桌面遠程自動化運維移動APP安全防護研究

王萍　蔡夢臣　俞駿豪　方圓

摘 要：桌面運維工具移動APP依托國網(wǎng)外網(wǎng)移動應(yīng)用交互平臺，部署在企信中，安全架構(gòu)遵從外網(wǎng)移動交互平臺，本文主要從邊界、應(yīng)用、數(shù)據(jù)、數(shù)據(jù)庫、網(wǎng)絡(luò)等方面進行整體防護。通過上述各方面的安全防護，確保系統(tǒng)滿足國家信息安全等級保護和公司管理信息系統(tǒng)安全防護的基本要求；加強了桌面運維工具APP的安全防護，有效防范來自互聯(lián)網(wǎng)的攻擊。

關(guān)鍵詞：移動APP；數(shù)據(jù)安全性；安全防護

中圖分類號：TP311 文獻標識碼：A 文章編號：1671-2064（2018）13-0032-01

1 背景

桌面運維工具移動APP主要依托國網(wǎng)外網(wǎng)移動應(yīng)用交互平臺，部署在企信中，安全架構(gòu)遵從外網(wǎng)移動交互平臺，外網(wǎng)移動業(yè)務(wù)應(yīng)用提供統(tǒng)一的接入門戶、用戶認證、終端應(yīng)用和數(shù)據(jù)安全保護、消息推送、業(yè)務(wù)流程監(jiān)控等服務(wù)，所以本文將重點從數(shù)據(jù)安全性開展安全防護研究。

2 防護方案

2.1 防護原則

系統(tǒng)安全防護設(shè)計遵循以下原則：

（1）合規(guī)性原則：符合國家信息安全等級保護和商用密碼管理等政策要求，符合公司“分區(qū)分域、安全接入、動態(tài)感知、全面防護”的安全策略，符合公司信息安全防護整體體系框架。

（2）體系化原則：按照公司信息安全防護要求，從物理安全、邊界安全、應(yīng)用安全、數(shù)據(jù)安全、主機安全、網(wǎng)絡(luò)安全及終端安全等方面對系統(tǒng)進行安全防護設(shè)計。

（3）風險管理原則：針對系統(tǒng)面臨的風險采取針對性的安全防護措施，降低風險，提高系統(tǒng)安全性能。

（4）經(jīng)濟適用原則：充分利用公司總部和各單位現(xiàn)有安全防護和管理措施，降低安全防護成本。

2.2 防護措施

2.2.1 邊界安全

桌面運維工具安全防護涉及的邊界主要包括信息內(nèi)外網(wǎng)邊界和互聯(lián)網(wǎng)邊界，邊界描述如圖1所示。

對信息內(nèi)外網(wǎng)邊界，利用公司總部和各單位現(xiàn)有的邏輯強隔離、硬件防火墻、IDS/IPS等邊界安全防護設(shè)備，配置訪問控制、入侵檢測、日志記錄和審計等安全策略，實現(xiàn)邊界隔離和安全防護。對互聯(lián)網(wǎng)邊界，在各單位現(xiàn)有邊界防護措施基礎(chǔ)上，重點利用外網(wǎng)安全交互平臺和隔離裝置實現(xiàn)微應(yīng)用的接入和安全防護。

2.2.2 應(yīng)用安全

（1）身份認證。基于外網(wǎng)移動交互平臺建設(shè)的移動應(yīng)用身份認證是通過平臺客戶端提供統(tǒng)一的身份認證，應(yīng)用不需要做顯式的身份認證，但是在點擊本應(yīng)用的時候，應(yīng)用做隱式的身份校驗，拒絕非關(guān)聯(lián)用戶的登陸操作。

（2）資源授權(quán)。移動業(yè)務(wù)應(yīng)用須基于統(tǒng)一權(quán)限管理服務(wù)實現(xiàn)資源授權(quán)，資源授權(quán)分為功能權(quán)限和數(shù)據(jù)權(quán)限兩大類。對于功能授權(quán)，自身應(yīng)用需根據(jù)身份驗證獲取的統(tǒng)一權(quán)限憑證作菜單和資源的分配。對于數(shù)據(jù)維護功能和操作、包含敏感信息的查詢功能和操作還須在后臺進行權(quán)限驗證，只允許授權(quán)用戶訪問。

（3）輸入輸出驗證。統(tǒng)一輸入及輸出數(shù)據(jù)驗證接口，保障驗證邏輯的一致性；按照各接口數(shù)據(jù)格式，對輸入數(shù)據(jù)進行格式化，例如URL、日期、數(shù)字、字符串等，確保數(shù)據(jù)格式正確。

