淺談移動辦公平臺安全架構(gòu)設(shè)計

王真虎

（山東省農(nóng)村信用社聯(lián)合社，山東 濟南 250013）

1 IT 基礎(chǔ)設(shè)施安全

IT 基礎(chǔ)設(shè)施是移動辦公平臺構(gòu)建安全架構(gòu)體系的重要環(huán)節(jié)，它通過物理的方法和技術(shù)，保障機房、主機、網(wǎng)絡(luò)和存儲等基礎(chǔ)設(shè)施的安全。

IT 基礎(chǔ)設(shè)施安全主要防范各種自然災(zāi)害（防火、防水、防雷擊、抗震等），防止非法操作、人為入侵以及信息的丟失、泄露和破壞等。因此需要從IT 基礎(chǔ)設(shè)施方面為移動辦公平臺提供安全可靠的運行環(huán)境和條件。

考慮到移動辦公平臺安全的特殊性以及影響力，同步建設(shè)同城容災(zāi)，確保當(dāng)移動辦公平臺生產(chǎn)中心發(fā)生災(zāi)難或故障，可以利用同城容災(zāi)中心來保證應(yīng)用系統(tǒng)的安全，在移動辦公平臺發(fā)生災(zāi)難時，可以通過同城容災(zāi)中心恢復(fù)生產(chǎn)，保證業(yè)務(wù)的連續(xù)性。

（1）完整性：災(zāi)備系統(tǒng)的數(shù)據(jù)必須與移動辦公平臺生產(chǎn)中心的數(shù)據(jù)保持高度的一致性，該系統(tǒng)是對移動辦公平臺的完全備份。災(zāi)難發(fā)生后，原有生產(chǎn)中心與災(zāi)備中心之間的相互切換應(yīng)盡量避免造成數(shù)據(jù)的丟失及損毀。

（2）準確性：災(zāi)備系統(tǒng)存儲的數(shù)據(jù)必須能夠完全替代移動辦公平臺生產(chǎn)中心數(shù)據(jù)進行后臺支撐，確保客戶端數(shù)據(jù)核查的正確性。

（3）及時性：災(zāi)備系統(tǒng)作為移動辦公平臺處理連續(xù)性的有效保證，必須確保數(shù)據(jù)的快速恢復(fù)達到恢復(fù)點要求，在最短的時間內(nèi)接管并替代原生產(chǎn)系統(tǒng)，恢復(fù)正常業(yè)務(wù)處理。

（4）擴展性：災(zāi)備系統(tǒng)建設(shè)應(yīng)該提供可擴展的數(shù)據(jù)備份功能，以適應(yīng)移動辦公平臺的不斷發(fā)展。

2 網(wǎng)絡(luò)層安全

2.1 硬件互備及均衡

網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，如各層交換機、路由器等設(shè)備要采取負載均衡方式防止單機故障。同時，為了保證系統(tǒng)通信的暢通，防止因通信線路異常而引起的傳輸錯誤、業(yè)務(wù)中斷等，采用多家運營商接入，同時申請移動、電信和聯(lián)通各1條互聯(lián)網(wǎng)線路，保證移動辦公平臺數(shù)據(jù)傳輸不間斷。

2.2 訪問控

訪問控制用于限制移動辦公平臺按事先確定的規(guī)則實施訪問權(quán)的控制，防止未經(jīng)授權(quán)而利用網(wǎng)絡(luò)訪問系統(tǒng)資源。

2.3 防火墻

移動辦公平臺安全架構(gòu)設(shè)計的每層防火墻設(shè)備采用雙機熱備模式，同時具備流量清洗和防DDoS 攻擊功能。為提高系統(tǒng)安全性，需要對外部非法用戶非授權(quán)訪問限制以及內(nèi)部對外部的非授權(quán)訪問限制，同時還需要對接系統(tǒng)之間特別是低安全級別系統(tǒng)對高安全級別系統(tǒng)的非授權(quán)訪問限制。

