校園一卡通系統(tǒng)的安全管理

1校園一卡通系統(tǒng)架構(gòu)隨著我國信息產(chǎn)業(yè)的快速發(fā)展和金融服務(wù)業(yè)的業(yè)務(wù)領(lǐng)域的擴大，金融與金融企業(yè)的聯(lián)盟形式在中國的許多高等教育機構(gòu)中迅速普及。這不僅滿足了學(xué)校提高財務(wù)管理和管理效率的需要，也滿足了銀行擴大金融業(yè)務(wù)和金融服務(wù)業(yè)的需要。提高金融服務(wù)的質(zhì)量。目前校園一卡通系統(tǒng)包含有:注冊與交費系統(tǒng)、校內(nèi)個人消費系統(tǒng)、圈存圈提系統(tǒng)、身份認證系統(tǒng)、綜合查詢系統(tǒng)等功能子系統(tǒng)。系統(tǒng)的核心是校園一卡通系統(tǒng)管理結(jié)算中心,它負責(zé)整個系統(tǒng)的交易處理、管理和維護工作。該中心是一個擴展性強、高性能的校園IC卡交易服務(wù)平臺,提供各種校園交費、消費交易處理功能,交易的監(jiān)控、終端的管理、商戶管理、數(shù)據(jù)管理、日終自動帳務(wù)處理、報表管理等功能。圖1是一個典型的校園一卡通系統(tǒng)結(jié)構(gòu)圖。從圖中可以看出,校園一卡通系統(tǒng)中集成了消費子系統(tǒng)、身份認證子系統(tǒng)和多種校園管理子系統(tǒng),各子系統(tǒng)都須提供標(biāo)準(zhǔn)互聯(lián)的數(shù)據(jù)接口,以保證更大范圍的互聯(lián)和數(shù)據(jù)共享。校園一卡通系統(tǒng)是建立在校園網(wǎng)基礎(chǔ)上的,這是建設(shè)成本、運行成本和安全控制綜合后的必然選擇,而校園網(wǎng)必然與Internet相聯(lián),并且校園網(wǎng)上的用戶性質(zhì)是難以有效控制的。另一方面,在校園一卡通系統(tǒng)上存儲、流動的信息中包含有交費金額、消費金額和余額等重要信息。由此校園一卡通系統(tǒng)的安全控制成為一個不能忽略的問題。下面從校園一卡通系統(tǒng)的自身特點和應(yīng)用環(huán)境出發(fā),詳細討論校園一卡通系統(tǒng)安全控制應(yīng)遵從的相關(guān)條例、技術(shù)標(biāo)準(zhǔn)及安全控制應(yīng)對策略。安全控制涉及三個方面的內(nèi)容:物理安全、網(wǎng)絡(luò)安全和信息安全,本文將不討論校園一卡通系統(tǒng)的物理安全問題,而只討論在校園一卡通系統(tǒng)中矛盾較為突出的網(wǎng)絡(luò)安全和信息安全問題。2主要條例和技術(shù)標(biāo)準(zhǔn)為了保證計算機應(yīng)用系統(tǒng)的安全,構(gòu)建計算機應(yīng)用系統(tǒng)安全防范技術(shù)體系,國家有關(guān)部門先后制定了多個條例,同時為保證金融應(yīng)用系統(tǒng)的安全,中國人民銀行也制定了相關(guān)的計算機信息系統(tǒng)規(guī)范,這些條例和規(guī)范是制定校園一卡通系統(tǒng)的安全控制策略的主要依據(jù)。針對校園一卡通系統(tǒng)面臨的安全威脅,為保證校園一卡通系統(tǒng)的完整性、保密性、抗抵賴性和可用性,在制定校園一卡通系統(tǒng)的安全控制策略時應(yīng)遵從和參照的主要條例和技術(shù)標(biāo)準(zhǔn)如下:a.中華人民共和國國務(wù)院1999.10.7,《商用密碼管理條例》;b.國家保密局2000.1.1,《計算機信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》;c.《信息技術(shù)安全技術(shù)實體鑒別第一部分概述》(GB/T15843.1-1999);d.《信息技術(shù)安全技術(shù)密鑰管理第一部分框架》(GB/T17901.1-1999);e.《信息技術(shù)安全技術(shù)抗抵賴第一部分概述》(GB/T15843.1-1999);f.