关于加强防范勒索病毒及网络攻击的安全提示操作指引目录1.概述..32.操作指引.32.1只开放必要的网络端口至互联网.32.2ERP系统安全加固.42.3做好数据备份.62.4加强密码管理,全面修改弱密码.62.5安装安全防御软件..71.概述为了确保金蝶产品能够正常运行,不出现感染勒索病毒、数据泄露等安全问题,特制定本操作指引。2.操作指引2.1只开放必要的网络端口至互联网⚫对外禁止开放不安全协议,在防火墙/路由器上DNAT(配置虚拟IP,配置策略ACL)中仅映射https(默认443端口)协议,http(默认80端口)协议对外开放,即对外开放服务(协议)必须为HTTP或HTTPS(见下图),禁止对外开放RDP协议(3389端口)、SSH协议(默认22端口)、RPC服务(默认135-139)、Simba(默认445单口)等高危协议及端口(如FTP、SIP、MySQL、Oracle、redis等),内部服务器开放协议默认禁止(见下图):图1:配置示例(防火墙)⚫对于应用程序使用访问,内部做好访问控制(如仅财务部门办公网络可访问),运维端口/协议(RDP、SSH、Redis等)仅对运维设备(建议:安全运维堡垒机)开放。2.2ERP系统安全加固确保安装ERP系统最新的安全稳定版本或者补丁(见下表)。序号产品建议版本获取方式1金蝶云苍穹/星瀚建议CONSTELLATION.V4.0.008以上版本推荐版本:CONSTELLATION.V5.0.006下载链接:https://download.kdcloud.com/download/?code=16618263301ac37eebfacdda4a9f3d282金蝶云星空PT-1469228.0.0.20220811发布时间:2022/8/11(金蝶云星空V7~V8)https://open.kingdee.com/K3Cloud/Open/PTHistory.aspx?product=BM0JA8DBhNnPB5vdIo%2fyYEpoaTUJ%2fnngd7nZwMm9%2bcP%2fvALzQIDBpJ7s79L97TAVS%2bIBi0FoiTgaYz0u%2b5HA3If0Lt5aVvyaOzGgAZteQAa9KnQHiRUIIjAUaMNdsgI8YNK%2fslrKAEoMjSxDd4KhXzffJ%2bJQ%2fU5Y00M1PAIZdc0%3dThisIsSplit&type=A3EASCloud1、7.5及以下版本已退出生命周期,无补丁修复支持,请推动升级2、8.0及以上及时安装加固补丁安全修复补丁(8.0)https://vip.kingdee.com/link/s/Mip4G安全修复补丁(8.2)https://vip.kingdee.com/link/s/Mip4y安全修复补丁(8.5)https://vip.kingdee.com/link/s/MiMqx安全修复补丁(8.6.0)https://vip.kingdee.com/link/s/Mip42安全修复补丁(8.6.1)https://vip.kingdee.com/link/s/MiMqT4KIS云使用KIS云产品或相关工具的私有云客户建议升级到公有云或者参照以下清单升级到安全加固版本,以便获得更强的安全防护,如SQL防注入、强密码策略、私有云账套自动云备份功能等KIS云安全加固系列产品旗舰版V7.0.1发布日期:2022-07-21专业版V16.0.2发布日期:2021-12-31商贸版V9.0发布日期:2018-11-01标准版V14.0发布日期:2021-11-19迷你版V14.0发布日期:2021-11-19KIS云安全加固相关工具KIS云客户端V8.6KIS云桌面服务端V8.0.4KIS私有云服务端V7.0.8金蝶云·远程办公助手_客户端V2.2金蝶云·远程办公助手_服务端V2.1KIS云系列产品链接:https://vip.kingdee.com/knowledge/specialDetail/341901700862361344KIS云相关工具链接:KIS云客户端V8.6获取地址:https://kisyun.kingdee.comKIS云桌面服务端V8.0.4获取地址:https://kisdoc.kingdee.com/web/#/56/880KIS私有云服务端V7.0.8获取地址:https://kisdoc.kingdee.com/web/#/20/246金蝶云·远程办公助手_客户端V2.2金蝶云·远程办公助手_服务端V2.1获取地址:https://www.jdy.com/products/remote-work/5s-HR1、金蝶s-HRV1.5及以下版本已退出生命周期,无补丁修复支持,请推动升级2、金蝶s-HRV8.2及以上及时安装加固补丁https://pan.yunzhijia.com/edit#/507146560702775296/6WISE15.1SPhttps://k3mobile.kingdee.com/GrayscalePatch7金蝶建筑房地产(EAS)同EAS底层与EAS一致,安全版本参考EAS8金蝶建筑房地产(苍穹)同苍穹底层与苍穹一致,安全版本参考苍穹2.3做好数据备份务必至少每天备份数据在不同存储上,且异地保存,并检查备份数据的可用性。对于云部署模式,应考虑异地或者跨云备份;对于本地机房,应离线备份至其它介质上。2.4加强密码管理,全面修改弱密码⚫遵守并严格执行符合相关技术标准和所属公司安全规范的密码要求⚫建议:所有密码必须设置强密码(数字+字母大小写+特殊字符四种中任选三种,长度不少于8位,建议定期(90天-180天)修改密码),服务器不要使用同一密码;9金蝶云食神餐饮金蝶云食神餐饮PT-001846发布时间:2022/5/18https://open.kingdee.com/K3Cloud/Open/PTHistory.aspx?product=dFey4nX6SuD2eoW8WQvHGQBKhr3SMmPBu%2f7M0ESuBLnjaNQUexZHUo8IidGyJ5fOAndMIB4AfzgXHDVLF5DHzZA%2faxo1W7myRsEZDVnN2ilJgW7TkkKNZnu%2bvCBHTlMIHYMucrO3kmgbUs928sOrRQNdpB9o5PSd%2fEAhbSGLPpo%3dThisIsSplit&type=Dhttp://ksm.kingdee.com:8000/ccsp/patch!patchDownLoadMain.action⚫修改初始或默认帐号密码(服务器修改密码linux:passwdXX用户名输入2次,windows-开始-设置-账户-登录选项-密码|域账户密码直接修改AD密码)。2.5安装安全防御软件为及时识别攻击,建议部署以下安全防护设备:⚫增加WAF设备,把web应用系统加入到WAF中进行防护,对开放的HTTP&HTTPS协议进行防护(串接WAF-配置站点|上传证书-开启防护)必须开启的防护有基础防护、注入防护、XSS等,防护策略不低于中;⚫增加主机入侵检测(HIDS)设备,对操作系统及容器进行入侵检测(部署HIDS管理控制台-打通网络-安装agent-设置告警规则);⚫在服务器上安装防病毒软件(推荐趋势、360、火绒、McAfee等)(部署管理控制台-安装agent/虚拟机-设置告警规则,定期更新病毒库);⚫通过WAF、防火墙等设备对安全攻击行为进行遏制(封禁IP,黑白名单设置、频率限制等)。
