U8cloud安全白皮书（建议手册）.pdf

U8cloud安全白皮书一、安全建议1.1操作系统1)安装杀毒软件，开启防火墙2)操作系统创建非管理员账号，并且设置密码策略，包括密码复杂度策略和定期更新策略3)不安装/卸载不必要的联网软件，关闭存在安全隐患的系统服务（如FTP、IIS）4)修改系统及服务默认端口号，主要包含以下端口号：服务器类型默认端口号U8C应用8088数据库服务器（Oracle）1521数据库服务器（SqlServer）1433远程连接服务（Windows）3389远程连接服务（Linux）225)定期更新操作系统补丁6)不要多个业务系统共用服务器，避免病毒串联1.2网络1)严格管理互联网访问权限，避免引入外部风险2)根据实际情况划分安全隔离区域，避免风险内部扩散3)控制内网终端接入移动存储设备，避免引入安全风险4)严格控制外网开放端口，仅开放必须的业务端5)加强安全防护设备的配置策略，及时更新规则库1.3数据库1)建立数据双备份恢复机制（本地异地），同时验证备份数据的有效性2)修改数据库默认端口号，只开通U8C应用及相关必要连接主机的IP访问白名单3)数据源禁止使用sa/sysdba用户，使用自定义的权限用户1.4应用1)关闭非必要端口，应用服务器理论上入方向只需要开通U8cloud服务端口2)建立应用备份恢复机制（操作系统镜像备份、代码备份、补丁备份等）3)对于过老的U8C版本建议升级最新版本4)及时更新最新U8C安全漏洞补丁1.5客户端1)安装杀毒软件、防火墙2)关闭不必要的网络共享3)不下载不明软件及程序1.6日常运维1)时刻关注操作系统资源使用情况，以及防护软件告警信息2)关注U8C安全补丁信息并及时升级3)服务器、应用、数据库账号密码妥善谨慎保管，避免明文传输4)根据所需情况周期性对整个系统进行漏洞扫描5)定期删除不使用的系统、数据库等账号二、操作指导2.1操作系统2.1.1更改操作系统远程端口（Windows）1)在服务器运行窗口中输入“regedit”打开注册表编辑器2)在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp目录下3)修改PortNumber数值，将其修改为你想要的修改的端口号，默认为33894)继续找到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TenninalServer\WinStations\RDP-Tcp5)目录下的PortNumber，修改PortNumber数值，将其端口修改为你想要的修改的端口号，默认为3389。6)防火墙高级设置中修改远程桌面端口7)修改好上述注册表端口后，重启服务器使之生效或者重启RemoteDesktopServices服务。2.1.2更改操作系统远程端口（Linux）1)编辑sshd配置，修改默认的端口:vi/etc/ssh/sshd_config2)修改Port为自定义端口号3)重启sshdSystemctlrestartsshd2.2应用2.2.1修改U8C默认访问端口1)执行u8c安装目录/bin/u8cSysConfig.bat(.sh)2)在系统配置窗口，点击“Server--读取”，修改端口号后点击“保存”，重启服务生效2.2.2获取U8C安全补丁1)在资源管理器，输入：ftp://125.35.5.220/Security/2)各版本安全补丁存放在各版本命名的文件夹下，通版文件夹存放着适用所有版本的安全补丁2.2.3升级安全补丁（第三方依赖组件漏洞）第三方漏洞的补丁升级操作过程为jar包替换，以fastjson补丁为例：1)停止u8c服务2)进去u8c安装目录external\lib下删除fastjson-1.1.41.sec10.jar3)将fastjson-1.2.83.jar放到external\lib下4)启动u8c服务注意：升级前请备份，出现问题及时替换回来，然后联系u8c运维人员。2.2.4升级安全补丁（自有漏洞）产品自有漏洞的补丁升级操作过程为补丁文件的添加或覆盖：1)备份2)将补丁包解压，将replacement下的文件强制覆盖到u8c安装目录下3)重启服务2.3数据库备份2.3.1手动备份-SQLServer1、在要备份的数据库上点击鼠标右键，再点击任务下的备份。2、如果不想改路径可以直接点击确定按钮，等备份完，然后去这个路径下找备份的文件2.3.2手动备份-Oracle登录数据库：sqlplus"/assysdba"查看数据库名：showparameterdb_name;查看实例名：showparameterinstance_name;oracle11g的数据库：映射备份目录：createorreplacedirectoryZLas‘备份文件存放目录’;grantread,writeondirectoryZLtopublic;数据泵和普通模式的区别：1、使用数据泵的时候，会先在数据库中创建一张表，如果指定了job名，那么表名就是这个指定的job名，在完成导数之后数据泵工具会自动删除这张表。如果在导数的过程中出现问题，那么数据库中的这张表不会删除，可以通过表dba_datapump_jobs查看到。