本發(fā)明涉及應(yīng)用系統(tǒng)安全，具體地說是一種保障應(yīng)用系統(tǒng)安全的方法及安全的應(yīng)用系統(tǒng)。

背景技術(shù)：

1、隨著數(shù)字網(wǎng)絡(luò)時(shí)代的到來，對(duì)各應(yīng)用系統(tǒng)安全的要求也提高到一個(gè)新高度。系統(tǒng)訪問及訪問過程中數(shù)據(jù)安全顯示得更加的重要；要求系統(tǒng)除對(duì)敏感數(shù)據(jù)脫敏、數(shù)據(jù)權(quán)限控制、以及硬件層面的waf防護(hù)外，還需要對(duì)從用戶登錄、數(shù)據(jù)安全傳輸、用戶訪問鑒權(quán)等進(jìn)行重點(diǎn)防護(hù)。

2、當(dāng)前系統(tǒng)采用戶單點(diǎn)登錄方式，后端會(huì)集成多個(gè)系統(tǒng)，在登錄方面存在密碼被盜用的風(fēng)險(xiǎn)，用戶密碼容易遭受軟件破解等威脅。多系統(tǒng)在集成時(shí)對(duì)非權(quán)限內(nèi)的菜單和數(shù)據(jù)的訪問權(quán)限管理不夠嚴(yán)格，存在越權(quán)訪問、未授權(quán)訪問的風(fēng)險(xiǎn)；數(shù)據(jù)傳輸過程中存在數(shù)據(jù)被竊取或篡改的風(fēng)險(xiǎn)；而且客戶敏感數(shù)據(jù)在前端訪問請(qǐng)求的數(shù)據(jù)接口中可能存在泄露的風(fēng)險(xiǎn)；對(duì)用戶訪問行為的監(jiān)控與分析可能不夠智能，無法及時(shí)識(shí)別異常行為。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的技術(shù)任務(wù)是針對(duì)以上不足之處，提供一種保障應(yīng)用系統(tǒng)安全的方法及安全的應(yīng)用系統(tǒng)，使系統(tǒng)能自動(dòng)及時(shí)發(fā)現(xiàn)問題，及時(shí)告警或中斷指定用戶訪問、自動(dòng)提醒運(yùn)維人員，以保障系統(tǒng)安全穩(wěn)定運(yùn)行。

2、本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是：

3、一種保障應(yīng)用系統(tǒng)安全的方法，包括：

4、通過用戶注冊(cè)的用戶名密碼，增加圖型驗(yàn)證碼，以及短信驗(yàn)證碼，實(shí)現(xiàn)三重認(rèn)證登錄；

5、鑒權(quán)訪問控制：在系統(tǒng)內(nèi)增加jwt(json?web?tokens)鑒權(quán)機(jī)制，在后臺(tái)對(duì)登錄用戶返回用戶信息后，通過后端服務(wù)使用密鑰生成加密的token傳回前臺(tái)，在每次調(diào)用微服務(wù)接口時(shí)傳入該token，并在后臺(tái)對(duì)所有接口進(jìn)行token解析并驗(yàn)證；增加redis對(duì)登錄用戶的token進(jìn)行緩存，指定時(shí)間內(nèi)用戶未退出自動(dòng)進(jìn)行緩存刷新，使用戶無感訪問；

6、需要脫敏的數(shù)據(jù)在后端服務(wù)側(cè)進(jìn)行脫敏處理，并使用混合加密算法加密數(shù)據(jù)傳輸至前端后進(jìn)行解密展現(xiàn)，以保證數(shù)據(jù)傳輸安全；

7、進(jìn)行異常訪問監(jiān)控及智能分析，發(fā)現(xiàn)異常后的應(yīng)用服務(wù)自動(dòng)中斷。

8、本方法從用戶登錄系統(tǒng)進(jìn)行相應(yīng)認(rèn)證起，增加對(duì)數(shù)據(jù)傳輸?shù)陌踩刂疲訌?qiáng)訪問用戶鑒權(quán)要求，并可以對(duì)異常訪問用戶帳號(hào)、網(wǎng)絡(luò)ip等進(jìn)行異常告警及至隔斷訪問等，本方法認(rèn)證訪問功能完善、傳輸過程安全可靠，異常訪問或惡意攻擊會(huì)及時(shí)發(fā)現(xiàn)自動(dòng)中斷訪問，極大增強(qiáng)了系統(tǒng)的安全性。能夠保障系統(tǒng)安全運(yùn)行、保障系統(tǒng)數(shù)據(jù)安全傳輸、保障系統(tǒng)提供安全的訪問、保障系統(tǒng)免受外部攻擊。

