淺談高校一卡通系統(tǒng)的數(shù)據(jù)安全
文章出處:http://m.dipdnbxp.cn 作者: 人氣: 發(fā)表時(shí)間:2011年09月15日
摘要:校園一卡通系統(tǒng)是學(xué)院信息化建設(shè)中管理信息化的核心項(xiàng)目之一,是數(shù)字化校園基礎(chǔ)工程、重要組成部分,是以IC卡為媒介采用計(jì)算機(jī)、網(wǎng)絡(luò)、通信、數(shù)據(jù)庫(kù)和自動(dòng)識(shí)別等技術(shù),在校內(nèi)實(shí)現(xiàn)商務(wù)消費(fèi)、身份識(shí)別、綜合查詢和應(yīng)用的信息化并促進(jìn)學(xué)院管理的科學(xué)化和規(guī)范化。隨著學(xué)院網(wǎng)絡(luò)、信息技術(shù)的不斷成熟,數(shù)字化建設(shè)不斷發(fā)展,校園卡內(nèi)的數(shù)據(jù)安全越來(lái)越得到管理人員的注意,使管理員對(duì)數(shù)據(jù)的安全進(jìn)行深入的研究。本文通過(guò)對(duì)學(xué)院校園一卡通“操作系統(tǒng)Enterprise LinuxAS4+數(shù)據(jù)庫(kù)Oracle9i(雙機(jī))+網(wǎng)絡(luò)存儲(chǔ)+第三方系統(tǒng)接口”模式的研究讓大家全面地了解校園一卡通系統(tǒng)整體的安全策略如:校園卡信息安全、系統(tǒng)安全及網(wǎng)絡(luò)安全等。
所謂“校園一卡通”,就是在學(xué)院范圍內(nèi),凡有現(xiàn)金、票證或需要識(shí)別身份的場(chǎng)合均采用一卡來(lái)完成。在學(xué)院內(nèi)集學(xué)生證、工作證、身份證、借書(shū)證、醫(yī)療證、會(huì)員證、餐卡、錢(qián)包、電話卡、存折于一卡,實(shí)現(xiàn)“一卡在手,走遍校園”的目的,為廣大師生的工作、學(xué)習(xí)、生活帶來(lái)方便,為學(xué)院的各項(xiàng)管理工作帶來(lái)高效、便捷,既實(shí)現(xiàn)了對(duì)廣大師生日?;顒?dòng)的管理,又為教學(xué)、科研和后勤服務(wù)提供了重要信息。數(shù)據(jù)是校園一卡通系統(tǒng)的最核心部分,它的安全直接影響到整個(gè)系統(tǒng)的運(yùn)行。在數(shù)據(jù)IC卡中存儲(chǔ)的數(shù)據(jù)主要包括純粹的數(shù)據(jù)信息(以數(shù)據(jù)庫(kù)信息最為典型),以及各種功能信息,由人工輸入和系統(tǒng)工作運(yùn)行兩部分所產(chǎn)生,既是各有關(guān)子系統(tǒng)進(jìn)行相互數(shù)據(jù)交換、管理過(guò)程中產(chǎn)生的歷史記錄,也是一卡通系統(tǒng)運(yùn)行過(guò)程中實(shí)現(xiàn)各有關(guān)功能的主要依據(jù),有效實(shí)施數(shù)據(jù)機(jī)密性保護(hù)措施和數(shù)據(jù)完整性保護(hù)措施關(guān)系到系統(tǒng)能否正常工作。一卡通系統(tǒng)中數(shù)據(jù)的安全主要體現(xiàn)在數(shù)據(jù)庫(kù)的安全、數(shù)據(jù)存儲(chǔ)的安全、操作系統(tǒng)的安全和網(wǎng)絡(luò)安全四個(gè)方面。
1數(shù)據(jù)庫(kù)的安全
一卡通系統(tǒng)的集中控制體現(xiàn)在提高系統(tǒng)的安全級(jí)別,以及對(duì)各子系統(tǒng)之間的管理。所有應(yīng)用程序登陸授權(quán)必須通過(guò)管理中心的統(tǒng)一授權(quán),提供多種登陸認(rèn)證方式。一卡通系統(tǒng)設(shè)計(jì)的目標(biāo):基礎(chǔ)信息的完善、全面數(shù)據(jù)的共享、實(shí)現(xiàn)集中控制、一卡通行校園。
