所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
安全管理建议

安全管理建议

帐户建议

建议系统管理员对帐户例行检查,检查的内容包括:

  • 操作系统、数据库的帐户是否必要,临时帐户是否已删除。
  • 帐户的权限是否合理。
  • 对帐户的登录、操作日志进行检查和审计。
  • 保管好运维帐户,严格控制运维帐户的权限和发放范围。避免存放的软件仓库中的重要文件被随意修改。

密码建议

用户身份验证是应用系统的门户。帐户和密码的复杂性、有效期等需根据客户的安全要求进行配置。

对密码的维护建议如下:

  • 系统提供的所有的默认密码,包括操作系统、数据库、预置用户等的默认密码,都必须在安装完成后进行修改。
  • 90天内修改密码。
  • 专人保管主机root密码。
  • 密码传递时要进行加密,尽量避免通过邮件传递密码。
  • 密码需要加密存储。
  • 系统移交时提醒客户更改密码。
  • 操作系统输入密码时,支持直接输入和交互式输入两种方式。直接输入密码有可能存在密码泄露的风险。请执行命令时以交互式方式输入密码。
  • 第三方和开源软件提供的缺省口令,特别是数据库帐户的缺省口令,已广泛公开并存在于口令破解工具的字典中,在现网中使用存在极大的安全隐患。如果使用第三方和开源软件一定要修改缺省口令。如果第三方和开源软件无法满足此规则,本资料提示使用缺省口令的风险。

证书和密钥建议

  • 建议用户使用自己的证书、密钥,替换华为提供的默认证书、密钥。
  • 为了提高系统安全性与防止证书过期,建议用户定期更新证书。
  • 建议用户定期更新密钥。建议每隔6个月更新一次密钥。

日志建议

利用审计日志记录来帮助发现可疑的活动。系统对于重要业务(包括系统参数、资源配置与发布等)的操作需要记录日志。通过系统加固对日志文件进行保护。

  • 定期检查日志

    定期查看系统日志、操作日志及安全日志,若发现有异常日志出现,应及时向上级部门汇报,若不能定位原因或无法自行解决时,及时向当地办事处或拨打400电话向华为公司求助。

  • 定期备份日志

    日志应当进行定期备份,同时将备份文件在外介质(磁盘、磁带、光盘等)上存档。日志在备份后应当及时删除,以释放日志空间。

  • 审计功能的配置更改

    在系统初装时完成系统审计功能的配置,一般情况下不建议修改。若需要修改系统审计功能的配置,请报上级部门批准,同时将修改的内容作书面记录。

安全评估建议

建议客户定期对系统进行安全评估,特别是在进行系统重大升级、网络搬迁、系统扩容等网络变更较大的情况下。

建议客户找具有安全评估资质的专业机构对系统进行安全评估,评估时请与技术支持工程师联系。

备份建议

出于安全防护的需要,请在如下场景进行备份:

  • 加固之前和之后进行系统数据的全量备份。
  • 在进行日常安全配置维护、故障处理之前和之后进行备份。
  • 安装补丁、升级时备份,请参见对应的指导书。

漏洞扫描建议

漏洞扫描通常是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测行为。

客户需要建立应对安全事故的应急响应处理机制,以保证出现安全事故后,可以尽快恢复生产和解决问题,将损失降至最低。

  • 扫描频率

    建议客户使用NMAP工具扫描系统,参考《FusionCloud 6.3.0 通信矩阵》中的“ManageOne 6.3.0 > ManageOne 6.3.0 通信矩阵 0x.xlsx”,检查系统是否开放了不必要的或可疑的端口,建议在如下阶段进行扫描:

    • 周期性扫描,例如,按季度进行漏洞扫描。
    • 在系统安装或者升级完成后进行漏洞扫描。
    • 在发布重大漏洞公告时,需要对系统进行扫描确认是否存在重大漏洞。
    • 在补丁发布或者升级完成后进行漏洞扫描。
  • 扫描执行时间

    对于扫描的具体执行时间,建议在业务相对空闲时进行,最大程度地减小对业务的影响。例如在凌晨3:00开始进行扫描。

  • 扫描后的处理

    在漏洞扫描发现异常时,根据扫描报告进行相应处理,例如删除异常帐户。

    扫描发现高危安全漏洞后,建议咨询技术支持工程师。

网络连接变更建议

在网络连接发生变更时,建议用户进行如下操作:

  • 更新组网图。
  • 刷新通信矩阵。
  • 更新防火墙配置。
  • 更新交换、路由设置的配置。
  • 建议客户在网络连接变动较大时,对网络拓扑进行分析。

网络日常维护建议

可以通过检查VLAN/IP的方式对网络进行日常安全检查。

VLAN(Virtual Local Area Network)将一个物理的LAN在逻辑上划分成多个广播域。VLAN内的主机间可以直接通信,而VLAN之间不能直接互通,从而将广播报文限制在一个VLAN内。由于VLAN间不能直接互访,因此提高了网络安全性。

检查VLAN配置信息及相关IP地址、处理异常能保障网络的安全性。请检查VLAN配置信息以及相关IP地址是否有异常,如发现异常需要及时处理(相关操作方法请查阅对应交换机操作手册)。

说明:

当网络中需要跨越防火墙设备时,建议按IP地址放行流量。如果需要按IP地址+端口放行流量,则请联系技术支持工程师获取端口列表,避免屏蔽掉正在使用的端口。

缺陷报告建议

如果用户报告系统遭到攻击,请根据攻击的具体情况采用如下两种处理方式:

  • 如果现场发生了安全事故,技术支持工程师将提供远程或者现场支持,协同用户减轻系统遭受攻击的影响,并且完善现场事故报告的处理过程。
  • 如果没有发生安全事故,技术支持工程师将把问题录入数据库并传给研发团队。研发团队找到解决方案后,技术支持工程师将分析方案实施对现场业务的影响,并提供建议的解决方法。

补丁建议

如果需要安装补丁,请与技术支持工程师联系,切勿自行升级。

请您建立补丁管理的制度,设置相关人员,检视产品补丁,以及操作系统、数据库、中间件原厂发布的补丁。

翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:28346

下载量:788

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页