知行之桥EDI系统功能介绍——系统安全性

在知行之桥EDI系统中,系统安全性问题主要分为两大类:

  • 保证知行之桥EDI系统运行的基础
  • 通过知行之桥EDI系统保护数据
保证知行之桥EDI系统运行的基础

许多安全设置由服务器配置文件管理。使用知行之桥中包含的嵌入式 Web 服务器时,可以在以下位置找到服务器配置文件:

  • Windows 版-知行之桥安装目录的 www 文件夹中的 Web.Config 文件(默认为 C:\Program Files\CData\CData Arc)
  • Java 版-arc.properties 文件

将知行之桥部署到外部服务器时,应使用该外部服务器的配置文件。

为知行之桥的入站流量启用 TLS/SSL

强烈建议在服务器上启用 TLS/SSL。 TLS/SSL 使用公钥/私钥加密来加密客户端和服务器之间的通信通道。这种加密保护知行之桥中数据的机密性、真实性和完整性。此外,通过使用数字证书,TLS 为客户端/服务器身份确认提供了便利。

  • 用于 Web 服务器的 TLS
  • 所有其他服务器的 TLS

启用入站 TLS/SSL 可以分为两类:

主机 Web 服务器的 TLS,与 HTTP 传输相关,包括使用 HTTP 的协议,如 AS2 和 AS4。 由于托管知行之桥的同一 Web 服务器用于处理这些请求,因此必须在 Web 服务器级别启用 TLS。

所有其他服务器的 TLS,与非 HTTP 传输相关,例如 FTP 和 OFTP。由于处理这些入站连接的服务器与托管知行之桥的 Web 服务器不同,因此必须在知行之桥的 个人设置 页面中启用这些选项(在相应协议的选项卡下)。

edi_security1.png

用于 Web 服务器的 TLS/SSL

在知行之桥EDI系统2023及以后的版本中,对于知行之桥Windows 版本,使用嵌入式服务器或者IIS以及跨平台版会有不同的操作步骤。

其他服务器的 TLS/SSL

为以下服务器列表启用 TLS/SSL:

  • FTP服务器
  • OFTP 服务器
  • HL7 MLLP 服务器

这些服务器中在知行之桥 个人设置 页面中都有一个选项,可以启用或禁用 TLS/SSL。

edi_security2.png

用户和管理员管理以及访问 API

知行之桥为有权登录知行之桥 Web 界面和操作应用程序的用户提供一组用户凭据(用户名、密码)。 用户管理和用户角色(包括管理员角色)在 用户角色 中进行了详细介绍。

具有 Admin 角色的用户可以访问和更改其他用户的密码。更改首次运行知行之桥时创建的原始管理员用户的密码需要使用 Web 界面右上角,在红色方框中的图标,点击下拉菜单中的 修改密码 选项。

edi_security3.png

系统 API

用户可以通过调用系统 API 来执行所有应用程序管理任务,因此保护对该 API 的访问与保护对 Web 界面的访问同样重要。当创建知行之桥用户时,可以生成一个授权令牌,允许该用户访问 API(根据该用户在应用程序中的 权限 进行限制)。

edi_security4.png

创建用户后不会显示用户的身份验证令牌,因此应将其安全地存储在外部位置。

防火墙和使用 DMZ

为了让知行之桥发送和接收消息,它需要在相关发送和接收端口上不受防火墙干扰。 默认情况下,知行之桥的 Web 服务器侦听端口 8001,可以按照服务器管理部分中的说明进行配置。

非 Web 协议的端口可以直接在应用程序中配置,例如 OFTP 服务监听端口可以在个人设置页面的 OFTP 选项卡中配置。

DMZ

知行之桥的 Windows 版本支持建立反向 SSH 隧道以在 DMZ(即在云中)托管知行之桥,以避免直接在专用网络上打开防火墙。

将知行之桥的公共接口与 Web 界面分离

默认情况下,知行之桥使用相同的 Web 服务器端口来托管 Web 界面(可以在其中配置和管理知行之桥)和远程合作伙伴可以用来向应用程序发送数据的公共接收接口。

强化服务器安全设置

你可以通过在知行之桥配置文件中设置配置参数 ScriptingEngineHardeningLevel 来提高知行之桥服务器的安全性。默认情况下,此参数设置为 0,不会阻止任何运算器。你可以将其设置为 0 到 3 之间的值,其中每个较高的值通过禁用某些运算器来提高安全性。下面的列表显示了在每个强化级别禁用的运算器:

