淺談高校一卡通系統(tǒng)的數(shù)據(jù)安全

文章出處：http://m.luckydriving.com 作者： 人氣： 發(fā)表時間：2011年09月15日

    摘要:校園一卡通系統(tǒng)是學院信息化建設中管理信息化的核心項目之一,是數(shù)字化校園基礎(chǔ)工程、重要組成部分,是以IC卡為媒介采用計算機、網(wǎng)絡、通信、數(shù)據(jù)庫和自動識別等技術(shù),在校內(nèi)實現(xiàn)商務消費、身份識別、綜合查詢和應用的信息化并促進學院管理的科學化和規(guī)范化。隨著學院網(wǎng)絡、信息技術(shù)的不斷成熟,數(shù)字化建設不斷發(fā)展,校園卡內(nèi)的數(shù)據(jù)安全越來越得到管理人員的注意,使管理員對數(shù)據(jù)的安全進行深入的研究。本文通過對學院校園一卡通“操作系統(tǒng)Enterprise LinuxAS4+數(shù)據(jù)庫Oracle9i(雙機)+網(wǎng)絡存儲+第三方系統(tǒng)接口”模式的研究讓大家全面地了解校園一卡通系統(tǒng)整體的安全策略如:校園卡信息安全、系統(tǒng)安全及網(wǎng)絡安全等。

    所謂“校園一卡通”,就是在學院范圍內(nèi),凡有現(xiàn)金、票證或需要識別身份的場合均采用一卡來完成。在學院內(nèi)集學生證、工作證、身份證、借書證、醫(yī)療證、會員證、餐卡、錢包、電話卡、存折于一卡,實現(xiàn)“一卡在手,走遍校園”的目的,為廣大師生的工作、學習、生活帶來方便,為學院的各項管理工作帶來高效、便捷,既實現(xiàn)了對廣大師生日?；顒拥墓芾?又為教學、科研和后勤服務提供了重要信息。數(shù)據(jù)是校園一卡通系統(tǒng)的最核心部分,它的安全直接影響到整個系統(tǒng)的運行。在數(shù)據(jù)IC卡中存儲的數(shù)據(jù)主要包括純粹的數(shù)據(jù)信息(以數(shù)據(jù)庫信息最為典型),以及各種功能信息,由人工輸入和系統(tǒng)工作運行兩部分所產(chǎn)生,既是各有關(guān)子系統(tǒng)進行相互數(shù)據(jù)交換、管理過程中產(chǎn)生的歷史記錄,也是一卡通系統(tǒng)運行過程中實現(xiàn)各有關(guān)功能的主要依據(jù),有效實施數(shù)據(jù)機密性保護措施和數(shù)據(jù)完整性保護措施關(guān)系到系統(tǒng)能否正常工作。一卡通系統(tǒng)中數(shù)據(jù)的安全主要體現(xiàn)在數(shù)據(jù)庫的安全、數(shù)據(jù)存儲的安全、操作系統(tǒng)的安全和網(wǎng)絡安全四個方面。

    1數(shù)據(jù)庫的安全

    一卡通系統(tǒng)的集中控制體現(xiàn)在提高系統(tǒng)的安全級別,以及對各子系統(tǒng)之間的管理。所有應用程序登陸授權(quán)必須通過管理中心的統(tǒng)一授權(quán),提供多種登陸認證方式。一卡通系統(tǒng)設計的目標:基礎(chǔ)信息的完善、全面數(shù)據(jù)的共享、實現(xiàn)集中控制、一卡通行校園。

    1.1校園卡片的選擇

    在卡內(nèi)容的安全上作了周密的校驗和安排,以確保卡內(nèi)數(shù)據(jù)的完整和有效性,選用的是PHILIPS公司的Mifare 1射頻卡,該卡是目前應用最廣,市場占有率最高?？ū旧碛袊烂艿拿艽a管理機制,具有非線性,不可復制。對卡上信息分區(qū)存放,重要信息采用雙備份校驗機制。確保數(shù)據(jù)可靠存放。Mifare 1射頻卡存儲空間大,在一卡通系統(tǒng)中,我們使用一部分空間,存儲基本信息。一卡通系統(tǒng)作為一個可以擴展的、開放性的系統(tǒng),留有足夠的空間來作為擴展或第三方系統(tǒng)引用,從而保證系統(tǒng)強大的兼容性、擴展性。正常的卡有10萬次的讀寫能力,數(shù)據(jù)保存能力在10年以上。在使用過程中,如有不正確的使用現(xiàn)象,如折斷、燒壞、強磁場等原因會造成卡使用失效。

