北京致远互联软件股份有限公司
2020年5月
1 前言
安全是信息化系统建设的立足之本。信息化系统能否稳定、持续、可靠的为企业创造价值,系统安全首当其冲。
信息化系统建设中应用软件系统涉及的资源大致有:基础设施、操作系统、中间件、业务系统、客户端。大致可以划分如下:
.png)
可以看出信息化安全,需要其涉及的各个环节合作共建,才可打造出一套安全的信息化系统。
对于各个环节需要考虑的安全事项,提供以下章节的强化思路。
2 基础网络
2.1 防火墙
部署抗DDOS攻击设备、边界防火墙、WEB防火墙等安全设备,并考虑必要的设备冗余及协议恢复设计,避免单点故障,为安全保障体系的实施提供基础性建设。
2.2 网络端口
根据应用需要,严格限制防火墙策略中的通讯IP地址、协议和端口。如:
? ? 防火墙仅开放常用的端口,如TCP的80、443端口,关闭不必要的端口;
? ? 服务间端口保持内网正常通讯,公网防火墙不做开放。如:数据库服务的1521、3306、1433端口、协同系统集群通讯端口9009、9010端口均保持内网正常通讯,公网防火墙不做开放。
3 操作系统
3.1 安装安全软件
操作系统安装杀毒软件,开启病毒库定期更新,定期对操作系统进行病毒查杀。
3.2 及时更新补丁
Windows系统保持自动更新处于开启状态,通过在线更新或设置升级服务器的方式,保持系统补丁及时得到更新。
Linux系统定期更新内核和相关软件补丁,增加系统安全性。
3.3 关闭不必要的服务
禁用不需要的服务,避免未知漏洞给操作系统带来的风险,如:
?? Windows的下列服务:
? DHCP Client
? DNS Client
? Help and Support
? IP Helper
? Print Spooler
? Remote Registry
? Shell Hardware Detection
? TCP/IP NetBIOS Helper
? Windows Error Reporting Service
? Windows Font Cache Service
? Windows Remote Management(WS-Managment)
? ? Linux的下列服务:
? Bluetooth
? Nfslock
? Portmap
? Rpcgssd
? Rpcidmapd
? yum-updatesd
? sendmail
? acpid
? autofs
? cups
? cups-config-daemon
? isdn
? pcmcia
? nfslock
? dbcrelay
? xinted
? usbmgr
? canna
? named
? dhcpd
? ntpd
? kadmin
? kprop
? arpwatch
? rstatd
? rusersd
? rfmond
? hpiod
? avahi-daemon
? mdmonitor
? kudzu
? lm_sensors
? acpid
? netfs
? cpuspeed
3.4 安全加固
对操作系统的账号及策略进行安全加固,如:
? ? 加强账号及口令的安全策略,如密码复杂度、密码长度、密码有效期等;
? ? 超过设定时间后自动锁屏;
? ? Windows下尽量不创建其他管理员用户,更改Administrator用户默认的账户名及描述、禁用guest账户;
? ? Windows限定特定系统文件的权限,如禁止Guest用户组访问cmd.exe、xcopy.exe、ping.exe、copy.exe、regedt32.exe、regedit.exe等文件;
? ? Windows下删除各盘符的everyone权限;
? ? Windows系统登录屏幕上不显示上次的登录用户名;
? ? Windows下禁止C$、D$、ADMIN$等系统缺省共享;
? ? Linux系统使用普通用户进行远程登录,限制root用户远程登录;
? ? Linux系统设置登录超时时间,禁用系统热重启快捷键,限制su命令的使用,限制shell命令记录的大小等。
4 中间件
4.1 数据库
4.1.1 明确端口开放范围
数据库只对应用服务器开放必要的端口,其他非必要端口不对外开放。各数据库服务的默认端口(端口可以修改):Oracle:1521、MySQL:3306、SQLServer:1433、PostgreSQL:5432。
4.1.2 及时更新补丁/版本
