WebSphere Web服務(wù)器安全配置基線

WebSphereWeb服務(wù)器安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月

版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2012年4月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 4\o"CurrentDocument"目的 4適用范圍 4\o"CurrentDocument"適用版本 4\o"CurrentDocument"實(shí)施 4\o"CurrentDocument"例外條款 4\o"CurrentDocument"第2章帳號管理、認(rèn)證授權(quán) 5\o"CurrentDocument"帳號 5\o"CurrentDocument"應(yīng)用程序角色 5\o"CurrentDocument"控制臺帳號安全 5口令管理 6\o"CurrentDocument"密碼復(fù)雜度 6\o"CurrentDocument"認(rèn)證授權(quán) 7\o"CurrentDocument"控制臺安全 7\o"CurrentDocument"全局安全性與Java2安全 7\o"CurrentDocument"第3章日志配置操作 9\o"CurrentDocument"日志配置 9\o"CurrentDocument"日志與記錄 9\o"CurrentDocument"第4章 備份容錯 10\o"CurrentDocument"備份容錯 10\o"CurrentDocument"第5章 設(shè)備其他配置操作 11\o"CurrentDocument"安全管理 11\o"CurrentDocument"控制臺超時設(shè)置 11\o"CurrentDocument"示例程序刪除 11\o"CurrentDocument"錯誤頁面處理 12\o"CurrentDocument"文件訪問限制 12\o"CurrentDocument"目錄列出訪問限制1 12\o"CurrentDocument"控制目錄權(quán)限 13\o"CurrentDocument"補(bǔ)丁管理* 13\o"CurrentDocument"第6章評審與修訂 15

第1章:概述1.1目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的WebSphereWeb服務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行WebSphereWeb服務(wù)器的安全配置。1.2適用范1.2適用范本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動總部和各省公司信息化部門維護(hù)管理 的WebSphereWeb服務(wù)器系統(tǒng)。1.3適用版本6.x版本的WebSphereWeb服務(wù)器。1.4實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。

第2章帳號管理、認(rèn)證授權(quán)2.1帳號2.1.1應(yīng)用程序角色安全基線項(xiàng)目名稱WebSphere應(yīng)用程序角色安全基線要求項(xiàng)安全基線編號SBL-WebSphere-02-01-01安全基線項(xiàng)說明要求為應(yīng)用用戶定義合適的角色檢測操作步驟以管理員身份打開管理控制臺,執(zhí)行：點(diǎn)擊“應(yīng)用程序”-->”企業(yè)應(yīng)用程序”雙擊要查看的應(yīng)用程序點(diǎn)擊“其它屬性”中的”映射安全性角色到用戶/組”基線符合性判定依據(jù)要求安全角色映射到“每個用戶“、“所有已認(rèn)證用戶”、“已映射的用戶”、“已映射的組”備注2.1.2控制臺帳號安全安全基線項(xiàng)目名稱WebSphere控制臺帳號安全安全基線要求項(xiàng)安全基線編號SBL-WebSphere-02-01-02安全基線項(xiàng)說明特權(quán)管理帳號在多個用戶間共享，會引發(fā)很多安全問題，企業(yè)無法控制配置上的安全，不易定位安全事件責(zé)任人，同時特權(quán)帳號非法使用者還可抹去審計(jì)信息檢測操作步驟以管理員身份打開管理控制臺,執(zhí)行：點(diǎn)擊“系統(tǒng)管理”-->”控制臺設(shè)置”-->“控制臺用戶”點(diǎn)擊要查看的用戶名查看用戶所屬組基線符合性判定依據(jù)要求不得出現(xiàn)共用特權(quán)管理帳號，管理帳號必須按角色分配用戶角色為monitor（監(jiān)控員）、Configurator（配置員）、Operator（操作員）Administrator（管理員）之一

