TongWeb 服務(wù)器安全配置基線

1、TongWeb 服務(wù)器安全配置基線TongWebTongWeb 服務(wù)器服務(wù)器安全配置基線安全配置基線TongWeb 服務(wù)器安全配置基線版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人V2.0創(chuàng)建2012 年 4 月備注：備注：1. 若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格，否則刪除版本控制表格。TongWeb 服務(wù)器安全配置基線目目 錄錄第第 1 章章概述概述.11.1目的.11.2適用范圍.11.3適用版本.11.4實(shí)施.11.5例外條款.1第第 2 章章賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)管理、認(rèn)證授權(quán).22.1帳號(hào).22.1.1應(yīng)用帳號(hào)分配.22.1.2用戶(hù)口令設(shè)置.32

2、.1.3用戶(hù)帳號(hào)刪除.32.2認(rèn)證授權(quán).42.2.1控制臺(tái)安全.4第第 3 章章日志配置操作日志配置操作.73.1日志配置.73.1.1日志與記錄.7第第 4 章章備份容錯(cuò)備份容錯(cuò).94.1備份容錯(cuò).9第第 5 章章IP 協(xié)議安全配置協(xié)議安全配置 .105.1IP 通信安全協(xié)議.10第第 6 章章設(shè)備其他配置操作設(shè)備其他配置操作.126.1安全管理.126.1.1禁止應(yīng)用程序可顯.126.1.2端口設(shè)置*.136.1.3錯(cuò)誤頁(yè)面處理.14第第 7 章章評(píng)審與修訂評(píng)審與修訂.16TongWeb 服務(wù)器安全配置基線第 0 頁(yè) 共 18 頁(yè)第第 1 章章概述概述1.1目的目的本文檔旨在指導(dǎo)系統(tǒng)管理人

3、員進(jìn)行 TongWeb 服務(wù)器的安全配置。1.2適用范圍適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。1.3適用版本適用版本5.x 版本的 TongWeb 服務(wù)器。1.4實(shí)施實(shí)施1.5例外條款例外條款第第 2 章章賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)管理、認(rèn)證授權(quán)2.1帳號(hào)帳號(hào)2.1.1 應(yīng)用帳號(hào)分配應(yīng)用帳號(hào)分配安全基線項(xiàng)安全基線項(xiàng)目名稱(chēng)目名稱(chēng)TongWeb 應(yīng)用帳號(hào)分配安全基線要求安全基線編安全基線編號(hào)號(hào)SBL-TongWeb-02-01-01 安全基線項(xiàng)安全基線項(xiàng)應(yīng)按照用戶(hù)分配賬號(hào)。避免不同用戶(hù)間共享賬號(hào)。避免用戶(hù)賬號(hào)和設(shè)備間通TongWeb 服務(wù)器安全配置基線第 1 頁(yè)

4、 共 18 頁(yè)說(shuō)明說(shuō)明 信使用的賬號(hào)共享。檢測(cè)操作步檢測(cè)操作步驟驟 啟動(dòng) tongweb 的控制臺(tái)，選擇列表中的安全域，點(diǎn)擊管理用戶(hù),如圖操作： 點(diǎn)擊新建，建立用戶(hù)賬號(hào)，如圖操作： 修改用戶(hù)直接點(diǎn)擊用戶(hù)名，進(jìn)行修改，如圖：基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件各賬號(hào)都可以登錄 TongWeb 服務(wù)器為正常。2、檢測(cè)操作訪問(wèn) http:/ip:8080/twns 管理頁(yè)面，進(jìn)行 TongWeb 服務(wù)器配置找安全服務(wù)下的安全域即可。備注備注2.1.2 用戶(hù)口令設(shè)置用戶(hù)口令設(shè)置安全基線項(xiàng)安全基線項(xiàng)TongWeb 用戶(hù)口令設(shè)置安全基線要求項(xiàng)TongWeb 服務(wù)器安全配置基線第 2 頁(yè) 共 1

5、8 頁(yè)目名稱(chēng)目名稱(chēng)安全基線編安全基線編號(hào)號(hào)SBL-TongWeb-02-01-02 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少 8 位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)四類(lèi)中至少兩類(lèi)。且 5 次次以?xún)?nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每 90 天天進(jìn)行更換。檢測(cè)操作步檢測(cè)操作步驟驟 進(jìn)行口令的修改或者添加，如圖操作：基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件檢查帳號(hào)口令是否符合口令復(fù)雜度要求。2、檢測(cè)操作人工檢查登錄頁(yè)面測(cè)試帳號(hào)口令是否符合；備注備注2.1.3 用戶(hù)帳號(hào)刪除用戶(hù)帳號(hào)刪除安全基線項(xiàng)安全基線項(xiàng)目名稱(chēng)目名稱(chēng)TongWeb 用戶(hù)帳號(hào)刪除安全基線

