59 YD/T 2702-2014 电信网和互联网安全防护基线配置要求及检测要求 中间件.pdf

目录

摘抄：

ICS 33.040.40M32中华 人 民共和 国通 信 行 业标 准YDYD汀 2702-2014电信网和互联网安全防护基线配置要求及检测要求中间件Baseline requirements of security configuration for telecomnetwork and internetmiddleware2014-10-14发布2014-10-14实施中 华 人 民 共 和 国〕: .11 k-和 信 息 化 部 发 布丫D厅 2702-2014目 次前 言····················································。··。。·。。·························································……n1 范围························································································。····························……12 规范性引用文件······································································································……13 缩略语··················································································································……14 中间件安全防护基线配置要求及检测要求·……………………………………………………………….. I4.1 总体要求············································。········。················································……14.2Apache中间件安全防护基线配置要求及检测要求·……………………………………………….24.3Tomcat Web中间件安全防护基线配置要求及检测要求·………………………………………….. 84.4IIS中间件安全防护基线配置要求及检测要求·……………………………………………………..144.5JBOSS中间件安全防护基线配置要求及检测要求·……………………………………………….274.6TongWeb中间件安全防护基线配置要求及检测要求·…………………………………………….344.7WebLogic Web中间件安全防护基线配置要求及检测要求·……………………………………….414.8WebSphere Web中间件安全防护基线配置要求及检测要求·…………………………………….46本标准是 “电信网和互联网安全防护体系”系列标准之一，该系列标准的结构及名称预计如下:丫D汀 2702-2014oli胃1.((电信网和互联网安全防护管理指南》2. ((电信网和互联网安全等级保护实施指南》3. 《电信网和互联网安全风险评估实施指南》4. ((电信网和互联网灾难备份及恢复实施指南》5. 《固定通信网安全防护要求》6. 《移动通信网安全防护要求》7. 《互联网安全防护要求》8. 《增值业务网一消息网安全防护要求》9. 《增值业务网一智能网安全防护要求》10. 《接入网安全防护要求》11. 《传送网安全防护要求》12.((IP承载网安全防护要求》13. 《信令网安全防护要求》14. 《同步网安全防护要求》15. 《支撑网安全防护要求》16.《非核心生产单元安全防护要求》17. 《电信网和互联网物理环境安全等级保护要求》18. 《电信网和互联网管理安全等级保护要求》19. 《固定通信网安全防护检测要求》20.《移动通信网安全防护检测要求》21. 《互联网安全防护检测要求》22. 《增值业务网一消息网安全防护检测要求》23.《增值业务网一~智能网安全防护检测要求》24. 《接入网安全防护检测要求》25.《传送网安全防护检测要求》26.SIP承载网安全防护检测要求》27. 《信令网安全防护检测要求》28. 《同步网安全防护检测要求》29.((支撑网安全防护检测要求》30. 《非核心生产单元安全防护检测要求》31. 《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》33. 《域名系统安全防护要求》丫D汀 2702-201434. 《域名系统安全防护检测要求》35. 《网上营业厅安全防护要求》36. 《网上营业厅安全防护检测要求》37.(WAP网关系统安全防护要求》38.(WAP网关系统安全防护检测要求》39. 《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41. 《增值业务网 即时消息业务系统安全防护要求》42.《增值业务网 即时消息业务系统安全防护检测要求》43. 《域名注册系统安全防护要求》44. 《域名注册系统安全防护检测要求》45. 《移动互联网应用商店安全防护要求》46. 《移动互联网应用商店安全防护检测要求》47. 《互联网内容分发网络安全防护要求》48.《互联网内容分发网络安全防护检测要求》49. 《互联网数据中心安全防护要求》50. 《互联网数据中心安全防护检测要求》51. 《移动互联网联网应用安全防护要求》52. 《移动互联网联网应用安全防护检测要求》53.《公众无线局域网安全防护要求》54. 《公众无线局域网安全防护检测要求》55. 《电信网和互联网安全防护基线配置要求及检测要求 网络设备》56. 《电信网和互联网安全防护基线配置要求及检测要求 安全设备})57. 《电信网和互联网安全防护基线配置要求及检测要求 操作系统))58.《电信网和互联网安全防护基线配置要求及检测要求 数据库))59.《电信网和互联网安全防护基线配置要求及检测要求 中间件》60.《电信网和互联网安全防护基线配置要求及检测要求 Web应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62.《电信和互联网用户个人电子信息保护检测要求》本标准与YD/T 2698-2014《电信网和互联网安全防护基线配置要求及检测要求 网络设备》, YD/T2699-2014《电信网和互联网安全防护基线配置要求及检测要求 安全设备》, YD/T 2701-2014《电信网和互联网安全防护基线配置要求及检测要求 操作系统》, YD/T 2700-2014《电信网和互联网安全防护基线配置要求及检测要求 数据库》, YD/T 2703-2014《电信网和互联网安全防护基线配置要求及检测要求Web应用系统》配套使用。随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。丫D汀 2702-2014本标准起草单位:中国移动通信集团公司、工业和信息化部电信研究院、中国电信集团公司、中国联合网络通信集团公司、中国互联网络信息中心、国家计算机网络应急技术处理协调中心。本标准主要起草人:陈敏时、龚双瑾、魏 薇、陈 军、李 正、陈 亮、徐 颖电信网和互联网安全防护基线配置要求及检测要求丫D汀 2702-2014中间件范围统。本标准规定了电信网和互联网中所使用中间件在安全配置方面的基本要求，特别是 Apache中间件、Tomcat Web中间件、IIS中间件、JBOSS中间件、TongWeb中间件、WebLogic Web中间件及WebSphere Web中间件在安全配置方面的基本要求及参考操作。本标准适用于安全防护体系中使用Apache中间件、Tomcat Web中间件、IIS中间件、JBOSS中间件、TongWeb中间件、WebLogic Web中间件及WebSphere Web中间件的所有安全防护等级的网络和系由于版本不同，配置操作有所不同，本标准以Apache 2.0.x/2.2.x. Tomcat 4.x/5.x/6.x. IIS 5.x/6.x/7.x.JBOSS 4.x, TongWeb 5.x, WebLogic 8.x/9.x/10.x. WebSphere 6.x为例，给出参考配置操作。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本 (包括所有的修改单)适用于本文件。YD/T 1728-2008《电信网和互联网安全防护管理指南》YD/T 1729-2008《电信网和互联网安全等级保护实施指南》YD/T 1730-2008《电信网和互联网安全风险评估实施指南》YD/T 1731-2008《电信网和互联网灾难备份及恢复实施指南》YD/T 1478-2006《电信管理网安全技术要求》YD/T 1756-2008《电信网和互联网管理安全等级保护要求》3 缩略语下列缩略语适用于本文件。IPInternet ProtocolURL UniformResource Locator互联 网协议统一资源定位符DNS Domain Name System域名系统API Application Programming Interface应用程序编程接口J2EEJava 2 Platform,Enterprise EditionJava2平台企业版4 中间件安全防护基线配置要求及检测要求4.