目的:根据公告显示,K/3 WISE即将停止服务,作为K/3 WISE的一位多年的产品人,个人觉得有必要,也有有义务总结一些有关K/3 WISE安全运维的思路,提供给伙伴、客户进行参考,力所能及的帮助伙伴、客户做好K/3 WISE的安全运维工作,避免发生诸如数据泄露、数据窃取、数据破坏、勒索攻击、数据丢失等可防可控的恶性事件发生。
本文旨在将K/3 WISE的安全相关的事项进行罗列,不涉及各项安全措施的具体操作,有关操作会因使用的软件、版本的不同会有区别,需要自行查阅相关专业的操作说明书进行操作。
特别声明:本文仅是就个人所知进行总结,可能会有错漏,不对任何机构、伙伴、客户的系统安全负责,仅供运维参考。强烈推荐引进第三方网络安全机构进行评估,并根据各自的情况和安全诉求,整理完整的网络安全方案并限期整改。
一、 K/3 WISE部署拓扑图及基本安全要求
K/3系统是三层结构应用,系统部署分多部分进行,包括客户端、中间层、数据库、WEB服务器、客户端、web客户端(含移动轻应用)几大部分。一般部署拓扑图如下:
 |
数据库服务器:基于Windows Server操作系统的Sql Server数据库服务器,部署Sql SERVER服务器、K/3数据服务部件。该服务器承担了K/3 WISE的数据存储、数据运算能力等,是企业的安全核心。需防止服务器被劫持、入侵、恶意篡改,数据被破环、被窃取,同时需要保证在发生灾难时可以快速恢复企业数据。
中间层服务器:基于Windows Server操作系统的COM+服务,部署K/3 WISE中间层。该服务器承担了K/3 WISE的核心业务逻辑、数据库操作等能力,是保障K/3 WISE核心业务运行的核心。需防止服务器被劫持、入侵、恶意篡改、非法调用,同时需要保证在发生灾难时可以快速恢复,持续提供ERP业务服务。
WEB服务器:基于Windows Server的IIS站点服务,部署K/3 WISE WEB服务。该服务器提供K/3 HR、CRM、SRM、门户、移动应用等WEB服务,为可选服务安装部件。该服务器是常见的黑客攻击的目标,攻击手段众多,如:SOL注入攻击、XSS跨站脚本攻击、任意文件上传漏洞、任意文件读取漏洞、DDos分布式拒绝服务攻击、网站cc攻击、暴力破解、DNS查询攻击、CSRF跨站点请求伪造、RCE远程命令/代码执行攻击、信息泄露等常见的攻击方式。需防止服务器被劫持、入侵、恶意篡改、非法调用,同时需要保证在发生灾难时可以快速切断服务,并可快速恢复。
客户端:基于Windows桌面操作系统的Winform应用程序,部署K/3 WISE客户端,一般部署在K/3 WISE用户的工作电脑上。客户端提供K/3 WISE的操作界面,承担与中间层服务器交互,实现企业业务运行。需防止被劫持、病毒、木马等攻击。
WEB客户端(含移动轻应用):基于IE浏览器的网页访问,需要部署K/3 WISE支持部件(在线安装)。WEB客户端提供网页端的操作界面,与WEB服务器交互,完成企业业务运行。需防止被不明来历的访问、攻击等。
二、 K/3 WISE安全部署指引
(一)网络:
内外网隔离:严格分割企业内外网,增设防火墙,除windows自带的防火墙外,建议购买第三方安全产品的防火墙(如深信服企业级防火墙等),并将K/3 WISE部署在企业内部网络。有关内外网隔离方案请咨询专业的网络服务提供商。
(二)服务器:
1、数据库服务器:
l 部署在企业内部网络,并与办公网络隔离,开启防火墙
l 操作系统所有用户密码、SQL Server服务用户密码均采用强密码策略,并定期更新密码
l 关闭不必要的服务和端口,仅允许中间层服务器、WEB服务器通过1433端口访问数据库,严禁开放远程终端服务,服务器管理通过跳板机进行。
l 关闭xp_cmdshell服务。
l 做好数据库定期备份计划,并实现备份文件的脱网存储。
2、中间层服务器:
l 部署在企业内部网络,开启防火墙,不与非K/3 WISE的其他服务部署在同一服务器
l 操作系统所有用户密码均采用强密码策略,并定期更新密码
l 关闭不必要的服务和端口(详细端口请查阅社区发布的K/3 WISE的部署文档),严禁开放远程终端服务,服务器管理通过跳板机进行。
l 开启白名单模式访问,仅允许公司内部的可信客户端访问K/3 WISE服务。
3、WEB服务器:
l 部署在企业内部网络,开启防火墙,不与非K/3 WISE的其他服务部署在同一服务器上。
l 操作系统所有用户密码均采用强密码策略,并定期更新密码
l 关闭不必要的服务和端口(详细端口请查阅社区发布的K/3 WISE的部署文档),严禁开放远程终端服务,服务器管理通过跳板机实现。
l 开启白名单模式访问,仅允许公司内部的客户端访问K/3 WISE 的WEB服务
(三)客户端
1、客户端:
l 部署在企业内部网络。
l 操作系统所有用户密码均采用强密码策略,并定期更新密码
l 关闭不必要的服务和端口,严禁开放远程终端服务,如必须开启,请更换为非3389的端口,并指定访问用户。
2、WEB客户端:
l 在企业内网使用,通过WEB服务器的白名单方式控制访问,不随意浏览不明网络。
三、 K/3 WISE日常运维安全指引
1. 定期备份K/3 WISE数据库,并定期检查备份的正确性,同时实现脱网、脱机或付费的云盘存储。
2. 定期检查和更新所有服务器、客户端的用户、密码,如发现可疑用户、可疑登录,须第一时间排查清理,确保网络安全。
3. 如有采用第三方防火墙,请及时更新至最信版本,并实时监控网络可以时间,及时处理。
4. 所有服务器、客户端均需及时更新系统补丁、软件补丁,确保安全漏洞的及时修补
5. 所有服务器、客户端均需要安装防病毒软件,并定期更新。
6. 定期审查所有服务器的系统日志,如发现可疑情况,须第一时间排查清理。
推荐阅读