校园一卡通系统解决方案

校园一卡通系统设计方案目 录第一章 前言5第二章 项目背景和需求分析62.1 项目需求分析72.2学校校园系统现状72.3学校“校园一卡通”系统要求72.3.1总功能72.3.2总需求82.3.3各子系统需求82.3.4身份识别功能需求82.3.5卡中心需求92.3.6图书馆系统需求102.3.7电子钱包需求102.3.8 POS机需求102.3.9 软件需求112.4建设校园“一卡通”系统的意义11第三章 系统总体设计123.1系统总体概述123.2系统总体技术架构143.2系统总体综合介绍153.3突发事件的技术防范163.4第三方系统的接入方案173.4.1 灵活、合理的系统结构划分173.4.2方便、多形式的接口17第四章 系统详细设计184.1 系统网络结构194.2系统应用划分214.3卡的使用介绍214.3.1射频卡的特性224.3.2校园卡分类244.4系统安全方案254.4.1卡的安全254.4.2 POS机安全264.4.3网络安全274.4.4 应用系统安全344.4.5运行安全434.4.6本系统提供的安全机制444.5数据库设计454.5.1 ORACLE9i数据库454.5.2强壮的三层安全454.5.3自我管理数据库454.5.4管理工具464.5.5端到端的系统管理解决方案464.5.6与Windows 2003集成474.5.7 MS Windows 平台上便利的开发和部署474.5.8多平台支持能力474.5.9分布式环境改进474.6消费管理系统484.6.1系统功能概述484.6.2系统结构示意图484.6.3系统功能494.6.4系统特点及优势514.6.5主要参数534.7 门禁子系统544.7.1 系统概述544.7.2 系统拓扑图544.7.3 系统特点544.7.4 系统功能554.7.5 主要产品参数574.8考勤系统584.8.1系统功能概述584.8.2系统结构示意图594.8.3系统功能594.8.4系统特点及优势604.8.5主要产品参数614.9节水系统624.9.1系统功能概述624.9.2系统结构示意图624.9.3系统功能634.9.4系统配置说明644.10电控系统644.10.1系统功能概述644.10.2系统结构示意图654.10.3系统功能654.10.4系统技术参数684.11图书馆借阅系统接入方案694.11.1系统功能概述694.11.2系统结构示意图694.11.3集成需求694.11.4实现思路704.11.5图书馆综合消费系统704.11.6系统配置说明704.12图书馆通道控制系统接入方案714.12.1示意图714.12.2系统说明714.13 教务系统接入方案724.13.1系统功能概述724.13.2系统结构示意图724.13.3系统功能724.14 WEB查询系统734.14.1系统功能概述734.14.2系统结构示意图734.14.3系统功能74第五章 系统培训75第六章 培训与售后服务766.1 系统培训766.2 售后服务76第七章 公司介绍及资质文件797.1 公司介绍79第一章 前言 随着计算机信息技术的发展进步，我们的社会已逐步向数字化、信息化、网络化迈进。高等院校作为发展的先驱，已经普遍使用计算机系统来进行各个部门的管理工作，大大提高了工作效率和管理效率，但仍然存在一些弊端和缺陷：各部门的管理信息系统起步不同，平台不同，统一管理比较困难。如学院图书馆管理系统、学生就餐管理系统起步较早，自成系统，面向全体教职员工和学生；学生和教师手持多张不同的证件，如就餐卡、借书证、医疗证、上机卡等，使用上带来许多不便，且容易丢失，不易保管。 近年来，随着智能卡的推广和使用，将多项管理职能融为一体，在校园中建立校园一卡通系统，有效的解决了上述问题。校园一卡通系统是数字化校园的基础工程，是数字化校园中有机的、重要的组成部分。为数字化校园提供了全面的数据采集平台，结合学校的管理信息系统和网络，形成全校范围的数字空间和共享环境。为学校管理人员提供具有开放性、灵活性、面向学校的应用服务管理平台、是管理科学化的必要前提和基本途径。以校园一卡通系统为平台，实现以人为本，并可充分利用银行的金融服务，实现“一卡在手，走遍校园”，必将满足重点中学数字化建设的需求及目的。 中控校园一卡通系统是在多年智能卡应用基础上，按照一卡多用、一卡通用、实时汇兑、自动结算的原则而研制的产品,汇集了各智能系统的优势，具有标准统一、结构合理、运行效率高，投资成本低、适用面广的特点。用户持一张校园卡，可根据用户需求实现与银行的自助圈存、批量转帐及交易结算。利用信息化手段实现财务管理、杜绝财务漏洞、提高资金使用效。提高学校教学管理和教学服务的质量和效率，减轻大量的人工劳动，达到减员增效。同时银行亦可实现吸纳储蓄、扩大业务。自投入市场以来，已广泛应用于企业、院校、社区等大型智能化应用项目。第二章 项目背景和需求分析2.1 项目需求分析在学校面向现代化、面向世界、面向未来、面向互联网的21世纪，“一卡通”已成为校园信息化发展的趋势和学校现代化的标志。使校园网得到高效、合理的应用，使教育信息化带动教育的现代化，使教育与信息技术真正地融合，提高教学质量，提高后勤管理水平，提高学校现代化教学程度，提高学校声誉，提升学校间竞争力，延伸教学空间，调控学生成长，发展个性学生，加强学校管理信息，“一卡通”建设成为必然。 