校园一卡通系统涉及到校园生活的诸多方面，概括为三大类：消费类，金融类，身份认证类。这三类基本覆盖了多数应用，如图1所示。

　　除了前端应用之外，一卡通的运行离不开后端基础网络和硬件的支持，其所关联的网络与终端硬件也是非常庞大的，遍布在校园的各个角落，与每位师生的生活关系密切。随着技术发展，一卡通在数字化校园中的地位及重要程度与日俱增，其安全问题关系面广，是一个需要长期←探讨和长久防范的问题。

　　一卡通应用多，安■全因素也多。下文从不同的角度全方位地卐剖析一卡通系统的安全∩因素，如图2所示。

　　传统角度：通信安全、网络安全

　　从传统的角度看，一卡通系统的安全要考虑它的通信安全、网络安全;校园一卡通系统是一个金融消费系统，与钱有关，安全起见，校园一卡通的网络必须是专用网络。通常由两部分组成，一部分是TCP/IP主干网，另一部分※是485协议的局◥域网。每一』部分都会涉及到网络安全问题。传︻统的网络安全问题：防火墙、安全策略等本文不做深入讨论。

　　主干网安全¤问题：

　　对于一卡通网络，有一些高校是专用的物理网络，有一些高校是通过分离校园网的VLAN网络。这样做的目的就是为了保证通信和网络安全。一卡通网络接入的主要对象是一卡通相关设备，相对来说网络环境简单。但是存在一个※弊端，网络端口遍布校园各个楼〇宇公共场所，不可能有卐专人值守，蓄意破坏者可〗以接入到一卡通网络，存ξ在冒充网关、散播病毒等安全风险。

　　局△域网的安全问题：

　　1.一卡通消费POS设备，身份识别设备等的接入网络都是485协议局域网，比如食堂的POS机局域网，它的潜在安全问题主要是网络线路本身所处环境高温高湿，容易导致网络线路老化，影响通信。

　　2.局域网络的通信网关也是经常出现故障的安∏全隐患点。由于其所处的弱电间身处一个高温高湿的大环▂境中，而没有◥制冷设备，特别是到了夏季，环境温度过高，散热不及时，一直处于工作状态的网关设备容易死机、损坏，导致通信中断。

　　业务角度：业务操作安全⊙、业务对↘接安全

　　一卡通是Ψ 一个应用系统，同时也在发挥一个身份接入平台的作用，其业务涉及范围较广。

　　业务操作安全：一卡通所涉及到的业务Ψ操作包括：卡业务窗口工作人员的日常操作包括卡々初始化、卡发行、卡回收、卡充值等业务;一卡通系统运维人员日常的运维操作包括一卡通终端设备的注册、接入、交易冲正、卡库不平处理、账务问题处理等。业务操作会涉及到密钥、卡片结构信息等安全〖的关键因素。需要确保工作计算】机的安全。

　　业务↓对接安全：一卡通基于其身份识别功能，较多业务考◥虑到了把一卡通作为身份的线下入口「ㄨ。本文中业务对接安全指一卡通系统既能实现与第三方系统的互联信息互通，又能保证数据和系统的安全。业务不同，对接方式也不同，比如开放卡片的某个扇区密钥与结构、提供数据库访问接口∑、以WebService的方式提供数据接口等〓等。一卡通在与第三方做对接▓时，一卡通核心服务信息及数据必然会不同程度地提供给】了第三方，增加一卡「通的安全风险。

　　运行角度：7×24不间断运行

　　一卡通系统不仅有一些可以脱机的◥POS机消费，还有实时的在线应用，比如考勤、报名等应用系统、学生购电系统、自助充值等。如果一卡通运行中断，那么在线业务都会中断，将直接影响学生的购电、充值及○自助卡务等业务，进而会影响到师生的生←活。在某些高校曾出现一卡【通无法购电，导致寝室没电引发轩然大波的案︼例。

　　一卡通服务器安全，是系统安全的基础，是所有因素中非常重要的安全因素。服务器安全主要包括：服务器硬件设备运行安全、服务器操作系统的安全、核心数据库的安全等。服务器稳定性与构建服务器的□策略有关，例如是否采用↑双机热备，是否使用了高可用性，数据库的备份恢∮复机制，应用后台〗的稳定性等都直接关系到一卡通系统的运行安╲全。

　　智能卡系统角度

　　智能卡系统本身也是一个非常重要的安全因素。目前很多高校都仍然在使用M1卡，M1是非接触逻辑加密卡，密钥是一个预先设定的固定密码，存储︽在卡片扇区内的，很容易复制。早在2008年10月，互联网上公布了破解MIFARE CLASSIC IC芯片密码的方¤法，不法分子利用这种方∞法可以很低的经济成本对采用该芯片的各类“一卡通”、门禁卡进◢行非法充值或复制，带来很◆大的社会安全隐患。对于该问题⌒　，大部分高校升级系统时，基本上都采用CPU卡系统。

　　CPU卡打破了原有M1卡的模式，不再是扇区存储。所有的应用都是以文件的形式，加密后存储在卡片中，对于文※件的读写都是通过卡内芯片OS对指令的响应来实现，这极大╳的提高了卡片的安全性。