  • 0:允许所有运算器。这是默认设置。
  • 1:最易受攻击的运算器被禁用。这包括允许用户以任意方式与主机系统交互的任何运算器。
  • 2:除了级别 1 中不允许的运算器外,此级别还禁止创建新用户、以非任意方式访问磁盘上的文件以及引入重复任务的运算器。
  • 3:除了级别 1 和级别 2 中不允许的运算器外,此级别还禁用从服务器获取敏感信息或执行任意 HTTP 请求的运算器。

使用以下部分为你的安装设置强化级别:

Windows

使用文本编辑器打开安装目录的 www 文件夹中的 Web.Config 文件。 在底部的 标记内,添加如下所示的行并将 value 设置为所需的级别:

<appSettings>
     <add key="ScriptingEngineHardeningLevel" value="0"/>
</appSettings>

Java

使用文本编辑器打开安装目录中的 arc.properties 文件。 为以下属性添加一行,并将数字设置为所需的级别:

cdata.initParameters=ScriptingEngineHardeningLevel:0
通过知行之桥保护数据

以下部分涉及知行之桥中数据的安全性,包括流经应用程序的消息/数据和流配置本身:

  • 加密传输中的出站数据
  • 加密本地文件
  • 使用集中(安全)设置
  • 验证 SSL 证书和 SSH 密钥
为出站流量启用 TLS/SSL

知行之桥将隐式确认是否根据出站连接的目标 URL 协商 TLS/SSL。 例如,如果出站 AS2 连接以 https URL 为目标,知行之桥将认识到需要协商 TLS。

强烈建议使用 TLS/SSL 通过不包含内置加密机制的协议传输数据。 因此,Web 流量应发送到 https 接口,FTP 流量应定向到 FTPS 接口,依此类推。 除了正确配置目标 URL 之外,无需其他步骤来确保知行之桥协商 TLS/SSL 加密。

验证 TLS/SSL 服务器证书和 SSH 密钥

当与 TLS/SSL 或 SSH 服务器建立出站连接时,建立连接的端口(例如 REST 端口、AS2 端口、SFTP 端口等)将尝试验证服务器提供的证书或密钥。 如果端口设置中未配置服务器证书/密钥,知行之桥将使用底层系统(例如操作系统或 JRE)中存在的验证过程来确定服务器的证书是否可信。

可以使用特定的 TLS/SSL 证书或 SSH 密钥指纹配置端口,以覆盖此底层系统行为。 进行出站连接时,如果服务器的证书与端口的 TLS 服务器证书 字段中配置的证书(或 SSH 连接的服务器指纹)中配置的证书匹配,则端口将信任服务器。

端口还可以通过将 TLS 服务器证书 字段设置为 任何证书 (Any Certificate) 来隐式信任服务器的身份。

EDI系统安全自查

在您的EDI系统稳定运维之外,知行软件运维团队同时也非常重视您的生产数据安全,在此提醒请您对于企业EDI系统进行以下三个方面的安全自查:

  • 是否将EDI管理平台无保护的直接暴露于公网?
  • 密码管理体系是否安全规范?
  • 是否存留过多历史数据于EDI服务器?
  • 服务器是否更新最新的安全补丁?
  • 是否开启了TLS?

针对以上自查点,知行运维团队提供了一些方案参考,您可以根据您的EDI系统实际运行情况进行排查设置,或者您可以请您的网络安全部门进行评估、排查、设置。

保护EDI管理平台
  • URL路径访问限制,外部只允许访问接收报文的URL路径,产品所有其它URL路径只能本地访问。如果需要暴露其它非HTTP端口(如OFTP,FTPServer,SFTPServer等),尽量使用DMZ模式。

扩展阅读:使用反向代理保护EDI管理平台
使用DMZ保护FTP/SFTP

  • IP地址白名单。限定的IP地址可以访问,无论内网外网。

扩展阅读:使用IP白名单,提高网络安全
使用IP白名单功能,保护EDI系统API

安全的密码管理体系
  • 所有用户密码最少使用12位以上。同时包含,大小写字母,数字和符号。并且定期(三个月)更新密码。用户专人专用,不共享使用。

扩展阅读:如何设置相对强壮且安全的管理员用户和密码–知行之桥
知行之桥2021版账号密码修改和重置指南

  • 管理员账户避免使用默认或通用名称,比如: admin, administrator, manager等。

扩展阅读:自定义用户名称

  • 避免使用管理员账户运行知行之桥服务。如:Windows上Administrators组用户,或Linux系统上的root用户。

扩展阅读:配置知行之桥服务运行账户

减少服务器上保存的业务数据数量
  • 使用定时归档功能,减少服务器上的历史数据,降低风险。

参考方案/文档:知行EDI平台文件归档功能

了解更多 EDI 信息,请参阅: EDI 是什么?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/491319.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