1.1校園卡片的選擇
在卡內(nèi)容的安全上作了周密的校驗(yàn)和安排,以確保卡內(nèi)數(shù)據(jù)的完整和有效性,選用的是PHILIPS公司的Mifare 1射頻卡,該卡是目前應(yīng)用最廣,市場(chǎng)占有率最高??ū旧碛袊?yán)密的密碼管理機(jī)制,具有非線性,不可復(fù)制。對(duì)卡上信息分區(qū)存放,重要信息采用雙備份校驗(yàn)機(jī)制。確保數(shù)據(jù)可靠存放。Mifare 1射頻卡存儲(chǔ)空間大,在一卡通系統(tǒng)中,我們使用一部分空間,存儲(chǔ)基本信息。一卡通系統(tǒng)作為一個(gè)可以擴(kuò)展的、開(kāi)放性的系統(tǒng),留有足夠的空間來(lái)作為擴(kuò)展或第三方系統(tǒng)引用,從而保證系統(tǒng)強(qiáng)大的兼容性、擴(kuò)展性。正常的卡有10萬(wàn)次的讀寫(xiě)能力,數(shù)據(jù)保存能力在10年以上。在使用過(guò)程中,如有不正確的使用現(xiàn)象,如折斷、燒壞、強(qiáng)磁場(chǎng)等原因會(huì)造成卡使用失效。
1.2數(shù)據(jù)庫(kù)的安全設(shè)計(jì)
我院校園一卡通系統(tǒng)數(shù)據(jù)庫(kù)采用ORACLE9i企業(yè)版,并且數(shù)據(jù)庫(kù)服務(wù)器采用了雙機(jī)熱備。ORALE9i數(shù)據(jù)庫(kù)特性如下:
(1)Oracle 9i已經(jīng)改進(jìn)了電子商務(wù)系解決方案的性能,其中針對(duì)Java,改進(jìn)了無(wú)用的單元集收集,更好的本地的編譯,增強(qiáng)了對(duì)象共享和會(huì)話連接,提高了在Java中內(nèi)置在數(shù)據(jù)庫(kù)中之行的應(yīng)用程序性能。
(2)Oracle 9i在電子商務(wù)應(yīng)用程序開(kāi)發(fā)平臺(tái)方面,針對(duì)Java,提高嵌入式Java VirtualMachine(虛擬機(jī))的性能,在Java存儲(chǔ)過(guò)程中增加了返回多行紀(jì)錄(REFCURSORS)。
(3)Oracle 9i在英特網(wǎng)內(nèi)容存儲(chǔ)和管理功能上,增加了對(duì)interMedia圖像、音頻以及視頻的支持。通過(guò)將Java Imageing(JAI,Java高級(jí)圖像處理)合并入數(shù)據(jù)庫(kù)并在interMedia中提供對(duì)Java Media Framework(JMF,Java媒體框架)的支持,Oracle 9i極大地簡(jiǎn)化了新增多媒體格式、處理及提供媒體的功能。除此之外,現(xiàn)在可以通過(guò)相關(guān)的PL/SQL和Java接口,以原有的方式來(lái)存取interMedia的音頻、視頻及圖像媒體處理服務(wù)。
(4)Oracle 9i WEB服務(wù)器是一個(gè)新的基于JAVA、面向服務(wù)的框架,它支持英特網(wǎng)應(yīng)用程序的內(nèi)容聚合。
對(duì)本數(shù)據(jù)的使用這分為3個(gè)級(jí):操作員級(jí)、組管理員級(jí)、系統(tǒng)管理員級(jí)。把上述原始數(shù)據(jù)進(jìn)行分解、合并后重新組織起來(lái)的數(shù)據(jù)庫(kù)的全局邏輯結(jié)構(gòu),包括所確定的關(guān)鍵字和屬性、重新確定的記錄結(jié)構(gòu)和文卷結(jié)構(gòu)、所建立的各個(gè)庫(kù)表之間的相互邏輯關(guān)系,形成本數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)管理員視圖。
