校园一卡通系统的安全管理

校园一卡通系统的安全管理

1校园一卡通系统架构随着我国信息产业的快速发展和金融服务业的业务领域的扩大，金融与金融企业的联盟形式在中国的许多高等教育机构中迅速普及。这不仅满足了学校提高财务管理和管理效率的需要，也满足了银行扩大金融业务和金融服务业的需要。提高金融服务的质量。目前校园一卡通系统包含有:注册与交费系统、校内个人消费系统、圈存圈提系统、身份认证系统、综合查询系统等功能子系统。系统的核心是校园一卡通系统管理结算中心,它负责整个系统的交易处理、管理和维护工作。该中心是一个扩展性强、高性能的校园IC卡交易服务平台,提供各种校园交费、消费交易处理功能,交易的监控、终端的管理、商户管理、数据管理、日终自动帐务处理、报表管理等功能。图1是一个典型的校园一卡通系统结构图。从图中可以看出,校园一卡通系统中集成了消费子系统、身份认证子系统和多种校园管理子系统,各子系统都须提供标准互联的数据接口,以保证更大范围的互联和数据共享。校园一卡通系统是建立在校园网基础上的,这是建设成本、运行成本和安全控制综合后的必然选择,而校园网必然与Internet相联,并且校园网上的用户性质是难以有效控制的。另一方面,在校园一卡通系统上存储、流动的信息中包含有交费金额、消费金额和余额等重要信息。由此校园一卡通系统的安全控制成为一个不能忽略的问题。下面从校园一卡通系统的自身特点和应用环境出发,详细讨论校园一卡通系统安全控制应遵从的相关条例、技术标准及安全控制应对策略。安全控制涉及三个方面的内容:物理安全、网络安全和信息安全,本文将不讨论校园一卡通系统的物理安全问题,而只讨论在校园一卡通系统中矛盾较为突出的网络安全和信息安全问题。2主要条例和技术标准为了保证计算机应用系统的安全,构建计算机应用系统安全防范技术体系,国家有关部门先后制定了多个条例,同时为保证金融应用系统的安全,中国人民银行也制定了相关的计算机信息系统规范,这些条例和规范是制定校园一卡通系统的安全控制策略的主要依据。针对校园一卡通系统面临的安全威胁,为保证校园一卡通系统的完整性、保密性、抗抵赖性和可用性,在制定校园一卡通系统的安全控制策略时应遵从和参照的主要条例和技术标准如下:a.中华人民共和国国务院1999.10.7,《商用密码管理条例》;b.国家保密局2000.1.1,《计算机信息系统国际互联网保密管理规定》;c.《信息技术安全技术实体鉴别第一部分概述》(GB/T15843.1-1999);d.《信息技术安全技术密钥管理第一部分框架》(GB/T17901.1-1999);e.《信息技术安全技术抗抵赖第一部分概述》(GB/T15843.1-1999);f.《计算机病毒防治管理方法》(中华人民共和国公安部令第51号);g.《计算机信息系统安全保护等级划分准则》(GB17859-1999);h.《信息技术安全技术信息技术安全性评估准则第一、二、三部分》(GB/T18336.1-3——2001)。3网络与网络安全在系统设计和规划阶段,我们要求校园一卡通系统具有可靠的物理安全,并且要求校园一卡通系统运行在安全的网络通讯平台上。但是,实际情况远非如此。校园一卡通系统面临的安全威胁是多方面的,首先校园一卡通系统面临的威胁与网络系统密不可分。对于通过金融专网与校园网互联提供金融服务的校园一卡通系统,它的网络安全技术要求是非常高的。制定校园一卡通系统的网络安全策略应以高标准、实用性、适应发展为原则。3.1物理分段和逻辑分段网络分段是保证校园一卡通系统安全的一项重要措施,同时也是一项基本措施,其主要目的在于将非法用户与网络资源隔离开,从而达到限制非法用户访问关健信息的目的。网络分段有物理分段和逻辑分段两种方式:物理分段通常是将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段之间相互无法进行直接通讯。目前,许多种类的交换机都有一定的访问控制能力,可以非常容易地实现对网络的物理分段。逻辑分段则是将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(软件、硬件)的安全机制来控制各子网间的访问。在校园一卡通系统中,可以采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全控制,以达到最佳效果。