关于校园一卡通的数据库安全策略
开篇:润墨网以专业的文秘视角,为您筛选了一篇关于校园一卡通的数据库安全策略范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:在中职学校中,伴随着校园现代化建设的高速发展、校园数字化的快速普及以及学校校务管理工作的复杂性逐渐增强,在校园信息管理中引入“一卡通”已经蔚然成风。文章阐述了一个适合中职校园的现代一卡通系统,重点讨论了校园一卡通系统的数据库安全优化问题,提出了系统数据库优化设计的方案。
关键词:校园网;一卡通系统;总体设计;数据库安全;数据优化
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)27-6416-02
作为校园卡系统的“大脑”,一卡通系统中心服务器以及各分校区服务器存储了全部的用户身份信息和交易记录信息,因此中心服务器的数据管理是否安全将影响整个校园一卡通系统的安全。因此各服务器数据安全是一卡通系统体系安全运行的基础,数据安全主要包括数据传输和数据存储两部分的安全[1]。
1数据存储安全性
1.1数据库安全性
数据库搭建后存在的一个主要问题是库中对象的权限要求并不一样。一卡通系统分为多个校区,每个校区又分多个子系统,各个子系统拥有各自的数据,越权访问操作将导致一定的系统安全隐患,并带来管理上的混乱。因此我们严格限制各子系统数据库用户所拥有的权限,不同的用户有不同的访问摸式,如读或写,使各用户只能访问被批准的数据。同时定期更改数据库密码,并使之尽可能复杂。
1.2服务器系统的安全性
一卡通系统在设计时应重点考虑系统的安全性、可扩展性、通用性、维护性和高性能特性。对主机设备,应具备较高的CPU浮点运算能力和整数运算能力,满足数据的高性能访问;具备主要部件冗余,包括系统控制器、CPU、I/O、内存,内部系统互连、电源系统和风冷设备,强大的主处理单元容错能力;具备硬件分区和逻辑分区功能[2]。
针对该校一卡通系统的具体要求,我们对数据存储服务器的安全性作如下强化:操作系统方面,中心数据库服务器安装LINUX操作系统,相比Windows2000等系统安全性较高,同时在安装操作系统时采用较高的安全级别,密码设置及管理机制尽量提高可靠性,关闭没有实际使用的网络访问服务;同时定期更改数据库密码,密码设置尽可能复杂。硬件方面,中心服务器组建了两个物理分区可实现完全故障隔离,两者将Oracle大型数据库系统分别通过两台配置较高的小型机运行,利用高可用性双机热备软件实现双机热备,双通道光纤直接连接至磁盘阵列,保证所有数据处理不间断进行,增加系统的高可用性[3]。
1.3数据库日志的完善
一卡通系统数据库中包含很多消费和收费的敏感数据,如消费管理、智能电控和水控、银行圈存等系统数据,同时必须能够查询到访问或修改过这些子系统中数据的历史记录。在这一点上,一卡通系统必须对系统日志记录备份,通过核对数据库本身的系统日志,审计工作就可以更加准确。另外需要定期对数据库日志进行备份[4]。
1.4数据备份与恢复
在系统运行过程中,应做好系统数据库数据的备份,是最稳妥的方法就是定期备份数据,以防止硬件损坏(如系统崩溃宕机、硬盘损坏)、服务器软件故障、网络攻击和病毒破坏等原因所导致的数据受损。
数据备份方式方面,Oracle数据库自身有多种解决方案,特别是在线数据备份可保证系统一周7天全天候的运行。在本系统中,我们采用全备份和增量备份、物理备份与逻辑备份相结合的数据库备份策略,把数据备份通过在线备份方式带到磁带库中。完全备份每周一次,保存周期一个月;以上完全备份的备份每月一次,一年的保存周期;增量备份每天一次,保存周期一个月。当意外情况出现,需要数据恢复时,首先恢复最近一次的完全备份,之后再把所有的增量备份恢复即可[5]。设定在数据库业务量较少的时间内进行完全备份与增量备份[6]。
2数据传输安全性
数字化校园一旦出现数据传输的安全泄露,将造成重大的损失,因为在数据传输方面很多时候都是传输极为重要的金融数据,因此我们设计数据传输时考虑的重要方面有:校园网络体系设计架构、POS终端与中心前置服务器数据交换的安全性、卡片与POS终端数据传输安全性、圈存终端与银行主机数据交换的安全性、子系统前置机与应用服务器的数据传输安全性等。所以数据传输的安全性也是一个设计数字化校园安全保障体系时需要重视的环节[7]。
数据传输的安全性必须要加强以适应一卡通系统的需求,因此设计安全体系保障措施如下:
2.1网络体系设计
校园网网络的安全性直接决定数据传输的安全性,非法用户经常通过校园网侵入数据库,因此为保证一卡通系统的安全,应把一卡通网络进行独立构建,即建设一卡通专网,这样可以使一卡通网络不与外部系统、特别是互联网直接链接,相对封闭,以此实现一卡通专网和校园网的物理隔离机制。
2.2数据加密
在终端机与各校区数据库服务器、各校区数据库服务器与中心服务器前置机的数据包传输问题上,我们把一个对原始数据通过密钥进行特定的加密运算后得到的加密校验数据域加入数据包,如果在传输过程中数据被人试图篡改,那么到达接收端后进行的数据合法性校验将无法通过。
2.3 RFID-SIM卡与终端机的数据传输
为了有效地保证了数据传输过程中的安全,RFID-SIM卡与终端机的数据传递都是经过严格加密算法加密,不可破解或篡改的。