2.4 入侵檢測

在移動辦公平臺安全架構(gòu)設(shè)計采用一級監(jiān)控的方式，在互聯(lián)網(wǎng)區(qū)部署第三方IPS（入侵檢測）系統(tǒng)，配置相關(guān)策略，增加安全監(jiān)測事件，對移動辦公平臺涉及網(wǎng)絡(luò)以及服務(wù)端口之外操作進行實時檢查、監(jiān)控、報警和阻斷，同時接受報警事件報告，有效全面的對平臺的安全隱患、黑客入侵、安全事故進行很好的監(jiān)測控制。

2.5 防DoS/DDoS 攻擊

防火墻的DoS 防御能力應(yīng)能夠有效地低擋syn flood，udp flood 等DoS 攻擊，能夠在高攻擊的背景下，保持正常的對系統(tǒng)服務(wù)器的訪問，具有流量清洗功能。對于DDoS 攻擊，還需要和移動通信運營商配合處理。在運營商提供的網(wǎng)絡(luò)接口上，配置兩臺高性能帶安全性模塊的路由器，可以通過配置限制半開鏈接數(shù)、超時時間，ping 包大小、數(shù)量等措施在接入端阻斷大部分DoS/DDoS 攻擊。

3 系統(tǒng)層安全

3.1 服務(wù)器證書

目前高端智能手機（iPhone，Android），一般都內(nèi)置有Verisign公司的CLASS3根證書。為了和手機相匹配，移動辦公平臺客戶端系統(tǒng)的服務(wù)器必須安裝Verisign 公司簽發(fā)的服務(wù)器證書，由手機對服務(wù)器進行驗證。

3.2 通信安全

移動辦公平臺采用國際公認的SSL3.0及TLS1.0安全協(xié)議，此安全協(xié)議是國際公認的高度安全和實用的網(wǎng)絡(luò)安全協(xié)議，目前廣泛應(yīng)用于網(wǎng)上銀行、電子商務(wù)等領(lǐng)域，所有網(wǎng)上銀行的安全均以此標準協(xié)議為基礎(chǔ)。

TLS1.0（SSL3.0）協(xié)議采用以非對稱密鑰算法為基礎(chǔ)，采用動態(tài)的密鑰來保護傳輸數(shù)據(jù)。傳輸密鑰是在RSA 算法的保護下，由服務(wù)器和客戶端協(xié)商生成傳輸密鑰，利用傳輸密鑰加密所要傳遞的數(shù)據(jù)。同時由于采用的是動態(tài)密鑰，動態(tài)密鑰的生存周期僅為一次會話過程。在TLS1.0協(xié)議中有完整的關(guān)于會話管理、數(shù)據(jù)完整性、防篡改的控制。

客戶端身份驗證可通過在手機端存儲由服務(wù)器簽名的個人證書（個人信息包括：手機號碼，IMSI 號碼等，該證書核心信息需服務(wù)器加密），然后在手機登錄服務(wù)器時，由服務(wù)器驗證該證書。

移動辦公平臺用戶在首次登錄進行設(shè)備綁定以后，客戶端包含個人私有的RSA 密鑰對，對關(guān)鍵交易如資金交易，密碼修改交易數(shù)據(jù)進行簽名，以防交易數(shù)據(jù)被偽造或篡改，同時對客戶端用戶進行身份鑒別。

3.3 數(shù)據(jù)存儲安全

（1）數(shù)據(jù)庫數(shù)據(jù)：定期備份，流水?dāng)?shù)據(jù)定時清理，機密數(shù)據(jù)如登錄密碼等進行不可逆加密存儲。

（2）文件日志：日志文件定時備份清理，文件日志不打印敏感的數(shù)據(jù)信息；日志文件屬于機密內(nèi)容，必須要建立完整的安保機制，嚴禁隨意獲取。

（3）加密密鑰：存儲于加密機中，在加密機內(nèi)部完成加密操作。而且轉(zhuǎn)化后的數(shù)據(jù)可以在應(yīng)用程序和加密機之間進行互換。

