校园智能一卡通系统解决方案.doc

深圳博思凯电子 智能停车场系统、智能一卡通厂家 深圳市博思凯电子有限公司深圳市博思凯电子有限公司 4 40 00 0- -6 61 16 6- -7 72 22 28 8 bosk 校园智能一卡通系统校园智能一卡通系统 深圳博思凯电子 智能停车场系统、智能一卡通厂家 目目 录录 第第一一章章 引引言言. .8 8 1.1 数字化校园.8 1.2 校园管理一卡通系统简介10 第第二二章章 x xx xx x 校校园园卡卡系系统统需需求求分分析析. .1 11 1 2.1 系统建设原则12 2.2 系统的建设目标12 2.2.1 建立一体化的“校园卡”系统平台.12 2.2.2 实现“一卡在手，走遍校园”.12 2.3 系统的设计要求12 2.3.1 系统总体要求.12 2.3.2 系统功能要求.13 2.3.3 系统性能需求.14 第第三三章章 系系统统总总体体设设计计. .1 16 6 3.1 系统设计目标.16 3.2 系统设计原则.16 3.3 设计依据18 3. 4 系统总体架构设计.18 3.4.1 系统架构思想18 3.4.2 系统总体拓扑19 3.4.3 各子系统功能设计20 3.4.4 系统总体设计的其他考虑25 第第四四章章 校校园园卡卡管管理理中中心心设设计计. .2 27 7 4.1 校园综合信息管理系统概述.27 4.2 校园卡管理中心结构示意图.29 4.3 数据中心设计.29 深圳博思凯电子 智能停车场系统、智能一卡通厂家 4.3.1 数据库设计29 4.3.2 主机规划及选型30 4.3.4 中心数据机房规划30 设计依据30 b 级机房的安全分类及设计指标31 设计概要32 机房总体规划32 装修设计33 机房消防系统34 电气设计34 防雷、接地系统34 不间断电源35 4.4 校园卡帐务中心设计.35 4.4.1 系统功能介绍35 4.4.2 系统配置说明39 4.5 校园卡卡务管理中心设计.40 4.5.1 系统功能介绍40 4.5.2 系统配置说明45 4.6 校园卡身份验证系统设计.46 4.6.1 系统概要.46 4.6.2 体系结构.46 4.6.3 功能介绍.47 4.6.4 统一身份认证与其他业务系统整合.49 4.7 校园卡应用规划设计.50 4.7.2 综合查询应用系统介绍50 4.7.3 消费类交易应用51 4.7.4 综合前置系统介绍51 第第五五章章 应应用用系系统统设设计计. .5 52 2 5.1 食堂消费管理子系统.52 深圳博思凯电子 智能停车场系统、智能一卡通厂家 5.1.1 系统功能概述52 5.1.2 系统结构示意图52 5.1.3 系统功能及特点53 5.1.4 系统配置说明57 5.2 水控子系统.58 5.2.1 系统功能概述.58 5.2.2 系统功能特点.58 5.2.3 系统配置.59 5.2 商户收费子系统.59 5.2.1 系统功能概述59 5.3 图书借阅管理与收费、通道系统.60 5.3.1 系统功能概述60 5.3.2 系统结构示意图60 5.3.3 系统功能介绍61 5.3.4 系统配置说明61 5.4 医疗管理与收费系统.62 5.4.1 系统概述.62 5.4.2 系统结构示意图.62 5.4.3 系统功能.62 5.6 机房管理子系统.63 5.6.1 系统功能概述63 5.6.2 系统结构示意图64 5.6.3 系统功能介绍64 5.6.4 系统配置说明68 5.7 考勤管理子系统.69 5.7.1 系统功能概述.69 5.7.2 系统结构示意图69 5.7.3 系统功能介绍.69 5.7.4 系统配置说明71 深圳博思凯电子 智能停车场系统、智能一卡通厂家 5.8 学生宿舍电控子系统.72 5.8.1 系统功能概述.72 5.8.2 系统结构示意图.73 5.8.3 系统功能介绍.73 5.8.4 系统配置75 5.9 校园机动车停车收费管理系统.76 5.9.1 系统概述.76 5.9.2 系统结构.76 5.9.3 系统功能介绍.76 5.9.4 系统配置.77 5.10 校园卡管理信息综合查询系统.78 5.10.1 系统功能概述78 5.10.2 校园卡综合查询一体机(多媒体自助终端).78 5.11 教务管理系统接口.79 5.11.1 系统结构示意图79 5.11.2 系统功能介绍80 5.11.3 系统配置说明81 5.12 一卡通 web 服务平台.81 1.系统概述.81 2.系统结构.82 3.系统功能.82 5.13 校园电话服务平台83 1.系统概述.83 2.系统功能.85 3.