《計算機病毒防治管理方法》(中華人民共和國公安部令第51號);g.《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(GB17859-1999);h.《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第一、二、三部分》(GB/T18336.1-3——2001)。3網(wǎng)絡(luò)與網(wǎng)絡(luò)安全在系統(tǒng)設(shè)計和規(guī)劃階段,我們要求校園一卡通系統(tǒng)具有可靠的物理安全,并且要求校園一卡通系統(tǒng)運行在安全的網(wǎng)絡(luò)通訊平臺上。但是,實際情況遠非如此。校園一卡通系統(tǒng)面臨的安全威脅是多方面的,首先校園一卡通系統(tǒng)面臨的威脅與網(wǎng)絡(luò)系統(tǒng)密不可分。對于通過金融專網(wǎng)與校園網(wǎng)互聯(lián)提供金融服務(wù)的校園一卡通系統(tǒng),它的網(wǎng)絡(luò)安全技術(shù)要求是非常高的。制定校園一卡通系統(tǒng)的網(wǎng)絡(luò)安全策略應(yīng)以高標(biāo)準(zhǔn)、實用性、適應(yīng)發(fā)展為原則。3.1物理分段和邏輯分段網(wǎng)絡(luò)分段是保證校園一卡通系統(tǒng)安全的一項重要措施,同時也是一項基本措施,其主要目的在于將非法用戶與網(wǎng)絡(luò)資源隔離開,從而達到限制非法用戶訪問關(guān)健信息的目的。網(wǎng)絡(luò)分段有物理分段和邏輯分段兩種方式:物理分段通常是將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層(ISO/OSI模型中的第一層和第二層)上分為若干網(wǎng)段,各網(wǎng)段之間相互無法進行直接通訊。目前,許多種類的交換機都有一定的訪問控制能力,可以非常容易地實現(xiàn)對網(wǎng)絡(luò)的物理分段。邏輯分段則是將整個系統(tǒng)在網(wǎng)絡(luò)層(ISO/OSI模型中的第三層)上進行分段。例如,對于TCP/IP網(wǎng)絡(luò),可把網(wǎng)絡(luò)分成若干IP子網(wǎng),各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接,利用這些中間設(shè)備(軟件、硬件)的安全機制來控制各子網(wǎng)間的訪問。在校園一卡通系統(tǒng)中,可以采取物理分段與邏輯分段相結(jié)合的方法來實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的安全控制,以達到最佳效果。3.2基于網(wǎng)絡(luò)監(jiān)聽和mac的vla虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換)。網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。以太網(wǎng)在應(yīng)用了交換機和VLAN技術(shù)后,實際上轉(zhuǎn)變?yōu)辄c到點通訊,除非設(shè)置了監(jiān)聽口,信息交換也不會存在監(jiān)聽和插入(改變)問題。將以上運行機制應(yīng)用于校園一卡通系統(tǒng)中,帶來的網(wǎng)絡(luò)安全的好處是顯而易見的:信息只到達應(yīng)該到達的地點。因此,可防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過虛擬網(wǎng)設(shè)置的訪問控制,使在虛擬網(wǎng)外的非法網(wǎng)絡(luò)節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。但是,基于MAC的VLAN不能防止MAC欺騙攻擊。