1.3數(shù)據(jù)庫(kù)雙機(jī)熱備ROSE的安裝
雙機(jī)熱備(雙機(jī)容錯(cuò))就是對(duì)于重要的服務(wù),使用兩臺(tái)服務(wù)器,互相備份,共同執(zhí)行同一服務(wù)。當(dāng)一臺(tái)服務(wù)器出現(xiàn)故障時(shí),可以由另一臺(tái)服務(wù)器承擔(dān)服務(wù)任務(wù)(我院數(shù)據(jù)服務(wù)器切換近需要30秒),從而在不需要人工干預(yù)的情況下,自動(dòng)保證系統(tǒng)能持續(xù)提供服務(wù),雙機(jī)熱備由備用的服務(wù)器解決了在主服務(wù)器故障時(shí)服務(wù)不中斷的問(wèn)題。
雙機(jī)熱備一般情況下需要有共享的存儲(chǔ)設(shè)備,實(shí)現(xiàn)雙機(jī)熱備,需要通過(guò)專業(yè)的集群軟件或雙機(jī)軟件,我院一卡通數(shù)據(jù)庫(kù)服務(wù)器采用的ROSE軟件實(shí)現(xiàn)兩臺(tái)IBM3650之間的雙機(jī)熱備的功能,從而有效保證了數(shù)據(jù)的安全。
2數(shù)據(jù)存儲(chǔ)的安全
數(shù)據(jù)存儲(chǔ)是數(shù)據(jù)流在加工過(guò)程中產(chǎn)生的臨時(shí)文件或加工過(guò)程中需要查找的信息。數(shù)據(jù)以某種格式記錄在計(jì)算機(jī)內(nèi)部或外部存儲(chǔ)介質(zhì)上。數(shù)據(jù)存儲(chǔ)要命名,這種命名要反映信息特征的組成含義。數(shù)據(jù)流反映了系統(tǒng)中流動(dòng)的數(shù)據(jù),表現(xiàn)出動(dòng)態(tài)數(shù)據(jù)的特征;數(shù)據(jù)存儲(chǔ)反映系統(tǒng)中靜止的數(shù)據(jù),表現(xiàn)出靜態(tài)數(shù)據(jù)的特征。
我院校園一卡通系統(tǒng)的數(shù)據(jù)包括:用戶列表(姓名、性別、國(guó)籍、身份類別、所屬部門(mén)、校園卡號(hào)、身份證號(hào)等)、表空間列表(我院設(shè)計(jì)為EXPRESS)、數(shù)據(jù)表列表(單位部門(mén)表、營(yíng)業(yè)部門(mén)表、工作區(qū)表、銀行轉(zhuǎn)帳對(duì)帳表、余額類型表、卡表、卡片遺失表、財(cái)務(wù)綜合統(tǒng)計(jì)報(bào)表、營(yíng)業(yè)報(bào)表等)、過(guò)程列表(財(cái)務(wù)綜合統(tǒng)計(jì)存儲(chǔ)過(guò)程、銀行結(jié)算存儲(chǔ)過(guò)程、卡,帳戶,金額明細(xì)匯總過(guò)程、操作員結(jié)算匯總存儲(chǔ)過(guò)程、第三方增款自動(dòng)結(jié)算操作存儲(chǔ)過(guò)程等)、序號(hào)列表(帳戶表生成序列、銀行轉(zhuǎn)帳結(jié)帳生成序列、營(yíng)收?qǐng)?bào)表生成序列、財(cái)務(wù)綜合統(tǒng)計(jì)報(bào)表生成序列、操作員綜合明細(xì)表生成序列、操作員結(jié)帳表生成序列、第三方增款結(jié)帳表生成序列等)。
