厦门蓝河电子城市公交一卡通系统平台解决方案

　　4.3.1.1 访问控制策略

　　对于数据存储的访问控制策略主要有：

　　1) 最小权益策略：按操作员执行操作任务所需权力最小化分配权力;

　　2) 最小泄漏策略：按操作员执行操作任务所知道的信息最小化的原则分配权力;

　　3) 多级安全策略：操作员和数据按普通，秘密，机密，绝密级划分，进行权限和流向控制。

　　具体到本系统，依据以上三种访问控制策略，从各个方面采取措施保证数据库的安全。

　　●数据中心主机的访问控制

　　为保护数据中心主机上的数据库的安全，首先需要限制能够直接登录到主机上的人员。一般情况下，除系统管理员以外，应限制其他人员以终端方式或从局域网上登录到数据中心主机。

　　系统内部的业务操作人员应通过应用系统设计的系统控制台，给出身份验证信息后，在个人权限允许范围、通过交易内对数据库或者数据文件进行操作，从根本上禁止不受控制和审计的对数据的直接操作。

　　●访问控制表和权限表

　　将数据库内存储的信息按敏感级别划分，编号存入数据访问控制表中。同时注明范围每个数据目标所需要的操作员权限。如数据库中包含详细的交易信息，以及经过综合的统计信息，级别较高的操作员可以对前者进行操作，而级别较低的操作员可能只有浏览后者的权限。

　　将各种对数据库的操作，如一般查询、数据修改，数据删除和备份等，按重要程度划分，编号存入操作访问控制表。同时注明能够执行每个操作所需要的操作员权限等级，对其中某些关键操作标明需要主管或更高级别操作员许可。

　　设立操作员权限表，将系统内部的操作员进行划分，将每个人的数据访问权限和操作权限记录在表中。

　　在实际使用当中，以上的访问控制表和操作员权限表构成访问控制矩阵，在技术上提供了有效地数据库安全保证，起到阻止非法用户进入系统，允许并为合法用户进入系统提供方便，使合法用户按其权限，进行各种信息活动。

　　●敏感数据的加密存储

　　敏感数据不能以明文存放在数据库中，通过硬件加密机加密后，以密文方式存放在数据库或者数据文件中。

　　4.3.1.2 外部接入与核心数据库隔离

　　运营管理中心与数据采集点、消费和服务网点的信息传递范围局限于应用服务器和接入终端之间，任何接入终端都不能直接访问数据库服务器，包括运营管理中心相关公司内部的客户服务网点。

　　当应用服务器收到网络上传递的提供信息的消息时，需要对信息提供者的身份，消息内容的完整性和合法性等进行验证，以保证消息来源的可靠性及消息未在传输中被篡改，然后再将数据解密，经局域网送给数据库服务器处理。

　　当应用服务器收到网络上传递的请求信息访问的消息时，同样首先验证信息访问者身份，消息内容的完整性，然后根据消息请求，应用服务器从数据库服务器得到所需数据，放在应用服务器的硬盘或内存中(根据访问方式决定)上，由应用软件控制将信息发送给信息访问者。

　　4.3.1.3 数据库的备份与恢复

　　数据的备份与恢复包括两个方面：中心系统数据库的备份与恢复;数据采集过程中数据文件的备份。

　　可以根据自己的实际情况需要来制定不同的备份策略。备份策略指确定需备份的内容、备份时间及备份方式。

　　建立完善的备份机制的同时，还要建立备份介质的专人保管和检查制度，定期进行数据备份和恢复机制有效性的演练和检查，并根据系统的数据情况，随时调整数据的备份和恢复机制。

　　4.3.2 数据传输安全

　　本系统的网络连接是由营运公司、营运企业、代理机构、消费和服务网点组成企业间的专用广域网。数据信息的传输可能在网络的不同层次上发生，包括中心系统与营运公司、代理机构之间，运营管理中心与消费网点、服务网点之间，营运公司与消费网点、服务网点之间等。

　　这些机构和网点分布在市民生活的各行各业中，有各自不同的经营方式和服务时段，因此，运营管理中心系统与它们之间的交易数据的传输也是多种多样的，在数据传输量、传输发生频率、时间点均有不同，传输方式可能是专线、拨号网络、GSM等，传输协议也可能是TCP/IP、帧中继、ISDN、PSTN、SMS等。

　　运营管理中心、机构和网点由于各自的设备水平不同，使用的加密设备和算法可能包括中心系统一侧的硬件加密机、用于数据传输量较大的营运公司和区域中心之间的线路加密机、用于消费和服务网点POS终端的加密卡、IC卡中的加密算法等。

　　对于以上多种多样的传输方式和加密设备，在数据传输安全的保证措施包括：制定统一的安全传输策略;集中的密钥管理中心，负责整个系统各个层次的密钥生成、更新和分发;建立传输认证体系，使得参与传输的各方在消息认证上遵循统一的规范。数据传输安全主要讨论以下几个方面的内容：传输安全策略、传输加密和认证、数据采集完整性保证。

