TongWeb服務器安全配置基線

1、TongWeb服務器安全配置基線中國移動通信有限公司 管理信息系統(tǒng)部2012年 04 月版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年 4 月備注：1. 若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目錄第 1 章概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實施 11.5 例外條款 1第 2 章賬號管理、認證授權 22.1 帳號 22.1.1應用帳號分配 22.1.2用戶口令設置 32.1.3用戶帳號刪除 32.2 認證授權 42.2.1 控制臺安全 4第 3 章日志配置操作 73.1 日志配置 73.1.1 日志與記錄 7第 4

2、 章 備份容錯 94.1 備份容錯 9第 5 章IP 協(xié)議安全配置 105.1 IP 通信安全協(xié)議 10第 6 章設備其他配置操作 126.1 安全管理 126.1.1禁止應用程序可顯 126.1.2 端口設置 * 136.1.3 錯誤頁面處理 14第 7 章評審與修訂 16第 1章 概述1.1 目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護管理的 TongWeb 服務器 應當遵循的安全性設置標準，本文檔旨在指導系統(tǒng)管理人員進行 TongWeb 服務器的安全配 置。1.2 適用范圍本配置標準的使用者包括：服務器系統(tǒng)管理員、應用管理員、網絡安全管理員。 本配置標準適用的范圍包括： 中

3、國移動總部和各省公司信息化部門維護管理的 TongWeb 服務器系統(tǒng)。1.3 適用版本5.x 版本的 TongWeb 服務器。1.4 實施本標準的解釋權和修改權屬于中國移動集團管理信息系統(tǒng)部， 在本標準的執(zhí)行過程中若 有任何疑問或建議，應及時反饋。本標準發(fā)布之日起生效。1.5 例外條款欲申請本標準的例外條款， 申請人必須準備書面申請文件， 說明業(yè)務需求和原因， 送交 中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。第 2章 賬號管理、認證授權2.1 帳號2.1.1 應用帳號分配安全基線項目名稱TongWeb 應用帳號分配安全基線要求安全基線編號SBL-TongWeb-02-01-01安全基線項

4、說明應按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設備間通 信使用的賬號共享。檢測操作步驟啟動 tongweb 的控制臺， 選擇列表中的安全域，點擊管理用戶 , 如圖操作：點擊新建，建立用戶賬號，如圖操作：修改用戶直接點擊用戶名，進行修改，如圖：基線符合性 判定依據1、判定條件各賬號都可以登錄 TongWeb 服務器為正常。2、檢測操作訪問 http:/ip:8080/twns 管理頁面， 進行 TongWeb 服務器配置找安全服務下的 安全域即可。備注2.1.2 用戶口令設置安全基線項目名稱安全基線編號安全基線項說明TongWeb 用戶口令設置安全基線要求項SBL-TongWeb

5、-02-01-02檢測操作步驟對于采用靜態(tài)口令認證技術的設備，口令長度至少8 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5 次 以內不得設置相同的口令。密碼應至少每 90 天 進行更換。進行口令的修改或者添加，如圖操作：基線符合性判定依據1、判定條件 檢查帳號口令是否符合移動通過配置口令復雜度要求。2、檢測操作 人工檢查登錄頁面測試帳號口令是否符合；備注2.1.3 用戶帳號刪除安全基線項 目名稱TongWeb 用戶帳號刪除安全基線要求項安全基線編SBL-TongWeb-02-01-03號安全基線項說明應用刪除或鎖定與設備運行、維護等工作無關的賬號。檢測操作步驟刪除無關用戶，

6、如圖操作：基線符合性判定依據1、判定條件刪除的用戶 tongwebuser 不能通過控制臺登錄界面進入主頁。2、檢測操作訪問 http:/ip:8080/twns 管理頁面，使用刪除帳號進行登陸嘗試。備注2.2 認證授權2.2.1 控制臺安全安全基線項目名稱安全基線編號安全基線項說明TongWeb 控制臺安全基線要求項SBL-TongWeb-02-02-01限制登陸管理控制臺的服務器 , 外網用戶訪問管理控制臺，進行非法操作檢測操作步驟登陸管理控制臺， “服務配置”WEB容器” “虛擬主機” , 如下圖：選擇“admin”，如下圖：基線符合性判定依據備注允許訪問的遠程地址：具體的 IP 或正則

7、表達式。本例中為正則表達式： 10.110.111.(193-9|20-50-9) ，允許 93-255 網段的 IP 訪問管理控制臺該設置需要重啟 TongWeb才能生效第 3章 日志配置操作3.1 日志配置3.1.1 日志與記錄安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟TongWeb 日志記錄安全基線要求項SBL- TongWeb -03-01-01設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的 賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP 地址。TongWeb 默認的訪問日志是關閉了的， 可以修改虛擬主機打開訪問日志