学校现在师生一般都有5、6张卡，如上机卡、澡票、工作证、工资卡、就餐卡、借书卡、学生证等。多张卡既不方便，又容易丢失。各部门都有一套自己的独立的应用系统，彼此之间数据无法交换，信息无共享，既不方便学校管理，又浪费了大量的人力、物力、财力。给教学、科研、后勤等带来很多困难。学校迫切需要一张卡来取代上机卡、澡票、工作证、工资卡、就餐卡、借书卡、学生证等，以方便学生、老师的生活、工作、娱乐。“一卡通”正是为了满足学校各方面信息化的要求。这张卡它具有最基本的功能，一要实现校内各方面应用“一卡通”，如借书、就餐、就医、报名、考试、上机等，起着电子钱包和身份识别作用。学校“一卡通”建设定位于“一卡通”带动教学科研的信息化建设和发展。使教育技术为教学、科研服务，提高教学科研的效率和质量，使教育技术与教育真正融合。因“一卡通”关系到上万学生、教师、家长的生活、学习、工作的安全、稳定等大事。在考虑其先进性的同时，更要考虑系统的安全性、稳定性、方便性和实用性。着眼与全校各方面信息化的应用，充分考虑到与图书馆、计算中心、医疗处、教务处等职能部门相连相通。 2.2学校校园系统现状南昌陆军学院目前学院已完成数字化校园二期建设，并先期建成了装备物联网系统、天网系统、食堂就餐系统、洗浴水控系统和其他消费项目；图书馆、军需科、营房科也都有各自独立的系统。由于系统相对独立分割，造成了信息交流和共享不畅，首长机关也很难及时、全面、准确地了解各类信息，未能实现基于一卡通大数据来源的智能分析、辅助决策和推送服务。因此学院需要建设基于智慧军校的“校园一卡通”系统，改变当前现状，为实现精细化管理、人性化服务、智能化决策提供便捷保障、打下坚实基础。2.3学校“校园一卡通”系统要求根据我公司对学校招标文件细致调研，学校校园“一卡通”系统有以下要求：2.3.1总功能l 提供多种应用：支持电子钱包、银行借记、身份识别等多种应用l 设有卡中心：具有大量制卡、发卡、应用管理功能2.3.2总需求l 实用：系统要根据学校的实际要求，提供应用服务l 可靠性：平均无故障时间1年，终端设备在临时停电或临时通讯中断使，能脱机工作l 安全：能有效防范攻击、防盗窃、篡改信息l 先进：系统及设备的选择在市场上处于领先地位l 可扩充：留有软件、硬件扩展接口，便于添加和扩充新的应用2.3.3各子系统需求l 校内功能卡与银行金融功能卡在物理上分离，便于卡发行和管理方便，真正实现一卡通。l 卡存储区合理分配，当前功能满足的同时，为系统将来的功能扩充留下的充足的功能空间。l 卡具有非线性特性，卡内数据安全可靠，不可复制。l 提供多种类型卡（具体根据项目情况定义）： 学生卡，发放给在册的学生 教工卡，档案关系属于学校的教职工和离退休人员 外聘人员卡，发放给外聘人员 临时卡，发放给临时人员，可以记名或不记名，只能通过现金充值，只能在对外开放的消费点和服务点使用。l 提供校内食堂、小卖部、小超市、书店、机房、图书馆、医院的支付功能l 提供方便快捷可靠的圈存充值功能l 提供单位独立结算l 提供各商户所需的财务信息和各类报表l 提供自助查询和中心明细查询2.3.4身份识别功能需求2.3.4.1门禁身份认证需求l 实现学生进出宿舍门禁管理功能。l 图书馆实现门禁通道身份识别功能，红外线防盗通道；l 办公楼出入门禁限制2.3.4.2 考勤签到身份认证需求l 实现教师或学生考勤、会议签到等功能。l 教务处考试抽查功能；2.3.4.3图书借阅身份认证需求l 实现以卡代替图书证的功能，与原图书管理系统无缝接入2.3.4.4 第三方系统身份认证需求l 预留扩展接口，第三系统无缝接入，通过一卡通身份认证平台进行身份认证；2.3.5卡中心需求l 提取持卡人的数码照片、制卡和发卡，包括照片的摄制、打印，校园卡的挂失、解挂和补卡，临时卡的发放和回收等。l 具有良好的人机界面，丰富的操作导航，用户易学易懂，系统安全可靠。l 通过系统设定，按规定的补助标准发放个人生活补助。l 系统账户容量至少达到一亿以上；支持多工作站。l 随时监控服务器和各子系统的运行状态，对数据库进行定期维护和备份。l 提供各种报表和数据查询。l 进行黑名单的整理和维护，优化系统运行环境。l 可以开户、注销、集体注销、挂失、解挂、换卡、补卡。l 有批量数据的导入导出功能，以便进行批量发卡。可以产生相应的操作报表，如开户等。l 按操作职能分区，系统管理区、财务管理区、信息公用区，各区的管理者根据系统授权进行专项操作。l 各工作站的消费数据可以实时自动传送到数据库服务器，所有工作站都可以实时查询系统的当前营业情况。l 图书馆系统、机房管理系统、校医院系统和消费系统之间能实现基本信息共享。由卡中心统一管理和维护。2.3.6图书馆系统需求l 在图书馆的现有图书系统中能够识别校园卡的有效性l 图书馆系统的收费管理要求能够与校园卡其他收费系统统一管理2.3.7电子钱包需求l 具有非接触性，减少卡片的磨损；高频传输交易速度快l 具有存储能力，可写入学（工）号、卡号、卡余额、个人密码等重要信息l 卡片内信息完整，即使整个系统全部瘫痪，也可以根据卡片内的信息进行系统的恢复l 卡片内数据安全可靠，不可复制，卡内同一数据要有备份，保证数据的完整性l 系统要采用以卡内数据为准的金额统计方式，支持真正意义上的电子钱包。