文 /王海濤 楊樹(shù)春 王義 李穎

安全風(fēng)險(xiǎn)

校園一卡通系統(tǒng)運(yùn)行在校園網(wǎng)上，以IC卡為信息載體，實(shí)現(xiàn)了持卡人在身份允許范圍內(nèi)進(jìn)行消費(fèi)支付、身份認(rèn)證等諸多日?；顒?dòng)的信息化。對(duì)于傳統(tǒng)校園一卡通系統(tǒng)而言，其安全風(fēng)險(xiǎn)主要集中在卡片的安全性、數(shù)據(jù)的安全性?xún)蓚€(gè)方面，這些安全風(fēng)險(xiǎn)已經(jīng)通過(guò)一定的技術(shù)和管理措施進(jìn)行有效控制。校園一卡通系統(tǒng)增加支付寶的充值業(yè)務(wù)的安全風(fēng)險(xiǎn)，具體體現(xiàn)在數(shù)據(jù)傳輸安全、數(shù)據(jù)安全和網(wǎng)絡(luò)鏈路層面安全風(fēng)險(xiǎn)等幾方面。

數(shù)據(jù)傳輸?shù)陌踩?/h3>

校園一卡通系統(tǒng)基本為封閉系統(tǒng)，在增加支付寶充值功能后，一卡通用戶(hù)與支付寶系統(tǒng)、一卡通系統(tǒng)與支付寶系統(tǒng)、銀行系統(tǒng)與支付寶系統(tǒng)都會(huì)出現(xiàn)數(shù)據(jù)交換行為，這些數(shù)據(jù)信息在網(wǎng)絡(luò)傳輸過(guò)程中，存在數(shù)據(jù)包被人為非法獲取、修改或者數(shù)據(jù)包丟失現(xiàn)象，這些均會(huì)給數(shù)據(jù)的真實(shí)性和完整性帶來(lái)風(fēng)險(xiǎn)。

數(shù)據(jù)的安全性

一卡通系統(tǒng)需要交換的數(shù)據(jù)包括校園用戶(hù)的用戶(hù)信息、一卡通信息、支付寶信息、銀行卡信息等內(nèi)容。校園一卡通系統(tǒng)與支付寶系統(tǒng)進(jìn)行對(duì)接，必然會(huì)在校園網(wǎng)本地增加支付記錄等相關(guān)數(shù)據(jù)，大批量的數(shù)據(jù)在本地存儲(chǔ)，會(huì)形成數(shù)據(jù)庫(kù)存儲(chǔ)的安全隱患。更重要的是，校園一卡通系統(tǒng)所記錄的校園消費(fèi)數(shù)據(jù)是否能夠和支付寶系統(tǒng)的數(shù)據(jù)流吻合，同樣是對(duì)數(shù)據(jù)完整性和安全性的一個(gè)考驗(yàn)。

圖1 校園一卡通充值模式

網(wǎng)絡(luò)的安全性

校園一卡通系統(tǒng)一般運(yùn)行在校園網(wǎng)專(zhuān)網(wǎng)上，實(shí)現(xiàn)的是物理隔離或準(zhǔn)物理隔離。以往校園一卡通網(wǎng)絡(luò)的“開(kāi)口”只針對(duì)于銀行卡圈存。在一卡通圈存方面，由于銀行網(wǎng)絡(luò)是有別于互聯(lián)網(wǎng)的相對(duì)封閉的網(wǎng)絡(luò)，防護(hù)措施相對(duì)成熟、簡(jiǎn)單。支付寶系統(tǒng)完全運(yùn)行在互聯(lián)網(wǎng)上，在支付寶與一卡通網(wǎng)絡(luò)對(duì)接后，形成了一個(gè)一卡通網(wǎng)絡(luò)與互聯(lián)網(wǎng)的出口。由于互聯(lián)網(wǎng)安全防護(hù)的復(fù)雜性，這條網(wǎng)絡(luò)路徑的安全性對(duì)于兩個(gè)系統(tǒng)都至關(guān)重要。如果有未授權(quán)的訪(fǎng)問(wèn)通過(guò)這個(gè)網(wǎng)絡(luò)路徑入侵一卡通系統(tǒng)，將會(huì)給系統(tǒng)帶來(lái)很大安全隱患，兩個(gè)系統(tǒng)的邊界安全，即圖1中的“b-充值”交易環(huán)節(jié)是最主要的安全問(wèn)題節(jié)點(diǎn)。

