厦门蓝河电子城市公交一卡通系统平台解决方案

　　3.4.2.5 ISAM黑名单管理

　　此功能为列出有关此系统的ISAM卡中已标记为黑名单卡的列表。当卡片已经标记为黑名单卡片后，卡片不可再在交易终端中使用。

　　3.4.2.6 ISAM查询

　　使用此功能，操作员可以得知需要查询卡片的归属。

　　3.4.3 用户卡管理

　　3.4.3.1 开户

　　系统平台提供联机方式的开户服务。对已经通过了登记在线的客户，操作用可以通过该功能进行开户作业。

　　3.4.3.2 用户管理

　　系统平台对个人客户和单位客户进行管理和维护，主要是将客户在系统中增加、删除、修改;当客户已经开户办卡后，系统可以对客户的帐户应用情况进行维护，如：客户等级、客户的折扣类型、客户限购内容，以及账户冻结和解冻。

　　3.4.3.3 充值

　　1) 现金联机充值

　　联机充值交易是指在充值时通过联机的方式到运营单位中心申请额度进行充值。运营单位会联机记录日志，设备仍需要上送的充值交易记录数据进行清算。联机和脱机充值的区别是额度的申请方式，脱机是在本地申请，联机是到运营单位中心进行申请。同时也要支持充值密钥联机到后台进行认证的功能，根据网络情况实现可配置。

　　联机充值的功能要求包括：

　　1、能够检查设备、操作员和卡账户的合法性

　　2、能够从加密机和系统中申请额度信息

　　3、能够记录日志信息

　　4、能够返回应答信息

　　5、可对终端流水号、SAM卡交易流水号、卡计数器连续性进行检查

　　3.4.3.4 充值圈存

　　当持卡人在通卡开通了账号，就可以使用通卡在终端上由后台账号对普通钱包进行圈存。后台先会匹配终端和后台账号的行业信息，返回有效的账号——终端所属行业允许交易的账号，持卡人可以选择某个(一次交易只能指定一个)账号进行圈存。圈存交易需持卡人输入PIN。

　　电子钱包与后台账号圈存的关系，约定如下：

　　1、通卡账号可以圈存到通卡钱包;

　　2、通卡账号可以圈存到行业钱包;

　　3、行业账号可以圈存到行业钱包;

　　4、行业账号不可以圈存到通卡钱包;

　　5、不同行业的账号和钱包不可以圈存;

　　6、不在社会网点的终端上进行账号的充值。

　　3.4.3.5 冲正

　　系统提供当发生交易在终端已经完成但没有收到主机的响应时，即交易超时的情况，产生未能确定交易是否成功的情况，为确保用户的利益，可执行冲正交易的功能。

　　3.4.3.6 挂失与解挂

　　客服挂失为联机交易，银行挂失交易为脱机交易。可对记名卡进行挂失申请，系统经过账户合法性校验后，将卡号插入黑名单注册表，同时更新卡片的状态。卡公司根据交易信息和卡账户比对，如发现异常卡，可人工设置为黑名单。

　　解挂交易为联机交易。系统收到解挂交易后，系统经过账户合法性校验后，在后台对该卡号进行黑名单比对，如在黑名单记录中，更新卡片状态为正常，并在黑名单记录中设置为已解挂。

　　3.4.3.7 换卡

　　只有在因卡片本身质量问题造成卡不可读时才能办理换卡业务，交易过程为联机交易。换卡包括两个步骤，先办理退卡后再办理新卡，但是退卡时不收取退卡服务费，办新卡时视旧卡损坏原因收取或不收取押金。换卡业务受理点将换卡交易数据发送到总中心处理，将旧卡状态置为退卡状态。

　　3.4.3.8 销户

　　当用户需要办理销户流程时，可执行该功能。

　　3.4.3.9 黑名单管理

　　系统对异常的卡片提供黑名单管理模块，操作员可在该功能模块上把已经废弃或丢失的卡片作黑名单处理。

　　3.4.3.10 卡管理

　　当操作员需要查询卡片的在用情况时，可以在该功能模块查询相关卡片的使用情况。

　　3.4.3.11 卡查询

　　使用此功能，操作员可以查询卡片的归属以及余额等情况。

　　3.5 查询统计

　　3.5.1 线路人次金额统计

　　此功能根据统计的时间段，提供了各条线路的人数统计以及金额统计。

　　3.5.2 公司人次金额统计

　　此功能根据统计的时间段，提供了各营运公司的人数统计以及金额统计。

　　3.5.3 司机人次金额统计

　　此功能根据统计的时间段，提供了各司机的人数统计以及金额统计。

　　3.5.4 站点人次金额统计

　　方式一：指定时间段内，各个站点的人次金额统计：

　　方式二：指定时间段内，指定站点各线路的人次金额统计：

　　站点：三元里

　　3.5.5 线路站点统计分析

　　此功能为营运人员提供了指定线路指定时间段的各个站点的人数与营收分析。

　　线路：[A001] 三元里 – 黄石东路

　　3.5.6 卡类型分类统计分析

　　此功能为营运人员提供了指定的卡类型的人数与营收分析。

　　3.5.7 时段人次金额统计

　　此功能为营运人员提供了分时的人数与营收状况统计。

　　3.6 数据交互接

　　数据交互是指各类数据在车载POS终端和运营中心之间进行数据传输的操作，包括数据采集与数据下发。数据采集是指从车载POS收集各类数据到系统中，数据采集可以是手工采集，也可以是有线/无线采集。根据现有技术发展，建议采用无线POS(POS带有GPRS模块或者Wi-Fi模块)。