2、传统的exp/imp对于小数据量的导数，确实是灵活方便，命令敲起来快速有效。不过对于大数据量，还是数据泵更好。1、数据泵模式数据库备份：（导出数据库）expdpZL/1directory=ZLdumpfile=ZL1.dmplogfile=ZL1.log(此处的文件名可随意起)数据库还原：（导入数据库）先去创建一个用户sqlplus/assysdba;createuserZL2identifiedby1defaulttablespacennc_data01temporarytablespacetemp;grantconnect,dbatoZL2;（给wh2这个用户dbs的权限）然后将备份文件导入这个用户中：impdpZL2/1directory=ZLdumpfile=ZL1.dmplogfile=ZL1.logremap_schema=ZL:ZL2普通模式数据库备份：（导出数据库）expwh1/1directory=WHfile=wh1.dmplog=wh1.log(此处的文件名可随意起)2.3.3设置定时备份-SQLServer第一步：连接数据库-管理-维护计划（右击）-维护计划导向第二步：输入任务的名称-点击计划栏的更改-选择计划的执行时间第三步：点击下一步后-备份数据库（完整）-常规-数据库-以下数据库（选择要备份的数据库）第四步：目标-文件夹（选择备份文件路径）-下一步第五步：将报告接入文本文件-文件夹位置（建议与备份同一路径）-下一步-完成第五步：管理-维护计划-DATABAK(右键)-执行第六步：若报错SQLServerAgent当前未运行-则打开任务管理器-服务-SQLServer代理（右键运行）-再次执行DATABAK查看是否报错第七步：执行成功后查看备份路径是否有备份文件第八步：通过恢复备份的方式验证完整性，恢复备份后查看数据库是否完整2.3.4设置定时备份-OracleWindows:第一步：拷贝如下脚本Oracle_BAK.batC:\Users\Administrator>sqlplus/assysdbaSQL>createorreplacedirectoryORACLEDATADIRas'备份文件存放目录';@REM例如SQL>createorreplacedirectoryORACLEDATADIRas'E:\ORACLE_DATA';SQL>grantread,writeondirectoryORACLEDATADIRtopublic;第二部：右键-编辑-脚本第三步：修改红色部分参数，如用户名、密码、实例名称、以及备份路径第四步：测试-双击脚本-在备份文件中查看是否生成dmp、log文件第五步：打开任务计划程序-创建基本任务-名称-下一步-触发器-设置定时-设置操作-选择脚本路径-完成-第六步：右键ORACLE_BAK(该名字为计划任务名称，为你刚刚自己设置的名称)-运行第七步：通过恢复备份的方式验证完整性，恢复备份后查看数据库是否完整一定要验证数据备份是否完整可用。Linux:第一步：下载如下.sh文件Oracle_BAK.sh第二步：编辑该文件。第一步修改要备份的数据库名称、密码、备份路径第三步：使用root用户上传该文件第四步：授权chmod-R755Oracle_BAK.sh第五步：运行脚本查看是否可以成功备份第六步：设置定时任务crontab-e0023***/data/u8c/Oracle_BAK.sh第七步：等待定时任务执行，之后查看备份路径下是否有备份文件第八步：通过恢复备份的方式验证完整性，恢复备份后查看数据库是否完整三、系统风险自测表风险级别条目勾选1高（10分）是否升级了当前U8C门户提供的全部安全补丁2是否网络外层有防护设备，边界防火墙、WAF等3是否有数据库本地数据备份4是否为内网部署，而非直接将服务暴露到公网5是否升级了操作系统所有补丁6中（5分）是否有数据库异地数据备份7是否除U8C外不存在其他服务，如FTP、Apache、IIS等8是否修改了服务器远程连接默认端口号9是否服务器安装杀毒软件，开启了防火墙10是否对服务登录账号进行了管理（非管理员账户维护，密码复杂度及定期更新策略）11是否对入口网络访问端口进行了限制，例如安全组策略等12是否对U8C已打补丁进行了备份13低（1.5分）是否其他业务复用服务器14是否设置了数据库访问白名单15是否U8C为最新版本16是否数据库为自定义权限用户17是否对应用进行了备份18是否对内网客户端杀毒防护软件进行了统一管控19是否会对U8C服务器进行周期性漏洞扫描20是否定期会到U8C门户获取最新的安全漏洞补丁并升级21是否修改了U8C默认端口号22是否修改了数据库的默认端口评分规则分值区间防护等级说明<80分低该分值区间说明您的系统防护方案存在重大缺陷，即有可能存在被攻击且数据丢失的风险，且数据库被破坏的风险80-95中该分值区间说明您的系统有一定的防护抵御手段，黑客想攻破您的系统需要一定的技术门槛和成本，但仍然存在被攻击攻破的风险>95分高该分值区间说明您的系统防护手段已相当完备，具备多路径抵御攻击与数据恢复的能力，系统安全性很高