6、要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-TongWeb-02-01-03 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 應(yīng)用刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。檢測(cè)操作步檢測(cè)操作步驟驟 刪除無(wú)關(guān)用戶(hù)，如圖操作：TongWeb 服務(wù)器安全配置基線第 3 頁(yè) 共 18 頁(yè)基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件刪除的用戶(hù) tongwebuser 不能通過(guò)控制臺(tái)登錄界面進(jìn)入主頁(yè)。2、檢測(cè)操作訪問(wèn) http:/ip:8080/twns 管理頁(yè)面，使用刪除帳號(hào)進(jìn)行登陸嘗試。備注備注2.2認(rèn)證授權(quán)認(rèn)證授權(quán)2.2.1 控制臺(tái)安全控制臺(tái)安全安全基線項(xiàng)安全基線項(xiàng)目名稱(chēng)目名稱(chēng)TongWeb 控制臺(tái)安全基線要求項(xiàng)安全

7、基線編安全基線編號(hào)號(hào)SBL-TongWeb-02-02-01 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 限制登陸管理控制臺(tái)的服務(wù)器, 外網(wǎng)用戶(hù)訪問(wèn)管理控制臺(tái)，進(jìn)行非法操作檢測(cè)操作步檢測(cè)操作步驟驟登陸管理控制臺(tái)， “服務(wù)配置”“WEB 容器”“虛擬主機(jī)”,如下圖：選擇“admin” ，如下圖：允許訪問(wèn)的遠(yuǎn)程地址：具體的 IP 或正則表達(dá)式。本例中為正則表達(dá)式：10.110.111.(193-9|20-50-9)，允許 93-255 網(wǎng)段的 IP 訪問(wèn)管理控制臺(tái)基線符合性基線符合性判定依據(jù)判定依據(jù)該設(shè)置需要重啟 TongWeb 才能生效備注備注TongWeb 服務(wù)器安全配置基線第 4

8、頁(yè) 共 18 頁(yè)TongWeb 服務(wù)器安全配置基線第 5 頁(yè) 共 18 頁(yè)第第 3 章章日志日志配置操作配置操作3.1日志配置日志配置3.1.1 日志與記錄日志與記錄安全基線項(xiàng)安全基線項(xiàng)目名稱(chēng)目名稱(chēng)TongWeb 日志記錄安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL- TongWeb -03-01-01 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 設(shè)備應(yīng)配置日志功能，對(duì)用戶(hù)登錄進(jìn)行記錄，記錄內(nèi)容包括用戶(hù)登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶(hù)使用的 IP 地址。檢測(cè)操作步檢測(cè)操作步驟驟TongWeb 默認(rèn)的訪問(wèn)日志是關(guān)閉了的，可以修改虛擬主機(jī)打開(kāi)訪問(wèn)日志，訪問(wèn)日志中記錄了客戶(hù)端訪問(wèn)的本機(jī)

9、 IP、訪問(wèn)時(shí)間、訪問(wèn)的資源、請(qǐng)求使用的協(xié)議以及返回的狀態(tài)碼等內(nèi)容，若發(fā)現(xiàn)有攻擊現(xiàn)象可以打開(kāi)訪問(wèn)日志，通過(guò)分析訪問(wèn)日志可以知道哪些 IP 訪問(wèn)了系統(tǒng)資源，操作如圖： 日志格式如圖：TongWeb 服務(wù)器安全配置基線第 6 頁(yè) 共 18 頁(yè)基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件查看 logs 目錄中相關(guān)日志文件內(nèi)容，記錄完整2、檢測(cè)操作查看 localhost_access_log.2012-03-07.log 中相關(guān)日志記錄備注備注TongWeb 服務(wù)器安全配置基線第 7 頁(yè) 共 18 頁(yè)第第 4 章章備份容錯(cuò)備份容錯(cuò)4.1備份容錯(cuò)備份容錯(cuò)安全基線項(xiàng)安全基線項(xiàng)目名稱(chēng)目名稱(chēng)TongWe

10、b 備份容錯(cuò)安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL- TongWeb -04-01-01 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 用戶(hù)應(yīng)有完善的應(yīng)用服務(wù)器備份機(jī)制檢測(cè)操作步檢測(cè)操作步驟驟 某些操作如修改啟動(dòng)腳本或者配置文件 twsn.xml，操作失誤可能導(dǎo)致啟動(dòng)異常，需要對(duì) TongWeb 的配置文件進(jìn)行日常備份保護(hù)，保證應(yīng)用系統(tǒng)的可用性.。如果損壞，必須重新配置應(yīng)用，也需要備份。每周備份一次 twns.xml 文件，至少每月備份一次 TongWeb 全目錄,生產(chǎn)環(huán)境配置更改前必須先備份?；€符合性基線符合性判定依據(jù)判定依據(jù)任何系統(tǒng)的改變都必須有授權(quán)和紙介質(zhì)保存的修改記錄備注備注TongWeb 服

