智慧餐廳一“智盤”綜合解決方案案.doc

智慧餐廳一 智盤 綜合解決方案 智慧餐廳一 智盤 綜合解決方案 智慧餐廳一 智盤 綜合解決方案案 目目 錄錄 第第 1 章章 智慧餐臺(tái)子系統(tǒng) 智慧餐臺(tái) 智慧餐臺(tái)子系統(tǒng) 智慧餐臺(tái) 3 1 1 系統(tǒng)概述 3 1 2 系統(tǒng)結(jié)構(gòu) 3 1 3 智慧餐臺(tái) 6 1 3 1 外觀 6 1 3 2 適用于自選餐廳 7 1 3 3 特點(diǎn) 8 1 4 智慧餐具 9 1 4 1 選購智慧餐具 10 1 5 餐廳布局建議 11 1 6 餐臺(tái)配置建議 12 1 7 使用流程 13 1 8 智慧餐臺(tái)實(shí)景圖 14 第第 2 章章 硬件設(shè)備硬件設(shè)備 14 2 1 智慧餐臺(tái) 14 2 1 1 技術(shù)參數(shù) 14 2 1 2 硬件圖解 15 2 1 3 產(chǎn)品圖片 16 第第 3 章章 安全方案安全方案 16 3 1 總體規(guī)劃 16 3 2 設(shè)計(jì)依據(jù) 16 3 3 密鑰管理體系設(shè)計(jì) 17 3 4 卡片安全體系設(shè)計(jì) 17 3 5 終端設(shè)備安全體系設(shè)計(jì) 17 3 5 1 設(shè)備風(fēng)險(xiǎn)性分析 17 3 5 2 設(shè)備安全性規(guī)劃及實(shí)施 18 3 5 3 消費(fèi)交易的安全性 18 3 5 4 充值交易的安全性 19 3 6 網(wǎng)絡(luò)安全體系設(shè)計(jì) 19 3 6 1 安全分析 19 3 6 2 安全性規(guī)劃 20 3 7 軟件安全體系設(shè)計(jì) 25 3 8 數(shù)據(jù)中心安全體系設(shè)計(jì) 26 3 8 1 數(shù)據(jù)服務(wù)器安全性規(guī)劃及實(shí)施 26 3 8 2 數(shù)據(jù)備份設(shè)計(jì) 26 第第 4 章章 公司介紹公司介紹 29 4 1 企業(yè)基本情況 29 智慧餐廳一 智盤 綜合解決方案案 4 2 企業(yè)發(fā)展歷程 29 4 3 企業(yè)文化與價(jià)值觀 30 公司意愿公司意愿 30 核心價(jià)值觀核心價(jià)值觀 30 企業(yè)文化企業(yè)文化 30 公司標(biāo)識(shí)公司標(biāo)識(shí) 30 4 4 組織架構(gòu) 31 4 5 員工與技術(shù) 31 智慧餐廳一 智盤 綜合解決方案案 第第 1 章章 智慧智慧餐廳餐廳子系統(tǒng) 智慧餐臺(tái) 子系統(tǒng) 智慧餐臺(tái) 1 1 系統(tǒng)概述系統(tǒng)概述 民以食為天 食堂餐廳除了提供美味可口膳食 豐富食堂菜品以外 還應(yīng)該提供優(yōu)質(zhì)的 服務(wù) 滿足消費(fèi)人員的需求 傳統(tǒng)學(xué)校 企業(yè) 事業(yè)單位食堂就餐往往具有明顯特征 以規(guī)模 化的整體經(jīng)營為學(xué)校 園區(qū) 企事業(yè)單位為例 具有規(guī)模大 就餐人流量大 少則幾百多則幾 千人 就餐時(shí)間集中 通常 1 個(gè)小時(shí)左右 客流相對(duì)穩(wěn)定的特點(diǎn) 傳統(tǒng)學(xué)校 園區(qū) 事業(yè)單位食堂就餐方式采用紙質(zhì)餐票 現(xiàn)金或基于消費(fèi) pos 機(jī)的支付方 式 服務(wù)效率不高在就餐的時(shí)候需要多次排隊(duì) 窗口模式下需多次排隊(duì)選菜 無形中增加了人 流壓力 容易導(dǎo)致場面混亂無序 結(jié)算速度慢 靠人工收銀結(jié)算 逐個(gè)核算菜價(jià) 耗時(shí)長 容 易造成排隊(duì)擁堵 選擇自由度小 套餐模式下 提供菜品有限 選擇自由度小 管理成本高 需要多人來完成收銀工作 推高了人力成本 員工勞動(dòng)強(qiáng)度大等等諸多弊端 食堂消費(fèi)作為學(xué) 校 企業(yè)后勤服務(wù)的重要組成部分 如果仍沿用以前傳統(tǒng)的消費(fèi)方式 將動(dòng)用大量的人力物力 而且管理上會(huì)出現(xiàn)很多繁瑣的事務(wù) 這樣不利于學(xué)校 企業(yè)的管理 為了解決這一問題 某智能科技有限公司全新打造的智慧餐飲結(jié)算終端 采用自助選餐和 自助結(jié)算模式 讓餐廳從購餐到結(jié)算的過程更加規(guī)范化 更加高效 有序 某智能科技有限公司智慧餐臺(tái)結(jié)算系統(tǒng) 是基于一卡通管理系統(tǒng)下使用的餐飲快速結(jié)算系 統(tǒng) 主要通過讀取智慧餐具中 RFID 標(biāo)簽的方式 進(jìn)行統(tǒng)一計(jì)價(jià) 并通過一卡通賬戶中的卡片 進(jìn)行支付 數(shù)據(jù)信息交予一卡通系統(tǒng)進(jìn)行匯總管理 智慧餐臺(tái)通過液晶顯示屏將各類圖文信息 直觀形象的展示給客戶 系統(tǒng)能夠 7 24 小時(shí)不間斷運(yùn)行 故障率低 并且能確保在發(fā)生故障時(shí) 交易流水等重要數(shù)據(jù)不丟失 系統(tǒng)具備快速支付 安全高效等特點(diǎn) 智慧餐廳一 智盤 綜合解決方案案 1 2 系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu) 某智能科技有限公司智慧餐臺(tái)系統(tǒng)主要分為三大部分 智慧餐臺(tái) 某智能科技有限公司全新打造的智慧餐飲結(jié)算終端 采用自助選餐和自助結(jié)算 模式 實(shí)現(xiàn)整個(gè)餐廳從購餐到結(jié)算的高效 有序 智慧餐臺(tái)適用于自助模式的餐廳 智慧餐具 某智能科技有限公司 智慧餐臺(tái) 系統(tǒng)的重要組成部分 有各種色彩的碗碟 每一種色彩對(duì)應(yīng)一個(gè)價(jià)格 內(nèi)置 RFID 標(biāo)簽 供智慧餐臺(tái)讀取菜品和價(jià)格信息進(jìn)行結(jié)算 智慧餐臺(tái)結(jié)算系統(tǒng) 在每一個(gè)餐具底部植入 RFID 射頻芯片 餐具進(jìn)入餐臺(tái)結(jié)算區(qū)后 射 頻天線感應(yīng)區(qū) 通過對(duì)餐具底部 RFID 射頻芯片進(jìn)行讀寫操作 借助于計(jì)算機(jī)及其通訊技術(shù) 實(shí)現(xiàn)對(duì)餐具底部 RFID 射頻芯片的通信和管理 實(shí)現(xiàn)快速結(jié)算 智慧餐廳一 智盤 綜合解決方案案 智慧餐臺(tái)系統(tǒng) 采用 CS 架構(gòu)模式 既可以單獨(dú)使用 也可以作為園區(qū)一卡通系統(tǒng)下的子 應(yīng)用系統(tǒng) 智慧餐廳一 智盤 綜合解決方案案 1 3 智慧餐臺(tái)智慧餐臺(tái) 1 3 1 外觀外觀 大餐臺(tái) 中號(hào)餐臺(tái) 智慧餐廳一 智盤 綜合解決方案案 嵌入式餐臺(tái) 智慧餐臺(tái) 雙屏 12 1 寸的精彩體驗(yàn) 結(jié)算區(qū)內(nèi)嵌一塊色彩艷麗的 12 1 英寸高分辨率液晶屏 托盤內(nèi)的菜品 每份菜的價(jià)格 需要支付的金額等等 清晰醒目 一覽無余 操作臺(tái)完全用一塊 12 1 英寸的觸摸屏代替 心隨指動(dòng) 觸及夢想 長 1500mm 寬 700mm 厚 8mm 的鋼化玻璃臺(tái)面 油漬高溫 夷然無懼 750mm 的高度正好是雙手放置托盤的最佳位置 智慧餐廳一 智盤 綜合解決方案案 墨玉黑底色配合色彩鮮明的線條 將整個(gè)臺(tái)面分為等候區(qū)與結(jié)算區(qū) 我們?cè)诘群騾^(qū)繪制了一目了然的結(jié)算引導(dǎo)圖 即使您第一次使用智慧餐臺(tái) 引導(dǎo)圖也能 讓您在五秒內(nèi)上手 輕松體驗(yàn)智慧科技 1 3 2 適用于自選適用于自選快快餐廳餐廳 火鍋店 學(xué)校食堂 企業(yè)食堂 火鍋店 學(xué)校食堂 企業(yè)食堂 專為自選式餐廳打造的智慧餐臺(tái) 無論是自選式快餐廳 火鍋店 學(xué)校食堂 企業(yè)食堂還 是機(jī)關(guān)單位 智慧餐臺(tái)從形象到功能 都能完美配合 什么是自選式餐廳什么是自選式餐廳 區(qū)別于常見的窗口模式 自選餐廳采用的是按份計(jì)價(jià)的模式 