【正文】 網絡驗證、數據庫驗證，用戶對數據庫對象的訪問權限控制；可靠支持機制可實現(xiàn)數據庫系統(tǒng)的快速災難恢復，確保數據的絕對可靠，且有多種數據恢復機制，確保數據不損失或少損失。重要的數據庫表使用電子簽名（防止有意纂該數據）；關鍵列進行加密處理；建立必要的視圖，以隔離一些重要數據；設計必要的日志跟蹤。1．2．3網絡安全設計網絡安全采用防火墻技術，設立應用前置機，減輕中心數據庫的網絡壓力，一卡通系統(tǒng)接入校園網的第二層交換機采用具有路由功能的交換機，在其上劃分VLAN，保證一卡通系統(tǒng)的邏輯隔離，使不同的工作站有不同的訪問通道，VLAN技術的采用即提高了網絡的安全性，又降低了廣播風暴，由于一卡通系統(tǒng)主要是依托于校園網，所以在一卡通系統(tǒng)與校園網的連接方面設立應用網關，實現(xiàn)一卡通網與校園網的邏輯分離。1．2．4應用系統(tǒng)安全設計應用程序安全使用常規(guī)手段防黑客、防病毒，通過辦理認可碼（TAC…Transaction Authorization Cryptogram）實現(xiàn)不可抵賴原則，設定用戶權限，不同的用戶有不同的權限。每一個用戶都有自己的專有密鑰，當其進行登錄時要求輸入自己的用戶名及口令，并要求使用用戶的鑰匙卡進行第三次認證，只有這三次認證都通過才能進行系統(tǒng)。在系統(tǒng)中對用戶進行分組處理，每一組用戶都有不同的權限，對其所使用的資源及功能都有嚴格的限制。系統(tǒng)對用戶所做的每一步操作都有日志進行跟蹤，如果出現(xiàn)問題，可以根據日志文件及其所輸的認可碼達到責任到人，不可抵賴的原則。1．2．5終端產品安全設計l 注冊／授權雙向認證: 產品具有特定的注冊／授權雙向互認功能，防止非法產品入網流通使用；l 具有簽到、簽退功能: 每臺終端設備均具有簽到、簽退功能，保證交易的合法性；l 非法卡、黑卡報警功能:終端機廣泛使用黑、白名單技術，對卡片進行合法性驗證，并記錄非法卡使用情況，有效防止非法卡片的流通。對黑卡以及各種非法卡使用狀態(tài)，本機將自動識別并提示相應的報警代碼，提示工作人員采取相應措施處理；l 個人密碼使用：可選使用，可設置消費與個人密碼使用的對應關系；l 存儲數據POS 機具中存放的消費明細是帶消費交易認證碼存放的，可防止篡改；在網控器中也存有數據，只有在網控器、POS機及工作站全部損壞時，有可能導致數據丟失；終端設備配置后備電池以保障終端設備在斷電后能夠繼續(xù)運行使用；l 可以設置最大消費限額，在卡片丟失的情況下，一餐只能消費固 定的費用，最大限度的保護持卡人的利益；l 當進行大額消費時，有密碼保護的功能；l 設備的交易密鑰管理：通過制定一套完整的密鑰管理體系，來保證消費過程的安全性和終端機具使用的安全性；用戶IC 卡的合法性認證：當用戶IC 卡在POS 終端上刷卡時，POS 終端首先需要驗證IC 卡的合法性。驗證通過后，POS 終端需要進一步檢查該IC 卡是否在黑（白）名單中、是否為掛起卡或過期卡等，通過后才確認該卡是合法的；消費交易的安全性和完整性：用戶IC 卡POS 終端之間進行雙向身份認證；POS 終端使用的安全性：管理中心設置唯一的消費終端機具識別號；另外，在進行增款處理時，為了防止偽造或非法使用POS 終端，保證POS 終端使用的安全感性，需要為每個合法增款操作員發(fā)放一張鑰匙卡，經過鑰匙卡驗證后，POS 終端才能接受增款交易；POS 中的消費數據的安全：POS 終端保存消費明細和該消費明細的消費交易認證碼；進行數據采集時，將消費明細和消費交易認證碼一起上傳，結算中心可以對該消費交易認證碼進行校驗，以保證消費數據的真實性和完整性。1．2．6銀行轉賬安全采用設立轉賬前置機的方式，通過雙網卡隔離2個邏輯網段，杜絕校園網內部對銀行網絡的訪問，僅銀行轉賬前置機可以訪問銀行網絡。數據傳輸的安全措施學校轉賬前置機與銀行前置機之間數據采用金融業(yè)標準的MAC校驗運算。