WebLogic-Web服務器安全配置基線

WebLogic-Web服務器安全配置基線WebLogic-Web服務器安全配置基線WebLogic-Web服務器安全配置基線WebLogic-Web服務器安全配置基線編制僅供參考審核批準生效日期地址：電話：傳真:郵編:WebLogicWeb服務器安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月版本版本控制信息更新日期更新人審批人創(chuàng)建2009年4月更新2012年4月備注：若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目錄第1章 概述 4 目的 4 適用范圍 4 適用版本 4 實施 4 例外條款 4第2章 帳號管理、認證授權(quán) 5 帳號 5 系統(tǒng)啟動帳號 5 帳號鎖定策略 5 口令 6 密碼復雜度 6第3章 日志配置操作 7 日志配置 7 審核登錄 7第4章 IP協(xié)議安全配置 8 IP協(xié)議 8 支持加密協(xié)議 8 限制應用服務器Socket數(shù)量 8 禁用SendServerHeader 9第5章 設備其他配置操作 10 安全管理 10 定時登出 10 更改默認端口* 10 錯誤頁面處理 11 目錄列表訪問限制 11第6章 評審與修訂 12概述目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護管理的WebLogicWeb服務器應當遵循的安全性設置標準，本文檔旨在指導系統(tǒng)管理人員進行WebLogicWeb服務器的安全配置。適用范圍本配置標準的使用者包括：服務器系統(tǒng)管理員、應用管理員、網(wǎng)絡安全管理員。本配置標準適用的范圍包括：支持中國移動集團公司管理信息系統(tǒng)部運行的WebLogicWeb服務器系統(tǒng)。適用版本版本的WebLogicWeb服務器。實施本標準的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部，在本標準的執(zhí)行過程中若有任何疑問或建議，應及時反饋。本標準發(fā)布之日起生效。例外條款欲申請本標準的例外條款，申請人必須準備書面申請文件，說明業(yè)務需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。帳號管理、認證授權(quán)帳號系統(tǒng)啟動帳號安全基線項目名稱WebLogic啟動帳號安全基線要求項安全基線編號SBL-WebLogic-02-01-01安全基線項說明要求限制帳號檢測操作步驟1、參考配置操作查看以管理員身份登錄控制臺執(zhí)行#ps–ef|grep–iweblogic基線符合性判定依據(jù)1、判定條件執(zhí)行帳號不可以是root和nobody。備注帳號鎖定策略安全基線項目名稱WebLogic帳號鎖定安全基線要求項安全基線編號SBL-WebLogic-02-01-02安全基線項說明要求設定帳號鎖定次數(shù)和時間，錯誤輸入密碼10次，系統(tǒng)自動鎖定，鎖定時間5分鐘。檢測操作步驟1、參考配置操作查看以管理員身份登錄控制臺1.點擊左側(cè)面板”Security”文件夾，展開”REALM”2.點擊右側(cè)面板中的”UserLock”標簽，查看LockoutEnabled，LockoutThreshold，LockoutDuration等基線符合性判定依據(jù)1、判定條件要求LockoutEnabled=true;LockoutThreshold=10;LockoutDuration=5備注口令密碼復雜度安全基線項目名稱WebLogic密碼復雜度安全基線要求項安全基線編號SBL-WebLogic-02-02-01安全基線項說明對于采用靜態(tài)口令認證技術的設備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設置相同的口令。密碼應至少每90天進行更換。檢測操作步驟1、參考配置操作查看WebLogic安裝目錄下的配置文件2、補充操作說明口令要求：口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設置相同的口令。密碼應至少每90天進行更換?；€符合性判定依據(jù)1、判定條件等備注

日志配置操作日志配置審核登錄安全基線項目名稱WebLogic審核登錄安全基線要求項安全基線編號SBL-WebLogic-03-01-01安全基線項說明設備應配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的帳號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。檢測操作步驟1、參考配置操作查看WebLogic安裝目錄下的配置文件基線符合性判定依據(jù)1、判定條件開啟日志，配置按日期rotate備注

IP協(xié)議安全配置IP協(xié)議支持加密協(xié)議安全基線項目名稱WebLogic支持加密協(xié)議安全基線要求項安全基線編號SBL-WebLogic-04-01-01安全基線項說明對于通過HTTP協(xié)議進行遠程維護的設備，設備應支持使用HTTPS等加密協(xié)議。檢測操作步驟1、參考配置操作查看WebLogic安裝目錄下的配置文件基線符合性判定依據(jù)1、判定條件SSLEnabled="true"備注限制應用服務器Socket數(shù)量安全基線項目名稱WebLogic限制應用服務器Socket數(shù)量安全基線要求項安全基線編號SBL-WebLogic-04-01-02安全基線項說明Sockets最大打開數(shù)目設置不當?shù)脑?，容易受到拒絕服務攻擊，超出操作系統(tǒng)文件描述符限制檢測操作步驟1、參考配置操作以管理員身份登錄管理控制臺1.點擊左側(cè)面板的域名文件夾，然后點擊Servers文件夾，雙擊要管理的服務器2.在右側(cè)面板的“Configuration”面板下選擇“Tuning”標簽，查看MaximumOpenSockets值基線符合性判定依據(jù)1、判定條件要求MaximumOpenSockets不大于1024。備注禁用SendServerHeader安全基線項目名稱WebLogic禁用SendServerHeader安全基線要求項安全基線編號SBL-WebLogic-04-01-03安全基線項說明Sockets最大打開數(shù)目設置不當?shù)脑挘菀资艿骄芙^服務攻擊，超出操作系統(tǒng)文件描述符限制檢測操作步驟1、參考配置操作以管理員身份登錄管理控制臺1.點擊域名下的Servers文件夾，選擇要管理的服務器2.在右側(cè)面板“Protocols”面板下，點擊HTTP標簽3.檢查是否勾選SendServerheader基線符合性判定依據(jù)1、判定條件要求禁止SendServerheader備注

設備其他配置操作安全管理定時登出安全基線項目名稱WebLogic定時登出安全基線要求項安全基線編號SBL-WebLogic-05-01-01安全基線項說明對于具備字符交互界面的設備，應支持定時帳戶自動登出。登出后用戶需再次登錄才能進入系統(tǒng)。檢測操作步驟1、參考配置操作查看WebLogic安裝目錄下的配置文件自動登出時間為5分鐘。基線符合性判定依據(jù)1、判定條件備注更改默認端口*安全基線項目名稱WebLogic運行端口安全基線要求項安全基線編號SBL-WebLogic-05-01-02安全基線項說明更改WebLogic服務器默認端口檢測操作步驟1、參考配置操作查看WebLogic安裝目錄下的配置文件基線符合性判定依據(jù)1、判定條件備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。可能會影響系統(tǒng)。錯誤頁面處理安全基線項目名稱WebLogic錯誤頁面處理安全基線要求項安全基線編號SBL-WebLogic-05-01-03安全基線項說明WebLogic錯誤頁面重定向檢測操作步驟1、參考配置操作查看<ApplicationHO