为保障平台网络、系统及终端的安全,包括物理机、虚拟机及其构成的基础网络环境,系统可靠性主要从网络安全、系统安全防护两方面进行分析建设。系统建设时应该充分考虑到后期的运维风险,对服务器宕机、数据丢失、机房断电等异常情况要制定完善的应对方案,以保证系统可以正常提供服务。
对于安全管理而言,系统需要7x24小时连续运行,系统可靠性达到99.9%,不存在“单点故障”。电商平台安全保障系统架构示意如图1所示。
图1 安全保障系统总体架构图
结合安全保障系统架构,要系统具备用户管理、用户身份认证、加解密、访问控制、日志审计、监控跟踪运维、应用漏洞扫描、安全巡检等基本功能,并需要建立相应的管理制度,以支持网络安全、系统安全、数据安全、接入安全和信息保密安全等。详细功能点如表1所示。
表1 安全保障系统功能点列表
1、网络安全保障功能
网络安全保障是系统可靠性服务的重要组成部分。通过防火墙、网络入侵检测设备等安全设备的建设和流量清洗功能,实现平台与银行及第三方支付等网络的安全互联、数据安全交换和信息共享。
1.防火墙
实现不同网段的访问控制和安全隔离,支持与网络入侵检测设备、网络安全探针设备等其他网络安全产品的联动,支持透明模式,实现对原有网络的无缝接入,能够抵御常见防火墙渗透性攻击和DoS攻击。
2.网络入侵检测设备
实现基于TCP/IP协议的网络攻击行为检测,能够对违反系统安全规则的事件进行报警和审计,在检测到攻击行为时,向攻击涉及的网络边界防护设备、防火墙发出警告。
3.流量清洗
对进入平台数据中心(IDC)的数据流量进行实时监控,及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下,清洗掉异常流量。流量清洗服务可以通过时间通告、分析报表等服务内容提升网络流量的可见性和安全状况的清晰性。
4.防暴力拆解
为了防止恶意尝试登录或者密码暴力破解,在主机层面设置登录失败的处理措施,如设置登录尝试失败5次,锁定30分钟等。
2、系统安全防护功能
系统安全防护与网络安全保障一样,是平台及支付系统安全稳定运行的重要保障。系统安全防护采用主机安全加固、安全防护、访问控制等措施进行系统安全防护建设。
1.主机安全加固
采用专业安全工具对主机系统(包括虚拟机管理器、操作系统、数据库系统等)进行全面评估,并对存在的安全隐患进行加固。
安全加固分析:根据脆弱性评估发现的安全漏洞和配置缺陷等脆弱性问题结合对应用系统的影响情况,组织专家讨论,梳理出需要做的安全加固项及对应的解决方案。
安全加固实施:针对安全加固分析形成的安全加固项列表,逐一依据解决方案进行安全加固。
2.病毒防护系统
采用防病毒软件,病毒防护系统部署在安全应用服务区,实现病毒库的更新以及防病毒策略的配置。病毒防护客户端部署在电信的服务器上,实现对主机系统的实时病毒查杀。
3.漏洞扫描
漏洞扫描设备部署在安全应用服务区,定期对服务器、操作系统、数据库、Web页面和支付中心等关键资源进行漏洞扫描,支持资产脆弱性评估,并修复发现的漏洞。
3、数据安全保障功能
电商平台在线支付通常会涉及企业的组织信息、订单信息、银行账户、支付结算等核心业务数据,平台需要保证这些核心数据安全地存储、使用和传输。除此之外,还要保证系统能够保证用户的安全访问,能够提供安全有效的身份认证机制,防止用户信息被篡改或盗用。
满足对于平台支付安全和数据保护相关的需求,包括数据的访问控制、数据加解密、数据的完整性校验以及数据的备份恢复。支持平台网站的HTTPS安全加密,支持3DES、SHA256、MD5等加密算法,支持数据的冗余备份,提供数据库的安全审计功能。
1.安全性
安全保障系统应做好关键数据的加密工作,并应设置数据查看的权限,不同权限等级人员可以查看不同的数据,防止数据泄露。高级权限人员可以将查看权限进行临时性或永久性授权给其他用户。
系统应具备稳定性和抗攻击能力,以及具备在受到攻击或系统出现故障后的快速恢复能力。
系统应能够保持数据的一致性、完整性和使用权限的可控制性与可监控性。
2.数据备份
平台数据库异常可能会导致数据丢失,因此安全保障系统要对关键的业务数据做到每日增量备份、每周全备份,支持热备份,防止数据异常。同时,还要确保备份数据至少可以向前追溯90天。