安全策略

數(shù)據(jù)傳輸?shù)陌踩呗?/h3>

1.在用戶(hù)的瀏覽器和支付寶系統(tǒng)之間，可以通過(guò)HTTPS來(lái)保護(hù)用戶(hù)信息，確保用戶(hù)信息在傳輸過(guò)程中的機(jī)密性和完整性，并且可抵抗重放攻擊，即攻擊者截取用戶(hù)正常數(shù)據(jù)包后重新發(fā)送給網(wǎng)站的攻擊方式。

2.在一卡通系統(tǒng)和支付寶系統(tǒng)之間，制定可靠的數(shù)據(jù)報(bào)文格式，可以通過(guò)DESede加密方式+SHA1withRSA加簽名，在一方接收到另一方的報(bào)文后需要使用相應(yīng)的密鑰進(jìn)行驗(yàn)簽和解密，保證傳輸過(guò)程中數(shù)據(jù)的機(jī)密性、安全性要求。

3.在一卡通系統(tǒng)和支付寶系統(tǒng)之間，對(duì)于由于網(wǎng)絡(luò)中斷或者其他因素引起的數(shù)據(jù)傳輸過(guò)程中的丟包現(xiàn)象，需要系統(tǒng)增加對(duì)數(shù)據(jù)完整性的檢測(cè)，及時(shí)發(fā)現(xiàn)和恢復(fù)丟失的數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行沖正，以保證數(shù)據(jù)的完整性。

數(shù)據(jù)安全的應(yīng)對(duì)策略

1.校園用戶(hù)需根據(jù)自己的實(shí)際需求自主選擇開(kāi)通和關(guān)閉支付寶的“校園一卡通充值”業(yè)務(wù)。對(duì)于開(kāi)通業(yè)務(wù)的用戶(hù)，所輸入的用戶(hù)信息都需要在加密后存儲(chǔ)在專(zhuān)用數(shù)據(jù)庫(kù)中，其中銀行卡號(hào)的加密算法應(yīng)該采用128位強(qiáng)度對(duì)稱(chēng)加密算法，加密密鑰由統(tǒng)一的密鑰管理系統(tǒng)（采用國(guó)家密碼管理局批準(zhǔn)的商用金融密碼機(jī)）進(jìn)行集中管理。

2.對(duì)訪(fǎng)問(wèn)用戶(hù)數(shù)據(jù)的途徑和過(guò)程進(jìn)行有效的控制。只有授權(quán)的數(shù)據(jù)庫(kù)管理員才能登錄數(shù)據(jù)庫(kù)服務(wù)器，其操作過(guò)程會(huì)被記錄到集中的日志系統(tǒng)，審計(jì)人員事后會(huì)對(duì)其操作進(jìn)行審計(jì)；其他人員基于業(yè)務(wù)需要查看數(shù)據(jù)庫(kù)數(shù)據(jù)的，必須提出申請(qǐng)并取得授權(quán)。如果查看的數(shù)據(jù)中包含銀行卡卡號(hào)、身份證號(hào)碼、手機(jī)號(hào)碼等用戶(hù)敏感信息，將被過(guò)濾并不顯示。

3.要確保交易數(shù)據(jù)的安全，數(shù)據(jù)庫(kù)要嚴(yán)格記錄交易的每個(gè)狀態(tài)，以此監(jiān)控和識(shí)別各種交易的情況，進(jìn)行交易風(fēng)險(xiǎn)的實(shí)時(shí)控制，并通過(guò)手機(jī)短信的方式通知校園用戶(hù)。一卡通系統(tǒng)與支付寶系統(tǒng)進(jìn)行每日對(duì)賬，與支付寶系統(tǒng)的交易數(shù)據(jù)進(jìn)行比對(duì)，進(jìn)行一卡通系統(tǒng)數(shù)據(jù)沖正調(diào)整，實(shí)現(xiàn)交易數(shù)據(jù)的準(zhǔn)確性。

