智能卡安全攻略

文章出處：http://5052h112.com 作者：大明五洲   人氣： 發表時間：2011年09月09日

一、 威脅系統安全的人為因素 　　

　　威脅到一卡通系統的安全有外部的客觀環境，更有人為的惡意破壞。 　　
　　所謂客觀環境對公交一卡通收費系統的影響，是指由于系統中使用到的各種IC卡、各類設備廣泛散布于市民的手中和公共交通車輛等環境中，它們面臨的客觀環境非常復雜和惡劣，對IC卡及設備的干擾、破壞如彎折、腐蝕、靜電、輻射、塵污、溫度、濕度、磁場等因素，可以對IC卡及設備產生重大影響，嚴重影響系統信息的持久性和準確性。面對這些來源于外部客觀環境的破壞，我們可以在系統設計、IC卡制造、機具生產等方面有針對性采取某些特別的措施，通過采用專門的設計和優良的產品，提高系統的抗干擾、抗腐蝕的能力，確保系統的運轉不受影響。如何設計系統防止外部客觀環境對系統的損壞的問題不是本文討論的目標。 　　
　　本文要論述的是那些由于人為蓄意侵犯、攻擊而給系統信息的保密性、完整性、真實性、可獲取性和持久性進行破壞的可能性，這些才是系統安全技術重點防范的主要威脅對象。 　　
　　一個系統的安全性，我們應該從以下幾個方面進行考察：
　　 （1） 保密性：防范對未經授權的信息存取的能力；
　　 （2） 完整性：防范對未經授權的信息更改（增、刪、改）的能力；
　　 （3） 真實性：在信息的發送和接收過程中，對信息真偽性的鑒別能力；
　　 （4） 可獲取性：防范對未經授權的信息截取的能力；
　　 （5） 持久性：對系統信息長久準確、可靠地保存的能力。 　　

　　我們應該清楚：入侵者對系統進行非法攻擊所采取的手段是多種多樣，針對不同的對象他們有不同的做法，各種手段層出不窮、無所不用！因此在公交一卡通系統的建設中，我們應該全方位地考察系統的安全性，包括：
　　 * 對IC卡的攻擊
　　 * POS機安全技術
　　 * 密碼管理體系
　　 * 數據傳輸
　　 * 網絡安全技術
　　 * 中心數據庫安全技術
　　 * 行政管理措施

二、 系統安全設計的原則 　　
　　既然公交一卡通系統對安全性有很高的要求，在系統設計時，我們就要把系統的安全性放在重要的位置進行考慮。 　　
　　對于公交企業的用戶們，由于專業著重點的不同，他們不可能對IC卡、對系統安全技術都能有透徹的認識，面對琳瑯滿目、鋪天蓋地的廣告，如何才能找到一套既適合自己又安全可靠的系統，確實令人眼花繚亂，我們對公交用戶的這一心情深感理解。通過參與多個地方的公交系統的建設，通過與眾多的公交企業和IC卡界的同行進行交流后，我們總結了一些實際的經驗和體會，也總結出一些簡單可行的方法，在此愿意向公交用戶提出，希望能為他們設計和建設系統的安全性提供參考，也希望能幫助他們去鑒別和甄選市場上各類的系統或產品。 　　