2.1.3口令管理安全基線項(xiàng)目名稱WebSphere口令安全基線要求項(xiàng)安全基線編號SBL-WebSphere-02-01-03安全基線項(xiàng)說明不得在自動運(yùn)行腳本、控制命令等地方出現(xiàn)Websphere明文口令，例如cron腳本檢測操作步驟以root身份執(zhí)行：#ps-eflgrep-iWebSphere#su-WebSphere_username-c“crontab-l”#crontab-l基線符合性判定依據(jù)要求回顯內(nèi)容中不含口令字備注2.1.4密碼復(fù)雜度安全基線項(xiàng)目名稱WebSphere密碼復(fù)雜度安全基線要求項(xiàng)安全基線編號SBL-WebSphere-02-01-04安全基線項(xiàng)說明對于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測操作步驟1、 參考配置操作查看WebSphere安裝目錄下的配置文件2、 補(bǔ)充操作說明口令要求：口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換?；€符合性判定依據(jù)1、判定條件備注

2.2認(rèn)證授權(quán)2.2.1控制臺安全安全基線項(xiàng)目名稱WebSphere控制臺安全基線要求項(xiàng)安全基線編號SBL-WebSphere-02-02-01安全基線項(xiàng)說明Cosnaming服務(wù)權(quán)限設(shè)置過大會引入安全隱患檢測操作步驟以管理員身份打開管理控制臺,執(zhí)行：點(diǎn)擊“環(huán)境”-->命名-->CORBA命名服務(wù)用戶查看服務(wù)用戶點(diǎn)擊“環(huán)境”-->命名-->CORBA命名服務(wù)組查看服務(wù)組授權(quán)基線符合性判定依據(jù)要求EVERYONE組已刪除，并且ALL_AUTHENTICATED組角色僅設(shè)為”控制臺命名讀”備注2.2.2全局安全性與Java2安全安全基線項(xiàng)目名稱WebSphere全局安全性與Java2安全基線要求項(xiàng)安全基線編號SBL-WebSphere-02-02-02安全基線項(xiàng)說明啟用全局安全性，控制登錄管理控制臺，同時應(yīng)用程序?qū)⒖梢允褂肳ebSphere的安全特性,Java2安全性在J2EE基于角色的授權(quán)之上提供訪問控制保護(hù)的額外級別。它特別處理系統(tǒng)資源和API的保護(hù)，不啟用Java2安全性會極大減弱應(yīng)用的安全強(qiáng)度。檢測操作步驟打開管理控制臺點(diǎn)擊“安全性”-->”全局安全性”查看“啟用全局安全性”和“強(qiáng)制Java2安全性”是否啟用基線符合性判定依據(jù)要求“啟用全局安全性”和“強(qiáng)制Java2安全性”啟用備注第3章日志配置操作3.1日志配置3.1.1日志與記錄安全基線項(xiàng)目名稱WebSphere日志記錄安全基線要求項(xiàng)安全基線編號SBL-WebSphere-03-01-01安全基線項(xiàng)說明啟用日志可以回溯事件進(jìn)行檢查或?qū)徲?jì)，日志詳細(xì)信息級別如果配置不當(dāng)，會缺少必要的審計(jì)信息檢測操作步驟以管理員身份打開管理控制臺,執(zhí)行：查看設(shè)置日志的輸出屬性：在導(dǎo)航窗格中，單擊服務(wù)器＞應(yīng)用程序服務(wù)器--＞單擊您要使用的服務(wù)器的名稱--＞在“故障診斷”下面，單擊日志記錄和跟蹤--＞單擊要配置的系統(tǒng)日志（診斷跟蹤、靜態(tài)更改，單擊”配置”選項(xiàng)卡,動態(tài)更改點(diǎn)擊”運(yùn)行時”選項(xiàng)卡。查看日志設(shè)置日志級別。在導(dǎo)航窗格中，單擊服務(wù)器＞應(yīng)用程序服務(wù)器--＞單擊您要使用的服務(wù)器的名稱。--＞在“故障診斷”卜面，單擊日志記錄和跟蹤，查看日志詳細(xì)信息級別基線符合性判定依據(jù)要求啟用所有日志，并配置日志詳細(xì)信息級別為*=info:SecurityManager=all:SystemOut=all備注第4章備份容錯4.1備份容錯安全基線項(xiàng)目名稱WebSphere備份容錯安全基線要求項(xiàng)安全基線編號SBL-WebSphere-04-01-01安全基線項(xiàng)說明某非法操作或誤操作可能導(dǎo)致服務(wù)器崩潰，需要對WebSphere的配置文件進(jìn)行日常備份保護(hù)，保證應(yīng)用系統(tǒng)的可用性.檢測操作步驟訪談與實(shí)地了解針對Web應(yīng)用的當(dāng)前備份容錯機(jī)制基線符合性判定依據(jù)要求備份容錯機(jī)制中針對配置文件、主程序等的備份周期，介質(zhì)及內(nèi)容達(dá)到Web應(yīng)用需求備注第5章設(shè)備其他配置操作5.1安全管理5.1.1控制臺超時設(shè)置安全基線項(xiàng)目名稱WebSphere控制臺超時設(shè)置安全基線要求項(xiàng)安全基線編號SBL-WebSphere-05-01-01安全基線項(xiàng)說明控制臺會話默認(rèn)30分鐘timeout，要求設(shè)置不大于10分鐘檢測操作步驟1.用文本編輯器打開文件$WAS_HOME/systemApps/adminconsole.ear/deployment.xml查看invalidationTimeout的值基線符合性判定依據(jù)invalidationTimeout的值不得大于30備注5.1.2示例程序刪除安全基線項(xiàng)目名稱WebSphere示例程序刪除安全基線要求項(xiàng)安全基線編號SBL-WebSphere-05-01-02安全基線項(xiàng)說明sample例子程序會泄露系統(tǒng)敏感信息，存在較大的安全隱患檢測操作步驟以管理員身份打開管理控制臺,執(zhí)行：1.點(diǎn)擊“應(yīng)用程序”-->”企業(yè)應(yīng)用程序”基線符合性判定依據(jù)不得存在”DefaultApplication”、“PlantsByWebSphere"、"SamplesGallery”、“ivtApp”等例子程序備注

