Home安全白皮书

1、综述

安全是一个系统的灵魂,没有安全的保障一切都将是浮云。奥林科技大掌柜产品安全保障体系是一套致力于保护客户数据安全,保障系统高可用为宗旨的理论和实践体系,下文将从机房环境安全、硬件安全、管理安全、技术安全和运行平台安全等5个方面详细阐述奥林的这个安全保障体系。

2、机房环境安全保障

奥林大掌柜产品数据中心所在的机房总面积3000多平米,遵照 TIER 4标准设计,大楼为全框架结构,按抗震8度设计。

机房采用冷冻水空调系统,主要利用水的蒸发带走机房热量,整个空调系统的能效比比常用的风冷式精密空调机高10%以上,可显著降低空调系统的电力消耗;采用双路供电,市电中断时发电机组自动启动,电力保障99.99%,网络保障99.9%;采用集中监控系统对数据中心内的温度、湿度、电压、电流、频率、功率因数、漏水、水压、液位,以及UPS、精密空调、冷水机组、发电机组等进行全面监测。采用门禁系统,对数据中心的重要出入口进行授权控制,实行7×24出入检查登记,7×24专业保安巡检;同时还设有BMS系、CCTV监控系统,嵌入式系统、录像保存一个月,还根据客户需求可定制其他安全防范系统。

3、硬件和软件安全保障

大掌柜数据中心在设计建设时就把安全保障摆在第一重要的位置上,所以在关键的硬件和软件上,舍得巨资投入采用了业界顶尖的品牌以保证关键业务的稳定和高效运作。

3.1采用世界顶级的数据存储设备

大掌柜系统所有数据都存储于专业世界顶级存储设备,跟金融系统的存储一个等级的存储设备。该存储系统可通过FCP/iSCSI协议和NFS/CIFS协议提供Windows,Unix和Linux服务器的高可用存储系统。配以丰富功能的Snap套件,满足数据保护的要求。存储系统更可实现无数据迁移的平滑系统升级,保护投资;该存储支持毫秒级的快照,即使数据库出现问题时候该存储可以动态的恢复。

3.2 交换机采用高端的千兆网络交换机

数据中心的交换机全部高端的企业级千兆交换机,保证数据中心内部高速局域网的稳定和高可用,网线均采用超无类和6类线。

3.3 负载均衡采用世界顶级负载均衡设备

数据中心采用世界顶级负载均衡设备,其安全的应用接入、灵活规则配置、高效的应用负载均衡、高可用等优点最大限度上满足用户的需求,保障应用数据安全。

3.4 防火墙和防攻击设备均采用世界级的稳定、高效、安全的设备

防火墙采用专用的高性能平台提供广域网连接和安全性,能保护高速局域网免遭网络和应用攻击,能够有效终止基于内容的攻击。拥有全面的统一威胁管理(UTM)安全特征集,包括状态防火墙、IPSecVPN、IPS、防病毒(间谍软件、钓鱼软件、广告软件)、防垃圾邮件和Web过滤,有效保证数据中心网络和数据安全。

3.5 数据库服务设备采用稳定运行的大品牌小型机作为基础设备

数据中心采用稳定运行的大品牌的小型机作为数据库服务器主机,采用集群方式保障数据服务的可靠性和可用性,最大限度保证数据库主机的稳定运行。

3.6 应用服务器系统-均采用世界公认的安全性较高的Linux作为操作系统

服务器系统采用稳定的Linux系统,运行系统是经过内核重新编译的,保证系统安全稳定和资源的有效利用。

3.7 数据库服务软件的安全可靠性

采用普及使用且公认稳定的数据库服务软件普及使用且公认稳定数据库软件提供高质量、安全、高可用的数据服务,采用多机热备,保证系统冗余、容错。

4、管理安全保障

4.1运维人员管理

奥林网络科技SAAS平台的运维工作由运营部专职负责。奥林运营部成员拥有多年的SAAS平台运营管理经验,具备丰富的系统管理、网络维护、数据库管理、信息安全等行业经验,并且在奥林有三年以上的工龄,在品德为人方面都是经得起考验的员工,并且这些员工和公司都签订了最高级别的安全保密协议,对客户数据的保护负有重大直接职责。

4.2操作控制管理

为了保证平台安全,技术部在平台管理控制上作了非常严格的规定:

(1)规范的人员管理,设备的管理人员掌握相应的设备密码,但是还是不能直接操作设备,需要运营主管的分配的动态令牌的动态密码+管理人员掌握的设备密码方可访问设备,例如存储设备的密码SA掌握,数据库的密码由DBA掌握,但是他们必须在获得运营主管的动态密码后才能掌握,平时设备的密码运营主管也不能知道。

