淺談高校一卡通系統的數據安全
文章出處:http://5052h112.com 作者: 人氣: 發表時間:2011年09月15日
摘要:校園一卡通系統是學院信息化建設中管理信息化的核心項目之一,是數字化校園基礎工程、重要組成部分,是以IC卡為媒介采用計算機、網絡、通信、數據庫和自動識別等技術,在校內實現商務消費、身份識別、綜合查詢和應用的信息化并促進學院管理的科學化和規范化。隨著學院網絡、信息技術的不斷成熟,數字化建設不斷發展,校園卡內的數據安全越來越得到管理人員的注意,使管理員對數據的安全進行深入的研究。本文通過對學院校園一卡通“操作系統Enterprise LinuxAS4+數據庫Oracle9i(雙機)+網絡存儲+第三方系統接口”模式的研究讓大家全面地了解校園一卡通系統整體的安全策略如:校園卡信息安全、系統安全及網絡安全等。
所謂“校園一卡通”,就是在學院范圍內,凡有現金、票證或需要識別身份的場合均采用一卡來完成。在學院內集學生證、工作證、身份證、借書證、醫療證、會員證、餐卡、錢包、電話卡、存折于一卡,實現“一卡在手,走遍校園”的目的,為廣大師生的工作、學習、生活帶來方便,為學院的各項管理工作帶來高效、便捷,既實現了對廣大師生日常活動的管理,又為教學、科研和后勤服務提供了重要信息。數據是校園一卡通系統的最核心部分,它的安全直接影響到整個系統的運行。在數據IC卡中存儲的數據主要包括純粹的數據信息(以數據庫信息最為典型),以及各種功能信息,由人工輸入和系統工作運行兩部分所產生,既是各有關子系統進行相互數據交換、管理過程中產生的歷史記錄,也是一卡通系統運行過程中實現各有關功能的主要依據,有效實施數據機密性保護措施和數據完整性保護措施關系到系統能否正常工作。一卡通系統中數據的安全主要體現在數據庫的安全、數據存儲的安全、操作系統的安全和網絡安全四個方面。
1數據庫的安全
一卡通系統的集中控制體現在提高系統的安全級別,以及對各子系統之間的管理。所有應用程序登陸授權必須通過管理中心的統一授權,提供多種登陸認證方式。一卡通系統設計的目標:基礎信息的完善、全面數據的共享、實現集中控制、一卡通行校園。
1.1校園卡片的選擇
在卡內容的安全上作了周密的校驗和安排,以確保卡內數據的完整和有效性,選用的是PHILIPS公司的Mifare 1射頻卡,該卡是目前應用最廣,市場占有率最高。卡本身有嚴密的密碼管理機制,具有非線性,不可復制。對卡上信息分區存放,重要信息采用雙備份校驗機制。確保數據可靠存放。Mifare 1射頻卡存儲空間大,在一卡通系統中,我們使用一部分空間,存儲基本信息。一卡通系統作為一個可以擴展的、開放性的系統,留有足夠的空間來作為擴展或第三方系統引用,從而保證系統強大的兼容性、擴展性。正常的卡有10萬次的讀寫能力,數據保存能力在10年以上。在使用過程中,如有不正確的使用現象,如折斷、燒壞、強磁場等原因會造成卡使用失效。
1.2數據庫的安全設計
我院校園一卡通系統數據庫采用ORACLE9i企業版,并且數據庫服務器采用了雙機熱備。ORALE9i數據庫特性如下:
(1)Oracle 9i已經改進了電子商務系解決方案的性能,其中針對Java,改進了無用的單元集收集,更好的本地的編譯,增強了對象共享和會話連接,提高了在Java中內置在數據庫中之行的應用程序性能。
(2)Oracle 9i在電子商務應用程序開發平臺方面,針對Java,提高嵌入式Java VirtualMachine(虛擬機)的性能,在Java存儲過程中增加了返回多行紀錄(REFCURSORS)。