　　以GPRS无线POS为例，数据采集是实现从直接连接到公交系统的无线POS的交互，无线POS设备自动上传各类数据至运营中心。

　　车载POS设备可以根据运营中心的需要，自动下载所需的更新数据，如黑名单、线路数据和费率数据等。

　　第4章 系统安全设计

　　系统安全是整个系统可靠运行和进行安全防范的基石，需要在统一设计的原则下，在不同的安全层次，在预防、检测和恢复等各个阶段，确保系统持续稳定运行，防止信息的损坏、泄露或被非法修改，并保证系统平台的安全。

　　一个完整的安全解决方案应当涵盖系统中所有的用户、网络、主机、应用服务器以及应用程序，并建立高效、可靠的安全管理策略。根据系统安全总体设计的思想，在总体技术方案中主要关注技术方面的安全要素。

　　在运营管理中心中，系统安全设计内容包括以下几个部分：主机安全、网络安全、应用系统安全、卡片交易安全。

　　4.1 主机安全

　　在运营管理中心的设计中，数据库服务器及应用主服务器采用Windows 2008操作系统。在系统安全上具备以下控制技术：

　　1. 系统审计功能，维护一个与数据保安有关事件的记录文件，可阻止未授权的活动。

　　2. 访问控制列表(ACL)，提供对高于C2级标准任意访问的控制，从而提高了控制文件访问的灵活性。

　　3. 增强的口令管理手段，耐久的用户授权特性，提供仅能由超级用户解密的口令数据库，由系统生成的口令字，由用户生成的口令字屏蔽，以及强制口令字失效，如超级用户密码口令时间限制。

　　4. 登录限制手段，管理员可控制某一用户登录系统的时间、地点。

　　5. 引导授权，防止未经授权的用户引导系统。

　　6. Kerberos授权和认证，网络上口令字加密的传输。

　　除了主机操作系统本身的安全级别外，主机的安全还需要配合在使用过程中的用户口令管理策略，系统资源访问策略，用户的分组管理，限制数据主机可以开放的通信服务协议等。

　　通过对用户的分组管理，可以将各种资源的访问权利分开，实现相互的制约。实现只有某些用户组才能存取系统中的一些系统中的关键、敏感的资源。在系统中的关键资源分为两类。一类是操作系统、数据库系统、应用系统运行时必须的关键资源。一类是系统运行所必须的资源和一些敏感资源，例如一些存于系统中的关键数据等等。通过分组授权，可以防止越权操作对敏感数据可能造成的破坏。

　　4.2 网络安全

　　由于本系统的运营特点，大量数据需要在结算中心和消费网点、服务网点以及营运公司、代理机构之间传递，从网络上保证这些信息的传输安全，同时保证运营管理中心不受非法用户的入侵是网络设计的一个关键部分。网络安全包括防火墙技术，入侵检测技术、防病毒技术、信息加密和认证技术等。

　　4.2.1 防火墙

　　防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和外部网络之间的任何活动，保证了内部网络的安全。

　　4.2.2 入侵检测

　　防火墙的建立并不等于内部网络就完全安全了，防火墙是处于网络边界的设备，也存在自己的一些弱点，如对某些攻击保护很软弱且自身可能被攻破;同时，并不是所有的攻击都来自外部，内部人员对网络的侵入可能对系统运行构成更大威胁，防火墙对这些内部发起的攻击行为则无能为力。所以在部署网络防御的同时，还有必要引布署在本地网络的监控设备，即入侵检测设备。入侵检测设备的目标是识别内部系统网络和数据资源的可疑行为，并对这些行为做出反应。

　　4.2.3 防病毒

　　防病毒是网络安全体系中是最基本的同时又是非常重要的一部分。运营管理中心应规划一台独立的防病毒服务器，以应对所有的数据交换过程中可能出现的病毒攻击。

　　4.3 应用系统安全

　　在运营管理中心中，主要从以下几个主要方面考虑应用系统的安全：数据存储安全、数据传输安全、用户安全、系统审计。

　　4.3.1 数据存储安全

　　清算和结算数据存放在结算中心系统中，数据存储的安全主要围绕数据中心主机和存储设备展开，数据内容包括存放在数据库内的信息和存放在文件系统的数据文件信息。数据存储安全主要讨论以下几个方面的内容：访问控制策略、数据主机与接入网点的隔离、数据的备份与恢复。