3.故障恢复
在故障恢复机制基础上,应提供一套切实可靠的应急方案来保证在主机故障、网络故障、系统数据被破坏、病毒、喀攻击等故障情况下能够及时地恢复系统,将损失降至最低。比如平台服务器异常,可能会导致服务不可用,影响正常支付的顺畅进行。在平台在线支付业务量大,而且对于支付及时性要求较高的情况下,服务器的异常不但会严重影响支付体验,而且会造成用户和平台的经济损失,因此设置备用服务器是比较彻底的解决方案。条件不允许的情况下,可以在支付系统发布前,进行项目备份,以满足项目发生不可及时修改错误的情况下进行版本回退。
4.数据访问控制
做到权限分级管理,可以灵活地配置用户、色、权限及其他系统信息,授权操作应可以面向个人、色、群组、组织机构等不同范围,并且操作一致。做好用户管理、色管理、权限管理、系统配置功能,管理过程逻辑清晰、操作简便,可以随时跟踪追溯。
5.日志管理
做好系统故障及关键性操作的日志记录,日志的种类包括但不限于系统日志、操作日志、数据日志等,并且能够支持后台灵活地查询及导出日志。同时,操作日志应支持对所监控操作项的配置与自定义。
4、接入安全保障功能
提供HTTPS安全传输通道,实现平台业务系统与平台支付系统、平台支付系统与银行及第三方支付渠道的安全对接。接入安全保障功能包括测试评估、服务恢复、消息安全、访问控制等。
1.测试评估
对平台上资源提供者所提供的服务进行测试评估,保障应用服务的可信和安全。
2.服务恢复
为对用户的服务提供负载均衡等动态服务管理策略,保障对用户的服务能够得到可靠的恢复。
3.消息安全
采用加密通信的方式,对用户应用中产生的消息进行安全防护。
4.密码强度
在主机层面设置强制密码策略,在配置文件中设置修改密码策略,设置密码长度至少8位,数字、字母和特殊字符的组合。
5.访问控制
针对平台业务系统与支付系统通讯过程中可能会发生接口字段数据被篡改的情况,在业务系统接入支付系统时要对不同的业务系统分配不同的加密因子,在后续业务系统与支付系统数据通信过程中将数据进行DES算法加密,进行签名验证,防止非授权使用的发生,保障业务系统用户的正常支付请求。针对平台支付系统访问第三方支付渠道时可能发生的字段被篡改、数据泄露等情况,由第三方支付渠道提供的数字证书进行验证。
5、信息保密功能
信息保密设计主要考虑以下几方面:统一身份认证、安全审计服务、安全、策略服务、授权管理、密码服务等,以满足对于平台和日常监控与审计的需求。
1.统一身份认证
建立统一用户身份认证和授权系统,以满足云环境下海量访问和用户权限管理的要求。采用“用户名+密码”的认证方式,采用集中授权策略进行访问权限控制。
2.安全审计服务
采用应用安全审计系统和数据库安全审计设备提供平台的安全审计服务。应用安全审计系统部署在安全应用服务区,对平台中的应用提供安全审计。数据库安全审计设备部署在安全应用服务区,通过记录用户对数据库的操作行为,并对记录的数据进行分析,判断是否存在针对数据库的违规操作行为,为安全管理人员实施或优化数据库安全防护策略提供技术支撑。
3.安全策略服务
统一配置安全策略,包括安全策略判决、策略获取、策略管理等,依赖安全策略实现访问控制。
4.授权管理
对用户制定细化的角色、属性信息等,为用户提供细粒度的授权和访问控制。
5.密码服务
提供各类密码算法等。
6、支付差错防范和处理
业务系统调用支付接口时,未能收到支付通知的情况下,可能会将同一笔订单进行重复支付。应对措施:在业务系统调用支付接口前,先调用支付状态查询接口,根据支付状态返回结果的判断是否发起支付。业务系统调用支付接口时,会进行账号可用性判断和金额核对,以避免业务错误。业务系统调用结算、退款接口时,支付中心会根据流水号查询数据库,判断该笔数据是否已成功付款,判断金额和收付款方,避免结算、退款发生业务错误。
调用支付、支付通知、退款、结算接口返回时,会发生因网络原因或者硬件原因引起的通讯异常,导致支付平台与第三方支付渠道的数据不同步。应对措施是可定时调用第三方对账接口,将返回的数据与支付中心的数据进行比对,将差异数据列表展示在支付运营平台,采用人工干预对数据进行修改。