一、简介

对于薪福通产品而言，在极大的方便了企业的内部数字化管理的同时，也带来了更多敏感信息泄露的风险，系 统的安全至关重要，我们建立我们的安全文化，在安全文化的导向下，建立产品、开发、运营的安全意识，并形成全链路的安全防范，为企业用户提供高效、安全的服务。本篇主要从安全文化、全链路安全防护、产品安全特点、合规审计等方面，全面阐述了薪福通安全技术工作思路和实践方法。

二、安全文化

      1.安全组织

薪福通产品是基于招商银行安全管理制度下开发的产品。在全行级，有专门的安全管理部门：安全内控团队、数据中心安全管理团队和架构管理团队，协调组织级的跨部门安全工作，检查各项安全制度，并设置专职的安全岗位、安全角色，明确岗位职责、权利和义务；在产品级，薪福通团队有自己的安全管控小组，衔接全行级安全管控的实际落实及制定产品特性的安全管控手段，从产品、开发、运营等领域建立安全规划，监控安全风险，以确保给提供安全的服务。

      2.安全开发生命周期

薪福通产品严格遵循招商银行内部的安全开发生命周期（SDL）管理，主要安全过程管理如下：

      1)安全需求

在项目立项时，明确安全门限要求，作为后续研发运营实践中安全检查的关键节点，主要考虑业务场景、产品类型、系统整体架构、语言类型等；根据合规要求、用户隐私要求、功能要求结合最佳实践等进行安全需求分析，作为测试用例编写的前期工作，安全需求分析纳入专题特性模板；对系统可能面临的威胁、存在的弱点、造成的影响，以及三者综合所带来的风险的可能性的评估，量化系统遭受攻击带来的影响或者损失的可能程度；针对安全需求建立统一的知识库，形成知识复用。

       2)安全设计

安全设计的原则是针对服务、系统进行整体的安全设计，确保整体的设计安全，以下为安全设计标准的一部分：

攻击面最小化（ Attack Surface Reduction ）：攻击面最小化即是指尽量减少暴露恶意用户可能发现并试图利用的攻击面数量。软件产品的受攻击面是一个混合体，不仅包括代码、接口、服务，也包括对所有用户提供服务的协议。

基本隐私（ Basic Privacy ）：用户使用软件时避免个人信息被收集、使用甚至分发，企业则有责任和义务建立保护个人信息的保护措施，抵御敌对攻击行为，确保用户基本隐私的安全性。隐私安全是建立可信任应用程序的关键因素，只收集程序必须用到的隐私数据并进行加密，明确告知用户并征得用户同意。

权限最小化（ Least Privilege ）：如果一个应用程序或网站被攻击、破坏，权限最小化机制能够有效的将潜在损害最小化。在进行软件设计时，安全设计人员可以评估应用程序的行为及功能所需的最低限度权限及访问级别，从而合理分配相应的权限。

默认安全（ Secure Defaults）：默认安全配置在客户熟悉安全配置选项之前不仅有利于更好的帮助客户掌握安全配置经验，同时也可以确保应用程序初始状态下处于较安全状态。

纵深防御（ Defense in Depth ）：与默认安全一样，纵深防御也是设计安全方案时的重要指导思想。纵深防御包含两层含义：首先，要在各个不同层面、不同方面实施安全方案，避免出现疏漏，不同安全方案之间需要相互配合，构成一个整体；其次，要在正确的地方做正确的事情，即：在解决根本问题的地方实施针对性的安全方案。纵深防御并不是同一个安全方案要做两遍或多遍，而是要从不同的层面、不同的角度对系统做出整体的解决方案。

威胁建模（ Threat Modeling ）：威胁建模是一种分析应用程序威胁的过程和方法。这里的威胁是指恶意用户可能会试图利用以破坏系统，和我们常说的漏洞并不相同。漏洞是一个特定的可以被利用的威胁，如缓冲区溢出、sql注入等。业界常用威胁建模方法包括：STRIDE（6个安全维度，攻击树（攻击者角度），TVRA（通过资产被攻击的可能性）。