系统配置.86 5.14 系统其他扩展应用.87 5.14.1 硬件设备扩展应用.87 5.14.2 软件系统的扩展应用.87 第第六六章章 校校园园卡卡设设计计. .8 88 8 深圳博思凯电子 智能停车场系统、智能一卡通厂家 6.1 校园卡选型mifare 非接触式 ic 卡.88 6.2 卡数据结构设计.91 6.3 卡安全性考虑.92 6.3 校园卡密钥体系设计93 6.3 校园卡其他安全设计94 第第八八章章 系系统统安安全全性性设设计计. .9 95 5 8.1 概述.95 8.2 主机安全性设计.96 8.3 网络安全.96 8.3.1 防火墙设置96 8.3.2 路由器设置97 8.3.3 入侵检测、漏洞扫描系统的建立97 8.3.4 防病毒体系构建98 8.4 应用系统安全.98 8.4.1 数据存储安全99 8.4.2 数据的容灾备份与恢复100 8.4.3 数据传输安全103 8.4.4 用户安全105 8.4.5 系统审计106 8.5 运行安全.107 8.5.1 安全管理规范.107 8.5.2 人员管理机制.108 8.5.3 物理设施的管理109 8.5.4 安全审计管理110 8.5.5 安全恢复管理110 第第九九章章 系系统统专专用用设设备备简简介介与与优优势势. .1 11 11 1 9.1 非接触式 ic 卡消费 pos 机简介 111 9.1.1 功能介绍111 深圳博思凯电子 智能停车场系统、智能一卡通厂家 9.1.3 安全性.113 9.3 发卡器和读写卡器简介.114 9.3.1 主要性能114 9.3.2 功能（与 pc 端软件配合 ）.115 9.4 考勤门禁机简介.115 9.4.1 性能特点115 9.4.2 产品特点.116 9.5 数据采集器.116 9.5.1 主要功能117 9.5.2 特点117 5、统配置清单119 第第十十章章 技技术术支支持持及及服服务务. .1 12 20 0 10.1 售前服务120 10.2 技术支持120 10.3 售后服务120 第第十十一一章章 系系统统报报价价. .1 12 21 1 客户案例及说明124 第十一章 系统报价149 一卡通部分客户案例151 相关资质及证明154 深圳博思凯电子 智能停车场系统、智能一卡通厂家 第一章第一章 引言引言 1.1 数字化校园数字化校园 1990 年由美国克莱蒙特大学教授凯尼斯格林（kenneth green）发起并主 持的一项大型科研项目“信息化校园计划” （the campus computing project） ， 是数字化校园的概念最早出现。 1998 年 1 月 31 日，美国前副总统戈尔(al gore)在美国加利福尼亚科学 中心发表了题为“数字地球：二十一世纪认识地球的方式（the digital earth: understanding our planet in the 21st century） ”的演讲，最先提出“数字地球”概 念，全世界普遍接受数字化概念，引出“数字城市” 、 “数字校园”等各种概念。 “数字化校园”是一个概念；数字化校园也是一个工程；数字化校园是 学校未来的一个标准；数字化校园更是一种文化，其思路就是我们利用先进 的信息化手段和工具，实现从环境（包括设备、教室等） 、资源（如图书、讲 义、课件等）到活动（包括教、学、管理、服务、办公等）的全部数字化 （这是一个漫长的过程） ，在传统校园的基础上构建一个数字空间,以拓展现实 校园的时间和空间维度，提升传统校园的效率，扩展传统校园的功能，逐步 实现教育过程的全面信息化。从而达到提高教育管理水平和效率的目的。她 所包含的内容有：数字化校园工具、数字化校园应用、数字化校园资源、数 字化校园环境； 数字化校园的特征是： 1、集成化为本质 2、应用为重点 3、服务为核心 4、个性化为主体 5、信息到（用户）桌面 深圳博思凯电子 智能停车场系统、智能一卡通厂家 数字化校园系统结构数字化校园系统结构: 系统层 数据资源层 操作系统层 基础硬件层网络 主机存储 unixlinuxwindowssolaris 文件服务目录服务数据库 应用平台 异构数据集成 webftpemail媒体服务 安全/授权工作流引擎信息服务 应用层 管理系统教学科研系统公共服务系统 门户层门户接入(protal) 办 公 业 务 系 统 人 事 业 务 系 统 财 务 业 务 系 统 教 务 管 理 系 统 学 生 就 业 系 统 科 研 管 理 系 统 设 备 管 理 系 统 设 备 管 理 系 统 远 程 教 育 系 统 一 卡 通 系 统 学 位 认 证 系 统 档 案 管 理 系 统 社 区 服 务 系 统 数 字 图 书 馆 网 络 管 理 计 费 移动电话internet用户移动计算机 123 456 789 *8# 固定电话 网内用户 在这个系统架构上，可简单概括为:（11n） ，即一个基础平台、一个门 户和 n 个应用系统。 一个基础平台：一个基础平台：解决信息服务多元化问题，解决应用系统之间的数据共享、一致性问 题；它是数字校园的基础，为各个应用系统的集成提供一系列的基础服务，使得各应用系 统之间能够实现数据共享、系统间的应用访问、向用户提供统一的访问接口等。