xiàn)一卡通網(wǎng)絡(luò)邊界和區(qū)域之間的訪問控制。

（3）入侵防范和惡意代碼防范。下一代防火墻融合了包過濾、應(yīng)用識別控制、入侵防御、高級持續(xù)性威脅檢測、防病毒等功能，可實現(xiàn)在一卡通專網(wǎng)關(guān)鍵節(jié)點處入侵防范和惡意代碼防范的功能。

（4）安全審計。防火墻日志詳細記錄放行和阻斷的各類訪問日志并保存6個月以上，同時發(fā)送至綜合日志審計系統(tǒng)進行統(tǒng)一存儲和關(guān)聯(lián)分析。

（5）可信驗證。邊界防護設(shè)備未使用可信根芯片或硬件，此項要求尚不滿足。

3.4計算環(huán)境安全

計算環(huán)境安全包含身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復、剩余信息保護、個人信息保護等方面要求，具體實現(xiàn)如下。

（1）身份鑒別與訪問控制。校園一卡通系統(tǒng)管理員同時使用“用戶名 + 口令”和加密卡作為雙因素身份鑒別技術(shù)進行登錄；所有登錄接口均已設(shè)置口令復雜度策略以及登錄失敗處理策略；使用SSH協(xié)議對一卡通系統(tǒng)服務(wù)器進行遠程管理，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。用戶分角色及分組，用戶組可多層嵌套，根據(jù)不同的角色和用戶組級別進行權(quán)限分配。

（2）入侵防范與惡意代碼防范。校園一卡通系統(tǒng)服務(wù)器統(tǒng)一安裝學校網(wǎng)絡(luò)版終端防護軟件EDR，實時檢測各種威脅并自動化響應(yīng)，實現(xiàn)服務(wù)器主機層的入侵防范和惡意代碼防范。

（3）數(shù)據(jù)完整性和保密性。如前（3.2.2）所述校園一卡通系統(tǒng)在數(shù)據(jù)傳輸過程中，基于系統(tǒng)密鑰采取加密和數(shù)字簽名等措施，確保數(shù)據(jù)的完整性和保密性。在數(shù)據(jù)存儲安全方面，對一卡通數(shù)據(jù)進行分類分級，如用戶生物特征、金融賬戶為重要數(shù)據(jù)，消費記錄、門禁日志為一般數(shù)據(jù)；重要數(shù)據(jù)和普通數(shù)據(jù)存放在不同的表中，建立必要的視圖，以隔離一些重要數(shù)據(jù)；重要數(shù)據(jù)表使用數(shù)字簽名防惡意篡改，密碼表使用3DES或SM4算法進行加密。

（4）數(shù)據(jù)備份。校園一卡通系統(tǒng)包含2個數(shù)據(jù)庫實例，即金融庫wallet和身份庫iddb，對應(yīng)用戶分別是walletuser和iddbuser。一卡通作為金融級應(yīng)用，對于交易數(shù)據(jù)的恢復點目標RPO為零，即不允許任何數(shù)據(jù)丟失。因此一卡通數(shù)據(jù)備份采用的策略是：（1）每天凌晨日結(jié)（停止交易）后做一次數(shù)據(jù)庫全備份：exp walletuser/walletpwd @ wallet file Σ=Σ /backup/YYYYMMDD. dmp owner τ=τ wallet（身份庫備份略）；（2）每天開工后每條流水除寫入數(shù)據(jù)庫外，均同步寫入一個二進制文件作為備份；（3）數(shù)據(jù)恢復時，使用前一天dmp文件導人數(shù)據(jù)庫，再根據(jù)二進制文件逐條恢復當日流水，即可恢復到故障發(fā)生時的數(shù)據(jù)狀態(tài)，做到數(shù)據(jù)零丟失。

（5）剩余信息保護。Linux操作系統(tǒng)鑒別信息所在存儲空間被釋放或重新分配前得到完全清除。Windows操作系統(tǒng)開啟“關(guān)機：清除虛擬內(nèi)存頁面文件”，保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。

（6）個人信息保護。在用戶個人信息的采集和管理方面，針對業(yè)務(wù)需求進行評估，遵循“數(shù)據(jù)采集最小化”原則，避免過度收集個人信息，采集過程中注明數(shù)據(jù)收集目的和使用范圍，并獲得用戶同意授權(quán)。數(shù)據(jù)使用授權(quán)管理方面，開放數(shù)據(jù)共享前，評估數(shù)據(jù)應(yīng)用功能和數(shù)據(jù)使用范圍，嚴格遵循“最小夠用”原則，并定期回收冗余權(quán)限。

