《移动下一代CRM核心运维&安全总体设计v091》由会员分享,可在线阅读,更多相关《移动下一代CRM核心运维&安全总体设计v091(49页珍藏版)》请在金锄头文库上搜索。
1、 移动下一代CRM核心运维&安全总体设计Security Level: 秘密XX移动下一代CRM核心运维&安全总体设计版本:1.0.0For中国移动通信集团有限公司Revision record 修订记录Date日期Revision Version修订版本CR ID / Defect IDCR号Section Number修改章节Change Description修改描述Author作者2014.10.290.81、核心运维&安全总体设计评审稿 ZX2014.11.30.91、补充灰度发布需求及专题目标 ZX2014.11.110.911、 补充数据一致性需求2、 补充现网情况说明 ZXDi
2、stribution LIST 分发记录Copy No.Holders Name & Role 持有者和角色Issue Date 分发日期1234 移动下一代CRM架构设计说明书 DFX安全部分Security Level: 秘密Catalog 目 录移动下一代CRM核心运维&安全总体设计1REVISION RECORD 修订记录2概述41总体描述51.1项目范围51.2关键场景分析51.2.1安全威胁分析51.2.2部署、发布71.2.3监控管理81.2.4故障处理91.2.5数据一致性检查101.2.6灰度发布112下一代CRM核心运维建设思路132.1总体架构132.2设计目标142.2
3、.1运维设计目标142.2.2灰度发布设计目标172.2.3安全设计目标182.2.4业务功能安全设计目标203专项流程及方案说明313.1安全性方案说明313.1.1安全总体架构313.1.2个人数据模糊化场景及设计说明323.1.3安全管理中心场景及设计说明363.1.4权限管理方案说明393.1.5与4A系统对接方案说明403.1.6程序帐号口令管理方案说明413.2运维流程及方案说明423.2.1部署、发布流程及方案说明423.2.2监控管理方案方案说明423.2.3考核保障方案说明433.2.4故障处理流程及方案说明453.3灰度发布流程及方案说明473.3.1总体设计原则473.3
4、.2灰度发布方案483.3.3灰度发布总体流程49概述移动下一代CRM项目主要基于现有 ZXCRM系统进行架构优化,整体项目按“小步快跑,平滑演进”的原则,新版本支持按渠道、按业务快速上线进行验证,新老版本支持并行运行;按照整体背景,下一代CRM系统需要在继承现有能力的前提下,进行架构能力的优化。本分册主要就安全性、监控、运维、应急容灾等方案进行介绍。1 总体描述1.1 项目范围本分册中主要描述的设计及要求主要覆盖本项目中的范围,即上图中的新交易中心、新产品中心、新资源中心、新客户中心、以及统一接入中心;同时,由于部分要求与之前系统能力发生变化,会引起该部分部件与周边组件配合方式发生变化,该部
5、分内容在具体的方案设计中描述。1.2 关键场景分析1.2.1 安全威胁分析应用安全威胁u 输入验证:缓冲区溢出,跨站点脚本编写,SQL 注入。u 身份验证:网络窃听,暴力破解,词典攻击,重放 cookie,盗窃凭据。u 授权:提高特权,泄漏机密数据,篡改数据,引诱攻击。u 配置管理:未经授权访问管理接口,未经授权访问配置存储器,检索明文配置数据,缺乏个人可记帐性,越权进程和服务帐户。u 敏感数据:访问存储器中的敏感数据;窃听网络;篡改数据。u 会话管理:会话劫持;会话重放;中间人。u 加密技术:密钥生成或密钥管理差;脆弱的或者自定义的加密术。u 参数操作:查询字符串操作;窗体字段操作;cook
6、ie 操作;HTTP 标头操作。u 异常处理:信息泄漏;拒绝服务。u 安全审计:用户拒绝执行某项操作;攻击者利用没有跟踪记录的应用程序;攻击者掩饰他或者她的跟踪记录。系统安全威胁u 病毒、特洛伊木马和蠕虫:病毒就是一种设计的程序,它进行恶意的行为,并破坏操作系统或者应用程序。除了将恶意的代码包含在表面上是无害的数据文件或者可执行程序中外,特洛伊木马很像一种病毒。除了可以从一个服务器自我复制到另一个服务器,蠕虫类似于特洛伊木马。蠕虫很难检测到,因为它们不是定期创建可以看见的文件。通常只有当它们开始消耗系统资源时,才能注意到它们,因为这时系统运行缓慢或者其他执行的程序停止运行。u 足迹:足迹的示例
7、有端口扫描、ping 扫描以及 NetBIOS 枚举,它可以被攻击者用来收集系统级的有价值信息,有助于准备更严重的攻击。足迹揭示的潜在信息类型包括帐户详细信息、操作系统和其他软件的版本、服务器的名称和数据库架构的详细信息。u 破解口令:如果攻击者不能够与服务器建立匿名连接,他或者她将尝试建立验证连接。为此,攻击者必须知道一个有效的用户名和口令组合。如果您使用默认的帐户名称,您就给攻击者提供了一个顺利的开端。然后,攻击者只需要破解帐户的口令即可。使用空白或者脆弱的口令可以使攻击者的工作更为轻松。u 拒绝服务:可以通过多种方法实现拒绝服务,针对的是基础结构中的几个目标。在主机上,攻击者可以通过强力