即由工作人員分菜區(qū)按份打 菜 顧客根據(jù)自己的需要 選擇自己需要的菜 并在收銀臺(tái)整單一次性結(jié)算 與窗口模式相比 自選模式具有更大的選擇自由度 不需要多次買單計(jì)價(jià) 更節(jié)省時(shí)間 特別適用于大流量顧客 的餐飲場所 如學(xué)校食堂 火鍋店 企事業(yè)單位食堂和中式快餐連鎖店 餐廳不是自選模式 餐廳不是自選模式 您可以對(duì)餐廳布局簡單改動(dòng)就能滿足自選模式的應(yīng)用環(huán)境 再根據(jù)場地選擇適合的型號(hào) 體驗(yàn)智慧餐臺(tái)帶來的餐飲革新 如果無法改變餐廳布局 您還可以選擇某智能科技有限公司傳統(tǒng)一卡通消費(fèi)系統(tǒng) 智慧餐廳一 智盤 綜合解決方案案 1 3 3 特點(diǎn)特點(diǎn) 效率效率 一套智慧餐臺(tái)一小時(shí)內(nèi)就能完成上千人次的自助結(jié)算 而僅需一名操作員站在設(shè)備 后維持結(jié)算秩序即可 終端減少 人員減少 工作量減少 智慧科技 絕不止于效率的提升 規(guī)范規(guī)范 智慧餐臺(tái)搭配色彩分明的智慧餐具 自動(dòng)化高效率的自助結(jié)算體驗(yàn) 都是對(duì)餐廳形 象的提升 而整個(gè)購餐流程可以規(guī)劃出顧客在餐廳內(nèi)的行走路線 使餐廳更加干凈 整潔 有 序 靈活靈活 智慧餐臺(tái)的結(jié)算控制具有極高的靈活性 系統(tǒng)正常情況下會(huì)高效率的進(jìn)行自動(dòng)結(jié)算 當(dāng)有特殊的菜品 如菜品加量 菜品未盛入智慧餐具等情況時(shí) 操作員可隨時(shí)通過點(diǎn)擊觸摸屏 輸入菜品價(jià)格或?qū)Σ似愤M(jìn)行修改 不需要更改參數(shù) 無差錯(cuò)無差錯(cuò) 智慧餐臺(tái)為確保您的高效率 進(jìn)行了大量的細(xì)節(jié)設(shè)計(jì) 確保整個(gè)結(jié)算流程無差錯(cuò) 系統(tǒng)可以自行判斷餐盤是否已結(jié)算 從而避免重復(fù)結(jié)算的情況 智慧餐臺(tái)甚至可以防止操作員 輸入金額時(shí)的錯(cuò)誤連擊 我們已經(jīng)將差錯(cuò)提前刪除 您可以放心的操作一切 人機(jī)交互人機(jī)交互 智慧餐臺(tái)為您提供了良好的人機(jī)交互界面 系統(tǒng)界面通過色塊對(duì)各類信息進(jìn)行 區(qū)分 重要信息將在界面上突出顯示 我們?yōu)槟尸F(xiàn)更多精彩 觸控操作靈動(dòng)流暢 強(qiáng)大功能 智慧餐廳一 智盤 綜合解決方案案 一觸即發(fā) 可自定義的語音提示 伴隨整個(gè)流程 安全穩(wěn)定安全穩(wěn)定 工業(yè)級(jí)的系統(tǒng)環(huán)境 8mm 厚度的鋼化玻璃臺(tái)面 臺(tái)身采用高強(qiáng)度冷軋鋼板靜電 噴塑 輕松應(yīng)對(duì)高溫 潮濕 油污 為您全天候待命 數(shù)據(jù)本地存儲(chǔ)并自動(dòng)上傳服務(wù)器 支持 脫機(jī)使用 數(shù)據(jù)安全雙重保障 內(nèi)置工業(yè)級(jí)讀頭天線 信息讀取更穩(wěn)定 更靈敏 操作簡單操作簡單 智慧餐臺(tái)使用全中文觸控操作 具有良好的人機(jī)交互界面 功能操作簡單 前 端操作員數(shù)量少 員工只需經(jīng)過簡單快速的培訓(xùn)就能立刻上崗 整套系統(tǒng)運(yùn)作不會(huì)因員工流動(dòng) 和缺乏培訓(xùn)受到影響 安裝方便安裝方便 智慧餐臺(tái)由于采用了工業(yè)級(jí)硬件配置 具有良好的環(huán)境適應(yīng)性和大容量數(shù)據(jù)存 儲(chǔ)等優(yōu)點(diǎn) 某智能科技有限公司對(duì)每一套智慧餐臺(tái)系統(tǒng)都進(jìn)行了出廠預(yù)設(shè) 只要接通電源 連 接網(wǎng)線 智慧餐臺(tái)就能正常工作 快速對(duì)接快速對(duì)接 智慧餐臺(tái)系統(tǒng)可以與某智能科技有限公司一卡通系統(tǒng)進(jìn)行快速對(duì)接 直接并入 原有系統(tǒng)中 還是原來的管理系統(tǒng) 還是熟悉的業(yè)務(wù)流程 1 4 智慧餐具智慧餐具 某智能科技有限公司 智慧餐臺(tái) 系統(tǒng)的重要組成部分 有各種色彩的碗碟 每一種色彩 對(duì)應(yīng)一個(gè)價(jià)格 內(nèi)置 RFID 標(biāo)簽 供智慧餐臺(tái)讀取菜品和價(jià)格信息進(jìn)行結(jié)算 美觀 美觀 智慧餐具使用國家推廣的密胺樹脂材料制造 外觀與陶瓷相似 光潔亮麗 色澤鮮 明 上千種形式 數(shù)十種顏色 自定義圖案 讓您的餐具多姿多彩 別具一格 安全 安全 智慧餐具嚴(yán)格采用 100 密胺材料經(jīng)高溫高壓壓制而成 可以在 30 120 的溫 智慧餐廳一 智盤 綜合解決方案案 度范圍內(nèi)使用 無毒無味無殘留 餐具導(dǎo)熱性低 盛裝熱食不燙手 新鮮美味即刻享用 抗腐蝕 抗腐蝕 智慧餐具對(duì)酸 堿及各種溶劑都具備優(yōu)越抗腐蝕性 不受油脂 汽油 有機(jī)溶劑 侵蝕 長時(shí)間使用 依然亮麗如新 您可以用智慧餐具盛裝餐廳里的所有食物 易清洗 易清洗 智慧餐具有著陶瓷的質(zhì)感 表面光潔 不易被染色 耐水性 洗滌性佳 各類餐 具洗滌劑均能清洗 清洗方便 效率加倍 耐用 耐用 智慧餐具采用 100 的密胺材料壓制而成 耐磕碰 耐沖擊 不易破碎 適用于洗 碗機(jī)和消毒柜 餐具的使用更換周期更長 您的餐廳經(jīng)營成本更低 智慧餐具不能使用微波加熱或放置于高于智慧餐具不能使用微波加熱或放置于高于 120 120 的環(huán)境中的環(huán)境中 1 4 1 選購智慧餐具選購智慧餐具 根據(jù)餐廳的實(shí)際情況 選購餐具時(shí)請(qǐng)從餐廳以下幾個(gè)方面考慮 1 每餐就餐人數(shù) 2 餐具是每餐清洗還是每天清洗 3 菜品種類和價(jià)格 4 菜品的銷量 假設(shè)您的餐廳每餐就餐人數(shù)約 400 人 平均每人飯菜湯一共使用 5 個(gè)餐具 那么每餐就至 少準(zhǔn)備 2000 個(gè)餐具 假如您的餐廳每天清洗一次餐具的話 每天三餐就至少需要準(zhǔn)備 6000 個(gè)餐具 如果是每 餐清洗一次 每天至少需要準(zhǔn)備 2000 個(gè)餐具 智慧餐具是以不同的形狀和顏色盛裝不同價(jià)格的各類菜品 所以銷量大的菜品對(duì)應(yīng)的餐具 可以多備 銷量少的菜品可以減少對(duì)應(yīng)的餐具數(shù)量 智慧餐具可以根據(jù)您的餐廳需要進(jìn)行定制 包括選擇形狀和標(biāo)準(zhǔn)顏色 智慧餐廳一 智盤 綜合解決方案案 1 5 餐廳布局建議餐廳布局建議 針對(duì)自選餐廳 對(duì)餐廳布局提出以下建議 1 入口處擺放托盤 顧客取托盤開始選菜 2 選菜窗口集中 有序 菜品分類擺放 不同價(jià)格選用不同顏色的智慧餐具盛放 3 智慧餐臺(tái)布置在選菜窗口和用餐區(qū)中間 在餐臺(tái)結(jié)算區(qū)一端擺放用餐餐具 供顧客結(jié) 算后取用就餐 4 在用餐區(qū)出口擺放餐具回收臺(tái) 將使用后的餐具回收 分類 5 餐廳只需為智慧餐臺(tái)準(zhǔn)備 220V 標(biāo)準(zhǔn)交流電源和 RJ45 網(wǎng)絡(luò)接口 智慧餐廳一 智盤 綜合解決方案案 1 5 1 火鍋行業(yè)智能化結(jié)算解決方案火鍋行業(yè)智能化結(jié)算解決方案 1 5 2 自選快餐行業(yè)智能化結(jié)算解決立案自選快餐行業(yè)智能化結(jié)算解決立案 智慧餐廳一 智盤 綜合解決方案案 1 5 3 企事業(yè)單位 學(xué)校食堂智能化結(jié)算解決方案企事業(yè)單位 學(xué)校食堂智能化結(jié)算解決方案 適用餐臺(tái)適用餐臺(tái) 某智能科技有限公司為餐廳準(zhǔn)備了兩種結(jié)算方向的智慧餐臺(tái) 可根據(jù)餐廳具體布局 選擇 從左向右的結(jié)算方向或是選擇從右向左的結(jié)算方向 智慧餐廳一 智盤 綜合解決方案案 也可以將兩種智慧餐臺(tái)結(jié)合起來布置成結(jié)算通道 或選擇中號(hào)餐臺(tái) 嵌入式餐臺(tái) 根據(jù)現(xiàn) 場環(huán)境與裝修風(fēng)格 