， 总体要求a)账号电信网和互联网的中间件安全防护基线配置及检测应满足账号、口令、日志、授权和其他安全等5个方面的要求，具体配置操作及检测方法应结合具体设备，详见下列各类型中间件的详细描述。1)应按照用户分配账号，避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。丫D厅 2702-20142)应删除或锁定与设备运行、维护等工作无关的账号。b) 口令1)对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。c)授权1)在设备权限配置能力内，根据用户的业务需要配置其所需的最小权限。1)设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成d) 日志e)其他功、登录时间以及远程登录时用户使用的IP地址。1)对于具备字符交互界面的设备，应支持定时账户自动退出。退出后用户需再次登录才能进入系统。2)错误页面重定向。4.2 Apache中间件安全防护基线配置要求及检测要求4.2.1 账号编号:Middleware -Apache-账号一01要求内容:以专门的非root用户账号和组运行Apache操作指南:根据需要为Apache创建用户、组。参考配置操作:修改httpd.conf配置文件，添加如下语句:User apacheGroup apachegroup其中apache. apachegroup分别是为Apache创建的用户和组检测方法:检查httpd.conf1置文件，检查用户配置文件判定条件:补充说明:I.根据不同用户，取不同的名称。2.为用户设置适当的家 目录和shell4.2.2 授权编号:Middleware -Apache一授权一01要求内容:禁止Apache访问Web目录之外的任何文件丫D厅 2702-2014访问服务器上不属于Web目录的一个文件，结果应无法显示操作指南:编辑httpd.confIE置文件，<Directory/>Order Deny,AllowDeny from all</Directory>检测方法:判定条件:无法访问Web目录之外的文件补充说明:设置可访问目录，<Directory /Web>Order Allow,DenyAllowfromall</Directory>其中/Web为网站根目录丫D厅 2702-20144.2.3 日志编号:Middleware -Apache一日志一01要求内容:设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址编辑httpd.conf 置文件，设置日志记录文件、记录内容、记录格式。操作指南:LogLevel noticeErrorLog logs/error logLogFormat “%h %l %u %t \”%r\” %>s %b V’% (Accept) i\” \”%{Referer}i\”\，，%麦User-Agent}i\”” combinedCustomLog logs/access-log combinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，却ache httpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置:ErrorLog syslogoCustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice检测方法:查看相关日志记录判定条件:补充说明:查看logs目录中相关日志文件内容，记录完整丫D汀 2702-20144.2.4 其他编号:Middleware -Apache一其他一01要求内容:Apache错误页面重定向操作指南:1.修改httpd.conf 置文件:ErrorDocument 400 /custom400.htmlErrorpocument 401 /custom401.htmlErrorDocument 403 /custom403.htmlErrorDocument 404 /custom404.htmlErrorDocument 405 /custom405.htmlErrorDocument 500 /custom500.htmlCustomxxx.html为要设置的错误页面。2.重启Apache服务检测方法:判定条件:指 向指定错误页面补充说明:URL地址栏中输入http://ip/xxxxxxx- (一个不存在的页面)丫D厅 2702-2014编号:Middleware -Apache一其他一02要求内容:禁止Apache列表显示文件操作指南:I.编辑httpd.conf 置文件:<Directory “/Web”>Options FollowSymLinksAllowOverride NoneOrder allow,denyAllow fromall</Directory>将Options Indexes FollowSymLinks中的Indexes去掉，就可以禁止 Apache显示该目录结构。Indexes的作用就是当该目录下没有 index.html文件时，就显示目录结构。2.设置却ache的默认页面，编辑%apache%\conf\httpd.confYE置文件:<IfM odule dir module>DirectoryIndex index.html</IfModule>其中index.html即为默认页面，可根据情况改为其他文件。3.重启Apache服务检测方法:判定条件:补充说明:直接访问http://ip:8800/xxx (x。为某一目录)当Web目录中没有默认首页如index.html文件时，不会列出目录内容丫D汀 2702-2014编号:Middleware -Apache一其他一。要求内容:拒绝服务防范操作指南:1.编辑httpd.confE置文件:Timeout 10 KeepAlive OnKeepAliveTimeout巧AcceptFilter http dataAcceptFilter https data2.重启Apache服务检测方法:检查配置文件是否设置判定条件:补充说明:编号:Middleware -Apache一其他一。要求内容:删除缺省安装的无用文件操作指南:1.删除缺省 HTML文件:#rm -rf /usr/local/apache2/htdocs/*删除缺省的 CGI脚本:#rm -rf /usr/local/apache2/cgi-bin/*删除Apache说明文件:#rm -rf /usr/local/apache2/manual删除源代码文件:检测方法:检查对应目录判定条件:补充说明:#rm -rf /path/to/httpd-2.2.4*根据安装步骤不同和版本不同，某些目录或文件可能不存在或位置不同丫D厅 2702-2014编号:Middleware -Apache一其他一05要求内容:隐藏Apache的版本号及其他敏感信息操作指南:1.编修改httpd.conflV置文件:ServerSignature OffServerTokens Prod检测方法:检查配置文件判定条件:存在ServerSignature Off补充说明:要求内容:应按照用户分配账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号4.3 丁。mcat Web中间件安全防护基线配置要求及检测要求4.3.1 账号编号:Middleware -Tomcat-账号一01共享操作指南:检测方法:1.修改tomcat/conf/tomcat-users.xml配置文件，修改或添加账号。<user username=”tomcat” password=” Tomcat!234″ roles=”admin”>访问http://ip:8080/manager/html管理页面，进行Tomcat服务器管理判定条件:各账号都可以登录 Tomcat Web服务器为正常补充说明:1.根据不同用户，取不同的名称。2. Tomcat 4.1.37, 5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件丫D厅 2702-2014编号:Middleware -Tomcat-账号一02要求内容:应删除或锁定与设备运行、维护等工作无关的账号1.修改tomcat/conf/tomcat-users.xm】配置文件，删除与工作无关的账号。