1、摘要:
????????2018 年初,我所在的公司為一票務公司開發開票業務平臺的建設。我在該項目中擔任系統架構設計師的職務,主要負責設計平臺系統架構和安全體系架構。該平臺以采用 B/S 架構服務用戶,采用”平臺+應用”的模式解決現有應用單機獨立開票的模式。原來單機模式開票數據不準,存在多個設備開同一張票的現象,不便管理,另外非公司內部員工,通過盜用設備虛開發票,本文以平臺安全體系架構為例,討論了信息系統的安全性與保密性的設計。在該項目中,我結合實際需要,通過防止信息竊取、防止暴力破解、防止密碼泄露等方面綜合應用了各種技術手段以保障系統的安全性與保密性。目前,系統已穩定運行了一年時間,實踐證明,些技術手段有效的提高了系統的安全性和保密性,順利通過了集團的安全檢測,運行至今,未發生安全事故。
2、正文:
????????隨著移動信息化技術的迅猛發展,我所在的甲方票務公司發現原來依靠依靠稅盤單一驗證方式開具發票存在許多問題,有同一張發票被多個設備開具的情況,同一個稅號公司名稱也各不相同,這些異常的發票在送往國稅局驗證時全部為無效發票,無效發票還要執行后續許多核對流程,很浪費時間,為此公司決定開發一個平臺,需要開具發票的客戶公司,只需要將稅盤接入系統,我司平臺驗證登錄用戶信息后,即可進行后續的發票驗證,發票掃描,發票開具操作,實現統一入口、統一認證、統一鑒權、統一管理的目的,因為發票涉及公司資金數據,對系統的敏感數據需要進行保密傳輸,對系統的安全等級提出了很高的要求,
????????
????????在項目分析階段,我查閱了信息系統相關規范,發現信息系統需要具備如下5個基本要素:機密性 確保信息不爆露給末授權的實體或進程,完整性只有得到允許的人才能夠修改數據,并能夠判別數據是否被修改;可用性得到授權的實休在需要時可訪問數據;可控性 可以控制授權范圍內的信息流向和行為方式;可審查性 對出現安全問題提供調查的依據和手段
????????為了讓系統提從安全的服務 ISO7498-2 定義了5種可選的安全服務分別是一認證服務 確保某個實體身份的可靠性分兩種類型,
1一種類型是認證實體本身的身份
2一種是證明某個信息是否來自于某個特定的實體,這種叫做數據源認證,數據簽名就是這種訪問控制 防止對任何資源的非授權訪問,確保只有經過授權的實體才能訪問受保護的資源三數據機密性服務 確保只有經過授權的實體才能理解受保護的信息
四數據完整性服務 防止對數據末授權的修改和破壞,
五 不可否認服務 防止對數據源以及數據提交的否認,它有兩種可能,數據發送的不可否認性和數據接收的不可否認性
為保護信息的安全我們也提出一些對應的安全機制
一:加密機制
二:數字簽名
三: 訪問控制機制
四:數據完整性機制
五:認證交換機制
????????系統中運行的各公司敏感業務數據,其中不乏涉及決策層的商業信息,信息的保密尤為重要;從信息化系統的特點來看,通信方式的安全同樣至關重要。針對以上情況,我首先選定了可以附加增強安全手段的多層分布式架構來提供安全與保密保障的基礎可能。我根據架構特點,將安全保障方案分為物理層級和軟件層級。在物理層級,我通過私有云提供的隔離手段,將各層之間通過防火墻進行了物理隔離,并在 DMZ 中只保留了必須的接入服務器,以最大程度的在物理層次上降低安全風險。在物理層級提供了足夠的安全保障之后,系統主要的安全性和保密性設計集中在了軟件層級的設計上,下面,我結合項目實際情況就軟件方面所采取的防竊取、防破解、防泄露等技術手段進行詳細說明。
????????第一,通過 HTTPS、敏感數據加密、數據不落地的方式實現了通信數據的防竊取。平臺作為信息化系統,決定了數據需要從內部網絡流經互聯網到達終端,在內部網絡到外部網絡部分,通過集團私有云提供的審計能力,可以提供足夠的安全保障。但是數據需要在互聯網上流轉,這就要求數據流轉的通道必須是安全的,同時敏感信息也必須是安全加密的。通道的安全,經過論證分析,最終我們采用了 HTTPS 作為通信方式。HTTPS技術通過在HTTP 協議附加SSL的方式實現其次對數據實行加密,數據加密即對明文按照某種加密算法進行處理,而形成難以理解的密文,按照加密密鑰和解密密鑰的異同。
????????第二,通過驗證碼、生物特征識別、鎖定賬戶等手段防止系統入口的暴力破解。用戶必須登陸后才可以使用系統功能,密碼的防暴力破解成為這方面的關鍵點。通過調查分析,單純的使用賬戶、密碼方式登陸系統,可能出現面對暴力破解時的泄露問題,為了解決這個問題,我在系統的認證環節引入了驗證碼技術和人臉識別技術。驗證碼技術可以提高登陸業務的復雜程度,加大針對密碼的暴力破解的難度。同時也保證只有當前正在操作的用戶和手機號都符合系統匹配條件才能進入,此為第一道關,而在正式開票時,需要再進行人臉識別技術通過其生物識別技術特點,保證只有具備開票職責的人員才能使用該功能,進一步滿足安全的要求。同時,我在系統中采取了密碼失敗多次鎖定賬戶一定時間的機制,具體為,用戶密碼或輸入三次,系統自動鎖定賬戶三十分鐘,這三十分鐘內,該賬戶無法登陸系統,這就進一步加大了破解賬戶密碼的時間,基本上可以認為這些手段屏蔽了密碼暴力破解的可能。最終我選擇的方式是將這三種技術手段根據場景結合使用,用戶初次登陸系統時采用普通密碼方式,登陸成功后,強制對核心功能模塊設置人臉識別技術,并將人臉信息存儲于服務端,用戶后續的登陸將只能使用密碼+人臉識登陸,密碼三次錯誤鎖定賬號的機制則貫穿兩種登陸方式,既滿足了系統的易用性,又提高了登陸的安全性。
????????綜合使用了如上的硬件和軟件安全技術手段之后,平臺于 2015 年末順利通過了安全部門的安全檢測正式上線,至今已穩定運行了接近 2 年時間,運行過程中未發生過一起安全事故。系統所采用的通信防竊取、防暴力破解、密碼防泄露等技術手段發揮了重要的作用,獲得了領導和同事的好評。但是在系統運行過程中,我也發現了技術手段存在的一些不足。首先是單純的HTTPS通信并未將信道進行有效隔離,可以考慮增加VPN 或VPDN 的手段實現。其次是密碼摘要的鹽采用了用戶賬號,使得鹽固化到了客戶端,有一定的安全風險,可以采用客戶端驗密時先從服務端獲取與賬號不同的鹽,再進行嚴驗密的方式解決。以上這些問題將是我以后在安全架構設計上需要重點考慮的問題。
)
)
)
+ubuntu18.04)
