校園一卡通系統(tǒng)涉及到校園生活的諸多方面，概括為三大類：消費(fèi)類，金融類，身份認(rèn)證類。這三類基本覆蓋了多數(shù)應(yīng)用，如圖1所示。

　　除了前端應(yīng)用之外，一卡通的運(yùn)行離不開(kāi)后端基礎(chǔ)網(wǎng)絡(luò)和硬件的支持，其所關(guān)聯(lián)的網(wǎng)絡(luò)與終端硬件也是非常龐大的，遍布在校園的各個(gè)角落，與每位師生的生活關(guān)系密切。隨著技術(shù)發(fā)展，一卡通在數(shù)字化校園中的地位及重要程度與日俱增，其安全問(wèn)題關(guān)系面廣，是一個(gè)需要長(zhǎng)期探討和長(zhǎng)久防范的問(wèn)題。

　　一卡通應(yīng)用多，安全因素也多。下文從不同的角度全方位地剖析一卡通系統(tǒng)的安全因素，如圖2所示。

　　傳統(tǒng)角度：通信安全、網(wǎng)絡(luò)安全

　　從傳統(tǒng)的角度看，一卡通系統(tǒng)的安全要考慮它的通信安全、網(wǎng)絡(luò)安全;校園一卡通系統(tǒng)是一個(gè)金融消費(fèi)系統(tǒng)，與錢有關(guān)，安全起見(jiàn)，校園一卡通的網(wǎng)絡(luò)必須是專用網(wǎng)絡(luò)。通常由兩部分組成，一部分是TCP/IP主干網(wǎng)，另一部分是485協(xié)議的局域網(wǎng)。每一部分都會(huì)涉及到網(wǎng)絡(luò)安全問(wèn)題。傳統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題：防火墻、安全策略等本文不做深入討論。

　　主干網(wǎng)安全問(wèn)題：

　　對(duì)于一卡通網(wǎng)絡(luò)，有一些高校是專用的物理網(wǎng)絡(luò)，有一些高校是通過(guò)分離校園網(wǎng)的VLAN網(wǎng)絡(luò)。這樣做的目的就是為了保證通信和網(wǎng)絡(luò)安全。一卡通網(wǎng)絡(luò)接入的主要對(duì)象是一卡通相關(guān)設(shè)備，相對(duì)來(lái)說(shuō)網(wǎng)絡(luò)環(huán)境簡(jiǎn)單。但是存在一個(gè)弊端，網(wǎng)絡(luò)端口遍布校園各個(gè)樓宇公共場(chǎng)所，不可能有專人值守，蓄意破壞者可以接入到一卡通網(wǎng)絡(luò)，存在冒充網(wǎng)關(guān)、散播病毒等安全風(fēng)險(xiǎn)。

　　局域網(wǎng)的安全問(wèn)題：

　　1.一卡通消費(fèi)POS設(shè)備，身份識(shí)別設(shè)備等的接入網(wǎng)絡(luò)都是485協(xié)議局域網(wǎng)，比如食堂的POS機(jī)局域網(wǎng)，它的潛在安全問(wèn)題主要是網(wǎng)絡(luò)線路本身所處環(huán)境高溫高濕，容易導(dǎo)致網(wǎng)絡(luò)線路老化，影響通信。

　　2.局域網(wǎng)絡(luò)的通信網(wǎng)關(guān)也是經(jīng)常出現(xiàn)故障的安全隱患點(diǎn)。由于其所處的弱電間身處一個(gè)高溫高濕的大環(huán)境中，而沒(méi)有制冷設(shè)備，特別是到了夏季，環(huán)境溫度過(guò)高，散熱不及時(shí)，一直處于工作狀態(tài)的網(wǎng)關(guān)設(shè)備容易死機(jī)、損壞，導(dǎo)致通信中斷。

　　業(yè)務(wù)角度：業(yè)務(wù)操作安全、業(yè)務(wù)對(duì)接安全

　　一卡通是一個(gè)應(yīng)用系統(tǒng)，同時(shí)也在發(fā)揮一個(gè)身份接入平臺(tái)的作用，其業(yè)務(wù)涉及范圍較廣。