MAC運算的DES密鑰采用動態(tài)密鑰，在每天建立連接簽到時，由銀行動態(tài)生成分配。密鑰采用加密傳輸，敏感數據加密處理。校園內部自助轉賬終端與學校轉賬前置機之間采用DES加密，MD5數字簽名，動態(tài)密鑰。屏蔽校園網絡內的對銀行攻擊學校轉賬前置機采用雙網卡，通過雙網段的IP地址進行邏輯網段隔離。關閉轉賬前置機的IP轉發(fā)路由功能，校園網絡內部的數據只能到達轉賬前置機的與校園網連接的網卡，而無法通過前置機的與銀行前置機連接的網卡到達銀行前置機。這樣就屏蔽了校園網絡內部的攻擊。學校轉賬前置機關閉遠程管理維護功能，避免對其攻擊，必要時可以采用軟件防火墻。屏蔽校園前置機對銀行內部的攻擊銀行的前置機同樣采用雙網卡，關閉IP轉發(fā)路由功能，這樣就阻止了攻擊到達銀行網絡內部，所有來自校園端（專線）的數據僅能到達與校園前置機連接的網卡，不能通過前置機的與銀行系統(tǒng)連接的網卡進入銀行內部網絡。銀行前置機關閉遠程登錄等功能，防止非法遠程登錄。銀行前置機只能響應規(guī)定好的轉賬交易。1．2．7卡片安全設計卡片的安全原則l 應用中采用一卡一密、一扇區(qū)一密的加密機制、防止被盜濫用；l 加入公司編號、學生卡號等作為種子，采用專用算法，有效地防止偽卡；l 采用公共、獨立的信息共享區(qū)，形成一種統(tǒng)一而又分而治之的數據管理策略；l 引入使用區(qū)域的概念，對卡片按工作區(qū)管理，根據不同的工作區(qū)授予不同權限和功能，增強安全性?？ㄆ瑑鹊陌踩芾韑 數據區(qū)密鑰控制原則：卡片內采用每扇區(qū)密碼控制的原則，即對不同的數據區(qū)采用不同的密鑰進行控制；l 將數據區(qū)分為兩類，一卡通數據區(qū)和第三方子系統(tǒng)數據區(qū)；一卡通系統(tǒng)數據區(qū)采用卡片注冊時生成的密鑰進行讀寫控制；對于第三方子系統(tǒng)，采用公司出廠密碼，在建立該子系統(tǒng)時，更改該控制密碼?？ㄆx寫控制對于窗口機可以在獲取貸方賬戶時通過讀取用戶卡讀取特征代碼，按一定的算法生成密鑰，經過密鑰對照后完成密鑰的校驗。對于子系統(tǒng)讀寫器，可以直接從開機卡中獲取特征代碼。持卡人利益的保證l 掛失實時生效；l 黑名單實時下發(fā)；l 大額消費啟用個人密碼；l 脫機消費限額：當卡片脫機消費時，分別采用不同的限額來啟用個人密碼、禁止消費，從而使丟失但來不及掛失的卡造成的損失最小；l 個人密碼保密：在系統(tǒng)上操作員看不到持卡人的個人密碼，保障了持卡人的權利。第2章 突發(fā)事件應對措施 突發(fā)事件是指在不可預測的時間、不可預見的地點所出現(xiàn)的一些特殊的事件，這類事件在出現(xiàn)時沒有任何的特征，但對于整個系統(tǒng)的打擊可能是致命的。所以我公司對于一些在工程施工中所遇到的一些事件進行總結，并制定的相應的防范措施。2．1設計目標 將可能預見到的風險排除，不可預見的風險將損失降低到最小的程度，最大限度的保護用戶的利益。2．1應對措施數據安全所實現(xiàn)的目的是對于常規(guī)的漏洞予以杜絕，對于一般性事故做到用戶無損失，對于不可抗拒的因素造成的事故將損失降到最低的程度，數據安全的作用主要就是做到防患于未然?？傮w安全設計標準：l 系統(tǒng)性：一卡通系統(tǒng)的安全需要按系統(tǒng)工程來建設、保障；l 完整性：系統(tǒng)涉及到的每一個環(huán)節(jié)都要考慮安全特性；l 針對性：在系統(tǒng)薄弱環(huán)節(jié)作特殊處理，以提高整個系統(tǒng)的安全系數；l 無關性：各應用系統(tǒng)之間處于一種相對獨立的狀態(tài)，一個系統(tǒng)出現(xiàn)問題不影響其它部分。2．1．