基于Web的MES系统安全架构设计及分析(2)

基于Web的MES系统安全架构设计及分析

3.2.2基于角色的访问控制

在对MES系统业务功能、业务流程及其干系人分析整理的基础上，能够抽象出系统的各种用户角色，每种角色通过一组系统功能完成一定的业务处理，需要将这一组系统功能赋予该角色，使其具有完成这一业务的能力，也就形成了允许访问控制表，包括菜单的允许访问列表和功能的允许操作列表。

为了构成系统的完全访问边界，需要明确禁止某类操作。因此设计了禁止访问控制表，包括：菜单的禁止访问列表和功能的禁止操作列表。

3.2.3用户及权限管理

构建了角色的访问控制，将角色赋予用户，用户即具备了相应的访问权限。在企业的MES应用中，每个企业用户都具有一个系统访问账号，这个账号是用户身份的唯一标识。为保证系统账号的合法性，所有用户的账号只能由系统的账号管理员进行分配和管理。同时，每个用户在企业承担着某个岗位的职责，对应于MES系统来说，这个用户就具备着一个或者多个系统角色，通过角色权限的控制形成用户的权限控制。本着最小权限的原则，应当合理分配和控制角色权限，并通过禁止访问控制表限制用户的`访问范围，构成系统的安全访问边界。

3.3 安全运行管理

多数MES系统都采用单一管理员(甚至是超级用户)对系统进行管理。虽然简单易行，但却存在巨大安全隐患。一旦管理员账号信息泄露，其他安全措施将形同虚设。因此必须进行系统权限的分割，使其相互制约，避免权限过分集中。本架构的划分策略：首先是用户管理员，只负责企业用户账号的分配、锁定和吊销，用户岗位角色的分配，以及用户密码的复位操作其次是安全管理员，负责菜单与功能矩阵的维护，以及角色访问控制列表的制定。

用户管理员和安全管理员相互制约，只有协调一致才能够完成用户的权限分配。同时又可以分级管理，按照分厂、车间等组织架构，或者依据业务范围，划分出不同层级、不同范围的用户管理员和安全管理员，他们只能在自己的权限范围内行使权力。由此形成了可集中管理也可分化管理的技术模型，企业可以依据自身规模和管理模式灵活组织设计。

3.4 系统安全审计

本架构设计了完备的行为捕获和记录系统，对系统关键执行动作留有记录，对用户的操作和行踪留有日志，同时记录了非法用户的入侵尝试，且满足不可抵赖性，形成可靠证据。尤其是用户和安全管理员的所有操作，是系统监控的重点。企业安全审计人员可以随时调取这些记录，进行审计，一旦发现有违反安全策略的行为，即可对行为后果进行调查，采取相应处理措施。

3.5 会话安全策略

HTTP是一个无状态的协议，此协议无法维护两个事务之间的联系，而MES系统的大量应用需要与用户进行交互操作，并且记录这些交互，这就需要保持会话状态。会话状态通常需要在客户端cookie中记录用户信息，或者是在服务器端session中记录，但也需要在用户请求与服务器应用程序间传递一个会话ID，这些信息都会成为攻击的对象，一旦被窃取，会话就可能被冒用，成为会话劫持，造成超越权限的访问和数据操作。为防范此类攻击，一方面对用户信息、会话ID等薄弱环节采取加密措施，增加截获难度。另一方面制定安全策略监视会话状态，进行会话锁定和异常保护及报警。

会话锁定：提供交互式会话的锁定和解锁能力及终止会话能力。在会话进入非活动周期后对终端进行锁定或结束会话。在用户的静止期超过规定的值时，通过以下方式锁定该用户的交互式会话：(1)在显示设备上清除或涂抹，使当前的内容不可读(2)取消会话解锁之外的所有用户数据的存取/显示的任何活动(3)在会话解锁之前再次进行身份鉴别。

异常保护及报警：在会话期间通过用户请求进行监视分析用户操作行为，对异常行为采取操作保护动作，并产生记录和报警，如频繁、重复的数据操作，或者同一用户在不同地点创建多个会话的请求等等。

3.6 Web安全防护策略

基于Web的MES系统遭受的典型网络攻击事件包括SQL注入、cookie破坏、会话劫持、目录遍历以及缓冲区溢出等，只有建立涵盖事前、事中、事后的综合防控体系，事前及时识别隐患和漏洞并采取修补措施，事中实时监测，积极防御，早发现，早处置，才能将风险和损失降到最小。