　　怎樣的系統才有可信賴的安全性？
　　我們認為一套安全的一卡通系統至少要符合如下的基本原則： 　　

　　1、 一定要嚴格遵守國家關于安全產品的法規 　　
　　早在1999年，國家總理朱镕基就簽發了《商用密碼管理條例》，以國家法律條文的形式規范了商業密碼及其產品的使用。 　　
　　按照這個條例的規定，城市公交一卡通收費系統所涉及的安全性能問題屬于商業密碼管理的范圍，適用于該條例的使用。條例的第三條和第四條明確規定：
　　第三條　商用密碼技術屬于國家秘密。國家對商用密碼產品的科研、生產、銷售和使用實行專控管理。
　　第四條　國家密碼管理委員會及其辦公室（以下簡稱國家密碼管理機構）主管全國的商用密碼管理工作。 　　
　　由于商用密碼的特殊性，國家立例要對它實行專控專管。由國家密碼管理委員會指定的安全產品和技術，都是經過有關的專家和權威人士對其進行詳細、周密、細致的論證后，才能作出“指定專用”的結論，是具有十分權威與專業的認證。這對于一個公交IC卡系統的應用者，是具有很好的指導、指引的作用，不但可以從專業的角度、權威的角度為我們提供指導與幫助，也免除了用戶面對鋪天蓋地的廣告宣傳的無可適從、無從選擇的擔憂。 　　
　　按照這個條例去行動，不但可以免除我們對產品選擇的憂慮，同時可大大減輕用戶對產品進行考察與論證的工作量，反之，不執行國家的這一法規，不但可能給系統的生存帶來災難性的影響，同時系統的使用者還有可能要面對嚴峻的法律。 　　

　　2、 一定要符合建設部的頒發的行業標準 　　
　　隨著IC卡技術及產品在城市建設事業中的應用越來越廣泛，為了提高城市管理水平、促進應用行業社會效益、經濟效益的增長，規范建設事業IC卡應用市場，建設部頒發了在有多個企業共同參與制訂的關于建設事業IC卡應用的技術規范和應用規范，這是建設部貫徹落實國家對金卡工程提出的統一規劃、統一標準、統一發卡、統一管理的原則，同時也是我國建設事業方面應用IC卡技術的最權威的行業規范。 　　
　　今年（2002年）6月，建設部正式頒發的《建設事業IC卡應用》的規范，是建設部最新頒布的規范，她包括了對IC卡片的要求、對終端技術的要求、對應用技術的要求、對密鑰系統和安全認證技術的要求等，不但從一些物理特性、應用特性上對應用進行了規范，而且從應用的安全性上也提出了重要的論述和操作指導，規定了各類安全的操作流程和安全算法，按照這個規范去建設系統，無疑可以嚴格保證我們所建立的系統的安全性。應該說這套規范是全面而實用的，確實對行業進行IC卡應用具有指導性、指示行、實用性，因此作為一卡通用戶的行業用戶完全可以用此規范對市場上各種系統和產品進行甄選，也應該是判斷各種產品的其中一個重要標準。 　
　　值得注意的是，在建設部頒發的規范中，關于應用系統安全要求（7.3節）中提出的“安全保密的基本原則”（7.3.1）中指出： 根據目前我國建設部所轄行業的實際情況，建設事業IC卡應用安全保密的基本原則是：
　　a) 安全服從于國家利益：任何部門或機構在實施安全管理時應遵循國家有關法律、法規，并接收國家相關部門的指導、監督和檢查。
　　b) 獨立自主：在建設事業IC卡應用中，凡涉及安全保密的重要環節，所用技術與產品應遵守國家有關管理部門的規定。
　　c) 選用成熟技術：建設事業IC卡應用系統應盡量采用成熟的技術和產品。 　　

　　在這里，建設部的規范以“基本原則”的方式強調了所建的系統必須符合國家的法律，必須接收國家相關部門的指導、監督和檢查，這不僅體現了國家法律的嚴肅性，更主要的是能在根本上確保系統的安全性。 　　