（4）日志與審計。本系統(tǒng)記錄用戶訪問的操作日志。日志記錄執(zhí)行在控制層上進行。用戶的每個Action訪問都要記錄日志，日志的內(nèi)容包括操作人、操作時間、操作功能、操作參數(shù)等信息。

（5）應(yīng)用交互安全。系統(tǒng)互聯(lián)僅通過接口設(shè)備（前置機、接口機、通信服務(wù)器、應(yīng)用服務(wù)器等設(shè)備）進行，不能直接訪問核心數(shù)據(jù)庫；接口設(shè)備上的應(yīng)用只能包含實現(xiàn)系統(tǒng)互聯(lián)所必須的業(yè)務(wù)功能，不包含業(yè)務(wù)系統(tǒng)的所有功能；接口設(shè)備必須部署在應(yīng)用系統(tǒng)的系統(tǒng)互聯(lián)區(qū)域；禁止明文傳輸，傳輸?shù)拿舾袛?shù)據(jù)必須經(jīng)過加密，采用加密傳輸協(xié)議，如HTTPS。

2.2.3 數(shù)據(jù)安全

（1）數(shù)據(jù)完整性。通過數(shù)據(jù)庫約束條件實現(xiàn)完整性保護；使用HTTPS協(xié)議保證數(shù)據(jù)傳輸過程不被篡改。

（2）數(shù)據(jù)保密性。使用HTTPS安全協(xié)議傳輸，使用國密SM4/SM3算法加密確保信息完整和傳輸安全；只允許服務(wù)器端數(shù)據(jù)庫存儲；禁止在服務(wù)器端其它區(qū)域和客戶端存儲。

2.2.4 數(shù)據(jù)庫系統(tǒng)安全

（1）身份認證。數(shù)據(jù)庫管理用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換，口令長度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令禁止相同。

（2）訪問控制。數(shù)據(jù)庫系統(tǒng)遠程管理維護時采用SSH終端接入方式；限定各類服務(wù)內(nèi)置默認賬號的訪問權(quán)限，禁用業(yè)務(wù)非必需賬號；禁止系統(tǒng)默認賬號使用默認初始口令。

（3）漏洞掃描。采用專用掃描器對數(shù)據(jù)庫系統(tǒng)進行弱點掃描；掃描應(yīng)在非業(yè)務(wù)時段進行并制定回退計劃；對于掃描發(fā)現(xiàn)的弱點應(yīng)及時進行相應(yīng)處理。

（4）安全審計。采用數(shù)據(jù)庫內(nèi)部審計機制或采用第三方數(shù)據(jù)庫審計系統(tǒng)進行安全審計，并定期對審計結(jié)果進行分析處理。

2.2.5 網(wǎng)絡(luò)安全

（1）結(jié)構(gòu)安全。主要網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力、接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬滿足能夠滿足本系統(tǒng)業(yè)務(wù)高峰期的需要，不存在帶寬瓶頸；各網(wǎng)段之間配置路由控制策略與其他網(wǎng)段隔離；在路由器、交換機等關(guān)鍵設(shè)備配置對帶寬進行控制的策略，這些策略是否能夠保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務(wù)。

（2）訪問控制。網(wǎng)絡(luò)邊界設(shè)備可以根據(jù)會話狀態(tài)信息對數(shù)據(jù)流進行控制，控制粒度為端口級；邊界網(wǎng)絡(luò)設(shè)備可以對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制。

（3）安全審計。邊界網(wǎng)絡(luò)設(shè)備配備審計策略包含網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等信息；邊界網(wǎng)絡(luò)設(shè)備的事件審計記錄包括：事件的日期和時間、用戶、事件類型、事件成功情況，及其他與審計相關(guān)的信息。

3 結(jié)語

綜上所述，桌面遠程自動化運維移動APP安全防護主要從邊界、應(yīng)用、數(shù)據(jù)、數(shù)據(jù)庫、網(wǎng)絡(luò)等方面進行整體防護。通過上述各方面的安全防護，確保系統(tǒng)滿足國家信息安全等級保護和公司管理信息系統(tǒng)安全防護的基本要求；加強了桌面運維工具APP的安全防護，有效防范來自互聯(lián)網(wǎng)的攻擊；保障了系統(tǒng)安全可靠運行，防范非授權(quán)人員訪問和異常訪問。