　　業(yè)務(wù)操作安全：一卡通所涉及到的業(yè)務(wù)操作包括：卡業(yè)務(wù)窗口工作人員的日常操作包括卡初始化、卡發(fā)行、卡回收、卡充值等業(yè)務(wù);一卡通系統(tǒng)運(yùn)維人員日常的運(yùn)維操作包括一卡通終端設(shè)備的注冊(cè)、接入、交易沖正、卡庫(kù)不平處理、賬務(wù)問(wèn)題處理等。業(yè)務(wù)操作會(huì)涉及到密鑰、卡片結(jié)構(gòu)信息等安全的關(guān)鍵因素。需要確保工作計(jì)算機(jī)的安全。

　　業(yè)務(wù)對(duì)接安全：一卡通基于其身份識(shí)別功能，較多業(yè)務(wù)考慮到了把一卡通作為身份的線下入口。本文中業(yè)務(wù)對(duì)接安全指一卡通系統(tǒng)既能實(shí)現(xiàn)與第三方系統(tǒng)的互聯(lián)信息互通，又能保證數(shù)據(jù)和系統(tǒng)的安全。業(yè)務(wù)不同，對(duì)接方式也不同，比如開(kāi)放卡片的某個(gè)扇區(qū)密鑰與結(jié)構(gòu)、提供數(shù)據(jù)庫(kù)訪問(wèn)接口、以WebService的方式提供數(shù)據(jù)接口等等。一卡通在與第三方做對(duì)接時(shí)，一卡通核心服務(wù)信息及數(shù)據(jù)必然會(huì)不同程度地提供給了第三方，增加一卡通的安全風(fēng)險(xiǎn)。

　　運(yùn)行角度：7×24不間斷運(yùn)行

　　一卡通系統(tǒng)不僅有一些可以脫機(jī)的POS機(jī)消費(fèi)，還有實(shí)時(shí)的在線應(yīng)用，比如考勤、報(bào)名等應(yīng)用系統(tǒng)、學(xué)生購(gòu)電系統(tǒng)、自助充值等。如果一卡通運(yùn)行中斷，那么在線業(yè)務(wù)都會(huì)中斷，將直接影響學(xué)生的購(gòu)電、充值及自助卡務(wù)等業(yè)務(wù)，進(jìn)而會(huì)影響到師生的生活。在某些高校曾出現(xiàn)一卡通無(wú)法購(gòu)電，導(dǎo)致寢室沒(méi)電引發(fā)軒然大波的案例。

　　一卡通服務(wù)器安全，是系統(tǒng)安全的基礎(chǔ)，是所有因素中非常重要的安全因素。服務(wù)器安全主要包括：服務(wù)器硬件設(shè)備運(yùn)行安全、服務(wù)器操作系統(tǒng)的安全、核心數(shù)據(jù)庫(kù)的安全等。服務(wù)器穩(wěn)定性與構(gòu)建服務(wù)器的策略有關(guān)，例如是否采用雙機(jī)熱備，是否使用了高可用性，數(shù)據(jù)庫(kù)的備份恢復(fù)機(jī)制，應(yīng)用后臺(tái)的穩(wěn)定性等都直接關(guān)系到一卡通系統(tǒng)的運(yùn)行安全。

　　智能卡系統(tǒng)角度

　　智能卡系統(tǒng)本身也是一個(gè)非常重要的安全因素。目前很多高校都仍然在使用M1卡，M1是非接觸邏輯加密卡，密鑰是一個(gè)預(yù)先設(shè)定的固定密碼，存儲(chǔ)在卡片扇區(qū)內(nèi)的，很容易復(fù)制。早在2008年10月，互聯(lián)網(wǎng)上公布了破解MIFARE CLASSIC IC芯片密碼的方法，不法分子利用這種方法可以很低的經(jīng)濟(jì)成本對(duì)采用該芯片的各類“一卡通”、門禁卡進(jìn)行非法充值或復(fù)制，帶來(lái)很大的社會(huì)安全隱患。對(duì)于該問(wèn)題，大部分高校升級(jí)系統(tǒng)時(shí)，基本上都采用CPU卡系統(tǒng)。

　　CPU卡打破了原有M1卡的模式，不再是扇區(qū)存儲(chǔ)。所有的應(yīng)用都是以文件的形式，加密后存儲(chǔ)在卡片中，對(duì)于文件的讀寫(xiě)都是通過(guò)卡內(nèi)芯片OS對(duì)指令的響應(yīng)來(lái)實(shí)現(xiàn)，這極大的提高了卡片的安全性。

