系统架构师论文--论信息安全与保密应用

系统架构师论文–论信息安全与保密应用

tip:论文模块解析https://blog.csdn.net/lqb3732842/article/details/134081532

摘要
作为国内美容行业领先的咨询服务公司,我司于2020年5月自研开发一套基于SAAS服务的客户管理系统（以下简称SCRM系统）,致力于为行业提供一套标准的客户管理流程。系统主要包含租户管理模块、客户引流模块、客户管理模块、商品订单模块、线下会议模块、在线合同模块及系统服务模块等7个主要功能模块。我作为系统架构师负责整个项目技术调研及系统设计。本文主要以此项目为例，论述信息系统的安全与保密性的应用，主要从网络安全设计、应用安全设计、数据库安全设计三方面展开详细论述。网络安全主要通过网络划分及数据加密方式保证服务及数据的安全性；应用安全通过登陆认证，权限管理风险监测等方式保证应用安全；数据库安全方面主要使用主从复制方案冗余备份，数据恢复通过定时完整备份加日志记录模式保证数据可恢复性。经过9个月时间项目顺利上线，获得各方一致认可。

我司是美容行业领先的咨询服务公司，一直致力于为行业提供一套标准的客户管理系统，用于统一完善行业客户管理流程。SAAS系统就是我司根据十几年通过服务于几千家行业客户总结沉淀下来的一套服务于美容行业的标准客户管理流程。SAAS系统是一套以SAAS服务为基础的2b2c的客户管理系统，主要使用角色有平台运营管理员、租户员工、租户B端客户、租户C端客户，不同角色对应不同的应用入口,应用主要载体是app+小程序+公众号+pc管理后台SCRM系统主要包括组织架构模块、客户引流模块、客户管理模块、商品订单模块、线下会议模块、在线合同模块及系统服务模块。商户注册后员工通过引流模块推荐文章或者视频给客户，客户管理模块将通过客户浏览行为数据进行用户分析，完成用户画像。商户员工再根据用户画像进行产品促销或者推广。对于B端客户可以通过线下会议模块组织线下会议，完成参会登记,签到及现场会销。最后签单成功通过在线合同模块完成合同的在线签署。系统服务为所有业务提供必要的功能支持,如：问卷调查、二维码生成、短信通知等。

系统的安全性是指系统可以持续向授权用户提供服务，并且拒绝未授权用户访问。机密性是指，信息数据在传输过程中不应该泄露给未被权的用户，敏感信息被意外泄漏也应该不被别人识别。信息系统的安全性与保密性是整个信息系统最为重要的质量属性之一，主要可能面临硬件安全、网络安全、应用安全、数据存储安全等多方面的问题。物理安全方面需要考虑服务器,网络设备等物理机的完整性，我司通过使用阿里云服务及主备冗余方式保证硬件的安全性。网络安全是指系统网络架构规划,网络端口控制,网络数据交互过程中可能存在风险,主要有端口扫描攻击,网络数据监听窃取等；应用安全是指应用设计或者编码实现中可能存在的漏洞被别人恶意利用导致系统安全无法正常服务，或者破坏系统数据的完整性等安全问题，
主要安全问题可能有sql注入问题、CORS跨站点攻击问题、权限管理问题、XSS js脚本攻击等问题；数据安全问题指数据库安全以及数据损毁后的可恢复性，以及重要数据的加密性。本文主要从网络安全设计、应用安全设计、数据安全设计三方面展开详细论述。

一:网络安全设计
SCRM系统前端主要有APP，小程序跟web网页端，采用前后端分离方式，后端整体为微服务架构.通过设置对外统一网关跟前端交互,真实的业务服务都处于内网之中，只有通过系统内部网关应用才能调用系统业务服务，使用网关隔离保证内部业务系统不会直接被外网扫描攻击，间接保证了其安全性。网络端口方面通过阿里云安全防火墙,以安全组方式，指定开通必要的端口，对于只有内网可访问的端口，通过指定服务器ip白名单的方式控制网络端口安全。网关跟前端接口通过https协议交互，有效保障链接的安全性.数据传输通过非对称公私钥加密方式产生会话密钥，之后通过会话密钥对称加密方式进行数据的加密，既保证了数据的机密性，同时兼顾了系统的加解密效率。另外对于如文章图片，视频资源等通过refer设置
防盗链技术，防止资源被第三方恶意盗窃用。

二:应用安全设计
SCRM系统从用户认证，权限管理，数据范围，接口攻击等方面做了全面的安全设计。首先用户认证方面主要有微信端通过微信授权认证，App端通过账号+指纹验证登陆，web网页端通过账号，密码手机号验证等方式登陆，当天连续5次错误登陆将对账号进行冻结操作,并记录异常数据。权限管理上主要通过RBAC权限组授权方式管理，所有操作权限都需要添加到权限规则中，只有被赋予权限的角色才能进行操作，所有的数据操作都会统一记录到日志中。对越权异常操作会直接发送邮件或者短信通知系统管理员.接口设计方面首先会通过规则过滤掉异常的输入数据，特别地对于sql关键字以及js语法符号的处理，从源头上杜绝了sql注入攻击跟xss攻击。对于可能存在的跨站点攻击，我们通过自定义token+refer校验保证接口数据来源都是系统前端站点。对于收费敏感的接口如短信发送接口，设计了频率限制，每2分钟才能触发一次，同一号码每条不超过10条。通过以上技术方案,系统应用层安全得到了较好的保障.

三:数据库安全设计
数据库架构方面整体通过一主多从的主从复制冗余方案,主要是提高系统的可用性以及容灾备份.正常时间主库将承担所有的数据修改,新增,删除等操作,其中多个从库将负责主要的数据读取工作,另外还有一台容灾从库处于等待就绪状态,当探测到主库宕机,备用容灾从库将会接管主库工作,并与其他从库建立新的主从关系.数据安全上对于敏感的数据会通过对称加密的方式保存，对于密码等关键信息，数据库不会直接存储原密码，通过加盐方式保存hash值，在应用层通过对称校验的方式检验密码的正确性。即使数据库数据被窃取也是无法直接获取到关键的数据信息。数据库回滚恢复方面主要通过整点备份+日志记录的方式,每天凌晨4点会对数据库进行完整
的备份，之后记录当天的操作日志，万一数据被误操作删除或修改可以通过日志数据回滚到正确的版本。

通过以上技术方案,在网络层、应用层、数据层对系统安全及数据机密性做到了比较完善的保证。项目于2021年3月正式上线,至今运营2年多,目前系统商户数量达到1500+家,整体C端用户在800W以上,系统运行稳定,数据应用安全得到保证，得到公司与用户一致好评。在使用中系统也出现了一些问题,比如系统漏洞，拒绝服务攻击等，我们通过定时安全工具扫描，及时更新可能存在的漏洞保证系统安全；通过ip黑名单方式拒绝发起攻击的服务器ip拦截了主要的拒绝服务攻击。实践证明,SCRM能顺利上线,并且稳定服务于行业与系统安全,机密性的设计是密不可分的,经过这次系统架构,我也积累了更多经验,能更有效的保障系统今后的更新演化.