位置等因素來定 1 6 餐臺(tái)配置建議餐臺(tái)配置建議 智慧餐臺(tái)的理論結(jié)算速度可以達(dá)到兩秒 1 單 3 分鐘就能完成接近 100 人的就餐結(jié)算 經(jīng) 過我們對(duì)餐廳現(xiàn)場的調(diào)查統(tǒng)計(jì) 實(shí)際結(jié)算速率約 3 秒 1 單 根據(jù)使用情況 每 400 人配置一臺(tái) 智慧餐臺(tái) 性價(jià)比最好 每 100 人配置一臺(tái)智慧餐臺(tái) 餐廳環(huán)境秩序和就餐體驗(yàn)最佳 比例結(jié)算時(shí)間總和排隊(duì)時(shí)間 500 人 臺(tái)25 分鐘1 分鐘 400 人 臺(tái)20 分鐘約 40 秒 200 人 臺(tái)10 分鐘小于 30 秒 100 人 臺(tái)5 分鐘約 20 秒 1 7 使用流程使用流程 用戶 等候區(qū) 放入餐盤 讀取餐盤 提示付款 付款成功 交易結(jié)束 交易異常 重新付款 餐盤變化 操作員變更價(jià) 格 重新計(jì)價(jià)重新計(jì)價(jià) 1 顧客進(jìn)入餐廳領(lǐng)取托盤 在各個(gè)區(qū)域選取所需菜品放入托盤中 2 選完所需菜品后到智慧餐臺(tái)排隊(duì)等候結(jié)算 排隊(duì)時(shí)應(yīng)將托盤放置在等候區(qū)內(nèi)等候結(jié)算 不能越線放入結(jié)算區(qū) 智慧餐廳一 智盤 綜合解決方案案 智慧餐臺(tái)結(jié)算區(qū)與等候區(qū) 3 托盤放入結(jié)算區(qū) 顯示屏?xí)⒖田@示出菜品名稱 價(jià)格等信息 同時(shí)系統(tǒng)語音提示 請(qǐng)付款 操作員與顧客確認(rèn)無誤后將智能卡放在刷卡區(qū)就可完成結(jié)算 結(jié)算成功 或失敗系統(tǒng)都會(huì)有語音提示 智慧餐臺(tái)結(jié)算流程引導(dǎo)圖 智慧餐廳一 智盤 綜合解決方案案 1 8 智慧餐臺(tái)實(shí)景圖智慧餐臺(tái)實(shí)景圖 嵌入式智慧餐臺(tái) 智慧餐廳一 智盤 綜合解決方案案 嵌入式智慧餐臺(tái) 第第 2 章章 硬件設(shè)備硬件設(shè)備 2 1 智慧餐臺(tái)智慧餐臺(tái) 2 1 1 技術(shù)參數(shù)技術(shù)參數(shù) 尺寸 長 1500mm 寬 700mm 高 750mm 重量 155 0 25kg 工作溫度 5 50 工作濕度 10 90 智慧餐廳一 智盤 綜合解決方案案 電源 220V 50Hz 功率 約 120W 讀卡頻率 125KHz 13 56MHz 2 4GHz 可選 最佳讀卡距離 0 5cm 讀寫卡時(shí)間 Tmax 500ms 操作屏幕 1024 768 觸控顯示器 用戶屏幕 1024 768 顯示屏 主板 工控機(jī)主板 硬盤 500G 內(nèi)存 DDR3 2G 通訊速率 TCP IP 10M 100M 自適應(yīng)千兆以太網(wǎng)卡 2 1 2 硬件圖解硬件圖解 圖 3 1 1 操作員屏幕 操作員使用的屏幕為觸摸電容屏 1 用戶屏幕 用戶查看信息查看屏幕 2 刷卡區(qū) 支付時(shí) 將智能卡片放置在此處 3 支付區(qū) 用戶選好的餐盤進(jìn)行讀取 以方便結(jié)算 4 地腳 固定餐臺(tái)著地支腳 可根據(jù)響應(yīng)情況調(diào)節(jié)高度 餐臺(tái)放置平穩(wěn)即可 5 使用流程 介紹餐臺(tái)使用的過程 6 等候區(qū) 支付前從此區(qū)域經(jīng)過 7 智慧餐廳一 智盤 綜合解決方案案 外殼 內(nèi)部結(jié)構(gòu) 全金屬外殼及內(nèi)部結(jié)構(gòu) 可安放 UPS 電源 鼠標(biāo)鍵盤等相關(guān)設(shè)備 8 2 1 3 產(chǎn)品圖片產(chǎn)品圖片 智慧餐臺(tái) 中餐臺(tái) 智慧餐廳一 智盤 綜合解決方案案 嵌入式餐臺(tái) 2 2 配套設(shè)備配套設(shè)備 智慧餐廳一 智盤 綜合解決方案案 第第 3 章章 安全方案安全方案 3 1 總體規(guī)劃總體規(guī)劃 安全體系的設(shè)計(jì)規(guī)劃要求站在產(chǎn)品標(biāo)準(zhǔn)化的高度 卡片 終端 網(wǎng)絡(luò) 軟件產(chǎn)品的研發(fā) 測試 安裝整個(gè)過程嚴(yán)格遵循 ISO9001 標(biāo)準(zhǔn)和國家相關(guān)標(biāo)準(zhǔn)進(jìn)行 安全體系的實(shí)施和維護(hù)規(guī)劃要求做到服務(wù)標(biāo)準(zhǔn)化 向?qū)W校提供詳細(xì) 標(biāo)準(zhǔn) 完整的售前 售中 售后各類文檔 為學(xué)校各級(jí)操作人員提供良好培訓(xùn) 預(yù)防問題的發(fā)生 在系統(tǒng)出現(xiàn)性能 抖動(dòng)等異常情況時(shí) 能及時(shí)發(fā)現(xiàn) 使系統(tǒng)的安全事故和突發(fā)事件降到最低 遵循 水桶 理論 從 一卡通 各組成部分進(jìn)行安全性的設(shè)計(jì) 一卡通 系統(tǒng)由卡片 終端設(shè)備 網(wǎng)絡(luò) 軟件 數(shù)據(jù)中心組成 通過密鑰安全體系貫穿始終 3 2 設(shè)計(jì)依據(jù)設(shè)計(jì)依據(jù) 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法 中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 中華人民共和國保守國家秘密法 計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 中華人民共和國公安部令 第 33 號(hào) 計(jì)算機(jī)系統(tǒng)安全規(guī)范 公安部關(guān)于對(duì)與國際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行備案工作的通知 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 GB50174 93 國家標(biāo)準(zhǔn) GB 17859 1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 系統(tǒng)按第三級(jí)要求 進(jìn)行設(shè)計(jì) 3 3 密鑰管理體系設(shè)計(jì)密鑰管理體系設(shè)計(jì) 一卡通系統(tǒng)遵循安全設(shè)計(jì)的基本原則及國家相關(guān)標(biāo)準(zhǔn)的密鑰體系 確保了從設(shè)計(jì) 開發(fā) 管理 使用和維護(hù)等各環(huán)節(jié)的安全性 達(dá)到七大目標(biāo) 卡安全 終端安全 交易安全 網(wǎng)絡(luò)安 全 系統(tǒng)安全 數(shù)據(jù)安全和應(yīng)用安全 智慧餐廳一 智盤 綜合解決方案案 3 4 卡片安全體系設(shè)計(jì)卡片安全體系設(shè)計(jì) 作為信息載體的基本單元 一卡通系統(tǒng)有 CPU 卡及邏輯加密卡 其卡片數(shù)據(jù)的寫必須通過 PSAM 卡或加密機(jī)采用安全寫的方式 CPU 卡 及通過 PSAM 卡計(jì)算登陸 KEY 邏輯加密卡 才 能完成 操作時(shí)卡機(jī)數(shù)據(jù)校驗(yàn)采用 CRC 方式 需經(jīng)雙向三次論證 確?？