(2)规范的密码管理,设备的密码是经过精心复杂设计的,并且会定期更改。一般情况下设备的密码都是非常复杂的非常用密码,由设备管理员掌握。

(3)规范的操作管理,设备的登录、操作有非常严格的纪律,只有通过向运维主管在线申请,留有历史记录后,通过了操作审批才能够获得动态令牌的动态密码,操作完毕之后动态令牌的动态密码失效就不能登录了。并且登录状况、设备的状态和修改情况都是有记录的,通过一个运维安全管理软件进行规范,对平台的任何修改都有记录,另外配置状态和修改总结都生成配置管理文档。

(4)网络安全的访问控制,奥林网络科技大掌柜平台的设备只有通过VPN验证才能进行访问管理。

4.3 操作环境的安全管理

奥林科技在运营人员的管理上采用单独办公区域独立的网络接口,对办公操作环境做到凡是不涉及运营的人员都不准进入该办公区域;办公区域内动态监控运营环境中的各个细节包括运营环境的温度、湿度、主机的内存,CPU,网络设备的流量,存储设备以及核心交换机的状态,还有数据库的全称实时监控,对非法情况进行短信报警等一系列措施。

4.4 程序发布管理

云计算的软件对软件需求的升级是不断地,同时对平台的安全性和稳定性都带来很多的挑战,于是奥林必须有一个严格的升级流程才能保障平台升级的无缝性,另外保障我们客户的需求能在最短时间得到满足,所以奥林制定了如下针对常规的生产环境的发布流程,见下图发布流程,规范操作,做到安全稳定和效率之间找到平衡点。另外发布的流程中共涉及4个环境的测试,本次开发环境,QA测试环境,Stage准生产环境,Product生产环境。

4.5平台监控

平台使用专业的监控软件监控平台主机、服务及网络设备,监控项目包括主机存活、CPU、硬盘、Load、应用服务器、数据库服务器的服务等。监控项目内的故障最迟能够在7分钟内发现,奥林工程师最慢在10分钟内响应并着手故障处理。平台使用网络监控软件监控平台网络使用状况,并设置警报阀值。平台使用数据库厂商提供的专业监控软件监控数据库的服务状态,出现问题能在第一时间报警。

4.6平台报告机制

每月由运维部对平台管理、安全、资源状态、压力及预测、故障和运维事件等生成一份全面平台运维报告和数据库运行报告,在一定范围内总结分析为平台决策提供准确有效的依据。

5、容灾技术安全保障

5.1灾备场景描述

若大掌柜系统数据中心在发生一些不可抗力的事件,例如地震,火灾等自然灾害时候,平台的系统服务也能在最短的时间内得以恢复,原因在大掌柜数据中心做了异地容灾,目前大掌柜已经建立了北京主数据中心,上海镜像数据中心,西安数据容灾中心。只要涉及的灾难不在3个地点同时发生,我们就有可能在预期范围内恢复数据,恢复大掌柜平台的运行。

第一种情况:当北京主数据中心发生毁灭性灾难的时候,上海的镜像备份数据中心可以马上自动接手服务,原因在于大掌柜平台做了全球负载均衡,也就是说上海的镜像备份数据中心可以马上由全球负载均衡从数据链路层判断北京的数据中心服务出现中断,在几秒钟内上海的数据中心得以接手服务。上海的数据中心是镜像备份的,再加上我们平台数据存储服务都采用事务控制,所以不存在数据丢失问题,即使当时操作的瞬间出现平台故障,我们的事务会回滚,保证业务的正确性,保障数据的完整性和可靠性。上海数据中心的备份是实时的且实时性非常好,原因在于上海和北京之间我们租用了电信运营商的专用光纤通道,是普通的广域网传输速度千倍的数量级,从而能保障数据的实时性要求,北京和西安,上海和西安的数据链路也同样是专用光纤。

第二种情况:当北京的数据中心和上海的数据中心同时出现毁灭性地打击,我们在西安的数据中心还做了一份实时的数据容灾服务,虽然不能如第一种情况那样能在几秒种之内马上恢复系统服务,但是因为我们所有平台的数据和程序都在西安有容灾备份,所以当灾难发上后,我们还是可以从西安的数据容灾中心得以重建和恢复我们的大掌柜平台系统的。

6、平台安全保障

6.1平台充分考虑的安全性

o  灵活配置的安全机制

o  应用开发时无需考虑安全

o  复杂纵深的安全机制

o  单点登录

o  动态令牌 / 图形验证码

o  数据字段(全程/页面)、页面、按钮、任务、菜单等的安全控制

o  缺省、基于角色、基于规则的安全机制

o  动态角色定义

o  动态安全授权

o  动态安全控制

6.2奥林科技创新的平台安全控制模型

权限控制从应用、模块、任务、页面、元素到每一个按钮、菜单、链接等都可以进行多层次地定义,多角度控制,而且能自定义权限,导入到会员管理系统后能全面地进行权限自定义和分配。

6.3硬件平台大规模多路径部署

硬件网络采用多路径部署方式,保障网络访问高可用性从而提高了平台的安全性,能保障服务的7*24小时不间断。