论安全架构设计（层次）

安全架构设计（层次）

摘要

2021年4月，我有幸参与了某保险公司的“优车险”项目的建设开发工作，该系统以车险报价、车险投保和报案理赔为核心功能，同时实现了年检代办、道路救援、一键挪车等增值服务功能。在本项目中，我被安排担任架构师一职，负责系统需求分析和架构设计工作，以及关键业务模块的设计和编码工作。

本文以系统安全架构的应用为论述主题，首先介绍了系统安全架构的分层体系，包括物理安全、网络安全、系统安全、应用安全以及数据安全，并说明了每层安全领域的具体内涵以及可能面临的安全威胁。然后结合笔者的实践，重点围绕着系统安全、应用安全、数据安全三个方面，详细阐述了在该车险项目中采取了哪些安全措施来保证系统安全，以及取得的效果。项目历时6个多月的开发与迭代，成功上线，至今一直平稳运行。

正文

2018年前后新能源汽车市场在国内快速扩张，这一现象导致燃油车的价格大幅度下降，在电车“出新”和燃油车“减价”的双重刺激下，国内汽车销售量出现了大幅度的增长。按照买车必购险的政策，车险的投保量随之快速增长，这为车险行业带来了前所未有的发展机遇。在上述行业背景下，我所在的保险公司为了提升自身车险交易平台的服务质量，于2021年4月，提出了"优车险"的项目计划，该系统主要实现了车险报价、车险购买、报案理赔三个核心功能，本质上是一个车险电商平台。为了给客户带来更好的服务体验进而增加客户粘性，该系统还提供了诸如年检代办、道路救援、一键挪车、电车充电等一系列增值服务功能。我有幸以架构师的身份参与并主导了本系统的开发建设工作，负责系统的需求分析和架构设计，项目初期。我们对系统的应用场景和运行环境做了深入的调研，考虑到该系统承载着大量的业务数据与客户隐私信息，且处于开放的网络环境中，面临着层出不穷的安全挑战，我们决定制定科学有效的安全架构策略，保证系统安全。

为了更好地将安全技术应用到系统建设中，在启动系统设计工作前，我们针对系统安全架构的分层体系开展了充分调研，重点剖析每一层安全领域的具体内涵以及可能面临的安全威胁，并将关键理论要点进行了整理。

1、物理安全。物理安全是信息系统安全的基础，涵盖机房设施、硬件设备等方面。面临的威胁包括自然灾害（如地震、火灾等）可能损坏机房设备，导致系统瘫痪；人为的盗窃、破坏行为可能造成硬件设备丢失或损坏，影响系统正常运行；电力故障若不能及时恢复，也会使系统中断服务。

2、网络安全。网络安全涉及网络边界防护、网络访问控制等。网络攻击是主要威胁，如黑客的恶意扫描、端口探测，试图寻找系统漏洞；DDoS（分布式拒绝服务）攻击通过大量请求耗尽网络带宽和服务器资源，使系统无法正常提供服务；网络嗅探可能窃取网络传输中的敏感信息，如用户登录密码、业务数据等。

3、系统安全。系统安全主要针对操作系统、数据库系统等。操作系统存在漏洞，若未及时更新补丁，容易被攻击者利用，获取系统权限；恶意软件（如病毒、木马）可能感染系统，破坏数据或窃取信息；数据库系统面临SQL注入攻击风险，攻击者通过在输入参数中注入恶意SQL语句，非法获取、篡改或删除数据库数据。

4、应用安全。应用安全聚焦于应用程序自身。常见威胁有身份认证绕过，攻击者可能通过破解密码或利用认证漏洞，非法登录系统；权限管理不当，会导致用户越权访问，获取未授权的数据或执行未授权操作；代码漏洞，如缓冲区溢出、跨站脚本攻击（XSS）等，可能被攻击者利用，破坏应用程序或窃取用户信息。

5、数据安全。数据安全关乎数据的保密性、完整性和可用性。数据泄露是严重威胁，可能因人为失误、内部人员违规操作或外部攻击导致客户个人信息、保单数据等敏感信息泄露；数据篡改可能使业务数据失去真实性，影响业务决策和正常运营；数据丢失则可能因存储设备故障、误删除等原因，造成不可挽回的损失。

上述所整理的关于系统安全架构的分层体系的具体内容，在理论层面上为车险系统的建设提供了有力的参考。而在实际项目开发中，如何将理论应用于实际项目成为关键衔接环节。为此，我们对车险系统的业务功能场景进行了深入分析，发现车险系统作为面向大众车主的车险电商平台，构建完善的安全防护体系势在必行。下文将重点从系统安全、应用安全、数据安全三个方面出发，阐述系统安全架构在该项目中的具体应用过程。

