论网络安全体系设计

论网络安全体系设计
摘要：2020年4月，本人所在的某市金融投资集团启动了集团综合管理系统建设，该项目实现基金、融资租赁、资金管理、转贷、融资担保、保理等金融业务信息化及人力资源、智能办公、法务管理等内部管理功能。在此项目中，我担任了架构师，负责项目总体架构设计工作。本文以该综合管理系统为例，主要论述了网络安全体系设计在该系统中的应用。通过支持手机、账号密码等方式的单点登录机制提供集团各系统的统一鉴权服务，作为身份认证的基础；通过基于角色访问权限控制实现数据权限、接口权限、菜单权限的访问控制；通过加密机制提供数据的机密性服务，保护数据避免被非授权者获取。最终项目顺利上线，运行平稳，获得了领导的高度认同。
正文：本人所在的某市金融投资集团已经建设了移动办公系统、财务系统、融资租赁系统、基金管理系统等应用系统，但仍有部分业务缺乏信息化支撑，已建成的系统比较分散，主要是“竖井式”方式建设，系统与系统之间信息不共享以及信息与业务流程相脱节。针对这些问题，2020年4月，经集团党委决定，启动集团综合管理系统建设，实现以下功能。一、实现转贷、保理、融资担保、资金管理、人力资源、智能办公等业务流程信息化，同时整合基金管理系统、移动办公系统、财务系统等已有信息资产，促进部门、子公司之间横向协同。二、建立统一共享的信息平台，利用数据报表平台为管理层提供决策信息支持，实现纵向管控。三、建立涵盖分布式文件存储、单点登录、分布式事务支持、短信邮件通知、可控任务调度等服务的基础IT设施，提供高质量、可重用的平台服务。
在此项目中，我担任架构师一职，负责系统总体架构设计。由于集团为金融类企业，涉及最大的资金以及商业机密，故对系统的安全性，不论是高层领导，还是下层业务人员，都高度重视。故在本项目中，采用了大量的网络安全体系设计来保障系统的安全。包括系统必须保障用户真实性，保证数据仅被授权人获取使用，保证数据完整一致。
GB/T9387.2-1995中定义的信息安全服务主要有5大类。一、鉴权服务，用于防止实体占用和使用其他实体的身份，是身份认证的基石，实现手段有：1.利用已知的信息，如口令；2.利用已有的信息，如令牌；3.利用不可改变的特征，如指纹；4.利用可信第三方提供的服务；5.利用环境因素，如ip。二、访问控制服务，用于对实体对系统资源访问时做出允许访问还是拒绝的决定，实现的手段有：1.自主访问控制；2.强制访问控制；3.基于角色的访问权限控制。三、机密性服务，即限制数据仅被授权者获取，或者通过某种表示方式使数据仅对授权者可用，实现的手段有：1.禁止数据被非授权者获取，如访问控制、禁止媒体访问等；2.通过加密机制，包括对称和非对称加密机制。四、完整性服务，即保护数据不被各种非授权方式的攻击破坏，包括修改或者损毁，主要有两种手段：1.禁止非授权者访问，如访问控制、禁止媒体访问等；2.提供探测数据项或数据项序列的手段，如数据签名等。五、防抵赖性服务，即在对实体的操作行为或数据提供证据的生成、验证、存储等操作，并可以在抵赖行为发生时，将证据恢复并再次验证，手段包括：操作日志、数字签名等。
本文主要从鉴权服务的单点登录技术、访问控制服务的基于角色访问权限控制技术、机密性服务的加密技术三个方面分析项目的网络安全体系设计。
一、鉴权服务的单点登录技术应用。
