档案软件全链路安全防护实操指南 覆盖部署配置运维数据全流程

一、前置准备

1.1 必备工具清单

所有工具均为免费可直接下载使用，无需额外付费：

• 文件哈希校验工具HashMyFiles：https://www.nirsoft.net/utils/hash_my_files.html
• SSL证书工具Certbot：https://certbot.eff.org/
• 漏洞扫描工具Nessus Essentials：https://www.tenable.com/downloads/nessus?loginAttempted=true

1.2 环境基线要求

操作系统必须使用CentOS 7.9+、Windows Server 2019+稳定版本，安装前关闭所有不必要的服务，初始仅开放22（SSH，仅内网可访问）、80、443端口，其余端口默认全部封禁。

二、部署阶段安全配置

2.1 安装包完整性校验

下载官方安装包后必须优先校验SHA256哈希值，哈希不匹配的安装包严禁部署：打开HashMyFiles导入安装包，将生成的SHA256串与官方公开的哈希串逐一比对，完全一致才可进入下一步。

2.2 运行权限最小化配置

禁止使用root/管理员账号直接运行档案软件，需创建专属运行用户，配置目录最小权限，Linux环境执行以下命令：

``` 创建无登录权限的专属运行用户 useradd -s /sbin/nologin archuser 假设安装目录为/opt/archsoft，修改目录所有者与权限 chown -R archuser:archuser /opt/archsoft chmod -R 700 /opt/archsoft ```

2.3 初始账号安全配置

安装完成后第一时间删除默认的admin/123456等默认账号，新建管理员账号密码长度不低于12位，必须包含大小写字母、数字、特殊字符，开启账号锁定策略。若使用SpringBoot开发的档案软件，可直接复制以下application.yml配置：

```yaml spring: security: login: max-fail-count: 5 密码输错5次锁定 lock-time: 1800 锁定时长30分钟，单位秒 password-encrypt-type: bcrypt 密码必须使用bcrypt加密 密码加密可使用命令`htpasswd -bnBC 10 "" 你的明文密码 | tr -d ':\n'`生成bcrypt加密串，禁止明文存储密码 ```

三、运行阶段安全加固

3.1 传输层HTTPS强制配置

禁用HTTP协议，全部请求强制走HTTPS，优先使用Let's Encrypt免费SSL证书，执行以下命令获取证书：

``` CentOS环境安装certbot yum install certbot -y 申请证书，替换yourarchdomain.com为你的档案软件域名 certbot certonly --standalone -d yourarchdomain.com ```

Nginx反向代理配置直接复制以下内容，仅保留TLS1.2、TLS1.3安全协议：

```nginx server { listen 80; server_name yourarchdomain.com; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name yourarchdomain.com; ssl_certificate /etc/letsencrypt/live/yourarchdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/yourarchdomain.com/privkey.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; location / { proxy_pass http://127.0.0.1:8080; 替换为档案软件本地运行端口 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } ```

3.2 访问控制配置

后台管理界面仅允许单位内网IP段访问，CentOS环境执行以下firewalld命令配置规则：

``` 允许内网网段192.168.1.0/24访问443端口，替换为你单位的实际内网网段 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="443" accept' 移除默认的全网443端口开放规则 firewall-cmd --permanent --remove-service=https firewall-cmd --reload ```

3.3 接口权限加固

所有非公开接口必须携带有效期30分钟的JWT令牌，新增接口鉴权拦截器，校验用户权限与接口路由的匹配关系，禁止越权访问他人权限范围的档案数据。

四、数据层面安全防护

4.1 存储加密配置

电子档案原件存储必须使用AES-256对称加密，加密密钥存储在独立的密钥管理服务中，严禁硬编码在配置文件里，Python版本加密示例可直接复用：

```python 依赖安装：pip install pycryptodome from Crypto.Cipher import AES from Crypto.Random import get_random_bytes def encrypt_archive_file(input_path, output_path, key): cipher = AES.new(key, AES.MODE_GCM) with open(input_path, 'rb') as f_in, open(output_path, 'wb') as f_out: f_out.write(cipher.nonce) ciphertext, tag = cipher.encrypt_and_digest(f_in.read()) f_out.write(tag) f_out.write(ciphertext) 密钥为32字节随机串，从密钥管理服务获取，不要硬编码 key = get_random_bytes(32) ```

4.2 数据库安全配置

数据库账号仅授予档案软件所需的最小权限，禁止使用root账号连接，开启数据库审计日志，记录所有查询、修改、删除操作，MySQL配置如下：

```ini [mysqld] plugin-load-add=audit_log.so audit_log_format=JSON audit_log_file=/var/log/mysql/audit.log audit_log_policy=ALL 记录所有操作 audit_log_rotate_on_size=1073741824 单日志文件最大1G自动轮转 ```

4.3 备份安全配置

每日凌晨自动全量备份数据库与档案文件，备份文件使用AES-256加密后同步至异地存储服务器，备份文件权限设置为600，仅root用户可读。

五、日常运维安全校验

• 每周使用Nessus对服务器、应用进行全量漏洞扫描，高危及以上级别漏洞必须72小时内完成修复
• 每月审计所有账号权限，删除离职人员账号，收回超出工作需要的多余权限
• 每季度进行一次渗透测试，模拟黑客攻击路径排查未被发现的安全漏洞
• 每半年对所有加密密钥进行一次轮转，旧密钥留存至少1年以备数据恢复