9、進(jìn)一步的，所述三重認(rèn)證登錄，其中，

10、圖型驗(yàn)證碼的驗(yàn)證在后端微服務(wù)中進(jìn)行；

11、通過后端微服務(wù)對(duì)短信驗(yàn)證碼發(fā)放頻次時(shí)間間隔進(jìn)行控制；

12、圖形校驗(yàn)也在后端進(jìn)行；

13、三重認(rèn)證校驗(yàn)通過后才可進(jìn)入系統(tǒng)。

14、進(jìn)一步的，所述鑒權(quán)訪問控制，通過token鎖定用戶登錄關(guān)鍵信息，結(jié)合用戶權(quán)限進(jìn)行數(shù)據(jù)訪問控制，對(duì)初次超權(quán)訪問的進(jìn)行告警處理，對(duì)頻繁發(fā)起超權(quán)訪問的自動(dòng)中斷其訪問權(quán)限拒絕服務(wù)；并短信通知后臺(tái)運(yùn)維人員進(jìn)行相應(yīng)處理。

15、進(jìn)一步的，所述數(shù)據(jù)傳輸，使用https協(xié)議傳輸方式，使用最新版本的ssl/tls協(xié)議。

16、進(jìn)一步的，所述異常訪問監(jiān)控及智能分析，通過對(duì)系統(tǒng)接入nginx日志的準(zhǔn)實(shí)時(shí)分析，分檢出自動(dòng)分析為外部掛碼或黑客軟件的ip進(jìn)行自動(dòng)鎖定，并短信通知后臺(tái)運(yùn)維人員進(jìn)行人工干預(yù)處理。

17、進(jìn)一步的，所述異常訪問監(jiān)控及智能分析，通過token緩存信息及訪問情況；通過緩存的接口訪問信息結(jié)合用戶token對(duì)頻繁試探賬號(hào)進(jìn)行限時(shí)封號(hào)處理，防止使用非常規(guī)手段對(duì)系統(tǒng)進(jìn)行滲透。

18、進(jìn)一步的，對(duì)提供外部的圖片、視頻使用流式傳輸，以防止存儲(chǔ)數(shù)據(jù)泄露；

19、上傳文件進(jìn)行控制，使用流式傳輸處理，對(duì)上傳文件類型進(jìn)行識(shí)別，以防止任意文件上傳。

20、本發(fā)明還要求保護(hù)一種安全的應(yīng)用系統(tǒng)，包括：

21、認(rèn)證安全模塊，通過用戶注冊(cè)的用戶名密碼，增加圖型驗(yàn)證碼，以及短信驗(yàn)證碼進(jìn)行三重認(rèn)證登錄；

22、鑒權(quán)訪問控制模塊，增加jwt(json?web?tokens)鑒權(quán)機(jī)制，在后臺(tái)對(duì)登錄用戶返回用戶信息后，通過后端服務(wù)使用密鑰生成加密的token傳回前臺(tái)，在每次調(diào)用微服務(wù)接口時(shí)傳入該token，并在后臺(tái)對(duì)所有接口進(jìn)行token解析并驗(yàn)證；增加redis對(duì)登錄用戶的token進(jìn)行緩存，指定時(shí)間內(nèi)用戶未退出自動(dòng)進(jìn)行緩存刷新，使用戶無感訪問；

23、數(shù)據(jù)傳輸安全模塊，對(duì)需要脫敏的數(shù)據(jù)在后端服務(wù)側(cè)進(jìn)行脫敏處理，并使用混合加密算法加密數(shù)據(jù)傳輸至前端后進(jìn)行解密展現(xiàn)；

24、異常訪問監(jiān)控及智能分析模塊，用于實(shí)現(xiàn)發(fā)現(xiàn)異常后的應(yīng)用服務(wù)自動(dòng)中斷；

25、該系統(tǒng)具體通過上述的保障應(yīng)用系統(tǒng)安全的方法實(shí)現(xiàn)數(shù)據(jù)傳輸安全控制。

26、本發(fā)明還要求保護(hù)一種保障應(yīng)用系統(tǒng)安全的裝置，包括：至少一個(gè)存儲(chǔ)器和至少一個(gè)處理器；

27、所述至少一個(gè)存儲(chǔ)器，用于存儲(chǔ)機(jī)器可讀程序；

28、所述至少一個(gè)處理器，用于調(diào)用所述機(jī)器可讀程序，實(shí)現(xiàn)上述的方法。

29、本發(fā)明還要求保護(hù)計(jì)算機(jī)可讀介質(zhì)，所述計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)有計(jì)算機(jī)指令，所述計(jì)算機(jī)指令在被處理器執(zhí)行時(shí)，實(shí)現(xiàn)上述的方法。

30、本發(fā)明的一種保障應(yīng)用系統(tǒng)安全的方法及安全的應(yīng)用系統(tǒng)與現(xiàn)有技術(shù)相比，具有以下有益效果：