C(jī)在數(shù)據(jù)交換之前 兩者進(jìn)行互相身份合法性鑒別 從而對(duì)卡片的安全性做了保證 為保證系統(tǒng)的密鑰安全性 為保證系統(tǒng)的密鑰安全性 系統(tǒng)所有的密鑰均存在加密機(jī)中 同時(shí)所有得終端設(shè)備必須用主機(jī)聯(lián)網(wǎng)授權(quán)獲得授權(quán)才可正常使用 聯(lián)網(wǎng)授權(quán)聯(lián)網(wǎng)授權(quán) 終端設(shè)備必須與主機(jī)聯(lián)網(wǎng) 申請(qǐng)簽到 并得到認(rèn)可后 才可以操作卡片大大提 高了整個(gè)系統(tǒng)的安全性 ICIC 卡安全管理卡安全管理 對(duì)用戶 IC 卡的制卡 發(fā)卡 掛失 補(bǔ)卡 銷卡 黑 白 名單管理 制 卡和領(lǐng)用等過程需制定一套嚴(yán)密完整的制度和實(shí)施方法 以保證 一卡通 系統(tǒng)的安全可靠性 保證結(jié)算中心 持卡人 運(yùn)營商的利益 3 5 終端設(shè)備安全體系設(shè)計(jì)終端設(shè)備安全體系設(shè)計(jì) 3 5 1 設(shè)備風(fēng)險(xiǎn)性分析設(shè)備風(fēng)險(xiǎn)性分析 設(shè)備的授權(quán)設(shè)備的授權(quán) 防止非法產(chǎn)品入網(wǎng)流通使用 所有終端設(shè)備須經(jīng)授權(quán)才能在一卡通網(wǎng)絡(luò)上使用 設(shè)備的交易合法性設(shè)備的交易合法性 防止過期卡片使用防止過期卡片使用 設(shè)備存儲(chǔ)數(shù)據(jù)設(shè)備存儲(chǔ)數(shù)據(jù) 應(yīng)能做到防止數(shù)據(jù)泄露 斷電后能夠繼續(xù)運(yùn)行使用 3 5 2 設(shè)備安全性規(guī)劃及實(shí)施設(shè)備安全性規(guī)劃及實(shí)施 注冊(cè) 授權(quán)雙向認(rèn)證注冊(cè) 授權(quán)雙向認(rèn)證 產(chǎn)品具有特定的注冊(cè) 授權(quán)雙向互認(rèn)功能 防止非法產(chǎn)品入網(wǎng)流通使用 具有簽到 簽退功能具有簽到 簽退功能 每臺(tái)終端設(shè)備均具有簽到 簽退功能 保證交易的合法性 使用權(quán)限及有效期識(shí)別使用權(quán)限及有效期識(shí)別 可設(shè)置 1 256 類卡 授予不同權(quán)限 滿足不同消費(fèi)對(duì)象或若干下屬 獨(dú)立核算單位的類別管理 嚴(yán)密的有效期識(shí)別功能 能有效的防止過期卡片使用 非法卡 黑卡報(bào)警功能非法卡 黑卡報(bào)警功能 終端機(jī)廣泛使用黑 白名單技術(shù) 對(duì)卡片進(jìn)行合法性驗(yàn)證 并記錄非 智慧餐廳一 智盤 綜合解決方案案 法卡使用情況 有效防止非法卡片的流通 對(duì)黑卡以及各種非法卡使用狀態(tài) 本機(jī)將自動(dòng) 識(shí)別并提示相應(yīng)的報(bào)警代碼 提示工作人員采取相應(yīng)措施處理 防止的流通使用 個(gè)人密碼使用 個(gè)人密碼使用 可選使用 可設(shè)置消費(fèi)與個(gè)人密碼使用的對(duì)應(yīng)關(guān)系 邏輯開機(jī)鎖 邏輯開機(jī)鎖 操作員可設(shè)置鍵盤鎖定與開鎖 PSAMPSAM 卡接口 卡接口 安全性達(dá)到金融級(jí)別要求 終端設(shè)備子網(wǎng)采用星型拓?fù)浣Y(jié)構(gòu) 終端設(shè)備子網(wǎng)采用星型拓?fù)浣Y(jié)構(gòu) 任何一臺(tái)終端出現(xiàn)故障 都不影響其他設(shè)備及整個(gè)系統(tǒng) 存儲(chǔ)數(shù)據(jù) 存儲(chǔ)數(shù)據(jù) POS 機(jī)具中存放的消費(fèi)明細(xì)是帶消費(fèi)交易認(rèn)證碼存放的 可以防止篡改 數(shù)據(jù)中心 的數(shù)據(jù)加密存放 防止數(shù)據(jù)泄露 在終端設(shè)備比較集中的場所 如食堂等地方 均配置 UPS 在設(shè)備比較分散的地方 終端設(shè)備配置后備電池 以此保障終端設(shè)備在斷電后能夠 繼續(xù)運(yùn)行使用 3 5 3 消費(fèi)交易的安全性消費(fèi)交易的安全性 密鑰管理 密鑰管理 通過制定一套完整的密鑰管理體系 來保證消費(fèi)過程的安全性和終端機(jī)具使用的安 全性 終端機(jī)具的密鑰保存在 PSAM 卡中 無法讀取 能夠保障交易安全 用戶用戶 ICIC 卡的合法性認(rèn)證 卡的合法性認(rèn)證 當(dāng)用戶 IC 卡在 POS 終端上刷卡時(shí) POS 終端首先需要驗(yàn)證 IC 卡的 合法性 驗(yàn)證通過后 POS 終端需要進(jìn)一步檢查該 IC 卡是否在黑 白 名單中 是否為止 付卡或過期卡等 若都不是 才確認(rèn)該卡是合法的 消費(fèi)交易的安全性和完整性 用戶 IC 卡 POS 終端之間進(jìn)行雙向身份認(rèn)證 并且 IC 卡中每次消 費(fèi)額受到限制 POSPOS 終端使用的安全性 終端使用的安全性 管理中心設(shè)置唯一的消費(fèi)終端機(jī)具識(shí)別號(hào) 另外 為了防止偽造或非 法使用 POS 終端 保證 POS 終端使用的安全感性 需要為每個(gè)合法操作員發(fā)放一張操作員 卡 經(jīng)過操作員卡后 POS 終端才能接受消費(fèi)交易 POSPOS 中的消費(fèi)數(shù)據(jù)的安全 中的消費(fèi)數(shù)據(jù)的安全 POS 終端保存消費(fèi)明細(xì)和該消費(fèi)明細(xì)的消費(fèi)交易認(rèn)證碼 進(jìn)行數(shù)據(jù) 采集時(shí) 將消費(fèi)明細(xì)和消費(fèi)交易認(rèn)證碼一起上傳 結(jié)算中心可以對(duì)該消費(fèi)交易認(rèn)證碼進(jìn)行 校驗(yàn) 以保證消費(fèi)數(shù)據(jù)的真實(shí)性和完整性 3 5 4 充值交易的安全性充值交易的安全性 ICIC 卡的聯(lián)機(jī)合法性認(rèn)證 卡的聯(lián)機(jī)合法性認(rèn)證 充值交易采用聯(lián)機(jī)交易 當(dāng) IC 卡在充值時(shí) 充值設(shè)備先進(jìn)行初步認(rèn) 證 然后上傳相應(yīng)的卡信息和交易信息到管理中心 管理中心判斷該 IC 卡是否在黑 白 智慧餐廳一 智盤 綜合解決方案案 名單中 是否為止付卡或過期卡等 若都不是 才確認(rèn)該卡是合法的 充值交易的安全性和完整性 充值交易的安全性和完整性 用戶 IC 卡和充值設(shè)備之間雙向身份認(rèn)證 并且 IC 卡中的余額設(shè) 置上限 3 6 網(wǎng)絡(luò)安全體系設(shè)計(jì)網(wǎng)絡(luò)安全體系設(shè)計(jì) 3 6 1 安全分析安全分析 根據(jù) 技術(shù) 實(shí)施 保證 的模式 從實(shí)體安全 平臺(tái)安全 數(shù)據(jù)安全 通信安全 應(yīng)用安全 運(yùn)行安全 管理安全這七個(gè)層次對(duì)具有高等級(jí)安全要求的網(wǎng)絡(luò)系統(tǒng)提出安全分析 實(shí)體安全分析 實(shí)體安全分析 實(shí)體安全是信息系統(tǒng)安全的基礎(chǔ) 依據(jù)實(shí)體安全國家標(biāo)準(zhǔn) 將實(shí)施過程確定為 以下檢測與優(yōu)化項(xiàng)目 機(jī)房安全 場地安全 機(jī)房環(huán)境 溫度 濕度 電磁 噪聲 防塵 靜電 振 動(dòng) 建筑 防火 防雷 圍墻 門禁 設(shè)施安全 設(shè)備可靠性 通信線路安全性 輻射控制與防泄 露 動(dòng)力 電源 空調(diào) 災(zāi)難預(yù)防與恢復(fù)等 檢測優(yōu)化實(shí)施過程按照國家相關(guān)標(biāo)準(zhǔn)和公安部的 實(shí)體安全標(biāo)準(zhǔn) 平臺(tái)安全分析 平臺(tái)安全分析 平臺(tái)安全泛指操作系統(tǒng)和通用基礎(chǔ)服務(wù)安全 主要用于防范黑客攻擊手段 目 前市場上大多數(shù)安全產(chǎn)品均限于解決平臺(tái)安全 我司以信息安全評(píng)估準(zhǔn)則為依據(jù) 確定平臺(tái)安 全實(shí)施過程包括以下內(nèi)容 操作系統(tǒng)漏洞檢測與修復(fù) Unix 系統(tǒng) Windows 系統(tǒng) 網(wǎng)絡(luò)協(xié)議 網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞檢測與修復(fù) 路由器 交換機(jī) 防火墻 通用基礎(chǔ)應(yīng)用程序漏洞檢測與修復(fù) 數(shù)據(jù)庫 Web Ftp Mail DNS 等其他各種系統(tǒng)守護(hù)進(jìn)程 網(wǎng)絡(luò)安全產(chǎn)品部署 平臺(tái)安全實(shí)施需 要用到市場上常見的網(wǎng)絡(luò)安全產(chǎn)品 