2.3.8 POS机需求l 至少有两种消费方式：自由金额消费、定额消费l 通过软件实时采集POS消费明细l 卡内数据要进行备份，卡内数据要有校验功能l POS机内的消费明细要有备份l POS机支持TCP/IP或RS485通讯方式l POS机要具备查询本台POS当天营业额的功能l POS机在消费时能同时显示卡内余额和消费额l POS机要自带后备电池，可以在断电或移动情况正常使用2.3.9 软件需求l 合理的权限分配功能l 有方便的财务管理功能，提供自助缴费功能，针对特困生的助学金、学费有良好的后台缴费管理软件，减化财务工作；l 提供实时或定时与银行进行缴费、圈存对帐功能；l 帐务设计以复式记帐法为依据，数据准确无误；l 灵活、方便的报表系统，可依据财务做帐风格量身订制报表；l 各类管理软件操作习惯统一，界面友好，尽量减化管理人员工作；2.4建设校园“一卡通”系统的意义l 校园“一卡通”系统的建设将采取银行卡金融功能与非接触式电子钱包、电子化管理相整合的方式，师生可以在各地的银行网点或自助终端实现存取款、消费、转帐等金融支付；可以代替学生和教职工在校内的所有证件（学生证、工作证、图书证、上机卡、医疗证等），应用于需要身份识别的各种MIS系统；可以通过设在非接触式IC芯片内的电子钱包实现餐饮、校内购物、图书馆等校内消费。l 校园“一卡通”系统的建设，是高校信息化发展的必然趋势，是高校现代化管理的标志。l 校园“一卡通”系统的建设，将使原有业务和管理体系相对独立、互不协调的现象得到有效整合，减少资源浪费和重复建设，达到业务流程重组，对于学校能够继续跻身于全国重点高校前列具有特别重要的意义。l 校园“一卡通”系统的建设，将有效缓解校务管理和后勤服务的繁重的业务，提高学校的管理水平、提高后勤的服务质量，提高效率，成为学校师生员工的工作、学习和生活中不可或缺的部分。l 校园“一卡通”系统的建设，将给学校实现财务统一管理提供科学的、现代化的手段，将加速资金周转的效率，也给银行向学校财务部门和师生员工提供更加及时、周到的金融服务提供良好的空间。第三章 系统总体设计3.1系统总体概述系统总体分为校园卡中心、银行转帐系统、应用子系统（收费子系统和身份识别子系统两类）及第三方系统并接四大部分：I. 一卡通中心“一卡通”系统校园卡中心建立在校园专用网上，主要实现数据的中央存储和卡综合业务。l 数据中心服务器：负责校园“一卡通”数据的存储、更新、备份、维护；l 中间层服务器：负责所有业务逻辑处理；l 校园前置机：唯一负责与银行前置机的连接，同时管理、监控各个自助转帐终端，代理自助、自动两种方式的实时转帐业务；l 查询服务器：负责网上查询、领导查询等服务；II. 各应用子系统l 业务应用系统：负责本子系统和业务事务处理，如消费系统。l 与中心数据信息共享：能够在“一卡通”中心数据库和本子应用系统之间实现资源和信息共享，实现全校师生“一卡在手，走遍全校”III. 第三方系统的并接系统提供多种方式的并接技术，可以把已有的或将要应用的第三方系统与“一卡通”系统并接。第三方并入的系统大致也可分为两大类，即收费类和身份识别类系统。l 收费类的系统并入“一卡通”系统后，要将收费和扣款的记录回送到中心服务器，以维护系统帐目的一致性和完整性，而对于小钱包方式的系统只要子系统自己维护小钱包的帐目一致性即可。l 身份识别类的系统如门禁控制系统、上机认证等，只要将从卡上读取的识别码在系统中进行有效性确认即可。我们为第三方系统接入开发了硬件操作接口及身份识别接口，由系统提供的服务，可实现第三方系统无缝并接,达到校园卡走遍全校的目的。3.2系统总体技术架构校园一卡通系统软件的技术架构采用成熟的三层结构，即分为数据服务层、业务逻辑层和用户表现层设计并实现。采用三层结构的应用程序最大的好处是把业务逻辑独立出来，封装为中间层，这样就在业务逻辑需要改变时不影响客户端的表现层和后端数据库服务器层，因此，它能够满足应用程序可伸缩性（或可扩展性）应用需求。同时，一卡通软件系统为综合教务系统、门禁系统、消费系统等其他系统提供相应的系统对外接口,实时处理来自其他系统的业务请求，实现与其他系统所需的信息共享,从而实现一卡通系统对其它系统的扩展处理功能。IC卡用户通过应用子系统使用一卡通提供的各项服务，学院的管理用户通过中心管理系统和帐务管理系统实现对一卡通系统IC卡用户的管理和帐务处理工作。3.2系统总体综合介绍I. 应用系统功能丰富、完善，产品成熟可靠l 多种应用系统可供选择使用l 有丰富的非接触式校园IC卡系统用户实际使用经验l 实现了真正的电子钱包卡方式l 系统功能分权限管理l 补助发放及管理费用收取功能l 报表丰富、查询便利l 消费数据实时上传l 系统维护方便II. POS机的优势特点l POS内信息采用双备份机制l 采用双通讯芯片机制(485通讯和TCP/IP通讯)l 采用多种黑名单处理方式l 采用后备式电源方式l 采用ZIF接插件FFC电缆方式l 完全支持脱机运行，脱机可存储16000条记录l 具有双面、三段、六位整数显示。l 支持金额、单价、菜号、份数等四种运行方式。l 键盘设计,可外接密码小键盘，供用户密码输入。l 内置式机械键盘，防水、防尘，可擦拭。l POS机中的数据采用备份机制保存，用于保证数据的安全性和完整性。l POS机的通讯芯片采用防雷击的技术，有效保护POS机主板和存储的信息。l POS机型号丰富，分为挂式、台式两种。III. 卡片的选择先进性和安全可靠性l 在卡内容的安全上作了周密的校验和安排，以确保卡内数据的完整和有效性l 选用的是PHILIPS公司的Mifare 1射频卡，该卡是目前应用最广，市场占有率最高。