中国铁路客票系统(12306)在春运期间面临高并发访问,同时处理大量乘客敏感信息(如身份证号、支付信息)。请分析该系统可能面临的主要网络安全风险,并说明如何从架构设计层面进行防护?
中国铁路信息科技集团有限公司网络安全技术研究难度:中等
答案
1) 【一句话结论】
12306在春运高并发下,主要面临DDoS攻击、敏感信息泄露(传输/存储)、身份伪造(如SQL注入)、会话劫持/CSRF等风险,需通过负载均衡(含会话粘性)、传输加密(TLS)、存储加密(AES)、微服务隔离、安全网关(WAF)、会话管理(CSRF防护、JWT认证)及数据脱敏等架构设计手段综合防护。
2) 【原理/概念讲解】
老师讲解:高并发场景下,系统易受以下风险攻击:
- DDoS攻击:大量恶意请求淹没服务器,导致服务不可用。类比:春运时大量乘客同时挤闸机,闸机卡住、响应超时。
- 敏感信息泄露:身份证、支付信息在传输(如HTTP明文)或存储(数据库明文)时被窃取。类比:身份证信息贴在信封上,被偷看。
- 身份伪造:用户身份被冒用,如SQL注入导致用户信息篡改。类比:冒用他人身份证进站,票务信息错误。
- 会话管理风险:用户登录后,会话ID传输不安全(如HTTP明文),易被劫持;CSRF攻击导致用户在不知情下执行操作。类比:用户登录后,攻击者伪造请求,冒充用户购票。
- 中间人攻击(MITM):攻击者截获传输的敏感信息(如支付密码),导致信息泄露。类比:攻击者在用户和服务器间安装“窃听器”,偷听对话。
- 微服务间通信风险:服务间调用若未加密认证,易被篡改或冒用。类比:票务服务调用支付服务时,攻击者修改调用参数,导致支付错误。
架构设计防护核心:通过分层防护,从流量、传输、存储、服务、会话、通信等维度加固。
3) 【对比与适用场景】
以负载均衡的会话粘性处理为例:
| 对比项 | Nginx ip_hash模式 | Redis会话存储模式 |
|---|---|---|
| 定义 | 根据客户端IP哈希分配请求,确保同一IP请求发到同一后端 | 将会话ID存入Redis,Nginx通过cookie传递会话ID,请求发到后端时查询Redis获取会话状态 |
| 特性 | 简单,依赖IP,高并发下IP可能变化(如移动网络) | 更灵活,支持多后端,会话状态存储在Redis,可持久化 |
| 使用场景 | 用户IP稳定,如固定IP或局域网 | 用户IP频繁变化(如移动设备),或需要会话状态持久化 |
| 注意点 | 高并发下可能因IP哈希冲突导致会话丢失 | Redis读写压力,需考虑集群或主从复制 |
服务间通信认证(gRPC vs RESTful API):
| 对比项 | gRPC(RPC风格) | RESTful API(HTTP风格) |
|---|---|---|
| 定义 | 基于HTTP/2的轻量级RPC框架,支持双向流、流式响应 | 基于HTTP协议的RESTful服务,通过HTTP方法(GET/POST等)调用 |
| 特性 | 传输高效(HTTP/2多路复用),支持流式通信 | 传输简单,兼容性好,但效率低于gRPC |
| 使用场景 | 微服务间高频、低延迟调用(如票务服务调用支付服务) | 对性能要求不高,或与第三方系统对接 |
| 注意点 | 需配置TLS证书验证服务身份,JWT令牌认证 | 需配置HTTPS,JWT令牌认证,但HTTP/2支持有限 |
4) 【示例】
用户购票流程(含会话粘性、服务间认证、数据脱敏):
- 用户请求:
GET /ticket?user_id=123&date=2024-01-10 HTTP/1.1,携带会话Cookie(如session_id=abc123)。 - Nginx负载均衡(session_sticky模式,或Redis会话存储):根据
session_id将请求发到同一后端票务服务(如后端1)。 - 票务服务处理:查询数据库(身份证信息用AES-256加密存储),调用支付服务(gRPC,TLS加密,JWT令牌认证)。
- 支付服务响应:验证JWT(签名算法HS256,过期时间1小时),处理支付,返回结果。
- 响应:Nginx通过TLS 1.3加密传输,用户界面显示支付信息时脱敏(如“**** **** **** 1234”)。
5) 【面试口播版答案】
(约90秒)
“面试官您好,12306在春运高并发下,主要面临几个安全风险:首先是DDoS攻击,大量恶意请求导致服务器过载;其次是敏感信息泄露,身份证、支付信息在传输或存储时可能被窃取;还有身份伪造(如SQL注入),以及会话劫持(如会话ID传输不安全)和CSRF攻击。从架构设计防护,我们可以用负载均衡分散流量,同时处理会话粘性(比如Nginx的session_sticky或Redis存储会话ID,确保用户请求始终发到同一后端);传输用TLS 1.3加密,存储用AES-256加密;微服务隔离(票务和支付服务分开部署,避免横向攻击);安全网关(WAF拦截应用层攻击);服务间通信用gRPC加TLS和JWT认证,确保调用安全;数据脱敏(支付信息在日志中只显示部分数字,用户界面隐藏部分数字)。这样从流量、传输、存储、服务、会话、通信多个层面综合防护。”
6) 【追问清单】
- 问:如何具体应对DDoS攻击?比如流量清洗?
回答要点:部署云厂商的DDoS防护服务(如阿里云高防IP),结合本地负载均衡的流量清洗规则(如基于IP、URL、请求频率的过滤),实时过滤恶意流量。 - 问:如何确保微服务间通信安全?比如gRPC的TLS证书验证和JWT令牌的具体实现?
回答要点:服务间通信采用gRPC,传输层用TLS 1.3证书验证服务身份(CA证书),认证用JWT令牌(签名算法HS256,过期时间1小时,包含用户ID、角色等,服务验证签名和过期时间)。 - 问:数据泄露的防护,除了加密,还有哪些措施?比如数据脱敏或访问控制?
回答要点:数据脱敏(支付信息在日志中脱敏显示,如“**** **** **** 1234”),数据库访问控制(只允许票务和支付服务访问敏感表,其他服务无权限),审计日志(记录敏感操作,如支付成功,便于追踪)。 - 问:会话管理中,如何防止CSRF攻击?具体措施是什么?
回答要点:在表单中添加CSRF令牌(随机生成的唯一值,存储在用户会话中),请求时验证令牌是否匹配;传输层用HTTPS确保令牌不被篡改。
7) 【常见坑/雷区】
- 坑1:忽略会话粘性处理,导致用户登录状态丢失或被劫持,高并发下用户请求被分发到不同后端,会话状态不一致。
- 坑2:服务间通信未加密认证,导致攻击者篡改调用参数(如支付金额),造成资金损失。
- 坑3:防护措施不具体,如只说加密,不提具体算法(如TLS版本1.3、AES-256),缺乏技术细节。
- 坑4:数据脱敏不足,支付信息在日志或界面中完全显示,未隐藏敏感部分,违反隐私保护。
- 坑5:微服务隔离不彻底,票务和支付服务未隔离,攻击者通过票务服务入侵支付系统,导致敏感信息泄露。