1、服务器安全
部署原则
建议部署环境为契约锁系统专用,避免一服多用带来的风险隐患。
服务器防病毒软件安装
Window系统:安装最近操作系统补丁包,建议安装火绒杀毒。
Linux系统:安装最近操作系统补丁包;建议禁止root账号登录,禁止密码方式登录,建议使用公钥方式登录。
操作系统账号:
契约锁系统应禁止使用超级管理员账号运行。
数据库安全设置
数据库应禁止外网访问,契约锁数据库账号使用非DBA权限账户,限制数据库账号仅对契约锁数据库有效。
2、网络安全
禁止使用IP访问契约锁系统。
网络方面严格控制外网出口,仅对外开放必需功能业务。
外网部署https协议访问,
并禁用SSL全版本,禁用TLS1.0和1.1,仅开启TLS1.2和TLS1.3的强算法模式,需配置在网络拓扑结构的入口处或前端,如果在后面位置则无效,支持此功能的中间件有多种产品,其中常用nginx的设置方法如下:
#以下放在http{}里
#启用TLSv1.2和TLSv1.3,禁用SSLv3.0,TLSv1.0,TLSv1.1
ssl_protocols TLSv1.2 TLSv1.3;
#启用现代TLS加密套件
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4';
#加密套件顺序
ssl_prefer_server_ciphers on;