1服務器故障服務器采用雙機熱備的方案，在正常狀態(tài)下，主服務器工作，主服務器與備份服務器之間通過RS232與TCP/IP進行實時通訊檢測，當主服務器出現(xiàn)故障時，備份服務器自動接管，實現(xiàn)對數據庫及整個一卡通網絡的統(tǒng)一管理。在此情況下可以保證在主服務器意外當機的情況下，在很短的時間內備份服務器就可全面接管。2．1．2硬盤故障一卡通系統(tǒng)硬盤采用磁盤陣列柜進行管理，陣列柜采用RAID5的方式，在陣列柜中有多于三塊SCSI磁盤，一個盤上既有數據又有校驗碼，因而可以解決多盤爭用校驗盤的校驗盤的問題，使得同一組內可進行并行寫操作，且磁盤支持熱插撥，陣列柜具有報警功能，當一塊磁盤出現(xiàn)故障時陣列柜自動提示，此時只需將損壞的磁盤抽出，再插入一塊新的SCSI磁盤即可，不會因為一塊磁盤的損壞而造成整個系統(tǒng)的損失。2．1．3數據庫故障數據庫采用多層存儲的分布式設計，有多個環(huán)節(jié)存儲有系統(tǒng)數據，當一個地方出現(xiàn)故障時可有多個同樣的數據對他進行恢復。同時中心數據庫采用Oracle數據庫，如果數據庫出現(xiàn)故障，可以采用多種方式恢復其中的數據：如利用數據庫的控制文件、歸檔日志等；如果整個數據庫完全不可用，由于我們提供多種備份方案，包括磁盤、磁帶、可讀寫光盤等，所以也可由這些備份的數據進行恢復，保證在重大事故面前少損失甚至不損失數據。2. 1. 4網絡故障一卡通系統(tǒng)擁有一個大的網絡環(huán)境至少包括兩種網絡：485網絡、TCP/IP網絡等。所以網絡故障可分為兩種情況：即485網絡錯誤與TCP/IP網絡錯誤。當出現(xiàn)485網絡錯誤時，系統(tǒng)有自動偵測程序，可以自動檢知故障點，可由工程人員立即進行搶修，同時由于消費POS機有脫機消費工作的功能，可以使系統(tǒng)在485網絡斷開的情況下不影響學生的正常消費。當出現(xiàn)TCP/IP錯誤時，系統(tǒng)設計為分布式數據庫設計，所以每一個業(yè)務的應用系統(tǒng)在此情況下者可正常進行不連網工作。這兩種情況出現(xiàn)時，系統(tǒng)采用脫機或準脫機工作方式，一旦網絡恢復正常，立即將交易上傳，保證數據的準確性。病毒：對于病毒的控制僅限于Windows操作系統(tǒng)；可以在操作系統(tǒng)上安裝防病毒軟件及病毒防火墻來進行安全保護。惡性突發(fā)事件：l 斷網由于特殊原因，整個校園網出現(xiàn)故障，且所有的營業(yè)端網絡全部出現(xiàn)故障時，我公司的POS機具有自動斷網識別功能且在數據標準方面采用斷網的情況下以卡片中的數據為準的原則，系統(tǒng)可以自動切換到脫機消費狀態(tài)，并通過卡片進行相應的業(yè)務動作。l 斷電我公司設計方案及工程實施中，所有的主、子系統(tǒng)均安裝在線式的UPS作為后備電源，所以即使出現(xiàn)惡性斷電的情況，也可以由UPS電流立即響應恢復營業(yè)系統(tǒng)的供電；l 斷網斷電當出現(xiàn)以上情況時POS機中有后備電流，斷網斷電同時發(fā)生后，后備電池立即響應，對POS機進行供電，同時系統(tǒng)自動切換到脫機消費狀態(tài)，并通過卡片進行相應的業(yè)務動作；保證不會影響學校的正常營業(yè)。第5部分 擴展/對接/兼容性設計第1章 用戶現(xiàn)有系統(tǒng)分析根據擴展/對接/兼容分析，可概括為以下幾個方面：l 原有應用系統(tǒng)投入正式使用，且基本能滿足實際工作的需要；l 即要保留原有系統(tǒng)的功能，將共納入到一卡通系統(tǒng)的整體框架中來，實現(xiàn)數據的高度共享，可以從一卡通系統(tǒng)中獲得相應的業(yè)務數據；l 實現(xiàn)數據共享，解決好各種教務項目收費管理問題；l 通過一卡通系統(tǒng)可以獲取其它應用系統(tǒng)的信息。