（4）移動辦公平臺客戶端數(shù)據(jù)：程序運行時緩存的用戶數(shù)據(jù)，退出后立即清除緩存。

4 業(yè)務(wù)與交易安全

4.1 設(shè)備綁定

客戶在初次使用移動辦公平臺業(yè)務(wù)時，需綁定手機硬件設(shè)備信息才可以進行業(yè)務(wù)操作。同時為保障設(shè)備安全性，只能通過綁定的惟一設(shè)備進行操作，其他人無法通過其他手機登錄。

4.2 用戶密碼認證

移動辦公平臺客戶端通過設(shè)置登錄密碼，保證移動辦公平臺客戶的登錄安全。移動辦公平臺在對手機進行認證后，還需要客戶輸入移動辦公平臺登錄密碼，對客戶的身份進行認證，當(dāng)客戶的密碼錯誤時，系統(tǒng)拒絕客戶使用。

使用登錄密碼是移動辦公平臺進行客戶身份驗證的一個重要環(huán)節(jié)，系統(tǒng)先進行客戶密碼的驗證，若密碼錯誤，登錄終止。為防止暴力破解用戶密碼，登錄首頁需要通過用戶名、登錄驗證碼校驗以及密碼，同時系統(tǒng)對密碼錯誤次數(shù)進行參數(shù)化配置，當(dāng)達到設(shè)定限制時，將置該用戶移動辦公平臺狀態(tài)為暫停狀態(tài)。

4.3 預(yù)留信息

客戶可通過系統(tǒng)設(shè)置個人的預(yù)留信息，比如“我最喜歡的歌”，此信息只有客戶本人知道。在客戶登錄系統(tǒng)后，會展示預(yù)留信息，使客戶能夠及時發(fā)現(xiàn)仿冒的釣魚網(wǎng)站（釣魚網(wǎng)站不知道客戶的預(yù)留信息，也就不會顯示“我最喜歡的歌”，客戶非常容易分辨）。

4.4 操作超時保護

登錄移動辦公平臺后，參數(shù)化設(shè)定session 超時時間，在超出設(shè)定時間內(nèi)沒有任何操作，將強制用戶退出登錄，再次使用需要重新登錄，同時為提到用戶體驗度以及安全可控，用戶可登錄系統(tǒng)自主設(shè)定手勢密碼或者指紋認證登錄。

5 系統(tǒng)監(jiān)控

除采用安全技術(shù)確保系統(tǒng)安全外，借助配套的軟件監(jiān)控系統(tǒng)和網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)，通過兩個監(jiān)控系統(tǒng)對移動辦公平臺網(wǎng)絡(luò)狀況、操作系統(tǒng)、中間件、數(shù)據(jù)庫的基礎(chǔ)環(huán)境監(jiān)控以及應(yīng)用層監(jiān)控的主要監(jiān)控目標是交易成功率、交易處理狀態(tài)和結(jié)果、系統(tǒng)隊列的使用情況、通信鏈路、進程、線程等主要監(jiān)控指標進行重點監(jiān)控，并提供迅速、準確、可靠的故障報警功能，以便系統(tǒng)維護人員及時分析問題并準確定位、快速解決問題，及早發(fā)現(xiàn)、排除安全隱患，提高系統(tǒng)的整體安全性。

6 安全管理

安全體系實現(xiàn)不能完全依賴是技術(shù)手段，同時還采取其他管理辦法、制度以及審計等輔助手段來加強系統(tǒng)整體安全。明確移動辦公平臺主管部門、工作崗位以及相關(guān)職責(zé)，建立移動辦公平臺相關(guān)管理辦法、各項管理制度。

安全管理不僅在事先防范、事中管理控制，更重要的環(huán)節(jié)是事后審計，審計作為安全管理事后重要手段，審計機制對交易操作、日志等安全重點審查范圍進行審計，并針對存在的安全問題進行整改和完善。