主要包括防火墻 入侵檢測 脆弱性掃描和防病毒產(chǎn)品 整體網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全綜合測試 模擬入侵與安全優(yōu)化 數(shù)據(jù)安全分析 數(shù)據(jù)安全分析 為防止數(shù)據(jù)丟失 崩潰和被非法訪問 我司以用戶需求和數(shù)據(jù)安全實(shí)際威脅為 依據(jù) 為保障數(shù)據(jù)安全提供如下實(shí)施內(nèi)容 介質(zhì)與載體安全保護(hù) 數(shù)據(jù)訪問控制 系統(tǒng)數(shù)據(jù)訪 問控制檢查 標(biāo)識(shí)與鑒別 數(shù)據(jù)完整性 數(shù)據(jù)可用性 數(shù)據(jù)監(jiān)控和審計(jì) 數(shù)據(jù)存儲(chǔ)與備份安全 通信安全分析 通信安全分析 為防止系統(tǒng)之間通信的安全脆弱性威脅 我司以網(wǎng)絡(luò)通信面臨的實(shí)際威脅為依 據(jù) 為保障系統(tǒng)之間通信的安全采取的措施有 通信線路和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性測試與優(yōu)化 安裝網(wǎng)絡(luò)加密設(shè)施 設(shè)置通信加密軟件 設(shè)置身份鑒別機(jī)制 設(shè)置并測試安全通道 測試各項(xiàng) 網(wǎng)絡(luò)協(xié)議運(yùn)行漏洞 智慧餐廳一 智盤 綜合解決方案案 應(yīng)用安全分析 應(yīng)用安全分析 應(yīng)用安全可保障相關(guān)業(yè)務(wù)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上安全運(yùn)行 它的脆弱性可能給信 息化系統(tǒng)帶來致命威脅 我司以業(yè)務(wù)運(yùn)行實(shí)際面臨的威脅為依據(jù) 為應(yīng)用安全提供的評(píng)估措施 有 業(yè)務(wù)軟件的程序安全性測試 Bug 分析 業(yè)務(wù)交往的防抵賴測試 業(yè)務(wù)資源的訪問控制驗(yàn) 證測試 業(yè)務(wù)實(shí)體的身份鑒別檢測 業(yè)務(wù)現(xiàn)場的備份與恢復(fù)機(jī)制檢查 業(yè)務(wù)數(shù)據(jù)的惟一性 一 致性 防沖突檢測 業(yè)務(wù)數(shù)據(jù)的保密性測試 業(yè)務(wù)系統(tǒng)的可靠性測試 業(yè)務(wù)系統(tǒng)的可用性測試 測試實(shí)施后 可有針對(duì)性地為業(yè)務(wù)系統(tǒng)提供安全建議 修復(fù)方法 安全策略和安全管理規(guī)范 運(yùn)行安全分析 運(yùn)行安全分析 運(yùn)行安全可保障系統(tǒng)的穩(wěn)定性 較長時(shí)間內(nèi)將網(wǎng)絡(luò)系統(tǒng)的安全控制在一定范圍 內(nèi) 我司為運(yùn)行安全提供的實(shí)施措施有 應(yīng)急處置機(jī)制和配套服務(wù) 網(wǎng)絡(luò)系統(tǒng)安全性監(jiān)測 網(wǎng) 絡(luò)安全產(chǎn)品運(yùn)行監(jiān)測 定期檢查和評(píng)估 系統(tǒng)升級(jí)和補(bǔ)丁提供 跟蹤最新安全漏洞 災(zāi)難恢復(fù) 機(jī)制與預(yù)防 系統(tǒng)改造管理 網(wǎng)絡(luò)安全專業(yè)技術(shù)咨詢服務(wù) 運(yùn)行安全是一項(xiàng)長期的服務(wù) 包含 在網(wǎng)絡(luò)安全系統(tǒng)工程的售后服務(wù)內(nèi) 管理安全分析 管理安全分析 管理安全對(duì)以上各個(gè)層次的安全性提供管理機(jī)制 以網(wǎng)絡(luò)系統(tǒng)的特點(diǎn) 實(shí)際條 件和管理要求為依據(jù) 利用各種安全管理機(jī)制 為用戶綜合控制風(fēng)險(xiǎn) 降低損失和消耗 促進(jìn) 安全生產(chǎn)效益 我司為管理安全設(shè)置的機(jī)制有 人員管理 培訓(xùn)管理 應(yīng)用系統(tǒng)管理 軟件管 理 設(shè)備管理 文檔管理 數(shù)據(jù)管理 操作管理 運(yùn)行管理 機(jī)房管理 3 6 2 安全性規(guī)劃安全性規(guī)劃 根據(jù)以上七個(gè)層次的安全分析 一卡通 可從一卡通系統(tǒng)自身安全 一卡通網(wǎng)絡(luò)與校園 網(wǎng)安全 一卡通網(wǎng)絡(luò)與銀行網(wǎng)安全 一卡通與第三方接口安全性四方面進(jìn)行安全規(guī)劃 3 6 2 1 一卡通系統(tǒng)自身安全一卡通系統(tǒng)自身安全 實(shí)體安全 實(shí)體安全 機(jī)房建設(shè)的合理性及安全性是保障整個(gè)一卡通網(wǎng)絡(luò)系統(tǒng)安全的前提 物理安全是保 護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備 設(shè)施以及其它媒體免遭地震 水災(zāi) 火災(zāi)等環(huán)境事故以及人為操作失誤或 錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程 我司將機(jī)房建設(shè)分為以下幾個(gè)方面做為重點(diǎn) 防 靜電措施 靜電引起的問題不僅硬件人員很難查出 有時(shí)還會(huì)是軟件人員誤認(rèn)為是軟件故障 從而造成工作混亂 此外 靜電通過人體對(duì) 計(jì)算機(jī)或其他設(shè)備放電時(shí) 即所謂的打火 當(dāng)能量 達(dá)到一定程度 也會(huì)給人以觸電的感覺 造成操作系統(tǒng)作維護(hù)人員的精神負(fù)擔(dān) 影響工作效 率 對(duì)于計(jì)算機(jī)房的靜電 我們采取以下措施 將計(jì)算機(jī)房內(nèi)的所有設(shè)備的金屬外殼統(tǒng)一接 智慧餐廳一 智盤 綜合解決方案案 地 機(jī)房安全地 以防止計(jì)算機(jī)產(chǎn)生的靜電累積 在計(jì)算機(jī)內(nèi)安裝高性能的防靜電地板 地 板貼面的阻率應(yīng)在國家標(biāo)準(zhǔn)規(guī)定的 105 108 地板下的金屬支架應(yīng)進(jìn)行多點(diǎn)有效接地 網(wǎng)狀 最后接至大樓綜合地或機(jī)房安全地 在機(jī)房區(qū)防靜電地板下應(yīng)鋪設(shè)靜電接地網(wǎng) 0 8 40 銅箔 鍍鋅鋼板 間距為 600 600 方格 作良好的電氣連接后接至大樓綜合地或機(jī)房安全地 防雷 措施 根據(jù)國際 GB50174 93 電子計(jì)算機(jī)房設(shè)計(jì)規(guī)范 交流工作地 直流工作地 保護(hù) 地 防雷地宜共用一組接地裝置 其接地電阻按其中最小值要求確定 如果計(jì)算機(jī)系統(tǒng)直流地 與其他地線分開接地 則兩地極間應(yīng)間隔 25 米 在動(dòng)力室電源線總配電盤上安裝并聯(lián)式專用 避雷器構(gòu)成第一級(jí)衰減 在機(jī)房配電柜進(jìn)線處 安裝并聯(lián)式電源避雷器構(gòu)成第二級(jí)衰減 機(jī) 房布線不能延墻敷設(shè) 以防止雷擊時(shí)墻內(nèi)鋼筋瞬間傳導(dǎo)墻雷電流時(shí) 瞬間變化的磁場在機(jī)房內(nèi) 的線路上感應(yīng)出瞬間的高脈沖浪涌電壓把設(shè)備擊壞 空氣質(zhì)量的控制 清新的新風(fēng)提高機(jī)房 的潔凈度 使機(jī)房保證正壓 并提供新鮮空氣 新風(fēng)應(yīng)滿足兩個(gè)指標(biāo) 其一 是每人每小時(shí) 40 立方米 其二 是應(yīng)占空調(diào)系統(tǒng)總風(fēng)量的 5 10 本機(jī)房四周密封 新風(fēng)極為重要 根據(jù)國 家有關(guān)規(guī)范和標(biāo)準(zhǔn)規(guī)定 計(jì)算機(jī)房內(nèi)應(yīng)設(shè)排風(fēng)系統(tǒng) 用以排可能出現(xiàn)的煙霧及滅火后出現(xiàn)的氣 體 電源的穩(wěn)定性保證 建議在機(jī)房設(shè)置 UPS 電源 確保在斷電情況下 UPS 能繼續(xù)供電 