（7）可信驗證。計算設(shè)備未使用可信根芯片或硬件，此項要求尚不滿足。

3.5安全管理中心

一卡通專網(wǎng)劃分出單獨區(qū)域安全管理區(qū)，集中部署安全管理平臺、堡壘機、綜合日志審計系統(tǒng)、終端安全管理系統(tǒng)等安全平臺，通過數(shù)據(jù)融合和聯(lián)動處置實現(xiàn)安全管理中心功能。

安全管理平臺的IT資源監(jiān)測模塊使用SNMP協(xié)議監(jiān)測交換機、網(wǎng)絡(luò)鏈路、安全設(shè)備、服務(wù)器的運行狀況；威脅感知模塊通過在一卡通專網(wǎng)核心節(jié)點處鏡像采集流量，分析發(fā)現(xiàn)各類攻擊事件；聯(lián)動阻斷模塊對接防火墻和WAF的黑名單接口，預設(shè)緊急高危事件條件，實現(xiàn)自動阻斷。

綜合日志審計系統(tǒng)以syslog方式收集各個網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的日志，進行集中關(guān)聯(lián)分析，發(fā)現(xiàn)隱藏攻擊行為。

終端安全管理系統(tǒng)通過安裝在各個服務(wù)器上的EDR客戶端集中下發(fā)統(tǒng)一的安全策略，規(guī)劃補丁升級，更新惡意代碼特征庫。

一卡通系統(tǒng)的系統(tǒng)管理員、審計管理員、安全管理員進行系統(tǒng)運維、審計分析和安全配置等操作，均須登錄堡壘機進行并對所有操作記錄和審計。

4結(jié)語

校園一卡通系統(tǒng)按照《網(wǎng)絡(luò)安全等級保護基本要求》中的第三級安全要求，構(gòu)建了“縱深防御、集中管控”的技術(shù)安全體系，融合區(qū)域劃分、邊界防護、訪問控制、威脅監(jiān)測、入侵防御、病毒防范、日志審計、數(shù)據(jù)加密、數(shù)據(jù)簽名、數(shù)據(jù)備份等技術(shù)措施，保障物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境安全，實現(xiàn)統(tǒng)一運維、統(tǒng)一審計和集中管控。但在通信網(wǎng)絡(luò)、邊界設(shè)備、計算設(shè)備的可信驗證方面，未實現(xiàn)硬件可信根和可信啟動鏈，仍須在硬件國產(chǎn)化更新進程中予以實現(xiàn)。

參考文獻

[1]高逸昕，孔敬媛，王逸群.校園一卡通能力開放平臺設(shè)計[J].無線互聯(lián)科技，2023（12）：19-22.

[2]教育部辦公廳.教育部辦公廳關(guān)于印發(fā)《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南（試行）的通知[EB/OL].（2014-10-27）[2025-04-08].http：//www. moe.gov.cn/srcsite/A16/s3342/201410/t20141029_178343.html.

[3]國家市場監(jiān)督管理總局，中國國家標準化管理委員會.信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求：GB/T22239—2019［S].北京：中國標準出版社，2019.

[4]宋陽.數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡(luò)通信安全中的應(yīng)用[J].信息與電腦（理論版），2024（4）：226-228.

[5]周海東，王三超.數(shù)字簽名技術(shù)在網(wǎng)絡(luò)通信安全中的應(yīng)用[J].集成電路應(yīng)用，2023（3）：344-345.

[6]王彥.對“可信驗證”保證國家網(wǎng)絡(luò)安全的重要性分析[J].中國認證認可，2022（12）：36-37，21.

（編輯戴啟潤）

Abstract： The campus card system，asthe important infrastructure of smart campus，deeply integrates identity authentication，financial payment，and datamanagement functions.With the expansion of system scale and the diversificationof external attck methods，networkanddata securityisues have become keybottlenecksrestricting its development.Thisarticleanalyzesand implements technical securitymeasuresinphysical environment， communication network，regional boundary，computing environment，and security managementcenter according to he thirdlevel technical securityrequirements of network security level protection，and constructs campus card technology security system with“defense in depth，centralized control\".

Key words： campus card system; network security level protection; security system