unity中手势识别开源代码——HandPoseBarracuda

HandPoseBarracuda是一个使用单目彩色摄像头工作的神经网络手/手指追踪器的概念验证实现。 基本上,HandPoseBarracuda是MediaPipe Hands管道的一个部分端口。尽管它并不是原始包的直接端口,但它使用了相同的基本设计和相同的预训练模型。 请注意,这只是一个概念验证实现。…

IDEA编辑国际化.properties文件没有Resource Bundle怎么办?

问题描述 最近在做SpringBoot国际化&#xff0c;IDEA添加了messages.properties、messages_en_US.properties、messages_zh_CN.properties国际化文件后&#xff0c;在编辑页面底部没有Resource Bundle&#xff0c;这使得我在写keyvalue的时候在每个properties文件都要拷贝一次…

Python 全栈体系【四阶】(二十)

第五章 深度学习 二、推荐系统 1. 推荐算法介绍 1.1 个性化推荐算法 人口属性 地理属性 资产属性 兴趣属性 1.2 推荐算法分支 协同过滤推荐算法基于内容的推荐算法混合推荐算法流行度推荐算法 1.3 推荐算法 为推荐系统选择正确的推荐算法是非常重要的决定。目前为止…

困难重重!如何将超导量子计算机完好无损地搬进数据中心

内容来源&#xff1a;量子前哨&#xff08;ID&#xff1a;Qforepost&#xff09; 编辑丨慕一 编译/排版丨浪味仙 沛贤 深度好文&#xff1a;3700字丨18分钟阅读 如何把超导量子计算机部署到数据中心&#xff1f;数据中心运营商和量子公司面临着以前没有见过的重重难关。 首…

白帽子讲Wbe安全

在安全圈子里&#xff0c;素有“白帽”、“黑帽”一说。 黑帽子是指那些造成破坏的黑客&#xff0c;而白帽子则是研究安全&#xff0c;但不造成破坏的黑客。白帽子均以建设更安全的互联网为已任。 Web 是互联网的核心&#xff0c;是未来云计算和移动互联网的最佳载体&#xff0…

漏洞扫描-让安全弱点无所遁形

随着信息技术的迅猛发展和互联网的广泛普及&#xff0c;网络安全问题日益凸显。在这个数字化的世界里&#xff0c;无论是企业还是个人&#xff0c;都面临着前所未有的安全威胁。安全漏洞&#xff0c;作为这些威胁的源头&#xff0c;常常被忽视或无法及时发现。 而漏洞扫描&…

牛客NC27 集合的所有子集(一)【中等 DFS Java,Go,PHP】

题目 题目链接&#xff1a; https://www.nowcoder.com/practice/c333d551eb6243e0b4d92e37a06fbfc9 思路 递归实现&#xff1a;先升序排序&#xff1b;然后每个位置i为起点&#xff0c;i到最后的数&#xff0c;要么被选择&#xff0c;要么被放弃 递归实现&#xff1b;注意结果…

【MATLAB源码-第15期】基于matlab的MSK的理论误码率与实际误码率BER对比仿真,采用差分编码和IQ调制解调。

操作环境&#xff1a; MATLAB 2022a 1、算法描述 在数字调制中&#xff0c;最小频移键控&#xff08;Minimum-Shift Keying&#xff0c;缩写&#xff1a;MSK&#xff09;是一种连续相位调制的频移键控方式&#xff0c;在1950年代末和1960年代产生。[1] 与偏移四相相移键控&a…

ppp验证实验

实际操作图 1&#xff0c;IP划分分配 [r1]interface Serial 4/0/0 [r1-Serial4/0/0]ip add 192.168.1.1 24 [r2]interface Serial 4/0/0 [r2-Serial4/0/0]ip address 192.168.1.2 24 [r2]int Mp-group 0/0/0 [r2-Mp-group0/0/0]ip add 192.168.2.1 24 [r3]int Mp-group 0/…

