淺談移動辦公平臺安全架構設計

王真虎

（山東省農村信用社聯合社，山東 濟南 250013）

1 IT 基礎設施安全

IT 基礎設施是移動辦公平臺構建安全架構體系的重要環節，它通過物理的方法和技術，保障機房、主機、網絡和存儲等基礎設施的安全。

IT 基礎設施安全主要防范各種自然災害（防火、防水、防雷擊、抗震等），防止非法操作、人為入侵以及信息的丟失、泄露和破壞等。因此需要從IT 基礎設施方面為移動辦公平臺提供安全可靠的運行環境和條件。

考慮到移動辦公平臺安全的特殊性以及影響力，同步建設同城容災，確保當移動辦公平臺生產中心發生災難或故障，可以利用同城容災中心來保證應用系統的安全，在移動辦公平臺發生災難時，可以通過同城容災中心恢復生產，保證業務的連續性。

（1）完整性：災備系統的數據必須與移動辦公平臺生產中心的數據保持高度的一致性，該系統是對移動辦公平臺的完全備份。災難發生后，原有生產中心與災備中心之間的相互切換應盡量避免造成數據的丟失及損毀。

（2）準確性：災備系統存儲的數據必須能夠完全替代移動辦公平臺生產中心數據進行后臺支撐，確保客戶端數據核查的正確性。

（3）及時性：災備系統作為移動辦公平臺處理連續性的有效保證，必須確保數據的快速恢復達到恢復點要求，在最短的時間內接管并替代原生產系統，恢復正常業務處理。

（4）擴展性：災備系統建設應該提供可擴展的數據備份功能，以適應移動辦公平臺的不斷發展。

2 網絡層安全

2.1 硬件互備及均衡

網絡中的關鍵設備，如各層交換機、路由器等設備要采取負載均衡方式防止單機故障。同時，為了保證系統通信的暢通，防止因通信線路異常而引起的傳輸錯誤、業務中斷等，采用多家運營商接入，同時申請移動、電信和聯通各1條互聯網線路，保證移動辦公平臺數據傳輸不間斷。

2.2 訪問控

訪問控制用于限制移動辦公平臺按事先確定的規則實施訪問權的控制，防止未經授權而利用網絡訪問系統資源。

2.3 防火墻

移動辦公平臺安全架構設計的每層防火墻設備采用雙機熱備模式，同時具備流量清洗和防DDoS 攻擊功能。為提高系統安全性，需要對外部非法用戶非授權訪問限制以及內部對外部的非授權訪問限制，同時還需要對接系統之間特別是低安全級別系統對高安全級別系統的非授權訪問限制。

2.4 入侵檢測

在移動辦公平臺安全架構設計采用一級監控的方式，在互聯網區部署第三方IPS（入侵檢測）系統，配置相關策略，增加安全監測事件，對移動辦公平臺涉及網絡以及服務端口之外操作進行實時檢查、監控、報警和阻斷，同時接受報警事件報告，有效全面的對平臺的安全隱患、黑客入侵、安全事故進行很好的監測控制。

2.5 防DoS/DDoS 攻擊

防火墻的DoS 防御能力應能夠有效地低擋syn flood，udp flood 等DoS 攻擊，能夠在高攻擊的背景下，保持正常的對系統服務器的訪問，具有流量清洗功能。對于DDoS 攻擊，還需要和移動通信運營商配合處理。在運營商提供的網絡接口上，配置兩臺高性能帶安全性模塊的路由器，可以通過配置限制半開鏈接數、超時時間，ping 包大小、數量等措施在接入端阻斷大部分DoS/DDoS 攻擊。

3 系統層安全

3.1 服務器證書

目前高端智能手機（iPhone，Android），一般都內置有Verisign公司的CLASS3根證書。為了和手機相匹配，移動辦公平臺客戶端系統的服務器必須安裝Verisign 公司簽發的服務器證書，由手機對服務器進行驗證。

3.2 通信安全

移動辦公平臺采用國際公認的SSL3.0及TLS1.0安全協議，此安全協議是國際公認的高度安全和實用的網絡安全協議，目前廣泛應用于網上銀行、電子商務等領域，所有網上銀行的安全均以此標準協議為基礎。

