1、綜述
安全是一個系統的靈魂,沒有安全的保障一切都將是浮云。奧林科技大掌柜產品安全保障體系是一套致力于保護客戶數據安全,保障系統高可用為宗旨的理論和實踐體系,下文將從機房環境安全、硬件安全、管理安全、技術安全和運行平臺安全等5個方面詳細闡述奧林的這個安全保障體系。
2、機房環境安全保障
奧林大掌柜產品數據中心所在的機房總面積3000多平米,遵照 TIER 4標準設計,大樓為全框架結構,按抗震8度設計。
機房采用冷凍水空調系統,主要利用水的蒸發帶走機房熱量,整個空調系統的能效比比常用的風冷式精密空調機高10%以上,可顯著降低空調系統的電力消耗;采用雙路供電,市電中斷時發電機組自動啟動,電力保障99.99%,網絡保障99.9%;采用集中監控系統對數據中心內的溫度、濕度、電壓、電流、頻率、功率因數、漏水、水壓、液位,以及UPS、精密空調、冷水機組、發電機組等進行全面監測。采用門禁系統,對數據中心的重要出入口進行授權控制,實行7×24出入檢查登記,7×24專業保安巡檢;同時還設有BMS系、CCTV監控系統,嵌入式系統、錄像保存一個月,還根據客戶需求可定制其他安全防范系統。
3、硬件和軟件安全保障
大掌柜數據中心在設計建設時就把安全保障擺在第一重要的位置上,所以在關鍵的硬件和軟件上,舍得巨資投入采用了業界頂尖的品牌以保證關鍵業務的穩定和高效運作。
3.1采用世界頂級的數據存儲設備
大掌柜系統所有數據都存儲于專業世界頂級存儲設備,跟金融系統的存儲一個等級的存儲設備。該存儲系統可通過FCP/iSCSI協議和NFS/CIFS協議提供Windows,Unix和Linux服務器的高可用存儲系統。配以豐富功能的Snap套件,滿足數據保護的要求。存儲系統更可實現無數據遷移的平滑系統升級,保護投資;該存儲支持毫秒級的快照,即使數據庫出現問題時候該存儲可以動態的恢復。
3.2 交換機采用高端的千兆網絡交換機
數據中心的交換機全部高端的企業級千兆交換機,保證數據中心內部高速局域網的穩定和高可用,網線均采用超無類和6類線。
3.3 負載均衡采用世界頂級負載均衡設備
數據中心采用世界頂級負載均衡設備,其安全的應用接入、靈活規則配置、高效的應用負載均衡、高可用等優點最大限度上滿足用戶的需求,保障應用數據安全。
3.4 防火墻和防攻擊設備均采用世界級的穩定、高效、安全的設備
防火墻采用專用的高性能平臺提供廣域網連接和安全性,能保護高速局域網免遭網絡和應用攻擊,能夠有效終止基于內容的攻擊。擁有全面的統一威脅管理(UTM)安全特征集,包括狀態防火墻、IPSecVPN、IPS、防病毒(間諜軟件、釣魚軟件、廣告軟件)、防垃圾郵件和Web過濾,有效保證數據中心網絡和數據安全。
3.5 數據庫服務設備采用穩定運行的大品牌小型機作為基礎設備
數據中心采用穩定運行的大品牌的小型機作為數據庫服務器主機,采用集群方式保障數據服務的可靠性和可用性,最大限度保證數據庫主機的穩定運行。
3.6 應用服務器系統-均采用世界公認的安全性較高的Linux作為操作系統
服務器系統采用穩定的Linux系統,運行系統是經過內核重新編譯的,保證系統安全穩定和資源的有效利用。
3.7 數據庫服務軟件的安全可靠性
采用普及使用且公認穩定的數據庫服務軟件普及使用且公認穩定數據庫軟件提供高質量、安全、高可用的數據服務,采用多機熱備,保證系統冗余、容錯。
4、管理安全保障
4.1運維人員管理
奧林網絡科技SAAS平臺的運維工作由運營部專職負責。奧林運營部成員擁有多年的SAAS平臺運營管理經驗,具備豐富的系統管理、網絡維護、數據庫管理、信息安全等行業經驗,并且在奧林有三年以上的工齡,在品德為人方面都是經得起考驗的員工,并且這些員工和公司都簽訂了最高級別的安全保密協議,對客戶數據的保護負有重大直接職責。
4.2操作控制管理
為了保證平臺安全,技術部在平臺管理控制上作了非常嚴格的規定:
(1)規范的人員管理,設備的管理人員掌握相應的設備密碼,但是還是不能直接操作設備,需要運營主管的分配的動態令牌的動態密碼+管理人員掌握的設備密碼方可訪問設備,例如存儲設備的密碼SA掌握,數據庫的密碼由DBA掌握,但是他們必須在獲得運營主管的動態密碼后才能掌握,平時設備的密碼運營主管也不能知道。
(2)規范的密碼管理,設備的密碼是經過精心復雜設計的,并且會定期更改。一般情況下設備的密碼都是非常復雜的非常用密碼,由設備管理員掌握。
