客服新闻

信息化建设安全小课堂V 1.0

发布日期:2019/6/21

北京致远互联软件股份有限公司
2019年6月


1  前言
       安全是信息化系统建设的立足之本。信息化系统能否稳定、持续、可靠的为企业创造价值,系统安全首当其冲。
       信息化系统建设中应用软件系统涉及的资源大致有:基础设施、操作系统、中间件、业务系统、客户端。大致可以划分如下:
 
       可以看出信息化安全,需要其涉及的各个环节合作共建,才可打造出一套安全的信息化系统。
对于各个环节需要考虑的安全事项,提供以下章节的强化思路。


2  基础网络
2.1 防火墙
       部署抗DDOS攻击设备、边界防火墙、WEB防火墙等安全设备,并考虑必要的设备冗余及协议恢复设计,避免单点故障,为安全保障体系的实施提供基础性建设。
2.2 网络端口
        根据应用需要,严格限制防火墙策略中的通讯IP地址、协议和端口。如:
   ► 防火墙仅开放常用的端口,如TCP的80、443端口,关闭不必要的端口;
   ► 服务间端口保持内网正常通讯,公网防火墙不做开放。如:数据库服务的1521、3306、1433端口、协同系统集群通讯端口9009、9010端口均保持内网正常通讯,公网防火墙不做开放。


3  操作系统
3.1 安装安全软件
      操作系统安装杀毒软件,开启病毒库定期更新,定期对操作系统进行病毒查杀。
3.2 及时更新补丁
       Windows系统保持自动更新处于开启状态,通过在线更新或设置升级服务器的方式,保持系统补丁及时得到更新。
       Linux系统定期更新内核和相关软件补丁,增加系统安全性。
3.3 关闭不必要的服务
       禁用不需要的服务,避免未知漏洞给操作系统带来的风险,如:
►  Windows的下列服务:
 DHCP Client
 DNS Client
 Help and Support
 IP Helper
 Print Spooler
 Remote Registry
 Shell Hardware Detection
 TCP/IP NetBIOS Helper
 Windows Error Reporting Service
 Windows Font Cache Service
 Windows Remote Management(WS-Managment)
 ► Linux的下列服务:
 Bluetooth
 Nfslock
 Portmap
 Rpcgssd
 Rpcidmapd
 yum-updatesd
 sendmail
 acpid
 autofs
 cups
 cups-config-daemon
 isdn
 pcmcia
 nfslock
 dbcrelay
 xinted
 usbmgr
 canna
 named
 dhcpd
 ntpd
 kadmin
 kprop
 arpwatch
 rstatd
 rusersd
 rfmond
 hpiod
 avahi-daemon
 mdmonitor
 kudzu
 lm_sensors
 acpid
 netfs
 cpuspeed
3.4 安全加固
       对操作系统的账号及策略进行安全加固,如:
 ► 加强账号及口令的安全策略,如密码复杂度、密码长度、密码有效期等;
 ► 超过设定时间后自动锁屏;
 ► Windows下尽量不创建其他管理员用户,更改Administrator用户默认的账户名及描述、禁用guest账户;
 ► Windows限定特定系统文件的权限,如禁止Guest用户组访问cmd.exe、xcopy.exe、ping.exe、copy.exe、regedt32.exe、regedit.exe等文件;
 ► Windows下删除各盘符的everyone权限;
 ► Windows系统登录屏幕上不显示上次的登录用户名;
 ► Windows下禁止C$、D$、ADMIN$等系统缺省共享;
 ► Linux系统使用普通用户进行远程登录,限制root用户远程登录;
 ► Linux系统设置登录超时时间,禁用系统热重启快捷键,限制su命令的使用,限制shell命令记录的大小等。