例如tomcatl与运行、维护等工作无关，删除账号:<user username= “tomcatl”password= “tomcat” roles= “admin”>访问http://ip:8080/manager/html管理页面，使用删除账号进行登录尝试被删除的与工作无关的账号tomcat l不能正常登录操作指南:检测方法:判定条件:补充说明:4.3.2 口令X Tomcat web ffc*ggi ffig-W#91 , 1 AkW V W F1+y A!21 o11:& tomcat/conf/tomcat-user.xml AE-WjC#+M*F1A’NlqA $ 13 .3.1?ErLQ-}-Y,4.ft-0}Fi一: Middleware -Tomcat- [14-01O*N?:}}`c}Q}i#xkJ- Z’ W s D 1 Wn, -.6-;2. O tomcat A F1′ 49# I F1} f’cl> 8}C414IY-/3OfMIM:1. A tomcat/conf/tomcat-user.xml fE-WjC1trP=R<user usemame= “tomcat” password= “Tomcat!234” roles= “admin” >1 . A丫D厅 2702-20144.3.3 授权操作指南:检测方法:判定条件:编号:Middleware -Tomcat一授权一01要求内容:在设备权限配置能力内，根据用户的业务需要配置其所需的最小权限I.编辑tomcat/conf/tomcat-user. xml配置文件，修改用户角色权限，授权 tomcat具有远程管理权限:<user username= “tomcat” password= “chinamobile”roles= “admin,manager”>登录http://ip:8080/manager/html页面，使用tomcat账号登录，进行远程管理登录远程管理页面，使用 tomcat账号进行登录，登录成功丫D汀 2702-2014要求内容:设备应配置 日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是4.3.4 日志编号:Middleware -Tomcat旧 志一01否成功、登录时间以及远程登录时用户使用的IP地址操作指南:1.编辑 server.xml配置文件，在<HOST>标签中增加记录日志功能将以下内容的注释标记<!– 一>取消<valve classname= “org.apache.catalina.valves.AccessLogValve”Directory= “logs” prefix= “localhost_access_log.” Suffix= “.txt”Pattern= “common” resloveHosts= “false” />查看localhost access-log.2008-10-22.log中相关日志记录检测方法:判定条件 :补充说明:查看logs目录中相关日志文件内容，记录完整1. classname: This M UST be set toorg.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60Directory旧志文件放置的目录，在tomcat下面有个logs文件夹，那里面是专门放置日志文件的，也可Prefix:这个是日志文件的名称前缀，日志名称为 localhost access log.2008-10-22.txt，前面的前缀就是以修改为其他路径。这个localhost access_logoSuffix:文件后缀名Pattern: common方式时，将记录访问源 IP、本地服务器 EP、记录日志服务器 IP、访问方式、发送字节数、本地接收端口、访问URL地址等相关信息在日志文件中。resolveHosts:值为true时，tomcat会将这个服务器 IP地址通过 DNS转换为主机名，如果是 false，就直接写服务器 IP地址要求内容:对于具备字符交互界面的设备，应支持定时账户自动退出。退出后用户需再次登录才能进丫D汀 2702-20144.3.5 其他编号:Middleware -Tomcat一其他一011.编辑tomcat/conf/server.xml配置文件，修改为300s:port=”8080″ maxHttpHeaderSize=”8192″ maxThreads=” 150″minSpareThreads=”25″ maxSpareThreads=”75enableLookups=”false” redirectPort=”8443″ acceptCount=” 100″connectionTimeout=”300″ disableUploadTimeout=”true”/>登录tomcat默认页面http://ip:8080/manager/html，使用管理账号登录入系统操作指南:<Connector检测方法:判定条件:300s自动退出补充说明:丫D厅 2702-2014编号:Middleware -Tomcat一其他一02要求内容:Tomcat错误页面重定向操作指南:1.配置tomcat/conf/Web.xml文件:在最后</Web-app>一行之前加入以下内容:<error-page><error-code>404</error-code><location>/noFile.htm</location></error-page><error-page><exception-type>j ava.lang.NullPointerException</exception-type><location>/ error jsp</location></error-page>第一个<error-page></error-page>之间的配置实现了将404未找到isp网页的错误导向noFile.htm页面，也可以用类似方法添加其多的错误代码导向页面，如403. 500等。第二个<error-page></error-page>之间的配置实现了当」sp网页出现」ava.lang.NullPointerException导常时，转向error.j sp错误页面，还需要在第个isp网页中加入以下内容:<%@page errorPage=”/errorjsp”%>典型的errorjsp错误页面的程序写法如下:<%@page contentType=”text/html;charset=GB2312″%><%@page isErrorPage=”true”%><h枷nl><head><title>错误页面</title></head><body>出错了:Up>错误信息:<%= exception.getMessage() %><br>Stack Trace is:<pre><font color=”red”><%java.io.CharArrayWriter cw=new java.io.CharArrayWritero ;java.io.PrintWriter pw=new java.io.PrintWriter(cw,true);exception.printStackTrace(pw);out.println(cw.toStringO);%></font>Upre><几ody><小tml>补充说明:当出现NullPointerException异常时tomcat会把网页导入到error.jsp，且会打印出出错信息。2.重启 tomcat服务检测方法:URL地址栏中输入http://ip:8800/manager判定条件:指向指定错误页面YD汀 2702-2014编号:Middleware -Tomcat一其他一03(可选)要求内容:禁止 tomcat列表显示文件操作指南:<而t一aram>1.编辑tomcat/conf/Web.xml配置文件:<param-name>listings</param-name><param-value>true</param-value></init-param>把true改成 false2.重启 tomcat服务检测方法:直接访问http://ip:8800/Webadd判定条件:补充说明:4.4.1 账号4.4IIS中间件安全防护基线配置要求及检测要求当Web目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容下拼燕一H1:23V \IIS2R->z丫D汀 2702-2014编号:Middleware -IIS-账号一02要求内容:应删除或锁定与设备运行、维护等工作无关的账号操作指南:1.进入 “控制面板一>管理工具一>计算机管理”，在 “系统工具一>本地用户和组”:删除或锁定与设备运行、维护等与工作无关的账号。IIS安装后生成账号:IUSR主机名、IWAM 主机名、ASPNET三用户，依据应用情况建议只保留系统维护账号。(1)IUS几主机名二Internet来宾账户，匿名访问 Internet信息服务的内置账户。如果删除影响页面浏(2) IWAM‘主机名:启动 IIS进程账户，用于启动进程外应用程序的 Internet信息服务的内置账户。(3) ASPNET: ASP.NET计算机账户，用于运行 ASP.NET辅助进程((aspnet wp.exe)的账户。IIS系统安装后会默认支持 ASP，如网站无动态内容，可禁用该账户，如网站有动态内容需保留此账户进入 “控制面板一>管理工具一>计算机管理”，在 “系统工具一>本地用户和组”:查看是否删除或锁定与设备运行、维护等与工作无关的账号。