l 卡本身有严密的密码管理机制，具有非线性，不可复制。l 对卡上信息分区存放，重要信息采用双备份校验机制。确保数据可靠存放。l 一卡一密。IV. 数据采集通讯安全l 在系统的监控程序与POS机之间，采用RS485协议或TCP/IP通讯，所有的数据帧采用16位的CRC校验，确保通讯数据的完整性。l POS机内的记录采用循环对列存储，历史数不删除，直至被新数覆盖，保证了流水记录的一致性。3.3突发事件的技术防范为保证系统安全稳定运行，本“一卡通”系统项目设计之中已充分考虑到系统的安全措施、及突发事件的处理措施。具体体现以下几个方面：I. 双热备份数据中心服务器部分采用双机热备份及磁盘阵列，可以在系统故障情况下做到系统的稳定运行。II. 脱机工作当POS机网络出现问题时POS机可以脱机工作，这时卡内存有余额可以脱机使用。III. 误操作提示、拒绝当出现误操作时，系统自动提示、拒绝进行等等。IV. 数据安全挂失实时生效，实时更新黑名单。“一卡通”系统具有数据完全共享功能，包括白名单、黑名单管理、信息发布等数据的共享，完全实时不需要人工参与。3.4第三方系统的接入方案3.4.1 灵活、合理的系统结构划分我们的校园“一卡通”系统基本设计结构是以一个卡中心为基本点，各个应用子系统进行适时接入组合，有方便的系统扩展性。系统建设时，“一卡通”系统中任何一个子系统安装使用时，只要同时安装卡中心系统，以后任何一个子系统的接入只需在系统中注册配置即可。同样，第三方的系统接入也采用了相同的模块对接机制，可以直接或间接与系统进行并接使用。3.4.2方便、多形式的接口I. 在系统中开发了根据不同应用系统的不同业务类型相配的接口驱动程序包。丰富、灵活、安全的并接方式：l 数据转换，提供多种格式的数据导入导出功能，进行数据的双向共享；II. 卡共享方式除了接口的方式外，同时提供了卡共享方式，针对不同业务类型的系统，可以使用不同的卡操作方式。对于消费类型的系统，也可以分为一本帐方式和两本帐方式。l 对于一本帐方式，第三方系统使用与“一卡通”一致的帐目，此种情况下，此系统的消费记录要传入到“一卡通”系统中，以维护“一卡通”系统的帐目平衡性和完整性。对于识别类型的系统，系统提供身份认证平台及硬件操作平台接口，此类系统使用的硬件设备，即可以读取卡上的用户身份信息和卡状态信息，用于身份确认和卡有效性判别，同时，卡中心制卡时，可以在卡上加入用于卡识别的扩展信息，例如图书证号等。第四章 系统详细设计4.1 系统网络结构4.2系统应用划分学校目前的校园卡系统共可以分成四个大的系统类别：银行圈存转帐系统、收费系统和身份识别系统及第三方并接系统。银行圈存转帐系统的功能主要完成校园卡的圈存、缴费、查询等功能，圈存、缴费时交易数据经过加密并通过通信服务器（校园前置机）向银行发送请求，通信服务器实时以双工（文本、数据库）存储交易数据。除此之外通信服务器还负责完成每日的校园-银行帐务数据的传输及对帐功能校园卡收费系统主要完成学校内各消费场所电子钱包的运用，不同场所呈现独立结算报表进行独立核算，在帐务上清晰明了。主要运用食堂售饭、商铺购物、上机计费、淋浴房费用等。校园卡身份识别系统主要完成学校内各种需进行身份验证的场所，完成学生身份识别，并做记录备档。例如图书馆系统、机房系统、门禁系统、考勤系统等。4.3卡的使用介绍选用的非接触式IC卡为菲力蒲公司的Mifare One S50非接触IC卡（以下称1），1卡为8K位的非接触式IC卡。4.3.1射频卡的特性I. 卡内部结构主要由射频接口电路、电源电路、逻辑控制电路、EEPROM存贮单元电路四个部分组成，结构如图所示：图IC卡内部结构射频接口电路主要有四个功能，一是给IC卡内部各部分电路提供工作时所需要的能量,通过电源产生电路完成；二是从载波中提取电路正常工作时需要的时钟，由时钟恢复电路完成；三是对进出IC卡的数据进行调制解调，由数据调制解调电路完成；四是上电复位，由复位电路完成。数字部分由主控制模块、通讯模块、信息安全模块等部分组成。各模块在主控制模块的控制下，对读卡器的指令进行响应。EEPROM存贮单元电路用来存储关键数据，它通过EEPROM接口电路与数字部分进行通讯。为数字部分提供必要的数据或数据读写指令执行的结果。由于EEPROM存贮单元在写操作时需要1518V的高压，因此EEPROM存贮单元电路内含高压产生和控制电路。II. 主要技术参数l 工作频率：13.56MHzl 通信速率：106k波特率l 调制方式：ISO/IEC 14443 Type Al 工作温度：-20至50l 存贮容量：8 k bits l 成卡尺寸：符合国际标准ISO10536l 芯片加工技术：高速CMOS EEPROM 工艺l 无电池：无线方式传递数据和能量l 防冲突：可处理同一时间多张卡进入场区的情况l 读写距离：在距读卡器天线0-100 mm区域内能正确进行数据交换和完成各项操作l 卡移动时可交易l 采用双方握手的半双工通讯协议l 在无线通讯过程中通过以下机制来保证数据完整 防冲突机制 每块有16位CRC检验 每字节有奇偶校验位 检查位数 用编码方式来区分l、0或无信息 信道监测（通过协议顺序和位流分析）l 支持多卡操作 防冲突机制， 可处理同一时间多张卡进入场区的情况，防止可能由此而引起的突发的读、写或读写中断现象 动态读写，当对某张卡进行处理时，其它卡可进入或离开射频区域 