采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基于交換機端口。但這要求整個網(wǎng)絡(luò)桌面使用交換端口或每個交換端口所在的網(wǎng)段機器均屬于相同的VLAN。VLAN的劃分方式的目的是保證校園一卡通系統(tǒng)的安全性。因此,可以按照系統(tǒng)的安全性來劃分VLAN,將校園一卡通系統(tǒng)結(jié)算中心的服務(wù)器系統(tǒng)單獨劃作一個VLAN,而將其它子系統(tǒng)劃作一個或幾個VLAN。3.3運用所使用的什么功能校園網(wǎng)接入到公網(wǎng)中,隨之產(chǎn)生了安全問題:來自公網(wǎng)的未經(jīng)授權(quán)的對校園網(wǎng)的存取。當(dāng)網(wǎng)絡(luò)系統(tǒng)通過公網(wǎng)進行通訊時(多校區(qū)情況),信息可能受到竊聽和非法修改。而所謂的VPN(虛擬專網(wǎng))就是利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)。VPN的用戶驗證功能可以禁止未授權(quán)用戶的非法訪問。VPN可以在防火墻與防火墻或移動的客戶端之間對所有網(wǎng)絡(luò)傳輸?shù)膬?nèi)容,采用復(fù)雜的算法進行加密和附上數(shù)字簽名,以保證數(shù)據(jù)的保密性和完整性,使得敏感的數(shù)據(jù)不會被竊聽和篡改。VPN建立了一個虛擬通道,讓各校區(qū)間的使用者感覺是在同一個網(wǎng)絡(luò)上,可以安全且不受拘束地互相存取。現(xiàn)在在很多的銀行、證券系統(tǒng)中使用VPN技術(shù)進行傳輸,具有較高的安全性。利用Internet組建VPN,可節(jié)省大筆的專線費,只需少量的市話費用和Internet費用。同時VPN大大降低了網(wǎng)絡(luò)復(fù)雜度,VPN用戶的網(wǎng)絡(luò)地址可以由學(xué)校內(nèi)部進行統(tǒng)一分配。VPN組網(wǎng)的靈活性簡化了學(xué)校的網(wǎng)絡(luò)管理。VPN提高了整個校園網(wǎng)的互聯(lián)性,為校園一卡通系統(tǒng)在不同校區(qū)間的安全、高效的統(tǒng)一使用打下了良好基礎(chǔ)。4非授權(quán)、篡改及否定校園一卡通系統(tǒng)面臨的信息安全威脅主要有以下幾類:a.信息泄露:普通用戶能夠訪問無訪問權(quán)限的交易信息數(shù)據(jù)。b.假冒身份:無訪問權(quán)限的某用戶、客戶端、服務(wù)端偽裝成有較高權(quán)限的用戶、客戶端、服務(wù)端的身份去訪問校園一卡通系統(tǒng)。c.非授權(quán)訪問:非注冊用戶對校園一卡通系統(tǒng)的訪問。例如:黑客攻擊就屬于非授權(quán)訪問。d.篡改:未獲許可修改校園一卡通系統(tǒng)的信息和數(shù)據(jù),對校園一卡通系統(tǒng)數(shù)據(jù)的完整性進行破壞。e.否認或抵賴:是指數(shù)據(jù)交換的參與者否認其行為。f.IC卡密鑰泄漏:非法人員可偽造IC卡數(shù)據(jù)和卡片,嚴(yán)重威脅校園一卡通系統(tǒng)的正常使用。為了保證校園一卡通系統(tǒng)在存儲、處理、傳輸過程中信息、數(shù)據(jù)的完整性、保密性,根據(jù)校園一卡通系統(tǒng)承受的威脅和數(shù)據(jù)的重要性,參照國內(nèi)外安全標(biāo)準(zhǔn),根據(jù)國內(nèi)外信息安全技術(shù)的發(fā)展?fàn)顩r,并結(jié)合校園一卡通系統(tǒng)的安全現(xiàn)狀,可定義校園一卡通系統(tǒng)的安全功能技術(shù)要求為以下幾類,即標(biāo)識與鑒別、抗抵賴、訪問控制、數(shù)據(jù)完整性保護、數(shù)據(jù)保密性保護、密鑰管理。4.1標(biāo)識和鑒別技術(shù)標(biāo)識與鑒別用于對主體身份的真實性進行鑒別,并使用唯一的標(biāo)識表示主體。