NCCloud产品安全技术演讲人郑健时间2021/04/28个人简介姓名:郑健部门:高端BG-技术服务与运营部职务:性能优化专家(4A)、技术支持专家(4A)认证:用友性能优化专家、SQLSERVERMCSA/MCSE、连任三届微软MVP简介:2006年11月进入用友,15年IT工作经验,有多年项目开发及项目性能调优经验,对服务器故障诊断及数据库优化较擅长;负责对机构提供线上、线下性能优化及共享开发技术的能力提升培训;以及项目的交付支持,支持的项目有天禾项目、海航共享服务、碧桂园项目、江苏洋河酒厂项目、内蒙古三主粮电商项目、锦江项目等。技术著作:著有《庖丁解牛:纵向切入Asp.net控件和组件开发技术》、《产品级性能调优与故障疹断分析》两本软件技术领域著作目录CONTENTSNCC安全技术架构1234安全防御常识产品支持流程及渠道服务器系统安全防御方案-PART01-NC安全技术架构勒索病毒勒索病毒勒索病毒防范一事前防范意识1.文件隔离服务器不直接对接外网,确保数据安全往服务器存放文件,要确保文件不被感染病毒2.禁用不必要的端口除应用必要的端口外,禁用其它所有端口一些病毒如勒索病毒攻击端口(445)确保禁用且不被应用程序使用3.防病毒软件服务器安装各种杀毒、防病毒、反间谍软件定期扫描检查;及时打最新安全补丁4.数据备份重要文件进行定期备份异地备份必要性整体安全架构总体安全架构由安全防护体系,安全管理体系和安全运营体系组成。建立管理,技术、运营三者联动的纵深防御体系。安全防护体系基础设施层防火墙防病毒防APT入侵检测流量控制传输安全防DDOS无线安全云安全访问控制权限管理上网行为管理终端管理安全审计网络准入操作安全移动终端防护人员层分级分类日志审计数据库审计数据脱敏数据加密邮件安全DLP数据库防护数据层安全基线WAF网页防篡改代码审计安全加固威胁情报研发安全APP安全恶意代码防护应用层安全管理体系信息安全组织信息安全策略合规性要求等级保护ISO27001内控管理审计管理有效性测量持续性改变绩效考核协同管理安全治理人员安全员工安全管理安全培训第三方人员安全安全运营体系安全评估风险评估漏洞管理渗透测试安全众测性能监控黑客追溯大数据分析态势感知事件管理补丁管理策略优化业务连续性应急处置灾难恢复安全监控与预警安全系统运维应急响应信息安全的范畴信息安全1243软件安全操作系统应用软件代码安全安全、补丁软件硬件安全设备安全硬件防御身份安全识别数据安全数据泄漏数据破坏数据篡改网络安全传输安全性传输保密性传输完整性会话安全在每次认证后打开一个新的会话数据安全在每次认证后打开一个新的会话…………HTTPS(TLS1.2)数据在传输时,采用标准的SSL传输隧道加密协议,同时保障了数据传输安全性和完整性。iuap为全站HTTPS,SSL采用TLS1.2版本,完全满足敏感数据传输需求。数据存储安全在每次认证后打开一个新的会话根据数据分级分类,各业务系统实现了对元数据中个人敏感信息(如身份证号、手机号)的标记能力,可根据要求进行配置。同时对个人敏感信息进行加密后存储,使用算法统一为AES-128。对于密码,采用哈希加盐(哈希使用SHA-256以上)的模式进行存储。序号账号密码电话1A0000165432115001032012B0000111122213991032923……………………………………存储到数据库中敏感信息---AES-128密码----哈希(SHA256)加盐研发过程保障在每次认证后打开一个新的会话需求设计开发测试运维制度流程工具技术l安全需求分析l风险评估l安全设计方案l安全编码规范l代码审计l安全测试(Fortify)(AppSpider)l渗透测试(人工)l应急预案安全研发规范在每次认证后打开一个新的会话安全自动化体系findbugsAppScanFortiofy开发安全自动化SonarSelenium渗透测试测试安全自动化日志管理监控分析运维自动化支持安全预警漏洞更新安全设计统一用户密码策略用户认证用户会话管理RBAC功能权限数据权限安全日志审计数据存储安全数据传输安全安全编程验证码认证锁定策略认证策略安全传输会话管理服务端保持会话安全Cookie会话清除会话超时权限管理防横向越权防纵向越权功能权限数据权限防SQL注入防注入防XSS注入防MML语法注入防命令参数注入安全组件安全日志组件编码组件加密组件会话管理组件访问控制组件HTTPS支持安全认证组件数字签名组件安全审计组件安全研发规范Java工程结构规范Java开发规范日志开发规范数据持久化规范异常处理规范服务设计开发规范服务通讯协议规范服务扩展设计规范服务治理规范配置管理规范安全测试规范日志和审计在每次认证后打开一个新的会话系统的日志上机日志业务日志安全日志ü记录用户对业务数据的操作ü可配置是否记录日志ü强制记录与安全有关的活动ü记录访问控制、特权用户操作、安全配置变更、关键功能访问等审计ü记录用户的登录和注销时间。