集团已存在移动办公系统、财务系统、融资租赁系统、基金管理系统等多套遗留系统，我们在设计集团综合管理系统时，并不能完全取代这些遗留系统的功能，而作为综合管理系统，需要集成部分系统功能，而无论对于哪个系统，必须确定用户的身份才能对用户的操作权限做出判定，因此单点登录机制是必不可少的。我们研究了多套单点登录方案，最终选定CAS单点登录作为登录服务器和集成客户端。用户在登录以上系统时，会统一跳转到单点登录页进行登录，并传入回调地址，在登陆成功后，单点登录平台将键值写到cookie，返回回调地址，在由前端将cookie传给系统，系统通过键值向单点登录平台获取用户相关信息，包括姓名、账号、头像等个人信息，从而达成用户身份认证的过程。那么一次登录后，其他系统也均可以通过该键值从单点登录平台获取到用户相关信息，而不需要再进行多次登录，实现一次登录，处处通行的效果。并且我们在单点登录平台上实现了手机短信验证码、账号密码、微信扫码等各种登录机制，方便了用户的使用。
二、访问控制服务的基于角色访问权限控制技术应用。
再通过鉴权服务获取到用户身份后，我们仅仅解决了你是谁的问题，需要进一步解决你能不能做的问题。在本项目中，我们使用了基于角色的访问控制。角色有几种来源，一种来源于职级，如普通职工、部门领导、子公司总经理、分管领导等，一种来源于岗位，如业务岗，风险岗，一种来源于负责的业务，如转贷业务相关人员、融资租赁业务相关人员等。又将权限分为：菜单权限，即授权访问对应菜单及菜单可见性；接口权限，即授权访问对应接口；数据权限，即所能访问的数据范围授权。综合角色以及权限，以人力资源系统为例，我们实现了员工管理类菜单仅人力资源岗人员可见，员工管理类接口仅人力资源岗人员可访问，而对于子公司的人力资源岗人员，她的数据权限仅被授权访问子公司人员的档案管理，从而实现访问控制。另外还实现了三级管理权限，对于自己，仅被授权查看自己的档案信息，而对于部门经理，他所被授权的数据范围包括他所管理的部门，对于分管领导，他所被授权的数据范围包括他所分管的所有部门。
三、机密性服务的加密技术应用。
数据的机密性服务也是安全体系中重要的一环。加密后的数据即使被非授权者以各种方式获取，仍然无法查看使用。本项目中采用大量加密技术。本项目为web项目，在前后端传输协议上，使用了https技术，通过SSL加密技术避免数据在传输过程中被第三方截获，篡改，破坏数据的完整性，在HTTPS中充分利用了非对称加密所建立的不需要事先商量好账号密码，而是从CA或RA来获取公钥的机制，又充分利用了对称加密的效率，完美地实现了安全性和效率性的协调。另外，在数据存储时，如密码，对密码首先使用MD5处理，获取密码对应的摘要，再加入盐值，使用des对称加密机制进行加密，这样可以避免第三方使用密码加密后的hash map碰撞获取到原密码，充分保证数据存储时的安全。通过加密提供机密性服务，在很多时候仍然是性能和安全性的平衡点，如文件存储，为保证文件的存储安全性，我们需要加密技术，但是对于较大的文件，即使使用对称加密这种相对来说高效率的加密机制，仍然会对系统性能产生较大影响，因此我们需要在两者之间平衡。
2021年9月，系统按预期计划上线，至今运行稳定，系统在鉴权服务、访问控制服务、机密性服务上的设计获得用户的一致好评。由于系统从架构设计初就充分考虑了安全体系设计，并良好地实施了各项服务，保证系统数据的存储安全、传输安全、使用安全，并且充分平衡了用户的易用性、系统的性能等其他质量属性，用户并不会感受到安全设计所带来的不便，并且至今系统无任何安全事故发生。当然系统仍然存在一些不足之处，如在合同盖章上，仍然采用了传统的印章，没有充分利用电子印章的便利性和相对于传统印章更强大的防抵赖性，也无法与对等商业实体进行纯电子化的交易，后期需要充分考虑电子印章技术，封装电子印章官方api实现可重用的基础电子印章服务，并将其应用。