保障系統(tǒng)的運(yùn)行 平臺(tái)安全 平臺(tái)安全 操作系統(tǒng)漏洞檢測與修復(fù) 對(duì)于我們選用的操作系統(tǒng)的安全防范可以采取如下策 略 盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置 關(guān)閉一些起不常用卻存在安 全隱患的應(yīng)用 對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件 如 UNIX 下 rhost etc host passwd shadow group 等 Windows NT 下的 LMHOST SAM 等 使用權(quán) 限進(jìn)行嚴(yán)格限制 加強(qiáng)口令字的使用 增加口令復(fù)雜程度 不要使用與用戶身份有關(guān)的 容易 猜測的信息作為口令 并及時(shí)給系統(tǒng)打補(bǔ)丁 系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開 網(wǎng)絡(luò)協(xié)議檢 測與修復(fù) 防止網(wǎng)絡(luò)協(xié)議的脆弱性 保護(hù)所有可能的 Internet 相關(guān)威脅 掃描所有常用 Internet 協(xié)議 包括 HTTP FTP SMTP POP3 IMAP NNTP 及 SOCKS 等 各種系統(tǒng)守護(hù)進(jìn)程 的防護(hù) 在一卡通的應(yīng)用系統(tǒng)安全上 應(yīng)用服務(wù)器盡量不要開放一些沒有經(jīng)常用的協(xié)議及協(xié) 議端口號(hào) 如文件服務(wù)等應(yīng)用系統(tǒng) 可以關(guān)閉服務(wù)器上如 HTTP FTP TELNET RLOGIN 等服務(wù) 還有就是加強(qiáng)登錄身份認(rèn)證 確保用戶使用的合法性 并嚴(yán)格限制登錄者的操作權(quán)限 將其完 成的操作限制在最小的范圍內(nèi) 充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能 對(duì)用戶所訪問 的信息做記錄 為事后審查提供依據(jù) 交換機(jī) 防火墻漏洞檢測與修復(fù) 將通過專業(yè)的檢測 智慧餐廳一 智盤 綜合解決方案案 軟件對(duì)網(wǎng)絡(luò)設(shè)備及系統(tǒng)進(jìn)行漏洞檢測 如防火墻回應(yīng) ICMP 時(shí)戳請(qǐng)求檢測 防火墻回應(yīng) ICMP 子網(wǎng)掩碼請(qǐng)求檢測 防火墻接受 CONNECT 請(qǐng)求檢測 防火墻接受 POST 請(qǐng)求檢測等 數(shù)據(jù)安全 數(shù)據(jù)安全 數(shù)據(jù)訪問控制措施 嚴(yán)格的管理制度 可制定的制度有 用戶授權(quán)實(shí)施細(xì)則 口令字及帳戶管理規(guī)范 權(quán)限管理制度 安全責(zé)任制度 等 數(shù)據(jù)的機(jī)密性與完整性 病毒防護(hù) 網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)一般均為 WINDOWS 系統(tǒng) 比較容易感染病毒 因此計(jì) 算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考慮的重要環(huán)節(jié)之一 軟件保密 在傳輸協(xié)議上 采 用金融報(bào)文交換格式 ISO 8583 標(biāo)準(zhǔn) 經(jīng)過數(shù)字簽名 DES MD5 等加密措施 所有終端設(shè)備接 入都采用動(dòng)態(tài)密鑰進(jìn)行簽到 簽退 硬件保密 采用通過國家密碼委認(rèn)定的硬件產(chǎn)品 網(wǎng)絡(luò)數(shù) 據(jù)保護(hù)器 EPASS 內(nèi)置多種加密算法 隨機(jī)數(shù)生成器 三級(jí)權(quán)限安全文件系統(tǒng) 系統(tǒng)所有的 業(yè)務(wù)進(jìn)行前都必須通過 EPASS 的檢驗(yàn)方可進(jìn)行 達(dá)到應(yīng)用環(huán)境的唯一性 從而加強(qiáng)系統(tǒng)的數(shù)據(jù) 安全性 通信安全 通信安全 劃分虛擬子網(wǎng) VLAN 一卡通的應(yīng)用于將根據(jù)用戶安全級(jí)別或者根據(jù)不同部門的 安全需求 利用交換機(jī)來劃分虛擬子網(wǎng) VLAN 在沒有配置路的情況下 不同虛擬子網(wǎng)間是 不能夠互相訪問 配備防火墻 防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本 最經(jīng)濟(jì) 最有效的安全措施 之一 防火墻通過制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問 控制 并且防火墻可以實(shí)現(xiàn)單向或雙向控制 對(duì)一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問控制 網(wǎng)絡(luò)層 加密 鑒于網(wǎng)絡(luò)分布較廣 網(wǎng)點(diǎn)較多 而且可能采用多種通訊線路 如果采用多種鏈路加密 設(shè)備的設(shè)計(jì)方案則增加了系統(tǒng)投資費(fèi)用 同時(shí)為系統(tǒng)維護(hù) 升級(jí) 擴(kuò)展也帶來了相應(yīng)困難 因 此在這種情況下我們建議采用網(wǎng)絡(luò)層加密 VPN 在 一卡通 的設(shè)計(jì)中 網(wǎng)絡(luò)服務(wù)器 LINE PORT 具有內(nèi)置加密器 前置通信 PC 則安裝硬件加密器 EPASS 所以兩者在通信時(shí)會(huì)在形 成網(wǎng)絡(luò)層加密 保證數(shù)據(jù)的安全傳輸及防止黑客的入侵 IP 綁定 在 一卡通 系統(tǒng)里 對(duì)每個(gè) IP 地址都進(jìn)行與終端 MAC 地址的綁定 防止有惡意破壞者假冒 IP 入侵一卡通網(wǎng)絡(luò) 入 侵檢測 防火墻雖然能抵御網(wǎng)絡(luò)外部安全威脅 但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力 動(dòng)態(tài)地 監(jiān)測網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng) 就要依靠基于網(wǎng)絡(luò)的實(shí)時(shí)入侵監(jiān)測技術(shù) 監(jiān)控網(wǎng)絡(luò)上的 數(shù)據(jù)流 從中檢測出攻擊的行為并給與響應(yīng)和處理 實(shí)時(shí)入侵監(jiān)測技術(shù)還能檢測到繞過防火墻 的攻擊 應(yīng)用安全 應(yīng)用安全 內(nèi)部資源共享 嚴(yán)格控制內(nèi)部使用人員對(duì)網(wǎng)絡(luò)共享資源的使用 在在一卡通內(nèi)部 子網(wǎng)中一般不要輕易開放共享目錄 否則較容易因?yàn)槭韬龆诮粨Q信息時(shí)泄漏重要信息 對(duì)有 智慧餐廳一 智盤 綜合解決方案案 經(jīng)常交換信息需求的用戶 在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制 即只有通過口令的認(rèn)證 才允許訪問數(shù)據(jù) 信息存儲(chǔ) 對(duì)有涉及一卡通秘密信息的用戶主機(jī) 使用者在應(yīng)用過程中要 做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù) 對(duì)數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份 通過網(wǎng) 絡(luò)備份系統(tǒng) 可以對(duì)數(shù)據(jù)庫進(jìn)行備份存儲(chǔ) 運(yùn)行安全 運(yùn)行安全 系統(tǒng)升級(jí)和補(bǔ)丁提供 定期對(duì)一卡通系統(tǒng)中的各種操作系統(tǒng) 應(yīng)用程序進(jìn)行升級(jí) 和打補(bǔ)丁 避免 Bug 的出現(xiàn) 定期檢查和評(píng)估 對(duì)一卡通的各種運(yùn)行的程序進(jìn)行定期的檢查 及時(shí)發(fā)現(xiàn)問題及進(jìn)行防治 管理安全 管理安全 制定健全的安全管理體制 制定健全的安全管理體制將是網(wǎng)絡(luò)安全得以實(shí)現(xiàn)的重 要保證 各使用部門可以根據(jù)自身的實(shí)際情況 制定如安全操作流程 安全事故的獎(jiǎng)罰制度以 及對(duì)任命安全管理人員的考查等 構(gòu)建安全管理平臺(tái) 構(gòu)建安全管理平臺(tái)將會(huì)降彽很多因?yàn)?