　　建設部的規范關于系統安全的規定是多方位的，我們在下面的論述中會逐步提到。 　　

　　3、 符合人民銀行關于金融方面的標準 　　
　　一卡通系統與經濟利益、金融結算密不可分，有些系統還需要把銀行引入到系統中來。所以這些系統的設計、卡片的規劃、機具的應用等還必須符合人民銀行的有關規范。 　　
　　人民銀行關于IC卡應用的多項規范，除了是保證各銀行的IC卡系統有統一的操作方式、數據信息有統一的交換格式外，更重要的是保證對銀行系統的安全特性有統一的規定，以確保我國金融系統的運轉有嚴格的、可控制、規范的安全特性。 　　
　　人民銀行的規范對建設事業單位應用IC卡系統有同樣重要的指導與參考作用，事實上，建設部的規范是在參考人民銀行的規范的基礎上，通過增加自己特色的規定而發展起來的，兩者沒有沖突。在可能的情況下，特別是在包含金融企業在內的建設事業IC卡系統中，我們應該共同遵守建設部、人民銀行制訂的各項標準。換句話說，在對市場上各種系統和產品進行考察時，應重點考察它們能否很好遵守建設部、人民銀行制訂的各項標準。 　　

　　4、 可供參考的其它權威部門所頒發的資質認證和檢驗證書 　

　　由于一卡通系統是一個龐大的系統，在有些方面，商密辦、建設部、人民銀行等方面沒有作出規范前，我們也可以參考有關部門、權威機構等所頒發的資質認證和檢驗證書作為補充，以便對市場上各類系統和產品進行甄選，以防有些單位魚目混珠，趁機推銷不良產品。例如信息產業部、公安部等在系統集成資質認證、布線系統、防病毒等方面的認證也是很好的參考，至少可以對某些單位或系統的能力有說明的作用。

三、 卡的安全性 　　

　　在一卡通系統的各行業中，在用現金付費的場合中，假幣的出現難以杜絕。同樣，在采用IC卡付費時，IC卡作為電子貨幣的載體，大量散發于廣大市民手中，是破壞者最易攻擊的對象之一，特別是在一個包含有大量應用在內的一卡通系統中，系統高度的復雜性會給入侵者提供更多的機會，同樣會引發假卡的出現。 　　

　　防范對IC卡的攻擊，我們通常要考慮如下幾個方面：
　　1、 芯片的安全技術 　　防范對IC卡芯片的攻擊，是IC卡芯片安全的基礎，各芯片廠家在設計時就應注意采取各類的安全保護措施，以防范敵手的惡意攻擊和探測，一般較為常用的芯片安全技術有：
　　 （1） 采用燒斷熔絲的技術是芯片制造商用于對芯片進行檢測的功能無法再次使用；
　　 （2） 加入特別的技術，防止對芯片工作中高低電壓變化、頻率變化等多項探測的攻擊；
　　 （3） 加入監控技術，防止對程序、數據總線、地址總線等信息的非法截取；
　　 （4） 加入對總線和存儲器的物理保護層；
　　 （5） 隨機數產生的技術；
　　 （6） 實施對存儲器的邏輯加密保護，并設置密碼輸入錯誤計數器； 　　

　　對于一卡通系統用戶來說，這些技術雖然是屬于芯片廠家的問題，但我們也應該對它們有所了解，掌握芯片安全技術的發展動態，通過比較選擇出最適合自己系統的產品。 　　

　　2、 卡片的軟件安全技術 　
　　上述提到的芯片安全技術，是芯片的硬件安全技術，如果我們采用CPU卡則還可借助卡內的操作系統COS（Chip Operation System）,獲取更為完善的安全保護，這是卡片的軟件安全技術。 　　通過COS我們可以得到如下的安全保護功能：
　　 （1） IC卡與外部讀寫器的相互驗證；
　　 （2） 硬件＋軟件的測試功能；
　　 （3） 隨機數的產生與應用；
　　 （4） 對信息的加密與解密；
　　 （5） 對應用程序流程的控制；
　　 （6） 對安全應用級別的控制；
　　 （7） 多應用的隔離或結合。 　　
　　 由于有了COS這一軟件的產品，使IC卡的安全控制方式可以是多種多樣、靈活多變，使我們的應用更加多姿多彩。當然為了保證應用的一致性和安全性，各個行業的管理部門，會根據本行業的特點制定相應的COS規范，如建設部、人民銀行都有對COS制定自己的規范，并建立相應的檢測和認證部門，對市場上的相關產品進行檢測和頒證，為用戶的選擇提供權威的鑒證。 　　
　　在當今的一卡通市場上，由于產品價格、以及設備、技術等應用的成熟性等原因，目前在公交一卡通系統中作為大量發到市民手中的用戶卡，還是采用非接觸式的邏輯加密卡，從理論上來說它們的安全保密性雖然不如CPU卡，但如果結合下面提到的卡片應用的安全技術，加上卡片本身已有的安全措施，同樣可以在一段時間內達到安全應用的要求。 　　