　　除了卡片本身之外，與M1卡所配套的機(jī)具也是一卡通安全問(wèn)題的重要因素。M1卡系統(tǒng)的邏輯密鑰體系與POS設(shè)備，缺乏有效的安全認(rèn)證機(jī)制，可以相互偽造。而CPU卡的加密算法和隨機(jī)數(shù)發(fā)生器與安裝在讀寫(xiě)設(shè)備中的密鑰認(rèn)證卡(SAM卡)相互認(rèn)證可以實(shí)現(xiàn)：

　　1.通過(guò)終端設(shè)備上SAM卡實(shí)現(xiàn)對(duì)卡的認(rèn)證。

　　2.非接觸CPU卡與終端設(shè)備上的SAM卡的相互認(rèn)證，實(shí)現(xiàn)對(duì)卡終端的認(rèn)證。

　　3.通過(guò)ISAM卡對(duì)非接觸CPU卡進(jìn)行充值操作，實(shí)現(xiàn)安全的儲(chǔ)值。

　　4.通過(guò)PSAM卡對(duì)非接觸CPU卡進(jìn)行減值操作，實(shí)現(xiàn)安全的扣款。

　　增強(qiáng)了安全性，避免了原有M1卡一臺(tái)設(shè)備既可以減值又可以加值的不安全問(wèn)題。

　　關(guān)于該角度的安全問(wèn)題，M1卡更換為CPU卡，基本上確保了卡片本身的安全性。所以在升級(jí)或者新建一卡通系統(tǒng)時(shí)，選擇CPU卡系統(tǒng)，可以規(guī)避卡本身的安全問(wèn)題。

　　財(cái)務(wù)嚴(yán)謹(jǐn)性角度

　　把一卡通歸為一個(gè)財(cái)務(wù)系統(tǒng)也不為之過(guò)，每天全校師生的消費(fèi)都會(huì)產(chǎn)生大量的消費(fèi)流水，系統(tǒng)每天都要對(duì)流水，按商戶進(jìn)行結(jié)算，然后產(chǎn)生財(cái)務(wù)報(bào)表。一卡通系統(tǒng)內(nèi)部有一套完整的財(cái)務(wù)機(jī)制及財(cái)務(wù)流程。

　　首先，在這個(gè)財(cái)務(wù)系統(tǒng)中，交易的安全性是一個(gè)前提性安全因素。系統(tǒng)必須保證交易數(shù)據(jù)的正確性、完整性、不可篡改或者偽造。另外，一卡通系統(tǒng)內(nèi)的交易，不可避免存在一定的異常情況，如非法卡消費(fèi)、一卡通丟失后掛失卡消費(fèi)，一卡通卡狀態(tài)不正常、一卡通被非法持有后的惡意大額消費(fèi)等等都會(huì)存在安全問(wèn)題。這些問(wèn)題，必須要有相應(yīng)的機(jī)制來(lái)規(guī)避，如：

　　通過(guò)數(shù)字簽名、雙向認(rèn)證實(shí)現(xiàn)卡與設(shè)備真?zhèn)蔚碾p向確認(rèn);

　　系統(tǒng)通過(guò)黑白名單管理實(shí)現(xiàn)交易的安全;

　　卡狀態(tài)及有效期識(shí)別功能，能有效的防止過(guò)期卡片使用;

　　系統(tǒng)還提供了非法卡、黑卡報(bào)警功能;大額度消費(fèi)需要輸入密碼等機(jī)制。

　　其次，財(cái)務(wù)報(bào)表的準(zhǔn)確性、完整性機(jī)制也是一卡通財(cái)務(wù)安全的重要因素，系統(tǒng)創(chuàng)建時(shí)考慮到審計(jì)功能，內(nèi)部自動(dòng)對(duì)賬功能，卡庫(kù)不平自動(dòng)報(bào)警功能等，可以多方位地發(fā)現(xiàn)賬務(wù)或財(cái)務(wù)安全問(wèn)題。

　　日常管理角度

　　一卡通系統(tǒng)的日常管理也涉及到較多安全問(wèn)題。

　　日常管理主要有：一卡通工作人員管理、一卡通終端設(shè)備管理、一卡通系統(tǒng)財(cái)務(wù)、賬務(wù)的管理、系統(tǒng)安全使用管理等。

