系統(tǒng)安全設(shè)計(jì)及系統(tǒng)對(duì)接設(shè)計(jì)

一系統(tǒng)安全設(shè)計(jì)常用安全設(shè)備防火墻主要是可實(shí)現(xiàn)基本包過(guò)濾策略的防火墻，這類是有硬件處理、軟件處理等，其主要功能實(shí)現(xiàn)是限制對(duì)IP:port的訪問(wèn)?；旧系膶?shí)現(xiàn)都是默認(rèn)情況下關(guān)閉所有的通過(guò)型訪問(wèn)，只開(kāi)放允許訪問(wèn)的策略。抗DDOS設(shè)備防火墻的補(bǔ)充，專用抗DDOS設(shè)備，具備很強(qiáng)的抗攻擊能力。IPS以在線模式為主，系統(tǒng)提供多個(gè)端口，以透明模式工作。在一些傳統(tǒng)防火墻的新產(chǎn)品中也提供了類似功能，其特點(diǎn)是可以分析到數(shù)據(jù)包的內(nèi)容，解決傳統(tǒng)防火墻只能工作在4層以下的問(wèn)題。和IDS一樣，IPS也要像防病毒系統(tǒng)定義N種已知的攻擊模式，并主要通過(guò)模式匹配去阻斷非法訪問(wèn)。SSLVPN它處在應(yīng)用層，SSL用公鑰加密通過(guò)SSL連接傳輸?shù)臄?shù)據(jù)來(lái)工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議和TCP/IP之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選擇的客戶機(jī)認(rèn)證。WAF（WEB應(yīng)用防火墻）Web應(yīng)用防護(hù)系統(tǒng)（WebApplicationFirewall,簡(jiǎn)稱：WAF）代表了一類新興的信息安全技術(shù)，用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無(wú)策的Web應(yīng)用安全問(wèn)題。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，因此對(duì)Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢(shì)?；趯?duì)Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對(duì)來(lái)自Web應(yīng)用程序客戶端的各類請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全性與合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，從而對(duì)各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。產(chǎn)品特點(diǎn)異常檢測(cè)協(xié)議Web應(yīng)用防火墻會(huì)對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè)，拒絕不符合HTTP標(biāo)準(zhǔn)的請(qǐng)求。并且，它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過(guò)，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過(guò)于松散或未被完全制定的選項(xiàng)。增強(qiáng)的輸入驗(yàn)證增強(qiáng)輸入驗(yàn)證，可以有效防止網(wǎng)頁(yè)篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。及時(shí)補(bǔ)丁修補(bǔ)Web安全漏洞，是Web應(yīng)用開(kāi)發(fā)者最頭痛的問(wèn)題，沒(méi)人會(huì)知道下一秒有什么樣的漏洞出現(xiàn)，會(huì)為Web應(yīng)用帶來(lái)什么樣的危害。WAF可以為我們做這項(xiàng)工作了——只要有全面的漏洞信息WAF能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉這個(gè)漏洞。當(dāng)然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒(méi)有安裝對(duì)應(yīng)的補(bǔ)丁本身就是一種安全威脅，但我們?cè)跊](méi)有選擇的情況下，任何保護(hù)措施都比沒(méi)有保護(hù)措施更好。（附注：及時(shí)補(bǔ)丁的原理可以更好的適用于基于XML的應(yīng)用中，因?yàn)檫@些應(yīng)用的通信協(xié)議都具規(guī)范性。）基于規(guī)則的保護(hù)和基于異常的保護(hù)基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會(huì)維護(hù)這個(gè)規(guī)則庫(kù)，并時(shí)時(shí)為其更新。用戶可以按照這些規(guī)則對(duì)應(yīng)用進(jìn)行全方面檢測(cè)。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。但這需要對(duì)用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到，可現(xiàn)實(shí)中這是十分困難的一件事情。狀態(tài)管理WAF能夠判斷用戶是否是第一次訪問(wèn)并且將請(qǐng)求重定向到默認(rèn)登錄頁(yè)面并且記錄事件。通過(guò)檢測(cè)用戶的整個(gè)操作行為我們可以更容易識(shí)別攻擊。狀態(tài)管理模式還能檢測(cè)出異常事件（比如登陸失?。?，并且在達(dá)到極限值時(shí)進(jìn)行處理。這對(duì)暴力攻擊的識(shí)別和響應(yīng)是十分有利的。其他防護(hù)技術(shù)WAF還有一些安全增強(qiáng)的功能，可以用來(lái)解決WEB程序員過(guò)分信任輸入數(shù)據(jù)帶來(lái)的問(wèn)題。比如：隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護(hù)。網(wǎng)絡(luò)安全設(shè)計(jì)訪問(wèn)控制設(shè)計(jì)防火墻通過(guò)制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問(wèn)控制。并且防火墻可以實(shí)現(xiàn)單向或雙向控制，對(duì)一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問(wèn)控制。其中防火墻產(chǎn)品從網(wǎng)絡(luò)層到應(yīng)用層都實(shí)現(xiàn)了自由控制。屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來(lái)看單宿堡壘主機(jī)類型。一個(gè)包過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從Internet惟一可以訪問(wèn)的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī)，可以受控制地通過(guò)屏蔽主機(jī)和路由器訪問(wèn)Internet。