　　4.3.2.1 传输安全策略

　　不论采取何种安全传输方式，都应当符合以下几个方面的安全策略，以保证信息传递的安全性。

　　(1)身份认证：传输的信息中需要包括信息访问者的身份认证信息，提供对信息访问者的身份合法性的保证;

　　(2)访问控制：对防止信息资源被非法使用和操纵的保证;

　　(3)传输数据的保密：在技术层次上，对传输中的数据进行加密，提供信息不被在传输过程中泄漏或暴露给未经授权的个人或系统的保证;

　　(4)传输数据的完整性：保护数据以防止在传输过程中未经授权的增删，修改或替代;

　　(5)访问的不可否认：防止参与某次通信交换的一方事后否认本次交换曾经发生过。

　　4.3.2.2 传输加密和认证

　　在数据传输过程中，主要采用对消息中的敏感信息进行加密和MAC验证两种方法保证数据传输过程中的保密性、完整性和来源的合法性。

　　●加密密钥

　　参与数据传输的各方所使用的密钥由统一的密钥管理中心负责生成、发放和更新。

　　●加密算法

　　系统支持DES和3DES算法，DES算法是用于数据加密的一种标准。定义于美国国家标准局公布的数据加密标准(DES)算法ANSI X3.92。采用64位二进制数长的密钥字符。目前为国际、国内常用加密算法。

　　三重DES是DES的一种变形。这种方法使用两个独立的56位密钥对交换的信息进行3次加密，从而使其有效密钥长度达到112位。该算法的密钥长度和密钥强度都大大优于DES算法。

　　●MAC验证

　　报文来源正确性鉴别(MAC-Message Authentication Code)是一种判别报文来源是否正确，以及报文在发送途中是否被篡改的算法。营运公司系统和管理系统在发出消息之前，需按规定的加密算法产生MAC，随消息一起发往接收方;接收方在收到消息后，按相同的算法鉴别消息来源正确性。当且仅当鉴别结果正常时，才进行消息的业务处理。

　　系统支持数据传输单位之间对重要报文进行报文来源正确性的鉴别(MAC)的验证。算法符合《ISO8731-1992 Approved Algorithms for Authentication》的标准。

　　●文件MAC的计算方法

　　文件的加密需要考虑两方面的特殊情况：文件的非实时性引起的时间间隔，可能导致数据密钥已经更改。另一方面是数据量较大可能引起的加密时间问题。因此，对文件的MAC计算将采用如下方法：

　　在文件的末尾带上 MAC KEY版本索引 和 MAC 两个字段。使产生和验证MAC的数据密钥与时间无关。将整个文件内容(不含MAC KEY版本索引和MAC的部分)以256字节为一组分组，结尾不满256字节补二进制0，使之满足一个组的字节。把各组按位异或构成一个256字节的数据块;最后对这个数据块计算MAC值。

　　4.3.2.3 数据采集完整性的保证

　　在运营管理系统一端，通过制定完善的数据备份和恢复策略，采用数据备份设备和软件工具，配合运行维护方面的规范流程，可以对数据的完整性提供有效的保证机制。同时在数据传输过程中也采用了MAC验证方式来确保数据传输的完整性。

　　但对于一些用卡环境比较恶劣引起的消费数据采集不完全，部分网点设备和人员技术水平引起的消费数据丢失等情况，在管理系统中，可以通过交易数据的备份来发现和恢复丢失的数据。

　　系统每发生一笔交易时，将上一笔交易的信息附加在本次交易数据中，即：本次交易数据中包含两笔(本次和上次)交易信息，因此，管理系统可以根据这个上一笔交易信息来核实是否属于丢失交易，如果是属于丢失交易，则可以恢复出来并反馈给原交易发生的营运单位，同时参与帐务结算，最大程度的保障营运单位的利益。

　　4.3.3 用户安全

　　用户安全主要是进行用户的身份认证、权限控制、安全审计。用户安全的管理对象是用户、权限角色、系统资源，管理内容是建立三者之间的相互联系和制约方式，管理基础是系统资源最小管理单元的划分，权限角色与系统资源最小管理单元的组合，权限角色和责任用户的组合。

　　在建立了用户、权限角色和系统资源的规划后，用户安全的主要任务是系统资源的权限调整，用户权限的分配和收回，三者的状态和使用情况的实时监控、信息统计和管理。

　　4.3.3.1 用户管理

　　在运营管理系统中，主要的用户分类包括：操作系统用户，数据库用户，应用系统用户，信息传输中的拨号用户，密钥管理的专用用户。

　　操作系统用户指Linux，windows等计算机平台上的OS用户，主要是与应用系统程序和数据文件相关的操作系统用户。

　　数据库用户的设立和权限分配同样采用权限最小化原则，在必要的情况下，数据库以audit方式运行，审计的内容可以包括成功或者不成功的数据访问。根据审计内容的设置，记录数据库用户的登录、数据修改等活动，并在系统控制台设计数据库审计信息的显示和统计管理的交易界面。