無意的人為因素而造成的風(fēng)險(xiǎn) 構(gòu)建安全管理平臺(tái)從技術(shù)上如 組成安全管理子網(wǎng) 安裝集中 統(tǒng)一的安全管理軟件 如病毒軟件管理系統(tǒng) 網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)管理軟件 通過安全管理平臺(tái)實(shí)現(xiàn)全網(wǎng)的安全管理 增強(qiáng)人員的安全防范意識(shí) 一卡通管理機(jī)構(gòu)應(yīng)該經(jīng) 常對(duì)使用者進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)的培訓(xùn) 全面提高使用者的整體網(wǎng)絡(luò)安全防范意識(shí) 3 6 2 2 一卡通網(wǎng)絡(luò)與校園網(wǎng)的安全一卡通網(wǎng)絡(luò)與校園網(wǎng)的安全 網(wǎng)關(guān)防火墻的安全 網(wǎng)關(guān)防火墻的安全 防火墻既支持 Internet 網(wǎng)絡(luò)的主要服務(wù) 如 WWW E mail FTP Telnet 等 和基于 TCP 協(xié)議的所有應(yīng)用程序 又支持 UDP 一類的非連接協(xié)議的應(yīng)用程序 而且 還支 持?jǐn)?shù)據(jù)庫訪問這樣的商務(wù)應(yīng)用程序和 Real Audio VDOLive 和 Internet Phone 這樣的多媒體 應(yīng)用程序 使用防火墻后不會(huì)出現(xiàn)服務(wù)失效的負(fù)作用 采用透明防火墻技術(shù) 防火墻在網(wǎng)絡(luò) 中不可探測及訪問 采用多級(jí)過濾措施 提供基于硬件地址 網(wǎng)絡(luò)地址 TCP 端口和用戶的鑒 別和控制方式 采用安全服務(wù)器網(wǎng)絡(luò)技術(shù) 對(duì)用戶的公開服務(wù)器實(shí)施保護(hù) 實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù) 據(jù)流 發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試 根據(jù)安全設(shè)置做出反應(yīng) 實(shí)時(shí)報(bào)警 事件 日志 作為網(wǎng)關(guān)型防火墻 對(duì)于應(yīng)用層的支持是它的一大特色 對(duì)于常用高層應(yīng)用 HTTP FTP 做了更詳細(xì)的控制 如 HTTP 命令級(jí) GET POST HEAD 及 URL 級(jí) FTP 級(jí) GEI PUT 及文件控制 作為一種安全防護(hù) 防火墻在網(wǎng)絡(luò)中是眾多攻擊者的目標(biāo) 必須有 抗攻擊能力 如 IP 地址假冒攻擊 抗口令字探詢攻擊 抗網(wǎng)絡(luò)安全性分析等 提供了較強(qiáng)的 訪問控制能力 如基于地址 協(xié)議 端口 用戶 流量的訪問控制 支持大量流行的應(yīng)用和 智慧餐廳一 智盤 綜合解決方案案 協(xié)議 對(duì) IP 可以進(jìn)行的包過濾包括 源 IP 地址 目的 IP 地址 協(xié)議類型 IP ICMP TCP UDP 源 TCP UDP 端口 目的 TCP UDP 端口 TCP 報(bào)文標(biāo)志域 IP 分組分 片標(biāo)志等 NAT 在 IP 層上通過地址轉(zhuǎn)換提供 IP 復(fù)用功能 解決 IP 地址不足問題 同時(shí)隱藏 了內(nèi)部網(wǎng)的結(jié)構(gòu) 強(qiáng)化了內(nèi)部網(wǎng)的安全 IP 映射功能 即反向 NAT 功能 是應(yīng)用層網(wǎng)關(guān)的典 型特點(diǎn) 如果希望內(nèi)部網(wǎng)絡(luò)中的服務(wù)器可以讓 Internet 用戶訪問的話 可以利用反向 NAT 系 統(tǒng) 為內(nèi)部網(wǎng)絡(luò)服務(wù)器作靜態(tài)地址映射 這樣 Internet 用戶就可以通過防火墻系統(tǒng)直接訪問 服務(wù)器了 IP 與 MAC 地址綁定 防止 IP 假冒 IP 與 MAC 捆綁保護(hù)內(nèi)部網(wǎng)某一臺(tái)機(jī)器的 IP 地 址不被另一臺(tái)內(nèi)部機(jī)器盜用 按照以往的經(jīng)驗(yàn) 在校園網(wǎng)的設(shè)計(jì)中 這是一個(gè)必不可少的需求 防止源 IP 地址欺騙 即防止通過修改 IP 地址方法對(duì)網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問 端口的安全 端口的安全 端口就像一所房子 服務(wù)器 的幾個(gè)門一樣 不同的門通向不同的房間 服務(wù)器提 供的不同服務(wù) 我們常用的 FTP 默認(rèn)端口為 21 而 WWW 網(wǎng)頁一般默認(rèn)端口是 80 但是有些馬 虎的網(wǎng)絡(luò)管理員常常打開一些容易被侵入的端口服務(wù) 比如 139 等 還有一些木馬程序 比如 冰河 BO 等都是自動(dòng)開辟一個(gè)不易察覺的端口 所以我們建議在 一卡通 中把一些用不到 的端口全部封鎖起來 杜絕非法入侵 一卡通網(wǎng)絡(luò)與銀行網(wǎng)的安全一卡通網(wǎng)絡(luò)與銀行網(wǎng)的安全 一卡通系統(tǒng)與銀行系統(tǒng)的應(yīng)用將日益廣泛 與此同時(shí) 網(wǎng)絡(luò)的安全問題也越來越顯得重要 起來 在采用 PSTN DDN 專線的基礎(chǔ)上銀行對(duì)接系統(tǒng)采用如下措施 報(bào)文安全 報(bào)文安全 關(guān)于涉及數(shù)據(jù)在公網(wǎng)或?qū)＞W(wǎng)上傳輸 數(shù)據(jù)報(bào)文傳輸?shù)陌踩?與銀行前置機(jī)數(shù)據(jù)交換 的安全主要由雙向身份認(rèn)證 加密和報(bào)文認(rèn)證來保障 采用設(shè)立銀行網(wǎng)關(guān)方式 雙網(wǎng)卡隔離網(wǎng) 段 杜絕校園網(wǎng)絡(luò)對(duì)銀行網(wǎng)絡(luò)的訪問 僅銀行轉(zhuǎn)賬前置機(jī)可以訪問銀行網(wǎng)絡(luò) 對(duì)傳送的數(shù)據(jù)包 加校驗(yàn)碼 MAC 或 LRC 對(duì)關(guān)鍵數(shù)據(jù)可進(jìn)行加密處理 按銀行要求將數(shù)據(jù)打包成 ISO8583 格式 報(bào)文 防火墻保護(hù) 防火墻保護(hù) 在網(wǎng)絡(luò)的對(duì)外出口處設(shè)置防火墻是理想的選擇 防火墻在銀行信息網(wǎng)中的安全防 護(hù)原則 任何外部網(wǎng)絡(luò)對(duì)銀行信息網(wǎng)的內(nèi)部情況 看不見 外部非法入侵者及特殊信息 進(jìn)不 來 機(jī)要敏感信息 拿不走 任何的非法對(duì)外訪問 出不去 3 6 2 3 網(wǎng)絡(luò)數(shù)據(jù)傳輸安全網(wǎng)絡(luò)數(shù)據(jù)傳輸安全 系統(tǒng)中采用了 SSL 數(shù)字證書技術(shù) SSL 證書通過在客戶端和服務(wù)器之間建立一條 SSL 安 智慧餐廳一 智盤 綜合解決方案案 全通道 Secure socket layer SSL 安全協(xié)議 該安全協(xié)議主要用來提供對(duì)用戶和服務(wù)器的認(rèn) 證 對(duì)傳送的數(shù)據(jù)進(jìn)行加密和隱藏 確保數(shù)據(jù)在傳送中不被改變 即數(shù)據(jù)的完整性 實(shí)現(xiàn)數(shù)據(jù) 信息在客戶端和服務(wù)器之間的加密傳輸 