3.2基于网络监听和mac的vla虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网在应用了交换机和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。将以上运行机制应用于校园一卡通系统中,带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此,可防止大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的非法网络节点不能直接访问虚拟网内节点。但是,基于MAC的VLAN不能防止MAC欺骗攻击。采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。VLAN的划分方式的目的是保证校园一卡通系统的安全性。因此,可以按照系统的安全性来划分VLAN,将校园一卡通系统结算中心的服务器系统单独划作一个VLAN,而将其它子系统划作一个或几个VLAN。3.3运用所使用的什么功能校园网接入到公网中,随之产生了安全问题:来自公网的未经授权的对校园网的存取。当网络系统通过公网进行通讯时(多校区情况),信息可能受到窃听和非法修改。而所谓的VPN(虚拟专网)就是利用公共网络来构建的私人专用网络。VPN的用户验证功能可以禁止未授权用户的非法访问。VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容,采用复杂的算法进行加密和附上数字签名,以保证数据的保密性和完整性,使得敏感的数据不会被窃听和篡改。VPN建立了一个虚拟通道,让各校区间的使用者感觉是在同一个网络上,可以安全且不受拘束地互相存取。现在在很多的银行、证券系统中使用VPN技术进行传输,具有较高的安全性。利用Internet组建VPN,可节省大笔的专线费,只需少量的市话费用和Internet费用。同时VPN大大降低了网络复杂度,VPN用户的网络地址可以由学校内部进行统一分配。VPN组网的灵活性简化了学校的网络管理。VPN提高了整个校园网的互联性,为校园一卡通系统在不同校区间的安全、高效的统一使用打下了良好基础。4非授权、篡改及否定校园一卡通系统面临的信息安全威胁主要有以下几类:a.信息泄露:普通用户能够访问无访问权限的交易信息数据。b.假冒身份:无访问权限的某用户、客户端、服务端伪装成有较高权限的用户、客户端、服务端的身份去访问校园一卡通系统。c.非授权访问:非注册用户对校园一卡通系统的访问。例如:黑客攻击就属于非授权访问。d.篡改:未获许可修改校园一卡通系统的信息和数据,对校园一卡通系统数据的完整性进行破坏。e.否认或抵赖:是指数据交换的参与者否认其行为。f.IC卡密钥泄漏:非法人员可伪造IC卡数据和卡片,严重威胁校园一卡通系统的正常使用。为了保证校园一卡通系统在存储、处理、传输过程中信息、数据的完整性、保密性,根据校园一卡通系统承受的威胁和数据的重要性,参照国内外安全标准,根据国内外信息安全技术的发展状况,并结合校园一卡通系统的安全现状,可定义校园一卡通系统的安全功能技术要求为以下几类,即标识与鉴别、抗抵赖、访问控制、数据完整性保护、数据保密性保护、密钥管理。4.1标识和鉴别技术标识与鉴别用于对主体身份的真实性进行鉴别,并使用唯一的标识表示主体。标识和鉴别是有效实现其它安全功能(如:访问控制、安全审计等)的基础。标识与鉴别包括应用数据鉴别、用户标识与鉴别、客户端标识与鉴别、服务器标识与鉴别以及鉴别失败处理等安全技术。4.1.1伪造应用数据用于保证校园一卡通系统中数据的真实性,防止应用数据被伪造。在校园一卡通系统中应使用基于对称加密算法或非对称加密算法的鉴别机制对消费类交易、交费类交易的应用数据进行鉴别。4.1.2基于公钥和静态用于对用户身份的真实性进行鉴别,防止用户身份的假冒,用户标识与鉴别技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是信息安全的一道重要屏障。校园卡交易类应用应使用基于公钥技术和静态口令的双重鉴别机制进行用户的标识与鉴别。POS机具、自助终端与IC卡间通过PSAM卡进行双向认证。校园卡管理类应用可使用基于静态口令与公钥技术相结合的双重鉴别机制进行用户的标识与鉴别。4.1.3客户端的识别和标记用于鉴别客户端的真实性,防止客户端的伪造与欺骗。