8、， 訪問日志中記錄了客戶端訪問的本機IP、訪問時間、訪問的資源、請求使用的協(xié)議以及返回的狀態(tài)碼等內容，若發(fā)現(xiàn)有攻擊現(xiàn)象可以打開訪問日志，通 過分析訪問日志可以知道哪些 IP 訪問了系統(tǒng)資源，操作如圖：日志格式如圖：基線符合性 判定依據1、判定條件 查看 logs 目錄中相關日志文件內容，記錄完整2、檢測操作查看 localhost_access_log.2012-03-07.log 中相關日志記錄備注第 4章 備份容錯4.1 備份容錯安全基線項 目名稱TongWeb 備份容錯安全基線要求項安全基線編 號SBL- TongWeb -04-01-01安全基線項 說明用戶應有完善的應用服務器備份機制

9、檢測操作步 驟某些操作如修改啟動腳本或者配置文件 twsn.xml ，操作失誤可能導致啟 動異常， 需要對 TongWeb 的配置文件進行日常備份保護， 保證應用系統(tǒng)的可 用性 .。如果損壞，必須重新配置應用，也需要備份。每周備份一次 twns.xml 文件，至少每月備份一次 TongWeb 全目錄 ,生產 環(huán)境配置更改前必須先備份?；€符合性 判定依據任何系統(tǒng)的改變都必須有授權和紙介質保存的修改記錄備注第 5章 IP 協(xié)議安全配5.1IP 通信安全協(xié)議安全基線項目名稱安全基線編號安全基線項說明TongWeb 通信安全協(xié)議安全基線要求項SBL- TongWeb -05-01-01對于通過 HT

10、TP 協(xié)議進行遠程維護的設備，設備應支持使用 協(xié)議。HTTPS 等加密檢測操作步驟圖：1、啟動 tongweb，并創(chuàng)建 https 通道，端口為 8445（ 根據實際情況創(chuàng)建 ），如2、修改 tongweb 的配置文件 twn.xml ，如圖所示：重新登錄 tongweb 控制臺，結果如圖：基線符合性 判定依據1、判定條件 使用 https 方式登陸 TongWeb 服務器頁面，登陸成功2、檢測操作使用 https 方式登陸 TongWeb 服務器管理頁面 ip： https：/ip:8445/twns備注第 6章 設備其他配置操作6.1 安全管理6.1.1 禁止應用程序可顯安全基線項目名稱T

11、ongWeb 控制臺超時設置安全基線要求項安全基線編號SBL-TongWeb-06-01-01安全基線項說明檢測操作步驟可以避免訪問應用時，暴露應用目錄下有哪些文件。為了防止如下圖所示的顯示應用目錄的情況的發(fā)生， 顯示目錄結構：TongWeb 默認為不如果希望顯示，可進行如圖操作：說明 :不需要重啟 tongweb ?；€符合性 判定依據1、判定條件 勾選顯示目錄，有詳細應用列表。2、檢測操作 按照操作指南顯示操作。備注6.1.2 端口設置 *安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟TongWeb 默認端口安全基線要求項SBL-TongWeb-06-01-02更改 TongWeb

12、 服務器默認管理控制臺端口和訪問端口選擇列表中的虛擬機，進行如圖操作：定制部署到該虛擬主機上的所有 web 應用的錯誤頁面，每個 web 應用都 可以在自己的 web.xml 里覆蓋這個配置，屬性值分為 3個部分： code 指定錯 誤號，path指定錯誤頁的絕對路徑， reason指定錯誤原因。 如 code=404 path=/ 存放 error.jsp 文件的目錄 /error.jsp reason=MY-404-REASON ?；€符合性 判定依據1、判定條件 指向指定錯誤頁面2、檢測操作URL 地址欄中輸入 http:/ip:8080/manager備注根據應用場景的不同，如部署場景需開啟此功能，則強制要求此項。6.1.3 錯誤頁面處理安全基線項目名稱安全基線編號安全基線項說明TongWeb 錯誤頁面安全基線要求項SBL-TongWeb-06-01-03TongWeb 錯誤頁面重定向檢測操作步驟選擇列表中的虛擬機，進行如圖操作：web 應用都基線符合性1、判定條件定制部署到該虛擬主機上的所有 web 應用的錯誤頁面，每個 可以在自己的 web.xml 里覆蓋這個配置，屬性值分為 3個部分： code 指定錯 誤號，path指定錯