由以下五 部分组成： 应用管理：应用程序管理、用户与角色管理、web 漫游； 数据交换：提供统一的信息视图、数据服务、数据维护； 空间管理：为用户提供统一的虚拟存储空间和空间管理的各种接口与工具 ； 文档管理：提供文档管理的规范、接口与工具； 信息发布：提供模版管理、信息管理与信息发布的工具。 一个门户（个性化门户）一个门户（个性化门户）：将应用集成起来，为用户提供单一访问点的个性化服务； 一个门户是整个数字校园的单一访问点，它给用户提供统一的使用界面，用户进入门户后， 可获得与其身份相称的各项服务。 n 个应用系统：个应用系统：解决业务逻辑和信息服务的需求，是校园信息化建设的支撑。n 个应 用，是指学校中教学、管理的业务系统。业务逻辑复杂，各个应用系统的设计与开发可相 对独立进行，使系统的边界和目标定在有限的范围内，并可根据需要分阶段建设。各应用 系统之间的数据交换由基础平台承担，并提供相应的应用访问接口，各个应用系统之间的 数据共享由基础平台的数据中心完成。 数字化校园特点数字化校园特点: 深圳博思凯电子 智能停车场系统、智能一卡通厂家 “数字化校园”是以校园网和公共数据平台为基础的集教、学、管理、 娱乐为一体的一种新型数字化的工作、学习、生活环境，具有网络化、智 能化和个性化三个主要特点。 网络化：网络化是一种趋势，前期大规模的基础网络建设在这时将产生 深远的影响，所有的工作、学习、生活都将被赋予鲜明的网络特色，可 见这一切都将直接或间接地与 intranet/internet 相连。 智能化：从技术的角度讲，智能化就是自动化，就是通过一系列智能技 术使设备或者系统部分地具有人的智能，从而能够部分地代表人的劳动。 管理工作智能化后，将会提供快捷、多渠道的沟通方式，提供高效的决 策分析工具，从而带来校园管理工作的民主化和科学化；后勤管理智能 化后，将给师生带来人性化、个性化的服务，营造舒适的工作、学习环 境。 个性化：个性化的影响已经越来越大，通过网络，人们可以将自己的需 求发布出去，也可以通过其网站和定制系统获得所有具有相同需求的资 料。可以说，个性化是信息技术所取得的最为伟大的成就之一，数字化 校园为个性化教学开辟了广阔的视野。将学校的主要信息资源的数字化， 并实现数字化的信息管理方式和沟通传播方式，从而形成高度信息化的 人才培养环境，促进主动式、协作式、研究型的学习，从而形成开放、 互动、远程、高效的教学模式，更好地培养学生的信息素养以及问题解 决能力和创新能力。做到适合 xxxxxx 自己的校园网络平台及自己的高水平 管理。 1.2 校园管理一卡通系统简介校园管理一卡通系统简介 非接触 ic 卡“校园一卡通”综合管理系统是“数字化校园”的一个应用 系统。 “校园一卡通”采用了国际上先进的非接触 ic 卡技术,这一系统的推出， 给社会、学校等的管理带来了极大的方便，引起极大的反响。 在学校中,大量人员的证件、档案、考勤、食堂售饭、小额消费、出入控 制、节能管理等都是互不关联的,各部门、系统之间没有相互的联系,造成人力 深圳博思凯电子 智能停车场系统、智能一卡通厂家 和财力的浪费，且工作效率低。非接触式 ic 卡“校园一卡通”管理系统,可以 把学校员工和学生的证件(包括学生证、图书借阅证、出入证等) 、教职员工考 勤、教职员工会议签到、食堂消费、用水管理、机房管理、停车场、游泳池管 理、小卖部消费及其它小金额消费等管理功能综合到一张 ic 卡上,使学校摆脱 繁琐、低效的管理方式式,把更多的精力投入到员工教学工作和学生学习中去 。 【校园一卡通应用领域校园一卡通应用领域】 食堂消费管理 小卖部收费管理 机房上机收费管理 财务管理 澡堂节水控制收费管理 其它收费管理 出入控制门禁系统 学籍管理身份认证系统 校园一卡通综合管理系统 (发卡结算管理中心)人事管理教职员工出勤考勤系统 深圳博思凯电子 智能停车场系统、智能一卡通厂家 会议签到系统 其它身份认证管理系统 车辆进出管理系统 行政管理 巡更防盗系统 深圳博思凯电子 智能停车场系统、智能一卡通厂家 系统安全性设计系统安全性设计 8.1 概述概述 系统安全是整个系统可靠运行和进行安全防范的基石，需要在统一设计的 原则下，在不同的安全层次，在预防、检测和恢复等各个阶段，确保系统持续 稳定运行，防止信息的损坏、泄露或被非法修改，并保证系统平台的安全。 一个完整的安全解决方案应当涵盖系统中所有的用户、网络、主机、应用 服务器以及应用程序，并建立高效、可靠的安全管理策略。 在 xxx 学校一卡通系统中，系统安全分为以下几个部分： 主机安全主机安全 主机安全关系到所采用的主机系统的安全等级，对于用户访问的控制、用 户权限的限制和审计手段的完备性。 网络安全网络安全 网络安全关系到什么人和什么内容具有访问权，查明任何非法访问或偶然 访问的入侵者，防止外来非法入侵和内部攻击，保证只有授权许可的通信才可 以在客户机和服务器之间建立连接。 应用系统安全应用系统安全 应用系统安全包括用户安全、数据存储安全及数据传输安全。用户安全包 括用户的身份识别、用户认证数据的安全存放、用户的权限管理等。数据存储 安全主要依靠数据库的安全存放及访问控制来保证，对于一些敏感信息还要建 立安全隔离的措施以及数据加密存放；数据传输安全包括包括数据保密性、完 整性、来源正确性和不可抵赖性。 运行安全运行安全 为了保证 xxx 学校一卡通系统的运行安全，相关机构必须建立相应的管 理制度，如定期更换密钥，专人管理，机房安全设置等措施。制定周密的防灾 难方案，及时进行故障检测和恢复，并能防治各种病毒。建立定期网络及系统 漏洞扫描的制度，从系统自身查找漏洞，将安全隐患杜绝在萌芽状态。 深圳博思凯电子 智能停车场系统、智能一卡通厂家 8.2 主机安全性设计主机安全性设计 主机是整个系统的核心部分，它的安全指数高不高是客户所关注的首要问 题。主机常见的棘手问题有：数据上传过程中的突然断电导致数据流失、单一 硬盘损坏造成系统瘫痪、自然灾害导致数据丢失、操作员越权操作等。对于这 些问题的解决方法如： 在本系统的中我们推荐使用 veritas 公司的集群软件 veritas cluster server(vcs).在 xxx 学校系统数据库服务器上我们采用两台数据库服务器连接 sun storedge 3310 磁盘阵 列。系统中所有的数据存储在磁盘阵列中。 (1)采用集群技术，使两台 oracle 数据库服务器之间有容错的保障，当一台服务器的硬 件发生故障，或者数据库发生故障时（如服务意外停止后） ，会自动地切换到另外一台服务 上继续运行。 (2)双重心跳，使心跳检测更为安全，并且当一个心跳网卡发生故障时，另外一个网卡具 有冗余作用。 (3)对磁盘阵列柜，设计有两个控制器，免除磁盘柜的单点故障。 (4)对磁盘系统，可以采用 raid 5 或者 raid 1 的技术，保证当硬盘发生故障时系统能继 续工作。同时可以用一块硬盘作为“热交换盘” ，使得当一块硬盘发生故障时，马上可以自 动地替换掉。 采用这多种技术的结合，可以使到 xxx 学校管理系统的应用能达到一个非常高的可用性， 从而使到应用能够持续不断运行。 8.3 网络安全网络安全 由于 xxx 学校一卡通系统的运营特点，大量数据需要在中心管理系统和 消费网点、服务网点之间传递，从网络上保证这些信息的传输安全，同时保证 中心管理系统不受非法用户的入侵是网络设计的一个关键部分。 网络安全包括防火墙技术，入侵检测技术、防病毒技术、信息加密和认证 技术、vpn 技术等。 8.3.1 防火墙设置防火墙设置 虽然在 xxx 学校校园一卡通系统中，以专线的方式连接银行，通过学校 局域网连接各消费和服务网点，但由于系统的服务网络分布范围广、以贴近学 生生活为服务目标，接入网点数量和类型多。为了保证系统的正常运行，防止 未授权用户非法入侵系统内部，同时防止有不法意图的授权用户进入系统后执 行一些非法操作，必须在中心管理系统一侧设置防火墙。 深圳博思凯电子 智能停车场系统、智能一卡通厂家 防火墙采取对来往的 ip 包按照设定的安全规则进行过滤、地址转换、突发 流量监控等多种防御技术，可有效地防止不法用户对内部网络的入侵。 8.3.2 路由器设置路由器设置 cisco 的所有路由器都提供两级密码保护，严格限制使用者对路由器的访问 权限，确保网络设备的安全性。 通过 ciscoios 提供的“访问控制过滤accesslistcontrol/ extendaccesslist control”, 提供网络管理人员对网络资源进行有效安全管理的技术手段，实行对 网段和主机的访问控制。其中 accesslist针对数据包的目的网络地址，通过 ip 地址的过滤，作访问控制，包括网段和主机地址；extendedaccesslist针对 数据包的源地址和目的地址的组合，对网络访问进行访问控制，包括网段和主 机地址；accesscontrollist 是 cisco 路由器在安全方面的重要工具和功能，不仅 可以对不同的端口进行不同的访问控制，同时还可以对不同应用使用不同 tcp 端口进行分类控制。 通过 ciscoios 提供的 extendaccesslistcontrol,针对用户数据包的应用类型， 对网络访问进行控制。例如，在同一台管理信息系统主机上，同时运行 www 应用和电子邮件应用，通过在网络设备上设置控制表，可以控制用户只能访问 www 应用，而拒绝他访问电子邮件应用。 利用路由过滤routingfiltering 技术，限制某些网段的路由往其他网段发布，保证路由信 息只是传输到合适的网络范围，提供网络访问的安全控制。 8.3.3 入侵检测、漏洞扫描系统的建立入侵检测、漏洞扫描系统的建立 防火墙的建立并不等于内部网络就完全安全了，防火墙是处于网络边界的 设备，也存在自己的一些弱点，如对某些攻击保护很软弱且自身可能被攻破； 同时，并不是所有的攻击都来自外部，内部人员对网络的侵入可能对系统运行 构成更大威胁，防火墙对这些内部发起的攻击行为则无能为力。所以在部署网 络防御的同时，还有必要引布署在本地网络的监控设备，即入侵检测设备。 入侵检测设备的目标是识别内部系统网络和数据资源的可疑行为，并对这 些行为做出反应。本方案建议采用安氏中国公司的入侵检测和漏洞扫描系统。 入侵检测系统入侵检测系统 深圳博思凯电子 智能停车场系统、智能一卡通厂家 基于网络的入侵检测系统，安装在被保护的网段中，通过报文监听从网段 中收集数据作为分析的数据基础，分析可疑行为，警告安全管理员或中断攻击 连接，保护网络和系统不受攻击，生成详细报表，为管理员完善安全策略提供 依据。 漏洞扫描系统漏洞扫描系统 internet scan 是相对于网络的漏洞扫描系统，internet scanner 产品的时间策 略是定时操作，它的扫描对象是整个网络。internet scanner 每次扫描的结果可 生成详细报告，报告对扫描的漏洞按高、中、低三个风险级别分类，每个漏洞 的危害及补救办法都有详细说明。用户可根据报告提出的建议修改网络配置， 采取必要措施填补漏洞。 8.3.4 防病毒体系防病毒体系构建构建 防病毒作为网络安全体系中是最基本的，同时，又是非常重要的一部分。 cih、美丽莎以及爱虫等病毒带给企业的损失让我们对防病毒产品的选择越来 越慎重了。 本方案建议采用了全球最大的防病毒软件供应商 symantec 公司的 norton antivirus 产品，来构建内网的防病毒体系。symantec 作为全球十大软件制造商， 其旗舰产品 norton antivirus 是目前世界上市场占有率最高的防病毒产品，在检 测技术、扫描速度、文档修复、软件功能等多方面综合评测中得分最高，多年 来 屡获计算机行业国际性大奖，被评为最好的防病毒产品并获得国家公安部的好 评。该产品不仅适用于不同的硬件和操作系统平台，更将病毒保护、系统维护、 资料整合、资料管理及桌面导航应用程序等功能有机地融为一体，有效地提高 了用户的工作效率和系统安全性。 8.4 应用系统安全应用系统安全 在 xxx 学校一卡通系统中，我们需要从以下几个主要方面考虑应用系统的安全： 数据存储安全 数据传输安全 深圳博思凯电子 智能停车场系统、智能一卡通厂家 用户安全 系统审计 本章节从以上几个方面出发，具体介绍在 xxx 学校校园一卡通系统所采 用的应用系统安全措施。 8.4.1 数据存储安全数据存储安全 在系统总体结构中已经阐述，xxx 学校校园一卡通系统的管理和结算数据 存放在数据中心主机，数据存储的安全主要围绕数据中心主机展开，数据内容 包括存放在数据库内的信息和存放在文件系统的数据文件信息。 数据存储安全主要讨论以下几个方面的内容： 访问控制策略 数据主机与接入消费点服务器的隔离 数据的备份与恢复 访问控制策略访问控制策略 对于数据存储的访问控制策略主要有：（1）最小权益策略最小权益策略：按操作员执行 操作任务所需权力最小化分配权力；（2）最小泄漏策略最小泄漏策略：按操作员执行操作任 务所知道的信息最小化的原则分配权力；（3）多级安全策略多级安全策略：操作员和数据按 普通，秘密，机密，绝密级划分，进行权限和流向控制。 具体到 xxx 学校一卡通系统中，依据以上三种访问控制策略，从各个方 面采取措施保证数据库的安全。 数据中心主机的访问控制数据中心主机的访问控制 为保护数据中心主机上的数据库的安全，首先需要限制能够直接登录到主 机上的人员。一般情况下，除系统管理员以外，应限制其他人员以终端方式或 从局域网上登录到数据中心主机。 系统内部的业务操作人员应通过应用系统设计的系统控制台，给出身份验 证信息后，在个人权限允许范围、通过交易内对数据库或者数据文件进行操作， 从根本上禁止不受控制和审计的对数据的直接操作。 访问控制表和权限表。 将数据库内存储的信息按敏感级别划分，编号存入数据访问控制表中。同 深圳博思凯电子 智能停车场系统、智能一卡通厂家 时注明范围每个数据目标所需要的操作员权限。如数据库中包含详细的交易信 息，以及经过综合的统计信息，级别较高的操作员可以对前者进行操作，而级 别较低的操作员可能只有浏览后者的权限。 将各种对数据库的操作，如一般查询、数据修改，数据删除和备份等，按 重要程度划分，编号存入操作访问控制表。同时注明能够执行每个操作所需要 的操作员权限等级，对其中某些关键操作标明需要主管或更高级别操作员许可。 设立操作员权限表，将系统内部的操作员进行划分，将每个人的数据访问 权限和操作权限记录在表中。 在实际使用当中，以上的访问控制表和操作员权限表构成访问控制矩阵， 在技术上提供了有效地数据库安全保证，起到阻止非法用户进入系统，允许并 为合法用户进入系统提供方便，使合法用户按其权限，进行各种信息活动。 敏感数据的加密存储敏感数据的加密存储 敏感数据不能以明文存放在数据库中，通过硬件加密机加密以密文方式存 放在数据库或者数据文件中。 外部消费点服务器与核心数据库服务器的隔离外部消费点服务器与核心数据库服务器的隔离 数据中心与数据采集点、消费和服务网点的信息传递范围局限于应用服务 器和接入终端之间，任何接入终端都不能直接访问数据库服务器。 当应用服务器收到网络上传递的提供信息的消息时，需要对信息提供者的 身份，消息内容的完整性和合法性等进行验证，以保证消息来源的可靠性及消 息未在传输中被篡改，然后再将数据解密，经局域网送给数据库服务器处理。 当应用服务器收到网络上传递的请求信息访问的消息时，同样首先验证信 息访问者身份，消息内容的完整性，然后根据消息请求，应用服务器从数据库 服务器得到所需数据，放在应用服务器的硬盘或内存中（根据访问方式决定） 上，由应用软件控制将信息发送给信息访问者。 深圳博思凯电子 智能停车场系统、智能一卡通厂家 8.4.2 数据的容灾备份与恢复数据的容灾备份与恢复 数据备份的目标： 根据对 xxx 学校管理系统数据备份系统需求的分析可知，本系统当前目标 是实现基于 lan 数据备份方式。确保不影响业务系统的连续不间断运行，无论 发生任何自然灾害或人为灾难时也能够快速恢复业务系统的运行。因此我们在 进行系统规划设计时必须站在全局的高度，进行全面的规划和相关技术分析， 以确保今后系统能够平稳过渡并最大程度保护现有投资。 网络数据备份管理系统构建的重点是建立一套先进的、可扩展的、高性能 的数据备份系统，并制定一套完善、安全、可靠、高效、易管理、可扩展的数 据备份策略。保证备份操作不影响业务系统正常运作。在业务系统遭受非法入 侵、介质破坏、人为误操作等原因引起的数据丢失后，备份系统都能够提供快 速的数据恢复手段。 系统建设的重点应该是备份软件的选型、备份/恢复策略的制定及存储设备选型。 备份软件的选型 我们在 xxx 学校的备份系统建设中，对数据备份软件的选型很重要，选择 备份软件要考虑对 xxx 学校系统的操作系统支持及数据库系统的在线备份问题。 通过国内及国外备份软件的市场使用率比较，veritas 的备份软件是占有主要 备份领域的。对于系统的支持，veritas 公司的备份软件 netbackup datacenter server 有很好的兼容性。所以在 xxx 学校数据备份系统中，我们 建议使用 veritas 公司的备份软件 netbackup datacenter server5.0。 备份方案设计 在这个系统中，我们建议采用集中统一的备份策略管理，通过 backup server，对整个 xxx 学校系统的备份工作进行集中的管理、监控。我们建议用 一台性能较好的 win2000 服务器担当 backup server 的角色。 1本方案建议采用一台 pc 服务器(安装操作系统为 win2000 server)作为 备份服务器（backup server） ，该服务器配置 netbackup datacenter server 深圳博思凯电子 智能停车场系统、智能一卡通厂家 服务器端软件，并直接通过 scsi 通道和存储设备（如磁带库）相连。 nbu datacenter server 是 nbu 备份软件的控制中心，它协调和控制备份所 涉及的所有设备、软件和任务。nbu datacenter server 提供 java 图形管理界 面，通过 java 界面，nbu datacenter 提供包括介质管理、备份设备管理、备 份策略制定、备份和恢复、归档和恢复、备份活动监控、备份设备监控和备份 报表等功能。 2备份系统采用典型的 c/s 结构，有备份需求的 2 台应用服务器在备份系统 中均充当 nbu datacenter server 的客户端，其数据通过网络传送到备份服务 器，由备份服务器将数据备份到存储设备中。 3在 2 台数据库服务器上我们建议利用 nbu datacenter server oracle agent，该软件构成备份软件 nbu datacenter server 和数据库之间的自动备份 通道，可以实现数据库的在线备份。 4配套设备的选择 备份服务器（backup server）需要预留至少一个 scsi 适配卡，用以连接存 储设备。 备份系统设计方案如下： 备份策略的定义 通过对 xxx 学校应用分析，我们制定出 xxx 学校的数据备份策略： 每个月作一次全备份（如周末星期天，并将不同服务器的全备份设置在不 同的时间段） ，每天作一次数据库差分备份（星期一到星期六） ，恢复时，只要 上周日全备份和前一天的差分备份两个备份介质即可。 深圳博思凯电子 智能停车场系统、智能一卡通厂家 数据备份过程 在定义好备份系统资源和策略后，在指定的时间，备份系统就会自动的将 所有应用服务器上的数据通过服务器，采用指定的方式、通过指定的磁带驱动 器（或虚拟磁带驱动器）备份到指定存储介质中。 备份系统对数据库的备份采用的是在线备份，通过 veritas nbu datacenter server 的数据库代理（在本方案中通过 oracle agent） ，我们可以 在不停止数据库运行的情况下，对数据库数据进行备份，包括全备份、差分备 份或者增量备份。这种备份方式，保证了系统的 7x24 小时的运行。 数据恢复 当发生数据损坏时，我们需要从存储介质中恢复数据。 有了 veritas nbu datacenter server，数据的恢复是非常快速和简单的。 通过 nbu datacenter server 管理界面，系统管理员只需要选定相应的数据备 份项目（备份管理目录下的相应的项目名，对应某个时间点备份的某个数据库 的数据，并有说明） ，进行恢复（restore）即可。选择备份项目时，如前所述， 首先选定最近一次全备份进行恢复，然后选定最近一次累计增量备份，最后选 定这次累计增量备份以后的所有增量备份项目，依时间顺序进行恢复即可。 8.4.3 数据传输安全数据传输安全 xxx 学校一卡通系统是由数据中心、消费和服务网点、银行组成的专用广 域网。数据信息的传输可能在网络的不同层次上发生。 这些机构和网点分布在学生生活的各个地方，有各自不同的经营方式和服 务时段，因此，数据中心与它们之间的交易数据的传输也是多种多样的，在数 据传输量、传输发生频率、时间点均有不同。 数据中心、机构和网点由于各自的设备水平不同，使用的加密设备和算法 可能包括数据中心一侧的硬件加密机、用于消费和服务网点 pos 终端的加密卡、 ic 卡中的加密算法等。 对于以上多种多样的传输方式和加密设备，我们在数据传输安全的保证措 施包括：制定统一的安全传输策略；集中的密钥管理中心，负责整个系统各个 深圳博思凯电子 智能停车场系统、智能一卡通厂家 层次的密钥生成、更新和分发；建立传输认证体系，使得参与传输的各方在消 息认证上遵循统一的规范。 数据传输安全主要讨论以下几个方面的内容： 传输安全策略 传输加密和认证 数据采集完整性保证 传输安全策略传输安全策略 不论采取何种安全传输方式，都应当符合以下几个方面的安全策略，以保证信息传递的安 全性。 （1）身份认证身份认证：传输的信息中需要包括信息访问者的身份认证信息，提供对信息访 问者的身份合法性的保证；（2）访问控制访问控制：对防止信息资源被非法使用和操纵的保证； （3）传输数据的保密传输数据的保密：在技术层次上，对传输中的数据进行加密，提供信息不被在传输过 程中泄漏或暴露给未经授权的个人或系统的保证；（4）传输数据的完整性传输数据的完整性：保护数据以防 止在传输过程中未经授权的增删，修改或替代；（5）访问的不可否认访问的不可否认：防止参与某次通信 交换的一方事后否认本次交换曾经发生过。 传输加密和认证传输加密和认证 在数据传输过程中，主要采用对消息中的敏感信息进行加密和 mac 验证 两种方法保证数据传输过程中的保密性、完整性和来源的合法性。 加密密钥加密密钥 参与数据传输的各方所使用的密钥由统一的密钥管理中心负责生成、发放 和更新 加密算法加密算法 系统支持 des 和 3des 算法，des 算法是用于数据加密的一种标准。定义 于美国国家标准局公布的数据加密标准（des）算法 ansi x3.92。采用 64 位 二进制数长的密钥字符。目前为国际、国内常用加密算法。 三重 des 是 des 的一种变形。这种方法使用两个独立的 56 位密钥对交换 的信息（如 edi 数据）进行 3 次加密，从而使其有效密钥长度达到 112 位。该 算法的密钥长度和密钥强度都大大优于 des 算法。 mac 验证验证 报文来源正确性鉴别（mac-message authentication code）是一种判别报 文来源是否正确，以及报文在发送途中是否被篡改的算法。营运公司和清算中 深圳博思凯电子 智能停车场系统、智能一卡通厂家 心在发出消息之前，需按规定的加密算法产生 mac（message authentication code） ，随消息一起发往接收方；接收方在收到消息后，按相同的算法鉴别消 息来源正确性。当且仅当鉴别结果正常时，才进行消息的业务处理。 系统支持数据传输单位之间对重要报文进行报文来源正确性的鉴别 （mac）的验证。算法符合iso8731-1992 approved algorithms for authentication的标准。 文件文件 mac 的计算方法的计算方法 文件的加密需要考虑两方面的特殊情况：文件的非实时性引起的时间间隔， 可能导致数据密钥已经更改。另一方面是数据量较大可能引起的加密时间问题。 因此，对文件的 mac 计算将采用如下方法： 在文件的末尾带上 mac key 和 mac 两个字段。使产生和验证 mac 的数据密钥与时间无关。 将整个文件（不含 mac key 和 mac）以 256 字节为一组分组，结尾不 满 256 字节补二进制 0，使之满足一个组的字节。把各组按位异或构成一个 256 字节的数据块；最后对这个数据块计算 mac 值。 数据采集完整性的保证数据采集完整性的保证 在数据中心一端，通过制定完善的数据备份和恢复策略，采用先进的数据 备份设备和软件工具，配合运行维护方面的规范流程，可以对数据的完整性提 供有效的保证机制。同时在数据传输过程中也采用了 mac 验证方式来确保数 据传输的完整性。 但对于一些用卡环境比较恶劣引起的消费数据采集不完全，部分网点设备 和人员技术水平引起的消费数据丢失等情况，需要应用系统方面增加数据完整 性检测和统计、消费数据的对帐等功能，来发现和恢复丢失的数据。 