5.1.3錯誤頁面處理安全基線項(xiàng)目名稱WebSphere錯誤頁面安全基線要求項(xiàng)安全基線編號SBL-WebSphere-05-01-03安全基線項(xiàng)說明如果沒有定義默認(rèn)錯誤網(wǎng)頁，則當(dāng)應(yīng)用程序出錯時會顯示內(nèi)部出錯信息，暴露系統(tǒng)和應(yīng)用的敏感信息檢測操作步驟以root身份執(zhí)行：grep-idefaultErrorPage$WAS_HOME/vprofilepath>/config/cells/vhostname>/applications/<yourapplication>.ear/<yourapplication>,war/WEB-INF/ibm-web-ext.xmi基線符合性判定依據(jù)要求defaultErrorPage=設(shè)置為定義錯誤頁面?zhèn)渥?.1.4文件訪問限制安全基線項(xiàng)目名稱WebSphere文件訪問安全基線要求項(xiàng)安全基線編號SBL-WebSphere-05-01-04安全基線項(xiàng)說明禁止WebSphere列表顯示文件檢測操作步驟以root身份執(zhí)行：grep-ifileServingEnabled$WAS_HOME/vprofilepath>/config/cells/vhostname>/applications/<yourapplication>.ear/vyourapplication>.war/WEB-INF/ibm-web-ext.xmi基線符合性判定依據(jù)要求fileServingEnabled=”false”備注5.1.5目錄列出訪問限制安全基線項(xiàng)目名稱WebSphere目錄列出安全基線要求項(xiàng)

安全基線編號SBL-WebSphere-05-01-05安全基線項(xiàng)說明禁止WebSphere瀏覽、列表顯示目錄檢測操作步驟以root身份執(zhí)行：grep-idirectoryBrowsingEnabled$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapp