系統(tǒng)安全設(shè)計(jì)方案

XXXX安全設(shè)計(jì)方案第1頁共頁

目12

錄編寫依據(jù)1安全需求說明12.1風(fēng)險(xiǎn)分析..42.1.5

設(shè)備安全風(fēng)險(xiǎn)分析1網(wǎng)絡(luò)安全系統(tǒng)分析1系統(tǒng)安全風(fēng)險(xiǎn)分析2應(yīng)用安全風(fēng)險(xiǎn)分析2數(shù)據(jù)安全風(fēng)險(xiǎn)分析32.2數(shù)據(jù)安全需求32.3運(yùn)行安全需求33

系統(tǒng)結(jié)構(gòu)及部署43.1系統(tǒng)拓?fù)鋱D43.2負(fù)載均衡設(shè)計(jì)53.3冗余設(shè)計(jì)64

系統(tǒng)安全設(shè)計(jì)84.1網(wǎng)絡(luò)安全設(shè)計(jì).2

訪問控制設(shè)計(jì)8入侵防范設(shè)計(jì)84.2主機(jī)安全設(shè)計(jì).2

操作系統(tǒng)10數(shù)據(jù)庫13第2頁共頁

4.2.3

中間件154.3應(yīng)用安全設(shè)計(jì)....84.3.9

身份鑒別防護(hù)設(shè)計(jì)15訪問控制防護(hù)設(shè)計(jì)16自身安全防護(hù)設(shè)計(jì)17應(yīng)用審計(jì)設(shè)計(jì)18通信完整性防護(hù)設(shè)計(jì)通信保密性防護(hù)設(shè)計(jì)防篡改設(shè)計(jì)防抵賴設(shè)計(jì)系統(tǒng)交互安全設(shè)計(jì)24

19224.4數(shù)據(jù)及備份安全設(shè)計(jì)..4

數(shù)據(jù)的保密性設(shè)計(jì)24數(shù)據(jù)的完整性設(shè)計(jì)25數(shù)據(jù)的可用性設(shè)計(jì)25數(shù)據(jù)的不可否認(rèn)性設(shè)計(jì)264.4.5

備份和恢復(fù)設(shè)計(jì)

281編寫依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T22239-2008《信息技術(shù)安全信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T25070-2010第3頁共頁

2安全需求說明2.1風(fēng)險(xiǎn)分析2.1.1網(wǎng)絡(luò)設(shè)備安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)設(shè)備的安全是保證網(wǎng)絡(luò)安全運(yùn)行的一個(gè)重要因素網(wǎng)絡(luò)設(shè)備中包含路由器、交換機(jī)、防火墻等，它們的設(shè)置比較復(fù)雜，可能由于疏忽或不正確理解而使這些設(shè)備可用但安全性不佳有網(wǎng)絡(luò)設(shè)備的安全系統(tǒng)的安全就無法保證。所以，必須首先從多個(gè)維度來保證網(wǎng)絡(luò)設(shè)備的安全。2.1.2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)層位于系統(tǒng)平臺(tái)的最低層信息訪問享流和發(fā)布的必由之路，也是黑客（或其它攻擊者）等進(jìn)行其截獲、竊聽竊取信息、篡改信息、偽造和冒充等攻擊的必由之路所以網(wǎng)絡(luò)層所面臨的安全風(fēng)險(xiǎn)威脅是整個(gè)系統(tǒng)面臨的主要安全風(fēng)險(xiǎn)之一。網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)包括以下幾方面：外部網(wǎng)絡(luò)安全威脅基于網(wǎng)絡(luò)系統(tǒng)的范圍大、涵蓋面廣，外網(wǎng)通過防火墻與公眾網(wǎng)相連，入侵者每天都在試圖闖入網(wǎng)絡(luò)節(jié)點(diǎn)，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅。Internet上的各種各樣的黑客攻擊、病毒傳播等都可能威脅到系統(tǒng)的安全。其存在的安全風(fēng)險(xiǎn)主要是黑客攻擊，竊取或篡改重要信息，攻擊網(wǎng)站等。許多內(nèi)部機(jī)器臨時(shí)（甚至經(jīng)常性的連接到外網(wǎng)上或直接連接到上。這樣Internet上的黑客或敵對(duì)勢(shì)力使用木馬等黑客攻擊手段，就可以將該員工機(jī)器用作一個(gè)偵察站。內(nèi)網(wǎng)可能存在的相互攻擊由于公司內(nèi)網(wǎng)中的各級(jí)網(wǎng)絡(luò)互連，這些設(shè)備在網(wǎng)絡(luò)層是可以互通的，在沒有第4頁共頁

任何安全措施的情況下一個(gè)單位的用戶可以連接到某一個(gè)外部使用的機(jī)器訪問其中的數(shù)據(jù)，這樣就會(huì)造成網(wǎng)絡(luò)間的互相病毒等其他因素引起的網(wǎng)絡(luò)攻擊。2.1.3系統(tǒng)安全風(fēng)險(xiǎn)分析系統(tǒng)安全通常分為系統(tǒng)級(jí)軟件比如操作系統(tǒng)、數(shù)據(jù)庫等的安全漏洞、病毒防治。系統(tǒng)軟件安全漏洞系統(tǒng)安全漏洞是在系統(tǒng)具體實(shí)現(xiàn)和具體使用中產(chǎn)生的錯(cuò)誤并且威脅到系統(tǒng)安全，稱之為系統(tǒng)安全漏洞。如果系統(tǒng)在安全方面存在漏洞，非法網(wǎng)站、病毒和非法插件會(huì)通過這個(gè)漏洞入侵系統(tǒng)，會(huì)破壞系統(tǒng)的安全性。病毒侵害計(jì)算機(jī)病毒一直是困擾每一個(gè)計(jì)算機(jī)用戶的重要問題一旦計(jì)算機(jī)程序被感染了病毒，它就有可能破壞用戶工作中的重要信息。網(wǎng)絡(luò)使病毒的傳播速度極大的加快，公司內(nèi)部網(wǎng)絡(luò)與相連，這意味著每天可能受到來自世界各地的新病毒的攻擊。2.1.4應(yīng)用安全風(fēng)險(xiǎn)分析應(yīng)用系統(tǒng)的安全涉及很多方面，應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的，應(yīng)用的安全性也是動(dòng)態(tài)的于B/S模式的業(yè)務(wù)系統(tǒng)由于身份認(rèn)證據(jù)傳輸問控制、授權(quán)口令等存在安全隱患從而對(duì)整個(gè)系統(tǒng)造成安全威脅這就需要我們對(duì)不同的應(yīng)用檢測(cè)安全漏洞采取相應(yīng)的安全防護(hù)和修復(fù)措施降低應(yīng)用的安全風(fēng)險(xiǎn)。2.1.5數(shù)據(jù)安全風(fēng)險(xiǎn)分析數(shù)據(jù)安全對(duì)企業(yè)來說尤其重要，數(shù)據(jù)在公網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊取篡改現(xiàn)今很多先進(jìn)技術(shù)黑客或一些企業(yè)間諜會(huì)通過一些手段，設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息，也就造成泄密。2.2數(shù)據(jù)安全需求第5頁共頁

XXXX運(yùn)行的數(shù)據(jù)需要通過一系列相關(guān)的系統(tǒng)或者其他關(guān)聯(lián)系統(tǒng)進(jìn)行數(shù)據(jù)傳輸和交易在進(jìn)行各個(gè)環(huán)節(jié)交易過程中會(huì)涉及的相關(guān)的問題數(shù)據(jù)的使用交易數(shù)據(jù)處理據(jù)備份以及容錯(cuò)數(shù)據(jù)的修改等間各個(gè)環(huán)節(jié)相互關(guān)聯(lián)影響，只要一個(gè)環(huán)節(jié)出現(xiàn)問題，都可能涉及到安全的問題，尤其是薄弱環(huán)節(jié)出現(xiàn)問題，都會(huì)造成信息安全“短板結(jié)合上述，對(duì)營數(shù)據(jù)在訪問控制、機(jī)密性、完整性、可用性、不可否認(rèn)性方面需要提出更高的數(shù)據(jù)安全需求。因此，要加強(qiáng)數(shù)據(jù)庫以及應(yīng)用層面安全體系的建設(shè)采用多種網(wǎng)絡(luò)技術(shù)手段使用各種程序和安全技術(shù)來保護(hù)客戶的個(gè)人信息免受未經(jīng)授權(quán)的訪問或使用力開發(fā)更先進(jìn)的網(wǎng)絡(luò)方式和手段，降低信息泄露風(fēng)險(xiǎn)的發(fā)生，保障客戶個(gè)人信息安全，增加綜合業(yè)務(wù)的安全性。2.3運(yùn)行安全需求XXXX安全監(jiān)控——阿里云云盾通過阿里巴巴集“云盾“云計(jì)算為系統(tǒng)提供Web應(yīng)用防火墻、安騎士、數(shù)據(jù)庫審計(jì)、態(tài)勢(shì)感知、堡壘機(jī)、安全管家等全方位安全防護(hù)。安全審計(jì)：安全審計(jì)可通過在兩個(gè)方面進(jìn)行配置和追溯。通過開ECS服務(wù)器日志記錄，可從多維度進(jìn)行線索分析：根據(jù)時(shí)間、用戶、訪問時(shí)間和登陸類型等多角度進(jìn)行分析和記錄具體的應(yīng)用程序和對(duì)應(yīng)的系統(tǒng)數(shù)據(jù)庫可分析具體的訪問日志詳情以及開啟數(shù)據(jù)對(duì)應(yīng)的審計(jì)日志功能，從而實(shí)現(xiàn)安全審計(jì)目的。數(shù)據(jù)傳輸安全：采用數(shù)據(jù)傳輸加密保護(hù)技術(shù)，系統(tǒng)在進(jìn)行用戶身份信息管理、信用管理、個(gè)人賬戶管理等敏感信息的操作時(shí)，信息被自動(dòng)加密，確保信息傳輸?shù)陌踩赃^配置白名單的方式設(shè)置邊界互聯(lián)系統(tǒng)和接口請(qǐng)求域指定IP白名單列表確保邊界安全防護(hù)。數(shù)據(jù)庫作為企業(yè)重要資產(chǎn)，備份數(shù)據(jù)庫必不可少，為了降低在故障發(fā)生后數(shù)據(jù)丟失，RDS使用mysqldump對(duì)MySQL數(shù)據(jù)庫進(jìn)行邏輯全量備份，使用開源軟件Xtrabackup進(jìn)行物理全量備份，是實(shí)例級(jí)別的備份。數(shù)據(jù)雖備份了，但在實(shí)際操作過程中可能出現(xiàn)由于誤操作等原因?qū)е聰?shù)據(jù)丟失的情況過RDS提第6頁共頁

供的創(chuàng)建恢復(fù)到時(shí)間點(diǎn)的臨時(shí)實(shí)例的方法，可以比較容易的找回?cái)?shù)據(jù)。完善內(nèi)控流程：運(yùn)用完善內(nèi)部控制制度，配備專職安全系統(tǒng)運(yùn)維工程師，保障系統(tǒng)連續(xù)、可靠地運(yùn)行，保護(hù)系統(tǒng)不因偶然或惡意的原因而遭到破壞。權(quán)限管理保障：嚴(yán)守國家相關(guān)的法律法規(guī)，對(duì)用戶的隱私信息進(jìn)行保護(hù)，未經(jīng)您的同意絕不對(duì)任何第三方公司組織和個(gè)人披露您的個(gè)人信息賬戶信息以及交易信息法律法規(guī)另有規(guī)定的除外）嚴(yán)遵保密責(zé)任：設(shè)有高系數(shù)安全系統(tǒng)，防止未經(jīng)授權(quán)的任何人包括本公司的職員獲取客戶信息。對(duì)因服務(wù)而必須獲得信息的第三方均被要求遵守保密責(zé)任，違者將追究法律責(zé)任。3系統(tǒng)結(jié)構(gòu)及部署3.1系統(tǒng)拓?fù)鋱DXXXX拓?fù)浣Y(jié)構(gòu)如下圖所示。該圖描述了網(wǎng)絡(luò)基本結(jié)構(gòu)、網(wǎng)絡(luò)區(qū)域劃分狀況、網(wǎng)絡(luò)設(shè)備型號(hào)、邊界劃分情況等。圖微信和核心系統(tǒng)拓?fù)鋱D上圖為微信和核心系統(tǒng)的網(wǎng)絡(luò)架構(gòu)，從邏輯上分為互聯(lián)網(wǎng)區(qū)、微信區(qū)，包括微信前端官網(wǎng)微信官網(wǎng)rds及合作方微信后端阿里外網(wǎng)slb代理集群白名單配置、三方組件、業(yè)務(wù)核心處理層、數(shù)據(jù)庫層和中間件區(qū)?；ヂ?lián)網(wǎng)區(qū)通過部署的Web應(yīng)用防火墻等安全防護(hù)措施，實(shí)現(xiàn)網(wǎng)絡(luò)安全和訪問控制；同時(shí)部署了入侵防御系統(tǒng)通過偵聽分析網(wǎng)絡(luò)數(shù)據(jù)隨時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的非法訪問與入侵行為并記錄以便及時(shí)地報(bào)警和通知網(wǎng)絡(luò)管理員進(jìn)行處理也可按照預(yù)先的設(shè)定對(duì)危害較大的入侵行為進(jìn)行阻斷或者通知聯(lián)動(dòng)的防火墻阻斷里云其他關(guān)鍵位置均部第7頁共頁

署了防火墻、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備，保證整個(gè)網(wǎng)絡(luò)的安全順暢運(yùn)行。3.2負(fù)載均衡設(shè)計(jì)XXXX為增強(qiáng)應(yīng)用服務(wù)可用性，通過部署負(fù)載均衡（LoadBalancer）產(chǎn)品同時(shí)讓負(fù)載均衡對(duì)多臺(tái)云服務(wù)器進(jìn)行流量分發(fā)的負(fù)載均衡服務(wù)負(fù)載均衡可以通過流量分發(fā)擴(kuò)展應(yīng)用系統(tǒng)對(duì)外的服務(wù)能力過消除單點(diǎn)故障提升應(yīng)用系統(tǒng)的可用性。在產(chǎn)品選型和網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上，根據(jù)終端使用類型進(jìn)行分析部署，將XXXX平臺(tái)日常訪問流量劃分為移動(dòng)端和電腦端兩大流量。對(duì)移動(dòng)端和通過分別部署SLB，該部署方式有極大的優(yōu)越性，主要體現(xiàn)兩大方面：分布部署一方面保證了產(chǎn)品的性能穩(wěn)定降低融合部署的帶來故障發(fā)生的耦合另一方面保證了該產(chǎn)品的帶寬資源的充足，在訪問速率方面提供了保障。在產(chǎn)品型號(hào)選擇方面，采用全部是性能保障型實(shí)例配置。性能保障型實(shí)例提供了可保障的性能指標(biāo)（性能SLA之相對(duì)的是性能共享型實(shí)例，即不保障實(shí)例的性能指標(biāo)，資源是所有實(shí)例共享的。性能保障型實(shí)例的三個(gè)關(guān)鍵指標(biāo)如下：最大連接數(shù)-MaxConnection每秒新建連接數(shù)-ConnectionPerSecond(CPS)每秒查詢數(shù)-QueryPerSecond(QPS)XXXX的具體型號(hào)如下表所示：規(guī)格

數(shù)量

最大連接數(shù)每秒新建連接數(shù)(CPS)每秒查詢數(shù)(QPS)高階型22000002000020000負(fù)載均衡采用集群部署話同步策略消除服務(wù)器單點(diǎn)故障升冗余，保證服務(wù)的穩(wěn)定性在協(xié)議方面使用四層TCP議配置將請(qǐng)求直接轉(zhuǎn)發(fā)到后端第8頁共頁

服務(wù)器實(shí)例，而且不修改請(qǐng)求標(biāo)頭。

根據(jù)加權(quán)輪（WRR調(diào)度算法配置轉(zhuǎn)發(fā)請(qǐng)求此外負(fù)載均衡還具備抗DDoS攻擊的能力強(qiáng)了應(yīng)用服務(wù)的防護(hù)能力。3.3冗余設(shè)計(jì)要實(shí)施高吞吐量的接，冗余、對(duì)稱和負(fù)載均衡是每個(gè)信息系統(tǒng)設(shè)計(jì)必須面對(duì)的關(guān)鍵問題。對(duì)網(wǎng)絡(luò)來說，冗余是不可或缺的。然而，最為關(guān)鍵的是必須在冗余和對(duì)稱之間找到平衡此在系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)方面和產(chǎn)品選擇方面需要考慮鏈路接入的冗余設(shè)計(jì)。為達(dá)到良好的高可用設(shè)計(jì)和冗余設(shè)計(jì)，在信息系統(tǒng)核心網(wǎng)絡(luò)接入上，選擇滿足存在主備可用區(qū)的負(fù)載均衡最為前置接入負(fù)載均衡產(chǎn)品采用全冗余設(shè)計(jì)無單點(diǎn)，支持同城容災(zāi)。搭配DNS實(shí)現(xiàn)跨地域容災(zāi)，可用性高達(dá)99.95%。為了解決后端服務(wù)器和應(yīng)用軟件的單點(diǎn)故障的發(fā)生擇可用性高的的云服務(wù)器對(duì)產(chǎn)品軟件做冗余部署統(tǒng)一集中的配置文件和數(shù)據(jù)文件的共享訪問存儲(chǔ)方式保證了對(duì)外服務(wù)數(shù)據(jù)的一致性。從應(yīng)用軟件角度保證用戶多終端會(huì)話統(tǒng)一訪問。云服務(wù)器中的數(shù)據(jù)備份選擇基于分布式存儲(chǔ)架構(gòu)的彈性塊存儲(chǔ)產(chǎn)品采用三副本的分布式機(jī)制，ECS實(shí)例提供99.9999999%的數(shù)據(jù)可靠性保證。該類存儲(chǔ)為實(shí)例提供塊級(jí)別的數(shù)據(jù)訪問能力具有低時(shí)延高隨機(jī)IOPS高吞吐量的能力。RDS在系統(tǒng)從網(wǎng)絡(luò)到硬件再到系統(tǒng)都是基于高可用設(shè)計(jì)，采用的是主從熱備的架構(gòu)，主實(shí)例宕機(jī)或出現(xiàn)故障30s內(nèi)自動(dòng)切換到備實(shí)例即可以做到故障30秒無縫轉(zhuǎn)移無需變更應(yīng)用的連接配置項(xiàng)對(duì)應(yīng)用完全透明自動(dòng)備份和手動(dòng)臨時(shí)備份都在備庫上實(shí)現(xiàn)，不占用主實(shí)例資源。RDS高可用服務(wù)主要保障數(shù)據(jù)鏈路服務(wù)的可用性，除此之外還負(fù)責(zé)處理數(shù)據(jù)庫內(nèi)部的異常。另外，RDS還通過遷移到支持多可用區(qū)的地域和采用適當(dāng)?shù)母呖捎貌呗裕嵘齊DS的高可用服務(wù)。第9頁共頁

4系統(tǒng)安全設(shè)計(jì)4.1網(wǎng)絡(luò)安全設(shè)計(jì)4.1.1訪問控制設(shè)計(jì)網(wǎng)絡(luò)層安全主要設(shè)計(jì)網(wǎng)絡(luò)安全域的合理劃分問題其中最重要的是進(jìn)行訪問控制。而訪問控制技術(shù)最常用的就是防火墻技術(shù)XXXXweb訪問用的是阿里的云盾Web應(yīng)用防火墻(WebApplicationFirewall,簡稱WAF)基于云安全大數(shù)據(jù)能力實(shí)現(xiàn)的Saas的安全產(chǎn)品，Web應(yīng)用防火墻通過內(nèi)置的安全防護(hù)策略能發(fā)現(xiàn)異常非法的Web應(yīng)用請(qǐng)求并阻止其到達(dá)網(wǎng)站服務(wù)器上造成相應(yīng)的破壞通過防御SQL注入、XSS跨站腳本、常見服務(wù)器插件漏洞、木馬上傳、非授權(quán)核心資源訪問等OWASP常見攻擊濾海量惡意CC攻擊免網(wǎng)站資產(chǎn)數(shù)據(jù)泄露，保障網(wǎng)站的安全與可用性。4.1.2入侵防范設(shè)計(jì)入侵檢測(cè)系統(tǒng)關(guān)注所有可疑事件，如那些基于統(tǒng)計(jì)的事件，隨著定義閥值的不同而有較大報(bào)警彈性空間而入侵防御產(chǎn)品僅關(guān)注確切的攻擊行為兩者在檢測(cè)對(duì)象層面存在很大的區(qū)別。入侵防御產(chǎn)品是一種對(duì)網(wǎng)絡(luò)深層威脅行（尤其是那些防火墻所不能防御的威脅行為進(jìn)行抵御的安全產(chǎn)品通常以串行方式透明接入網(wǎng)絡(luò)和其他安全產(chǎn)品不同的是，入侵防御產(chǎn)品的主要防御對(duì)象是網(wǎng)絡(luò)上的四層以上的實(shí)時(shí)惡意數(shù)據(jù)流（四層以下的攻擊可以由其他安全產(chǎn)品如防火墻等防御在本方案中入侵防范設(shè)計(jì)主要保護(hù)那些對(duì)外提供服務(wù)的業(yè)務(wù)系統(tǒng)的安全。在應(yīng)用服務(wù)域前通過云盾——態(tài)勢(shì)感知系統(tǒng)加強(qiáng)針對(duì)應(yīng)用服務(wù)器的安全防護(hù)。態(tài)勢(shì)感知平臺(tái)，具備基礎(chǔ)安全檢測(cè)能力。包含以下功能：頁面篡改，網(wǎng)絡(luò)流量異常，暴力破解，后門，雞，流行蠕蟲病毒,第頁共32頁

應(yīng)后臺(tái)弱口令等攻擊發(fā)現(xiàn)定點(diǎn)Web攻擊非常用連接數(shù)據(jù)庫跳板機(jī)識(shí)別SQL注入XSS應(yīng)用漏洞掃描。支持告警聯(lián)系人短信和郵件方式進(jìn)行配置。建設(shè)信息系統(tǒng)安全體系實(shí)現(xiàn)事前分析，事中檢測(cè)，事后回溯的防范設(shè)計(jì)。事前：弱點(diǎn)分析，資產(chǎn)態(tài)勢(shì)監(jiān)控，資產(chǎn)依賴關(guān)系梳理，定時(shí)漏洞掃描，安全配置監(jiān)控預(yù)防：漏洞補(bǔ)丁，資產(chǎn)弱點(diǎn)告警事中入侵檢測(cè)攻擊識(shí)別異常檢測(cè)實(shí)時(shí)發(fā)現(xiàn)web層主機(jī)層攻擊，通過全網(wǎng)威脅情報(bào)和大數(shù)據(jù)分析對(duì)入侵事件進(jìn)行實(shí)時(shí)檢測(cè)阻斷：攻擊阻斷，入侵防御事后溯對(duì)安全事件進(jìn)行回溯和調(diào)查提供全量原始日志的檢索功能，對(duì)攻擊事件的影響和系統(tǒng)防御效果態(tài)勢(shì)進(jìn)行自定義調(diào)查。4.2主機(jī)安全設(shè)計(jì)4.2.1操作系統(tǒng)安全基線檢查通過安裝在服務(wù)器上的安騎士組件件與云端防護(hù)中心的規(guī)則聯(lián)動(dòng)，實(shí)時(shí)感知和防御入侵事件，保障服務(wù)器的安全?；€檢查：賬戶安全檢測(cè)：檢測(cè)服務(wù)器上是否存在黑客入侵后，留下的賬戶，對(duì)影子賬戶、隱藏賬戶、克隆賬戶，同時(shí)對(duì)密碼策略合規(guī)、系統(tǒng)及應(yīng)用弱口令進(jìn)行檢測(cè)系統(tǒng)配置檢測(cè)：系統(tǒng)組策略、登錄基線策略、注冊(cè)表配置風(fēng)險(xiǎn)檢測(cè)第共32頁

數(shù)據(jù)庫風(fēng)險(xiǎn)檢測(cè)：支持對(duì)數(shù)據(jù)庫高危配置進(jìn)行檢測(cè)合規(guī)對(duì)標(biāo)檢測(cè)：Centos7系統(tǒng)基線合規(guī)檢測(cè)入侵檢測(cè)異常登錄：異地登錄：系統(tǒng)記錄所有登錄記錄，對(duì)于非常用登錄的行為進(jìn)行實(shí)時(shí)提醒，可自由配置常用登錄地非白名單IP錄提醒：配置白名單IP，對(duì)非白名單事件進(jìn)行告警非法時(shí)間登錄提醒：配置合法登錄時(shí)間后，對(duì)非合法時(shí)間登錄事件進(jìn)行告警非法賬號(hào)登錄提醒：配置合法登錄賬號(hào)后，對(duì)非合法賬號(hào)登錄事件進(jìn)行告警暴力破解登錄攔截：對(duì)非法破解密碼的行為進(jìn)行識(shí)別，并上報(bào)到阿云處罰中心進(jìn)行攔截，避免被黑客多次猜解密碼而入侵網(wǎng)站后門（Webshell）查殺：自研網(wǎng)站后門查殺引擎，擁有本地查殺加云查殺體系，同時(shí)兼有定時(shí)查殺和實(shí)時(shí)防護(hù)掃描策略，支持常見的php、jsp后門文件類型主機(jī)異常(含云查殺)：進(jìn)程異常行為反彈進(jìn)程執(zhí)行CMD命令bash異常文件下載等異常網(wǎng)絡(luò)連接：肉雞檢測(cè)、惡意病毒源連接下載等惡意進(jìn)程（云查殺見DDoS木馬、挖礦木馬及病毒程序檢測(cè)，支持云端一鍵隔離（自研沙箱+國內(nèi)外主流殺毒引擎）敏感文件篡改：系統(tǒng)及應(yīng)用的關(guān)鍵文件被黑客篡改第頁共32頁

異常賬號(hào)：黑客入侵后創(chuàng)建隱藏賬號(hào)、公鑰賬號(hào)等主機(jī)安全加固主要對(duì)XXXX主機(jī)系統(tǒng)進(jìn)行安全加固，內(nèi)容如下檢查主機(jī)系統(tǒng)的補(bǔ)丁管理；賬號(hào)及口令策略；網(wǎng)絡(luò)與服務(wù)文件系統(tǒng)；日志審核；防火墻策略；系統(tǒng)鉤子；木馬、后門及；安全性增強(qiáng)；Linux服務(wù)器系統(tǒng)安全加固用戶帳戶設(shè)置UID－用戶ID基本要求Linux中Root安全標(biāo)準(zhǔn)默認(rèn)系統(tǒng)帳戶安全標(biāo)準(zhǔn)密碼要求密碼保護(hù)限制登陸失敗次數(shù)第頁共32頁

GID－組ID的基本要求網(wǎng)絡(luò)設(shè)置IP協(xié)議棧的安全設(shè)置套接字隊(duì)列長度定義用來防護(hù)攻擊重定向源站路由TIME_WAIT設(shè)置ECHO回應(yīng)廣播地址掩碼查詢和時(shí)間戳廣播XWindow系統(tǒng)/etc/hosts.deny和/etc/hosts.allow的配置規(guī)范權(quán)限控制用戶文件和HOME目錄屬性操作系統(tǒng)資源操作系統(tǒng)補(bǔ)丁管理審計(jì)策略系統(tǒng)訪問日志日志記錄保存期限4.2.2數(shù)據(jù)庫安全基線配置1)檢查項(xiàng)名稱：檢查是否配置指定網(wǎng)絡(luò)連接數(shù)據(jù)庫；2)檢查項(xiàng)名稱：檢查是否禁止對(duì)本地文件存取；第頁共32頁

3)檢查項(xiàng)名稱：數(shù)據(jù)庫連接賬號(hào)審計(jì)，檢查是否使用root高權(quán)限賬號(hào)連接數(shù)據(jù)庫；4)檢查項(xiàng)名稱：刪除默認(rèn)數(shù)據(jù)庫和空密碼root用戶；5)檢查項(xiàng)名稱：使用獨(dú)立用戶運(yùn)行MySQL；6)檢查項(xiàng)名稱：用戶目錄權(quán)限限制；7)檢查項(xiàng)名稱：配置數(shù)據(jù)庫用戶密碼復(fù)雜度。數(shù)據(jù)庫系統(tǒng)安全加固數(shù)據(jù)庫系統(tǒng)主要從系統(tǒng)版本、用戶賬號(hào)、口令管理、傳輸情況、文件系統(tǒng)、日志審核等方面進(jìn)行安全加固，主要內(nèi)容如下：數(shù)據(jù)庫組件安裝優(yōu)化適度應(yīng)用數(shù)據(jù)庫補(bǔ)丁程序數(shù)據(jù)庫服務(wù)運(yùn)行權(quán)限改善清理數(shù)據(jù)庫默認(rèn)配置無用賬號(hào)改善程序包權(quán)限設(shè)置改善登錄認(rèn)證方式設(shè)置設(shè)置客戶端連接限制策略清理不必要的存儲(chǔ)過程增強(qiáng)數(shù)據(jù)庫日志審計(jì)功能根據(jù)對(duì)數(shù)據(jù)庫系統(tǒng)的威脅與風(fēng)險(xiǎn)分析信息系統(tǒng)的數(shù)據(jù)庫安全需求主要集中在以下方面：全面監(jiān)測(cè)數(shù)據(jù)庫超級(jí)賬戶、臨時(shí)賬戶等重要賬戶的數(shù)據(jù)庫操作；實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)庫操作行為，發(fā)現(xiàn)非法違規(guī)操作能及時(shí)告警響應(yīng)；第頁共32頁

詳細(xì)記錄數(shù)據(jù)庫操作信息，并提供豐富的審計(jì)信息查詢方式和報(bào)表，方便安全事件定位分析，事后追查取證因此通過在信息系統(tǒng)部署安全審計(jì)功能，可有效監(jiān)控?cái)?shù)據(jù)庫訪問行為，準(zhǔn)確掌握數(shù)據(jù)庫系統(tǒng)的安全狀態(tài)，及時(shí)發(fā)現(xiàn)違反數(shù)據(jù)庫安全策略的事件并實(shí)時(shí)告警、記錄，同時(shí)進(jìn)行安全事件定位分析，事后追查取證，保障單位數(shù)據(jù)庫安全。通過部署數(shù)據(jù)庫審計(jì)系統(tǒng)能夠?qū)崿F(xiàn)所有對(duì)數(shù)據(jù)庫進(jìn)行訪問的行為進(jìn)行全面的記錄以及包括對(duì)數(shù)據(jù)庫操作的刪改查等全方位細(xì)粒度的審計(jì)。同時(shí)支持過程及行為回放功能夠還原并回放所有對(duì)數(shù)據(jù)庫的操作行為括：“訪問的表、字段、返回信息、操作等從而使安全問題得到追溯，提供有據(jù)可查的功能和相關(guān)能力。4.2.3中間件對(duì)于中間件的安全風(fēng)險(xiǎn)主要是在網(wǎng)絡(luò)互連及數(shù)據(jù)通信過程中來自不速之客的非法性動(dòng)作主要有非法截取閱讀或修改數(shù)據(jù)假冒他人身份進(jìn)行欺騙未授權(quán)用戶訪問網(wǎng)絡(luò)資源等。安全基線配置1)配置操作系統(tǒng)保護(hù)特殊內(nèi)核參數(shù)保護(hù)匹配的中間件服務(wù)；2)禁用用不到的中間件模塊3)配置中間件服務(wù)器的加密套件；4)基于Iptables防火墻的限制；5)控制緩沖區(qū)溢出攻擊；6)控制并發(fā)連接數(shù)；7)設(shè)置允許安全域名的訪問；8)限制可用的請(qǐng)求方法；9)拒絕掃描器常規(guī)使用的第頁共32頁