標(biāo)識和鑒別是有效實現(xiàn)其它安全功能(如:訪問控制、安全審計等)的基礎(chǔ)。標(biāo)識與鑒別包括應(yīng)用數(shù)據(jù)鑒別、用戶標(biāo)識與鑒別、客戶端標(biāo)識與鑒別、服務(wù)器標(biāo)識與鑒別以及鑒別失敗處理等安全技術(shù)。4.1.1偽造應(yīng)用數(shù)據(jù)用于保證校園一卡通系統(tǒng)中數(shù)據(jù)的真實性,防止應(yīng)用數(shù)據(jù)被偽造。在校園一卡通系統(tǒng)中應(yīng)使用基于對稱加密算法或非對稱加密算法的鑒別機制對消費類交易、交費類交易的應(yīng)用數(shù)據(jù)進行鑒別。4.1.2基于公鑰和靜態(tài)用于對用戶身份的真實性進行鑒別,防止用戶身份的假冒,用戶標(biāo)識與鑒別技術(shù)是在計算機中最早應(yīng)用的安全技術(shù),現(xiàn)在也仍在廣泛應(yīng)用,它是信息安全的一道重要屏障。校園卡交易類應(yīng)用應(yīng)使用基于公鑰技術(shù)和靜態(tài)口令的雙重鑒別機制進行用戶的標(biāo)識與鑒別。POS機具、自助終端與IC卡間通過PSAM卡進行雙向認證。校園卡管理類應(yīng)用可使用基于靜態(tài)口令與公鑰技術(shù)相結(jié)合的雙重鑒別機制進行用戶的標(biāo)識與鑒別。4.1.3客戶端的識別和標(biāo)記用于鑒別客戶端的真實性,防止客戶端的偽造與欺騙。校園卡交易類應(yīng)用可用基于對稱加密算法或非對稱加密算法的鑒別機制鑒別客戶端。4.1.4服務(wù)端的識別和識別用于鑒別服務(wù)端的真實性,防止服務(wù)端的偽造與欺騙。校園卡交易類應(yīng)用應(yīng)具有基于公鑰技術(shù)的服務(wù)器標(biāo)識與鑒別機制。4.1.5不同鑒別失敗次數(shù)的閾值用于防范基于猜測的暴力攻擊。應(yīng)用中應(yīng)定義鑒別失敗次數(shù)的閾值,嘗試次數(shù)超過閾值后,在一定的時間內(nèi)拒絕再次進行相同的鑒別。鑒別失敗的情況應(yīng)作記錄,并作為審計資料的來源。4.2交易類應(yīng)用應(yīng)具有強制性接收抗抵抗抵賴用于防止數(shù)據(jù)交換參與者否認其行為?？沟仲嚢ㄔl(fā)抗抵賴和接收抗抵賴。原發(fā)抗抵賴用于防止信息的發(fā)送者否認曾經(jīng)發(fā)送過的信息。交易類應(yīng)用應(yīng)具有基于非對稱加密算法的強制性原發(fā)證明功能。接收抗抵賴用于防止信息的接收者否認曾經(jīng)接收過的信息。校園卡交易類應(yīng)用應(yīng)具有基于非對稱加密算法的強制性接收證明功能。校園卡管理類應(yīng)用應(yīng)具有接收證明功能。4.3禁止原則禁止訪問控制用于禁止非法用戶訪問校園一卡通系統(tǒng),只允許合法用戶訪問其權(quán)限范圍內(nèi)的信息。訪問控制策略應(yīng)包括以下策略:a.信息擁有者、合法用戶或指定的用戶具有訪問校園一卡通系統(tǒng)信息、數(shù)據(jù)的權(quán)限。例如,使用數(shù)據(jù)庫管理系統(tǒng)的安全帳戶認證機制控制用戶對服務(wù)器的連接,使用數(shù)據(jù)庫用戶和角色等限制用戶對數(shù)據(jù)庫的訪問。b.除了明確允許的權(quán)限其它都是禁止的原則。c.最小權(quán)限原則。用戶應(yīng)只具有完成某項應(yīng)用服務(wù)所需的最小訪問權(quán)限。d.根據(jù)信息的重要性,對校園一卡通系統(tǒng)的所有客體實施合適的訪問控制。4.4數(shù)據(jù)安全的完整性保護數(shù)據(jù)完整性保護用于防止非法修改或破壞校園一卡通系統(tǒng)中數(shù)據(jù)和信息的完整性。數(shù)據(jù)完整性保護包括:存儲數(shù)據(jù)的完整性、傳輸數(shù)據(jù)的完整性和處理數(shù)據(jù)的完整性。