　　一卡通工作人員管理：一卡通工作人員包括系統(tǒng)管理員、系統(tǒng)運(yùn)維人員、卡業(yè)務(wù)人員等，這三部分人員是保證一卡通安全穩(wěn)定運(yùn)行的核心力量，團(tuán)隊(duì)管理的好壞決定著系統(tǒng)能否持續(xù)穩(wěn)定良性的運(yùn)行。比如工作紀(jì)律、日常業(yè)務(wù)操作的規(guī)范性、系統(tǒng)的保密制度等等，都可能會(huì)直接和間接影響到一卡通的安全。

　　一卡通終端設(shè)備管理：包括硬件資產(chǎn)管理、維修管理、硬件接入管理等等。一卡通終端設(shè)備種類繁多，校園內(nèi)分布廣泛，而無(wú)人值守，所以資產(chǎn)的財(cái)產(chǎn)安全也是一大問(wèn)題;設(shè)備損壞維修有可能會(huì)導(dǎo)致設(shè)備內(nèi)流水丟失，導(dǎo)致賬務(wù)問(wèn)題及商戶營(yíng)業(yè)額損失;硬件的接入必須按照相應(yīng)的技術(shù)規(guī)范，比如食堂POS機(jī)具、水控POS機(jī)，嚴(yán)謹(jǐn)隨意移接及亂拆亂接等，會(huì)導(dǎo)致短路，燒壞設(shè)備。

　　一卡通系統(tǒng)財(cái)務(wù)、賬務(wù)的管理：一卡通有現(xiàn)金業(yè)務(wù)，對(duì)于現(xiàn)金收支存放等必須有嚴(yán)格的管理制度。比如：有時(shí)會(huì)出現(xiàn)現(xiàn)金與賬務(wù)不一致問(wèn)題、當(dāng)天的現(xiàn)金未結(jié)算問(wèn)題、現(xiàn)金被盜等安全問(wèn)題，現(xiàn)金操作人員的職業(yè)道德和素養(yǎng)問(wèn)題等等，這些因素都是管理制度必須要考慮的，也是潛在安全風(fēng)險(xiǎn)。

　　系統(tǒng)安全使用管理：一卡通子系統(tǒng)較多，系統(tǒng)必須具備權(quán)限分級(jí)管理的功能，來(lái)保障操作的安全性。不同級(jí)別的人員具備不同的菜單和系統(tǒng)權(quán)限，各業(yè)務(wù)互不影響。同時(shí)系統(tǒng)具備安全審計(jì)功能。管理員在系統(tǒng)使用和登錄時(shí)避免密碼泄露，確保在安全無(wú)毒的工作環(huán)境中使用系統(tǒng)，嚴(yán)禁隨意接入外部USB設(shè)備等等，這些都是系統(tǒng)安全必備的要素，如圖3所示。

　　數(shù)據(jù)安全角度

　　一卡通產(chǎn)生了很多的消費(fèi)數(shù)據(jù)、考勤數(shù)據(jù)、門禁數(shù)據(jù)，還有人員基本信息的數(shù)據(jù)等等。大部分?jǐn)?shù)據(jù)涉及個(gè)人隱私，同時(shí)數(shù)據(jù)本身也隱藏著很多重要信息，數(shù)據(jù)安全的重要性不言而喻。確保數(shù)據(jù)的機(jī)密性、完整性、正確性是毋庸置疑的。數(shù)據(jù)的使用也涉及一些安全因素：一卡通賬戶信息和數(shù)據(jù)的共享問(wèn)題、數(shù)據(jù)訪問(wèn)傳輸問(wèn)題、數(shù)據(jù)加密機(jī)制、數(shù)據(jù)存儲(chǔ)備份機(jī)制等。隨著大數(shù)據(jù)時(shí)代的興起，數(shù)據(jù)安全也愈加重要。

　　綜上，校園一卡通系統(tǒng)的安全性包括了許多方面，有些方面是在系統(tǒng)建設(shè)時(shí)期就要規(guī)避的，有些方面是通過(guò)日后監(jiān)督管理等策略來(lái)加以控制的。一卡通安全是一個(gè)綜合的全方位的系統(tǒng)工程，各種安全策略必須相互配合，有機(jī)協(xié)調(diào)才能真正起到保護(hù)作用。即便如此，安全問(wèn)題也沒(méi)有一勞永逸，絕對(duì)安全的策略，需要我們不斷地去探索，做到防患于未然。

　　(作者單位為上海海事大學(xué)信息化辦公室)