      3)安全研发

使用经过安全团队认可的开发工具，确保开发工具没有法律风险、漏洞风险等情形；在安全扫描方面，研发过程中，使用静态代码分析工具（SAST）及时发现开发过程中安全风险。行内提供了一系列的代码分析扫描工具，并与流水线集成，配套质量门安全策略，提升我行的安全编码能力；在研发过程中，对于开源及依赖组件的安全风险进行统一管理，针对开源及依赖组件有明确的引入机制，针对开源及依赖组件的风险漏洞有明确的拦截机制。开源及依赖组件的风险包括但不限于许可证风险、安全漏洞风险（我们的做法：源管理办法、黑名单、白名单、hub中高风险阻断）。

      4)安全验证

针对系统和功能模块进行安全相关测试，包括针对安全需求的测试、动态应用安全测试（DAST） 、交互式应用程序安全测试（IAST）。我行主要使用awvs工具在向互联网暴露的应用上线前进行安全测试并要求研发必须修复被扫出的漏洞：

在开源及依赖组件安全风险验证方便，通过工具扫描并设置拦截策略的方式，在上线前进行最终确认，确保开源及依赖组件的使用没有安全漏洞以及法律风险。我行主要使用twistlock工具对容器进行开源及依赖组件的风险扫描，并针对存在中高安全风险漏洞和命中黑名单的情况进行阻断。

      5)安全发布

行内要求，系统发布之前需要将测试发现的安全漏洞全部修复，并且升级所有版本过低包含安全漏洞的组件。在产品发布前，安全管理室在复测之前测试中发现的所有安全漏洞并确认其已修复后，会通知网络室管理员让其对产品发布放行。

      6)安全运营

安全监控与防护：针对上线的应用进行安全监控与防护并可视化展示，常见的安全监控内容包括但不限于DDoS攻击、暴力破解、病毒攻击、注入攻击、网页篡改，可视化展示的内容包括但不限于安全事件数、攻击类型、攻击来源、严重程度分级及影响范围。我行通过在网络入口等关键节点部署防火墙，入侵检测系统等监控恶意流量，并且在所有服务器上部署安全监控系统监控所有恶意行为及软件，并安排值班人员7乘24小时值班，在半小时内响应处理攻击成功事件。

安全运营：制定安全事件响应和处理流程，确保信息安全事件被及时发现和处置，并通过对事件的定期总结回顾进一步优化信息安全管理体系，降低信息安全风险。

运行环境巡检：针对线上应用，定期进行安全风险评估，确保服务的安全性。从系统架构、应用程序、网络漏洞等方面进行安全巡检。我行每周会对全行互联网资产进行安全巡检扫描系统，应用程序和高危端口等漏洞并督导修复。

安全培训： 每年会组织全行安全培训， 向对此有兴趣的研发科普主流安全漏洞原理以及防范方法。 每月会统计产生安全漏洞最多的分行和室组， 下发安全培训资料给相关研发进行学习。

      3.可信任原则

我们的愿景是做企业数字化一站式统一SaaS服务平台，以维护客户数据的机密性、完整性及可用性为价值基础。为了达到这一愿景，我们的方法是通过全链路安全防护，来保证和促进服务的安全性。主要通过深入防御、深入研究、开放透明等方面持续努力，以保障对客户而言这是可信任的平台。

      三、全链路安全防护

薪福通产品以招商银行安全设计为指导原则，根据SaaS服务产品特性，在技术方面对产品从客户端、传输、服务端、数据、运营等全链路进行安全防控，建立了完整的事前动态管控、事中实时防御、事后快速响应的纵深防御体系，确保薪福通用户使用安全。

      1.基础设施安全

在物理环境管理方面，温度、湿度、电力、消防等物理环境安全是数据中心安全可靠运行的必要前提。招商银行机房是最高级的国标T4级（白金级认证）数据中心，对应数据中心的可用性99.995% ，年平均故障时间0.4小时。大规模集群部署实现灵活的水平扩展。招商银行制定了非常严格的运行管理制度，运维人员具有非常丰富的管理经验，可以确保系统7x24安全稳定运行。所有基础设施组件间都有冗余和容错，包含网络应用服务器和数据库服务器。