根據實際應用系統(tǒng)的實際情況，應用系統(tǒng)可分為以下三種情況：學校自行開發(fā)的應用系統(tǒng)：對于這類系統(tǒng)，從技術的角度來講，對接是可以非常方便的實現(xiàn)；外購產品對于外購的產品，需要產品開發(fā)商配合一卡通系統(tǒng)建設的需要根據一卡通系統(tǒng)所提供的接口對其原有程序進行二次包裝，或者由開發(fā)商提供其相應的表結構或詳細的技術設計文檔，由一卡通系統(tǒng)建設方進行二次包裝，對接可以完全實現(xiàn)。如果產品開發(fā)商不能提供必要的支持，可能需要一卡通系統(tǒng)建設方重新分析此系統(tǒng)，共同開發(fā)；學校與一卡通提供方共同開發(fā)的應用系統(tǒng)由于是學校與一卡通供應商共同開發(fā)， 這一類系統(tǒng)的對接可以完全實現(xiàn)。第2章 擴展/對接/兼容性設計2．1 指導思想及設計原則指導思想 在統(tǒng)一的一卡通中心平臺的管理下，實現(xiàn)商務消費、身份識別、社會應用各類系統(tǒng)，達到數據共享、信息互通，消除原來各個系統(tǒng)各自為政、信息不能共享的局面； 實現(xiàn)用戶單位管理的信息化、數字化，辦公無紙化，持卡人消費及身份識別達到智能化，使貴校的一卡通系統(tǒng)建設達到國內領先水平。設計原則：l 標準化和規(guī)范化原則 建立公用共享數據平臺，可參照國標、部標的編碼規(guī)則制訂用戶單位的統(tǒng)一編碼規(guī)則。l 科學先進的原則 采用的軟硬件技術應屬于技術領先水平，具體的對接方案科學、可靠、有效、適用。l 安全性、穩(wěn)定性原則 采取安全防范措施保證系統(tǒng)安全穩(wěn)定的運行，保證信息在存取、傳輸過程中的安全性。采用關鍵信息加密技術保證信息不會被非法的獲取、篡改，保證信息的正確性和完整性。2．2 設計目標l 要求提供多種方案解決第三方接入問題，包括提供API、聯(lián)合改造應用系統(tǒng)、開放校園卡上的扇區(qū)供第三方讀寫等；提供統(tǒng)一的、平臺化的一卡通安全接入接口，為第三方產品提供方便、透明的接入環(huán)境。l 開放信息公用函數接口，全面支持第三方開發(fā)。l 實現(xiàn)各接入子系統(tǒng)的數據同步、子系統(tǒng)/服務器時間同步、白名單及管理同步功能。l 對繳費類的第三方系統(tǒng)，要求其接入一卡通系統(tǒng)后，能將消費和扣款的記錄回送到一卡通中心數據庫，并對卡上的電子錢包區(qū)具有讀取和改寫能力，以維護全系統(tǒng)帳目的一致性和完整性。l 對小錢包方式的系統(tǒng)，要求能維護小錢包賬目的一致性。l 對身份識別類的第三方系統(tǒng)，要使從校園卡上讀取的身份識別碼能在第三方系統(tǒng)中進行有效性確認。l 所開發(fā)的基于一卡通系統(tǒng)的校內管理信息系統(tǒng)軟件必須在數據上與一卡通系統(tǒng)實現(xiàn)互通共享。2．3 系統(tǒng)擴展性2．3．1 卡片的擴展性“校園一卡通”系統(tǒng)使用卡片目錄管理器統(tǒng)一規(guī)劃用戶單位卡片結構。卡片內除包含持卡人的統(tǒng)一身份認證信息、個人基本信息、錢包信息外，其余部分可以在“校園一卡通”系統(tǒng)卡片目錄管理器中自行定義，通一管理，實現(xiàn)空余扇區(qū)的自定義要求。2．3．2 軟件的擴展性 所有應用軟件產品采用三層結構設計開發(fā)，模塊化、功能化結構設計，集成、拆分、維護方便，用戶經授權可以自行定義和組織這些標準模塊甚至功能；從軟件升級方面，由于軟件集中安裝在應用程序服務器中，而我們所采用的應用服務器支持熱部署，局部升級實現(xiàn)了功能模塊的“熱拔插”技術，升級不影響系統(tǒng)的正常運行，為軟件升級帶來極大的方便。系統(tǒng)的查詢部分采用B/S 結構，同時其他部分可以分步進行結構升級。2．4 基于第三方應用的系統(tǒng)對接