如网站无动态内容，系统只保留管理员、IUSR主机名、IWAM主机名、维护人员的账号，无其他账号;如网站有动态内容，则系统保留管理员、IUSR_主机名,IWAM主机名、ASPNET、维护人员的账号，无其他账号结合要求和实际业务情况判断符合要求的账号，删除或锁定与设备运行、维护等与工作无关的账号编号:Middleware -IIS一口令一01要求内容:对于采用静态口令认证技术的设备，口令长度至少 8位，并包括数字、小写字母、大写字母和特殊符号4类中至少 3类 (1IS基于 Windows系统，可通过提升 Windows自身密码安全等级实现)进入“控制面板一>管理工具一>本地安全策略”，在“账户策略一>密码策略”:“密码必须符合复杂性要求”进入 “控制面板一>管理工具一>本地安全策略”，在 “账户策略一>密码策略”:查看是否 “密码必须符合复杂性要求”选择 “已启动”“密码必须符合复杂性要求”选择 “已启动”览，建议保留。建议保留。检测方法:判定条件:补充说 明:4.4.2 口令操作指南:选择 “己启动”检测方法:判定条件:补充说明:要求内容:对于采用静态口令认证技术的设备，维护人员使用的账户口令的生存期不长于 90天 (IIS基于Windows系统，可通过提升 Windows账户策略实现)进入 “控制面板一>管理工具一>本地安全策略”，在 “账户策略一>密码策略”:“密码最长存留期”设置为进入 “控制面板一>管理工具一>本地安全策略”，在 “账户策略一>密码策略”:查看是否 “密码最长存留期”YD汀 2702-2014编号:Middleware -IIS一口令一02操作指南:”90天”检测方法:设置为 “90天”判定条件:补充说明:“密码最长存留期”设置为 “90天”编号:Middleware -IIS一口令一03要求内容:对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近 5次 (含 5次)内己使用的口令 (IIS基于Windows系统，可通过提升Windows账户策略实现)进入 “控制面板一>管理工具一>本地安全策略”，在 “账户策略一>密码策略”:“强制密码历史”设置为 “记进入 “控制面板一>管理工具一>本地安全策略”，在 “账户策略一>密码策略”:查看是否 “强制密码历史”操作指南:住 5个密码”检测方法:判定条件:补充说明:设置为 “记住 5个密码”“强制密码历史”设置为 “记住 5个密码”4.4.3 授权}编号:Middleware -IIS一授权一。1}要求内容:在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限 (对于IIS用户定义}分为两个层次:一是IIS自身操作用户;二是IIS发布应用访问用户。设备权限的配置基于上述两方面丫D汀 2702-20141考虑)一操作指南:一I.原理:2.具体操作:检测方法:状态。判定条件:补充说明:{(1)文件夹和文件的访问权限:安放在 NTFS文件系统上的文件夹和文件，一方面要对其权限加以控一制，对不同的用户组和用户进行不同的权限设置;另外，可利用 NTFS的审核功能对某些特定用户组一成员 读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。(2)目录的访问权限:已经设置成Web目录的文件夹，可以通过操作 Web站点属性页面实现对 WWW目录访问权限的控制，而该目录下的所有文件和子 文件夹都将继承这些安全性。WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载 WWW 目录中的文件;执行权限，允许用户运行 WWW 目录下的程序和脚本。(1)启动“域用户管理器”一> “规则”选单下的 “审核”选项一> “审核规则”(2)启动ISM (Internet服务器管理器)一>启动Web属性页面并选择 “目录”选项卡;一>选择WWW目录;一>选择 “编辑属性”中的 “目录属性”进行设置:“脚本资源访问”、“读取”、“写入”“目录浏览”、“记录访问”、“索引资源”I.启动 “域用户管理器”一> “规则”选单下的 “审核”选项一> “审核规则”，检测 “审核规则”配置2.启动ISM (Internet服务器管理器)一>启动Web属性页面并选择 “目录”选项卡;一>选择WWW 目录;一> “编辑属性”中的 “目录属性”，查看配置状态检测用户权限审核及 ISM 目录安全属性丫D厅 2702-20144.4.4 日志编号:Middleware -IIS一日志一01要求内容:启用日志功能操作指南:打开 IIS管理工具，右击要管理的站点，选择 “属性”。在 “Web Site”选择 “启用日志记录”，从下拉菜单中选择 “Microsoft US日志文件格式”。”W3C”日志格式存在日志记录时间与服务器时间不统一的问题，所以应尽量采用 IIS日志格式开始一>管理工具一>Internet信息服务(US)管理器 选择相应的站点，然后右键点击 “属性”检查是否 “启用日志记录”并采用 “Microsoft US日志文件格式”启用日志记录，并采用 IIS日志格式编号:Middleware -IIS一日志一02要求内容:更改IIS Web日志默认存放路径将 IIS的网页访问日志独立存放在一个独立的分区中，并且系统管理员要定期对该目录进行查看和维护，确保日志内容不会溢出，并可以及早的发现网络异常行为进入 “开始一>管理工具一>资源管理器”，查看日志文件存放路径IIS的网页访问日志独立存放在一个独立的分区中检测方法:判定条件:补充说明:操作指南:检测方法:判定条件:补充说 明:丫D汀 2702-2014编号:Middleware -IIS旧 志一03要求内容:设备应配置日志功能，记录与设备相关的安全事件1.进入 “控制面板一>管理工具一>本地安全策略”，在 “本地策略一>审核策略”中配置相应 “审核对象访问”、“审核目录服务器访问”、“审核系统事件”、“审核账号管理”、“审核过程追踪”选项。2.运行IIS管理器一>”Internet信息服务”一>“应用相关站点”属性一>“网站”一>“属性”一>“高级”选择 “时间”、“日期”、“扩展属性”是否选择进入 “控制面板一>管理工具一>本地安全策略”，查看 “本地策略一>审核策略”配置 “成功”、“失败”的操作指南:检测方法:选择记录判定条件 :补充说明:1.确定系统相关 “审核策略”。2.确定IIS相关 “站点属性”日志详细记录编号:Middleware -IIS旧 志-04要求内容:设备应配置权限，控制对日志文件读取、修改和删除等操作进入 “控制面板一>管理工具一>本地安全策略”，在 “本地策略一>审核策略”中配置相应 “审核策略更改”进入 “控制面板一>管理工具一>本地安全策略”，在 “本地策略一>审核策略”中配置相应 “审核策略更改”操作指南:配置相应选项检测方法:选项选择状态判定条件:补充说明:确定系统相关 “审核策略”丫D厅 2702-20144.4.5IP协议编号:Middleware -IIS- IP协议一01要求内容:IP转发的安全性操作指南:IIS服务可提供 IP数据包转发功能，此时，充当路由器角色的 IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，以此提升 IIS服务安全性。HS服务器启动 “网络属性”一>“协议”选项卡一>在 “TCP/IP属性”中去除 “路由选择”选项IIS服务器启动“网络属性”一> “协议”选项卡一>在 “TCP/IP属性”查看 “路由选择”选项检测方法:判定条件:补充说明:判断IIS所属服务器 “路由选择”选项状态4.4.6 其他编号:Middleware -1IS一其他一01要求内容:对于具备图形界面 (含 Web界面)的设备，应配置定时自动屏幕锁定 (参考 Windows相关配置:设置带密码的屏幕保护，并将时间设定为5min )操作指南:检测方法:判定条件:补充说明:1.进入 “控制面板一>显示一>屏幕保护程序，’:启用屏幕保护程序，设置等待时间为 “5min”，启用 “在恢复时使用密码保护”进入 “控制面板一>显示一>屏幕保护程序”:查看是否启用屏幕保护程序，设置等待时间为 “5min”,启用 “在恢复时使用密码保护”启用屏幕保护程序，设置等待时间为 “5min”，启用 “在恢复时使用密码保护”编号:Middleware -IIS一其他一02要求内容:更改 IIS默认安装路径YD厅 2702-2014丫D/T 2702-2014编号:Middleware -IIS一其他一03要求内容:文件安全配置要求:删除可能带来风险的实例文件操作指南:I.进入相应日录，删除实例文件IISc:\inetpub\iissamplesAdmin Scripts c:\inetpub\scriptsAdmin Samples %systemroot%\system32\inetsrv\adminsamplesIISADMPWD %systemroot%\system32\inetsrv\iisadmpwdIISADMIN%systemroot%\system32\inetsrv\iisadminData access c:\Program Files\Common Files\System\msadc\SamplesMSADCc:\program files\common files\system\msadc检测方法:进入。