　　3、 卡片的應用安全技術 　　
　　卡片的應用安全技術也可分為兩種：一種是卡片表面的防偽技術，另一種是應用中的信息安全處理技術。 　　
　　 （1）卡片表面的防偽技術：為了進一步提高安全卡片的防偽性，可以在卡基的制造、印刷上采取各種保護措施：
　　　 A、熒光圖象：采用熒光圖象的印刷技術，使得印刷的圖象可以在紫外光下顯現。 B、微縮曲線：普通看去是一段直線或曲線，但在高倍數的放大鏡下卻是一段很小的，有一定數學規律的，由字母、文字組成的序列曲線。
　　　 C、激光雕刻：利用激光將圖形、文字、簽名、甚至照片等“刻蝕”到卡基內，而不是普通的印刷。
　　　 D、偏振光圖象：利用偏振光及材料的印刷技術，一般看去只是卡片的表面圖象，但在偏振鏡片下，看到的卻是“隱藏”的另一幅圖象。 　　

　　隨著印刷技術的不斷提高，各種各樣的卡面防偽技術不斷涌現。在我國以上這些卡片表面印刷技術已經可以在國內實現，為卡片的表面防偽也能提供多種選擇。 　　


　　 （2）卡片的信息安全處理技術：正如前面提到的，由于CPU卡具有較高的智能判斷能力，可以采用完善的驗證技術確保信息的發送和接收都可以進行鑒別，防止對卡和POS機具的偽造，保證信息真實性的最佳方法，使系統有較高的安全性，因此CPU卡一定會使用在密鑰管理、發卡、充值等這些對安全性要求很高的地方。 　　
　　 對于邏輯加密卡除了卡本身具有密碼校驗功能外，卡本身沒有智能的身份驗證功能和技術，因此在系統設計時，就需要為它們設計出一套完善的密碼計算和驗證功能，以保證系統的安全及系統密碼不能外露。正是根據這些需要，同時也是出于指導和保護行業所建設的IC卡應用系統，建設部在頒布的有關規范中，嚴格規定了采用安全存儲模塊進行卡的密碼計算的方法，切實保證了“一卡一密”的實現，為廣大用戶提供了經嚴格證明是安全可靠的科學方法計算方法。 　　


　　要執行建設部這一規范，我們必須具有： 　　
　　A、符合建設部規范的安全存儲模塊（或PSAM卡（COS））； 　　
　　B、系統設計符合建設部規范的密鑰管理體系； 　　
　　C、讀寫機具對卡的操作流程符合建設部規范的有關要求。 　

