論安全架構設計（層次）

安全架構設計（層次）

摘要

????????2021年4月，我有幸參與了某保險公司的“優車險”項目的建設開發工作，該系統以車險報價、車險投保和報案理賠為核心功能，同時實現了年檢代辦、道路救援、一鍵挪車等增值服務功能。在本項目中，我被安排擔任架構師一職，負責系統需求分析和架構設計工作，以及關鍵業務模塊的設計和編碼工作。

????????本文以系統安全架構的應用為論述主題，首先介紹了系統安全架構的分層體系，包括物理安全、網絡安全、系統安全、應用安全以及數據安全，并說明了每層安全領域的具體內涵以及可能面臨的安全威脅。然后結合筆者的實踐，重點圍繞著系統安全、應用安全、數據安全三個方面，詳細闡述了在該車險項目中采取了哪些安全措施來保證系統安全，以及取得的效果。項目歷時6個多月的開發與迭代，成功上線，至今一直平穩運行。

正文

????????2018年前后新能源汽車市場在國內快速擴張，這一現象導致燃油車的價格大幅度下降，在電車“出新”和燃油車“減價”的雙重刺激下，國內汽車銷售量出現了大幅度的增長。按照買車必購險的政策，車險的投保量隨之快速增長，這為車險行業帶來了前所未有的發展機遇。在上述行業背景下，我所在的保險公司為了提升自身車險交易平臺的服務質量，于2021年4月，提出了"優車險"的項目計劃，該系統主要實現了車險報價、車險購買、報案理賠三個核心功能，本質上是一個車險電商平臺。為了給客戶帶來更好的服務體驗進而增加客戶粘性，該系統還提供了諸如年檢代辦、道路救援、一鍵挪車、電車充電等一系列增值服務功能。我有幸以架構師的身份參與并主導了本系統的開發建設工作，負責系統的需求分析和架構設計，項目初期。我們對系統的應用場景和運行環境做了深入的調研，考慮到該系統承載著大量的業務數據與客戶隱私信息，且處于開放的網絡環境中，面臨著層出不窮的安全挑戰，我們決定制定科學有效的安全架構策略，保證系統安全。

????????為了更好地將安全技術應用到系統建設中，在啟動系統設計工作前，我們針對系統安全架構的分層體系開展了充分調研，重點剖析每一層安全領域的具體內涵以及可能面臨的安全威脅，并將關鍵理論要點進行了整理。

????????1、物理安全。物理安全是信息系統安全的基礎，涵蓋機房設施、硬件設備等方面。面臨的威脅包括自然災害（如地震、火災等）可能損壞機房設備，導致系統癱瘓；人為的盜竊、破壞行為可能造成硬件設備丟失或損壞，影響系統正常運行；電力故障若不能及時恢復，也會使系統中斷服務。

????????2、網絡安全。網絡安全涉及網絡邊界防護、網絡訪問控制等。網絡攻擊是主要威脅，如黑客的惡意掃描、端口探測，試圖尋找系統漏洞；DDoS（分布式拒絕服務）攻擊通過大量請求耗盡網絡帶寬和服務器資源，使系統無法正常提供服務；網絡嗅探可能竊取網絡傳輸中的敏感信息，如用戶登錄密碼、業務數據等。

????????3、系統安全。系統安全主要針對操作系統、數據庫系統等。操作系統存在漏洞，若未及時更新補丁，容易被攻擊者利用，獲取系統權限；惡意軟件（如病毒、木馬）可能感染系統，破壞數據或竊取信息；數據庫系統面臨SQL注入攻擊風險，攻擊者通過在輸入參數中注入惡意SQL語句，非法獲取、篡改或刪除數據庫數據。

????????4、應用安全。應用安全聚焦于應用程序自身。常見威脅有身份認證繞過，攻擊者可能通過破解密碼或利用認證漏洞，非法登錄系統；權限管理不當，會導致用戶越權訪問，獲取未授權的數據或執行未授權操作；代碼漏洞，如緩沖區溢出、跨站腳本攻擊（XSS）等，可能被攻擊者利用，破壞應用程序或竊取用戶信息。

????????5、數據安全。數據安全關乎數據的保密性、完整性和可用性。數據泄露是嚴重威脅，可能因人為失誤、內部人員違規操作或外部攻擊導致客戶個人信息、保單數據等敏感信息泄露；數據篡改可能使業務數據失去真實性，影響業務決策和正常運營；數據丟失則可能因存儲設備故障、誤刪除等原因，造成不可挽回的損失。

????????上述所整理的關于系統安全架構的分層體系的具體內容，在理論層面上為車險系統的建設提供了有力的參考。而在實際項目開發中，如何將理論應用于實際項目成為關鍵銜接環節。為此，我們對車險系統的業務功能場景進行了深入分析，發現車險系統作為面向大眾車主的車險電商平臺，構建完善的安全防護體系勢在必行。下文將重點從系統安全、應用安全、數據安全三個方面出發，闡述系統安全架構在該項目中的具體應用過程。