(3)規范的操作管理,設備的登錄、操作有非常嚴格的紀律,只有通過向運維主管在線申請,留有歷史記錄后,通過了操作審批才能夠獲得動態令牌的動態密碼,操作完畢之后動態令牌的動態密碼失效就不能登錄了。并且登錄狀況、設備的狀態和修改情況都是有記錄的,通過一個運維安全管理軟件進行規范,對平臺的任何修改都有記錄,另外配置狀態和修改總結都生成配置管理文檔。
(4)網絡安全的訪問控制,奧林網絡科技大掌柜平臺的設備只有通過VPN驗證才能進行訪問管理。
4.3 操作環境的安全管理
奧林科技在運營人員的管理上采用單獨辦公區域獨立的網絡接口,對辦公操作環境做到凡是不涉及運營的人員都不準進入該辦公區域;辦公區域內動態監控運營環境中的各個細節包括運營環境的溫度、濕度、主機的內存,CPU,網絡設備的流量,存儲設備以及核心交換機的狀態,還有數據庫的全稱實時監控,對非法情況進行短信報警等一系列措施。
4.4 程序發布管理
云計算的軟件對軟件需求的升級是不斷地,同時對平臺的安全性和穩定性都帶來很多的挑戰,于是奧林必須有一個嚴格的升級流程才能保障平臺升級的無縫性,另外保障我們客戶的需求能在最短時間得到滿足,所以奧林制定了如下針對常規的生產環境的發布流程,見下圖發布流程,規范操作,做到安全穩定和效率之間找到平衡點。另外發布的流程中共涉及4個環境的測試,本次開發環境,QA測試環境,Stage準生產環境,Product生產環境。
4.5平臺監控
平臺使用專業的監控軟件監控平臺主機、服務及網絡設備,監控項目包括主機存活、CPU、硬盤、Load、應用服務器、數據庫服務器的服務等。監控項目內的故障最遲能夠在7分鐘內發現,奧林工程師最慢在10分鐘內響應并著手故障處理。平臺使用網絡監控軟件監控平臺網絡使用狀況,并設置警報閥值。平臺使用數據庫廠商提供的專業監控軟件監控數據庫的服務狀態,出現問題能在第一時間報警。
4.6平臺報告機制
每月由運維部對平臺管理、安全、資源狀態、壓力及預測、故障和運維事件等生成一份全面平臺運維報告和數據庫運行報告,在一定范圍內總結分析為平臺決策提供準確有效的依據。
5、容災技術安全保障
5.1災備場景描述
若大掌柜系統數據中心在發生一些不可抗力的事件,例如地震,火災等自然災害時候,平臺的系統服務也能在最短的時間內得以恢復,原因在大掌柜數據中心做了異地容災,目前大掌柜已經建立了北京主數據中心,上海鏡像數據中心,西安數據容災中心。只要涉及的災難不在3個地點同時發生,我們就有可能在預期范圍內恢復數據,恢復大掌柜平臺的運行。
第一種情況:當北京主數據中心發生毀滅性災難的時候,上海的鏡像備份數據中心可以馬上自動接手服務,原因在于大掌柜平臺做了全球負載均衡,也就是說上海的鏡像備份數據中心可以馬上由全球負載均衡從數據鏈路層判斷北京的數據中心服務出現中斷,在幾秒鐘內上海的數據中心得以接手服務。上海的數據中心是鏡像備份的,再加上我們平臺數據存儲服務都采用事務控制,所以不存在數據丟失問題,即使當時操作的瞬間出現平臺故障,我們的事務會回滾,保證業務的正確性,保障數據的完整性和可靠性。上海數據中心的備份是實時的且實時性非常好,原因在于上海和北京之間我們租用了電信運營商的專用光纖通道,是普通的廣域網傳輸速度千倍的數量級,從而能保障數據的實時性要求,北京和西安,上海和西安的數據鏈路也同樣是專用光纖。
第二種情況:當北京的數據中心和上海的數據中心同時出現毀滅性地打擊,我們在西安的數據中心還做了一份實時的數據容災服務,雖然不能如第一種情況那樣能在幾秒種之內馬上恢復系統服務,但是因為我們所有平臺的數據和程序都在西安有容災備份,所以當災難發上后,我們還是可以從西安的數據容災中心得以重建和恢復我們的大掌柜平臺系統的。
6、平臺安全保障
6.1平臺充分考慮的安全性
o 靈活配置的安全機制
o 應用開發時無需考慮安全
o 復雜縱深的安全機制
o 單點登錄
o 動態令牌 / 圖形驗證碼
o 數據字段(全程/頁面)、頁面、按鈕、任務、菜單等的安全控制
o 缺省、基于角色、基于規則的安全機制
o 動態角色定義
o 動態安全授權
o 動態安全控制
6.2奧林科技創新的平臺安全控制模型
權限控制從應用、模塊、任務、頁面、元素到每一個按鈕、菜單、鏈接等都可以進行多層次地定義,多角度控制,而且能自定義權限,導入到會員管理系統后能全面地進行權限自定義和分配。
6.3硬件平臺大規模多路徑部署
硬件網絡采用多路徑部署方式,保障網絡訪問高可用性從而提高了平臺的安全性,能保障服務的7*24小時不間斷。