　　值得注意的是：雖然建設部有嚴格的規范規定了卡片密碼的計算方法，但如果在設計中不能作出全面的考慮，也會給敵手留下可怕的漏洞。

四、 密鑰管理系統 　　
　　我們已經看到，在一卡通系統中，我們是依靠密鑰來對信息進行加密保護，因此系統的安全很大程度上是取決于密鑰的安全。密鑰是所有加密系統信息安全的關鍵，任何疏忽導致密鑰的泄露，都可能給系統帶來難以估量的巨大損失。 　　
　　密鑰管理是一門綜合性的管理技術，她涉及到密鑰的生成、分配、傳遞、保管、使用、備份、恢復、吊銷、銷毀、更換等內容內容。
　　1、一卡通系統對密鑰管理系統的要求 　　
　　根據一卡通系統的特點，我們可以提出在系統中建設密鑰管理子系統的原則：
　　 （1） 密鑰與使用人隔離；
　　 （2） 管理嚴密，使用方便；
　　 （3） 出現問題可追溯；
　　 （4） 主密鑰不能出現在傳輸路徑上或保留在未經認證的終端設備中；
　　 （5） 存放的密鑰不能讀出；
　　 （6） 符合建設部規范；
　　 （7） 按照中國人民銀行金融規范進行設計；
　　 （8） 密鑰的儲存、傳輸等均采用國密辦指定的商用產品；
　　 （9） 密鑰系統的設計按照設計、生產、應用互不關聯性的原則進行，不但從技術上確切保證用戶的安全性，更保證了用戶的自主性，使用戶在今后的系統擴展中不再受制于系統開發商；
　　 （10） 使用已經完善的算法體系； 　　

　　2、一卡通系統中的密鑰管理子系統的基本功能
　　 * 密碼生成和注入；
　　 * 密碼分發和保管；
　　 * 密碼的傳輸；
　　 * 密碼的使用；
　　 * 密碼的選用、控制及更新；
　　 * 密碼的銷毀；

　　3、密鑰的生成 　　

　　盡管密鑰生成已有成熟的理論與基礎，但為了保證密鑰的安全和防止泄露，在密鑰生成時，應采取以下措施：
　　a）密鑰生成時，應采取多人輪換操作生成的方式，或采用硬件加密的方式；
　　b）要嚴格保證密鑰生成環境的絕對安全；
　　c）應該對參加密鑰生成的人員有嚴格的審查，完全符合系統的安全管理規定；
　　d）密鑰生成過程必須按照嚴格的操作規程，逐步進行，對一些需要封存的數據，要現場封閉，做好安全移交；
　　e）對于無需重復生成的密鑰，要使用隨機過程，真正生成不可重復的密鑰；對于可重復生成的密鑰，要注意密鑰變換的可重復性，以便需要之時，保證能重復生成與原密鑰絕對相同的密鑰。
　　f）對于已經生成的密鑰要馬上存放到CPU母卡上，保證不會泄露；
　　g）盡可能是在一個封閉的、有限的環境中生成密鑰；
　　h）密鑰生成完后，要把所有的臨時結果全部清除干凈。

　　4、密鑰的傳遞、保管 　　

　　密鑰的傳遞應采用層次方式，由上往下，逐級傳遞，亦即由上一級按照特定的方式生成下一級所需的各種子密鑰，密鑰的傳遞和保管依靠CPU卡形式逐級進行。 　　
　　利用CPU卡進行密鑰的傳遞和保管是一項十分成熟的技術，CPU卡的COS操作系統有非常規范的對密鑰進行操作的指令系列，使用者只要采用經認證的COS系統，相信這一步是容易實現的，但必須注意在密鑰的導出時，必須采用密文方式，以保證密鑰的安全。 　　

　　5、密鑰的控制、選擇、應用 　

　　密鑰的正常使用，就是使用者按照系統設計方案對密碼進行操作，為使用者提供對敏感信息的加解密以及身份認證等多項功能，這些都是通過CPU卡來進行，因此CPU卡COS操作系統仍然是十分重要的安全工具。 　　

　　由于系統的不斷發展，即便是同樣的操作，使用的密鑰（密種）是可以不同的，這就是密鑰的版本控制，在密鑰管理系統的設計以及今后的應用中，必須考慮這種情況的發生，應該有一套完善、清晰的關于密鑰版本選擇、應用的解決方案。 　　

　　6、密鑰的更新 　　

　　當密鑰的生命周期結束，或者是系統密鑰被泄露后，系統應該有進行密鑰更新的能力，以便保護系統的敏感信息不再被泄露。密鑰的更換必須以不損害持卡人的利益、不影響持卡人正常使用為前提，同樣密鑰的更新過程必須保證不會影響到這個系統的安全性能，這些要求對設計者來說確實是一個重大挑戰。 　　