? 在保证业务及网络安全的前提下,经过兼容测试后,及时更新数据库软件官方网站发布的最新补丁程序,补丁更新操作由数据库软件厂商的专业工程师进行实施,补丁更新前,进行有效数据备份。
? ? 其中MySQL建议使用同一大版本系列的最新版本;Oracle建议更新最新的官方补丁包;SQLServer建议更新最新的官方补丁包。
4.1.3 账户密码及备份策略
? ? 设置数据库用户口令的密码复杂度、口令有效期、锁定时长、锁定前允许的最大登录失败次数等;
? ? 停用、锁定或删除不必要的管理员权限账户;
? ? 在数据库权限配置能力范围内,根据业务需要,配置所需的最小权限;
? ? 设置数据库连接超时限制;
? ? 制定完备的数据备份策略,并定期检查备份日志,验证备份有效性。
4.2 Apache
4.2.1 及时更新补丁/版本
关注Apache官方网站发布的最新安全公告信息,获取最新的补丁程序或安装官方最新版本软件。
安全公告地址:https://httpd.apache.org/security_report.html
Apache的下载地址为:https://httpd.apache.org/download.cgi
4.2.2 其他安全策略
?? 禁止目录浏览
?? 限制目录执行权限
?? 隐藏Apache版本号
?? 增强加密算法
?? 禁用不安全的SSL协议
4.3 Nginx
4.3.1 及时更新补丁/版本
关注Nginx官方网站发布的最新安全公告信息,获取最新的补丁程序或安装官方最新版本软件。
安全公告地址:https://nginx.org/en/security_advisories.html
Nginx的下载地址为:https://nginx.org/en/download.html
4.3.2 其他安全策略
? ? 禁止目录浏览
? ? 限制目录执行权限
? ? 隐藏Nginx版本号
? ? Nginx运行用户降权
4.4 Tomcat
致远服务网站http://support.seeyon.com/提供了适用于协同产品的tomcat更新包,请关注网站动态,及时更新tomcat更新包。
4.5 WebSphere
4.5.1 及时更新补丁/版本
关注WebSphere官方网站发布的最新安全公告信息,在保证业务及网络安全的前提下,经过兼容测试后,有中间件厂商工程师获取最新的补丁程序或安装官方最新版本软件。
WebSphere的下载地址为:https://www.ibm.com/developerworks/cn/downloads/ws/was/index.html
4.5.2 其他安全策略
? ? 加强账户安全,修改用户口令、限制密码长度、密码复杂度等;
? ? 禁止目录浏览;
? ? 启用会话安全性
4.6 WebLogic
4.6.1 及时更新补丁/版本
关注WebSphere官方网站发布的最新安全公告信息,在保证业务及网络安全的前提下,经过兼容测试后,有中间件厂商工程师获取最新的补丁程序或安装官方最新版本软件。
WebLogic的下载地址为:
https://www.oracle.com/technetwork/middleware/weblogic/downloads/index.html
4.6.2 其他安全策略
? ? 加强账户安全,修改用户口令、限制密码长度、密码复杂度等;
? ? 更改默认运行端口;
? ? 禁止目录浏览;
? ? 启用会话安全性
4.7 启用HTTPS
各中间件,无特殊情况,建议开启HTTPS,以保障客户端通过安全的通道访问应用服务。
5 应用软件
5.1 开启安全扫描
V7.1版本协同系统,登录系统管理员账户(system),在[安全管理]-[一键体检]中进行系统体检,并开启定期安全扫描功能。
.png)
5.2 安全策略配置
? ? 通过协同应用配置器中[系统参数设置],启用登录密码加密传输:
.png)
? ? 登录协同系统的系统管理员(system),在[系统设置]-[系统参数设置]中开启附件加密:
.png)
? ? 登录协同系统的系统管理员(system),在[身份认证]-[密码安全设置]中设置密码强度等级,建议勾选不符合强度要求,强制修改密码:
.png)
5.3 关注服务网站动态
关注致远服务网站http://support.seeyon.com,及时获取最新补丁包。
.png)
6 客户端
6.1 客户端环境安全
对于使用协同产品的客户端(包括PC端、移动端),要做好安全防护措施,安装基本的防病毒/木马软件和客户端相关安全产品。
6.2 客户端认证安全
对于有相关安全需求的客户,建议使用客户端身份认证狗,或客户端CA证书。
