论系统安全架构设计及其应用~系统架构师论文
论系统安全架构设计及其应用
信息安全的特征是为了保证信息的机密性、完整性、可用性、可控性和不可抵赖性。信息系统的安全保障是以风险和策略为基础,在信息系统的整个生命周期中提供包括技术、管理、人员和工程过程的整体安全,在信息系统中保障信息的这些安全特征,并实现组织机构的使命。许多信息系统的用户需要提供一种方法和内容对信息系统的技术框架、工程过程能力和管理能力提出安全性要求,并进行可比性的评估、设计和实施。请围绕“论系统安全架构设计及其应用”论题,依次从以下三个方面进行论述。
1.概要叙述你所参与管理或开发的软件项目,以及你在其中所承担的主要工作。
2.详细论述安全架构设计中鉴别框架和访问控制框架设计的内容,并论述鉴别和访问控制所面临的主要威胁,并说明其危害。
3.阐述你在软件开发的过程中都遇到了哪些实际问题及解决方法。
摘要:
本人于2023年5月参与了某大型电话营业购物综合管理系统项目,在该项目中我担任架构师,主要负责整个架构设计和中间件的选型。本文以该演进项目为例,主要讨论系统安全架构设计及其具体应用。本项目通过采用面部特征识别和证件照片等生物特征技术解决客户因为证件丢失,被他人盗用证件办理业务后用于从事非法活动的问题;通过采用基于角色的访问控制来限制营业员的业务受理范围和用户的业务受理范围;通过采用访问控制列表技术实现该运营商的网上商城业务,提供安全保障和信息安全认证服务,拓展了新业务领域,增加了该运营商的收入。经过项目的几轮迭代,最终上线,在使用期间,获得一线员工和用户的一致好评。
正文:
随着人们生活的提高,用户对个人信息的安全逐渐得到了重视。随着互联网的迅猛发展,网络安全、信息安全逐渐成为企业所关注的大事了。在2023年,本人有幸参与了某大型大型电话营业购物综合管理系统项目的架构设计。在该项目中,我担任系统架构师的职位。在经过需求分析和会议讨论后加上认真调研后决定采用平滑演进的方式实现该大型网络安全科技管理系统项目。
安全管理系统是本系统的核心系统,包括了人脸识别、证件识别、挂失等多个菜单。该系统实现了安全管理相关业务,整合了安全相关的所有可能出现的安全风险问题解决办法。在该系统中,作为架构师的我,主要负责整个架构设计及中间件的选型。项目于2023年5月成功启动,整个项目耗时13个月,第一版于2024年6月顺利通过验收。同时也实现了安全统计等重点业务。接下来我会结合本系统来详细描述系统安全架构相关内容。
系统的安全架构设计主要有鉴别服务、访问控制、数据完整性验证、数据保密性和抗抵赖等5个方面,鉴于该运营商的业务特点,我们着重考虑了鉴别服务的能力和访问控制能力。鉴别技术主要有用户名+口令模式、数字证书和生物特征识别等技术。鉴别技术面临的主要目的是验明用户或者信息的正身,面临的威胁有用户名、口令被盗;生物特征被窃取、数字证书重放冒用等。访问控制主要有自主访问控制、访问列表控制、强制访问控制、基于角色的访问控制和基于任务的访问控制等技术。访问控制监控哪些资源可以被访问和使用,以及在某种情况下最大限度的降低未授权行为的风险。无论是终端用户因疏忽而导致的敏感信息泄露,还是因公共web服务器软件泄露而导致的敏感信息泄露,都有可能导致灾难性的后果。
在系统中,我们着重采用了生物特征识别方式来验证客户身份的准确性,采用访问控制列表和基于角色的访问控制来实现系统的访问控制技术。下文我将着重讨论这些技术在系统中的具体应用和实现。
一、生物特征识别