????????一、系統安全方面

????????系統安全為上層應用和數據安全奠定基礎。為了保障系統安全，我們對操作系統和數據庫系統進行全面安全檢查與規劃。對于操作系統，我們建立了嚴格的補丁更新機制，每月定期從官方渠道獲取最新的安全補丁，并在測試環境驗證后，及時部署到生產系統，以此修復系統漏洞，降低系統被攻擊的風險。同時，關閉了如 Telnet 等不安全且非業務必需的服務和端口，減少系統暴露面，有效阻斷了攻擊者利用默認端口和脆弱服務入侵系統的路徑。此外，我們還采用行業通用的安全配置模板，對操作系統的用戶權限、文件訪問控制等進行標準化配置，增強系統操作的安全性。在數據庫安全方面，我們十分重視密碼保護工作，設置了由大小寫字母、數字和特殊字符組成，長度超過 16 位的復雜管理員密碼，并每三個月更換一次，有效提升數據庫訪問安全性。同時，啟用數據庫審計功能，詳細記錄數據庫的登錄、數據查詢、修改等操作，實現用戶行為追蹤、風險監測、合規證據留存等安全防護功能，全方位保障數據安全與合規。通過這些措施，有效防止了因系統漏洞和惡意軟件導致的安全事件，保障了數據的安全存儲和訪問。

????????二、應用安全方面

????????應用安全是整個安全體系的核心，對保障業務連續性、用戶隱私和系統穩定性起到至關重要的作用。在系統建設過程中，我們主要通過認證和鑒權兩種措施來保證應用安全。為了抵御身份冒用和非法訪問等安全威脅，我們構建了一套嚴謹的多層次身份認證體系。該體系融合了用戶名 / 密碼、短信驗證碼以及人臉識別等多種方式，并能根據不同業務場景的風險程度進行合理配置。例如，客戶申請高額車險理賠時，系統會啟動嚴格的身份確認流程，依次進行用戶名密碼驗證、短信驗證碼驗證以及人臉識別驗證，大幅提高了操作的安全性和真實性。同時，我們采用基于角色的訪問控制（RBAC）模型將系統用戶細分為客戶、代理人、核保員、理賠員等不同角色，針對每個角色精準分配相應的操作權限。只有經過授權的用戶才能訪問特定功能和數據，從根本上杜絕了越權訪問的現象。實施該措施后，系統功能和數據被非法訪問的情況幾乎沒有出現，有力地保障了系統訪問的安全性，確保了各項業務操作的合規性與真實性。

????????三、數據安全方面

????????為保障數據安全，我們制定了全面的數據安全策略，重點圍繞數據傳輸、存儲、備份恢復三大核心環節展開防護。在數據傳輸方面，我們全面采用 SSL/TLS 協議對網絡通信進行加密處理，無論是客戶與系統之間的交互數據，還是系統內部各模塊之間的數據傳輸，都在加密通道中安全進行，有效防止了數據在傳輸過程中被竊取、篡改或監聽。在數據存儲方面，我們針對客戶身份證號碼、銀行卡號、保險合同關鍵信息等敏感數據，運用對稱加密算法進行加密后存儲于數據庫，只有授權用戶憑借特定密鑰才能解密查看，保證數據存儲的安全性。在數據備份與恢復方面，我們采用“全量 + 增量” 的復合備份模式，在每天進行增量備份的基礎上，每15天進行一次全量備份，將系統中的所有數據完整復制到備份存儲設備，兼顧備份效率與存儲空間。此外，每季度定期開展數據恢復演練，模擬真實故障場景下的數據還原過程，確保備份數據的可用性與完整性。通過這些舉措，確保了數據在保密性、完整性和可用性方面的安全，有力保障了業務的連續性。

????????該系統開發耗時6個月時間，于2021年10月完成首個版本的全面上線，至今已在升級維護中穩定運行3年多的時間。截止目前，系統內在保的車輛涉及營運類、非營運類的客車、貨車、私家車總共200多萬輛，每年大概創造50多億的保費總收入，為公司帶來了不小的經濟收益。

????????在車險系統開發項目中，通過對信息安全體系架構各個方面的深入分析，針對性地采取了一系列安全措施，有效保障了系統架構的安全。從物理安全到網絡安全、系統安全、應用安全和數據安全，形成了一個全方位的安全防護體系。這些措施的實施，不僅提升了系統的安全性和穩定性，也增強了客戶對公司的信任，為公司業務的持續發展提供了有力保障。在未來的項目中，將繼續關注信息安全技術的發展，不斷優化和完善系統安全架構，以應對日益復雜的安全威脅。