安全性设计
SOFAST基于标准安全体系提供软件层面的多维度安全防御能力.
系统安全性通常包含访问链路是否安全,通信协议是否安全,数据隔离和加密是否安全等方面多维度安全性要求,因此一套完善的安全机制通常涉及硬件、网络、软件以及操作规范等多个方面,SOFAST基于标准的安全体系要求提供了软件层面的多维度安全防御能力。
通信链路安全:
SOFAST要求系统必需使用HTTPS加密通信协议进行数据传输,同时为了防止敏感数据泄漏,SOFAST提供了基于RSA非对称加密算法用于对传输的数据进行二次加密,防止数据泄漏和篡改。
认证安全:
SOFAST提供基于JWT的令牌认证机制,所有请求必需携带认证中心颁发的令牌才可以访问API,JWT具有防篡改、高性能的特性,是客户端与服务器端进行数据安全传输的一种标准。
防御机制:
SOFAST提供XSS攻击防御能力,通过对请求数据的封装和过滤,将恶意指令代码进行拦截和剔除,增强系统的健壮性和安全性
操作权限:
SOFAST内置RBAC权限模型并提供按钮级的操作配置,不同用户可根据授权的不同进行最小粒度的灵活配置,保证操作安全性
数据安全:
SOFAST支持数据权限,开发人员可根据业务需求及数据安全管理需求,进行数据权限的集成,可为不同部门,不同人配置可见的数据条目
存储安全:
SOFAST默认为用户凭证敏感数据提供+盐+hash的加密策略,防止密码泄漏和撞库风险
文件安全:
SOFAST支持上传文件的类型检查,文件大小限制,防止恶意可执行文件等木马程序上传;文件存储方面可通过文件权限设置,文件备份等保证存储的安全;同时SOFAST支持对接对象存储等其他三方文件存储系统
加密算法:
SOFAST内置多种加密算法供开发人员使用,AES、DES、RSA等;同时SOFAST也提供了国密算法SM2~SM4的实现
黑名单机制:
SOFAST可通过IP识别,对恶意攻击IP进行黑名单配置,拒绝访问请求
流量控制:
SOFAST支持流量、并发控制,针对大流量洪流,可提供限制措施,保证系统的稳定性
数据脱敏:
SOFAST提供数据脱敏组件(beta version),开发人员可集成该组件实现敏感数据脱敏或加密
审计日志:
SOFAST提供日志审计功能,对用户登录、登出;敏感业务操作等提供记录下操作的系统、人、时间、操作对象、操作结果(成功、失败)等属性,形成审计记录,保留必要的时限以供审查