一卡通系统方案11

第七章 一卡通系统安全介绍

第一节 数据中心安全设计

一、数据库安全性

? UNIX操作系统 ? Oracle数据库 ? 数据库模型安全性

i. ii.

iii.

设计数据库表时将重要数据同普通数据存放在不同的表中。 重要的数据库表使用电子签名（防止有意篡改数据）。 建立必要的视图，以隔离一些重要数据；设计必要的日志跟踪。

二、数据库服务安全性

? 本方案采用2台数据服务器，通过双机冗余软件实现2台数据服务器的

冗余,确保1台数据服务器发生故障的时候,另一台服务器能紧接着取代，保障系统的安全运行。

? 同时连接一台磁盘阵列，并在活动服务器连接上磁带库作为备份系统。备

份可以通过Veritas的Netbackup实现高度自动化的热备份即实时备份，在遇到系统出现不稳定及灾难性崩溃时，能使“校园一卡通”里的各种数据及时可以恢复。

所谓双机热备份就是一台主机为工作机（Active Server），另一台主机为备份机（Standy Server），在系统正常情况下，工作机为信息系统提供支持，备份机监视工作机的运行情况（工作机也同时监视备份机是否正常，有时备份机因某种原因出现异常，工作机提醒系统管理员解决，确保下一次切换的可靠性）。当工作机出现异常，不能支持信息系统运营时，备份机主动接管（Take Over）工作机的工作，继续支持信息的运营，从而保证信息系

统能够不间断的运行（Non-Stop）。宕工作机经过修复正常后，系统管理员通过管理命令或经由以人工或自动的方式将备份机的工作切换回工作机；也可以激活监视程序，监视备份机的运行情况，此时，原来的备份机就成了工作机，而原来的工作机就成了备份机。

一卡通专网 备用服务器 心跳线 主服务器 磁盘阵列

? 心跳工作过程 ：通过IP做心跳检测时，主备机会通过此心跳路径，周期

性的发出相互检测的测试包，如果此时主机出现故障，备机在连续丢失设定数目的检测包后，会认为主机出现故障，这时备会自动检测设置中是否有第二种心跳，如果没有第二种心跳的话，备机则根据已设定的规则，启动备机的相关服务，完成双机热备的切换

? IP工作过程 :IP地址才用虚拟IP地址的方法来实现，主机正常的情况下

虚拟IP地址指向主机的实IP地址，学生通过虚拟IP地址访问主机，这时，软件将虚拟IP地址解析到主机实IP地址。当主机做相关的切换时：虚拟IP地址通过HA软件自动将虚拟IP地址解析到备机的实IP地址上，这时，虚拟IP地址指向备机的实IP地址。但对学生来说，学生访问的仍然是虚拟IP地址。所以学生只会在切换的过程中发现有短暂的通信中断，经过一个短暂的时间，就可以恢复通信。 ? 应用及网络故障切换过程

i. ii.

可以检测到操作系统的故障并及时将服务切到备用服务器 当操作系统正常的情况下，数据库系统出现意外故障，这时双机容错软件可以及时发现并将其切到备用服务器，使服务不致于停止。

iii. 当操作系统和数据库系统全都正常的情况下，服务器网络出现故障，这时双机热备软件，可以将系统切到正常的备用服务器上。

实践证明，双机热备份是提高计算机网络系统可靠性的有力措施。双机热备份具有良好的适应性和可靠性，在一台主机出现故障的情况下，备机主动替代主机工作，保证网络应用的可靠性及运行秩序。

第二节 终端设备安全设计

XXXX一卡通系统终端设备安全设计特点：

? 注册／授权双向认证

产品具有特定的注册／授权双向互认功能，防止非法产品入网流通使用。

? 具有签到、签退功能

每台终端设备均具有签到、签退功能，保证交易的合法性

? 使用权限及有效期识别

可设置8类不同的使用场所，授予不同权限，满足不同消费对象或若干下属独立核算单位的 类别管理。严密的有效期识别功能，能有效的防止过期卡片使用。

? 非法卡、黑卡报警功能

终端机广泛使用黑、白名单技术，对卡片进行合法性验证，并记录非

法卡使用情况，有效防止非法卡片的流通。对黑卡以及各种非法卡使用状态，

本机将自动识别并提示相应的报警代码，提示工作人员采取相应措施处理，防止其流通使用 ? 个人密码使用

可选使用，可设置消费与个人密码使用的对应关系

? 逻辑开机锁

操作员可设置键盘锁定与开锁 ? POS终端的消费数据的安全

POS终端保存消费明细和该消费明细的消费交易认证码。进行数据采集时，将消费明细和消费交易认证码一起上传，结算中心可以对该消费交易认证码进行校验，以保证消费数据的真实性和完整性。

第三节 网络安全设计

XXXX一卡通系统网络安全设计主要体现在以下方面：

? 访问控制的具体措施

1) 对网络权限的控制

i. ii. iii.

用户名的识别与验证 用户口令的识别与验证 用户账号的缺省限制与检查

2) 对网络服务器的安全控制

i.

一卡通数据中心服务器群设立专用交换机与校园网物理隔离，来自校园网未受权及非法用户无法对数据库访问。 ii.

一卡通应用程序服务器为双宿主机（Dual Homed Host）,设立两个网口，一个接入专用交换机，另一个接入校园网划分的VLAN中，充分保障对数据中心访问的安全性。 iii.

WEB服务器与校园网之间设置防火墙，防火墙运行NAT将服务器真正IP隐藏起来，配置访问端口，例如，对于HTTP