拒絕服務(wù)攻擊防護(hù)設(shè)計(jì)對(duì)某些域名服務(wù)器的大規(guī)模拒絕服務(wù)攻擊會(huì)造成互聯(lián)網(wǎng)速度普遍下降或停止運(yùn)行；以使得被攻擊計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)或者資源，合法用戶的請(qǐng)求得不到及時(shí)的響應(yīng)。由于DoS的攻擊具有隱蔽性，到目前為止還沒(méi)有行之有效的防御方法。首先，這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DoS攻擊。1）和ISP協(xié)調(diào)工作，讓他們幫助實(shí)施正確的路由訪問(wèn)控制策略以保護(hù)帶寬和內(nèi)部網(wǎng)絡(luò)。2）建立邊界安全界限，確保輸入輸出的包受到正確限制。經(jīng)常檢測(cè)系統(tǒng)配置信息，并注意查看每天的安全日志。3）利用網(wǎng)絡(luò)安全設(shè)備（例如：防火墻）來(lái)加固網(wǎng)絡(luò)的安全性，配置好它們的安全規(guī)則，過(guò)濾掉所有的可能的偽造數(shù)據(jù)包。4）關(guān)閉不必要的服務(wù)，及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。對(duì)一些重要的信息建立和完善備份機(jī)制，對(duì)一些特權(quán)帳號(hào)的密碼設(shè)置要謹(jǐn)慎。5）充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源。如路由器、防火墻等負(fù)載均衡設(shè)備，它們可將網(wǎng)絡(luò)有效地保護(hù)起來(lái)。被攻擊時(shí)最先死掉的是路由器，但其他機(jī)器沒(méi)有死。死掉的路由器經(jīng)重啟后會(huì)恢復(fù)正常，而且啟動(dòng)起來(lái)還很快，沒(méi)有什么損失。若其他服務(wù)器死掉，其中的數(shù)據(jù)會(huì)丟失，而且重啟服務(wù)器是一個(gè)漫長(zhǎng)的過(guò)程。當(dāng)你發(fā)現(xiàn)自己正遭受DoS攻擊時(shí)，應(yīng)立即關(guān)閉系統(tǒng)，或至少切斷與網(wǎng)絡(luò)的連接，保存入侵的記錄，讓安全組織來(lái)研究分析。6）使用專業(yè)DoS防御設(shè)備。嗅探（sniffer）防護(hù)設(shè)計(jì)嗅探器只能在當(dāng)前網(wǎng)絡(luò)段上進(jìn)行數(shù)據(jù)捕獲。這就意味著，將網(wǎng)絡(luò)分段工作進(jìn)行得越細(xì)，嗅探器能夠收集的信息就越少。網(wǎng)絡(luò)分段需要昂貴的硬件設(shè)備。有三種網(wǎng)絡(luò)設(shè)備是嗅探器不可能跨過(guò)的：交換機(jī)、路由器、網(wǎng)橋。對(duì)網(wǎng)絡(luò)進(jìn)行分段，比如在交換機(jī)上設(shè)置VLAN，使得網(wǎng)絡(luò)隔離不必要的數(shù)據(jù)傳送。采用20個(gè)工作站為一組，這是一個(gè)比較合理的數(shù)字。然后，每個(gè)月人為地對(duì)每段進(jìn)行檢測(cè)(也可以每個(gè)月采用MD5隨機(jī)地對(duì)某個(gè)段進(jìn)行檢測(cè))。主機(jī)安全設(shè)計(jì)操作系統(tǒng)安全基線配置操作系統(tǒng)安全是信息系統(tǒng)安全的最基本，最基礎(chǔ)的安全要素。操作系統(tǒng)的任何安全脆弱性和安全漏洞，必然導(dǎo)致信息系統(tǒng)的整體安全脆弱性。在目前的操作系統(tǒng)中，對(duì)安全機(jī)制的設(shè)計(jì)不盡完善，存在較多的安全漏洞隱患。面對(duì)黑客的盛行，網(wǎng)絡(luò)攻擊的日益頻繁，運(yùn)用技術(shù)愈加選進(jìn)，有必要使用安全漏洞掃描工具對(duì)計(jì)算機(jī)操作系統(tǒng)的進(jìn)行漏洞掃描，對(duì)操作系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并進(jìn)行升級(jí)。應(yīng)及時(shí)安裝操作系統(tǒng)安全補(bǔ)丁程序，對(duì)掃描或手工檢查發(fā)現(xiàn)的系統(tǒng)漏洞進(jìn)行修補(bǔ)，并及時(shí)關(guān)閉存在漏洞的與承載業(yè)務(wù)無(wú)關(guān)的服務(wù)；通過(guò)訪問(wèn)控制限制對(duì)漏洞程序的訪問(wèn)。比如windows操作系統(tǒng)補(bǔ)丁升級(jí)在操作系統(tǒng)安裝之后立即安全防病毒軟件，定期掃描，實(shí)時(shí)檢查和清除計(jì)算磁盤引導(dǎo)記錄、文件系統(tǒng)和內(nèi)存，以及電子郵件病毒。目前新的病毒發(fā)展很快，需及時(shí)更新病毒庫(kù)。比如SymantecEndpointProtect（SEP防病毒服務(wù)器版）。SymantecEndpointProtect無(wú)縫集成了一些基本技術(shù)，如防病毒、反間諜軟件、防火墻、入侵防御、設(shè)備和應(yīng)用程序控制。能有效阻截惡意軟件，如病毒、蠕蟲、特洛伊木馬、間諜軟件、惡意軟件、Bo、零日威脅和rootkit。從而防止安全違規(guī)事件的發(fā)生，從而降低管理開(kāi)銷。通過(guò)配置用戶帳號(hào)與口令安全策略，提高主機(jī)系統(tǒng)帳戶與口令安全。技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明限制系統(tǒng)無(wú)用的默認(rèn)帳號(hào)登錄DaemonBinSysAdmUucpNuucpLpdImnadmLdapLpSnappinvscout清理多余用戶帳號(hào)，限制系統(tǒng)默認(rèn)帳號(hào)登錄，同時(shí)，針對(duì)需要使用的用戶，制訂用戶列表進(jìn)行妥善保存root遠(yuǎn)程登錄禁止禁止root遠(yuǎn)程登錄口令策略maxrepeats=3minlen=8minalpha=4minother=1mindiff=4minage=1maxage=25（可選）histsize=10口令中某一字符最多只能重復(fù)3次口令最短為8個(gè)字符口令中最少包含4個(gè)字母字符口令中最少包含一個(gè)非字母數(shù)字字符新口令中最少有4個(gè)字符和舊口令不同口令最小使用壽命1周口令的最大壽命25周口令不重復(fù)的次數(shù)10次FTP用戶帳號(hào)控制/etc/ftpusers禁止root用戶使用FTP對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性。