首先我们在受理业务的首页设置了客户认证菜单页,在客户认证通过的情况下才可以办理该客户下的业务,若认证未通过,则不允许受理任何业务。在用户受理业务时,我们首先要确保是实名办理业务,客户需要出示证件,系统调用第三方系统合适证件真伪,其次需要现场拍照,系统进行照片比对核对证件持有人是否一致并将照片信息存储到后台hbase中,组织用户的业务被非法篡改,也防止别有用心的人利用账号从事非法的活动,给国家和人民造成经济损失。只有当客户认证通过之后才可以正常办理业务。在受理业务之前通过生物特征识别校验用户的真伪性,在业务受理最后一个阶段需要采集用户的指纹或者在线签名,确保用户知道自己手里的具体业务内容,以及日后的防抵赖性。对于特殊类代办业务,系统需要验证代办人的证件资料,采集代办人的人脸信息,以及代办业务用户所收到的实时验证码,当验证码校验通过之后才运行受理该代办业务。
二、访问控制列表
访问控制列表主要是针对该运营商的网上商城业务而设计的,该运营商为了增加集团的收入,在手机app客户端和网上商城均开放了购物业务,用户可以使用话费购买商城的产品,比如京东卡、腾讯会员、生活用品等。由于账号和口令可能被暴力破解或者泄露,所以如何在消费话费的时候确认该购买行为是客户有意识的主动发起是我们遇到的最大的难题。因为客户可能是误操作,也可能是账号被盗取。还有可能是购买意愿不强烈,订单取消风险较大,但是某些商品如京东卡一旦售卖成功是不允许取消订单的,导致消费者购买体验较差。经过慎重研究决定采用访问控制列表的方式来实现该购买行为。当购买行为进入支付阶段时候系统会给用户发送一套动态短信,若用户按照短信内容回复,则可以判断是用户的真是操作,这样才会将纳入真正的支付环节以及产品交付环节。该技术的应用成功拓展了业务领域,增加了集团的收入,同时也得到了用户的好评。
三、基于角色的访问控制
基于角色的访问控制,主要是针对营业厅营业员以及运维人员,基于角色的访问控制可以限制营业员受理业务的范围,比如是否可以受理跨地市的业务,是否可以受理新上线的业务,是否可以给用户减免违约金,是否可以给与某种优惠等操作,一旦操作不当就有可能导致用户的投诉,给集团带来直接经济损失,也会带来口碑上的下滑,不利于客户关系的维护。运维人员如果因误操作对用户数据造成不可恢复的损害,也将造成严重后果,所以需要实现”最小权限原则“和”权限分离原则”,将试图访问信息的用户智能访问执行自身角色智能所必须的那部分数据。实现基于角色的访问控制,还有一大好处就是便于对营业员和运维人员账号的维护,当员工需要某个权限的时候,只需要在该工号配置上一条相应的角色就可以实现营业员账号权限的扩展,提供给工号管理系统就是一个选项的按钮而已,可以以最快的时间实现营业员权限的扩展和收缩。
通过上述鉴别服务和访问控制方案的实时,该系统于2024年6月完成第一个版本的顺利验收。上线后虽然出现了某些特殊用户到营业厅办理不了某些业务,需要到指定营业厅擦能办理的场景,但是并没有发生角色越权行为,没有给集团带来经济损失。项目至今仍然保持着每月一次或者两次的版本迭代,顺利实现了1.0到2.0架构演进的平滑式过度,得到了甲方的肯定,实践证明鉴别服务和访问控制方案适用于该项目安全架构的实现。
当然,在系统的后期运行维护的过程中,也陆续发现了一些问题和不足,在服务调用链上没有做访问量控制,没有做调用链剥离,当推广的某一业务量突然上来后,会导致调用链崩溃而不可用,也会因为运维修复大量数据重跑某些业务,导致关键业务崩溃,波及实时业务。同时也导致了很多异常数据,给运维人员增加了工作量。在后续的改进访问中,对重点调用链进行了剥离,并做了访问控制。运维大批量数据修复工作只能在晚上执行。运维人员对数据库的一切增删改查操纵均需要日志记录,并定期将该运维人员的操纵日志发给该运维人员确认是否是本人操作,确保生产数据的安全性。