　　在应用系统中每个用户有唯一的用户号，通过权限管理建立应用系统资源和用户号的关联，并在信息访问过程中检查关联，确定该用户号是否有访问权限。一个用户号可以被赋予多种权限角色(这一点根据具体的需求确定)。

　　4.3.3.2 权限管理

　　权限控制要达到的目的是：系统中的各个授权人员具有其特定级别的权限，可以进行相应权限的操作，无法越权操作;操作者事后无法否认其进行的操作;未授权人员无法进入系统。

　　权限管理按照系统资源的最小单位，按照业务操作流程的需要，建立不同等级的权限角色，以及各权限角色可以访问的系统资源。

　　负责用户的权限角色的分配、撤销和更新维护，记录操作系统、应用系统和数据库用户的权限情况，并通过不同的渠道和方法跟踪和记录以上用户的活动。

　　4.3.4 系统审计

　　建立主机和数据库的审计追踪体系，自动记录一些重要的安全事件，如非法入侵者持续地试验不同的口令通行字企图登录主机，数据库中重要数据的修改和删除等，事件的记录包括每个用户所在工作站的网络地址和时间，同时对管理员的活动也要加以记录。在设计审计追踪体系时，考虑到以下几个方面：

　　●确定必须审计的事件

　　对数据中心主机方面，需要记录试图(成功或不成功)的联机，对敏感文件的读写，管理员对文件的删除，建立，访问权的授予等每一事件进行记录。

　　对数据库方面，在应用系统中进一步地确定审计目标，数据库应当在AUDIT方式下运行，对关键数据的数据库的访问都要记录详细的访问痕迹，特别是访问的数据内容，涉及到的数据库表文件。

　　●采用标准的格式记录审计信息

　　为了便于对审计记录的分析，必须建立标准审计记录格式，全面地记录审计事件。基本要素包括：访问者身份信息，访问动作(由系统管理员事先定义)，访问目标，资源利用次数，用户工作站的网络地址，时间，其它信息等。

　　●建立不要求管理员参与的自动记录和存储审计信息的软件系统，

　　在一定的安全体制下保护审计记录，例如用加密密钥对记录进行加密，或只有用root口令才能访问审计记录等。

　　●尽可能小的影响计算机系统的运行和性能

　　●建立对审计记录进行分析，研究的制度，及时发现未授权和异常现象，并采取行动。

　　在系统审计的具体实现中，根据以上原则和实际需要，设计适合本系统的审计方式。一般情况下，数据库提供比较完备的审计功能，可以由系统管理员设置需要审计的数据内容、用户和访问操作类型，可以通过客户化程序将数据库审计归入应用系统的审计体制中。

　　4.4 交易安全

　　交易安全的保证机制分为卡片交易安全、设备交易过程安全、和数据存储安全3方面。卡片交易安全和设备交易安全分别由卡提供商和设备供应商保证。

　　4.4.1 IC卡应用安全

　　应用文件是由安全访问文件加读、写密钥来加以保护的。智能卡系统有一系列密钥性能来防止非法卡的使用和非法访问安全密钥事件的发生。机具不存储应用文件的访问密钥，这些密钥是在访问卡文件时在机具中产生，在检验有效性时仅出现一瞬间，卡文件的访问密钥可存储在智能卡上。

　　密钥的多样性：每一个应用文件有一个不同的访问密钥。每个卡也有一个不同的访问密钥。

　　生成密钥的保护：机具用一组基本密钥和一个公式去产生所需文件夹的访问密钥。此基本密钥和公式存放在机具中的一个防干扰的特殊区域内。

　　基本密钥的安全存储：用于生成应用文件访问密钥的基本密钥匙存放在名为“密钥卡”中。应用于文件所要用的基本密钥可以从这些密钥卡中载入至机具。

　　智能卡安全管理：智能卡安全管理应用文件允许发卡者管理它们的智能卡系统，进行安全保护。它提供了能使用户定义自己所用的唯一的应用文件基本密钥。

　　鉴定信息的选择：在机具和其被控制装置(PC、终端等)之间信息的传送可以根据ISO标准的MAC检验公式来鉴定。在机具和控制装置之间的每一个信息都被标上了一个标签，此标签对每个信息来说是唯一的，这就减少了机具的被拿走，与另一个不同的机具连接后进行对卡充资的可能性。

　　4.4.2 设备交易过程安全

　　IC卡读写设备机具主要通过以下方式进行加密来保障安全：

　　1. 读/写器内部硬件采用硬件逻辑加密片

　　2. 读/写器内部采用读取数据加密芯片

　　3. 采用不可开盖的自我保护式封装外壳

　　4. 采用四至八层印刷电路和自刷加密存储器保护数据不被偷窃

　　5. 系统应用软件加密

　　6. 机具软件采用数据加密算法和CRC算法，机具对每一张卡自动给予不同密钥，并自动变换，以保证即使某张卡被解密，也不会影响到整个系统。

　　详细信息请联系：厦门蓝河电子科技有限公司

　　联系人：吴经理　

　　地址：福建省厦门市思明区软件园二期望海路19号101