综上所述,我们主要在数据库中心内部及网络边界建立实时检测、监测和恢复机制,采取快速动态响应的安全手段,构造多层次立体的一卡通系统运行安全环境,应用关键系统冗余设计、多样性系统灾难备份恢复等方法以实现数据传输的安全性以及数据存储的安全性设计方案[8-9]。
3突发事件的技术防范
任何一个系统总会遭遇各种计划外的突发事件,为保证系统安全稳定运行,我们将常见突发故障分类处理,设计以下几个方面的具体应对措施:
3.1校园卡故障
持卡人丢失卡片或卡片故障是最常见的突况,这种情况有可能带来持卡人消费受限甚至经济损失等诸多不便。针对此类突发事件,我们将多种挂失方式整合进一卡通系统设计:各工作站点报失、网上自助挂失、电话挂失等,多渠道的模式保证持卡人发现丢卡后第一时间能找到便捷的挂失渠道。
如果遇到意外卡片损坏,我们通过提供临时卡供用户应急使用一卡通系统。
另外一种突况是卡内数据异常,由于卡内数据采用双扇区备份,并且是16位CRC校验机制,所以当由于某种原因卡片一个扇区数据出现异常时,另一扇区可以自动启动恢复;这种机制可降低50%的卡片报废率,可以在减少投资成本的前提下最大限度保护持卡用户的利益。如果遇到卡内两个扇区同时出现数据异常,则有可能导致异常余额的客户卡出现,为了确保数据的完整性和账目的正确性,该卡被置为黑卡中止使用。
3.2网络故障
由于该校园网设计方案采用标准结构化混合型拓扑的网络方案,上级星系拓扑与下级总线型拓扑结合铺设,可减少个别端点支路网络故障的影响,一条子网的故障,不会影响其他子网和主干网的正常使用。同时也解决了一机故障或多机挂网导致全线瘫痪,单纯总线型结构存在的网络故障问题,有突发故障时,系统支持在线处理以最大限度保证系统稳定工作。
另外,当出现严重的突发网络问题时,系统必需短时间脱机工作,卡片本身自带的电子钱包功能可实现脱机交易,并具有足够的安全保证。POS机单机可存储10000笔消费流水记录,按每台POS机每天营业500笔流水记录,可以支持20天的脱机消费。
如果出现重大故障,导致网络出现长时间断线,可采用大容量的数据采集卡与数据交换来和POS机进行如黑名单、修改运行参数等数据的交换。
3.3数据灾害
数据中心服务器部分采用双机热备份及磁盘阵列,可以避免系统出现单点故障情况下对系统的正常运行造成影响;此外,为实现数据冗余处理,中心数据库每天还要通过网络向异地的存储设备上进行数据冷备份。当系统出现严重的灾难性故障时,数据系统也可根据卡内信息来恢复。
3.4非法卡消费
出现非法卡消费情况时,由于采用黑白名单联机情况下的双重验证机制,可以实时创建更新黑名单,实时挂失生效。同时不需要手工操作,系统可以自动实现完全共享数据的功能,包括信息、黑白名单管理等数据的共享。
3.5系统数据恢复
校园一卡通系统的数据库包含所有的资金账目和身份验证基本信息,以及交易流水记录,所以一旦数据库遭到破坏,将带来不可预计的损失。虽然在以上所述中系统总体结构设计提供了双机热备份、数据冷备份、异地存储等多种故障应对措施,但是一个完整的一卡通系统解决方案中,还必需具备一套完善的数据灾难恢复系统。
我们设计采用专用软件和专用的POS程序芯片组成该校一卡通系统数据灾难恢复系统。个人的账目和识别信息都存储在使用中的校园卡里,卡中的个人信息可以通过灾难恢复系统恢复到系统数据库中,重新建立个人账目和身份识别信息,同时可以最大程度的恢复系统总账信息[10]。
4总结
根据本系统预期上线的功能情况,一卡通系统经过上文一系列的数据库多重优化设计,可以有效减少系统故障率,消除大部分可能发生的数据库安全问题;一卡通系统健康的运行,能使当前乃至未来数年学校教学管理、学生管理、后勤服务等各个环节都符合教育发展需求,同时也给在校学生带来极大的便利,极大优化了信息处理的效率,最终有效构建出数字化校园。
参考文献:
[1] Joel Katter.Understanding Thin-Client Server Computing Microsoft Press[M].1997:44-45.
[2]微软亚洲研究院.SQL SERVER数据库原理-设计与实现[M].北京:清华大学出版社,1999:207-211.
[3] Willialn G,Page Jr,等.oracles /8i开发使用手册[M].北京:机械工业出版社,2000.
[4] Hector Garcia-Molina.数据库系统实现[M].杨冬青,译.北京:机械工业出版社,2000:66-70.
[5]邵佩英.分布式数据库系统及其应用[M].北京:科学出版社,2002:56.
[6] David C.Kreines,吴安青,薛涛,卫红权,译.Oracle SQL必备参考[M].中国电力出版社,2003:78-79.
[7] Abraham SilberS Chatz.Database System Concepts[M].3版.北京:机械工业出版社,2001.
[8]秦健勇,孙杰.浅析校园网建设中存在的问题[J].科技信息,2007(7).
[9]赵震伟.浅析数字化校园一卡通系统[J].浙江交通职业技术学院学报,2009(6).
[10]魏德志;林丽娜.数字化校园一卡通的设计和实现[J].电脑知识与技术:学术交流,2007(2).