    1.2數(shù)據(jù)庫的安全設計

    我院校園一卡通系統(tǒng)數(shù)據(jù)庫采用ORACLE9i企業(yè)版,并且數(shù)據(jù)庫服務器采用了雙機熱備。ORALE9i數(shù)據(jù)庫特性如下:

    (1)Oracle 9i已經(jīng)改進了電子商務系解決方案的性能,其中針對Java,改進了無用的單元集收集,更好的本地的編譯,增強了對象共享和會話連接,提高了在Java中內(nèi)置在數(shù)據(jù)庫中之行的應用程序性能。
    (2)Oracle 9i在電子商務應用程序開發(fā)平臺方面,針對Java,提高嵌入式Java VirtualMachine(虛擬機)的性能,在Java存儲過程中增加了返回多行紀錄(REFCURSORS)。
    (3)Oracle 9i在英特網(wǎng)內(nèi)容存儲和管理功能上,增加了對interMedia圖像、音頻以及視頻的支持。通過將Java Imageing(JAI,Java高級圖像處理)合并入數(shù)據(jù)庫并在interMedia中提供對Java Media Framework(JMF,Java媒體框架)的支持,Oracle 9i極大地簡化了新增多媒體格式、處理及提供媒體的功能。除此之外,現(xiàn)在可以通過相關(guān)的PL/SQL和Java接口,以原有的方式來存取interMedia的音頻、視頻及圖像媒體處理服務。
    (4)Oracle 9i WEB服務器是一個新的基于JAVA、面向服務的框架,它支持英特網(wǎng)應用程序的內(nèi)容聚合。

    對本數(shù)據(jù)的使用這分為3個級:操作員級、組管理員級、系統(tǒng)管理員級。把上述原始數(shù)據(jù)進行分解、合并后重新組織起來的數(shù)據(jù)庫的全局邏輯結(jié)構(gòu),包括所確定的關(guān)鍵字和屬性、重新確定的記錄結(jié)構(gòu)和文卷結(jié)構(gòu)、所建立的各個庫表之間的相互邏輯關(guān)系,形成本數(shù)據(jù)庫的數(shù)據(jù)庫管理員視圖。

    1.3數(shù)據(jù)庫雙機熱備ROSE的安裝

    雙機熱備(雙機容錯)就是對于重要的服務,使用兩臺服務器,互相備份,共同執(zhí)行同一服務。當一臺服務器出現(xiàn)故障時,可以由另一臺服務器承擔服務任務(我院數(shù)據(jù)服務器切換近需要30秒),從而在不需要人工干預的情況下,自動保證系統(tǒng)能持續(xù)提供服務,雙機熱備由備用的服務器解決了在主服務器故障時服務不中斷的問題。

    雙機熱備一般情況下需要有共享的存儲設備,實現(xiàn)雙機熱備,需要通過專業(yè)的集群軟件或雙機軟件,我院一卡通數(shù)據(jù)庫服務器采用的ROSE軟件實現(xiàn)兩臺IBM3650之間的雙機熱備的功能,從而有效保證了數(shù)據(jù)的安全。

    2數(shù)據(jù)存儲的安全

    數(shù)據(jù)存儲是數(shù)據(jù)流在加工過程中產(chǎn)生的臨時文件或加工過程中需要查找的信息。數(shù)據(jù)以某種格式記錄在計算機內(nèi)部或外部存儲介質(zhì)上。數(shù)據(jù)存儲要命名,這種命名要反映信息特征的組成含義。數(shù)據(jù)流反映了系統(tǒng)中流動的數(shù)據(jù),表現(xiàn)出動態(tài)數(shù)據(jù)的特征;數(shù)據(jù)存儲反映系統(tǒng)中靜止的數(shù)據(jù),表現(xiàn)出靜態(tài)數(shù)據(jù)的特征。

