一卡通系統(tǒng)中工作站數(shù)據(jù)安全策略的研究
文章出處:http://m.overnightmodel.com 作者: 人氣: 發(fā)表時間:2011年09月12日
摘 要:本文針對一卡通系統(tǒng)中工作站數(shù)據(jù)安全策略的可行性做出具體的分析及論證;并在此基礎(chǔ)上研究工作站數(shù)據(jù)實時通訊、傳輸安全的可行性及其可行性所需滿足的條件,本文的研究可以為進(jìn)一步實現(xiàn)一卡通系統(tǒng)的安全設(shè)計提供理論依據(jù)。
1 引言
各人學(xué)在校園卡應(yīng)用系統(tǒng)管理上存在諸多問題, 主要表現(xiàn)在以下方面:一方面由于應(yīng)用領(lǐng)域的日益擴(kuò)大,校內(nèi)各單位逐步建立起自己的卡應(yīng)用系統(tǒng),造成目前學(xué)生身上持有多張等。另一方面學(xué)校校園網(wǎng)建立較晚,使學(xué)校各單位管理不能統(tǒng)一。
目前,各大學(xué)校園網(wǎng)的建成投入使用, 為校園一卡通系統(tǒng)的建立提供了可能,非接觸式IC卡系統(tǒng)的日漸成熟為校園一書通系統(tǒng)的建立提供r技術(shù)保障,校園內(nèi)實現(xiàn)一卡通管理巳成為校園管理發(fā)展的必然趨勢。
2 校園一卡通的概念
校園一卡通系統(tǒng)是以校園網(wǎng)為基本載體, 采用計算機(jī)技術(shù)、網(wǎng)絡(luò)與通信技術(shù)、數(shù)據(jù)庫技術(shù)和卡與卡的識別技術(shù)等信息化的手段和工具,利用作為電子身份的載體,利用卡作為與計算機(jī)進(jìn)行交互的介質(zhì),持卡人在其身份允許的范圍內(nèi),實現(xiàn)在校園內(nèi)進(jìn)行商務(wù)消費、身份識別認(rèn)證、金融服務(wù)等社會應(yīng)用活動的數(shù)字化信息化,并采用相應(yīng)科學(xué)合理的管理機(jī)制加以保證, 為廣夫師生員工的教學(xué)、科研和生活提供方便, 從根本上實現(xiàn)“一卡在手, 走遍校閱” 的日的,促進(jìn)學(xué)校管理的科學(xué)化、規(guī)范化。
3 工作站存在的安全隱患
安全專家通常發(fā)現(xiàn),不起眼的工作站數(shù)據(jù)安全往往正是系統(tǒng)安全當(dāng)中最薄弱的環(huán)節(jié)。 很多攻擊事件就是通過入侵系統(tǒng)里面的工作站來破壞其數(shù)據(jù)資產(chǎn)的完整性。這是因為犬多教組織采用同類環(huán)境, 而且大多數(shù)組織未能采取安全措施防范攻擊。沒錯,許多組織通常部署了專業(yè)的邊界防御系統(tǒng),包括面向因特網(wǎng)的安全配置服務(wù),可遺憾的是,一臺臺工作站并不安全。
一卡通的工作站環(huán)境要求大部分系統(tǒng)的配置幾乎一模一樣,并且采用同樣的應(yīng)用軟件套件。這意味著,它們同樣作為一個單位加以集中管理,包括同一本地管理員口令賬號、同一共享機(jī)制和網(wǎng)絡(luò)映射、同一補(bǔ)丁級別以及同一防卸配置。因而,倘若一個工作站的數(shù)據(jù)安全受到危脅,就會導(dǎo)致整個環(huán)境的完整性蕩然無存。
研究工作站數(shù)據(jù)安全策略所實現(xiàn)的目的是對于常規(guī)的漏洞予以杜絕,對于一般性事故做到用戶無損失,能夠及時恢復(fù)。對于不可抗拒的因素造成的事故將損失降到最低的程度,數(shù)據(jù)安全的作用主要就是傲到防患于未然。
4 工作站數(shù)據(jù)傳輸安全的研究
數(shù)據(jù)傳輸與交換平臺的有效運行是保證一卡通系統(tǒng)有效運行的基本條件, 是保證一卡通系統(tǒng)使用卡進(jìn)行通行通用的重要環(huán)節(jié), 可以稱為一卡通的血液循環(huán)系統(tǒng)。它的安全性可以從以下四個方面來考慮。
(1)平臺組成:數(shù)據(jù)傳輸與交換平臺在技術(shù)上并不是一個獨立的程序包,而是由數(shù)據(jù)傳輸與交換系統(tǒng)、應(yīng)用接入與集盛系統(tǒng)和應(yīng)用支撐平臺的數(shù)據(jù)交換與共享處理 單元等多個程序包組成。
(2)數(shù)據(jù)傳輸與交換的方式(從耦臺程度上):校園一卡通系統(tǒng)的集成與擴(kuò)展主螫就慫中心數(shù)據(jù)庫和第三方系統(tǒng)本地數(shù)據(jù)庫之間的數(shù)據(jù)級的交換共享集成。校同一卡通系統(tǒng)的集成與擴(kuò)展也是通過接口作為自身系統(tǒng)的擴(kuò)展和集成,同時通過接口供數(shù)字化校園其他系統(tǒng)的調(diào)用提供數(shù)據(jù)級和功能級的擴(kuò)展服務(wù)。校園一卡通系統(tǒng)的集成主要有三種方式:緊耦合方式、松耦合方式和不耦合方式