學(xué)院校園一卡通數(shù)據(jù)存儲(chǔ)在網(wǎng)絡(luò)存儲(chǔ)NexsanSATABoy里,空間大小為2T(最大支持14T)SATABoy具備了空前的存儲(chǔ)靈活性以滿足用戶的各種需求裝配最新高容量SATA磁盤(pán)驅(qū)動(dòng)器的高性能RAID解決方案;包括RAID控制器在內(nèi)的所有關(guān)鍵性組件均為熱插拔且實(shí)現(xiàn)完全冗余;獨(dú)立的基于WEB界面的NexScan?管理平臺(tái)可簡(jiǎn)單直觀地對(duì)系統(tǒng)進(jìn)行配置,任何標(biāo)準(zhǔn)的WEB瀏覽器均可對(duì)其進(jìn)行監(jiān)控;NexScan可通過(guò)單一的GUI來(lái)遠(yuǎn)程管理和配置多臺(tái)陣列;支持動(dòng)態(tài)熱備磁盤(pán)池或?qū)S脽醾浯疟P(pán)、提供陣列自校驗(yàn);每個(gè)控制器最高支持32個(gè)LUN;通過(guò)具備軟件可重構(gòu)FPGA功能的Nexsan專業(yè)RAID引擎,SATABoy可靈活地通過(guò)使用可靠的熱插拔大容量驅(qū)動(dòng)來(lái)實(shí)現(xiàn)更大存儲(chǔ)容量;高容量/高密度的SATABoy在僅3U的機(jī)架空間內(nèi)最多可裝配14塊硬盤(pán)驅(qū)動(dòng)器;陣列可被設(shè)置為RAID 0、1、1+0、4、5和6;獨(dú)立于操作系統(tǒng),無(wú)需特殊軟件驅(qū)動(dòng)程序支持,便可連接至任何主機(jī)系統(tǒng);配備光纖通道和iSCSI連接,以提供更加靈活的配置。
3操作系統(tǒng)安全性
校園一卡通系統(tǒng)平臺(tái)建設(shè)采用的語(yǔ)言為跨平臺(tái)的JAVA語(yǔ)言,與數(shù)據(jù)庫(kù)的連接方面采用的方式是H I B E R N A T E的O/RMAPPING技術(shù),不用系統(tǒng)的集成數(shù)據(jù)交換采用Web Server技術(shù),數(shù)據(jù)的格式是XML形式。校園一卡通系統(tǒng)支持Unix/Linux/windows2000x系統(tǒng)操作系統(tǒng)平臺(tái),學(xué)院校園一卡通系統(tǒng)應(yīng)用平臺(tái)和數(shù)據(jù)庫(kù)平臺(tái)都采用了紅帽Enterprise Linux AS4的操作系統(tǒng),廣泛支持了HP-UX/Sco-Unix以及Linux平臺(tái),使系統(tǒng)的安全性、穩(wěn)定性和可擴(kuò)展性得到了提高。
在提示分區(qū)選擇時(shí),請(qǐng)選擇手工分區(qū)。數(shù)據(jù)庫(kù)服務(wù)器建議分5個(gè)區(qū)。分別掛載在boot、swap、/、/var和/opt下。
boot:需要100M。安裝linux的引導(dǎo)程序。
swap:的大小要根據(jù)內(nèi)存的大小來(lái)設(shè)定,通常設(shè)置為內(nèi)存的兩倍。例如:1G的內(nèi)存,需要把swap設(shè)置為2048M。
/:需要20G。操作系統(tǒng)的軟件包和一些其他的應(yīng)用程序都安裝在/掛載點(diǎn)下。
/var:不能少于10G。存放操作系統(tǒng)和其他應(yīng)用程序日志。
/opt:一般來(lái)說(shuō)剩余的磁盤(pán)空間都可以給它,但要注意:最小應(yīng)不能小于10G。它存放J2EE容器軟件和一卡通平臺(tái)軟件。
防火墻和端口的設(shè)定,在安裝過(guò)程提示是否安裝啟用防火墻,請(qǐng)選擇啟用防火墻。安裝結(jié)束后,登錄X w i n d o w s。在Xwindows下打開(kāi)一個(gè)終端窗口,執(zhí)行命令:
#/usr/bin/system-config-securitylevel
出現(xiàn)下面窗口,在最下面的輸入框中填寫(xiě)“:1098:tcp,8080:tcp”;同時(shí)選中SSH復(fù)選框。
4網(wǎng)絡(luò)的安全設(shè)計(jì)