10)防止圖片盜鏈；11)中間件所在的指定的目錄設(shè)置訪問權(quán)；12)禁用危險(xiǎn)系統(tǒng)函數(shù)，對(duì)需要上傳配置文件大小；13)刪除編譯環(huán)境代碼緩存目錄。4.3應(yīng)用安全設(shè)計(jì)4.3.1身份鑒別防護(hù)設(shè)計(jì)通過用戶身份認(rèn)證系統(tǒng)對(duì)用戶的身份進(jìn)行確認(rèn)之后即可對(duì)用戶的訪問請(qǐng)求根據(jù)系統(tǒng)運(yùn)行環(huán)境和訪問控制策略進(jìn)行授權(quán)以確定用戶對(duì)他人資源網(wǎng)絡(luò)資源和信息資源的訪問權(quán)限。在XXXX中心內(nèi)部，實(shí)施有效的訪問授權(quán)的基礎(chǔ)是系統(tǒng)訪問授權(quán)規(guī)則的制定合安全管理體系對(duì)全網(wǎng)內(nèi)部工作流程和安全職責(zé)劃分進(jìn)行調(diào)研。針對(duì)人為操作造成的風(fēng)險(xiǎn)，必須從系統(tǒng)的應(yīng)用層進(jìn)行防范，因此應(yīng)用系統(tǒng)在建設(shè)時(shí)需考慮系統(tǒng)的安全性。具體包括以下幾個(gè)方面：身份驗(yàn)證：通過采用口令識(shí)別、數(shù)字認(rèn)證方式，來確保用戶的登錄身份與其真實(shí)身份相符，保證數(shù)據(jù)的安全性、完整性、可靠性和交易的不可抵賴性、增強(qiáng)顧客、商家、企業(yè)等對(duì)網(wǎng)上交易的信心。數(shù)據(jù)加密存儲(chǔ)：關(guān)聯(lián)及關(guān)鍵數(shù)據(jù)加密存儲(chǔ)，提取數(shù)據(jù)庫中表間關(guān)聯(lián)數(shù)據(jù)或重要數(shù)據(jù)信息，采MD5算法，生成加密字段，存放在數(shù)據(jù)表中，保證數(shù)據(jù)庫中關(guān)聯(lián)數(shù)據(jù)的一致性、完整性，防止重要數(shù)據(jù)的非法篡改。日志記載：數(shù)據(jù)庫日志：使得系統(tǒng)發(fā)生故障后能提供數(shù)據(jù)動(dòng)態(tài)恢復(fù)或向前恢復(fù)等功能，確保數(shù)據(jù)的可靠性和一致性。應(yīng)用系統(tǒng)日志：通過記錄應(yīng)用系統(tǒng)中操作日志，通過事后審計(jì)功能為將來分析提供數(shù)據(jù)分析源，確保業(yè)務(wù)的可追溯性。第頁共32頁

4.3.2訪問控制防護(hù)設(shè)計(jì)合法用戶的非授權(quán)訪問是指合法用戶在沒有得到許可的情況下訪問了他本不該訪問的資源般來說個(gè)成員的主機(jī)系統(tǒng)中信息是可以對(duì)外開放，而有些信息是需要經(jīng)過授權(quán)才能夠進(jìn)行訪問部用戶被允許正常訪問的一定的信息但他同時(shí)通過一些手段越權(quán)訪問了別人不允許他訪問的信息因此造成他人信息的泄密所以必須加強(qiáng)信息系統(tǒng)訪問控制的機(jī)制對(duì)服務(wù)及訪問權(quán)限進(jìn)行嚴(yán)格控制。訪問控制：操作系統(tǒng)的用戶管理、權(quán)限管理；限制用戶口令規(guī)則和長度，禁止用戶使用簡單口令強(qiáng)制用戶定期修改口令按照登錄時(shí)間登錄方式限制用戶的登錄請(qǐng)求強(qiáng)文件訪問控制管理據(jù)訪問的用戶范圍置文件的讀、寫、執(zhí)行權(quán)限；對(duì)重要資料設(shè)置被訪問的時(shí)間和日期。權(quán)限控制和管理：按照單位、部門、職務(wù)、工作性質(zhì)等對(duì)用戶進(jìn)行分類，不同的用戶賦予不同的權(quán)限、可以訪問不同的系統(tǒng)、可以操作不同的功能模塊；應(yīng)用系統(tǒng)的權(quán)限實(shí)行分級(jí)管理個(gè)系統(tǒng)的管理員自己定義各類用戶對(duì)該系統(tǒng)資源的可訪問內(nèi)容。授權(quán)與訪問控制：根據(jù)“最小授權(quán)”的基本原則，保證用戶只具備完成工作所需的最小操作權(quán)限，杜絕超越合法授權(quán)的操作行為4.3.3自身安全防護(hù)設(shè)計(jì)注入攻擊防護(hù)設(shè)計(jì)建議在外網(wǎng)業(yè)務(wù)區(qū)域邊界部署WEB用防火墻（WAF）設(shè)備，對(duì)Web用服務(wù)器進(jìn)行保護(hù)，即對(duì)網(wǎng)站的訪問進(jìn)行小時(shí)實(shí)時(shí)監(jiān)控。通過應(yīng)用防火墻的部署，可以解決應(yīng)用服務(wù)器所面臨的各類網(wǎng)站安全問題，如SQL注入攻擊跨站攻（XSS攻擊俗稱釣魚攻擊意碼(網(wǎng)頁木馬)緩沖區(qū)溢出、應(yīng)用層DDOS攻擊等等。防止網(wǎng)頁篡改、被掛木馬等嚴(yán)重影響形象的安全事件發(fā)生。漏洞利用防護(hù)設(shè)計(jì)第頁共32頁

漏洞掃也叫漏洞檢測(cè)前已經(jīng)越來越為網(wǎng)絡(luò)安全管理員所重視為，利用系統(tǒng)設(shè)計(jì)、配置和管理中的漏洞來攻擊系統(tǒng)是最為典型的技術(shù)型攻擊手段。專家認(rèn)為如果系統(tǒng)在建立時(shí)就具備嚴(yán)密的安全環(huán)境那么成功的技術(shù)入侵事件數(shù)量就會(huì)大大減少漏洞掃描就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查發(fā)現(xiàn)其中可被黑客利用的漏洞效的漏洞檢測(cè)工具可以檢測(cè)出上述四類中的大部分已知漏洞，把網(wǎng)絡(luò)系統(tǒng)的安全隱患降低到最小。這種技術(shù)通常采用兩種策略，即被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略是基于主機(jī)的檢測(cè)(SystemScanner)，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對(duì)象進(jìn)行檢查；而主動(dòng)式策略是基于網(wǎng)絡(luò)的檢測(cè)(NetworkScanner)通過執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊并記錄它的反應(yīng)從而發(fā)現(xiàn)其中的漏洞。4.3.4應(yīng)用審計(jì)設(shè)計(jì)審核跟蹤是指一系列關(guān)于操作系統(tǒng)、應(yīng)用和用戶活動(dòng)相關(guān)的計(jì)算機(jī)事件。它能夠增進(jìn)計(jì)算機(jī)系統(tǒng)的可審計(jì)性對(duì)于一個(gè)計(jì)算機(jī)系統(tǒng)可能有幾個(gè)審核跟蹤每個(gè)都針對(duì)特定的相關(guān)活動(dòng)類型審核跟蹤的記錄可以保存在日志文件或相關(guān)的日志數(shù)據(jù)庫中。綜合日志審計(jì)為客戶提供全維度、跨設(shè)備、細(xì)粒度的關(guān)聯(lián)分析，透過事件的表象真實(shí)地還原事件背后的信息客戶提供真正可信賴的事件追責(zé)依據(jù)和業(yè)務(wù)運(yùn)行的深度安全同時(shí)提供集中化的統(tǒng)一管理平臺(tái)將所有的日志信息收集到平臺(tái)中實(shí)現(xiàn)信息資產(chǎn)的統(tǒng)一管理監(jiān)控資產(chǎn)的運(yùn)行狀況協(xié)助用戶全面審計(jì)信息系統(tǒng)整體安全狀況。配置數(shù)據(jù)庫審計(jì)，通過對(duì)數(shù)據(jù)庫操作的痕跡進(jìn)行詳細(xì)記錄和審計(jì)，使數(shù)據(jù)的所有者對(duì)數(shù)據(jù)庫訪問活動(dòng)一目了然有據(jù)可查及時(shí)掌握數(shù)據(jù)庫的使用情況并可以對(duì)安全隱患進(jìn)行調(diào)整和優(yōu)化。4.3.5通信完整性防護(hù)設(shè)計(jì)關(guān)于如何保證交易的公正性和安全性，保證交易方身份的真實(shí)性。國際上已經(jīng)有比較成熟的安全解決方案那就是建立安全證書體系結(jié)構(gòu)數(shù)字安全證書提第頁共32頁

供了一種在網(wǎng)上驗(yàn)證身份的方式安全證書體制主要采用了公開密鑰體制其它還包括對(duì)稱密鑰加密、數(shù)字簽名、數(shù)字信封等技術(shù)。我們可以使用數(shù)字證書通過運(yùn)用對(duì)稱和非對(duì)稱密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)而保證除發(fā)送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改發(fā)送方能夠通過數(shù)字證書來確認(rèn)接收方的身份發(fā)送方對(duì)于自己的信息不能抵賴。CA機(jī)構(gòu)，又稱為證書授證(CertificateAuthority)中心，作為電子商務(wù)交易中受信任和具有權(quán)威性的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。CA中心為每個(gè)使用公開密鑰的客戶發(fā)放數(shù)字證書，數(shù)字證書的作用是證明證書中列出的客戶合法擁有證書中列出的公開密鑰CA機(jī)構(gòu)的數(shù)字簽名使得第三者不能偽造和篡改證書它負(fù)責(zé)產(chǎn)生分配并管理所有參與網(wǎng)上信息交換各方所需的數(shù)字證書，因此是安全電子信息交換的核心。為保證客戶之間在網(wǎng)上傳遞信息的安全性、真實(shí)性、可靠性、完整性和不可抵賴性不僅需要對(duì)客戶的身份真實(shí)性進(jìn)行驗(yàn)證也需要有一個(gè)具有權(quán)威性公正性唯一性的機(jī)構(gòu)負(fù)責(zé)向電子商務(wù)的各個(gè)主體頒發(fā)并管理符合國內(nèi)國際安全電子交易協(xié)議標(biāo)準(zhǔn)的安全證書。數(shù)字證書管理中心是保證電子商務(wù)安全的基礎(chǔ)設(shè)施它負(fù)責(zé)電子證書的申請(qǐng)、簽發(fā)制作廢止認(rèn)證和管理提供網(wǎng)上客戶身份認(rèn)證數(shù)字簽名子公證、安全電子郵件等服務(wù)等業(yè)務(wù)。CA電子商務(wù)服務(wù)的證書中心，是（PublicKeyInfrastructure體系的核心它為客戶的公開密鑰簽發(fā)公鑰證書發(fā)放證書和管理證書并提供一系列密鑰生命周期內(nèi)的管理服務(wù)將客戶的公鑰與客戶的名稱及其他屬性關(guān)聯(lián)起來為客戶之間電子身份進(jìn)行認(rèn)證證書中心是一個(gè)具有權(quán)威性可信賴性和公證性的第三方機(jī)構(gòu)它是電子商務(wù)存在和發(fā)展的基礎(chǔ)認(rèn)證中心在密碼管理方面的作用如下：自身密鑰的產(chǎn)生、存儲(chǔ)、備份恢復(fù)、歸檔和銷毀從根CA開始到直接給客戶發(fā)放證書的各層次CA都有其自身的密鑰對(duì)。CA第頁共32頁

中心的密鑰對(duì)一般由硬件加密服務(wù)器在機(jī)器內(nèi)直接產(chǎn)生，并存儲(chǔ)于加密硬件內(nèi)，或以一定的加密形式存放于密鑰數(shù)據(jù)庫內(nèi)密備份于卡或其他存儲(chǔ)介質(zhì)中，并以高等級(jí)的物理安全措施保護(hù)起來密鑰的銷毀要以安全的密鑰沖寫標(biāo)準(zhǔn)徹底清除原有的密鑰痕跡。需要強(qiáng)調(diào)的是，根密鑰的安全性至關(guān)重要，它的泄露意味著整個(gè)公鑰信任體系的崩潰，所以CA密鑰保護(hù)必須按照最高安全級(jí)的保護(hù)方式來進(jìn)行設(shè)置和管理。為認(rèn)證中心與各地注冊(cè)審核發(fā)放機(jī)構(gòu)的安全加密通信提供安全密鑰管理服務(wù)。在客戶證書的生成與發(fā)放過程中，除了有中心外，還有注冊(cè)機(jī)構(gòu)、審核機(jī)構(gòu)和發(fā)放機(jī)構(gòu)（對(duì)于有外部介質(zhì)的證書）的存在。行業(yè)使用范圍內(nèi)的證書，其證書的審批控制，可由獨(dú)立于CA中心的行業(yè)審核機(jī)構(gòu)來完成。CA中心在與各機(jī)構(gòu)進(jìn)行安全通信時(shí)采用多種手段于使用證書機(jī)制的安全通信機(jī)通信端）的密鑰產(chǎn)生、發(fā)放與管理維護(hù)，都可由中心來完成。確定客戶密鑰生存周期，實(shí)施密鑰吊銷和更新管理。每一張客戶公鑰證書都會(huì)有有效期密鑰對(duì)生命周期的長短由簽發(fā)證書的中心來確定各CA系統(tǒng)的證書有效期限有所不同，一般大約為2～3年。密鑰更新不外為以下兩種情況：密鑰對(duì)到期、密鑰泄露后需要啟用新的密鑰對(duì)（證書吊銷鑰對(duì)到期時(shí)，客戶一般事先非常清楚，可以采用重新申請(qǐng)的方式實(shí)施更新。采用證書的公鑰吊銷，是通過吊銷公鑰證書來實(shí)現(xiàn)的。公鑰證書的吊銷來自于兩個(gè)方向一個(gè)是上級(jí)的主動(dòng)吊銷另一個(gè)是下級(jí)主動(dòng)申請(qǐng)證書的吊銷當(dāng)上級(jí)CA對(duì)下級(jí)CA不能信賴（如上級(jí)發(fā)現(xiàn)下級(jí)的私鑰有泄露的可能可以主動(dòng)停止下級(jí)CA公鑰證書的合法使用。當(dāng)客戶發(fā)現(xiàn)自己的私鑰泄露時(shí)，也可主動(dòng)申請(qǐng)公鑰證書的吊銷防止其他客戶繼續(xù)使用該公鑰來加密重要信息而使非法客戶有盜取機(jī)密的可能一般而言在電子商務(wù)實(shí)際應(yīng)用中可能會(huì)較少出現(xiàn)私鑰泄露的情況多數(shù)情況是由于某個(gè)客戶由于組織變動(dòng)而調(diào)離該單位需要提前吊銷代表企業(yè)身份的該客戶的證書。提供密鑰生成和分發(fā)服務(wù)CA中心可為客戶提供密鑰對(duì)的生成服務(wù)它采用集中或分布式的方式進(jìn)行。在集中的情形下CA中心可使用硬件加密服務(wù)器，第頁共32頁

為多個(gè)客戶申請(qǐng)成批的生成密鑰對(duì)然后采用安全的信道分發(fā)給客戶也可由多個(gè)注冊(cè)機(jī)構(gòu)（RA）分布生成客戶密鑰對(duì)并分發(fā)給客戶。提供密鑰托管和密鑰恢復(fù)服務(wù)中心可根據(jù)客戶的要求提供密鑰托管服務(wù)，備份和管理客戶的加密密鑰對(duì)客戶需要時(shí)可以從密鑰庫中提出客戶的加密密鑰對(duì)，為客戶恢復(fù)其加密密鑰對(duì)，以解開先前加密的信息。這種情形下CA中心的密鑰管理器采用對(duì)稱加密方式對(duì)各個(gè)客戶私鑰進(jìn)行加密密鑰加密密鑰在加密后即銷毀保證了私鑰存儲(chǔ)的安全性密鑰恢復(fù)時(shí)采用相應(yīng)的密鑰恢復(fù)模塊進(jìn)行解密以保證客戶的私鑰在恢復(fù)時(shí)沒有任何風(fēng)險(xiǎn)和不安全因素同時(shí)CA中心也應(yīng)有一套備份庫，避免密鑰數(shù)據(jù)庫的意外毀壞而無法恢復(fù)客戶私鑰。其他密鑰生成和管理密碼運(yùn)算功能CA中心在自身密鑰和客戶密鑰管理方面的特殊地位和作用決定了它具有主密鑰多級(jí)密鑰加密密鑰等多種密鑰的生成和管理功能。對(duì)于為客戶提供公鑰信任、管理和維護(hù)整個(gè)電子商務(wù)密碼體系的心來講，其密鑰管理工作是一項(xiàng)十分復(fù)雜的任務(wù)，它涉及到中心自身的各個(gè)安全區(qū)域和部件、注冊(cè)審核機(jī)構(gòu)以及客戶端的安全和密碼管理策略。CFCA是中國金融認(rèn)證中心（ChinaFinancialCertificationAuthority的簡稱于2000年6月29日掛牌成立是經(jīng)中國人民銀行和國家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的國家級(jí)權(quán)威的安全認(rèn)證機(jī)構(gòu)。在《中華人民共和國電子簽名法》頒布后，CFCA首批獲得了電子認(rèn)證服務(wù)許可。XXXX部署CFCA電子簽章服務(wù)，是對(duì)之前簽章服務(wù)的安全性升級(jí)，之前的簽章完全有效，CFCA電子簽章上線，就意味著CFCA會(huì)XXXX綜合業(yè)務(wù)的簽章進(jìn)行核實(shí)認(rèn)證而且可由客戶自己對(duì)簽章真?zhèn)芜M(jìn)行檢驗(yàn)不用擔(dān)心交易對(duì)手的身份作假。4.3.6通信保密性防護(hù)設(shè)計(jì)SSL協(xié)議是由Netscape首先發(fā)表的網(wǎng)絡(luò)資料安全傳輸協(xié)定首要目的是在兩個(gè)通信間提供秘密而可靠的連接該協(xié)議由兩層組成底層是建立在可靠的傳輸協(xié)議（例如：TCP）上的是SSL記錄層，用來封裝高層的協(xié)議。握手協(xié)第頁共32頁

議準(zhǔn)許服務(wù)器端與客戶端在開始傳輸數(shù)據(jù)前夠通過特定的加密算法相互鑒別。SSL的先進(jìn)之處在于它是一個(gè)獨(dú)立的應(yīng)用協(xié)議，其它更高層協(xié)議能夠建立在協(xié)議上。目前大部分的Server及多支持資料加密傳輸協(xié)定。因此，可以利用這個(gè)功能，將部分具有機(jī)密性質(zhì)的網(wǎng)頁設(shè)定在加密的傳輸模式，如此即可避免資料在網(wǎng)絡(luò)上傳送時(shí)被其他人竊聽。SSL是利用公開密鑰的加密技來作為用戶端與主機(jī)端在傳送機(jī)密資料時(shí)的加密通訊協(xié)定前分的WebServerBrowser都廣泛使用SSL技術(shù)。SSL是目前在網(wǎng)上購物網(wǎng)站中最常使用的一種安全協(xié)議，它主要的設(shè)計(jì)目的在于確保信息在網(wǎng)際網(wǎng)絡(luò)上流通的安全性讓主從式結(jié)構(gòu)的應(yīng)用程（如瀏覽器與web服務(wù)器能夠安全地進(jìn)行溝通這里的安全指的是信息不被偽造不被網(wǎng)絡(luò)上的黑客中途攔劫解毒及擅自更改。SSL的協(xié)議中結(jié)合了許多密碼學(xué)的技術(shù)，其中包括：信息加解密、數(shù)字簽名與簽證技術(shù)。除此之外，在進(jìn)行安全聯(lián)機(jī)之前，先采取“握手）的動(dòng)作確保網(wǎng)絡(luò)上通信的雙方都能夠按部就班的根據(jù)預(yù)定步驟建立起兩者之間的安全通道。SSL可以提供以下三種安全防護(hù)：數(shù)據(jù)的機(jī)密性與完整性：主要是通過數(shù)據(jù)的加解密來實(shí)現(xiàn)。1.服務(wù)器端的個(gè)體識(shí)別服務(wù)：利用服務(wù)器的數(shù)字證書來驗(yàn)證用戶的資格，這是必要的手續(xù)，如此我們才能保證用戶的有效性。2.客戶端的個(gè)體識(shí)別服務(wù)：同樣是通過客戶自己的數(shù)字證書來完成。但這個(gè)服務(wù)并不是必要的，可根據(jù)需求來設(shè)置。3.除此之外，SSL也利用數(shù)字證書的方法類確定平臺(tái)身份的信息。SSL內(nèi)部使用的是RSA公司所授權(quán)的公開金鑰加密法，服務(wù)器必須申請(qǐng)屬于第頁共32頁

自己的數(shù)字證書加裝到服務(wù)器中作為識(shí)別之用如此一來一個(gè)加裝的服務(wù)器便可以與支持SSL的瀏覽器相互傳送機(jī)密數(shù)據(jù)。4.3.7防篡改設(shè)計(jì)防止頁面的的篡改；利防護(hù)工具防止黑客篡改或非法破壞網(wǎng)頁，保證網(wǎng)站網(wǎng)頁安全針對(duì)防止網(wǎng)頁篡改推薦使用對(duì)文件系統(tǒng)進(jìn)行文件指紋記錄。通過對(duì)比文件MD5解決了網(wǎng)站被非法修改內(nèi)容問題的發(fā)現(xiàn)，是一種高效、簡單、易用的發(fā)現(xiàn)方法。對(duì)核心系統(tǒng)文件防止用戶非法修改使用系統(tǒng)命令chattr進(jìn)行保護(hù)。4.3.8防抵賴設(shè)計(jì)加密加密是指通過使用對(duì)稱加密、公鑰加密、單向散列等手段，對(duì)各系統(tǒng)中數(shù)據(jù)的機(jī)密性、完整性進(jìn)行保護(hù)，并提高應(yīng)用系統(tǒng)服務(wù)和數(shù)據(jù)訪問的抗抵賴性。數(shù)字簽名采用公鑰密碼算法，對(duì)操作行為進(jìn)行簽名確認(rèn)，提供數(shù)字化的證據(jù)，避免抵賴行為的發(fā)生。4.3.9系統(tǒng)交互安全設(shè)計(jì)系統(tǒng)交互安全性設(shè)計(jì)XXXX采用接口方式進(jìn)行設(shè)計(jì)交互，數(shù)據(jù)傳輸采取目前流行的HTTPS議進(jìn)行傳輸。邊界訪問控制通過在后端服務(wù)器之間配置對(duì)方系統(tǒng)白名單方式控制IP層安全和數(shù)據(jù)信任，從保證只有合法的授權(quán)的才可以進(jìn)行網(wǎng)絡(luò)傳輸。數(shù)據(jù)傳輸通過加密和簽名的防護(hù)方法，對(duì)交易操作行為進(jìn)行簽名確認(rèn)，保證數(shù)據(jù)傳輸可靠性和唯一性。4.4數(shù)據(jù)及備份安全設(shè)計(jì)第頁共32頁