在网络安全保护方面，我行通过对网络系统进行分区域划分和防护，构建起有效的纵深防护体系，确保上层主机系统和应用系统的安全和稳定。在安全域划分方面，我行结合业务与安全需求，划分出单独的网络区域用于对外提供互联网服务，利用防火墙实现不同网络区域之间的隔离。在入侵检测与防御方面，我行在关键网络安全区域均部署了流量探针，并配套多种类型的全包流量检测设备，实现全流量的安全检测；对互联网应用进行重点安全防护，部署了Web应用防火墙、入侵防御系统等各类安全防护措施。在漏洞扫描和渗透方面，我行构建了自己的漏洞扫描系统，定期对互联网站点的安全状态进行检测和评估；聘请多家外部机构对我行互联网应用实施不间断的渗透工作。在拒绝服务攻击防护方面，我行在外部购买运营商的攻击防护服务实现流量清洗；在内部通过多线路架构分散风险。在安全情报方面，我行购买了多家外部公司的安全情报服务，通过最新安全情报的获取，不断优化完善我行现有的安全管控措施。

在主机安全保护方面，我行通过对主机节点的全面防护和网络安全防护相配合，形成有层次的立体防御体系。我行建立了服务器的基线合规标准，通过自动化的检查工具和跟踪流程，持续对服务器不合规项进行整改；全面部署主机层面的入侵检测产品，系统层面的异常行为进行检测，并对系统行为日志进行采集；在服务器上部署恶意程序防护系统，及时发现和清除系统中的恶意程序。

薪福通产品是部署在招商银行ACS容器云平台上，在容器平台安全防护方面，基于业界容器安全方案，结合招行实际情况，打造全面的安全能力，主要包含以下方面：

镜像安全：定制化10大类29个安全基础镜像，涵盖招行各业务系统技术栈；提供容器镜像扫描，阻断问题镜像入库。

网络安全：提供Namespace级的容器网络隔离控制，提供基于eBPF的宿主机网络异常监测和告警。

运行时安全：容器完全禁止root用户，对应用的文件系统访问、系统调用进行异常行为监测和阻断。

安全审计：对平台所有调用实行严格权限控制与访问安全审计。

在容器应用的高可用方面，薪福通应用部署在容器集群的DMZ和BIZ区，其中DMZ集群深圳、上海各2AZ部署，前端流量分发采用负载均衡方案；BIZ集群深圳3AZ、上海2AZ部署，前端流量分发采用DNS方案。

      2.客户端安全

薪福通产品通过CMF框架安全加固、多因素安全校验及防前端攻击等方面进行安全设计。

1）CMF框架是招商银行提供的客户端安全框架，采取了多方面的安全加固措施：

防静态破解：通过控制流混淆、符号混淆、字符串加密，混淆多样化技术，使源代码逆向变得困难，增加代码阅读难度。

代码完整性保护：代码完整性保护防止代码逻辑被篡改，保护源代码抵御主流调试器，避免动态分析执行中的代码；当代码完整性遭到破坏时，会引发程序闪退，动态保护程序安全。

防动态注入：防 Hook 技术保护代码不被注入攻击，抵御恶意侵入，当发现程序被 Hook 时，会引发程序闪退，动态保护程序安全。

代码运行安全：应用在打开和运行时，会检查运行环境的安全性（如root，越狱，模拟器），若存在风险会向后端风控系统反馈，在检测到模拟器或者越狱环境下均无法正常使用与客户身份信息关联的操作；

安全输入：敏感数据输入采用安全键盘，并提示用户截屏监测；

存储安全：敏感数据会通过加密后存储在安全区，只存储必须数据 ，并且一些场景会读取后 删除文件。

2）多因素安全校验包含密码安全、验证码、数字证书、数字签名、人脸识别等，不同安全要求的功能采用不同的组合校验。

密码安全：前端使用行内封装的安全密码控件，并采用了改进的Lamport哈希一次一密机制来保存和传输密码，整个链路全密文传输，而且传送的值每次登录都会改变。该机制可以有效防止网络侦听认证协议或伪冒骗取密码，也可以防止管理员盗取用户密码。

验证码：通过短信验证码、图形数字验证码、图形滑动验证码等多种方式，可以有效阻止DDOS攻击、密码碰撞、手机号碰撞等。

数字证书：采用2048比特的RSA密钥数字证书体系对数据进行数字签名，必须有数字证书卡才可以进行资金交易操作。

数字签名：数字签名可以用来防止电子信息被修改、冒用他人名义发送信息、发出后又加以否认等情况的发生。薪福通系统对一些比较重要的交易请求使用数字签名，可以彻底杜绝非法交易，并可以确保交易的不可抵赖性。

