3. 数据传输加密与协议安全

（1）强制HTTPS加密

• 配置要求：
• 使用TLS 1.2或TLS 1.3协议（禁用TLS 1.0/1.1、SSL 2.0/3.0等过时协议）
• 采用强加密套件（如AES-256-GCM、ChaCha20-Poly1305），禁用弱加密算法（如RC4、DES）
• 证书选择：从正规CA机构申请证书（如DigiCert、Let's Encrypt），配置证书链完整性
• 证书管理：
• 设置证书到期提醒（提前30天预警），避免证书过期导致服务中断
• 启用OCSP Stapling（在线证书状态协议），加速证书验证

（2）部署Web应用防火墙（WAF）

• 功能：防御应用层攻击（如SQL注入、XSS跨站脚本、文件上传漏洞）
• 部署模式：
• 云WAF（如阿里云WAF、腾讯云WAF）：适合云上部署的系统，按流量付费
• 硬件WAF（如F5、绿盟WAF）：适合私有化部署，性能更高但成本较大
• 防护规则：
• 开启OWASP Top 10防护规则（防御常见Web漏洞）
• 配置自定义规则（如拦截特定User-Agent的爬虫、阻断来自特定国家的IP）

四、数据保护层：保障核心数据资产安全

数据是企业的核心资产，需从"存储加密、传输加密、访问控制、操作审计"四个维度全面防护。

1. 数据库安全加固

（1）网络隔离部署

• 部署位置：数据库服务器必须部署在内网核心区，严禁放置在DMZ或直接暴露到互联网
• 访问路径限制：
• 仅允许应用服务器（通过IP白名单）访问数据库端口（如MySQL 3306、Oracle 1521）
• 禁止数据库服务器出站访问互联网（防止数据外泄或被植入后门）

（2）账号权限最小化

• 账号管理策略：
• 为每个应用系统分配独立数据库账号，禁止多系统共用账号
• 按需分配权限：查询系统仅授予SELECT权限，数据导入系统授予INSERT权限，禁止授予DROP、ALTER等高危权限
• 禁用或重命名默认管理员账号（如MySQL的root、SQL Server的sa）
• 密码安全：
• 强制使用16位以上复杂密码（包含大小写字母、数字、特殊字符）
• 定期更换密码（如每90天更换一次），禁止重复使用历史密码

（3）数据库审计与监控

• 部署数据库审计系统（如安华金和、昂楷审计）：
• 记录所有数据库操作（登录、查询、修改、删除），包含操作人、时间、SQL语句、影响行数
• 设置告警规则：检测异常操作（如凌晨批量删除数据、单次查询超过10万条记录、频繁登录失败）
• 日志保存要求：审计日志需保存至少6个月（金融、医疗等行业需保存3-7年）