    我院校園一卡通系統(tǒng)的數(shù)據(jù)包括:用戶列表(姓名、性別、國籍、身份類別、所屬部門、校園卡號、身份證號等)、表空間列表(我院設計為EXPRESS)、數(shù)據(jù)表列表(單位部門表、營業(yè)部門表、工作區(qū)表、銀行轉(zhuǎn)帳對帳表、余額類型表、卡表、卡片遺失表、財務綜合統(tǒng)計報表、營業(yè)報表等)、過程列表(財務綜合統(tǒng)計存儲過程、銀行結(jié)算存儲過程、卡,帳戶,金額明細匯總過程、操作員結(jié)算匯總存儲過程、第三方增款自動結(jié)算操作存儲過程等)、序號列表(帳戶表生成序列、銀行轉(zhuǎn)帳結(jié)帳生成序列、營收報表生成序列、財務綜合統(tǒng)計報表生成序列、操作員綜合明細表生成序列、操作員結(jié)帳表生成序列、第三方增款結(jié)帳表生成序列等)。

    學院校園一卡通數(shù)據(jù)存儲在網(wǎng)絡存儲NexsanSATABoy里,空間大小為2T(最大支持14T)SATABoy具備了空前的存儲靈活性以滿足用戶的各種需求裝配最新高容量SATA磁盤驅(qū)動器的高性能RAID解決方案;包括RAID控制器在內(nèi)的所有關(guān)鍵性組件均為熱插拔且實現(xiàn)完全冗余;獨立的基于WEB界面的NexScan?管理平臺可簡單直觀地對系統(tǒng)進行配置,任何標準的WEB瀏覽器均可對其進行監(jiān)控;NexScan可通過單一的GUI來遠程管理和配置多臺陣列;支持動態(tài)熱備磁盤池或?qū)Ｓ脽醾浯疟P、提供陣列自校驗;每個控制器最高支持32個LUN;通過具備軟件可重構(gòu)FPGA功能的Nexsan專業(yè)RAID引擎,SATABoy可靈活地通過使用可靠的熱插拔大容量驅(qū)動來實現(xiàn)更大存儲容量;高容量/高密度的SATABoy在僅3U的機架空間內(nèi)最多可裝配14塊硬盤驅(qū)動器;陣列可被設置為RAID 0、1、1+0、4、5和6;獨立于操作系統(tǒng),無需特殊軟件驅(qū)動程序支持,便可連接至任何主機系統(tǒng);配備光纖通道和iSCSI連接,以提供更加靈活的配置。

    3操作系統(tǒng)安全性

    校園一卡通系統(tǒng)平臺建設采用的語言為跨平臺的JAVA語言,與數(shù)據(jù)庫的連接方面采用的方式是H I B E R N A T E的O/RMAPPING技術(shù),不用系統(tǒng)的集成數(shù)據(jù)交換采用Web Server技術(shù),數(shù)據(jù)的格式是XML形式。校園一卡通系統(tǒng)支持Unix/Linux/windows2000x系統(tǒng)操作系統(tǒng)平臺,學院校園一卡通系統(tǒng)應用平臺和數(shù)據(jù)庫平臺都采用了紅帽Enterprise Linux AS4的操作系統(tǒng),廣泛支持了HP-UX/Sco-Unix以及Linux平臺,使系統(tǒng)的安全性、穩(wěn)定性和可擴展性得到了提高。

