1.服务终端 + 操作终端
操作终端:开发人员的电脑或者具有后台登录的管理员的电脑
服务终端:具备进入服务器和阿里云全部权限的操作人员的电脑
设置:运行secpol.msc进入管理设置页面
1.1 账户策略
1.1.1 密码策略(长度至少8位,使用期限最短设置90天)
1.1.2 账户锁定策略:10分钟(建议)
1.2 本地策略
1.2.1 审核策略(全部修改成:成功+失败)
1.2.2 安全选项(关机:清除虚拟内存页面文件:开启)
1.2.3 安全选项(交互方式登录:不显示最后的用户名:开启)
1.3 设置:搜索计算机管理,进入系统
1.3.1 共享文件夹(需要关闭)
1.3.2 本地用户和组(需要修改用户的默认名:比如admin)
1.3.3 Windows日志(日志最大大小:修改为204800,日志满时将其存档,不覆盖事件)
2.数据库
1.1. 定期修改密码(后台设置:3-6个月)
1.2. 账户锁定
1.3. 日志审计
1.3.1 阿里云后台:安全中心(检测响应->日志分析:扩容)
1.3.2 数据库审计(存储管理->审计+会话:设置期限为180天)
1.4. 备份
1.4.1 数据库备份(云备份)
1.4.2 数据库备份(navicat:自动运行添加数据备份定时任务)
3.项目
1.1.定期修改密码(后台设置:3-6个月)
1.2 用户锁定(登录时间限制:可以参考登录时间为2小时,过期后强制退出)
1.3 用户密码(长度最少8位,组成由数字,字符,字母两者中的两种组成)
1.4 用户登录双认证(静态口令,动态口令,生物特征)
1.5 后台需要“有用户行为分析”功能(记录用户的操作)
1.6 注意用户权限的横向越权和纵向越权问题
1.7 注意短信爆破问题
1.8 互联网医院项目(电子处方需要有药师审核的功能)
1.9 互联网医院项目(就诊人小于6岁需要监护人信息)
4.服务器
1.1 需要开启云防火墙或者开启安全中心+WAF
1.2 服务器密码需要定期跟换(3-6个月)
1.3 服务器需要设置会话超时退出
5.省级接口对接(互联网医院项目:以四川监管平台为例)
1.1 获取token(需要缓存:目前有效时间是7天)
1.2 标准数据需要获取(用药频次,用药单位,用药剂量需要标准化)
1.3 上报数据:初诊数据+复诊数据+电子处方信息
1.4 上报方式(可以实时上报也可以集中上报,要求:上报数据不能超过24小时)
设置参考文献:
资产添加(需要添加的是:云安全中心和数据库审计):参考文档:审计操作 - 日志服务 - 阿里云