人脸识别：采用人脸识别和密码校验双重识别，使得用户注册、代发支付等高风险交易得到安全保证。

3）通过成熟前端框架的使用和开发规范有效的防止了跨站脚本攻击（XSS）、跨站点请求伪造（CSRF）、点击劫持等。

     3.传输安全

在客户端和服务器之间传输的所有数据都经过了两层加密：采用标准SSL协议，密钥长度为2048位，该协议能够有效地防破译、防篡改、防重发；采用私有的加密协议，密钥长度为2048位，该协议不采用公开算法并且有非常高的加密强度。通过私有通信安全协议，实现端到端的通信链路加密、签名，防止窃听、篡改，以确保数据信息的传输安全。

      4.服务端安全

租户隔离：作为一个SaaS产品，薪福通的应用和数据库都是被多租户共享的集群，需要让租户保证只能看到他们自己的内容，主要有以下措施：

防止注入攻击：通过ORM框架使用预编译语句及SQL规范，防止SQL注入风险，并对SQL进行拦截和审计；

文件上传下载漏洞：文件存储统一使用行内ECS对象存储，定时对文件进行安全扫描，防止非法文件及文件对服务器的攻击；

认证与会话管理：薪福通产品通过多因素认证校验严格把控身份安全，并通过网关层统一管理会话，主要有以下措施：

             1）支持SSO单点统一登录，除了让用户使用更加方便，还能集中处理安全风险；

             2）通过多因素组合的身份校验，不同安全级别采用不同的组合校验方式，包含密码验证、验证码、数字证书、数字签名、人脸识别等（参见上一章节）；

             3）所有对外的API通过严格的签名认证（应用签名+企业签名），使用SHA256和国密两种方式；

             4）网关层统一管理用户会话，通过失效机制（半小时）降低风险；

从产品功能方面，对登录也做了较多的安全限制：

访问权限控制：在保证租户间访问权限与数据隔离的基础下，同时给租户内提供了一套完善的权限管理体系，涵盖垂直权限管理（功能权限）和水平权限管理（数据权限），同时通过Auth2.0权限控制支持外部系统的接入。

 应用层拒绝服务攻击：DDOS又称为分布式拒绝服务，是利用合理的请求造成资源过载，薪福通产品通过限制请求次数、验证码（图形滑动）等多种方式相结合，有效的防止DDOS攻击。

     5.数据安全

在数据库架构、租户隔离机制以及数据生命周期各阶段如数据采集、数据使用、数据存储、数据共享、数据备份和销毁等，我们采取进行安全控制措施，确保用户数据的机密性、完整性、可靠性。

数据库架构：当前薪福通产品使用MySQL主流架构MySQL MGR架构。

1）MGR架构高可用设计：MGR架构是MySQL官方当前主推也是后续重点发力的一种高可用实现方案。MGR的诞生是为了应对事务一致性要求很高的系统对高可用数据库系统的要求，并且增强高可用集群的自管理能力，避免节点故障后的failover需要人工干预或其它辅助工具干预。基于Group Replication搭建的系统，不仅可以自动进行failover，而且同时保证系统中多个节点之间的事务一致性，避免因节点故障或网络问题而导致的节点间事务不一致。此外还提供了节点管理的能力，真正将整个集群做为一个整体对外提供服务。

除去MGR产品本身提供的高可用保障外，我们在容器化部署及管理带来先进性的基础之上，进一步做了高可用增强。利用容器化节点反亲和等技术，我们将MGR三节点分别部署在不同的物理节点上（同城跨3AZ），规避某台物理服务器故障带来的可用性风险。

下图为MySQL8.0版本基于MySQL Router以及域名访问的MGR架构图。MGR 3节点可实现同城跨AZ部署，利用MySQL Router实现读写分离以及读请求的负载均衡。借助与MySQL MGR产品本身的能力，我们可实现多副本数据存储、高效主备数据同步、对业务透明的故障自动切换、RPO=0以及RTO