4.4.1數(shù)據(jù)的保密性設(shè)計(jì)業(yè)務(wù)數(shù)據(jù)是信息系統(tǒng)運(yùn)行的重要元素，也是企業(yè)中寶貴的資源。這些數(shù)據(jù)如被非法復(fù)制、篡改、刪除，或是因系統(tǒng)崩潰及各種天災(zāi)人禍丟失，將威脅到數(shù)據(jù)的保密性、完整性和一致性。由此造成的損失將是巨大的。為了保證數(shù)據(jù)的安全，通常的做法是對(duì)數(shù)據(jù)進(jìn)行備份。數(shù)據(jù)備份解決方案大致可以分為兩種數(shù)據(jù)級(jí)的備份和系統(tǒng)級(jí)的備份數(shù)據(jù)級(jí)的備份是指對(duì)存儲(chǔ)在磁盤陣列磁帶庫等設(shè)備上的數(shù)據(jù)的備份系統(tǒng)級(jí)備份主要是指對(duì)服務(wù)器系統(tǒng)數(shù)據(jù)庫系統(tǒng)等系統(tǒng)的備份。對(duì)于數(shù)據(jù)庫系統(tǒng)備份，有兩種方式可以選擇：第一種是采用數(shù)據(jù)庫自身的備份功能，其優(yōu)點(diǎn)是不需要追加額外的投資，缺點(diǎn)是這種備份方式是手工進(jìn)行的，備份效率較低，并且在備份時(shí)可能會(huì)鎖表。第二種方式是采用專業(yè)的備份工具，這種方式能夠?qū)崿F(xiàn)在線備份的方式，即在備份的過程中不需關(guān)閉數(shù)據(jù)庫實(shí)例同時(shí)在備份過程中通過追蹤數(shù)據(jù)塊的變動(dòng)記錄來實(shí)現(xiàn)增量備份，縮短備份窗口。在保持?jǐn)?shù)據(jù)庫的前提下，這種方式還能夠充分保證數(shù)據(jù)庫的OLTP聯(lián)機(jī)事務(wù)處理的性能。在上述數(shù)據(jù)備份環(huán)境中可以對(duì)操作系統(tǒng)及應(yīng)用程序環(huán)境實(shí)現(xiàn)動(dòng)態(tài)即時(shí)在線快速備份即在不影響用戶和應(yīng)用程序運(yùn)行的前提下備份系統(tǒng)的動(dòng)態(tài)數(shù)據(jù)同時(shí)能夠?qū)鹘y(tǒng)文件系統(tǒng)的備份速度成倍提高。4.4.2數(shù)據(jù)的完整性設(shè)計(jì)數(shù)據(jù)傳輸完整性采用密碼技術(shù)或其他有效措施，保證系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完整性。數(shù)據(jù)存儲(chǔ)完整性采購滿足專門的存儲(chǔ)安全措施，保證系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)第頁共32頁

據(jù)在存儲(chǔ)過程中的完整性。數(shù)據(jù)備份和恢復(fù)通過建立或完善數(shù)據(jù)備份和恢復(fù)機(jī)制在提供本地備份和恢復(fù)功能的基礎(chǔ)上，建立異地?cái)?shù)據(jù)備份機(jī)制。采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。4.4.3數(shù)據(jù)的可用性設(shè)計(jì)數(shù)據(jù)可用性問題主要體現(xiàn)在：靜態(tài)存儲(chǔ)數(shù)據(jù)的可用性問題：關(guān)鍵數(shù)據(jù)的存儲(chǔ)設(shè)備自身是否可靠，設(shè)備是否有充分的冗余措施果因存儲(chǔ)設(shè)備物理損壞或其他原因?qū)е略诰€數(shù)據(jù)丟失或破壞時(shí)，數(shù)據(jù)是否能夠可靠地被恢復(fù)；實(shí)時(shí)處理數(shù)據(jù)的可用性問題：在進(jìn)行實(shí)時(shí)業(yè)務(wù)處理過程中，業(yè)務(wù)處理終端通過本地或遠(yuǎn)程網(wǎng)絡(luò)查詢修改業(yè)務(wù)服務(wù)器上存放的業(yè)務(wù)數(shù)據(jù)時(shí)通信線路網(wǎng)絡(luò)交換設(shè)備由設(shè)備以及業(yè)務(wù)服務(wù)器主機(jī)等任何一個(gè)環(huán)節(jié)上的性能下降或中斷，都會(huì)對(duì)數(shù)據(jù)的可用性造成直接的影響。在現(xiàn)有的系統(tǒng)架構(gòu)和環(huán)境上，主要考慮的是靜態(tài)存儲(chǔ)數(shù)據(jù)的可用性問題。目前選用阿里云的云盤的彈性塊存儲(chǔ)支持在可用區(qū)內(nèi)自動(dòng)復(fù)制你的數(shù)據(jù)止意外硬件故障導(dǎo)致的數(shù)據(jù)不可用，保護(hù)的業(yè)務(wù)免于組件故障的威脅。4.4.4數(shù)據(jù)的不可否認(rèn)性設(shè)計(jì)由于市場商情的千變?nèi)f化，在易一旦達(dá)成是不能被否認(rèn)的。否則必然會(huì)損害一方的利益。因此在交易通信過程的各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的。SSL具有保密性、真實(shí)性、完整性和不可否認(rèn)性，廣泛使用在重要高度安全場景。其具體技術(shù)提現(xiàn)如下：SSL協(xié)議的客戶端服務(wù)器連接握手過程大致如下：1.客戶端發(fā)送一個(gè)ClientHello」消息，說明它支持的密碼算法列表以及第頁共32頁

最高協(xié)議版本等必要的信息2.服務(wù)器返回支持的版本，加密算法列表，以及自己的證書等。如果客戶端請(qǐng)求的資源需要認(rèn)證，服務(wù)器請(qǐng)求客戶端發(fā)送證書。3.客戶端首先驗(yàn)證服務(wù)器，如果認(rèn)證失敗，則斷開連接，認(rèn)證成功則執(zhí)行下一步；4.客戶端發(fā)送pre-mastersecret（用服務(wù)器的公鑰加密自己的證（如果服務(wù)器需要驗(yàn)證身份）5.服務(wù)器驗(yàn)證客戶端，用自己的私鑰得到pre-master，然后經(jīng)過一系列步驟生成mastersecret。6.客戶端和服務(wù)器使用master生成對(duì)稱密鑰key，之后傳輸?shù)氖論?jù)均使用sessionkey加密解密。7.客戶端發(fā)送消息聲明之后的數(shù)據(jù)用key加密，并發(fā)送一條加密數(shù)據(jù)表明握手結(jié)束8.服務(wù)器發(fā)送消息聲明之后的數(shù)據(jù)用key加密，并發(fā)送一條加密數(shù)據(jù)表明握手結(jié)束數(shù)據(jù)傳輸時(shí)，將分片傳輸，如下圖所示每條記錄中數(shù)據(jù)和（指紋）均做加密處理。保密性：傳輸?shù)臄?shù)據(jù)均是采用key加密，保證了保密性；真實(shí)性：雙方握手時(shí)對(duì)對(duì)方的身份均有驗(yàn)證，因此可以保證對(duì)方的真實(shí)性完整性：每部分?jǐn)?shù)據(jù)均有驗(yàn)證，驗(yàn)證時(shí)計(jì)算數(shù)據(jù)的然后與接收到的mac比較，即可確定數(shù)據(jù)是否完整。如下圖：不可否認(rèn)性：key有通信雙方有，并且不在網(wǎng)絡(luò)上傳輸，因此攻擊者無法偽造使用sessionkey加密的數(shù)據(jù)，所以具有不可抵賴性。在XXXX在傳輸交易數(shù)據(jù)的過程中具有不可否認(rèn)性外核心交易環(huán)節(jié)，程序和數(shù)據(jù)庫設(shè)計(jì)遵循原子性規(guī)則交易環(huán)節(jié)采取事務(wù)控制方法滿足了數(shù)據(jù)入第頁共32頁

庫的不可否認(rèn)性。4.4.5備份和恢復(fù)設(shè)計(jì)對(duì)業(yè)務(wù)系統(tǒng)來說，數(shù)據(jù)可靠性非常重要。如何通過簡單的配置，實(shí)現(xiàn)適當(dāng)有效的備份機(jī)制并具備快速恢復(fù)能力是本最佳實(shí)踐所要解決的主要問題。不同的業(yè)務(wù)系統(tǒng)，對(duì)可用性和備份恢復(fù)的要求有很大的不同：對(duì)一般系統(tǒng)來說，阿里云默認(rèn)3份冗余副本、對(duì)磁盤和數(shù)據(jù)庫的每天自動(dòng)備份，所以不須做更多配置。對(duì)業(yè)務(wù)價(jià)值比較大的系統(tǒng)來說只要做到嚴(yán)格遵守操作規(guī)范和利用阿里云提供高可用數(shù)據(jù)備份和恢復(fù)機(jī)制無論發(fā)生何種類型的故障或?yàn)?zāi)難也能降低損失，從容應(yīng)對(duì)。阿里云提供的存儲(chǔ)類型有：云磁盤、本地磁盤、OSS和OTS等共5種類型。除了默認(rèn)的3份存儲(chǔ)冗余外，為保證數(shù)