技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明日志記錄記錄authlog、wtmp.log、sulog、failedlogin記錄必需的日志信息，以便進(jìn)行審計(jì)日志存儲(chǔ)(可選)日志必須存儲(chǔ)在日志服務(wù)器中使用日志服務(wù)器接受與存儲(chǔ)主機(jī)日志日志保存要求2個(gè)月日志必須保存2個(gè)月日志系統(tǒng)配置文件保護(hù)文件屬性400（管理員帳號(hào)只讀）修改日志配置文件（syslog.conf）權(quán)限為400日志文件保護(hù)文件屬性400（管理員帳號(hào)只讀）修改日志文件authlog、wtmp.log、sulog、failedlogin的權(quán)限為400數(shù)據(jù)庫(kù)安全基線配置數(shù)據(jù)庫(kù)系統(tǒng)自身存在很多的漏洞，嚴(yán)重威脅數(shù)據(jù)庫(kù)自身的安全，甚至還會(huì)威脅到操作系統(tǒng)的安全。oracle、SQLServer等數(shù)據(jù)庫(kù)有很多的廣為人知的漏洞，惡意的用戶很可能利用這些漏洞進(jìn)行數(shù)據(jù)庫(kù)入侵操作。同時(shí)在企業(yè)內(nèi)部對(duì)數(shù)據(jù)庫(kù)權(quán)限管理不嚴(yán)格，數(shù)據(jù)庫(kù)管理員不正確的管理數(shù)據(jù)庫(kù)，使得內(nèi)部普通員工很容易獲取數(shù)據(jù)庫(kù)的數(shù)據(jù)。因此需通過(guò)數(shù)據(jù)庫(kù)安全掃描工具，比如安信通數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)DatabaseSecurityScanSystem簡(jiǎn)稱AXT-DBS。AXT-DBS數(shù)據(jù)庫(kù)安全掃描系統(tǒng)能夠自動(dòng)地鑒別在數(shù)據(jù)庫(kù)系統(tǒng)中存在的安全隱患，能夠掃描從口令過(guò)于簡(jiǎn)單、權(quán)限控制、系統(tǒng)配置等一系列問(wèn)題，內(nèi)置的知識(shí)庫(kù)能夠?qū)`背和不遵循安全性策略的做法推薦修正的操作，并提供簡(jiǎn)單明了的綜合報(bào)告和詳細(xì)報(bào)告。配置用戶帳號(hào)與口令安全策略，提高數(shù)據(jù)庫(kù)系統(tǒng)帳戶與口令安全。技術(shù)要求技術(shù)點(diǎn)（參數(shù)）說(shuō)明數(shù)據(jù)庫(kù)主機(jī)管理員帳號(hào)控制默認(rèn)主機(jī)管理員帳號(hào)禁止使用oracle或administrator作為數(shù)據(jù)庫(kù)主機(jī)管理員帳號(hào)oracle帳號(hào)刪除無(wú)用帳號(hào)清理帳號(hào)，刪除無(wú)用帳號(hào)默認(rèn)帳號(hào)修改口令如

DBSNMP

SCOTT數(shù)據(jù)庫(kù)SYSDBA帳號(hào)禁止遠(yuǎn)程登錄修改配置參數(shù)，禁止SYSDBA遠(yuǎn)程登錄禁止自動(dòng)登錄修改配置參數(shù)，禁止SYSDBA自動(dòng)登錄口令策略PASSWORD_VERIFY_FUNCTION8PASSWORD_LIFE_TIME180(可選）PASSWORD_REUSE_MAX5密碼復(fù)雜度8個(gè)字符口令有效期180天禁止使用最近5次使用的口令帳號(hào)策略FAILED_LOGIN_ATTEMPTS5連續(xù)5次登錄失敗后鎖定用戶public權(quán)限優(yōu)化清理public各種默認(rèn)權(quán)限對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性。技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明日志審核啟用啟用數(shù)據(jù)庫(kù)審計(jì)功能登錄日志記錄啟動(dòng)建立日志表，啟動(dòng)觸發(fā)器數(shù)據(jù)庫(kù)操作日志（可選）啟動(dòng)建立日志表，啟動(dòng)觸發(fā)器日志審計(jì)策略（可選）OS日志記錄在操作系統(tǒng)中日志保存要求2個(gè)月日志必須保存2個(gè)月日志文件保護(hù)啟用設(shè)置訪問(wèn)日志文件權(quán)限對(duì)系統(tǒng)配置參數(shù)進(jìn)行調(diào)整，提高數(shù)據(jù)庫(kù)系統(tǒng)安全。技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明數(shù)據(jù)字典保護(hù)啟用數(shù)據(jù)字典保護(hù)限制只有SYSDBA權(quán)限的用戶才能訪問(wèn)數(shù)據(jù)字典監(jiān)聽(tīng)程序加密設(shè)置監(jiān)聽(tīng)器口令設(shè)置監(jiān)聽(tīng)器口令監(jiān)聽(tīng)服務(wù)連接超時(shí)編輯listener.ora文件connect_timeout_listener=10秒設(shè)置監(jiān)聽(tīng)器連接超時(shí)服務(wù)監(jiān)聽(tīng)端口（可選）在不影響應(yīng)用的情況下，更改默認(rèn)端口修改默認(rèn)端口TCP1521中間件Tomcat中間件安全要求應(yīng)用安全加固，提高程序安全。技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明應(yīng)用程序安全關(guān)閉war自動(dòng)部署，防止被植入木馬等惡意程序

unpackWARs="false"autoDeploy="false"用戶帳號(hào)與口令安全配置用戶帳號(hào)與口令安全策略，提高系統(tǒng)帳戶與口令安全。技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明安全策略屏蔽用戶權(quán)限用戶安全設(shè)置注釋或刪除tomcat_users.xml所有用戶權(quán)限<?xmlversion='1.0'encoding='utf-8'?><tomcat-users></tomcat-users>注釋或刪除所有用戶權(quán)限隱藏tomcat版本信息enableLookup=”false”隱藏tomcat版本信息，編輯server.xml安全配置<init-param><param-name>listings</param-name><param-value>false</param-value></init-param>禁止列目錄，編輯web.xml對(duì)系統(tǒng)的配置進(jìn)行優(yōu)化，保護(hù)程序的安全與有效性。技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明優(yōu)化server.xml用普通用戶啟動(dòng)Tomcat為了進(jìn)一步安全，我們不建議使用root來(lái)啟動(dòng)Tomcat。這邊建議使用專用用戶tomcat或者nobody用戶來(lái)啟動(dòng)Tomcat。在啟動(dòng)之前，需要對(duì)我們的tomcat安裝目錄下所有文件的屬主和屬組都設(shè)置為指定用戶。安全防護(hù)通過(guò)對(duì)tomcat系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全穩(wěn)定。技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明安裝優(yōu)化(可選)設(shè)置session過(guò)期時(shí)間，tomcat默認(rèn)是30分鐘防止已知攻擊