RelayAttention:让大型语言模型更高效地处理长提示符

一、前言 虽然大型语言模型 (LLM) 近年来取得了非常显著的进展&#xff0c;也在各种自然语言处理任务中展现出强大的能力。然而&#xff0c;LLM 的在实际的应用落地层面也面临着一些实际挑战&#xff0c;其中之一就是效率和成本问题&#xff0c;导致了在垂直行业实际落地的应用…

【python】Jupyter Notebook 修改默认路径

文章目录 一、修改前&#xff08;一&#xff09;问题&#xff08;二&#xff09;修改前的默认路径 二、修改配置文件、更改路径&#xff08;一&#xff09;找到配置文件并打开&#xff08;二&#xff09;创建目标文件夹、得到新的路径&#xff08;三&#xff09;修改配置文件 三…

Salesforce宣布将停用Workflow Rules和Process Builder!

在近期的公告中&#xff0c;Salesforce透露在2025年12月31日之后将不再支持Workflow Rules和Process Builder。 Salesforce敦促用户在截止日期前将其自动化流程迁移到Flow Builder&#xff0c;以确保不间断的支持和漏洞修复。此举正值Salesforce将重点转向更现代、可扩展、低代…

【双指针】Leetcode 有效三角形的个数

题目解析 611. 有效三角形的个数 算法讲解 回顾知识&#xff1a;任意两数之和大于第三数就可以构成三角形 算法 1&#xff1a;暴力枚举 int triangleNumber(vector<int>& nums) {// 1. 排序sort(nums.begin(), nums.end());int n nums.size(), ret 0;// 2. 从…

LabVIEW智能家居安防系统

LabVIEW智能家居安防系统 随着科技的飞速发展和人们生活水平的不断提升&#xff0c;智能家居系统以其便利性和高效性&#xff0c;逐渐成为现代生活的新趋势。智能家居安防系统作为智能家居系统的重要组成部分&#xff0c;不仅能够提高家庭的安全性&#xff0c;还能为用户提供更…

3-Flume之拦截器与GangLia监控

Flume Interceptor 概述 Interceptor(拦截器)本身是Source的子组件之一&#xff0c;可以对数据进行拦截、过滤、替换等操作不同于Selector&#xff0c;一个Source上可以配置多个Interceptor&#xff0c;构成拦截器链。需要注意的是&#xff0c;后一个拦截器不能和前一个拦截…

zookeeper面试题

文章目录 ZooKeeper 是什么&#xff1f;ZooKeeper 提供什么&#xff1f;1. 文件系统2. 通知机制 ZooKeeper 文件系统四种类型的 znode1. PERSISTENT (持久化目录节点)2. PERSISTENT_SEQUENTIAL (持久化顺序编号目录节点)3. EPHEMERAL (临时目录节点)4. EPHEMERAL_SEQUENTIAL (临…

flutter 弹窗之系列二

自定义弹窗&#xff08;含底部抽屉&#xff09;Dialog class MyHomePage extends StatefulWidget {const MyHomePage({super.key, required this.title});final String title;overrideState<MyHomePage> createState() > _MyHomePageState(); }class _MyHomePageState…

教程3_图像的轮廓

目录 目标 1. 特征矩 2、轮廓质心 3. 轮廓面积 4. 轮廓周长 5. 轮廓近似 6. 轮廓凸包 7. 边界矩形 7.1.直角矩形 7.2. 旋转矩形 8. 最小闭合圈 9. 拟合一个椭圆 10. 拟合直线 目标 在本文中&#xff0c;我们将学习 - 如何找到轮廓的不同特征&#xff0c;例如面积&…

【数据分享】1929-2023年全球站点的逐年平均露点(Shp\Excel\免费获取)

气象数据是在各项研究中都经常使用的数据&#xff0c;气象指标包括气温、风速、降水、能见度等指标&#xff0c;说到气象数据&#xff0c;最详细的气象数据是具体到气象监测站点的数据&#xff01; 有关气象指标的监测站点数据&#xff0c;之前我们分享过1929-2023年全球气象站…

某云盘encryptMsg 加密之自动化扣webpack

前言 本文主要介绍了webpack半自动化扣代码的流程。不需要ast基础。也不涉及加密的过程。网站硬扣的话很麻烦。特地挑一个模块多的网站去搞。着重介绍于webpack工具的使用与实现方式。 这里的话。本人也开源到了github上了。本人代码写的烂。大佬勿喷&#xff0c; https://gi…