11、務(wù)器安全配置基線第 8 頁(yè) 共 18 頁(yè)第第 5 章章IPIP 協(xié)議安全配置協(xié)議安全配置5.1IP 通信安全協(xié)議通信安全協(xié)議安全基線項(xiàng)安全基線項(xiàng)目名稱(chēng)目名稱(chēng)TongWeb 通信安全協(xié)議安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL- TongWeb -05-01-01 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 對(duì)于通過(guò) HTTP 協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)支持使用 HTTPS 等加密協(xié)議。檢測(cè)操作步檢測(cè)操作步驟驟1、啟動(dòng) tongweb，并創(chuàng)建 https 通道，端口為 8445(根據(jù)實(shí)際情況創(chuàng)建)，如圖：2、修改 tongweb 的配置文件 twn.xml，如圖所示：TongWeb 服務(wù)器安全配置基線

12、第 9 頁(yè) 共 18 頁(yè)重新登錄 tongweb 控制臺(tái)，結(jié)果如圖：基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件使用 https 方式登陸 TongWeb 服務(wù)器頁(yè)面，登陸成功2、檢測(cè)操作使用 https 方式登陸 TongWeb 服務(wù)器管理頁(yè)面 ip：https：/ip:8445/twns備注備注TongWeb 服務(wù)器安全配置基線第 10 頁(yè) 共 18 頁(yè)第第 6 章章設(shè)備其他配置操作設(shè)備其他配置操作6.1安全管理安全管理6.1.1 禁止應(yīng)用程序可顯禁止應(yīng)用程序可顯安全基線項(xiàng)安全基線項(xiàng)目名稱(chēng)目名稱(chēng)TongWeb 控制臺(tái)超時(shí)設(shè)置安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-TongWeb-

13、06-01-01 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 可以避免訪問(wèn)應(yīng)用時(shí)，暴露應(yīng)用目錄下有哪些文件。檢測(cè)操作步檢測(cè)操作步驟驟 為了防止如下圖所示的顯示應(yīng)用目錄的情況的發(fā)生，TongWeb 默認(rèn)為不顯示目錄結(jié)構(gòu)：如果希望顯示，可進(jìn)行如圖操作：TongWeb 服務(wù)器安全配置基線第 11 頁(yè) 共 18 頁(yè)說(shuō)明:不需要重啟 tongweb?；€符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件勾選顯示目錄，有詳細(xì)應(yīng)用列表。2、檢測(cè)操作按照操作指南顯示操作。備注備注6.1.2 端口設(shè)置端口設(shè)置*安全基線項(xiàng)安全基線項(xiàng)目名稱(chēng)目名稱(chēng)TongWeb 默認(rèn)端口安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-TongWeb-06

14、-01-02 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 更改 TongWeb 服務(wù)器默認(rèn)管理控制臺(tái)端口和訪問(wèn)端口檢測(cè)操作步檢測(cè)操作步驟驟 選擇列表中的虛擬機(jī)，進(jìn)行如圖操作： 定制部署到該虛擬主機(jī)上的所有 web 應(yīng)用的錯(cuò)誤頁(yè)面，每個(gè) web 應(yīng)用都可以在自己的 web.xml 里覆蓋這個(gè)配置，屬性值分為3個(gè)部分：code 指定錯(cuò)誤號(hào)，path 指定錯(cuò)誤頁(yè)的絕對(duì)路徑，reason 指定錯(cuò)誤原因。如 code=404 path=/存放 error.jsp 文件的目錄/error.jsp reason=MY-404-REASON。TongWeb 服務(wù)器安全配置基線第 12 頁(yè) 共 18 頁(yè)基線符合性基線符合性判

15、定依據(jù)判定依據(jù)1、判定條件指向指定錯(cuò)誤頁(yè)面2、檢測(cè)操作URL 地址欄中輸入 http:/ip:8080/manager備注備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。6.1.3 錯(cuò)誤頁(yè)面處理錯(cuò)誤頁(yè)面處理安全基線項(xiàng)安全基線項(xiàng)目名稱(chēng)目名稱(chēng)TongWeb 錯(cuò)誤頁(yè)面安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-TongWeb-06-01-03 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 TongWeb 錯(cuò)誤頁(yè)面重定向檢測(cè)操作步檢測(cè)操作步驟驟 選擇列表中的虛擬機(jī)，進(jìn)行如圖操作： 定制部署到該虛擬主機(jī)上的所有 web 應(yīng)用的錯(cuò)誤頁(yè)面，每個(gè) web 應(yīng)用都可以在自己的 web.xml 里覆蓋這個(gè)配置，屬性值分為3個(gè)部分：code 指定錯(cuò)誤號(hào)，path 指定錯(cuò)誤頁(yè)