快速防冲突协议， 每增加一张卡的防冲突处理，仅增加1ms的处理时间l 数据安全性 三次相互认证（ISOIECDIS9798-2） 认证后的流程中所有数据均加密以防止信号截取 每一扇区有相互独立的密钥 每张卡的序列号唯一 传输密钥保护l 支持一卡多用的存储结构 8k位EEPROM （16 Sectors 4 Blocks 16 Bytes 8 Bits ） 分为16个扇区支持多种应用 每个扇区分为4个块 每个块为最小访问单位，由16个字节组成 每个扇区有自己的一组密钥 用户可灵活地定义每一块的访问条件 运算能力：加、减 l 数据保持时间大于10年l 擦写次数大于10万次l 卡识别：3.0ms1.0ms（询卡/应答 + 每个防冲突处理）l 认证： 2.0msl 读块： 2.5msl 写块： 9.0msl 加/减： 2.5msl 传输： 7.5msl 恢复： 2.5msl 典型交易时间 100ms ，包含：卡识别 + 读六个块（2个扇区认证）+ 写二个块（含备份管理）4.3.2校园卡分类使用校园卡人员包括操作员、在册人员、外聘人员和临时人员四大类，在册人员指学校教职工、离退休人员及全日制学生、成教学生、留学生等；外聘人员指临时工作人员、外聘教师等档案关系不在学校的人员；临时人员指临时进修、培训人员以及校外临时消费人员等。我们把校园卡初步分成五种：l 学生卡，发放给在册的学生l 教工卡，档案关系属于学校的教职工和离退休人员l 操作员卡，一卡通系统的管理人员，按权限对系统进行管理与维护l 外聘人员卡，发放给外聘人员l 临时卡，发放给临 时人员，可以记名或不记名，只能通过现金充值，只能在对外开放的消费点和服务点使用。不同卡片类型可以设置不同的使用参数：打印模版可以为不同卡类型设计不同的打印样式和图案存款上限卡账户最大额为一亿元账户下限卡账户支持的存款最低额为0,不透支单日消费限额单日消费如果超过限额，系统会提示用户输入密码。这个措施可以防止卡丢失后被别人恶意消费存款折扣对临时卡系统可以设置一定的存款折扣即手续费是否支持现金充值一般来说，所有卡都可以支持现金充值。但一些系统中，也会严格限制例如学生卡不能支持现金充值是否支持银行圈存只有正式卡才能支持银行圈存IC卡应用点的授权针对不同卡类，对不同消费场进行限制；4.4系统安全方案4.4.1卡的安全I. 卡密钥管理II. 密码保护l M1卡共分为16个区，每个区都有独立的密码信息，在对每个区的信息进行读写前，都要首先进行本区的密码校对，正确后才能对本区的信息进行正常操作。M1卡密码是由16个字节组成，使密码极难被破解，保护了卡内的信息。l 我们为每个持卡人设置了一个6位个人校园卡帐户密码，该密码初始值为“888888”，持卡人可以在我们的每一个自助缴费圈存机或是校园卡中心修改自己的校园卡帐户密码。当消费者日消费累计超过系统设定的阀值时，需要输入消费者自己的校园卡帐户密码才能继续消费，如果密码不正确，本次消费取消。这样持卡人在丢失卡和办理挂失手续这段时间内，可以限制丢失卡的消费金额，尽可能的保护持卡人的利益。III. 备份机制我们在卡内的重要信息都是采用备份的方法在卡内记录两次，这种使用方法是射频卡和M1卡的特性，我们在实践中发现并加以使用的，这种用法更好的保护了卡内信息的完整性和安全性。IV. 性能检验由于卡内存储空间足够大，我们在卡内记录了详细的金额信息，这些信息本身就有一套完善的卡内信息校验机制。在我们的卡记过的密码校验后，正常操作前，POS机或软件系统就可以根据卡内记录的校验信息确定卡的有效性。V. 信息分区我们在卡内写入了许多持卡人的信息：金额信息、姓名、学号等。根据使用频率不同和使用便利程度，我们把金额信息和其他身份信息放在不同的分区，这样校园卡收费系统和校园卡身份识别系统就可以使用各自的区域，相互之间互不干扰。同时在校园卡收费系统中占据很大比重的消费系统在卡的交易时间大大加快，适应了学校餐厅就餐集中，要求交易时间短的需求。4.4.2 POS机安全POS机内存储卡的使用信息是电子钱包卡的特有属性，也是这种方式的关键所在，POS机内存储数据的安全性是非常重要的。POS机的安全包含机内数据的安全和POS机设备本身的安全，我们所采用的措施如下：l POS内信息采用双备份机制因为POS机存储信息的设备是物理设备，很有可能出现物理损伤，我们采用POS机内信息重复记录的方式，如果某一条信息的存储空间出现故障，不能通过校验，系统将自动采用机内存储的另一条信息，保证信息的完整性。l 采用双通迅芯片机制使用通讯芯片冗余的办法，防止雷击造成的信息传输故障，使POS机内的信息可以及时传输到电脑中。l 采用黑闸子数据保护机制l 采用多种黑名单处理方式lllllllllllllllllllllllllllll 采用后备式电源方式 llllllllllllll 能够保证在市电故障的情况下待机使用6小时，正常使用6小时。l 采用ZIF接插件FFC电缆方式l POS机组件全流水线自动焊接，经过防潮、防霉和防高温处理。l POS机在临时停电和临时通信中断时，仍能继续工作。临时通信中断包含事前准备通讯中断和突发通讯中断两种，这两种都能正常工作的POS机只有当卡作为电子钱包卡使用方式时才能实现。4.4.3网络安全系统在校园网上运行，对系统的安全提出了很高的要求，我们采取的措施如下：一般采用三种网络相结合的架构，一卡通系统网络、基于校园网的专用虚拟网和物理隔离的金融网络。