本架构针对Web设计了安全防护策略，实现自动化的Web漏洞检测，以及对网页被挂马、网页被篡改、网页出现敏感信息、系统被拒绝服务等攻击事件的一体化监测预警。从而帮助企业构建自动化的系统安全监测系统，第一时间掌握MES应用的安全状况，降低系统安全风险，增强安全防护等级。

4 MES系统运行安全的防护措施

MES系统的运行安全不能仅仅依靠MES自身的安全设计，需要根据企业对MES的技术经济要求，综合考虑信息安全技术和安全管理与防护措施。

在物理安全层面，建立MES系统安全运行相适应的安全环境，包括机房安全防护、设备安全可用、存储介质安全等。

数据库系统的安全至关重要，需要对数据依据其敏感性进行分类进行不同强度的加密，防止敏感信息泄露。同时数据库要制定有备份和容灾措施，数据库管理人员定时对系统进行备份，防止系统数据损坏和丢失。一旦在系统崩溃或瘫痪的情况下，可利用备份数据迅速将系统恢复起来。

在运行安全方面，通过安全风险分析与评估，制定系统安全运行策略，建立安全检测与监控机制，加强安全审计和系统边界安全防护，采用防火墙、安全认证、入侵检测等措施来阻止攻击，综合运用数据加密和VPN等技术，对包括计算机病毒在内的恶意代码进行必要的安全防护，确保网络传输的安全要求。运用入侵检测技术，主动保护MES系统免受攻击，为MES系统提供了实时保护，是防火墙之后的第二道安全闸门。

依据国家计算机应急响应中心发布的数据，信息系统安全问题中的95%是可以通过科学的信息安全管理措施来避免。因此，加强信息安全意识，制定有效的安全运维策略是保障信息安全的重要基础，已经成为企业管理的一个重要组成部分。

1-技术有什么区别

首先通信上目前的主流是HTTP协议和SOCKET这两种(HTML5提供了一种新的协议，WebScoket，对此了解并不多，因此不做评论，以免误导)。

HTTP连接最显著的特点是客户端发送的每次请求都需要服务器回送响应，在请求结束后，会主动释放连接。从建立连接到关闭连接的过程称为“一次连接”。

（注：在HTTP 1.1中则可以在一次连接中处理多个请求，并且多个请求可以重叠进行，不需要等待一个请求结束后再发送下一个请求。）

Socket又称"套接字"，应用程序通常通过"套接字"向网络发出请求或者应答网络请求。

以J2SDK-1.3为例，Socket和ServerSocket类库位于http://java.net包中。ServerSocket用于服务器端，Socket是建立网络连接时使用的。在连接成功时，应用程序两端都会产生一个Socket实例，操作这个实例，完成所需的会话。对于一个网络连接来说，套接字是平等的，并没有差别，不因为在服务器端或在客户端而产生不同级别。不管是Socket还是ServerSocket它们的工作都是通过SocketImpl类及其子类完成的。（摘自百科）

在WEB服务器中，一般情况是只需要使用HTTP协议的。因为它不太需要去与浏览器进行主动推送，只需要响应浏览器的访问就足够了

而在游戏服务器，这样的连接方式肯定是不够用的。很多时候游戏服务器是需要主动推送消息，如系统广播。

2-思维有什么区别

WEB服务器并不需要高频即时通讯，对响应速度要求不高。而游戏服务器，大多数是需要很及时的响应速度（暂不讨论弱联网游戏）。如DOTA，这种竞技类型的游戏，1秒就能发生很多事。

因此，在思考方向上，WEB服务器应该考虑是的多平台的兼容，大量用户访问的高并发。

而游戏服务器应该考虑的是高频通讯，高并发。

3-架构的侧重点有什么区别

在架构上面，一般访问量不是很大的网站是只有一台服务器的，访问量高的才会进行分布式设计或者集群设计。

而大部分游戏服务器都是需要分布式设计的。

在现有的网络游戏服务器端架构中，多是以功能和场景来划分服务器结构的。具体的划分是根据项目的需求进行的，并没有一个十分通用的架构。

以上是比较常见的结构，客户端登录的时候，连接GateServer，然后由GateServer去连接LoginServer进行登录。登录后通过CenterServer转发到GameServer（GameServer即是服务器大区）。

而其中的DCServer，主要的功能是缓存玩家角色数据，保证角色数据能快速的读取和保存。

LogServer便是保存日志的了。

4-本质有无区别

本质上，两者并无区别，只是需求不同，侧重点不同罢了。

---