校园卡交易类应用可用基于对称加密算法或非对称加密算法的鉴别机制鉴别客户端。4.1.4服务端的识别和识别用于鉴别服务端的真实性,防止服务端的伪造与欺骗。校园卡交易类应用应具有基于公钥技术的服务器标识与鉴别机制。4.1.5不同鉴别失败次数的阈值用于防范基于猜测的暴力攻击。应用中应定义鉴别失败次数的阈值,尝试次数超过阈值后,在一定的时间内拒绝再次进行相同的鉴别。鉴别失败的情况应作记录,并作为审计资料的来源。4.2交易类应用应具有强制性接收抗抵抗抵赖用于防止数据交换参与者否认其行为。抗抵赖包括原发抗抵赖和接收抗抵赖。原发抗抵赖用于防止信息的发送者否认曾经发送过的信息。交易类应用应具有基于非对称加密算法的强制性原发证明功能。接收抗抵赖用于防止信息的接收者否认曾经接收过的信息。校园卡交易类应用应具有基于非对称加密算法的强制性接收证明功能。校园卡管理类应用应具有接收证明功能。4.3禁止原则禁止访问控制用于禁止非法用户访问校园一卡通系统,只允许合法用户访问其权限范围内的信息。访问控制策略应包括以下策略:a.信息拥有者、合法用户或指定的用户具有访问校园一卡通系统信息、数据的权限。例如,使用数据库管理系统的安全帐户认证机制控制用户对服务器的连接,使用数据库用户和角色等限制用户对数据库的访问。b.除了明确允许的权限其它都是禁止的原则。c.最小权限原则。用户应只具有完成某项应用服务所需的最小访问权限。d.根据信息的重要性,对校园一卡通系统的所有客体实施合适的访问控制。4.4数据安全的完整性保护数据完整性保护用于防止非法修改或破坏校园一卡通系统中数据和信息的完整性。数据完整性保护包括:存储数据的完整性、传输数据的完整性和处理数据的完整性。存储数据的完整性保护用于数据在存储时的完整性保护。在数据存储时对敏感数据增加DAC,在使用数据时进行数据完整性检验。传输数据的完整性保护用于数据传输时的完整性保护。在应用中可使用数字签名技术或增加MAC字段的方法保证数据传输的完整性。处理数据的完整性保护用于在发生异常情况下保证处理数据的完整性。各类应用都应采用回退功能来保证处理数据的完整性。4.5数据的存储及保护数据的保密性保护用于保证数据内容不被泄漏和窃取。数据的保密性保护包括存储数据的保密性保护和传输数据的保密性保护。存储数据的保密性保护用于防止存储设备中的数据内容被泄漏或窃取。在校园一卡通系统中可使用访问控制机制和关键字段加密存储的方式保证存储数据的保密性,如用户密码采用加密存储。传输数据的保密性保护用于保护网上传输的数据不被泄露或窃取。校园一卡通系统中可对传输的数据进行DES加密或使用可信通道保证传输数据的保密性。并且要使用生存期短的密钥加密数据,以保证传输数据的机密性,最好采用一次一密的加密机制来保证传输数据的机密性。银行专用网与校园网间对传输的数据应使用硬件(加密机)进行加密来保证传输数据的机密性。4.6进行保密性进行密钥管理对于保证校园一卡通系统的安全十分重要,如管理不善,非法人员就可能伪造IC卡数据、卡片和POS机具,这将严重威胁校园一卡通系统的正常使用。管理对称加密算法的密钥和非对称加密算法的私钥,应围绕密钥的保密性进行;管理非对称密钥算法的公钥应围绕公钥的完整性进行。密钥管理包括:密钥的产生、密钥的存储、密钥的分配、密钥的访问、密钥的更新和密钥的销毁等。下面以校园卡根密钥的产生、存储、访问等过程为例,说明密钥管理的要求,图2中箭头表示数据的流向。首先输入两个种子密钥A和B,两个种子分别由两位管理员背对背输入,以保证种子的安全性和不可复制性,种子经过发散、加密后再经CPUIC卡内部计算处理后保存在根密钥母卡中,同时生成一张根密钥控制卡,此卡中只保存控制信息而不保存根密钥信息,其作用是当对根密钥母卡进行访问时需要对该控制卡进行认证,根密钥母卡和根密钥控制卡由两人分别保存。以保证根密钥母卡在使用时的双人制约机制。5解决数据安全问题的办法面对校园一卡通系统安全管理的复杂性,除了在网络设计、软件设计等方面采取安全控制措施外,还必须加强校园一卡通系统的安全管理。在系统的安全控制上,管理无法代替技术,技术同样也无法代替管理。许多不安全的因素常常是由管理问题产生的,这是校园一卡通系统安全控制所必须考虑的问题。针对系统安全管理的复杂程度,安全问题的重要解决办法就是制订相应的管理制度和相应的规范,并统一地管理和实施这些政策。校园一卡通系统的安全管理主要基于三个原则:a.多人负责原则,每一项与安全有关的活动,都必须