ü记录用户登录成功或失败及失败原因-PART02-安全防御常识安全软件必装安全软件现代安全软件是电脑,手机的必备软件,一般包含以下几大功能:l防病毒,防木马l反钓鱼,反诈骗l打补丁,修系统l垃圾清理,系统加速l软件管理,权限管理一般来说,只要经常用安全软件给电脑、手机做体检,多数安全问题都能“一键”解决。特别提示:有些会“卖萌”的病毒或者是网络骗子会谎称安全软件有“误报”,建议你暂时关闭安全软件。千万不能信啊!定期安装安全补丁打补丁工具2003年8月,冲击波病毒利用微软已经修复的漏洞发起攻击,一周之内感染了全球约80%的电脑。2007年1月,熊猫烧香病毒利用Windows漏洞肆虐全国,这是最为臭名昭著的一款“国产”病毒。2017年5月,WannaCry勒索蠕虫利用漏洞永恒之蓝发起攻击,30个小时内就使100多个国家的大量机构陷入瘫痪。打补丁:打补丁是为了修漏洞。系统不打补丁,就像家里不关门窗,很容易被入侵。存在漏洞的系统,安全软件也很难有效防护。可移动存储设备安全杀毒U盘防护U盘又称病毒“摆渡”,常用来攻击隔离网中的电脑。著名的“震网病毒”就是通过U盘入侵伊朗核电站并实施破坏。U盘、移动硬盘一定要先查毒,后使用沙箱一种虚拟的软件运行环境,木马病毒运行在其中,只会破坏沙箱内的虚拟系统,不会危及真实的电脑系统。破解软件、外挂程序、种子文件、色情文件等,都有可能是木马程序。如果实在想要看看究竟,可以把它们丢进沙箱。邮件附件病毒预防、陌生邮件谨慎处理窃密邮件2016年6月,一封带毒邮件盗走日大型旅社800万用户资料。勒索邮件下面这封不起眼的邮件携带了一个ZIP格式的附件,解压后生成一个JS文件,它实际上是一个勒索软件,一旦点击打开,电脑中所有的办公文档、照片、视频都会被加密,只有向勒索者支付赎金后才能解密。勒索软件中招后屏幕的现象办公邮箱不要注册公共论坛、社区站点电子邮箱电子邮件是政企机构办公的重要工具。中国境内企业级电子邮箱活跃用户规模约为1.2亿。企业级用户平均每天收发到电子邮件约16.1亿封。特别提示:切勿使用办公邮箱注册游戏、购物、社交、论坛等第三方应用账户,否则会有如下风险:l您的办公邮箱中会收到很多垃圾邮件。l一旦第三方应用平台被黑,您办公邮箱的帐号和密码也可能会l同时泄露,造成邮件中的机密外泄。l办公邮箱密码泄露,可能引发连锁反应,进而泄露机构内网帐l号,导致内网被黑客入侵。-PART03-产品支持流程及渠道产品支持服务类型技术运维主要通过两个平台来提供服务:数字化服务平台(iSMCloud/DSP)和服务运营平台(SOP)。1)标准服务支持(iSMCloud/DSP)标准服务支持主要是通过DSP平台(https://dsp.yonyou.com)进行支持,总部基于DSP进行处理。客户和一线机构通过iSMCloud提交问题。主要提供包含在软件合同中常规的产品类技术支持服务,如:异常报错、环境、服务启动、补丁问题、参数设置、单功能点效率优化、安全问题、基础组件使用及配置等问题类型。2)专项服务支持(SOP)专项服务支持主要是通过SOP平台(http://ismjg.yonyou.com)进行支持,主要提供专项与增值的技术支持服务,如:安装部署、技术巡检、整体性能优化、大项目专项运维优化、紧急救援、数据库运维、数据恢复、灾备&高可用以及需要现场支持的各类服务。问题处理流程详细说明1)标准技术服务支持处理流程为了减少不规范问题、无效问题数量,降低沟通成本,提高解决问题效率,一线机构都要配置技术顾问,涉及到安装等需要动手的问题,集团专家提供支持一线完成安装部署。标准技术服务支持解决的问题,解决途径为提交iSMCloud。如果是实施顾问或用户提交的技术问题,应该先提交到一线技术顾问处理,一线技术顾问处理不了的,再提交到集团处理,集团顾问跟一线技术顾问对接。2)专项技术服务解决的问题的处理流程解决途径为提交SOP,一线技术顾问要准备好环境,同集团顾问对接。问题提交规范要求1)问题提交的要求 提交的问题要描述清楚。如果是用户提的问题,一线技术顾问要亲自确认后,才能把问题提交到集团; 问题描述要详细明确,必要时要提供描述问题的文档; 性能问题,除非前台完全卡死的情况以外,需要提交SPR(或者录制前后端日志、NMC服务端对应任务线程信息),以及操作截图; 技术类报错问题,除了报错截图和应用场景外,需要前端报错日志及后端报错日志片段。2)远程条件的要求 网络要达到远程流畅的要求 要能进到应用服务器和数据库服务器的操作系统,能进操作系统图形方式,能用ftp连上服务器,操作系统用户权限为管理员权限 用户数据库是oracle的,要求能用plsql连上数据库,数据库是sqlserver的,要求能用sqlservermanagementstudio连上数据库,数据库用户权限为dba权限问题提交规范要求3)问题处理过程的要求 在做好备份的前提下,集团顾问可以对数据库进行如调整数据库参数,修改数据库表记录,创建索引等操作,对应用服务器可以调整配置参数、修改操作系统环境变量、修改日志级别等操作; 在集团顾问判断出是网络、操作系统的问题后,协调好客户IT部门排查问题; 对于可以通过修改应用方案一步步定位问题原因的问题,协调好客户按集团顾问的要求操作。