实时系统监控与故障自动恢复机制
实时系统监控包括对全系统的统一监控报警和在所有提供服务的服务器中逐一设置监控及自动恢复的方式保证系统稳定性。
对全系统的7x24小时监控由两台分别于不同数据中心的专用监控服务器完成,监控的服务包括:
1、WEB服务器端口,在外部监控是否激活及响应速度
2、邮件服务器端口,保证邮件服务正常工作
3、域名服务响应端口,保证域名服务器工作
4、数据库服务器,在内部监控服务并采用服务自动恢复机制
5、WEB服务器,在内部监控并采用服务自动恢复机制
6、POS终端响应SOCKET端口
当监控系统发现异常时,将以手机短信方式实时将监控结果发送到7x24系统维护人员第一时间响应并处理。
在每台提供服务的服务器中都安装了实时监控和自动恢复处理软件,当系统出现服务中断时系统首先尝试自动恢复服务,如无法自动恢复则会通过中央监控系统由维护工程师介入处理问题。
系统备份与灾难恢复系统
系统的备份包括对系统的常规备份和对营运数据库的实时备份和恢复。
系统常规备份主要是对服务网站、网站数据的备份,备份方式为多机异地实时热备。
数据库实时备份采用数据库集群(cluster)方式实现,在每个数据中心都采用数据库服务集群处理对数据库的访问请求,当请求量增加时,只需新增数据库集群节点服务器,当某一数据中心节点无法访问时,所有数据库访问请求将转到远程数据库服务器集群。
在每个数据中心每周定期执行基于其他存储介质(大容量移动存储器)的全系统备份并将存储介质存放在远离数据中心的第三方存放地,当数据库中心因灾难无法访问时,存在介质将在12小时内快递至新选定的数据中心并做全系统恢复,如下图所示:
数据中心级防DDOS攻击,防ARP进攻防火墙
网络级实时监控的防火墙
服务器级实时安全入侵检测与报警,全部营运服务器都安装了实时安全入侵检测与报警软件,当服务器检测到被攻击等异常情况时,将首先屏蔽进攻源,同时将情况实时以手机短信方式通知相关系统维护人员。
通信安全的保证
如下图所示,为与服务器通信的链路,因此通信安全主要来源如下:
1. POS消费前置与服务器的连接
2. 后台管理电脑与服务器的连接
POS终端安全要求
所采用的POS机均为银联认证支持的POS机,POS机硬件本身支持ISO8583报文标准,参见《中国银联直联POS终端规范.doc》。
POS机安全主要来源如下:
1.操作员密码
POS终端应具备操作员密码校验功能,校验失败时禁止交易。
POS的每个操作员都必须有独立的密码和一个代码。操作员代码和密码的详细规定参见操作人员管理。
2.POS终端联机交易密钥管理
(1)二级密钥体系
POS终端密钥分为二级:密钥加密密钥(KEK)和工作密钥(WK)。
a)密钥加密密钥(KEK)
用于对工作密钥(WK)进行加密保护,每台POS终端与POS中心共享唯一的KEK。
KEK必须要有安全保护措施,只能写入并参与运算,不能被读取。
KEK至少应有三个,以便当KEK泄密时,POS中心与POS终端及时、方便地更换。POS中心与POS终端通过参数下载的方式约定使用哪个KEK。
b)工作密钥(WK)
分为用于对个人标识码(PIN)加密的PIK以及进行报文鉴别(MAC)的MAK。
由POS前置机的加密机产生,在POS终端每次签到时从POS中心利用KEK加密后下载,并由KEK加密存储。
POS终端工作密钥在下载时必须以密文传送,严禁明文传送。
(2)POS终端MAC的算法
从报文消息类型(MTI)到63域之间的部分构成MAC ELEMEMENT BLOCK (MAB),采用ECB算法,加密结果为64位的MAC,详细算法见附录B。
(3)PIN加密
PIN加密采用ANSI X9.8 Format(带主账号信息)。
加密算法采用单倍长密钥算法或双倍长密钥算法。POS终端对以上两种加密算法都应支持。
POS机与服务器通信
如下图所示,POS机端采用前章所述的加密密钥与服务器端进行通讯,通讯线路可以采用无线、电话网络、互联网(TCP/IP)方式进行。
其实所有通讯报文都遵守ISO8583报文标准规范进行,所有通讯都用前章所述的加密密钥与服务器进行连接,并且对其中部分域进行了加密,从而在一定程度上避免了中途被第三方截获破解。
电脑管理后台与服务器的连接
如下图所示,电脑过互联网与服务器进行连接,所有通讯过程都采用HTTPS方式,即128位国际标准的SSL协议进行加密,使得所有传输报文都以密文方式进行,有效防止了第三方的窃取。
同时,可以对特定管理的电脑可以进行MAC地址绑定或安全U盘受限访问。