校园虚拟卡安全防护体系设计思路
2022-11-09李千目翟永思
文/王 成 李千目 翟永思
如今,以虚拟卡技术为特征的新一代一卡通已经逐渐成熟并大规模投入使用。与传统实体卡不同,虚拟卡的使用伴随着相应的信息安全问题,这也成为新一代一卡通系统的一个重要关注点。
信息保障技术框架模型(Information Assurance Technical Framework,IATF)由美国国家安全局制定并公开发布,是指导美国信息安全相关防护、系统保障的指导性文件。本文通过IATF安全模型指导,围绕关键业务域、纵深防御、安全强健性等概念,对网络、计算环境、业务区域边界等进行总体防护设计,使虚拟卡具备较强的整体防护能力,实现抵御互联网恶意攻击目的。
安全模型内容框架
IATF安全模型论述全面且具体,其部分核心内容如纵深防御(Defense in Depth)、技术框架焦点域、安全强健性等概念对于指导虚拟卡系统安全具有重要意义。IATF模型定义了信息安全的焦点域:区域边界、计算环境、网络基础和支撑基础设施,在每个焦点域都有相关安全需求和具体技术措施[1]。焦点域包含基础的硬件支撑平台,是剖析安全需求、制定安全防护的基础性工作。
纵深防御是IATF的重要内涵之一,认为信息安全无法仅靠几种单一技术或设备来实现,通过合理组织和规划,并通过具有层次性焦点域保护,才有可能最大程度降低风险。
纵深防御即非平面化的、具有纵深性、层次性的安全措施来防护系统安全。其中包括人、操作和技术三个核心因素。IATF模型极为重视“人”的因素,认为其是安全的灵魂,在加强安全技术防范的同时,也须加强人的安全管理。
综上所述,信息安全防护重点从以下几个方面展开:
1.依据“最少暴露”原则,对新一代一卡通业务层进行功能拆分。明确定义必须对互联网开放的业务功能,如虚拟卡充值、消费、缴费等接口。而虚拟卡系统后台、实体卡系统能够分层设计,依然在内网中相对独立运行。实体卡系统和虚拟卡系统保持相对独立,虚拟卡服务端集群采用DMZ方式,相互之间的交互通过数据接口、业务端口模式进行数据交换和业务互动,支持通过第三方系统或者业务通过接口方式进行互动。
2.对区域边界、计算环境、基础设施的保护。信息安全体系中任何一个子项漏洞都有可能导致严重后果,所以仅保护重要部位是不够的。计算环境等是基础的硬件支撑平台,其安全性包括物理安全和信息防护安全。
3.纵深防御。常表现为纵向防御或者横向分层防御,这种分层防御把攻击者和攻击目标进行逻辑隔离,两者之间部署不同策略防护,每层都给潜在攻击者设置了障碍。同时分层防御并不被动,具备一定的反制措施,一般通过保护重点目标、检测入侵、锁定目标反击流程,重点对攻击者定位并反击,使得攻击者付出代价。
4.安全强健性。安全防护本身分有若干等级,安全强健性一方面体现对安全性能的一种评价,另外也包含对不同价值的应用进行分类保护。由于不同系统模块价值不同,相应被破坏、被窃造成的后果也
不同,一般安全组件健壮性越高则付出的成本也越高,需要合理设计安全防护体系,综合考虑成本问题。
依据安全模型的 虚拟卡安全防护设计
围绕安全模型的核心思想,展开虚拟卡信息安全框架设计。由于虚拟卡系统兼有实体卡系统,其应用功能相对庞杂,通常与银行、支付宝、微信等第三方采用不同对接方式。目前采用聚合支付平台对接逐渐增多,需要一定程度上对互联网开放。同时,虚拟卡与数据中心在校园网中进行数据交换,根据虚拟卡业务进行功能分类和系统边界设计。