:\inetpub; c:\Program Files\Common Files\System\msadc\Samples查看是否删除可能带来风险的实例文件判定条件:卒卜充说明:删除可能带来风险的实例文件编号:Middleware -IIS一其他一04要求内容:删除不必要的脚本影射丫D厅 2702-2014YD/T 2702-2014补充说明:丫D汀 2702-2014编号:Middleware -IIS一其他一05要求内容:按账号分配日志文件读取、修改和删除权限，从而防II旧 志文件被篡改或非法删除通过 “资源管理器”，修改文件权限，除管理员组用户外，其他用户不得修改、删除日志文件操作指南:判定条件:补充说明:操作指南:1.下载 IIS补丁包IIS4.0IIS5.0非管理员组的用户不得修改、删除日志文件编号:Middleware -IIS一其他一06要求内容:如需启用 IIS服务，则将 IIS升级到最新补丁http://www.microsoft.com/Downloads/Release.asp?ReleaselD=23667http://www.microsoft.com/Downloads/Release.asp?ReleaselD=23665并安装，或升级到IIS6.0检测方法:控制面板一>添加或删除程序一>显示更新打钩，杳看是否安装 IIS补丁包判定条件:已安装 IIS最新 补丁包补充说明:编 号:Middleware -IIS一其他一07SMTP服务操作指南:中删除FTP, SMTP服务组件检测方法:中检查是否删除FTP, SMTP服务组件判定条件:辛卜充说明:查看FTP, SMTP服务没有被安装要求内容:IIS是架设 Web, FTP, SMTP服务器的一套整合软件，如果不是必要，不得安装 FTP,可以通过 “控制面板” 一> “添加/删除程序” 一>“添加删除 IIS组件” 一>”internet信息服务 (IIS)”可以通过 “控制面板” 一> “添加/删除程序” 一>“添加删除IIS组件” 一>” internet信息服务 (IIS)”YD汀 2702-2014编号:Middleware -IIS一其他一08(可选)要求内容:对于 IIS6.0对于 “Web服务扩展”，默认只启用了“asp.net”功能。如果业务系统不需要ASP支持，应按照图6的方法将相应的服务扩展禁止}鳃瓢瓢瓢嚷巍夔鳃夔瓢缨鳃嘟黝}纂薰薰蒸醚】粼薰毅纂篡翼麒瓢篡鬃篡翼蘸颧黔鬓撇蘸薰蘸蒸鑫黝耀——Web ML’p’`rjl’ft;}51}t}fti}FrWeb MM’cml.tr} Web___Fzr, net fA9EI- WM2K3 ( !1kit lClFTPCt7 , 1 ffl it9t }Internet MI11 a%L0] WebDAVa}ln- I __*r O} Active Server PagesI aspnet cliersWISE’llwoQ+-}iJ SUP dbC m}”1WM0 CGI j” )kM500 ISAPI JKCl.. iJ} 1 d图6 禁止“asp.net.功能操作方法检测方法:如果网站页面为静态界面，则开始一>管理工具一>>Internet信息服务(IIS)管理器 选择相应的站点，然后右键点击 ‘`Web服务扩展”。检查是否禁用 “asp.net”功能丫IJ厅 2702-20144.5 )日OSS中间件安全防护基线配置要求及检测要求4.5.1 账号编号:Middleware -JBOSS-账号一01要求内容:jmx-console登录的用户名和密码管理，默认情况访问 http://ip:port/jmx-console需要输入用户名和密码。设置用户名密码限制账号，提高安全性操作指南:1.修改 Jboss目录下<security-domain>节点的注释到为登录配置了角色JBossAdmin$ {jboss}/server/$ {server}/deploy/jmx-console.war/Web-INF/jboss-Web.xml，去掉修改」boss-Web.xml同级目录下的Web.xml文件，去掉<<security-constraint>节点的注释，在这里可以看2. jmx-console的安全域和运行角色JBossAdmin都是在login-config.xml中配置，在Jboss的安装目录$ {jboss}/server/$ {server}/config下找到。在login-config.xml中查找jmx-console的application-policy可以看到登录的角色、用户等信息分别在${jboss}/server/$ {server}/config/props的jmx-console-roles.properties和jmx-console-users.properties文件中配置3.低版本Jboss(4.2.0及以下)建议下载并更新至JBoss的最新版本检测方法:判定条件:补充说明:登录http://ip:portljmx-consol。不能正常访问输入」mx-console-users.properties文件中定义的用户名和密码登录正常1. jmx-console-users.properties文件中定义了一个用户名为admin，的用户。2. jmx-console-roles.properties文件中默认为admin用户，定义了JBossAdmin和Httplnvoker这两个角色YD厅 2702-2014编号:Middleware -JBOSS-账号一02隐患。设置用户名密码限制账号操作指南:1.修改 Jboss目录下要求内容:Web-consol。登录的用户名和密码管理安全基线要求项，不需要输入用户名和密码存在安全$ {jboss}/server/$ {server}/deploy/management/console-mgr.sar/Web-console.war/Web-INF下jboss-Web.xml文件，去掉<<security-domain>节点的注释。修改中jboss-Web.xml同目录下的Web.xml文件，去掉<security-constraint>节点的部分注释进行修改，修改的内容如下:修改server/default/conf下的login-config.xml文件2.低版本Jboss(4.2.0及以下)建议下载并更新至JBoss的最新版本检测方法:判定条件:登录 http://ip:port/Web-console/不能访问页面输入Web-console-users.properties文件中定义的用户名和密码登录正常丫 IC厅 2702-20144.5.2 口令编号:Middleware -JBOSS一口令一01母和特殊符号4类中至少3类操作指南:要求内容:对于采用静态口令认证技术的设备，口令长度至少 8位，并包括数字、小写字母、大写字1.在${jboss}/server/$ {server}/deploy/oracle-ds.xml配置文件中设置oracle密码机密<security-domain>EncryptDBPassword</security-domain>2.在${jboss}/server/$ {server}/conf/login-config.xml配置文件中设置JNDI加密<application-policy name=”testDataSource”> –testDataSource是连接池的名称<authentication><login-module code=”org jboss.resource.security.SecureldentityLoginModule” flag=”required”><module-option name=”usemame”>apps</module-option> 一用户名<module-option name=”password”>3fb2b2b29f74131 a</module-option>一加密后的密码<module-option name=”managedConnectionFactoryName”>jboss jca:service=LocalTxCM,name=testDataSource</module-option></login-module></authentication></application-policy>检测方法:人工检查配置文件中账号口令是否符合判定条件:复杂度要求补充说明:检查$勺boss}/server/$ {server}/conf/login-config.xml配置文件中的账号口令是否符合移动通过配置口令口令要求:长度至少 8位，并包括数字、小写字母、大写字母和特殊符号 4类中至少 3类丫D厅 2702-20144.5.3 授权操作指南:编号:Middleware -JBOSS一授权一01要求内容:在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限1.