4  中间件
4.1 数据库
4.1.1 明确端口开放范围
       数据库只对应用服务器开放必要的端口,其他非必要端口不对外开放。各数据库服务的默认端口(端口可以修改):Oracle:1521、MySQL:3306、SQLServer:1433、PostgreSQL:5432。
4.1.2 及时更新补丁/版本
      ►  在保证业务及网络安全的前提下,经过兼容测试后,及时更新数据库软件官方网站发布的最新补丁程序,补丁更新操作由数据库软件厂商的专业工程师进行实施,补丁更新前,进行有效数据备份。
  ►  其中MySQL建议使用同一大版本系列的最新版本;Oracle建议更新最新的官方补丁包;SQLServer建议更新最新的官方补丁包。
4.1.3  账户密码及备份策略
 ► 设置数据库用户口令的密码复杂度、口令有效期、锁定时长、锁定前允许的最大登录失败次数等;
 ► 停用、锁定或删除不必要的管理员权限账户;
 ► 在数据库权限配置能力范围内,根据业务需要,配置所需的最小权限;
 ► 设置数据库连接超时限制;
 ► 制定完备的数据备份策略,并定期检查备份日志,验证备份有效性。
4.2 Apache
4.2.1 及时更新补丁/版本
       关注Apache官方网站发布的最新安全公告信息,获取最新的补丁程序或安装官方最新版本软件。
       安全公告地址:https://httpd.apache.org/security_report.html
       Apache的下载地址为:https://httpd.apache.org/download.cgi
4.2.2  其他安全策略
►  禁止目录浏览
► 限制目录执行权限
► 隐藏Apache版本号
► 增强加密算法
► 禁用不安全的SSL协议
4.3 Nginx
4.3.1 及时更新补丁/版本
       关注Nginx官方网站发布的最新安全公告信息,获取最新的补丁程序或安装官方最新版本软件。
       安全公告地址:https://nginx.org/en/security_advisories.html
       Nginx的下载地址为:https://nginx.org/en/download.html
4.3.2 其他安全策略
 ► 禁止目录浏览
 ► 限制目录执行权限
 ►  隐藏Nginx版本号
 ► Nginx运行用户降权
4.4 Tomcat
       致远服务网站http://support.seeyon.com/提供了适用于协同产品的tomcat更新包,请关注网站动态,及时更新tomcat更新包。
4.5 WebSphere
4.5.1 及时更新补丁/版本
       关注WebSphere官方网站发布的最新安全公告信息,在保证业务及网络安全的前提下,经过兼容测试后,有中间件厂商工程师获取最新的补丁程序或安装官方最新版本软件。
       WebSphere的下载地址为:https://www.ibm.com/developerworks/cn/downloads/ws/was/index.html
4.5.2 其他安全策略
 ► 加强账户安全,修改用户口令、限制密码长度、密码复杂度等;
 ► 禁止目录浏览;
 ► 启用会话安全性
4.6 WebLogic
4.6.1 及时更新补丁/版本
       关注WebSphere官方网站发布的最新安全公告信息,在保证业务及网络安全的前提下,经过兼容测试后,有中间件厂商工程师获取最新的补丁程序或安装官方最新版本软件。
       WebLogic的下载地址为:
https://www.oracle.com/technetwork/middleware/weblogic/downloads/index.html
4.6.2 其他安全策略
 ► 加强账户安全,修改用户口令、限制密码长度、密码复杂度等;
 ► 更改默认运行端口;
 ►  禁止目录浏览;
 ► 启用会话安全性
4.7 启用HTTPS
       各中间件,无特殊情况,建议开启HTTPS,以保障客户端通过安全的通道访问应用服务。


5  应用软件
5.1 开启安全扫描
       V7.1版本协同系统,登录系统管理员账户(system),在[安全管理]-[一键体检]中进行系统体检,并开启定期安全扫描功能。
 
5.2 安全策略配置
 ► 通过协同应用配置器中[系统参数设置],启用登录密码加密传输:
 
 ► 登录协同系统的系统管理员(system),在[系统设置]-[系统参数设置]中开启附件加密:
 
 ► 登录协同系统的系统管理员(system),在[身份认证]-[密码安全设置]中设置密码强度等级,建议勾选不符合强度要求,强制修改密码:
 
5.3 关注服务网站动态
      关注致远服务网站http://support.seeyon.com,及时获取最新补丁包。
 

6  客户端
6.1 客户端环境安全
       对于使用协同产品的客户端(包括PC端、移动端),要做好安全防护措施,安装基本的防病毒/木马软件和客户端相关安全产品。
6.2 客户端认证安全
       对于有相关安全需求的客户,建议使用客户端身份认证狗,或客户端CA证书。