安全补丁4.3.8至5.1.x(热加载)
适应版本: 4.3.8至5.1.x 平台: Windows/Linux
更新时间: 2024-09-12
MD5: 87877761f3409bf4f58ac1b9850a360a
最新补丁包版本信息: 2.0.6
4.0.x至4.3.7补丁包(热加载)
适应版本: 4.0.x至4.3.7 平台: Windows/Linux
更新时间: 2024-09-05
MD5: 73db12e8f94a6e1db90d6a2ffd14fb15
最新补丁包版本信息: 1.2.2
3.12.x补丁包
适应版本: 3.12.x全版本 平台: Windows/Linux
更新时间: 2024-04-17
MD5: 3eb309523ff191ce166dbfdf858026f1
最新补丁包版本信息: 1.1.1
2.3.0补丁包
适应版本: 2.3.0 平台: Windows/Linux
更新时间: 2024-04-17
MD5: 3eb309523ff191ce166dbfdf858026f1
最新补丁包版本信息: 1.1.1
契约锁系统安全加固建议
一、加固原则
1、默认安全原则
默认配置确保应用处于较安全状态;
2、纵深防御
多层安全防护措施,不同安全方案之间相互配合,构成一个整体;
3、权限最小化
应用程序的功能及所需的权限访问级别合理分配,处于最小范围;
4、攻击面最小
尽量关闭不必要的端口、卸载删除不必要的程序,尽可能减少恶意用户可能发现并利用的攻击面;
二、加固规范与措施
1、初始化设置
系统初始安装后,务必第一时间修改所有管理员密码为复杂密码,并定期变更管理员密码,包括签署平台(默认端口9180),和管理平台(默认端口9181)。
2、定期升级安全补丁包
系统安装后,务必第一时间将安全包升级到最新版本;定期关注契约锁安全应急响应中心相关公告(https://www.qiyuesuo.com/more/security)
3、应用安全设置
开启管理平台内提供的安全设置,包括:设置-系统设置里的访问白名单、嵌入白名单、跨域白名单、非必要不允许用户登录前找回外部单位、禁止私有化执行脚本文件;设置-用户安全里的多因素认证、异地登录校验、安全滑动验证策略、登录锁定策略、多终端同时登录限制、签署平台密码强度设置、强制更换密码策略、弱签署密码校验、管理平台多因素认证、离职冻结策略、禁止外部注册、隐私掩码;设置-开放平台-开启接口调用记录。
对离职成员务必及时收回权限或冻结账号,对变更职权的成员及时收回原职位的权限
4、关闭服务器外网远程访问
禁止外网访问9181管理平台和9182开放平台,如无外网访问需求(纯内部使用签署平台),也可禁止外网访问9180签署平台。
建议客户结合WAF等安全措施一同部署使用。
5、端口开放
服务器上仅开启必要的端口,且仅开放必要的端口到外网,契约锁产品使用端口如下;
| 产品 | 开放端口 | 备注 |
| 电子签约签署平台 | 9180 | |
| 电子签约管理控制台 | 9181 | |
| 电子签约开放平台 | 9182 | 提供说明文档和可用接口 |
在部分旧版系统中还可能存在其它端口,如果用privgateway.jar启动会启用9183,用内嵌jetty发布webservice会启用9185,如无使用场景可考虑移除。
三、安全加固建议
1、服务器安全
部署原则
建议部署环境为契约锁系统专用,避免一服多用带来的风险隐患。
服务器防病毒软件安装
Window系统:安装最近操作系统补丁包,建议安装火绒杀毒。
Linux系统:安装最近操作系统补丁包;建议禁止root账号登录,禁止密码方式登录,建议使用公钥方式登录。
操作系统账号:
契约锁系统应禁止使用超级管理员账号运行。
数据库安全设置
数据库应禁止外网访问,契约锁数据库账号使用非DBA权限账户,限制数据库账号仅对契约锁数据库有效。
2、网络安全
禁止使用IP访问契约锁系统。
网络方面严格控制外网出口,仅对外开放必需功能业务。
外网部署https协议访问,
并禁用SSL全版本,禁用TLS1.0和1.1,仅开启TLS1.2和TLS1.3的强算法模式,需配置在网络拓扑结构的入口处或前端,如果在后面位置则无效,支持此功能的中间件有多种产品,其中常用nginx的设置方法如下:
#以下放在http{}里
#启用TLSv1.2和TLSv1.3,禁用SSLv3.0,TLSv1.0,TLSv1.1
ssl_protocols TLSv1.2 TLSv1.3;
#启用现代TLS加密套件
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4';
#加密套件顺序
ssl_prefer_server_ciphers on;
3、应用安全
账号安全
应开启密码复杂度策略:密码长度至少8位,且包含字母、数字、特殊字符,密码不能有明显的输入规律。
数据安全
定期进行数据库备份,合同文件备份(非常重要!!!)
四、 安全应急响应
系统出现攻击事件后,请第一时间断开服务器外网,并根据威胁情况判断是否需要进一步切断被攻击机器局域网链接。然后收集攻击事件相关资料描述,联系契约锁客服或项目人员进行处理。