专网与校园网隔离，专用的物理通道保证了各校区、各层次网络连接和信息传输的安全性。银行方的数据交易，采用防火墙隔离技术，确保网络互联和边界的安全。网络内部通过端口地址与地址绑定，封锁交换机空余的端口，配置用户口令，使用不同级别的命令等措施。从三方面即网络互联、网络边界、网络内部来确保整个专用网络的安全。 大学的校园主干网部分是整个校园一卡通系统的核心，消费结算中心各种数据服务器和各种自助圈存设备通过校园主干网与各终端设备和银行网络的前置机进行通信。为了保证网络系统的安全性和便于管理，一般采用专网形式，独立于校园网。一卡通网络可以采用基于校园网的内部虚拟专用网（ ），即在校园网络基础设施上建成的专用数据通信网络。数据通过安全的加密隧道在校园网中传输，从而保证通信的保密性。与一般网络互联的关键区别在于用户的数据通过校园网中建立逻辑隧道进行传输，数据包经过加密后，按隧道协议进行封装、传送，并通过相应的认证技术来实现网络数据的专有性。 校园网一卡通主干网（高速以太网）部分，要求所有的以太网设备在VLAN部分和现有的校园网设备隔离，保证现有的校园网和一卡通部分是两个网络，设备不允许互相访问。同时为了共享已有的校园网资源，所以，一卡通与校园网采用防火墙进行单通道连接，保证一卡通网络能访问校园网数据，如：信息化校园建设必不可少的对统一身份认证服务器和门户网站的访问。但校园网不能随意访问一卡通专网，这样将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，使得一卡通网络上的设备能够安全、稳定的运行。 一卡通网络结构可以分为三层。一卡通网络的中心层，是以数据库服务器为中心的局域网的分布式结构（如下图所示）。中心层设置中心交换机，与身份认证系统，卡务管理机，结算管理机，结算中心服务器一起构成一卡通网络与结算中心，它是一卡通系统的管理平台、身份认证平台和数据库中心。通过光缆与各结点相连与一卡通网络的中心组成第一层网络结构，设置二级交换机。第三层为以第一层局域网的网络工作站作为控制主机的控制各个卡收费终端的网络。连接到专网的串口设备子网，以及专网计算机校园网和银行金融网的接口，要同期设计建设。一卡通专网采用网络协议。整个一卡通专网所用交换机，建议采用端口地址绑定，使每个端口只能设置唯一的地址，连接特定的设备，从而保证了整个网络的安全性。 一卡通系统中心与银行系统之间的连接是校园卡与银行卡圈存的数据通道，其安全性是一卡通系统与银行进行数据通讯的保证。为了系统连接的安全性和可靠性，银行金融网络与校园一卡通的专用虚拟网通过或者方式相连，并通过方式连接自助转账设备（专用圈存机等）与银行对接系统（如下图所示）采用如下措施：l 银校通讯前置机采用、双网卡来作为“桥接”双方的安全网关。关于涉及数据在专网上传输，数据报文传输的安全，与银行前置机数据交换的安全主要由双向身份认证、加密和报文认证来保障。 l 防火墙作为保护网络的重要工具，在网络的对外出口处设置防火墙是理想的选择。防火墙在银行网中的安全防护原则： 任何外部网络对银行信息网的内部情况“看不见” 外部非法入侵者及特殊信息“进不来” 机要敏感信息“拿不走” 任何的非法对外访问“出不去”下面是网络安全技术一些概要介绍：I. 网络分段实现网络分段是保证安全的一项重措施，同时也是一项基本措施，其指导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式：物理分段通常是指将网络从物理层和数据链路层（ISO/OSI模型中的第一层和第二层）上分为若干网段，各网段相互之间无法进行直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。 逻辑分段则是指将整个系统在网络层（ISO/OSI模型中的第三层）上进行分段。例如，对于TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间的访问。在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。II. VLAN的实现虚拟网技术主要基于近年发展的局域网交换技术（ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制，但应用了交换机和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此，防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的问题：执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。III. VLAN之间的划分原则VLAN的划分方式的目的是保证系统的安全性。因此，可以按照系统的安全性来划分VLAN：可以将总部中的服务器系统单独划作一个VLAN，如数据库服务器、语音服务器、WEB服务器、制卡中心系统、银行校园前转置等系统头脑的设备划分在一个VLAN里。也可以按照机构的设置来划分VLAN，如将领导所在的网络单独作为一个Leader VLAN（LVLAN），其它司局（或下级机构）分别作为一个VLAN，并且控制LVLAN与其它VLAN之间的单向信息流向，即允许LVLAN查看其他VLAN的相关信息，其他VLAN不能访问LVLAN的信息。