编辑//server/default/config/login-config.xml配置文件，修改用户角色权限<application-policy name=’jmx-console”><authentication><login-module code=”org.jboss.security.auth.spi.UsersRolesLoginModule”flag=”required”><module-option name=”usersProperties”>props/jmx-console-users.properties</module-option><module-option name=”rolesProperties”>props/jmx-console-roles.properties</module-option></login-module></authentication></application-policy>检测方法:判定条件:1.登录 http://ip:port/Web-console/访问页面正常;2.登录 http://ip:port/jmx-console/访问页面正常1.输入Web-console-users.properties文件中定义的用户名和密码，登录正常;2.输入jmx-console-users.properties文件中定义的用户名和密码，登录正常丫D厅 2702-2014要求内容:设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是4.5.4 日志编号:Middleware -JBOSS旧 志一01否成功、登录时间以及使用的IP地址操作指南:I.编辑${bboss}/server/${server}/conf/ log4j.xml配置文件:<appender name=”FILE-0″class=”org.jboss.logging.appender.DailyRollingFileAppender”><errorHandler class=”org.jboss.logging.util.OnlyOnceErrorHandler”/><param name=”File” value=”$勺boss.server.log.dir}/server.log”/>印 aram name=”Append” value=”true”/><param name=”Threshold” value=”ERROR”/><param name=”DatePattem” value=川.’yyyy-MM-dd_HH”/><layout class=”org.apache.log4j.PatternLayout”><param name=”ConversionPattem” value=”%d %-5p [%t] [%c (1) ] %1 %m%n”/></layout></appender>检测方法:判定条件:查看server.log中相关日志记录查看logs目录中相关日志文件内容，记录完整丫D厅 2702-20144.5.5 其他入系统操作指南:编号:Middleware -JBOSS一其他一01要求内容:对于具备字符交互界面的设备，应支持定时账户自动退出。退出后用户需再次登录才能进1.编辑$ {jboss}/server/$ {server}/deploy/jbossWeb-tomat55.sar/server.xml配置文件，修改为300s0<Connector port=”8100″ address=”$Uboss.bind.address}”maxThreads=”250″ strategy=-“ms” maxHttpHeaderSize=”8192″emptySessionPath=”true”enableLookups=”false” redirectPort=”8443″ acceptCount=” 100″connectionTimeout=”300″disableUploadTimeout=”true” URIEncoding=”utf-8″/>登录jboss默认页面 ，使用管理账号登录检测方法:判定条件:300s自动退出补充说明:编号:Middleware -JBOSS一其他一02要求内容:Jboss错误页面重定向操作指南:1.查看${jboss}/server/$ {server}deploy/jbossWeb-tomcat55.sar/conf文件:<welcome-file-list><welcome-file>index.html</welcome-file><welcome-file>index.htm</welcome-file><welcome-file>index.jsp</welcome-file></welcome-file-list>检测方法:判定条件:补充说明:丫D厅 2702-2014编号:Middleware -JBOSS一其他一03要求内容:禁止 Jboss列表显示文件操作指南:<而t一aram>1.编辑deploy/jbossWeb-tomcat55.sar/conf配置文件:<param-name>listings</param-name><param-value>true</param-value></init-param>把true改成 false o2.重新启动Jboss服务检测方法:判定条件 :补充说明:当Web目录中没有默认首页如index.html加dexjsp等文件时，不会列出目录内容YD/T 2702-20144.64.6账号TongWeb中间件安全防护基线配置要求及检测要求编号:Middleware -TongWeb-账号一01要求内容:应按照用户分配账号，避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享检测方法:访问http://ip:8080/twns管理页面，进行TongWeb服务器配置找安全服务下的安全域即可各账号都可以登录TongWeb服务器为正常判定条件:补充说明:1.根据不同用户，取不同的名称。2. TongWeb 4.1.37, 5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件YD汀 2702-2014编号:Middleware -TongWeb-账号一。要求内容:应用删除或锁定与设备运行、维护等工作无关的账号删除无关用户，删除无关用户的操作如图 10所示。——UIA黔夔—————————————-一一————— ——— I1「藻石 】】!_:tamstongseo检测方法:图 ，0 删除无关用户的操作}‘一:ANFESEW访问http://ip:8080/twns管理页面，使用删除账号进行登录尝试判定条件:删除的用户tongWebuser不能通过控制台登录界面进入主页YD/T 2702-20144.6.2 口令编号:Middleware -TongWeb一口令一01要求内容:对于采用静态口令认证技术的设备，口令长度至少 8位，并包括数字、小写字母、大写字母和特殊符号四类中至少 3类操作指南:进行口令的修改或者添加，口令操作如图11所示。tongwebvJAPI%(一9-“;,: VAMlAfRfl-9M,— – — ————————PIDtwns黝蒸黝黝蘸黝瓢黝黝黝黝缨缨黝黝撇用户]0 tongwebuser组列表)ongwe一撇码一确认叫一..l~ 鹅新密码并确认，腮阿:图 11 口令操作人工检查配置文件中账号口令是否符合检测方法:判定条件:检查账号口令是否符合配置口令复杂度要求4.6.3 授权操作指南:编号:Middleware -TongWeb一授权一。要求内容:限制登录管理控制台的服务器，外网用户访问管理控制台，进行非法操作丫D厅 2702-20141.登录管理控制台，”AR务配置”-“Web容器”令 “虚拟主机”，虚拟主机界面如图 12所示。服知己置一》WE吟器一虚拟主机鑫苗于 !———-一 ~名称—————–一 ~3;$Jl一 ’————————————一ri rin蘸彝赢蘸鬓摹}ip蒸b tiost蒸 y}扮峨 }黔朦蒸蘸靡 server${tongweb.hostName}1广删除选择 “admin”，如下图:}嘿薰黔燃黔黔黔瘾罐蜘黝110\.110\.111\.([1 ][9][3一 9]I[t拒 绝 访 问 的远程 地 址 Ii!允 ti-Tip5l7的远 1i王机 I{}，巨绝访问的远程主“{一:一万———一 }图12 虚拟主机界面允许访问的远程地址:具体的IP或正则表达式。本例中为正则表达式:10\.110\.111 \.([ 1 ] [9] [3-9] I [2] [0-5] [0-9])，允许10.110.111.193-255网段的IP访问管理控制台检测方法:判定条件:YD/T 2702-20144.6.4 日志编号:Middleware -TongWeb一日志一01要求内容:设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时，用户使用的IP地址操作指南:1. TongWeb默认的访问日志是关闭了的，可以修改虚拟主机打开访问日志，访问日志中记录了客户端访问的本机 IP、访问时间、访问的资源、请求使用的协议以及返回的状态码等内容，若发现有攻击现象可以打开访问日志，通过分析访问日志可以知道哪些 IP访问了系统资源，日志操作界面如图 13所示。【矍塾矍置巡攫矍墨巡 。一步.在所、务中.，。主机选。