31、通過本發(fā)明描述的保障應(yīng)用系統(tǒng)安全的解決方案，可以幫助軟件系統(tǒng)實(shí)現(xiàn)訪問安全、數(shù)據(jù)傳輸安全、保障系統(tǒng)免受外部攻擊滲透，可以自動(dòng)告警乃致中斷危險(xiǎn)訪問信息。同時(shí)，本發(fā)明不會(huì)影響原系統(tǒng)應(yīng)用的業(yè)務(wù)邏輯。

技術(shù)特征：

1.一種保障應(yīng)用系統(tǒng)安全的方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的一種保障應(yīng)用系統(tǒng)安全的方法，其特征在于，所述三重認(rèn)證登錄，其中，

3.根據(jù)權(quán)利要求1所述的一種保障應(yīng)用系統(tǒng)安全的方法，其特征在于，所述鑒權(quán)訪問控制，通過token鎖定用戶登錄關(guān)鍵信息，結(jié)合用戶權(quán)限進(jìn)行數(shù)據(jù)訪問控制，對(duì)初次超權(quán)訪問的進(jìn)行告警處理，對(duì)頻繁發(fā)起超權(quán)訪問的自動(dòng)中斷其訪問權(quán)限拒絕服務(wù)；并短信通知后臺(tái)運(yùn)維人員進(jìn)行相應(yīng)處理。

4.根據(jù)權(quán)利要求1所述的一種保障應(yīng)用系統(tǒng)安全的方法，其特征在于，所述數(shù)據(jù)傳輸，使用https協(xié)議傳輸方式，使用最新版本的ssl/tls協(xié)議。

5.根據(jù)權(quán)利要求1所述的一種保障應(yīng)用系統(tǒng)安全的方法，其特征在于，所述異常訪問監(jiān)控及智能分析，通過對(duì)系統(tǒng)接入nginx日志的準(zhǔn)實(shí)時(shí)分析，分檢出自動(dòng)分析為外部掛碼或黑客軟件的ip進(jìn)行自動(dòng)鎖定，并短信通知后臺(tái)運(yùn)維人員進(jìn)行人工干預(yù)處理。

6.根據(jù)權(quán)利要求1或5所述的一種保障應(yīng)用系統(tǒng)安全的方法，其特征在于，所述異常訪問監(jiān)控及智能分析，通過token緩存信息及訪問情況；通過緩存的接口訪問信息結(jié)合用戶token對(duì)頻繁試探賬號(hào)進(jìn)行限時(shí)封號(hào)處理，防止使用非常規(guī)手段對(duì)系統(tǒng)進(jìn)行滲透。

7.根據(jù)權(quán)利要求1所述的一種保障應(yīng)用系統(tǒng)安全的方法，其特征在于，對(duì)提供外部的圖片、視頻使用流式傳輸，以防止存儲(chǔ)數(shù)據(jù)泄露；

8.一種安全的應(yīng)用系統(tǒng)，其特征在于，包括：

9.一種保障應(yīng)用系統(tǒng)安全的裝置，其特征在于，包括：至少一個(gè)存儲(chǔ)器和至少一個(gè)處理器；

10.計(jì)算機(jī)可讀介質(zhì)，其特征在于，所述計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)有計(jì)算機(jī)指令，所述計(jì)算機(jī)指令在被處理器執(zhí)行時(shí)，實(shí)現(xiàn)權(quán)利要求1至7任一所述的方法。

技術(shù)總結(jié)
本發(fā)明公開了一種保障應(yīng)用系統(tǒng)安全的方法及安全的應(yīng)用系統(tǒng)，屬于應(yīng)用系統(tǒng)安全技術(shù)領(lǐng)域，通過用戶注冊(cè)的用戶名密碼，增加圖型驗(yàn)證碼，以及短信驗(yàn)證碼，實(shí)現(xiàn)三重認(rèn)證登錄；在系統(tǒng)內(nèi)增加JWT鑒權(quán)機(jī)制，在后臺(tái)對(duì)登錄用戶返回用戶信息后，通過后端服務(wù)使用密鑰生成加密的token傳回前臺(tái)，在每次調(diào)用微服務(wù)接口時(shí)傳入該token，并在后臺(tái)對(duì)所有接口進(jìn)行token解析并驗(yàn)證；需要脫敏的數(shù)據(jù)在后端服務(wù)側(cè)進(jìn)行脫敏處理，并使用混合加密算法加密數(shù)據(jù)傳輸至前端后進(jìn)行解密展現(xiàn)；進(jìn)行異常訪問監(jiān)控及智能分析，發(fā)現(xiàn)異常后的應(yīng)用服務(wù)自動(dòng)中斷。本發(fā)明能自動(dòng)及時(shí)發(fā)現(xiàn)問題，及時(shí)告警或中斷指定用戶訪問、自動(dòng)提醒運(yùn)維人員，保障系統(tǒng)安全穩(wěn)定運(yùn)行。

技術(shù)研發(fā)人員：姜世杰
受保護(hù)的技術(shù)使用者：浪潮通信信息系統(tǒng)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/10/10