maxThreads連接數(shù)限制maxThreads是Tomcat所能接受最大連接數(shù)。一般設(shè)置不要超過(guò)8000以上，如果你的網(wǎng)站訪問(wèn)量非常大可能使用運(yùn)行多個(gè)Tomcat實(shí)例的方法，

即，在一個(gè)服務(wù)器上啟動(dòng)多個(gè)tomcat然后做負(fù)載均衡處理壓縮傳輸tomcat作為一個(gè)應(yīng)用服務(wù)器，也是支持

gzip壓縮功能的。我們可以在server.xml配置文件中的Connector節(jié)點(diǎn)中配置如下參數(shù)，來(lái)實(shí)現(xiàn)對(duì)指定資源類型進(jìn)行壓縮。禁用Tomcat管理頁(yè)面線上是不使用Tomcat默認(rèn)提供的管理頁(yè)面的，因此都會(huì)在初始化的時(shí)候就把這些頁(yè)面刪掉。這些頁(yè)面是存放在Tomcat安裝目錄下的webapps目錄下的。我們只需要?jiǎng)h除該目錄下的所有文件即可。應(yīng)用安全設(shè)計(jì)身份鑒別防護(hù)設(shè)計(jì)口令創(chuàng)建口令創(chuàng)建時(shí)必須具有相應(yīng)規(guī)則，如要求，口令不能使用連續(xù)數(shù)字、必須由大小寫字母數(shù)字和特殊字符混合組成等?？诹顐鬏斂诹铗?yàn)證、修改等操作發(fā)生時(shí)，傳輸?shù)椒?wù)器端的口令，在傳輸通道上應(yīng)采用加密或SSL方式傳輸。降低口令在網(wǎng)絡(luò)傳輸被截取所帶來(lái)的風(fēng)險(xiǎn)?？诹畲鎯?chǔ)口令在存儲(chǔ)時(shí)，應(yīng)采MD5加密后存儲(chǔ)。嚴(yán)禁明文存儲(chǔ)，避免口令存儲(chǔ)文件暴露時(shí)用戶口令泄密。口令輸入網(wǎng)絡(luò)認(rèn)證登錄時(shí)，口令輸入控件避免使用游覽器自帶的口令輸入框和鍵盤直接輸入。通過(guò)提供口令輸入插件、軟件盤等方式提高口令輸入安全性?？诹畈聹y(cè)限制口令長(zhǎng)度不低于8位，降低被猜測(cè)的風(fēng)險(xiǎn)，提高口令破解難度。口令維護(hù)對(duì)需要重新設(shè)置口令的，管理員重置為初始口令。用戶首次使用該口令時(shí)，強(qiáng)制要求修改初始口令。增加口令有效期限制，同一口令超出有效期后用戶必須更改新口令。訪問(wèn)控制防護(hù)設(shè)計(jì)自主性訪問(wèn)控制是在確認(rèn)主體身份及其所屬的組的基礎(chǔ)上對(duì)訪問(wèn)進(jìn)行控制的一種控制策略。它的基本思想是：允許某個(gè)主體顯示的指定其他主體對(duì)該主體所擁有的信息資源是否可以訪問(wèn)以及執(zhí)行。自主訪問(wèn)控制有兩種實(shí)現(xiàn)機(jī)制：一是基于主體DAC實(shí)現(xiàn)，它通過(guò)權(quán)限表表明主體對(duì)所有客體的權(quán)限，當(dāng)刪除一個(gè)客體時(shí)，需遍歷主體所有的權(quán)限表；另一種是基于客體的DAC實(shí)現(xiàn)，它通過(guò)訪問(wèn)控制鏈表ACL(AccessControlList)來(lái)表明客體對(duì)所有主體的權(quán)限，當(dāng)刪除一個(gè)主體時(shí)，要檢查所有客體的ACL。為了提高效率，系統(tǒng)一般不保存整個(gè)訪問(wèn)控制矩陣，是通過(guò)基于矩陣的行或列來(lái)實(shí)現(xiàn)訪問(wèn)控制策略。自身安全防護(hù)設(shè)計(jì)注入攻擊防護(hù)設(shè)計(jì)對(duì)數(shù)據(jù)進(jìn)行正確地轉(zhuǎn)義處理：以保證它們不會(huì)被解釋為HTML代碼（對(duì)瀏覽器而言）或者XML代碼（對(duì)Flash而言）。過(guò)濾參數(shù)中符合<html></html>標(biāo)簽和<script></script>的特殊字符，對(duì)“<”替換為“<”，“>”替換為“>”，“(”替換為“(”，“)”替換為“(”，“'”替換為“'”，“””替換“"”。2）刪除會(huì)被惡意使用的字符串或者字符：一般情況下，刪除一些字符會(huì)對(duì)用戶體驗(yàn)造成影響，舉例來(lái)說(shuō)，如果開(kāi)發(fā)人員刪除了上撇號(hào)(’)，那么對(duì)某些人來(lái)說(shuō)就會(huì)帶來(lái)不便，如姓氏中帶有撇號(hào)的人，他們的姓氏就無(wú)法正常顯示。對(duì)所有用戶提供的又被發(fā)回給Web瀏覽器的數(shù)據(jù)都進(jìn)行轉(zhuǎn)義處理，包括AJAX調(diào)用、移動(dòng)式應(yīng)用、Web頁(yè)面、重定向等內(nèi)的數(shù)據(jù)。過(guò)濾用戶輸入要保護(hù)應(yīng)用程序免遭跨站點(diǎn)腳本編制的攻擊，請(qǐng)通過(guò)將敏感字符轉(zhuǎn)換為其對(duì)應(yīng)的字符實(shí)體來(lái)清理HTML。這些是HTML敏感字符：<>"'%;)(&+。漏洞利用防護(hù)設(shè)計(jì)使用安裝在目標(biāo)計(jì)算系統(tǒng)上的安全組件在傳輸層（例如傳輸通信協(xié)議（ＴＣＰ）套接層）監(jiān)控網(wǎng)絡(luò)流量。當(dāng)接收到以所述計(jì)算系統(tǒng)為目的的消息時(shí)，將被包括在所述消息中的數(shù)據(jù)與用于識(shí)別惡意代碼的利用證據(jù)進(jìn)行比較。所述利用證據(jù)通過(guò)收集關(guān)于所述惡意代碼的信息的安全服務(wù)提供給所述安全組件?；谒鱿⒅械臄?shù)據(jù)與所述利用證據(jù)的所述比較，識(shí)別規(guī)則，所述規(guī)則指示所述安全組件對(duì)所接收的消息采取適當(dāng)?shù)男袆?dòng)。防篡改設(shè)計(jì)當(dāng)判斷出現(xiàn)篡改后，系統(tǒng)進(jìn)入緊急處理程序。緊急程序首先做的是恢復(fù)被篡改文件。將“樣本”文件覆蓋到WebService的指定目錄中去，使WEB服務(wù)正常；然后發(fā)送報(bào)警信息，同時(shí)，縮短輪詢時(shí)間為每50毫秒一次。當(dāng)繼續(xù)檢測(cè)到異常時(shí)，首先停止WEB服務(wù)，然后發(fā)送報(bào)警信息。應(yīng)用審計(jì)設(shè)計(jì)系統(tǒng)提供日志功能，將用戶登錄、退出系統(tǒng)，以及重要的模塊所有的操作都記錄在日志中，并且重要的數(shù)據(jù)系統(tǒng)采用回收站的方式保留，系統(tǒng)管理員能夠恢復(fù)被刪除的數(shù)據(jù)，有效追蹤非法入侵和維護(hù)系統(tǒng)數(shù)據(jù)安全。