一、系统安全方面

系统安全为上层应用和数据安全奠定基础。为了保障系统安全，我们对操作系统和数据库系统进行全面安全检查与规划。对于操作系统，我们建立了严格的补丁更新机制，每月定期从官方渠道获取最新的安全补丁，并在测试环境验证后，及时部署到生产系统，以此修复系统漏洞，降低系统被攻击的风险。同时，关闭了如 Telnet 等不安全且非业务必需的服务和端口，减少系统暴露面，有效阻断了攻击者利用默认端口和脆弱服务入侵系统的路径。此外，我们还采用行业通用的安全配置模板，对操作系统的用户权限、文件访问控制等进行标准化配置，增强系统操作的安全性。在数据库安全方面，我们十分重视密码保护工作，设置了由大小写字母、数字和特殊字符组成，长度超过 16 位的复杂管理员密码，并每三个月更换一次，有效提升数据库访问安全性。同时，启用数据库审计功能，详细记录数据库的登录、数据查询、修改等操作，实现用户行为追踪、风险监测、合规证据留存等安全防护功能，全方位保障数据安全与合规。通过这些措施，有效防止了因系统漏洞和恶意软件导致的安全事件，保障了数据的安全存储和访问。

二、应用安全方面

应用安全是整个安全体系的核心，对保障业务连续性、用户隐私和系统稳定性起到至关重要的作用。在系统建设过程中，我们主要通过认证和鉴权两种措施来保证应用安全。为了抵御身份冒用和非法访问等安全威胁，我们构建了一套严谨的多层次身份认证体系。该体系融合了用户名 / 密码、短信验证码以及人脸识别等多种方式，并能根据不同业务场景的风险程度进行合理配置。例如，客户申请高额车险理赔时，系统会启动严格的身份确认流程，依次进行用户名密码验证、短信验证码验证以及人脸识别验证，大幅提高了操作的安全性和真实性。同时，我们采用基于角色的访问控制（RBAC）模型将系统用户细分为客户、代理人、核保员、理赔员等不同角色，针对每个角色精准分配相应的操作权限。只有经过授权的用户才能访问特定功能和数据，从根本上杜绝了越权访问的现象。实施该措施后，系统功能和数据被非法访问的情况几乎没有出现，有力地保障了系统访问的安全性，确保了各项业务操作的合规性与真实性。

三、数据安全方面

为保障数据安全，我们制定了全面的数据安全策略，重点围绕数据传输、存储、备份恢复三大核心环节展开防护。在数据传输方面，我们全面采用 SSL/TLS 协议对网络通信进行加密处理，无论是客户与系统之间的交互数据，还是系统内部各模块之间的数据传输，都在加密通道中安全进行，有效防止了数据在传输过程中被窃取、篡改或监听。在数据存储方面，我们针对客户身份证号码、银行卡号、保险合同关键信息等敏感数据，运用对称加密算法进行加密后存储于数据库，只有授权用户凭借特定密钥才能解密查看，保证数据存储的安全性。在数据备份与恢复方面，我们采用“全量 + 增量” 的复合备份模式，在每天进行增量备份的基础上，每15天进行一次全量备份，将系统中的所有数据完整复制到备份存储设备，兼顾备份效率与存储空间。此外，每季度定期开展数据恢复演练，模拟真实故障场景下的数据还原过程，确保备份数据的可用性与完整性。通过这些举措，确保了数据在保密性、完整性和可用性方面的安全，有力保障了业务的连续性。

该系统开发耗时6个月时间，于2021年10月完成首个版本的全面上线，至今已在升级维护中稳定运行3年多的时间。截止目前，系统内在保的车辆涉及营运类、非营运类的客车、货车、私家车总共200多万辆，每年大概创造50多亿的保费总收入，为公司带来了不小的经济收益。

在车险系统开发项目中，通过对信息安全体系架构各个方面的深入分析，针对性地采取了一系列安全措施，有效保障了系统架构的安全。从物理安全到网络安全、系统安全、应用安全和数据安全，形成了一个全方位的安全防护体系。这些措施的实施，不仅提升了系统的安全性和稳定性，也增强了客户对公司的信任，为公司业务的持续发展提供了有力保障。在未来的项目中，将继续关注信息安全技术的发展，不断优化和完善系统安全架构，以应对日益复杂的安全威胁。