安全设计
摘要
2018年初,我所在的公司为一票务公司开发开票业务平台的建设。我在该项目中担任系统架构设计师的职务,主要负责设计平台系统架构和安全体系架构。该平台以采用 B/S架构服务用户,采用”平台+应用”的模式解决现有应用单机独立开票的模式。原来单机模式开票数据不准,存在多个设备开同一张票的现象,不便管理,另外非公司内部员工,通过盗用设备虚开发票,本文以平台安全体系架构为例,讨论了信息系统的安全性与保密性的设计。在该项目中,我结合实际需要,通过防止信息窃取、防止暴力破解、防止密码泄露等方面综合应用了各种技术手段以保障系统的安全性与保密性。目前,系统已稳定运行了一年时间,实践证明,些技术手段有效的提高了系统的安全性和保密性,顺利通过了集团的安全检测,运行至今,未发生安全事故。
正文
随着移动信息化技术的迅猛发展,我所在的甲方票务公司发现原来依靠依靠税盘单一验证方式开具发票存在许多问题,有同一张发票被多个设备开具的情况,同一个税号公司名称也各不相同,这些异常的发票在送往国税局验证时全部为无效发票,无效发票还要执行后续许多核对流程,很浪费时间,为此公司决定开发一个平台,需要开具发票的客户公司,只需要将税盘接入系统,我司平台验证登录用户信息后,即可进行后续的发票验证,发票扫描,发票开具操作,实现统一入口、统一认证、统一鉴权、统一管理的目的,因为发票涉及公司资金数据,对系统的敏感数据需要进行保密传输,对系统的安全等级提出了很高的要求,
在项目分析阶段,我查阅了信息系统相关规范,发现信息系统需要具备如下5个基本要素
- 机密性确保信息不爆露给末授权的实体或进程
- 完整性只有得到允许的人才能够修改数据,并能够判别数据是否被修改
- 可用性得到授权的实休在需要时可访问数据
- 可控性可以控制授权范围内的信息流向和行为方式
- 可审查性对出现安全问题提供调查的依据和手段
为了让系统提从安全的服务IS07498-2 定义了5种可选的安全服务分别是
一、认证服务确保某个实体身份的可靠性分两种类型,
1、一种类型是认证实体本身的身份 10学堂
2、一种是证明某个信息是否来自于某个特定的实体,这种叫做数据源认证,数据签名就是这种
二、访问控制防止对任何资源的非授权访问,确保只有经过授权的实体才能访问受保护的资源
三、数据机密性服务确保只有经过授权的实体才能理解受保护的信息
四、数据完整性服务防止对数据末授权的修改和破坏
五、不可否认服务防止对数据源以及数据提交的否认,它有两种可能,数据发送的不可否认性和数据接收的不可否认性
为保护信息的安全我们也提出一些对应的安全机制
一、加密机制
二、数字签名
三、访问控制机制
四、数据完整性机制
五、认证交换机制
六、流量填充机制
七、路由控制机制
八、公证机制
系统中运行的各公司敏感业务数据,其中不乏涉及决策层的商业信息,信息的保密尤为重要;从信息化系统的特点来看,通信方式的安全同样至关重要。针对以上情况,我首先选定了可以附加增强安全手段的多层分布式架构来提供安全与保密保障的基础可能。我根据架构特点,将安全保障方案分为物理层级和软件层级。在物理层级,我通过私有云提供的隔离手段,将各层之间通过防火墙进行了物理隔离,并在 DMZ 中只保留了必须的接入服务器,以最大程度的在物理层次上降低安全风险。在物理层级提供了足够的安全保障之后,系统主要的安全性和保密性设计集中在了软件层级的设计上,下面,我结合项目实际情况就软件方面所采取的防窃取、防破解、防泄露等技术手段进行详细说明。
第一,通过 HTTPS、敏感数据加密、数据不落地的方式实现了通信数据的防窃取。平台作为信息化系统,决定了数据需要从内部网络流经互联网到达终端,在内部网络到外部网络部分,通过集团私有云提供的审计能力,可以提供足够的安全保障。但是数据需要在互联网上流转,这就要求数据流转的通道必须是安全的,同时敏感信息也必须是安全加密的。通道的安全,经过论证分析,最终我们采用了 HTTPS 作为通信方式。HTTPS 技术通过在HTTP协议附加 SSL的方式实现,
其次对数据实行加密,数据加密即对明文按照某种加密算法进行处理,而形成难以理解的密文,按照加密密钥和解密密钥的异同,有两种密钥体制,分别是对称密码体制和非对称密码体制
1 对称密码体制
加密和解密采用相同的密钥,因为加密速度快,通常用来加密大批量数据典型方法有IDEA, DES
2非对称密码体制
加密和解密使用不同的密钥,其中一个密钥是公开的,一个是私有的,但是该加密速度很慢,只适合于加密少量数据,典型的技术有 RSA
结合项目特点,主要为商业数据,数据机密大高,同时数据也主要是一些数字和一些名称等信息,所以我们采用非对称加密的方式,作为软件设计手段,我们在客户端的设计上采用了数据不落地的形式,即所有客户端流经的数据,除了账号用于免输入以外,其他数据都不存储到客户端本地,终端的所有业务数据都从服务器获取,最大程度的避免了客户端被反编译和沙盒入侵所带来的安全风险。
第二,通过验证码、生物特征识别、锁定账户等手段防止系统入口的暴力破解。用户必须登陆后才可以使用系统功能,密码的防暴力破解成为这方面的关键点。通过调查分析,单纯的使用账户、密码方式登陆系统,可能出现面对暴力破解时的泄露问题,为了解决这个问题,我在系统的认证环节引入了验证码技术和人脸识别技术。验证码技术可以提高登陆业务的复杂程度,加大针对密码的暴力破解的难度。同时也保证只有当前正在操作的用户和手机号都符合系统匹配条件才能进入,此为第一道关,而在正式开票时,需要再进行人脸识别技术通过其生物识别技术特点,保证只有具备开票职责的人员才能使用该功能,进一步满足安全的要求。同时,我在系统中采取了密码失败多次锁定账户一定时间的机制,具体为,用户密码或输入三次,系统自动锁定账户三十分钟,这三十分钟内,该账户无法登陆系统,这就进一步加大了破解账户密码的时间,基本上可以认为这些手段屏蔽了密码暴力破解的可能。最终我选择的方式是将这三种技术手段根据场景结合使用,用户初次登陆系统时采用普通密码方式,登陆成功后,强制对核心功能模块设置人脸识别技术,并将人脸信息存储于服务端,用户后续的登陆将只能使用密码+人脸识登陆,密码三次错误锁定账号的机制则贯穿两种登陆方式,既满足了系统的易用性,又提高了登陆的安全性。
综合使用了如上的硬件和软件安全技术手段之后,平台于2015年末顺利通过了安全部门的安全检测正式上线,至今已稳定运行了接近2年时间,运行过程中未发生过一起安全事故。系统所采用的通信防窃取、防暴力破解、密码防泄露等技术手段发挥了重要的作用,获得了领导和同事的好评。但是在系统运行过程中,我也发现了技术手段存在的一些不足。首先是单纯的HTTPS通信并未将信道进行有效隔离,可以考虑增加VPN 或VPDN的手段实现。其次是密码摘要的盐采用了用户账号,使得盐固化到了客户端,有一定的安全风险,可以采用客户端验密时先从服务端获取与账号不同的盐,再进行严验密的方式解决。以上这些问题将是我以后在安全架构设计上需要重点考虑的问题。
评论区