操作系統(tǒng)日志是操作系統(tǒng)為系統(tǒng)應(yīng)用提供的一項(xiàng)審計(jì)服務(wù)，這項(xiàng)服務(wù)在系統(tǒng)應(yīng)用提供的文本串形式的信息前面添加應(yīng)用運(yùn)行的系統(tǒng)名、時(shí)戳、事件ID及用戶等信息，然后進(jìn)行本地或遠(yuǎn)程歸檔處理。操作系統(tǒng)日志很容易使用，許多安全類工具都使用它作為自己的日志數(shù)據(jù)。如，Window操作系統(tǒng)日志記錄系統(tǒng)運(yùn)行的狀態(tài)，通過(guò)分析操作系統(tǒng)日志，可以實(shí)現(xiàn)對(duì)操作系統(tǒng)的實(shí)時(shí)監(jiān)拄，達(dá)到入侵防范的目的。操作系統(tǒng)日志分析需要將大量的系統(tǒng)日志信息經(jīng)過(guò)提取并處理得到能夠讓管理員識(shí)別的可疑行為記錄，然后分析日志可以對(duì)操作系統(tǒng)內(nèi)的可疑行為做出判斷和響應(yīng)。為了保證日志分析的正常判斷，系統(tǒng)日志的安全就變得異常重要，這就需要從各方面去保證日志的安全性，系統(tǒng)日志安全通常與三個(gè)方面相關(guān)，簡(jiǎn)稱為“CIA”：1．保密性(Confidentiality)：使信息不泄露給非授權(quán)的個(gè)人、實(shí)體或進(jìn)程，不為其所用。2．完整性(Integrity)：數(shù)據(jù)沒(méi)有遭受以非授權(quán)方式所作的篡改或破壞。3．確認(rèn)性(Accountability)：確保一個(gè)實(shí)體的作用可以被獨(dú)一無(wú)二地跟蹤到該實(shí)體。通信完整性防護(hù)設(shè)計(jì)數(shù)據(jù)完整性要求防止非授權(quán)實(shí)體對(duì)數(shù)據(jù)進(jìn)行非法修改。用戶在跟應(yīng)用系統(tǒng)進(jìn)行交互時(shí)，其輸入設(shè)備如鍵盤、鼠標(biāo)等有可能被木馬程序偵聽(tīng)，輸入的數(shù)據(jù)遭到截取修改后被提交到應(yīng)用系統(tǒng)中。另外存儲(chǔ)在應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)中的數(shù)據(jù)也有可能遭到非法修改。通過(guò)摘要算法，獲得數(shù)據(jù)的摘要。接收方在收到數(shù)據(jù)時(shí)，使用相同的算法獲取該數(shù)據(jù)摘要，與發(fā)送的發(fā)送的原數(shù)據(jù)摘要比對(duì)。相同，則證明數(shù)據(jù)完整未經(jīng)過(guò)修改。不同時(shí)，則證明該數(shù)據(jù)不是原始數(shù)據(jù)。通信保密性防護(hù)設(shè)計(jì)除HTTPS通信外，將數(shù)據(jù)在輸出之前進(jìn)行加密。加密完成后，可以將密文通過(guò)不安全渠道送給數(shù)據(jù)接收人，只有擁有解密密鑰的數(shù)據(jù)接收人才可以對(duì)密文進(jìn)行解密，即反變換得到明文。密鑰的傳遞必須通過(guò)安全渠道。目前通用的加密算法主要分為對(duì)稱和非對(duì)稱算法。對(duì)稱算法采用相同的密鑰進(jìn)行加密和解密。常用的對(duì)稱加密算法有AES、IDEA、RC2／RC4、DES等，其最大的困難是密鑰分發(fā)問(wèn)題，必須通過(guò)當(dāng)面或在公共傳送系統(tǒng)中使用安全的方法交換密鑰。對(duì)稱加密由于加密速度快、硬件容易實(shí)現(xiàn)、安全強(qiáng)度高，因此仍被廣泛用來(lái)加密各種信息。但對(duì)稱加密也存在著固有的缺點(diǎn)：密鑰更換困難，經(jīng)常使用同一密鑰進(jìn)行數(shù)據(jù)加密，給攻擊者提供了攻擊密鑰的信息和時(shí)間。非對(duì)稱算法，采用公鑰進(jìn)行加密而利用私鑰進(jìn)行解密。公鑰是可以公開(kāi)的，任何人都可以獲得，數(shù)據(jù)發(fā)送人用公鑰將數(shù)據(jù)加密后再傳給數(shù)據(jù)接收人，接收人用自己的私鑰解密。非對(duì)稱加密的安全性主要依賴難解的數(shù)學(xué)問(wèn)題，密鑰的長(zhǎng)度比對(duì)稱加密大得多，因此加密效率較低，主要使用在身份認(rèn)證、數(shù)字簽名等領(lǐng)域。非對(duì)稱加密的加密速度慢，對(duì)于大量數(shù)據(jù)的加密傳輸是不適合的。非對(duì)稱加密算法包括RSA、DH、EC、DSS等。系統(tǒng)交互安全設(shè)計(jì)系統(tǒng)交互安全性設(shè)計(jì)系統(tǒng)間的交互采用接口方式，基本的安全要求有身份認(rèn)證、數(shù)據(jù)的機(jī)密性與完整性、信息的不可抵賴性。主要通過(guò)以下途徑來(lái)保證安全基本的身份驗(yàn)證。每次業(yè)務(wù)請(qǐng)求服務(wù)時(shí)要提交用戶名及口令（雙方約定的用戶名及口令）。業(yè)務(wù)受理方每次接受請(qǐng)求時(shí)先驗(yàn)證這對(duì)用戶名及口令，再對(duì)請(qǐng)求進(jìn)行響應(yīng)。系統(tǒng)安全監(jiān)控和檢測(cè)設(shè)計(jì)基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品（NIDS）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測(cè)產(chǎn)品是基于網(wǎng)絡(luò)的。數(shù)據(jù)及備份安全設(shè)計(jì)數(shù)據(jù)的保密性設(shè)計(jì)存儲(chǔ)系統(tǒng)作為數(shù)據(jù)的保存空間，是數(shù)據(jù)保護(hù)的最后一道防線；隨著存儲(chǔ)系統(tǒng)由本地直連向著網(wǎng)絡(luò)化和分布式的方向發(fā)展，并被網(wǎng)絡(luò)上的眾多計(jì)算機(jī)共享，使存儲(chǔ)系統(tǒng)變得更易受到攻擊，相對(duì)靜態(tài)的存儲(chǔ)系統(tǒng)往往成為攻擊者的首選目標(biāo)，達(dá)到竊取、篡改或破壞數(shù)據(jù)的目的。對(duì)稱加密的加密密鑰和解密密鑰相同，而非對(duì)稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開(kāi)而解密密鑰需要保密。由于對(duì)稱加密算法和非對(duì)稱加密算法各有優(yōu)缺點(diǎn)，即非對(duì)稱加密算法要比對(duì)稱加密算法處理速度慢，但密鑰管理簡(jiǎn)單，因而在當(dāng)前新推出的許多新的安全協(xié)議中，都同時(shí)應(yīng)用了這兩種加密技術(shù)。一種常用的方法是利用非對(duì)稱加密的公開(kāi)密鑰技術(shù)傳遞對(duì)稱密碼，而用對(duì)稱密鑰技術(shù)來(lái)對(duì)實(shí)際傳輸?shù)臄?shù)據(jù)進(jìn)行加密和解密，例如，由發(fā)送者先產(chǎn)生一個(gè)隨機(jī)數(shù)，此即對(duì)稱密鑰，用它來(lái)對(duì)欲傳送的數(shù)據(jù)進(jìn)行加密；然后再由接收者的公開(kāi)密鑰對(duì)對(duì)稱密鑰進(jìn)行加密。接收者收到數(shù)據(jù)后，先用私用密鑰對(duì)對(duì)稱密鑰進(jìn)行解密，然后再用對(duì)稱密鑰對(duì)所收到的數(shù)據(jù)進(jìn)行解密。數(shù)據(jù)的完整性設(shè)計(jì)數(shù)據(jù)完整性要求防止非授權(quán)實(shí)體對(duì)數(shù)據(jù)進(jìn)行非法修改。用戶在跟應(yīng)用系統(tǒng)進(jìn)行交互時(shí)，其輸入設(shè)備如鍵盤、鼠標(biāo)等有可能被木馬程序偵聽(tīng)，輸入的數(shù)據(jù)遭到截取修改后被提交到應(yīng)用系統(tǒng)中。另外存儲(chǔ)在應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)中的數(shù)據(jù)也有可能遭到非法修改。可以同過(guò)摘要算法，獲得數(shù)據(jù)的摘要。接收方在收到數(shù)據(jù)時(shí)，使用相同的算法獲取該數(shù)據(jù)摘要，與發(fā)送的發(fā)送的原數(shù)據(jù)摘要比對(duì)。相同，則證明數(shù)據(jù)完整未經(jīng)過(guò)修改。不同時(shí)，則證明該數(shù)據(jù)不是原始數(shù)據(jù)。數(shù)據(jù)的可用性設(shè)計(jì)此處描述數(shù)據(jù)的可用性設(shè)計(jì)，包括：數(shù)據(jù)采集的可用性、數(shù)據(jù)傳輸?shù)目捎眯?、?shù)據(jù)處理的可用性、數(shù)據(jù)使用的可用性、數(shù)據(jù)導(dǎo)出的可用性。商密增強(qiáng)要求（補(bǔ)充）此處描述系統(tǒng)除了以上設(shè)計(jì)外，需要符合的商密增強(qiáng)要求的設(shè)計(jì)，包括數(shù)據(jù)傳輸黑白名單的設(shè)計(jì)，數(shù)據(jù)使用用戶與使用權(quán)限的關(guān)聯(lián)設(shè)計(jì)。數(shù)據(jù)的不可否認(rèn)性設(shè)計(jì)在系統(tǒng)間消息通訊中，特別是對(duì)那些跨越企業(yè)或不同行政單位的消息，需要保證消息的完整性、防篡改，還要保證該消息確定來(lái)自于所期望的源。這一切都可以通過(guò)數(shù)字簽名來(lái)實(shí)現(xiàn)。數(shù)字簽名，就是只有信息的發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的一段數(shù)字串，這段數(shù)字串同時(shí)也是對(duì)信息的發(fā)送者發(fā)送信息真實(shí)性的一個(gè)有效證明。數(shù)字簽名使用強(qiáng)大的加密技術(shù)和公鑰基礎(chǔ)結(jié)構(gòu)，提供端到端的消息完整性保證，實(shí)現(xiàn)對(duì)原始報(bào)文的鑒別和不可抵賴性，以更好地保證文檔的真實(shí)性、完整性和受認(rèn)可性。備份和恢復(fù)設(shè)計(jì)系統(tǒng)存儲(chǔ)設(shè)計(jì)系統(tǒng)日常備份采用磁盤備份。系統(tǒng)備份和恢復(fù)設(shè)計(jì)備份數(shù)據(jù)類型系統(tǒng)備份的數(shù)據(jù)類型有業(yè)務(wù)數(shù)據(jù)備份、附件數(shù)據(jù)備份、日志備份、應(yīng)用發(fā)布包備份及歷史數(shù)據(jù)備份。備份方式使用磁盤作為數(shù)據(jù)備份介質(zhì)。備份策略要在本項(xiàng)目建立一個(gè)好的備份系統(tǒng)，除了需要配備有好的軟硬件產(chǎn)品之外，更需要有良好的備份策略和管理規(guī)劃來(lái)進(jìn)行保證。備份策略的選擇，要統(tǒng)籌考慮需備份的總數(shù)據(jù)量，線路帶寬、數(shù)據(jù)吞吐量、時(shí)間窗口以及對(duì)恢復(fù)時(shí)間的要求等因素。目前的備份策略主要有全量備份、增量備份和差分備份。全量備份所需時(shí)間最長(zhǎng)，但恢復(fù)時(shí)間最短，操作最方便，當(dāng)系統(tǒng)中數(shù)據(jù)量不大時(shí)，采用全量備份最可靠。增量備份和差分備份所需的備份介質(zhì)和備份時(shí)間都較全量備份少，但是數(shù)據(jù)恢復(fù)麻煩。根據(jù)不同業(yè)務(wù)對(duì)數(shù)據(jù)備份的時(shí)間窗口和災(zāi)難恢復(fù)的要求，可以選擇不同的備份方式，亦可以將這幾種備份方式進(jìn)行組合應(yīng)用，以得到更好的備份效果。所謂全量備份，就是對(duì)整個(gè)系統(tǒng)包括系統(tǒng)文件和應(yīng)用數(shù)據(jù)進(jìn)行的完全備份。這種備份方式的優(yōu)點(diǎn)是數(shù)據(jù)恢復(fù)所需時(shí)間短。缺點(diǎn)是備份數(shù)據(jù)中有大量?jī)?nèi)容是重復(fù)的，這些重復(fù)的數(shù)據(jù)浪費(fèi)了大量的磁盤空間，無(wú)形中增加了數(shù)據(jù)備份的成本；再者，由于需要備份的數(shù)據(jù)量相當(dāng)大，因此備份所需時(shí)間相對(duì)較長(zhǎng)。系統(tǒng)對(duì)接設(shè)計(jì)3.7.3對(duì)接方式系統(tǒng)與外部系統(tǒng)的對(duì)接方式以webservice方式進(jìn)行。系統(tǒng)接口標(biāo)準(zhǔn)：本系統(tǒng)采用SOA體系架構(gòu)，通過(guò)服務(wù)總線技術(shù)實(shí)現(xiàn)數(shù)據(jù)交換以及實(shí)現(xiàn)各業(yè)務(wù)子系統(tǒng)間、外部業(yè)務(wù)系統(tǒng)之間的信息共享和集成，因此SOA體系標(biāo)準(zhǔn)就是我們采用的接口核心標(biāo)準(zhǔn)。主要包括：服務(wù)目錄標(biāo)準(zhǔn)：服務(wù)目錄API接口格式參考國(guó)家以及關(guān)于服務(wù)目錄的元數(shù)據(jù)指導(dǎo)規(guī)范，對(duì)于W3CUDDIv2API結(jié)構(gòu)規(guī)范，采取UDDIv2的API的模型，定義UDDI的查詢和發(fā)布服務(wù)接口，定制基于Java和SOAP的訪問(wèn)接口。除了基于SOAP1.2的WebService接口方式，對(duì)于基于消息的接口采用JMS或者M(jìn)Q的方式。交換標(biāo)準(zhǔn)：基于服務(wù)的交換，采用HTTP/HTTPS作為傳輸協(xié)議，而其消息體存放基于SOAP1.2協(xié)議的SOAP消息格式。SOAP的消息體包括服務(wù)數(shù)據(jù)以及服務(wù)操作，服務(wù)數(shù)據(jù)和服務(wù)操作采用WSDL進(jìn)行描述。Web服務(wù)標(biāo)準(zhǔn)：用WSDL描述業(yè)務(wù)服務(wù)，將WSDL發(fā)布到UDDI用以設(shè)計(jì)/創(chuàng)建服務(wù)，SOAP/HTTP服務(wù)遵循WS-IBasicProfile1.0，利用J2EESessionEJBs實(shí)現(xiàn)新的業(yè)務(wù)服務(wù)，根據(jù)需求提供SOAP/HTTPorJMSandRMI/IIOP接口。業(yè)務(wù)流程標(biāo)準(zhǔn)：使用沒(méi)有擴(kuò)展的標(biāo)準(zhǔn)的BPEL4WS，對(duì)于業(yè)務(wù)流程以SOAP服務(wù)形式進(jìn)行訪問(wèn)，業(yè)務(wù)流程之間的調(diào)用通過(guò)SOAP。數(shù)據(jù)交換安全：與外部系統(tǒng)對(duì)接需考慮外部訪問(wèn)的安全性，通過(guò)IP白名單、SSL認(rèn)證等方式保證集成互訪的合法性與安全性。數(shù)據(jù)交換標(biāo)準(zhǔn)：制定適合雙方系統(tǒng)統(tǒng)一的數(shù)據(jù)交換數(shù)據(jù)標(biāo)準(zhǔn)，支持對(duì)增量的數(shù)據(jù)自動(dòng)進(jìn)行數(shù)據(jù)同步，避免人工重復(fù)錄入的工作。3.3.8接口規(guī)范性設(shè)計(jì)系統(tǒng)平臺(tái)中的接口眾多，依賴關(guān)系復(fù)雜，通過(guò)接口交換的數(shù)據(jù)與接口調(diào)用必須遵循統(tǒng)一的接口模型進(jìn)行設(shè)計(jì)。接口模型除了遵循工程統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)和接口規(guī)范標(biāo)準(zhǔn)，實(shí)現(xiàn)接口規(guī)范定義的功能外，需要從數(shù)據(jù)管理、完整性管理、接口安全、接口的訪問(wèn)效率、性能以及可擴(kuò)展性多個(gè)方面設(shè)計(jì)接口規(guī)格。接口定義約定客戶端與系統(tǒng)平臺(tái)以及系統(tǒng)平臺(tái)間的接口消息協(xié)議采用基于HTTP協(xié)議的REST風(fēng)格接口實(shí)現(xiàn)，協(xié)議棧如圖4-2所示。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s12接口消息協(xié)議棧示意圖系統(tǒng)在http協(xié)議中傳輸?shù)膽?yīng)用數(shù)據(jù)采用具有自解釋、自包含特征的JSON數(shù)據(jù)格式，通過(guò)配置數(shù)據(jù)對(duì)象的序列化和反序列化的實(shí)現(xiàn)組件來(lái)實(shí)現(xiàn)通信數(shù)據(jù)包的編碼和解碼。在接口協(xié)議中，包含接口的版本信息，通過(guò)協(xié)議版本約束服務(wù)功能規(guī)范，支持服務(wù)平臺(tái)間接口協(xié)作的升級(jí)和擴(kuò)展。一個(gè)服務(wù)提供者可通過(guò)版本區(qū)別同時(shí)支持多個(gè)版本的客戶端，從而使得組件服務(wù)的提供者和使用者根據(jù)實(shí)際的需要，獨(dú)立演進(jìn)，降低系統(tǒng)升級(jí)的復(fù)雜度，保證系統(tǒng)具備靈活的擴(kuò)展和持續(xù)演進(jìn)的能力。業(yè)務(wù)消息約定請(qǐng)求消息URI中的參數(shù)采用UTF-8編碼并經(jīng)過(guò)URLEncode編碼。請(qǐng)求接口URL格式：{http|https}://{host}:{port}/{appname}/{businesscomponentname}/{action}；其中：協(xié)議：HTTPREST形式接口host：應(yīng)用支撐平臺(tái)交互通信服務(wù)的IP地址或域名port：應(yīng)用支撐平臺(tái)交互通信服務(wù)的端口appname：應(yīng)用支撐平臺(tái)交互通信服務(wù)部署的應(yīng)用名稱businesscomponentname：業(yè)務(wù)組件名稱action：業(yè)務(wù)操作請(qǐng)求的接口名稱，接口名字可配置應(yīng)答的消息體采用JSON數(shù)據(jù)格式編碼，字符編碼采用UTF-8。應(yīng)答消息根節(jié)點(diǎn)為“response”，每個(gè)響應(yīng)包含固定的兩個(gè)屬性節(jié)點(diǎn)：“status”和“message”。它們分別表示操作的返回值和返回消息描述，其他的同級(jí)子節(jié)點(diǎn)為業(yè)務(wù)返回對(duì)象屬性，根據(jù)業(yè)務(wù)類型的不同，有不同的屬性名稱。當(dāng)客戶端支持?jǐn)?shù)據(jù)壓縮傳輸時(shí)，需要在請(qǐng)求的消息頭的“Accept-Encoding”字段中指定壓縮方式(gzip)，如消息可以被壓縮傳輸則平臺(tái)將應(yīng)答的數(shù)據(jù)報(bào)文進(jìn)行壓縮作為應(yīng)答數(shù)據(jù)返回，Content-Length為壓縮后的數(shù)據(jù)長(zhǎng)度。詳細(xì)參見(jiàn)HTTP/1.1RFC2616。響應(yīng)碼規(guī)則約定響應(yīng)結(jié)果碼在響應(yīng)消息的“status”屬性中，相應(yīng)的解釋信息在響應(yīng)消息的“message”屬性中。解釋消息為終端用戶可讀的消息，終端應(yīng)用不需要解析可直接呈現(xiàn)給最終用戶。響應(yīng)結(jié)果碼為6位數(shù)字串。根據(jù)響應(yīng)類型，包括以下幾類響應(yīng)碼。如表4-1中的定義。表4-1響應(yīng)碼對(duì)應(yīng)表響應(yīng)碼描述0成功1XXXXX系統(tǒng)錯(cuò)誤2XXXXX輸入?yún)?shù)不合法錯(cuò)誤3XXXXX應(yīng)用級(jí)返回碼，定義應(yīng)用級(jí)的異常返回。4XXXXX正常的應(yīng)用級(jí)返回碼，定義特定場(chǎng)景的應(yīng)用級(jí)返回說(shuō)明。數(shù)據(jù)管理業(yè)務(wù)數(shù)據(jù)檢查接口應(yīng)提供業(yè)務(wù)數(shù)據(jù)檢查功能，即對(duì)接收的數(shù)據(jù)進(jìn)行合法性檢查，對(duì)非法數(shù)據(jù)和錯(cuò)誤數(shù)據(jù)則拒絕接收，以防止外來(lái)數(shù)據(jù)非法入侵，減輕應(yīng)用支撐平臺(tái)系統(tǒng)主機(jī)處理負(fù)荷。對(duì)于接口，其業(yè)務(wù)數(shù)據(jù)檢查的主要內(nèi)容有以下幾個(gè)方面：? 數(shù)據(jù)格式的合法性：如接收到非預(yù)期格式的數(shù)據(jù)。包括接收的數(shù)據(jù)長(zhǎng)度，類型，開(kāi)始結(jié)束標(biāo)志等。? 數(shù)據(jù)來(lái)源的合法性：如接收到非授權(quán)接口的數(shù)據(jù)。? 業(yè)務(wù)類型的合法性：如接收到接口指定業(yè)務(wù)類型外的接入請(qǐng)求。對(duì)于業(yè)務(wù)數(shù)據(jù)檢查中解析出非法數(shù)據(jù)應(yīng)提供以下幾種處理方式：? 事件報(bào)警：在出現(xiàn)異常情況時(shí)自動(dòng)報(bào)警，以便系統(tǒng)管理員及時(shí)進(jìn)行處理。? 分析原因：在出現(xiàn)異常情況時(shí)，可自動(dòng)分析其出錯(cuò)原因。如是數(shù)據(jù)來(lái)源非法和業(yè)務(wù)類型非法，本地記錄并做后續(xù)管理，如是數(shù)據(jù)格式非法，分析網(wǎng)絡(luò)傳輸原因或?qū)Χ藬?shù)據(jù)處理原因，并做相應(yīng)處理。? 統(tǒng)計(jì)分析：定期對(duì)所有的非法記錄做統(tǒng)計(jì)分析，分析非法數(shù)據(jù)的各種來(lái)源是否具有惡意，并做相應(yīng)處理。數(shù)據(jù)壓縮/解壓接口根據(jù)具體的需求應(yīng)提供數(shù)據(jù)壓縮/解壓功能，以減輕網(wǎng)絡(luò)傳輸壓力，提高傳輸效率，從而使整個(gè)系統(tǒng)能夠快速響應(yīng)并發(fā)請(qǐng)求，高效率運(yùn)行。在使用數(shù)據(jù)壓縮/解壓功能時(shí)，應(yīng)具體分析每一類業(yè)務(wù)的傳輸過(guò)程、處理過(guò)程、傳輸?shù)木W(wǎng)絡(luò)介質(zhì)、處理的主機(jī)系統(tǒng)和該類業(yè)務(wù)的并發(fā)量、峰值及對(duì)于所有業(yè)務(wù)的比例關(guān)系等，從而確定該類業(yè)務(wù)是否需要壓縮/解壓處理。對(duì)于傳輸文件的業(yè)務(wù)，必須壓縮后傳輸，以減輕網(wǎng)絡(luò)壓力，提高傳輸速度。在接口中所使用的壓縮工具必須基于通用無(wú)損壓縮技術(shù)，壓縮算法的模型和編碼必須符合標(biāo)準(zhǔn)且高效，壓縮算法的工具函數(shù)必須是面向流的函數(shù)，并且提供校驗(yàn)檢查功能。完整性管理根據(jù)業(yè)務(wù)處理和接口服務(wù)的特點(diǎn)，應(yīng)用系統(tǒng)的業(yè)務(wù)主要為實(shí)時(shí)請(qǐng)求業(yè)務(wù)和批量傳輸業(yè)務(wù)。兩類業(yè)務(wù)的特點(diǎn)分別如下：1.實(shí)時(shí)請(qǐng)求業(yè)務(wù)：(1) 采用基于事務(wù)處理機(jī)制實(shí)現(xiàn)(2) 業(yè)務(wù)傳輸以數(shù)據(jù)包的方式進(jìn)行(3) 對(duì)傳輸和處理的實(shí)時(shí)性要求很高(4) 對(duì)數(shù)據(jù)的一致性和完整性有很高的要求(5) 應(yīng)保證高效地處理大量并發(fā)的請(qǐng)求2.批量傳輸業(yè)務(wù)：(1) 業(yè)務(wù)傳輸主要是數(shù)據(jù)文件的形式(2) 業(yè)務(wù)接收點(diǎn)可并發(fā)處理大量傳輸，可適應(yīng)高峰期的傳輸和處理(3) 要求傳輸?shù)目煽啃愿吒鶕?jù)上述特點(diǎn)，完整性管理對(duì)于實(shí)時(shí)交易業(yè)務(wù)，要保證交易的完整性；對(duì)于批量傳輸業(yè)務(wù)，要保證數(shù)據(jù)傳輸?shù)耐暾浴＝涌陔p方責(zé)任消息發(fā)送方遵循本接口規(guī)范中規(guī)定的驗(yàn)證規(guī)則，對(duì)接口數(shù)據(jù)提供相關(guān)的驗(yàn)證功能，保證數(shù)據(jù)的完整性、準(zhǔn)確性；消息發(fā)起的平臺(tái)支持超時(shí)重發(fā)機(jī)制，重發(fā)次數(shù)和重發(fā)間隔可配置。提供接口元數(shù)據(jù)信息，包括接口數(shù)據(jù)結(jié)構(gòu)、實(shí)體間依賴關(guān)系、計(jì)算關(guān)系、關(guān)聯(lián)關(guān)系及接口數(shù)據(jù)傳輸過(guò)程中的各類管理規(guī)則等信息；提供對(duì)敏感數(shù)據(jù)的加密功能；及時(shí)解決接口數(shù)據(jù)提供過(guò)程中數(shù)據(jù)提供方一側(cè)出現(xiàn)的問(wèn)題；消息響應(yīng)方遵循本接口規(guī)范中規(guī)定的驗(yàn)證規(guī)則，對(duì)接收的數(shù)據(jù)進(jìn)行驗(yàn)證，保證數(shù)據(jù)的完整性、準(zhǔn)確性。及時(shí)按照消息發(fā)送方提供的變更說(shuō)明進(jìn)行本系統(tǒng)的相關(guān)改造。及時(shí)響應(yīng)并解決接口數(shù)據(jù)接收過(guò)程中出現(xiàn)的問(wèn)題。異常處理對(duì)接口流程調(diào)用過(guò)程中發(fā)生的異常情況，如流程異常、數(shù)據(jù)異常、會(huì)話傳輸異常、重發(fā)異常等，進(jìn)行相應(yīng)的異常處理，包括：對(duì)產(chǎn)生異常的記錄生成異常記錄文件。針對(duì)可以回收處理的異常記錄，進(jìn)行自動(dòng)或者人工的回收處理。記錄有關(guān)異常事件的日志，包含異常類別、發(fā)生時(shí)間、異常描述等信息。當(dāng)接口調(diào)用異常時(shí)，根據(jù)預(yù)先配置的規(guī)則進(jìn)行相關(guān)異常處理，并進(jìn)行自動(dòng)告警。接口的可擴(kuò)展性規(guī)劃與設(shè)計(jì)各個(gè)系統(tǒng)間的通信接口版本信息限定了各個(gè)系統(tǒng)平臺(tái)間交互的數(shù)據(jù)協(xié)議類型、特定版本發(fā)布的系統(tǒng)接口功能特征、特定功能的訪問(wèn)參數(shù)等接口規(guī)格。通過(guò)接口協(xié)議的版本劃分，為客戶端升級(jí)、其他被集成系統(tǒng)的升級(jí)、以及系統(tǒng)的部署提供了較高的自由度和靈活性。系統(tǒng)可根據(jù)接口請(qǐng)求中包含的接口協(xié)議版本實(shí)現(xiàn)對(duì)接口的向下兼容。系統(tǒng)平臺(tái)可根據(jù)系統(tǒng)的集群策略，按協(xié)議版本分別部署，也可多版本并存部署。由于系統(tǒng)平臺(tái)可同時(shí)支持多版本的外部系統(tǒng)及客戶端應(yīng)用訪問(wèn)系統(tǒng)，特別是新版本客戶端發(fā)布時(shí)，不要求用戶強(qiáng)制升級(jí)，也可降低強(qiáng)制升級(jí)安裝包發(fā)布的幾率。從而支持系統(tǒng)的客戶端與系統(tǒng)平臺(tái)分離的持續(xù)演進(jìn)。接口安全性設(shè)計(jì)為了保證系統(tǒng)平臺(tái)的安全運(yùn)行，各種集成的外部系統(tǒng)都應(yīng)該保證其接入的安全性。接口的安全是平臺(tái)系統(tǒng)安全的一個(gè)重要組成部分。保證接口的自身安全，通過(guò)接口實(shí)現(xiàn)技術(shù)上的安全控制，做到對(duì)安全事件的“可知、可控、可預(yù)測(cè)”，是實(shí)現(xiàn)系統(tǒng)安全的一個(gè)重要基礎(chǔ)。根據(jù)接口連接特點(diǎn)與業(yè)務(wù)特色，制定專門的安全技術(shù)實(shí)施策略，保證接口的數(shù)據(jù)傳輸和數(shù)據(jù)