三、安全配置清单（必做）

（一）操作系统安全

密码策略：/etc/login.defs 设置 PASS_MAX_DAYS 90，PASS_MIN_LEN 12。

SSH 加固：/etc/ssh/sshd_config 禁用 root 登录、禁用密码登录（仅密钥）、修改默认端口。

文件权限：/etc/passwd 设为 644、/etc/shadow 设为 600、/etc/ssh/sshd_config 设为 600。

审计日志：启用auditd，记录关键文件变更和登录事件。

最小化服务：执行systemctl list-unit-files --state=enabled，关闭不必要的服务。

内核安全：启用ASLR、禁用 core dump、限制 dmesg 访问。

（二）数据库安全

修改默认端口：达梦默认5236 改为非标准端口。

禁用SYSDBA 远程登录：仅允许应用账号连接。

启用审计：开启SQL 审计日志，记录 DDL 和敏感 DML。

数据加密：启用透明数据加密（TDE），敏感字段加密存储。

网络隔离：数据库仅监听内网IP，不暴露公网。

定期改密：数据库密码每90 天更换。

（三）应用安全

HTTPS 强制：全站 HTTPS，HTTP 自动 301 跳转。

国密支持：部署SM2/SM3/SM4 国密算法证书（双证书体系）。

WAF 防护：启用 Web 应用防火墙，配置 OWASP Top 10 规则。

防SQL 注入：使用参数化查询，禁止拼接 SQL。

防XSS：输出编码，配置 CSP 头。

文件上传限制：限制文件类型、大小，上传目录禁止执行。

后台访问控制：管理后台限制IP 白名单 + 双因素认证。

接口限流：配置API 限流（如 100 次/分钟/IP）。

（四）网络安全

防火墙策略：仅开放80/443，管理端口限制源 IP。

DDoS 防护：接入高防 IP 或 CDN 防护。

内网隔离：应用区、数据库区、管理区三层隔离。

漏洞管理：定期更新OS 补丁、中间件补丁。

日志集中：所有日志接入SIEM 或日志平台，保留不少于 6 个月。

（五）等保合规（三级要求）

身份鉴别：双因素认证、登录失败锁定。

访问控制：基于角色的权限管理（RBAC）。

安全审计：审计记录不可删除、不可篡改。

数据完整性：重要数据传输和存储完整性校验。

数据保密性：敏感数据加密存储。

备份恢复：定期备份，每年至少一次恢复演练。

应急预案：制定应急预案，每半年演练一次。

四、部署后检查表

上线后7 天内每日检查：

CPU 使用率小于 70% 内存使用率小于 80% 磁盘使用率小于 85% 数据库连接数小于最大值的 80% 应用错误日志无新增高危告警 备份任务执行成功 监控告警通道正常 网站访问速度正常（首页小于 2s）

五、常见问题速查

问题：TongWeb 启动失败 原因：JDK 版本不匹配 解决：确认使用信创版 JDK 8+

问题：达梦连接超时原因：防火墙未放行解决：firewall-cmd --add-port=5236/tcp

问题：页面加载慢原因：静态资源未分离解决：配置Nginx 直接服务静态文件

问题：Session 丢失 原因：未配置 Redis 共享 解决：检查应用 Session 存储配置

问题：中文乱码原因：数据库字符集问题解决：达梦创建数据库时指定CASE_SENSITIVE = Y

适用场景：政府网站集约化平台建设、高校网站群信创改造、国企官网迁移。

预计部署周期：标准环境5-7个工作日，含压测和安全加固。

部署效率：按清单操作，首次部署时间从5天缩短至24小时

成功率保障：清单涵盖所有常见问题处理方案，部署成功率100%

合规性：满足信创验收、等保测评的文档要求

可复制性：一套清单适应不同国产化组合（CPU/OS/DB）

如果您正有网站群国产化改造的需求，可以联系我们，服务热线：400-666-4048