    在提示分區(qū)選擇時,請選擇手工分區(qū)。數(shù)據(jù)庫服務器建議分5個區(qū)。分別掛載在boot、swap、/、/var和/opt下。

    boot:需要100M。安裝linux的引導程序。
    swap:的大小要根據(jù)內(nèi)存的大小來設定,通常設置為內(nèi)存的兩倍。例如:1G的內(nèi)存,需要把swap設置為2048M。
    /:需要20G。操作系統(tǒng)的軟件包和一些其他的應用程序都安裝在/掛載點下。
    /var:不能少于10G。存放操作系統(tǒng)和其他應用程序日志。
    /opt:一般來說剩余的磁盤空間都可以給它,但要注意:最小應不能小于10G。它存放J2EE容器軟件和一卡通平臺軟件。
    防火墻和端口的設定,在安裝過程提示是否安裝啟用防火墻,請選擇啟用防火墻。安裝結(jié)束后,登錄X w i n d o w s。在Xwindows下打開一個終端窗口,執(zhí)行命令:
    #/usr/bin/system-config-securitylevel
    出現(xiàn)下面窗口,在最下面的輸入框中填寫“:1098:tcp,8080:tcp”;同時選中SSH復選框。

    4網(wǎng)絡的安全設計

    網(wǎng)絡硬件是校園一卡通系統(tǒng)的重要組成部分,是一卡通系統(tǒng)應用軟件系統(tǒng)運行的基礎(chǔ)物理平臺。一卡通網(wǎng)絡系統(tǒng)構(gòu)架方式主要有:一卡通專用網(wǎng)絡和一卡通虛擬局域網(wǎng)兩種。根據(jù)學院校園一卡通系統(tǒng)數(shù)據(jù)類型、數(shù)據(jù)流量、峰值分析等方面分析結(jié)果如下:

    數(shù)據(jù)類型:在一卡通應用系統(tǒng)中,應用分為商務消費和身份識別兩大類,數(shù)據(jù)也來源于此,通過統(tǒng)計分析可知大量數(shù)據(jù)屬于商務消費數(shù)據(jù)如:售飯、控水、機房、購電等產(chǎn)生的消費流水交易數(shù)據(jù),其他數(shù)據(jù)來源于身份識別類應用。
    峰值分析:流程數(shù)據(jù)主要由商務消費系統(tǒng)產(chǎn)生,所以交易峰值由此引發(fā),根據(jù)學院的管理模式,數(shù)據(jù)流量趨勢特點明顯即:每日出現(xiàn)四個峰值并且集中在一個小時內(nèi)完成。
    數(shù)據(jù)量計算:我院以持卡人為4萬人的數(shù)據(jù)進行數(shù)據(jù)量計算,以便得出用于系統(tǒng)設計的范圍,基礎(chǔ)數(shù)據(jù):預計平均持卡消費8次/每日,消費人數(shù)90%計算,每筆消費流水記錄大小平均為100字節(jié);—流水記錄為4萬×6×90%=21.6萬條,數(shù)據(jù)量為:21.6萬×100字節(jié)/條流水=21.6MB,系統(tǒng)每小時處理流水21.6萬條即:3600條/每分鐘,60條/每秒。

    5結(jié)語

    校園一卡通系統(tǒng)的建設,首要目的是方便全院師生在校園內(nèi)的各項活動,使在校內(nèi)的所有消費、繳費等行為變得簡單易行,身份識別準確安全,數(shù)據(jù)收集全面、統(tǒng)一;其次,在學院內(nèi)形成統(tǒng)一管理的信息平臺,促進學院校園信息化的建設,構(gòu)建優(yōu)良的數(shù)字空間和信息共享環(huán)境,進一步實現(xiàn)教學資源數(shù)字化、數(shù)據(jù)傳輸網(wǎng)絡化、用戶終端智能化、結(jié)算管理集中化。尋求切實可行的數(shù)據(jù)安全解決方案是高校實際建設過程中的首要任務。

    參考文獻
    [1]趙松濤編著.Oracle-9i中文版基礎(chǔ)教程,人民郵電出版社.
    [2][美]Marlene Theriault,Rachel Carmichael,James Viscusi《Oracle9i DBA基礎(chǔ)教程》, 機械工業(yè)出版社.
    [3]《西安翻譯學院校園一卡通系統(tǒng)設計方案》.沈陽寶石科技.
    [4]姜寧康,時成閣,編著.《網(wǎng)絡存儲導論》清華大學出版社.
    [5]《CCNA:計算機網(wǎng)絡》人民郵電出版社.

    【稿件聲明】：如需轉(zhuǎn)載，必須注明來源和作者，保留文中圖片和內(nèi)容的完整性，違者將依法追究。