　　密鑰的更新可以視作為：一旦發生密碼泄露的災難事件后的應急恢復措施。密鑰的更新有兩種做法：替換和更換。 　　
　　 （1）替換——在考慮到密鑰有可能被破譯或者經過一段使用時間以后需要更換等特點，在系統密鑰生成之時，我們就生成多組互不關聯的密鑰組，在卡片初始化時預先安裝于卡內，一旦其中一套由于各種原因被停用后，可以馬上啟用另外一套，保證系統能不間斷地運轉。當前那一套密鑰在有效使用，是通過卡內、設備中的“密鑰版本標識”來指示，以便它們相互間的認證。替換的過程是簡單的：一旦系統需要更換密碼組，我們需要對所有的POS機中的“密鑰版本標識”進行設置，經過設置后的設備，在新舊密碼更替的周期內，對前來交易的卡片首先判斷該卡片使用的密碼版本，如果已經是新的密碼版本，就繼續操作；如果卡片仍然使用的是舊的密碼版本，在確認該卡片的合法性后，馬上對卡片的“密鑰版本標識”進行更新，然后再按新的密碼體系對卡片進行操作，密碼的更換就是這樣在用戶的不知不覺中進行了替換。 　　
　　（2）更換——停止現行的密碼的使用，重新生成新的密鑰組，再重新下載到各設備、卡片中。這一過程的最大難點是新密鑰是如何才能安全傳輸到各設備和卡片中，這里涉及的是密碼的安全傳輸，和密碼更改真實性的確認。特別是對于那些大型的系統，為了實現快速的密鑰更換，有可能需要采用網絡進行新密鑰的傳輸方式，為保證密鑰傳遞的安全，就必須引入非對稱性密鑰的加密算法（如RSA、ECC等），使得操作者能對發送或接收者身份的進行確認，同時又能確保信息自身的保密性，實現真實性、完整性的控制。 　　
　　更換密鑰對于CPU卡作為票卡的情況來說是容易的，但對于邏輯加密卡作為票卡的情況來說，把密鑰的更換工作放于普通的車載收費機中去實現是不安全的（理由與上述的分段收費的情況類似），它只能在充值點這種安全的環境中才能實現，這與上面所說的不影響持卡人的使用的前提是矛盾的。因此采用更換的方法影響面很廣，應慎重考慮。

五、 設備安全性 　　

　　在公交一卡通系統中，各類IC卡設備，特別是車載類POS機設備，分散于各輛汽車上，流動性大，是破壞者最易于攻擊的另一個目標，為了保證其安全為了保證其安全，系統在設計時除了對信息處理有嚴格安全規范外，在設備的結構上，電路控制板上也應采取相應的措施：
　　（1） 按照建設部的規范，我們必須采用安全性能極高的安全存儲模塊（SAM卡或模塊），它必須是符合建設部、中國人民銀行的規范，同時應該是得到這些部門認證的。
　　（2） 機器內數據的存放是一式兩份，最大限度地保證機器的數據的完整性。
　　（3） 存放于機器內的數據最好是被加密的，以防被盜；
　　（4） 存放于機器內的數據一定是有校驗碼，以確保數據的不可更改性；
　　（5） 機器在執行完任一操作后，都應忠實地把情況記錄下來，以便必要時能對機器的使用情況進行追蹤；
　　（6） 對于初始化機、售卡充值機：它們除了有上述的性能外，在對使用人員的控制上，還應加入“操作員身份證卡”的方法，即每個合法的操作員均有一張CPU卡作身份驗證，里面放置該人員的信息、密碼，操作時只有經過驗證是合法的CPU卡才能從中獲得進門的密鑰；該CPU卡同時還存有對售卡充值金額等方面進行適當限制的信息，防止身份證的惡性“丟失”，每張CPU身份證卡，要定期到控制中心進行“更新”確認。
　　（7） 所有設備的工作流程要按建設部的規范實施。
　　（8） 設備應有較大的黑名單數據容量。