8、攻击应用程序而破坏服务,或者攻击者可以知道应用程序在其上寄宿的服务中或者运行服务器的操作系统中存在的缺陷。u 任意执行代码:如果攻击者可以在您的服务器上执行恶意的代码,攻击者要么就会损害服务器资源,要么就会更进一步攻击下游系统。如果攻击者的代码所运行的服务器进程被越权执行,任意执行代码所造成的危险将会增加。常见的缺陷:允许遍历路径和缓冲区溢出攻击的未打补丁的服务器,这种情况可能导致任意执行代码。u 未授权访问:不足的访问控制可能允许未授权的用户访问受限制信息或者执行受限制操作。网络安全威胁u 信息收集:可以用与其他类型系统相同的方法发现网络设备并对其进行剖析。通常,攻击者最初是扫描端口。识别出
9、开放端口后,他们利用标题抓取与枚举的方法检测设备类型,并确定操作系统和应用程序的版本。具有这些信息后,攻击者可以攻击已知的缺陷,这些缺陷可能没有更新安全补丁。u 嗅探:嗅探查或者窃听 就是监视网络上数据(例如明文密码或者配置信息)传输信息的行为。利用简单的数据包探测器,攻击者可以很轻松地读取所有的明文传输信息。同时,攻击者可以破解用轻量级散列算法加密的数据包,并解密您认为是安全的有用负荷。探查数据包需要在服务器/客户端通信的通道中安装数据包探测器。u 欺骗:欺骗就是一种隐藏某人在网上真实身份的方式。为创建一个欺骗身份,攻击者要使用一个伪造的源地址,该地址不代表数据包的真实地址。可以使用欺骗来隐
10、藏最初的攻击源,或者绕开存在的网络访问控制列表(ACL,它根据源地址规则限制主机访问)。u 会话劫持:也称为中间人攻击,会话劫持欺骗服务器或者客户端接受:上游主机就是真正的合法主机。相反,上游主机是攻击者的主机,它操纵网络,这样攻击者的主机看上去就是期望的目的地。u 拒绝服务(DoS/DDoS):拒绝服务就是拒绝合法用户访问服务器或者服务。管理安全威胁u 缺乏安全管理规章制度,或者没有严格执行安全管理规章制度。u 人员安全意识不足。u 没有及时进行系统及应用安全补丁的安装,导致系统存在安全漏洞。u 多人共用帐号,责任无法追溯。u 安全资料不全,无法有效指导安全生产。违背标准法规u 违背安全相关
11、的法律、法规(如:SOX、DPA等)。u 违背安全相关的标准(如:ISO27001、PCI等)1.2.2 部署、发布场景使用者:现场维护工程师部署、发布流程:步骤1:获取版本;步骤2(可选):定制脚本调用逻辑;在现网CRM系统发布时,主要依赖于现网的统一发布平台,定制统一发布平台对各个子系统的部署脚本调用逻辑;步骤3:部署前资源准备;在不使用虚拟化时,由现场人员准备物理机并安装好操作系统;在使用虚拟化时,由现场基于CloundView创建一个符合要求的虚拟机并准确获知该虚拟机的IP地址;步骤4:部署任务执行;现场人员指定要部署的目标机器,使用发布发布平台完成应用的部署。应用系统技术点:统一部署
12、平台。1.2.3 监控管理场景使用者:现场维护工程师、一级BOSS监控管理处理过程:步骤1、现场维护工程师登陆到BOMC;步骤2、在BOMC中查看应用系统的运行情况;监控范围:物理主机、数据库、虚拟机、网络设备、CRM、磁阵监控内容:1、 异常时的告警信息;2、 关键性能指标;3、 集团需要获取的CAPES信息,CPES信息监控呈现:维护工程师通过BOMC查看设备层、应用层的告警及监控指标。应用系统技术点:统一监控管理平台;采集指标内容的完备性。1.2.4 故障处理场景使用者现场维护工程师操作步骤:步骤1、操作员、投诉、告警监控发现问题;步骤2、维护工程师确认故障,并根据错误提示信息自修复;如
13、不能修复,收集到对应的故障信息,提交开发、维护联合定位;步骤3、开发、维护联合定位;步骤4、配置类问题直接在一线完成问题解决或方案实施,版本类问题提交研发;步骤5、新版本发布、部署应用系统技术点故障信息准确收集;问题原因快速定位。1.2.5 数据一致性检查场景使用者数据一致性比对平台(现网)数据一致性检查步骤步骤1、数据一致性比对平台从下一代CRM系统中获取到业务数据,业务数据包括:a.下一代CRM系统与业务平台的数据一致性 检查内容:用户状态,订购关系 b.下一代CRM与HLR的数据一致性 检查内容:用户功能一致性(服务) c.下一代CRM与BOSS系统的数据一致性 检查内容:用户状态,订购
14、关系各子系统按照集团公司制定的统一格式,将数据内容以文件方式存放在数据比对平台中,由统一比对平台对两个系统之间的数据进行比对。步骤2、数据一致性从对端系统获取业务数据;步骤3、比对及后续处理、维护工程师通过数据一致性比对平台查看各个子系统的数据内容,并在数据不一致时出现提示异常。应用系统技术点:统一数据一致性比对平台;应用系统提供数据的完整性。1.2.6 灰度发布灰度发布对象:1) 最终用户2) 营业厅操作人员灰度发布场景:1) Bug修改2) 页面展示修改3) 增加新功能或者变更灰度发布策略:1) 按用户灰度:灰度发布规则配置灰度用户信息并同步到分发部件,分发部件根据相应信息解析后发送到对应版本。 2) 按营业厅操作员灰度:灰度发布规则配置营业厅操作员id信息,用户到营业厅办理业务时,灰度操作员办理的业务路由到灰度版本,非灰度操作员办理的业务路由到非灰度版本。 灰度发布内容:灰度发布包含四个模块:灰度发布管理门户、灰度发布引擎、部署以及监控。1) 灰度发布管理门户:提供灰度发布规则定义、监控度指标对比、一键式发布/回退能