(3)Oracle 9i在英特網內容存儲和管理功能上,增加了對interMedia圖像、音頻以及視頻的支持。通過將Java Imageing(JAI,Java高級圖像處理)合并入數據庫并在interMedia中提供對Java Media Framework(JMF,Java媒體框架)的支持,Oracle 9i極大地簡化了新增多媒體格式、處理及提供媒體的功能。除此之外,現在可以通過相關的PL/SQL和Java接口,以原有的方式來存取interMedia的音頻、視頻及圖像媒體處理服務。
(4)Oracle 9i WEB服務器是一個新的基于JAVA、面向服務的框架,它支持英特網應用程序的內容聚合。
對本數據的使用這分為3個級:操作員級、組管理員級、系統管理員級。把上述原始數據進行分解、合并后重新組織起來的數據庫的全局邏輯結構,包括所確定的關鍵字和屬性、重新確定的記錄結構和文卷結構、所建立的各個庫表之間的相互邏輯關系,形成本數據庫的數據庫管理員視圖。
1.3數據庫雙機熱備ROSE的安裝
雙機熱備(雙機容錯)就是對于重要的服務,使用兩臺服務器,互相備份,共同執行同一服務。當一臺服務器出現故障時,可以由另一臺服務器承擔服務任務(我院數據服務器切換近需要30秒),從而在不需要人工干預的情況下,自動保證系統能持續提供服務,雙機熱備由備用的服務器解決了在主服務器故障時服務不中斷的問題。
雙機熱備一般情況下需要有共享的存儲設備,實現雙機熱備,需要通過專業的集群軟件或雙機軟件,我院一卡通數據庫服務器采用的ROSE軟件實現兩臺IBM3650之間的雙機熱備的功能,從而有效保證了數據的安全。
2數據存儲的安全
數據存儲是數據流在加工過程中產生的臨時文件或加工過程中需要查找的信息。數據以某種格式記錄在計算機內部或外部存儲介質上。數據存儲要命名,這種命名要反映信息特征的組成含義。數據流反映了系統中流動的數據,表現出動態數據的特征;數據存儲反映系統中靜止的數據,表現出靜態數據的特征。
我院校園一卡通系統的數據包括:用戶列表(姓名、性別、國籍、身份類別、所屬部門、校園卡號、身份證號等)、表空間列表(我院設計為EXPRESS)、數據表列表(單位部門表、營業部門表、工作區表、銀行轉帳對帳表、余額類型表、卡表、卡片遺失表、財務綜合統計報表、營業報表等)、過程列表(財務綜合統計存儲過程、銀行結算存儲過程、卡,帳戶,金額明細匯總過程、操作員結算匯總存儲過程、第三方增款自動結算操作存儲過程等)、序號列表(帳戶表生成序列、銀行轉帳結帳生成序列、營收報表生成序列、財務綜合統計報表生成序列、操作員綜合明細表生成序列、操作員結帳表生成序列、第三方增款結帳表生成序列等)。
學院校園一卡通數據存儲在網絡存儲NexsanSATABoy里,空間大小為2T(最大支持14T)SATABoy具備了空前的存儲靈活性以滿足用戶的各種需求裝配最新高容量SATA磁盤驅動器的高性能RAID解決方案;包括RAID控制器在內的所有關鍵性組件均為熱插拔且實現完全冗余;獨立的基于WEB界面的NexScan?管理平臺可簡單直觀地對系統進行配置,任何標準的WEB瀏覽器均可對其進行監控;NexScan可通過單一的GUI來遠程管理和配置多臺陣列;支持動態熱備磁盤池或專用熱備磁盤、提供陣列自校驗;每個控制器最高支持32個LUN;通過具備軟件可重構FPGA功能的Nexsan專業RAID引擎,SATABoy可靈活地通過使用可靠的熱插拔大容量驅動來實現更大存儲容量;高容量/高密度的SATABoy在僅3U的機架空間內最多可裝配14塊硬盤驅動器;陣列可被設置為RAID 0、1、1+0、4、5和6;獨立于操作系統,無需特殊軟件驅動程序支持,便可連接至任何主機系統;配備光纖通道和iSCSI連接,以提供更加靈活的配置。
3操作系統安全性