可以防止數(shù)據(jù)信息的泄露 保證了雙方傳遞信息的安 全性 3 6 2 4 第三方接口安全性第三方接口安全性 一卡通系統(tǒng)由多個(gè)子系統(tǒng)組成 接入并共享一卡通平臺(tái)提供的資料 為了保證每一個(gè)子系 統(tǒng)及終端設(shè)備接入的合法性與安全性 系統(tǒng)采取了嚴(yán)格的控制流程 每一個(gè)子系統(tǒng)都要通過系 統(tǒng)授權(quán) 系統(tǒng)認(rèn)證才能接入平臺(tái) 使用一卡通資源 系統(tǒng)授權(quán) 系統(tǒng)授權(quán) 前置機(jī)為每一個(gè)子系統(tǒng)及終端設(shè)備建立授權(quán)注冊(cè)信息 實(shí)現(xiàn)子系統(tǒng)授權(quán)信息的安全 傳遞與存儲(chǔ) 信息包括 終端設(shè)備 ID 號(hào) 終端設(shè)備號(hào) 交易 交易 經(jīng)過認(rèn)證后的子系統(tǒng)及終端設(shè)備才能與中心數(shù)據(jù)庫進(jìn)行交易 如果不能進(jìn)行認(rèn)證進(jìn)行交 易申請(qǐng) 后臺(tái)不會(huì)接受 認(rèn)證過程全部由一卡通統(tǒng)一接入接口自動(dòng)完成 對(duì)子系統(tǒng)而言是透明的 沒有因?yàn)榱鞒痰?復(fù)雜增加了子系統(tǒng)接入的復(fù)雜度 但是通過以上措施卻嚴(yán)格保證系統(tǒng)接入的安全 3 7 軟件安全體系設(shè)計(jì)軟件安全體系設(shè)計(jì) 一卡通系統(tǒng)的應(yīng)用程序在用戶管理 權(quán)限分級(jí) 程序資源 操作權(quán)限分配 登錄控制 身 份驗(yàn)證 密碼控制 日志跟蹤等方面設(shè)計(jì)了一套嚴(yán)密的機(jī)制 系統(tǒng)操作權(quán)限系統(tǒng)操作權(quán)限 一卡通系統(tǒng)的典型應(yīng)用涉及到十多個(gè)子系統(tǒng)的應(yīng)用 往往系統(tǒng)的操作員涉及到 數(shù)十甚至上百人 如此龐大數(shù)據(jù)的操作員的管理 需要很好的解決方案 才有可能達(dá)到系統(tǒng)安 全 管理方便的目的 本系統(tǒng)采取設(shè)置分級(jí)管理 作為系統(tǒng)總管理員 只需管理各專業(yè)的分管 理員即可 各級(jí)管理員可以在自己權(quán)限范圍內(nèi)進(jìn)行權(quán)限的分配工作 例如 系統(tǒng)總管理員在系 統(tǒng)中設(shè)置一個(gè)賬務(wù)管理系統(tǒng)分管理員 同時(shí)賦與賬務(wù)管理相關(guān)的系統(tǒng)操作權(quán)限 而不用關(guān)心賬 務(wù)系統(tǒng)的具體操作員 作為賬務(wù)系統(tǒng)的分管理員 根據(jù)需要 設(shè)置領(lǐng)導(dǎo) 會(huì)計(jì) 出納等操作員 同時(shí)將上級(jí)管理員所賦予的操作權(quán)限進(jìn)行再次分配 在一卡通系統(tǒng)中 除了操作權(quán)限分級(jí)以外 同級(jí)操作員中 還存在數(shù)據(jù)的保護(hù)需求 對(duì)于金融交易數(shù)據(jù) 各營業(yè)商戶之間的數(shù)據(jù)是互相保 密的 采用部門隔離的處理辦法 各商戶只能查詢到與該商戶有關(guān)的交易數(shù)據(jù) 敏感數(shù)據(jù)敏感數(shù)據(jù) 在一卡通系統(tǒng)中涉及到很多的敏感數(shù)據(jù) 包括金融數(shù)據(jù) 單位密碼 用戶卡個(gè)人密 碼 系統(tǒng)操作員密碼等 這些都需要嚴(yán)格保密的 在數(shù)據(jù)庫的存儲(chǔ)中 本系統(tǒng)采用密文形式進(jìn) 智慧餐廳一 智盤 綜合解決方案案 行保存 在數(shù)據(jù)加密方案中 本系統(tǒng)采用國際通用的 DES 算法 3 8 數(shù)據(jù)中心安全體系設(shè)計(jì)數(shù)據(jù)中心安全體系設(shè)計(jì) 3 8 1 數(shù)據(jù)服務(wù)器安全性規(guī)劃及實(shí)施數(shù)據(jù)服務(wù)器安全性規(guī)劃及實(shí)施 數(shù)據(jù)服務(wù)器 通過雙機(jī)冗余軟件實(shí)現(xiàn) 2 臺(tái)數(shù)據(jù)服務(wù)器的冗余 確保 1 臺(tái)數(shù)據(jù)服務(wù)器發(fā)生故 障的時(shí)候 另一臺(tái)服務(wù)器能取代 保障系統(tǒng)的安全運(yùn)行 磁盤陣列和磁帶庫作為數(shù)據(jù)存儲(chǔ)和備份系統(tǒng) 備份可以實(shí)現(xiàn)高度自動(dòng)化的熱備份即實(shí)時(shí)備 份 在遇到系統(tǒng)出現(xiàn)不穩(wěn)定及災(zāi)難性崩潰時(shí) 能使 一卡通 里的各種數(shù)據(jù)及時(shí)恢復(fù) 服務(wù)器 群里進(jìn)行 VLAN 劃分 應(yīng)用服務(wù)器和數(shù)據(jù)服務(wù)器劃分在同一 VLAN 段 應(yīng)用服務(wù)器作為其中的中 間層 又能和下面的終端劃分為另外一個(gè) VLAN 段 這樣劃分的目的 是保證下面的終端客戶 機(jī)不能直接訪問數(shù)據(jù)服務(wù)器 只能通過應(yīng)用服務(wù)器來訪問 這樣就確保了數(shù)據(jù)服務(wù)器里數(shù)據(jù)的 3 8 2 數(shù)據(jù)備份設(shè)計(jì)數(shù)據(jù)備份設(shè)計(jì) 數(shù)據(jù)庫運(yùn)行有兩種模式 非歸檔日志模式 歸檔日志模式 建議系統(tǒng)采用歸檔日志模式運(yùn) 行數(shù)據(jù)庫 建議一周做一次數(shù)據(jù)庫完全備份 每天晚上或凌晨業(yè)務(wù)量較小的時(shí)候即數(shù)據(jù)庫最閑的時(shí)候 做一次差分備份 備份數(shù)據(jù)文件 歸檔日志到磁帶中 這些備份數(shù)據(jù)可用磁帶備份到遠(yuǎn)程的計(jì) 算機(jī)系統(tǒng)中 請(qǐng)不要把已備份數(shù)據(jù)的磁帶和當(dāng)前數(shù)據(jù)庫服務(wù)器放在同一個(gè)環(huán)境中 3 8 2 1 物理備份設(shè)計(jì)物理備份設(shè)計(jì) 通過拷貝數(shù)據(jù)庫文件的方式來備份數(shù)據(jù)庫 系統(tǒng)中根據(jù)數(shù)據(jù)的重要性同時(shí)選用以下兩種方 法 冷備份 脫機(jī)備份 冷備份 脫機(jī)備份 在正常的方式 shutdown normal immediate 關(guān)閉數(shù)據(jù)庫 在 操作系統(tǒng)級(jí)的命令行上備份所有的數(shù)據(jù)文件 包括數(shù)據(jù)文件 聯(lián)機(jī)重做日志文件和控制文 件 在歸檔日志模式下可以單獨(dú)備份某個(gè)表空間 熱備份 聯(lián)機(jī)備份 熱備份 聯(lián)機(jī)備份 只有數(shù)據(jù)庫運(yùn)行在歸檔模式下 才可以熱備份表空間以及重做日 志 控制文件 3 8 2 2 邏輯備份設(shè)計(jì)邏輯備份設(shè)計(jì) 不管系統(tǒng)多么可靠 總會(huì)發(fā)生一些意想不到的事情 致使系統(tǒng)數(shù)據(jù)丟失 因此使用備份來 智慧餐廳一 智盤 綜合解決方案案 保護(hù)數(shù)據(jù)不丟失是一種非常重要的手段 尤其在系統(tǒng)數(shù)據(jù)非常重要的時(shí)候 經(jīng)常進(jìn)行數(shù)據(jù)備份 能夠減少偶然破壞造成的損失 保證系統(tǒng)能夠從錯(cuò)誤中恢復(fù)正常運(yùn)行 數(shù)據(jù)有備份后可以說是 安全的 但這還是不夠的 只有良好的備份策略才能確保數(shù)據(jù)的最終安全性 而且可以使整個(gè) 數(shù)據(jù)備份工作變得合理而輕松 在進(jìn)行備份之前 首先要選擇合適的備份策略 這將決定何時(shí)需要備份 以及出現(xiàn)故障時(shí) 進(jìn)行恢復(fù)的方式 通常使用的備份方式有三種 完全備份完全備份 full full backup backup 每隔一定時(shí)間就對(duì)系統(tǒng)