8.4.4 用户安全用户安全 用户安全主要是进行用户的身份认证、权限控制、安全审计。用户安全的 管理对象是用户、权限角色、系统资源，管理内容是建立三者之间的相互联系 和制约方式，管理基础是系统资源最小管理单元的划分，权限角色与系统资源 深圳博思凯电子 智能停车场系统、智能一卡通厂家 最小管理单元的组合，权限角色和责任用户的组合。 在建立了用户、权限角色和系统资源的规划后，用户安全的主要任务是系 统资源的权限调整，用户权限的分配和收回，三者的状态和使用情况的实时监 控、信息统计和管理。 用户管理用户管理 一卡通系统中，主要的用户分类包括：操作系统用户，数据库用户，应用 系统用户，密钥管理的专用用户。 操作系统用户指个人征信系统所包括的 unix，windows 等计算机平台上的 os 用户，主要是与应用系统程序和数据文件相关的操作系统用户。 数据库用户的设立和权限分配同样采用权限最小化原则，在必要的情况下， 数据库以 audit 方式运行，审计的内容可以包括成功或者不成功的数据访问。根 据审计内容的设置，记录数据库用户的登录、数据修改等活动，并在系统控制 台设计数据库审计信息的显示和统计管理的交易界面。 在应用系统中每个用户有唯一的用户号，通过权限管理建立应用系统资源 和用户号的关联，并在信息访问过程中检查关联，确定该用户号是否有访问权 限。一个用户号可以被赋予多种权限角色（这一点根据具体的需求确定） 。 权限管理权限管理 权限控制要达到的目的是：系统中的各个授权人员具有其特定级别的权限， 可以进行相应权限的操作，无法越权操作；操作者事后无法否认其进行的操作； 未授权人员无法进入系统。 权限管理按照系统资源的最小单位，按照业务操作流程的需要，建立不同 等级的权限角色，以及各权限角色可以访问的系统资源。 负责用户的权限角色的分配、撤销和更新维护，记录操作系统、应用系统 和数据库用户的权限情况，并通过不同的渠道和方法跟踪和记录以上用户的活 动。 用户活动审计用户活动审计 应用系统用户的活动通过系统本身的交易流水记录进行统计和分析，如果 深圳博思凯电子 智能停车场系统、智能一卡通厂家 数据库在审计方式下工作，通过审计记录表统计和分析用户活动，具体方式归 并到统一的系统审计策略中。 对用户的安全审计不仅要对于一般访问用户，同时也要对系统的管理员、 操作员进行同样的安全审计。 8.4.5 系统审计系统审计 建立主机和数据库的审计追踪体系，自动记录一些重要的安全事件，如非 法入侵者持续地试验不同的口令通行字企图登录主机，数据库中重要数据的修 改和删除等，事件的记录包括每个用户所在工作站的网络地址和时间，同时对 管理员的活动也要加以记录。 设计 xxx 学校一卡通系统的审计追踪体系时，考虑到以下几个方面： 确定必须审计的事件确定必须审计的事件 对数据中心主机方面，需要记录试图（成功或不成功）的联机，对敏感文 件的读写，管理员对文件的删除，建立，访问权的授予等每一事件进行记录。 对数据库方面，我们在应用系统中进一步地确定审计目标，数据库应当在 audit 方式下运行，对关键数据的的数据库的访问都要记录详细访问痕迹，特 别是访问的数据内容，涉及到的数据库表文件。 采用标准的格式记录审计信息采用标准的格式记录审计信息 为了便于对审计记录的分析，必须建立标准审计记录格式，全面地记录审 计事件。基本要素包括：访问者身份信息，访问动作（由系统管理员事先定义） ， 访问目标，资源利用次数，用户工作站的网络地址，时间，其它信息等。 建立不要求管理员参与的自动记录和存储审计信息的软件系统，建立不要求管理员参与的自动记录和存储审计信息的软件系统， 在一定的安全体制下保护审计记录，例如用加密密钥对记录进行加密，或 只有用 root 口令才能访问审计记录等 尽可能小的影响计算机系统的运行和性能尽可能小的影响计算机系统的运行和性能 建立对审计记录进行分析，研究的制度建立对审计记录进行分析，研究的制度 及时发现未授权和异常现象，并采取行动。 在系统审计的具体实现中，根据以上原则设计适合 xxx 学校一卡通系统 深圳博思凯电子 智能停车场系统、智能一卡通厂家 的审计方式。一般情况下，数据库提供比较完备的审计功能，可以由系统管理 员设置需要审计的数据内容、用户和访问操作类型，可以通过客户化程序将数 据库审计归入应用系统的审计体制中。 8.5 运行安全运行安全 8.5.1 安全管理规范安全管理规范 安全管理部门应根据管理原则和各部门具体情况，制订相应的管理制度或 采用相应的规范。具体工作是： 根据工作的重要程度，确定该系统的安全需求。 根据确定的安全需求，确定安全管理的范围。 制订相应的机房出入管理制度。对于安全要求较高的系统，实行分区控制， 限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动 识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。 制订严格的操作规程。操作规程要根据职责分离