(3)數(shù)據(jù)傳輸與交換的方式(從技術(shù)實現(xiàn)上):數(shù)據(jù)傳輸與交換平臺的技術(shù)實現(xiàn)方式主要有SOCKET方式和EJB接口、WEB SERVICE接口方式。
(4 ) 運行機(jī)制:數(shù)據(jù)傳輸與交換平臺的數(shù)據(jù)傳輸與交換系統(tǒng)一般部署在應(yīng)用類系統(tǒng)的工作站或者前置機(jī)中,隨著應(yīng)用類系統(tǒng)的啟動而長駐在內(nèi)存中運行,數(shù)據(jù)傳輸與交換系統(tǒng)不斷地掃描本地數(shù)據(jù)庫中最新的流水信息, 井進(jìn)行歸集作為上傳接口的參數(shù),然后調(diào)用應(yīng)用支撐平臺的數(shù)據(jù)交換與共享處理單元的上傳接口,完成了在系統(tǒng)終端流水信息方面中心數(shù)據(jù)庫和本地數(shù)據(jù)庫的數(shù)據(jù)交換。同時數(shù)據(jù)傳輸與交換系統(tǒng)不斷地調(diào)用下傳接口掃描中心數(shù)據(jù)庫中最新的檔案變動信息,并進(jìn)行信息歸集,然后保存到本地數(shù)據(jù)庫中, 完成一卡通體系內(nèi)在持卡人檔案信息方面中心數(shù)據(jù)庫和本地數(shù)據(jù)庫的數(shù)據(jù)交換, 以保證一卡通系統(tǒng)內(nèi)檔案信息的一致性。
5 工作站數(shù)據(jù)備份與恢復(fù)的研究
數(shù)據(jù)庫安全采用分布式數(shù)據(jù)庫設(shè)計,數(shù)據(jù)有三層存儲,設(shè)計多種備份方式、井可進(jìn)行實時在線備份,設(shè)立定時任務(wù)進(jìn)行定時自動數(shù)據(jù)庫備份,支持異地備份,在數(shù)據(jù)庫中設(shè)定賬戶,權(quán)限功能細(xì)劃到表中的列, 不同的訪問者有不同的訪問權(quán)限,用戶對數(shù)據(jù)庫對象的訪問權(quán)限控制;可靠支持機(jī)制可實現(xiàn)數(shù)據(jù)庫系統(tǒng)的快速災(zāi)難恢復(fù),確保數(shù)據(jù)的絕對可靠,且有多種數(shù)據(jù)恢復(fù)機(jī)制,確保數(shù)據(jù)不損失或少損失。重要的數(shù)據(jù)庫表使用電子簽名(防止有意纂該數(shù)據(jù)),關(guān)鍵列進(jìn)行加密處理;建立必要的視圖,以隔離一些鶯要數(shù)據(jù);沒計必要的日志跟蹤。
在數(shù)據(jù)庫遭破壞的情況,不需要考慮它是如何被破壞的。不需要研究它的關(guān)鍵數(shù)據(jù)庫文件,文件結(jié)構(gòu)以及硬盤結(jié)構(gòu)來進(jìn)行恢復(fù)。當(dāng)在工作站的數(shù)據(jù)上傳服務(wù)器之前丟失的情況下,利用數(shù)據(jù)傳輸與交換系統(tǒng)實現(xiàn)從網(wǎng)控器恢復(fù)數(shù)據(jù),在工作站的數(shù)據(jù)下傳網(wǎng)控器之前丟失的情況下,利用數(shù)據(jù)傳輸與交換系統(tǒng)實現(xiàn)從中心服務(wù)器恢復(fù)數(shù)據(jù)。
6 結(jié)論
本文研究在安全策略方案的選擇上有以下幾個特點:
(1) 適應(yīng)性、擴(kuò)展性原則;安全措施必須與系統(tǒng)的整體性能相適應(yīng),必須能適應(yīng)系統(tǒng)整體性能及安全性的擴(kuò)展。
(2) 需求與開銷的平衡原則;安全永遠(yuǎn)是相對的,因此需要在系統(tǒng)的安全保障需求與為之付出的開銷之間找到一個平衡點。
(3) 簡單、可靠性原則;系統(tǒng)采用安全措施應(yīng)力求簡單。如安全措施過于復(fù)雜,對系統(tǒng)的人員、軟硬件設(shè)備壓力過大,增加太多的復(fù)雜性.其本身就降低了系統(tǒng)的安全性。安全設(shè)備本身必須安全可靠運行,不能成為系統(tǒng)中新的不安全因素。(文/1.大學(xué)遼寧省交通高等??茖W(xué)校信息系 王玉 2.沈陽理工大學(xué)沈陽 張明揚 ;3.沈陽宏昌科技有限公司 劉志祥)
【稿件聲明】:如需轉(zhuǎn)載,必須注明來源和作者,保留文中圖片和內(nèi)容的完整性,違者將依法追究。