　　六、 系統的其它安全性

　　　1、網絡安全
　　　（1） 任何在網上傳輸的信息都是已加密的，系統實現了應用層的保護。
　　　（2） PC機與IC卡讀寫器間的通訊有嚴格的接口規范，它們之間具有動態的識別、加密傳輸功能，實現了包傳輸的加密，任何偵聽、加插、偽造的操作都是無效的。這些措施也是金融IC卡進行身份驗證和數據保密傳遞的技術。
　　　（3） 傳輸信息與校驗信息一起傳送，可防止信息的非授權更改。
　　　（4） 管理中心在收到信息后，要在數據庫中檢查正確后才能入庫，防止信息的重復投遞。 　　　（5） 身份權限的控制：實行嚴格的密碼管理制度，每個在系統上工作的人員都有自己的編號和密碼，該密碼對任何人（包括上級人員）均保密。本系統密碼對系統開發者（供貨商）也是保密的
　　　（6） 訪問權限的控制：通過嚴格的安全體系保證系統上的開發者、使用者、發行者之間互相絕緣，各有獨立密碼系統不被別人竊取。
　　　（7） 路由控制：網絡管理中應配備防火墻，路由控制等多重控制，因而任何想通過這些關卡進入網絡中心是極其不易的。
　　　（8） 網絡數據的傳輸采用“下取”的方式：即從各數據匯集點收集到的數據量放在站點機器上，由管理中心（或營運公司計算機室）按照時間分配，自動撥號到這些站點機上進行存取，從而使中心通訊機的使用得到控制。
　　　（9） 為了防止病毒的攻擊，系統設計在網絡上只進行數據的交換，而不進行程序的交換，任何程序的交換都是非法的，這不但是技術的控制，更重要的是行政的管理。

　　2、主機及中心數據庫的安全技術 　
　　中心數據庫是信息匯集的地方，更是攻擊的最終目標，系統采用目前流行的C/S或B/S模式，操作終端和數據中心嚴格分離，只有中心管理員才有權進行數據庫級的操作，客戶端的操作都是通過系統內部指令而進行。 　　
　　系統通過采用先進、可靠、安全、成熟的核心平臺和技術，這些都是可以令人信服地增強系統安全、可靠性的有力措施。 　　
　　按照系統的規定及時進行數據備份，及時互換密碼，在行政的規范管理上保證系統的安全。 　　　系統應建立完善的日志功能，對進入系統的各項操作都進行真實完備的記錄，以便系統今后的追蹤回索。
　　系統中心在處理各類營運信息時，都要對其真實性進行判別（包括解密、校驗碼認證、身份認證等）后才能加入到主數據庫中，其運算量是很大的。因此在中心機房一定要采用一卡通專用的加密機，一方面可以為系統的運轉提供較大的數據處理吞吐能力，另一方面可保證不會泄露有關的密鑰信息，絕對不能把密碼直接存放于計算機中。

　　3、管理制度的完善 　　
　　大家都知道，堡壘是最易從內部攻破的。雖然在一卡通的設計與建設中，我們可以加入很多安全技術，確保敵手不易攻破我們的防線。但如果自己內部出現問題，或者破壞者就是操作員，或者是內部人員沒有按規范操作，把敏感的東西向外界泄露等，都會給系統帶來不可估量的損失。因此建立、健全完善的管理體系，加強系統內部人員的管理，也是保證系統安全性的一個重要方面，這方面的例子已經存在很多，是十分值得系統管理者去認真對待的。 　　 　　
　　一卡通系統是一個龐大的系統，系統的安全性還涉及多個方面，仔細分析和總結各方面的情況，將會是一項艱巨而又十分有意義的工作。鑒于本文的篇幅，我們不能一一細談，有興趣的讀者，請與我們公司或與作者聯系，我們愿意把我們的教訓和經驗與大家共享，共同促進我國公交一卡通事業的向前發展。