存儲數(shù)據(jù)的完整性保護用于數(shù)據(jù)在存儲時的完整性保護。在數(shù)據(jù)存儲時對敏感數(shù)據(jù)增加DAC,在使用數(shù)據(jù)時進行數(shù)據(jù)完整性檢驗。傳輸數(shù)據(jù)的完整性保護用于數(shù)據(jù)傳輸時的完整性保護。在應(yīng)用中可使用數(shù)字簽名技術(shù)或增加MAC字段的方法保證數(shù)據(jù)傳輸?shù)耐暾?。處理?shù)據(jù)的完整性保護用于在發(fā)生異常情況下保證處理數(shù)據(jù)的完整性。各類應(yīng)用都應(yīng)采用回退功能來保證處理數(shù)據(jù)的完整性。4.5數(shù)據(jù)的存儲及保護數(shù)據(jù)的保密性保護用于保證數(shù)據(jù)內(nèi)容不被泄漏和竊取。數(shù)據(jù)的保密性保護包括存儲數(shù)據(jù)的保密性保護和傳輸數(shù)據(jù)的保密性保護。存儲數(shù)據(jù)的保密性保護用于防止存儲設(shè)備中的數(shù)據(jù)內(nèi)容被泄漏或竊取。在校園一卡通系統(tǒng)中可使用訪問控制機制和關(guān)鍵字段加密存儲的方式保證存儲數(shù)據(jù)的保密性,如用戶密碼采用加密存儲。傳輸數(shù)據(jù)的保密性保護用于保護網(wǎng)上傳輸?shù)臄?shù)據(jù)不被泄露或竊取。校園一卡通系統(tǒng)中可對傳輸?shù)臄?shù)據(jù)進行DES加密或使用可信通道保證傳輸數(shù)據(jù)的保密性。并且要使用生存期短的密鑰加密數(shù)據(jù),以保證傳輸數(shù)據(jù)的機密性,最好采用一次一密的加密機制來保證傳輸數(shù)據(jù)的機密性。銀行專用網(wǎng)與校園網(wǎng)間對傳輸?shù)臄?shù)據(jù)應(yīng)使用硬件(加密機)進行加密來保證傳輸數(shù)據(jù)的機密性。4.6進行保密性進行密鑰管理對于保證校園一卡通系統(tǒng)的安全十分重要,如管理不善,非法人員就可能偽造IC卡數(shù)據(jù)、卡片和POS機具,這將嚴(yán)重威脅校園一卡通系統(tǒng)的正常使用。管理對稱加密算法的密鑰和非對稱加密算法的私鑰,應(yīng)圍繞密鑰的保密性進行;管理非對稱密鑰算法的公鑰應(yīng)圍繞公鑰的完整性進行。密鑰管理包括:密鑰的產(chǎn)生、密鑰的存儲、密鑰的分配、密鑰的訪問、密鑰的更新和密鑰的銷毀等。下面以校園卡根密鑰的產(chǎn)生、存儲、訪問等過程為例,說明密鑰管理的要求,圖2中箭頭表示數(shù)據(jù)的流向。首先輸入兩個種子密鑰A和B,兩個種子分別由兩位管理員背對背輸入,以保證種子的安全性和不可復(fù)制性,種子經(jīng)過發(fā)散、加密后再經(jīng)CPUIC卡內(nèi)部計算處理后保存在根密鑰母卡中,同時生成一張根密鑰控制卡,此卡中只保存控制信息而不保存根密鑰信息,其作用是當(dāng)對根密鑰母卡進行訪問時需要對該控制卡進行認證,根密鑰母卡和根密鑰控制卡由兩人分別保存。以保證根密鑰母卡在使用時的雙人制約機制。5解決數(shù)據(jù)安全問題的辦法面對校園一卡通系統(tǒng)安全管理的復(fù)雜性,除了在網(wǎng)絡(luò)設(shè)計、軟件設(shè)計等方面采取安全控制措施外,還必須加強校園一卡通系統(tǒng)的安全管理。在系統(tǒng)的安全控制上,管理無法代替技術(shù),技術(shù)同樣也無法代替管理。許多不安全的因素常常是由管理問題產(chǎn)生的,這是校園一卡通系統(tǒng)安全控制所必須考慮的問題。針對系統(tǒng)安全管理的復(fù)雜程度,安全問題的重要解決辦法就是制訂相應(yīng)的管理制度和相應(yīng)的規(guī)范,并統(tǒng)一地管理和實施這些政策。校園一卡通系統(tǒng)的安全管理主要基于三個原則:a.多人負責(zé)原則,每一項與安全有關(guān)的活動,都必須