高危漏洞专项处理ApacheCommonsCollections反序列化(readObject)高危远程执行任意指令漏洞ApacheTomcat存在文件包含漏洞NC远程命令执行0-Day漏洞补丁NCC1909,1903,2005安全必打补丁合集NC6X版本安全补丁集任意文件上传高危漏洞高危漏洞专项处理_发文WAS漏洞处理方案正确打补丁方式:先升级版本后打漏洞补丁WAS漏洞补丁下载流程安装补丁步骤补丁部署方式总结WAS补丁管理补丁下载地址:https://www.ibm.com/support/fixcentral/WAS补丁管理补丁应用流程:InstallManager添加补丁库文件,使用InstallManager更新功能,选定组件执行更新。注意事项:安装补丁前停止WAS服务安装补丁后重新部署NC集群。示例补丁:8.5.0.0-ws-was-ifpi73367-PART04-服务器系统级安全防御方案用友&安领可信核心理念和解决方案框架Servers&ClientApplicationNetworkEnterprise企业用户服务器和终端应用系统程序基础网络系统网络、计算、应用:安全一体化企业全面安全:7+1种武器Security业务安全安全咨询威胁评估网络防御C&S防御应用防御安全运维合规审计灾难恢复核心产品组件7•SOSServiceSecurityOperationsService安全运维服务:升级、调优、安全巡检服务2•ASAallinoneApplicationSecurityAssessment核心应用程序威胁评估5•ASPStandardApplicationSecurityProtection核心应用程序安全防御3•NGFWSOHO&StandardNext-GenerationFirewall新一代智慧防火墙6•KBMforNCKeyBusinessMonitoring核心应用程序审计与合规监控•Sec-BiSoftwareSecurityBusinessintelligence安全信息和事件智能管理4•ESM\SECNANOEPPEndpointSecurityManagement终端安全管理•SSMSoftwareServersSecurityManagement服务器安全管理+1•HADRHighAvailabilityDisasterRecovery高可用性灾难恢复Security业务安全安全咨询威胁评估网络防御C&S防御应用防御安全运维合规审计灾难恢复1•SCSServiceSecurityConsultingService安全咨询服务:安全规划和等保服务部署图网络Networkwww路由器Router交换机SwitchWeb服务器WebServersNC应用服务器Applications第三方应用3PartyApplications最终⽤户EndUserNC数据库Databases管理者AdminEPPASANGFWASPSSMKBMSec-Bil威胁检测服务:彻底、全面的威胁扫描和漏洞检测,并根据评估结果提供安全咨询建议l安全运维服务:定期威胁检测、安全策略调整、安全产品升级,以及7X24安全应急响应l基础网络安全:配置网络智能防火墙,建立网路层基础防御l应用系统安全:配置应用系统防御,建立HTTP协议、ERP协议、中间件协议、数据库协议防御l服务器群安全:配置服务器加固疫苗,实现应用程序及系统权限的控制与隔离l终端设备安全:配置终端安全系统,防御病毒和木马,加强补丁管理、准入管理、移动存储管理l业务监控合规:配置应用程序审计和合规监控系统,监控企业核心业务状态,管理企业核心IT资产解决方案组合:2服务+6产品-PART05-安全认证安全认证ISO27001ISO27001信息安全管理体系国际认证是被广泛采用的全球安全标准,从数据安全、网络安全、通信安全、操作安全等各个方面证明用友产品履行的安全职责。C-Star获得该认证标志着云服务从服务协议(SLA)标准性、数据存储可靠性、用户数据私密性、业务可用性、功能完备性、运维系统完善性等多方面达到国内顶级云服务评测系统的认证标准。可信云等级保护该标准综合考虑产品的预期应用环境,通过对产品的整个生命周期包括技术,开发、管理,交付等部分进行全面的安全性评估和测试,验证产品的保密性、完整性和可用性程度,确定产品对其预期应用而言是否足够安全。EAL3+国家等级保护认证是中国最权威的信息产品安全等级资格认证,由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。用友云已获得等保三级C-STAR是一项全新且有针对性的国际专业认证,同时也是全球认可的国内最高级别的云安全认证,将中国国家信息安全标准和云安全联盟的云控制矩阵相融合,是对云服务提供商极为严格的第三方评估。服务官方微信