虚拟卡安全域概念与划分
虚拟卡是在传统实体卡系统基础功能上延伸而来的,一般包含虚拟卡系统、实体卡系统、聚合支付平台、在线支付平台等功能。从信息安全角度考虑,传统的实体卡系统可以在内网运行,安全性相对较高,虚拟卡等移动端功能需要运行在校园网或者运营商无线网络,后台与支付宝、微信等的对接需要运行在互联网。因此,对虚拟卡进行功能域的划分并制定不同的安全策略非常重要。
根据信息安全模型指导,依据功能需求,以及面临的风险等级情况,虚拟卡安全域可分为:虚拟卡域、实体卡域、聚合支付域、虚拟卡前台移动端接口域等。重点在虚拟卡域安全划分,另外每个安全域内部根据功能组情况,继续划分子安全域。合理的安全域划分能有针对性的规划安全策略、配置专用硬件防护设备,实现有防御深度的安全体系,保障在线的各项功能安全运行。
安全域的划分尽可能隐藏内部结构,减少不必要的暴露,降低受攻击风险。实体卡域、虚拟卡基本功能等相关域可以设计成内网运行,保障基础平台系统的安全。在接口域类等进行重点防范,利用域内设置WAF、防火墙、安全日志定期分析预警等功能,保障接口安全。
虚拟卡系统基于校园网、互联网不信任原则设计,分如下两个部分:1.虚拟卡专网边界,包括虚拟卡与校园网的边界、虚拟卡专网与银行专网边界。通过防火墙对虚拟卡专网和校园网进行逻辑隔离,利用网闸进行虚拟卡内部网络和校园网之间的硬件隔离。2.虚拟卡接入层在校园网DMZ区边界,定义虚拟卡专网与校内外边界关系。
通过立体化的数据保护方案,将大大增加攻击者难度,使得攻击者因时间、精力等代价太大而放弃。
技术框架焦点
虚拟卡系统环境较为复杂,涉及焦点域较多,通过梳理需要重点防范的区域和可能的薄弱点,一卡通的技术框架焦点包含计算环境、区域边界、基础设施,具体总结如下:
1.计算环境。包括服务器类、OS类、虚拟卡应用软件、Web服务、目录服务、打印服务、电子业务和数据库访问。
2.区域边界。包括虚拟卡专网边界;实体卡专网边界;专网与校园网的边界;专网与银行、支付宝、微信等互联网间的边界。虚拟卡系统专网内部边界。虚拟卡校园网DMZ区边界:与校内外网络边界。
3.网络基础设施。涉及虚拟卡专网、校园网、实体卡系统专网;银行专线;对于基础设施的管理;数据库、数据中心等。
4.支撑性基础设施。密钥管理基础设施KMI。检测与响应:设备检测与服务监控平台。
纵深防御
纵深防御在信息安全模型中具有重要意义,保护区域边界、计算环境、网络基础设施等多个重要位置。并且按照系统层次性对每层定义防范策略和规范,把分散的局部安全策略进行统筹整体规划,是安全规范的核心组成部分[2]。
1.虚拟卡系统网络基础设施防护
数据主干传输网络校内部分采用新建的数据网络。采取网络分层、业务隔离办法,隔离Client和数据传输网络之间的通讯。铺设食堂、超市、楼宇门禁等虚拟卡应用网络线路。利用原有的一卡通专网的主干网络备用光纤和接入层交换机,铺设与一卡通专网逻辑隔离原有的网络体系。新铺设接入交换机到扫码机之间的网络。
虚拟卡专网物理设备的保护:虚拟卡专网属于三层网络架构,核心和汇聚层交换机都部署在核心交换机房,设有较完备防护保障设备,如设备监控系统、动力监控系统、视频监控系统等;接入层交换机防护。接入虚拟卡专网交换机都有授权保护,防止出现非法设备接入。