VLAN之内的连接采用交换技术实现，VLAN与VLAN之间采用路由实现。由于路由控制的能力有限，不能实现LVLAN与其他VLAN之间的单向信息流动，需要在LVLAN与其他VLAN之间设置防火墙作为安全隔离设备，控制VLAN与VLAN之间的信息交换。IV. VPN（虚拟专网）技术 所谓的VPN就是利用公共网络来构建的虚拟专用网络，用于构VPN的公共网络包括INTERNET、帧中继、ATM等。VPN有三种类型：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN）。VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。网络系统总部和各分支机构之间若采用公网网络进行连接，其最大的弱点在于缺乏足够的安全性。企业网络接入到公网中，暴露出两个主要危险：来自公网的未经授权的对企业内部网的存取。当网络系统通过公网进行通讯时，信息可能受到窃听和非法修改。 完整的集成化的企业范围的VPN安全解决方案，提供在公网上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。V. VPN技术的原理VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。其处理过程大体是这样： 要保护的主机发送明文信息到连接公共网络的VPN设备； VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。 对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。 VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。 VPN 设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。现在在很多的银行、证券系统中使用VPN技术进行传输，安全性较高；我们的系统应用程序与VPN之间不需专门的改动，可以直接在这种技术上应用。VI. VPN的安全性VPN的安全性包含以下特征：l 隧道与加密：隧道能实现多协议封装，增加VPN的灵活性，可以在无连接的IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性，使数据在网上传送而不被非法窥视与篡改。l 数据验证：在不安全的网络上，特别是构建VPN的公用网上，数据包有可能包被非法截获，篡改后重新发送，接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改，保证了数据的完整性。l 用户验证：VPN可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。l 防火墙与攻击检测：防火墙用于过滤数据包，防止非法访问，而攻击检测则更进一步分析数据包的内容，确定其合法性，并可实时应用安全策略，断开包含非法访问内容的会话链接，并产生非法访问记录。VII. VPN的优点l 利用Internet组建VPN，将大笔的专线费用缩减为少量的市话费用和Internet费用。l VPN大大降低了网络复杂度，VPN用户的网络地址可以由企业内部进行统一分配。l VPN组网的灵活性简化了企业的网络管理。l VPN提高了整个企业网的互联性，良好的扩张性使得企业更好、更快地适应Internet经济地发展、把握商机。l 则VPN应用中，通过远端用户验证及隧道加密等技术保证了通过公用网络传输地私有数据的安全性。构建VPN将会充分有效地有限的广域网资源，为重要数据提供可靠的带宽。VIII. 防火墙技术防火墙是指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件组合。防火墙通常位于不同网络或网络安全域之间信息的唯一连接处，根据企业的安全政策，运用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术，实现对出入网络的信息流进行全面的控制（允许通过、拒绝通过、过程监测），控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面。防火墙本身必需具有很强的抗攻击能力，以确保其自身的安全性。防火墙可实现以下的基本功能。l 监控并限制访问针对黑客攻击的不安全因素，防火墙采取控制进出内外网的数据包的方法，实时监控网络上数据包的状态，并对这些状态加以分析和处理，及时发现存在的异常行为；同时，根据不同情况采取相应的防范措施，从而提高系统的抗攻击能力。l 控制协议和服务针对网络先天缺陷的不安全因素，防火墙采取控制协议和服务的方法，使得只有授权的协议和服务才可以通过防火墙，从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。l 保护网络内部针对软件及系统的漏洞或“后门”，防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构，其自身建立在安全操作系统之上；同时，针对受保护的内部网络，防火墙能够及时发现系统中存在的漏洞，进行访问上的限制；防火墙还可以屏蔽受保护网络的相关信息，使黑客无从下手。