　　除了卡片本身之外，与M1卡所配套的机具也是一卡通安全问题的』重要因素。M1卡系统的逻辑密钥体系与POS设备，缺乏有效的安全认证机制，可以相互伪造。而CPU卡的加密算法和随机数发生器与安装在读写设备中的密钥认证卡(SAM卡)相互认证可以实▅现：

　　1.通过终端设备上SAM卡实现对卡的认证。

　　2.非接触CPU卡与终端ㄨ设备上的SAM卡的※相互认证，实现对卡终端的认⊙证。

　　3.通过ISAM卡对非接触CPU卡进行充值操♂作，实现安全的储值。

　　4.通过PSAM卡对非接触CPU卡进行减值操作，实现安全的扣款。

　　增强了安全性，避免了原有M1卡一台设备既可以减值又可以』加值的不安全问↘题。

　　关于该角度的①安全问题，M1卡更换为CPU卡，基本上确保了卡片本身的∏安全性。所以在升级或者新Ψ 建一卡通系统时，选择CPU卡系统，可以规♂避卡本身的安全问题。

　　财务严谨性角∏度

　　把一卡通归为一个财务系统也不为之过，每天全校师生的消费都会产生大量的消费流水，系统每天都要对流水，按商户进行结算，然后产生→财务报表。一卡通系统内部有一套完整的财务机制及财务流程。

　　首先，在这个财务系统中，交易的安全性是一个前提性▓安全因素。系统必须保证交易数据的㊣　正确性、完整性、不可篡改或者伪造。另外，一卡通系统↙内的交易，不可避▂免存在一定的异常情况，如非法卡消费、一卡通丢失后挂失卡消费，一卡通卡状态不正常、一卡通被非法持有后的恶意大额消费等等都会存在安全问题。这些问题，必须要有相应的机制来规避，如：

　　通过数★字签名、双向认※证实现卡与设备真伪的双向确认;

　　系统通∑过黑白名单管理实现交易的安全;

　　卡状〖态及有效期识别功能，能有效的防止过期卡↘片使用;

　　系统还提供△了非法卡、黑卡报警功能;大额度消费需要输入密码等机制。

　　其次，财务报表的准确性、完整性机制也是一卡通财务安全的重要因素，系统创建时考虑到审计功能，内部自动对账功能，卡库不平自动报警功能等，可以多方位地发现账务或财务安全问题。

　　日常管理角々度

　　一卡通系统的日㊣常管理也涉及到较多〓安全问题。

　　日常〗管理主要有：一卡㊣　通工作人员管理、一卡通终端设备管理、一卡通系统财【务、账务的管理、系统安全使用管理等。

　　一卡通工作人员管理：一卡通工作人员包括系统管理员、系统运维人员、卡业务人员等，这ζ　三部分人员是保证一卡通安全稳定运行的核心力量，团队管理的好坏决定着系统能否持续稳定良性的○运行。比如工作纪律、日常业务←操作的规范性、系统的保密制度等等，都可能会直接和间接影响到一卡通的安全。

　　一卡通终端设备管理：包括硬件资产管理、维修管理、硬件接入管理等等。一卡通终端设备种类繁多，校园内◤分布广泛，而无人值守，所以资产的财产安全也是一大问题;设备损坏维修有可能会导致设备内流水丢失，导致账务问题及商户营业◇额损失;硬件的接入必须按照相应■的技术规范，比如食堂POS机具、水控POS机，严谨随意移接及乱拆乱接等，会导致短路，烧坏设备。

　　一卡通系统财务、账务的管理：一卡通有现金业务，对于现金收支存放等必须有严格的管理制度。比如：有时会出现现金与账务不一致问题、当天的现金未结算问题、现金被盗等安∩全问题，现金操作人员的职业道▓德和素养问题等等，这些因素都是管理制度必须要考虑的，也是潜☉在安全风险。

　　系统安全使用管理：一卡通子系统♂较多，系统必须具备权限分级管理的功能，来保障操作的安全性。不同级别的人员具备不同的菜单和系统权限，各业务互不影响。同时系统具备安全审计功能。管理员在系统使用和登录时避免密码泄露，确保在安全无毒的工作环境中使用№系统，严禁随意接入外部USB设备等等，这些都是系统安全必备的要素▆，如图3所示。

　　数据安全角度

　　一卡通产生了很多的消费数据、考勤数据、门禁数据，还有人员基本信息的数据等等。大部分数据涉及个人隐私，同时数据本身也隐藏着很多重要信息，数据安全的重要性不言而喻。确保数据的机密性、完整性、正确性◣是毋庸置疑的。数据的使用也涉及一些安全因素▅：一卡通账户信息和数据的共享问题→、数据访问传输问题▓、数据加密①机制、数据存储备份▲机制等。随着大数据时代的兴起，数据安全也愈加重要。

　　综上，校园一卡通系统的安全性包括了许多方面，有些方面是在系统建设时期就要规避的，有些方面是通过日后监督管理等策略来加以控↑制的。一卡通安全是一个综合的全方位的系统工程，各种安全策略必№须相互配合，有机协调才能真正起到保护作用。即便如此，安全问题∑也没有一劳永逸，绝对安全的▲策略①，需要我们不断地去探索，做到防患于未然Ψ 。

　　(作者单位为上海海事大学信息化办公室)