数据库防护:数据库采用RAC、MySQL等成熟技术,通过开启审计、访问策略控制等方法进行安全防护,同时配备数据库审计服务器,进一步提升一卡通系统的服务可靠性。整合基于AIX、CentOS平台级别的防护能力,并与Oracle的权限管理体系进行整合,把日志管理、端口管理、表空间管理等统一管理。
存储设备防护:存储系统是数据保护的重要组成部分,是信息防护的核心之一。通过加密和认证技术进行接入管理,包括读写权限认证、数据访问控制,并对敏感数据加密,进行控制器管理和业务通讯管理。由于虚拟卡系统的在线交易特点,存储系统应用层向分布式的方向设计,对指定服务器开放,同时考虑存储安全技术、灾难恢复及数据备份技术等[3],存储控制器制定业务数据访问的通道,合理设置LUN及划分目标磁盘,对源地址/MAC进行控制,以增强存储系统抵御攻击能力。
2.虚拟卡系统计算环境防护
计算环境防护重点围绕下面几项展开说明:
服务器防护。机架式服务器、刀片服务器等启用安全模块,配置合适安全策略,增强服务器硬件抵抗风险攻击能力。
操作系统类防护。AIX、Linux、Windows Server等系列,制定安全策略,开启审计功能防止攻击者对操作系统的攻击,增强风险预判感知能力。
虚拟卡应用软件防护。采用软件授权体系,结合防火墙抵御对虚拟卡系统应用层攻击。
虚拟卡相关Web服务防护。由于Web服务直接对互联网开放,严格实施最小开放原则,配备WAF等设备抵御攻击。
数据交换服务防护。虚拟卡与银行等之间采用专线连接,利用防火墙隔离。与数据中心、微信、支付宝等之间数据交换需开发专用交换接口,同步考虑启用ACL控制列表,确保可信IP接入访问。
3.纵深防御
由于典型的外部攻击行为具有鲜明的层次性,一般由外而内可分为互联网攻击、校园网攻击、虚拟卡专网攻击。
互联网攻击防范:虚拟卡系统只开放特定端口,并在专用设备和专用攻击分析软件基础上,及时感知攻击、定位攻击并反制。
校园网攻击防范:设置防火墙,开放特定的端口服务;启用Web防火墙;配备网闸从逻辑上隔离校园网与虚拟卡专网,使得虚拟卡、实体卡单向通过网闸并传到数据中心。
虚拟卡专网防护:由于虚拟卡专网遍布校园,需要防止恶意物理接入一卡通专网。设计在线交易数据传输网络采用VLAN隔离,师生Client设备直接通过校园网进行,业务请求通过指定服务器入口转发、反馈,以完成交易流程。校园网与数据传输网隔离;聚合支付平台与实体卡和虚拟卡,运行为VLAN2与其他业务流程隔离;聚合支付平台与银行、支付宝、微信等第三方财务对接VLAN3,配套限制IP、端口等安全设置;关于第三方调用一卡通虚拟卡入口安全策略,多媒体机、支付宝、微信、App等。
虚拟卡服务端集群采用DMZ方式;与后勤消费刷码设备等线下设备,组成在线交易数据传输网络;与校园网应用隔离。
VLAN1:虚拟卡服务端集群采用DMZ区与后勤消费刷码设备线下设备,利用“虚拟卡专网主干网备用光纤+专网区的交换机”设置隔离端口,整个通讯链路采用新分配IP地址段。
VLAN2:虚拟卡服务端集群采用DMZ区内部隔离,聚合支付平台和虚拟卡系统之间相互隔离。
VLAN3:财务数据流部分,聚合支付平台与支付宝、微信、银行采用不同对接方式和聚合支付平台对接,校外及校内第三方应用与虚拟卡平台等相互逻辑隔离。
4.虚拟卡系统对外服务接口安全防范
虚拟卡接口防范包括如下三个方面:虚拟卡在线交易安全防范;交易入口应用、服务器相关防范;第三方对接相关安全防范。
对与一卡通业务无关的通路直接关闭。由于虚拟卡、聚合支付平台、图书馆扣费、数据中心等一系列应用逻辑上与一卡通的服务区关联,所以为保护一卡通核心应用的稳定,对接口进行设计。