4.用戶(hù)在網(wǎng)上支付的過(guò)程中應(yīng)該為自己的網(wǎng)上支付賬戶(hù)設(shè)定特別的高安全級(jí)別的密碼并定期更換，最好還要通過(guò)支付平臺(tái)的實(shí)名認(rèn)證措施，并使用數(shù)字證書(shū)、第三方證書(shū)、手機(jī)動(dòng)態(tài)口令等安全產(chǎn)品，以保證傳遞信息的真實(shí)性、完整性和有效性。

5.數(shù)據(jù)中心及時(shí)進(jìn)行數(shù)據(jù)文件的備份，以便在出現(xiàn)問(wèn)題后能夠及時(shí)恢復(fù)?？梢酝ㄟ^(guò)磁盤(pán)陣列、雙機(jī)熱備份等途徑進(jìn)行多重備份，以提供足夠的數(shù)據(jù)冗余。

網(wǎng)絡(luò)安全性策略

1.校園一卡通系統(tǒng)應(yīng)該與外圍網(wǎng)絡(luò)進(jìn)行有效隔離。在網(wǎng)絡(luò)設(shè)計(jì)上，可以通過(guò)VPN技術(shù)或VLAN技術(shù)構(gòu)建一卡通網(wǎng)絡(luò)邊界隔離措施，數(shù)據(jù)在加密后按照VLAN的隧道協(xié)議進(jìn)行封裝、傳輸，保障相關(guān)通信鏈接的安全性。

2.一卡通系統(tǒng)與支付寶系統(tǒng)之間應(yīng)該建立一條惟一的網(wǎng)絡(luò)通路。通過(guò)采取數(shù)據(jù)身份認(rèn)證、傳輸過(guò)程中增加MAC驗(yàn)證等方式確保數(shù)據(jù)來(lái)源的惟一性；也可以通過(guò)防火墻、路由器的設(shè)置，利用路由器中的訪(fǎng)問(wèn)控制過(guò)濾策略實(shí)行對(duì)網(wǎng)段和主機(jī)的訪(fǎng)問(wèn)控制；利用防火墻的訪(fǎng)問(wèn)控制功能，對(duì)訪(fǎng)問(wèn)進(jìn)行授權(quán)分析，限制未授權(quán)的應(yīng)用接入系統(tǒng)，確保所有的訪(fǎng)問(wèn)都是正常的、預(yù)設(shè)的安全訪(fǎng)問(wèn)。

3.支付寶系統(tǒng)的對(duì)接服務(wù)器應(yīng)設(shè)置在校園網(wǎng)內(nèi)部，通過(guò)網(wǎng)絡(luò)直連實(shí)現(xiàn)與一卡通系統(tǒng)服務(wù)器的對(duì)接。如無(wú)法在校園網(wǎng)內(nèi)部署支付寶系統(tǒng)的服務(wù)器，在有條件的情況下通過(guò)專(zhuān)用線(xiàn)路實(shí)現(xiàn)對(duì)接。

4.利用校園網(wǎng)絡(luò)性能監(jiān)控平臺(tái)實(shí)時(shí)監(jiān)測(cè)一卡通系統(tǒng)的網(wǎng)絡(luò)運(yùn)行狀況，通過(guò)系統(tǒng)日志分析網(wǎng)絡(luò)的行為，或啟用入侵檢測(cè)系統(tǒng)來(lái)加強(qiáng)相應(yīng)的網(wǎng)絡(luò)行為監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)影響系統(tǒng)網(wǎng)絡(luò)安全的行為。同時(shí)，服務(wù)器需要建立有效的防病毒體系，定時(shí)進(jìn)行升級(jí)更新，有效阻止非法入侵。