攒帽颧龄黔黝必献}${tongweb. hostName}主机名如策药重鸯簸篷越郭难1菊如~I${Iongweb 虚拟主机 名称虚拟主机别名虚拟主机状态r 麟翻 海摹魂裁器瀚姗姗麟然雄默瞬滩翻落雄燕瀚鹅姗熬热龚橄通淤裱睡敷暨X竺}1 }1}睿臻鬓蘸熬鬃瓤颤S{开关}访问日志文件所在目录:将日志保存到文件的周月}缓存大小‘单位，宇节’$(tnngweb. root(/Ings/semer.log」献web.roof Bg碳锣胆__.-_._-_.–__.—‘3096图 ，3 日志操作界面日志格式如下:”127.0.0.1” “urns” [07/Mar/2012:03:40:36 +0000] “GET /tuns/dojoroot/dojo/i18n.js HTTP/1.1″ 200 317311127.0.0.1” “tuns” [07/Mar/2012:03:40:36 +0000] “GET /tvns/dojoroot/dijit/nls/zh/loading.js HTTP/1.1″ 200 7911127,0.0.1” “tuns” [07/Mar/2012:03:90:36 +0000] “GET /tuns/dojoroot/dijit/layout/TabContainer.js HTTP/1.1” 200 1308检测方法:查看localhost access-log.2O12-03-O7.log中相关日志记录判定条件:查看logs目录中相关日志文件内容，记录完整补充说明:1. classname: This MUST be set toorg.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60Directory旧志文件放置的目录，在TongWeb下面有个logs文件夹，那里面是专门放置日志文件的，也可以修改为其他路径;Prefix:这个是日志文件的名称前缀，日志名称为 localhost access log.2008-10-22.txt，前面的前缀就是这个localhost-acces习ogSuffix:文件后缀名Pattern: common方式时，将记录访问源 IP、本地服务器 IP、记录日志服务器 IP、访问方式、发送字节数、本地接收端口、访问URL地址等相关信息在日志文件中resolveHosts:值为true时，TongWeb会将这个服务器IP地址通过DNS转换为主机名，如果是false，就直接写服务器 IP地址丫D厅 2702-2014其他4.6.5Fm T要求内容:可以避免访问应用时，暴露应用目录下有哪些文件Middleware -TongWeb一其他一。操作指南:1.为了防止如图 14所示的显示应用目录的情况发生，TongWeb默认为不显示目录结构，应用目录如图 14所示。FilenameSizeLast Modredapplication.jsp0.4劝Fri, 24 Feb 2012 02:27:34 G盯}o 11r aw .;戊 .」，pvn_ }aeF.includel. ispFri. _a F-_ii12 i__，:_s GATFri AF-ta -0 -_ G ..i7: 34 GISTFn，24 F,t-Q I_ _ ._’:3 I GILT如果希望显示，配置操作如图 15所示。0.8 油Fri, 24 Feb 2012 02:27:34 GMT图 ，4 应 用 目录应用名称状态退休状态厂 testCAS未退休虚拟主机管理羹lIttag3l于虚拟主机管理!嘴1/城卜协可共有2条纪录 1第1页 I共1页应用前缀 cascas应用目录是否可显皿 1~ 第三步:应用目录是否可选，默认是fa! se昆潞爹腮e嘟0肋必耻 应用状态应用名称应用退休状态应用位置true未退休c:/uu02l2/w/cas附加类路径所属失型部署描述符文件泪 育 铸一userROM只。 钱图 15说明:不需要重启tongWeb检测方法:按照操作指南显示操作勾选显示目录，有详细应用列表判定条件:补充说明:YD/T 2702-2014编号:Middleware -TongWeb一其他一02耍求内容:TongWeb错误页面重定向I.选择列表中的虚拟机，进行如图 16操作，虚拟机配置如图 16所示。恻雌翁鹏黔别登昆一断翩J;J织绷黝翻置数绷黝籍撇撇懈彬撇洲恻姗黝麒栅鞭撇黝服撇潮粼~蒸裸黝粼名称邹耀粼姗黔鹭鑫鬓蒙囊攀摹鳅主机名rt::., atCi-et hi>t.J.点击:。rve声(tongwebhost冈aI I,:戮 攀攀缨黔几 _〔厂葵燕鹭缎井川 牛今井馨翼黔撇一灌 羹羹摹黝 撇虚拟主机名称虚拟主机别名虚拟主机状态1$(Iongweb._ host Name)夕通 道列 表–ttps-listener-2admin-listenerhtt -listener-2 j日志文件的位置巨ongweb.root}Aogs/server.log _______二____二_____}2.定制部署到该虚拟主机上的所有 Web应用的错误页面，每个 Web应用都可以在自己的 Web.xml里覆盖这个配置，属性值分为 3个部分:code指定错误号;path指定错误页的绝对路径;reason指定错误原因。如code=404 path=/存放error.jsp文件的目录//error.jsp reason–MY-404-REASON。自定义错误页面如图 17所示。}!爪1__________}Jltwns-realm豁___{I_—-_-}{是否使用符号链接请求重定向参数网页缓存控制参数安全域名称自定义Valve自定义Listener自定 义错误 页面消安全域认证通过后不进行网页缓存 r呼一一一一 自定义页面重定向图 17 自定义错误页面检测方法:URL地址栏中输入http://ip:8080/manager-判定条件:指向指定错误页面补充说明:图 ，6 虚拟主机 配置4.7WebLogic Web中间件安全防护基线配置要求及检测要求4.7.1账号YD厅 2702-2014编u:Middleware -WebLogic-账5 -O l要求内容:要求限制账号操作指南:1.查看以管理员身份登录控制台执行#ps -eft grep -iWeblogic检测方法:执行#ps -efl grep -iWeblogic判定条件:执行账号不是root和nobody丰卜充说明:要求内容:对于采用静态口令认证技术的设备，口令长度至少 8位，;1包括数字、小写字母、人写字4.7.2 口令编号:Middleware -WebLogic一口令一01毋和特殊符号4类中至少 3类操作指南:检测方法:判定条件 :补充说 明:对WebLogi。安装目录下的Weblogic.properties配置文件进行配置查看WebLogic安装目录下的Weblogic.properties配置文件Weblogic.system.minPasswordLen=8等YD厅 2702-20144.7.3 授权编号:Middleware -WebLogic一授权一01要求内容:在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限}馨纂旦一1馨鬓羹1U Adndrristrators窿纂 羹U Dep W-{}}U OradeSystemGrou’一检测方法:登录http://ip:7001 /console/，使用相关账号登录，进行远程管理4.7.4 日志编号:Middleware -WebLogic一日志 01要求内容:设备应配置 日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功、登录时间以及远程登录时用户使用的 IP地址丫D汀 2702-2014检测方法:判定条件:补充说明:查看WebLogic安装目录下的Weblogic.properties配置文件1.开启日志，配置按日期 rotateWeblogic.system.enableReverseDNSLookups=true编号:Middleware -WebLogic- IP协议一01(可选)要求内容:Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限4.7.5 IP协议制操作指南:以管理员身份登录管理控制台:1.点击左侧面板的域名文件夹，然后点击 Servers文件夹，双击要管理的服务器;2.在右侧面板的“Configuration”面板下选择 “Tuning’’标签，查看Maximum Open Sockets值查看Maximum Open Sockets值检测方法:判定条件:Maximum Open Sockets不大于1024丫D厅 2702-2014编号:Middleware -WebLogic- IP协议一02(可选)要求内容:禁用 Send Server Header操作指南:以管理员身份登录管理控制台:1.点击域名下的 Servers文件夹，选择要管理的服务器;2.在右侧面板 “Protocols’，面板下，点击 HTTP标签;3.检查是否勾选Send Server header检测方法:查看配置文件判定条件:Send Server header被禁止补充说明:编号:Middleware -WebLogic一其他一01要求内容:对于具备字符交互界面的设备，应支持定时账户自动退出。