l 日志记录与审计当防火墙系统被配置为所有内部网络与外部Internet连接均需经过的安全节点时，防火墙系统就能够对所有的网络请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结果进行分析，掌握网络的运行状态，继而更加有效的管理整个网络。防火墙产品分类作为内部网络与外部公共网络之间的一道屏障，防火墙是最先受到人们重视的网络安全产品。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全管理与信息传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的包过滤和代理任务，同时还应能为各种网络应用提供相应的安全服务。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型防火墙、代理型防火墙、状态检测型防火墙和综合型防火墙。l 包过滤型防火墙 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中这些信息，可以获得其基本情况，并据此对其做出相应的处理，比如通过读取地址信息，防火墙可以判断一个“包” 是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用，实现成本较低，同时处理效率高。在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全，并且保证网络具有比较高的数据吞吐能力。包过滤技术的缺陷也很明显。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的源、目的地址和端口等基本网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。l 代理型防火墙代理型防火墙以代理服务器的模式工作，在应用层工作，它的安全性要高于包过滤型产品。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意攻击也就很难触及到企业内部网络系统。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的恶意入侵和病毒都十分有效。代理型防火墙的缺点是对系统的整体性能有较大的影响，系统的处理效率会有所下降，因为需要将数据包的内容层层展开并重组后，才能够完成整个的数据处理流程，数据包的吞吐能力要明显低于包过滤防火墙；同时，代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。l 状态检测型防火墙状态检测型防火墙检测每一个有效连接的状态，并根据这些信息决定网络数据包是否能够通过防火墙。由于一般不对数据包的上层协议封装内容进行处理，故状态检测型防火墙的包处理效率要比代理型防火墙要高；同时，必要时可以对数据包的应用层信息进行提取，故状态检测型防火墙又具有了代理型防火墙的安全性特征。由上可知，状态检测型防火墙提供了比代理型防火墙更强的网络吞吐能力和比包过滤型防火墙更高的安全性，在网络的安全性和数据处理效率这两个相互矛盾的因素之间进行了非常好的协调，但它并不能根据用户策略主动地控制数据包的流动，随着用户对通讯速度的进一步要求，状态检测技术需进一步改善。l 综合型防火墙新一代综合型防火墙在融合了上述几种防火墙的技术特点之外，还综合了加密技术、入侵检测技术、病毒检测技术、内容过滤等一系列信息安全技术，全方位地解决网络传输所面临的安全威胁。综合性防火墙应用于网络边际安全的防范领域。针对影响网络边际安全的病毒破坏、黑客入侵、黄色站点、非法邮件、数据窃听等不安全因素，提供集成的防病毒网关、入侵检测、内容过滤以及VPN等功能，已经远远超越了最初定义的防火墙功能范畴，形成动态立体的网络边界安全解决方案。近几年来，一些有实力的大公司投入巨资研发综合型防火墙，以替代前三类功能单一的产品。目前，综合型防火墙已成为信息安全市场上的主导产品。联想网御2000防火墙就是综合型防火墙产品的典型代表。4.4.4 应用系统安全在一卡通系统中，我们需要从以下几个主要方面考虑应用系统的安全：数据存储安全数据传输安全用户安全系统审计4.4.4.1数据存储安全（一）数据丢失的原因l 自然灾害 如地震、火灾、雷电、洪水、飓风； l 犯 罪 如盗窃、故意破坏、病毒； l 硬件故障 如硬盘划伤；l 软件故障 如系统软件出错 ；l 人为因素 如误操作、误删除； 硬件故障、软件错误、人的误操作是数据丢失的最主要原因。50%以上的数据丢失是由于硬件故障或软件错误造成的，30%以上的数据丢失是由人的错误操作造成的，病毒和自然灾害造成的数据丢失不到15%。（二）恢复数据所需成本无论什么原因造成数据丢失，恢复或重建这些数据的开销都是巨大的。开销包括人员工资、设备和其它资源的花费以及宕机时间对工作和信誉造成的影响。据国外的调查结果，重建1MB的数据平均需要3千美元。而更为严重的是，有些数据是根本无法重建的。（三）如何对重要数据进行管理为了保证关键数据的安全性，必需建立数据安全策略或灾难恢复计划，这其中重要的一个环节就是数据备份方案。I. 利用磁带进行备份 磁带是数据备份首选的介质。磁带备份技术是最成熟、可靠的保全数据的方法，已经有十多年的历史了，是经过反复验证和考验的技术，而且磁带技术一直在