網(wǎng)絡(luò)硬件是校園一卡通系統(tǒng)的重要組成部分,是一卡通系統(tǒng)應(yīng)用軟件系統(tǒng)運(yùn)行的基礎(chǔ)物理平臺(tái)。一卡通網(wǎng)絡(luò)系統(tǒng)構(gòu)架方式主要有:一卡通專用網(wǎng)絡(luò)和一卡通虛擬局域網(wǎng)兩種。根據(jù)學(xué)院校園一卡通系統(tǒng)數(shù)據(jù)類型、數(shù)據(jù)流量、峰值分析等方面分析結(jié)果如下:
數(shù)據(jù)類型:在一卡通應(yīng)用系統(tǒng)中,應(yīng)用分為商務(wù)消費(fèi)和身份識(shí)別兩大類,數(shù)據(jù)也來(lái)源于此,通過(guò)統(tǒng)計(jì)分析可知大量數(shù)據(jù)屬于商務(wù)消費(fèi)數(shù)據(jù)如:售飯、控水、機(jī)房、購(gòu)電等產(chǎn)生的消費(fèi)流水交易數(shù)據(jù),其他數(shù)據(jù)來(lái)源于身份識(shí)別類應(yīng)用。
峰值分析:流程數(shù)據(jù)主要由商務(wù)消費(fèi)系統(tǒng)產(chǎn)生,所以交易峰值由此引發(fā),根據(jù)學(xué)院的管理模式,數(shù)據(jù)流量趨勢(shì)特點(diǎn)明顯即:每日出現(xiàn)四個(gè)峰值并且集中在一個(gè)小時(shí)內(nèi)完成。
數(shù)據(jù)量計(jì)算:我院以持卡人為4萬(wàn)人的數(shù)據(jù)進(jìn)行數(shù)據(jù)量計(jì)算,以便得出用于系統(tǒng)設(shè)計(jì)的范圍,基礎(chǔ)數(shù)據(jù):預(yù)計(jì)平均持卡消費(fèi)8次/每日,消費(fèi)人數(shù)90%計(jì)算,每筆消費(fèi)流水記錄大小平均為100字節(jié);—流水記錄為4萬(wàn)×6×90%=21.6萬(wàn)條,數(shù)據(jù)量為:21.6萬(wàn)×100字節(jié)/條流水=21.6MB,系統(tǒng)每小時(shí)處理流水21.6萬(wàn)條即:3600條/每分鐘,60條/每秒。
5結(jié)語(yǔ)
校園一卡通系統(tǒng)的建設(shè),首要目的是方便全院師生在校園內(nèi)的各項(xiàng)活動(dòng),使在校內(nèi)的所有消費(fèi)、繳費(fèi)等行為變得簡(jiǎn)單易行,身份識(shí)別準(zhǔn)確安全,數(shù)據(jù)收集全面、統(tǒng)一;其次,在學(xué)院內(nèi)形成統(tǒng)一管理的信息平臺(tái),促進(jìn)學(xué)院校園信息化的建設(shè),構(gòu)建優(yōu)良的數(shù)字空間和信息共享環(huán)境,進(jìn)一步實(shí)現(xiàn)教學(xué)資源數(shù)字化、數(shù)據(jù)傳輸網(wǎng)絡(luò)化、用戶終端智能化、結(jié)算管理集中化。尋求切實(shí)可行的數(shù)據(jù)安全解決方案是高校實(shí)際建設(shè)過(guò)程中的首要任務(wù)。
參考文獻(xiàn)
[1]趙松濤編著.Oracle-9i中文版基礎(chǔ)教程,人民郵電出版社.
[2][美]Marlene Theriault,Rachel Carmichael,James Viscusi《Oracle9i DBA基礎(chǔ)教程》, 機(jī)械工業(yè)出版社.
[3]《西安翻譯學(xué)院校園一卡通系統(tǒng)設(shè)計(jì)方案》.沈陽(yáng)寶石科技.
[4]姜寧康,時(shí)成閣,編著.《網(wǎng)絡(luò)存儲(chǔ)導(dǎo)論》清華大學(xué)出版社.
[5]《CCNA:計(jì)算機(jī)網(wǎng)絡(luò)》人民郵電出版社.
【稿件聲明】:如需轉(zhuǎn)載,必須注明來(lái)源和作者,保留文中圖片和內(nèi)容的完整性,違者將依法追究。