在线交易接口:第三方应用与虚拟卡平台通过HTTP方式进行通讯,以POST方式发起服务调用,一卡通平台接收到请求后,进行相应的业务逻辑判断,通过HTTPS中的response参数返回。
交易接口加密:考虑采用CA中心签发的证书,增强客户账户安全性,并对不同用户给予不同资源访问权限。数字证书以网络数字加密传输电子凭证的方式有效地对账户使用者进行确认,帮助新一代一卡通确认使用者是否合法。同时,增强账户使用的安全性,实现对网上传输的信息进行有效保护,增强信息传递的安全性。
在密码技术方面,实现支持SSL加密传输技术,对用户的关键信息进行加密,防止木马程序截取键盘记录。
安全强健性
虚拟卡系统直接关系到财务安全,同时又暴露在互联网上。所以极易出现非法攻击行为。攻击者通过尝试篡改交易数据方式实现盗取,导致虚拟卡系统亏损,令师生和商户受到损失。虚拟卡系统含有大量师生财务数据和个人信息,随着新型网络威胁的隐蔽性越来越高,数据泄露的风险也在不断加剧[4]。
对于虚拟卡的安全强健性,IATF提出三个强健度等级(SML),并将信息的价值分为5个等级,把环境按威胁层度分为7个等级。
针对虚拟卡系统的高价值特征,需要加强安全强健性,重点对如下四个层次进行防护:
1.虚拟卡系统难攻破
通过利用防火墙、WAF、操作系统安全配置,结合访问源接入控制,落实尽可能小的开放原则,并对行为进行控制。利用网安设备拦截典型攻击行为,并利用大数据算法进行交易日志、访问日志特征提取,进一步提升虚拟卡系统安全性,实现难以攻破的目的。
2.交易数据难窃取
防止数据被窃,首先要制定数据策略,避免出现常见的技术性和人为性错误行为。
数据库文件的保护。禁止数据文件直接放在Web目录,目前有较多扫描工具能发现数据库文件,从而致其被下载,留下隐患。
防止拖库。由于各种Web应用漏洞,特别是发生高危的零日漏洞时,Web应用很容易遭到拖库的危险。
Web服务器保护。Web安全也取决于Web服务器安全,由Web服务器的操作系统安全设置来实现。当Web服务器爆出漏洞时,Web也不能保障安全,会遭到拖库的危险。
数据库保护。合理设置数据库Schema、表空间管理、读写权限设计等,这些操作对防止数据窃取也非常重要。
3.敏感数据难利用
通过密钥管理体系分发设备密钥,后台选择加密算法对敏感数据加密,使得攻击者即便获取数据也难以利用。需要重点对交易数据传输加密以及数据库敏感字段加密。
4.业务数据难篡改
篡改数据是盗窃及外部攻击最主要的目标之一,一般在获取数据结构后,在对数据结构分析的基础上才能进行篡改。
通过增加数据库审计功能,业务层、数据保护(业务数据保护),设置合理数据库全备期限,以及一卡通专用交易审计软件,来发现篡改行为,保留篡改证据。同时还需要考虑CDP(Continuous Data Protection)来解决非法的删改数据问题。为应对数据篡改难以及时发现的问题,通过自动备份方式每天增量数据备份并历史存档。
通过上述立体化的数据保护方案,将大大增加攻击者难度,使得攻击者因时间、精力等代价太大而放弃。
由于虚拟卡系统相对开放的特征,其存在和面临各种隐患与风险,通过利用IATF安全模型指导,梳理虚拟卡系统需要保护的资源,确定重点防范边界,设计合理的纵深防御方案,及时评估反馈安全强健性,防范数据泄露与篡改行为[5]等,能较好地保障虚拟卡系统的信息安全和虚拟卡系统的稳定运行。