校園一卡通系統平臺建設采用的語言為跨平臺的JAVA語言,與數據庫的連接方面采用的方式是H I B E R N A T E的O/RMAPPING技術,不用系統的集成數據交換采用Web Server技術,數據的格式是XML形式。校園一卡通系統支持Unix/Linux/windows2000x系統操作系統平臺,學院校園一卡通系統應用平臺和數據庫平臺都采用了紅帽Enterprise Linux AS4的操作系統,廣泛支持了HP-UX/Sco-Unix以及Linux平臺,使系統的安全性、穩定性和可擴展性得到了提高。
在提示分區選擇時,請選擇手工分區。數據庫服務器建議分5個區。分別掛載在boot、swap、/、/var和/opt下。
boot:需要100M。安裝linux的引導程序。
swap:的大小要根據內存的大小來設定,通常設置為內存的兩倍。例如:1G的內存,需要把swap設置為2048M。
/:需要20G。操作系統的軟件包和一些其他的應用程序都安裝在/掛載點下。
/var:不能少于10G。存放操作系統和其他應用程序日志。
/opt:一般來說剩余的磁盤空間都可以給它,但要注意:最小應不能小于10G。它存放J2EE容器軟件和一卡通平臺軟件。
防火墻和端口的設定,在安裝過程提示是否安裝啟用防火墻,請選擇啟用防火墻。安裝結束后,登錄X w i n d o w s。在Xwindows下打開一個終端窗口,執行命令:
#/usr/bin/system-config-securitylevel
出現下面窗口,在最下面的輸入框中填寫“:1098:tcp,8080:tcp”;同時選中SSH復選框。
4網絡的安全設計
網絡硬件是校園一卡通系統的重要組成部分,是一卡通系統應用軟件系統運行的基礎物理平臺。一卡通網絡系統構架方式主要有:一卡通專用網絡和一卡通虛擬局域網兩種。根據學院校園一卡通系統數據類型、數據流量、峰值分析等方面分析結果如下:
數據類型:在一卡通應用系統中,應用分為商務消費和身份識別兩大類,數據也來源于此,通過統計分析可知大量數據屬于商務消費數據如:售飯、控水、機房、購電等產生的消費流水交易數據,其他數據來源于身份識別類應用。
峰值分析:流程數據主要由商務消費系統產生,所以交易峰值由此引發,根據學院的管理模式,數據流量趨勢特點明顯即:每日出現四個峰值并且集中在一個小時內完成。
數據量計算:我院以持卡人為4萬人的數據進行數據量計算,以便得出用于系統設計的范圍,基礎數據:預計平均持卡消費8次/每日,消費人數90%計算,每筆消費流水記錄大小平均為100字節;—流水記錄為4萬×6×90%=21.6萬條,數據量為:21.6萬×100字節/條流水=21.6MB,系統每小時處理流水21.6萬條即:3600條/每分鐘,60條/每秒。
5結語
校園一卡通系統的建設,首要目的是方便全院師生在校園內的各項活動,使在校內的所有消費、繳費等行為變得簡單易行,身份識別準確安全,數據收集全面、統一;其次,在學院內形成統一管理的信息平臺,促進學院校園信息化的建設,構建優良的數字空間和信息共享環境,進一步實現教學資源數字化、數據傳輸網絡化、用戶終端智能化、結算管理集中化。尋求切實可行的數據安全解決方案是高校實際建設過程中的首要任務。
參考文獻
[1]趙松濤編著.Oracle-9i中文版基礎教程,人民郵電出版社.
[2][美]Marlene Theriault,Rachel Carmichael,James Viscusi《Oracle9i DBA基礎教程》, 機械工業出版社.
[3]《西安翻譯學院校園一卡通系統設計方案》.沈陽寶石科技.
[4]姜寧康,時成閣,編著.《網絡存儲導論》清華大學出版社.
[5]《CCNA:計算機網絡》人民郵電出版社.
【稿件聲明】:如需轉載,必須注明來源和作者,保留文中圖片和內容的完整性,違者將依法追究。