TLS1.0（SSL3.0）協議采用以非對稱密鑰算法為基礎，采用動態的密鑰來保護傳輸數據。傳輸密鑰是在RSA 算法的保護下，由服務器和客戶端協商生成傳輸密鑰，利用傳輸密鑰加密所要傳遞的數據。同時由于采用的是動態密鑰，動態密鑰的生存周期僅為一次會話過程。在TLS1.0協議中有完整的關于會話管理、數據完整性、防篡改的控制。

客戶端身份驗證可通過在手機端存儲由服務器簽名的個人證書（個人信息包括：手機號碼，IMSI 號碼等，該證書核心信息需服務器加密），然后在手機登錄服務器時，由服務器驗證該證書。

移動辦公平臺用戶在首次登錄進行設備綁定以后，客戶端包含個人私有的RSA 密鑰對，對關鍵交易如資金交易，密碼修改交易數據進行簽名，以防交易數據被偽造或篡改，同時對客戶端用戶進行身份鑒別。

3.3 數據存儲安全

（1）數據庫數據：定期備份，流水數據定時清理，機密數據如登錄密碼等進行不可逆加密存儲。

（2）文件日志：日志文件定時備份清理，文件日志不打印敏感的數據信息；日志文件屬于機密內容，必須要建立完整的安保機制，嚴禁隨意獲取。

（3）加密密鑰：存儲于加密機中，在加密機內部完成加密操作。而且轉化后的數據可以在應用程序和加密機之間進行互換。

（4）移動辦公平臺客戶端數據：程序運行時緩存的用戶數據，退出后立即清除緩存。

4 業務與交易安全

4.1 設備綁定

客戶在初次使用移動辦公平臺業務時，需綁定手機硬件設備信息才可以進行業務操作。同時為保障設備安全性，只能通過綁定的惟一設備進行操作，其他人無法通過其他手機登錄。

4.2 用戶密碼認證

移動辦公平臺客戶端通過設置登錄密碼，保證移動辦公平臺客戶的登錄安全。移動辦公平臺在對手機進行認證后，還需要客戶輸入移動辦公平臺登錄密碼，對客戶的身份進行認證，當客戶的密碼錯誤時，系統拒絕客戶使用。

使用登錄密碼是移動辦公平臺進行客戶身份驗證的一個重要環節，系統先進行客戶密碼的驗證，若密碼錯誤，登錄終止。為防止暴力破解用戶密碼，登錄首頁需要通過用戶名、登錄驗證碼校驗以及密碼，同時系統對密碼錯誤次數進行參數化配置，當達到設定限制時，將置該用戶移動辦公平臺狀態為暫停狀態。

4.3 預留信息

客戶可通過系統設置個人的預留信息，比如“我最喜歡的歌”，此信息只有客戶本人知道。在客戶登錄系統后，會展示預留信息，使客戶能夠及時發現仿冒的釣魚網站（釣魚網站不知道客戶的預留信息，也就不會顯示“我最喜歡的歌”，客戶非常容易分辨）。

4.4 操作超時保護

登錄移動辦公平臺后，參數化設定session 超時時間，在超出設定時間內沒有任何操作，將強制用戶退出登錄，再次使用需要重新登錄，同時為提到用戶體驗度以及安全可控，用戶可登錄系統自主設定手勢密碼或者指紋認證登錄。

5 系統監控

除采用安全技術確保系統安全外，借助配套的軟件監控系統和網絡流量監控系統，通過兩個監控系統對移動辦公平臺網絡狀況、操作系統、中間件、數據庫的基礎環境監控以及應用層監控的主要監控目標是交易成功率、交易處理狀態和結果、系統隊列的使用情況、通信鏈路、進程、線程等主要監控指標進行重點監控，并提供迅速、準確、可靠的故障報警功能，以便系統維護人員及時分析問題并準確定位、快速解決問題，及早發現、排除安全隱患，提高系統的整體安全性。

6 安全管理

安全體系實現不能完全依賴是技術手段，同時還采取其他管理辦法、制度以及審計等輔助手段來加強系統整體安全。明確移動辦公平臺主管部門、工作崗位以及相關職責，建立移動辦公平臺相關管理辦法、各項管理制度。

安全管理不僅在事先防范、事中管理控制，更重要的環節是事后審計，審計作為安全管理事后重要手段，審計機制對交易操作、日志等安全重點審查范圍進行審計，并針對存在的安全問題進行整改和完善。