退出后用户需再次登录才能进4.7.6 其他入系统操作指南:编辑WebLogic安装目录下的，leblogic.properties配置文件:Weblogic.login.readTimeoutMillis=integerWeblogic.login.readTimeoutMillisSSL=integer检测方法:登录系统后不进行任何操作判定条件:5min自动退出补充说明:编号:Middleware -WebLogic一其他一02要求内容:WebLogic错误页面重定向丫D厅 2702-2014检测方法:URL地址栏中输入错误地址判定条件:指向指定错误页面补充说明:编号:Middleware -WebLogic一其他一。要求内容:禁止WebLogi。列表显示文件操作指南:检测方法:判定条件:编辑，Teblogic.propertie:配置文件Weblogic.httpd.indexDirectories=false查看，Jeblogic.properties配置文件配置文件中Weblogic.httpd.indexDirectories值为false丫D厅 2702-20144.84.8账号WebSphere Web中间件安全防护基线配置要求及检测要求编号:Middleware -WebSphere-账号一01要求内容:要求为应用用户定义合适的角色操作指南:以管理员身份打开管理控制台，执行:点击 “应用程序”一>”企业应用程序”;双击要查看的应用程序;点击 “其他属性”中的 “映射安全性角色到用户/组”要求安全角色映射到 “每个用户”、“所有已认证用户”、“已映射的用户”、“已映射的组”检测方法:查看系统配置判定条件:补充说明:点击要查看的用户名查看用户所属组检测方法:查看配置文件判定条件:补充说明:编号:Middleware -WebSphere-账号一02要求内容:特权管理账号在多个用户间共享会引发很多安全问题，比如，企业无法控制配置上的安全，不易定位安全事件责任人，同时特权账号非法使用者还可抹去审计信息操作指南:以管理员身份打开管理控制台，执行:点击 “系统管理”一>“控制台设置”一>“控制台用户”要求不得 出现共用特权管理账号。管理账号应按角色分配 ，用户角色为 monitor(监控员)、Configurator(配置员)、Operator(操作员)、Administrator(管理员)之一要求内容:不得在自动运行脚本、控制命令等地方出现Websphere明文口令，例如cron脚本丫D厅 2702-20144.8.2 口令编号:Middleware -WebSphere一口令一。操作指南:在配置文件中设置密码检测方法:1.以root身份执行:#p“-efjgrep一 WebSphere#crontab -1判定条件:回显内容中不含口令字补充说明:#su一WebSphere-username一 “crontab -1″编号:Middleware -WebSphere一口令一02母和特殊符号四类中至少 3类查看WebSphere安装目录下的配置文件查看WebSphere安装目录下的配置文件操作指南:检测方法:判定条件:补充说明:设置相同的口令。密码应至少每 90天进行更换对于使用弱口令扫描工具进行检查时应注意扫描的线程数等方面，避免对服务器造成不必要的资源消耗;选择在服务器负荷较低的时间段进行扫描检查要求内容:对于采用静态口令认证技术的设备，口令长度至少 8位，并包括数字、小写字母、大写字口令长度至少 8位，并包括数字、小写字母、大写字母和特殊符号 4类中至少 2类，且 5次以内不得丫D厅 2702-20144.8.3 授权编号:Middleware -WebSphere一授权一01要求内容:Cosnaming服务权限设置过大会引入安全隐患操作指南:以管理员身份打开管理控制台，执行:点击 “环境”一>命名一>CORBA命名服务用户点击 “环境”一>命名一>CORBA命名服务组查看服务用户查看服务组授权检测方法:查看服务组授权判定条件:补充说明:EVERYONE组已删除，并且ALL AUTHENTICATED组角色仅设为 “控制台命名读”编号:Middleware -WebSphere一授权一02(可选)要求内容:启用全局安全性，控制登录管理控制台，同时应用程序将可以使用WebSphere的安全特性。Java 2安全性在 J2EE基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和API的保护。不启用Java2安全性会极大减弱应用的安全强度1.打开管理控制台，点击 “安全性”一>“全局安全性”;2.启用 “启用全局安全性”和 “强制Java 2安全性”1.打开管理控制台，点击 “安全性”一>“全局安全性”;2.查看 “启用全局安全性”和 “强制 Java 2安全性”是否启用要求 “启用全局安全性”和 “强制 Java 2安全性”启用操作指南:检测方法:判定条件:补充说明:编号:Middleware -WebSphere一日志01要求内容:启用日志可以回溯事件进行检查或审计，日志详细信息级别如果配置不当，会缺少必要的丫D厅 2702-2014以管理员身份打开管理控制台，执行:I.查看设置日志的输出属性:更改点击 “运行时”选项卡。2.查看日志设置日志级别:查看设置日志的输出属性和 日志级别在导航窗格中，单击服务器 >应用程序服务器一>单击您要使用的服务器的名称一>在 “故障诊断”下面，单击日志记录和跟踪一>单击要配置的系统日志 (诊断跟踪、静态更改，单击 “配置”选项卡，动态在导航窗格中，单击服务器 >应用程序服务器一>单击您要使用的服务器的名称;一>在 “故障诊断”下面，单击日志记录和跟踪，查看日志详细信息级别要求启用所有日志 并配置日志详细信息级别为*=info: SecurityManager=all: SystemOut=all4.8.4 日志审计信息操作指南:检测方法:判定条件:补充说明:4.8.5 其他操作指南:编号:Middleware -WebSphere一其他一01要求内容:控制台会话默认30分钟timeout，要求设置不大于5min1.编辑$WAS_HOME/systemApps/adminconsole.ear/deployment.xml,修改 invalidationTimeout的值检测方法:1.用文本编辑器打开文件:$WAS_HOME/systemApps/adminconsole.ear/deployment.xml查看 invalidationTimeout的值invalidationTimeout的值不得大于 5判定条件 :补充说明:YD汀 2702-2014编号:Middleware -WebSphere一其他一02要求内容:sample例子程序会泄露系统敏感信息，存在较大的安全隐患操作指南:以管理员身份打开管理控制台，执行:点击 “应用程序”一>”企业应用程序”检测方法:查看企业应用程序设置判定条件:补充说 明:不得存在 “DefaultApplication”、 “PlantsByWebSphere”、”SamplesGallery”. “ivtApp”等例子程序编号:Middleware -WebSphere一其他一03要求内容:如果没有定义默认错误网页，则当应用程序出错时会显示内部出错信息，暴露系统和应用的敏感信息操作指南:1.以root身份执行:grep -i defaultErrorPage$ WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/Web-INF/ibm-Web-ext.xmi检测方法:查看配置文件判定条件:defaultErrorPage一设置为定义错误页面丫D厅 2702-2014编号:Middleware -WebSphere一其他一04要求内容:禁止WebSphere列表显示文件操作指南:1.以root身份执行:grep一fileServingEnabled$WAS一OME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/Web-INF/ibm-Web-ext.xmi检测方法:查看配置文件判定条件:fileServingEnabled=”false”补充说明:编号:Middleware -WebSphere一其他一。要求内容:禁止WebSphere浏览、列表显示目录操作指南:1.以root身份执行:grep -i directoryBrowsingEnabled$WAS一OME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/Web-1NF/ibm-Web-ext.xmi检测方法:查看配置文件判定条件:补充说明:directoryBrowsingEnabled= “false”丫D汀 2702-2014编号:Middleware -WebSphere一其他一。要求内容:config和properties等控制目录权限不当会导致严重后果操作指南:检测方法:判定条件:补充说明:设置config与properties目录及子目录访问权限检查config与properties目录及子目录访问权限该目录仅能root权限可写，一般目录设置权限750编号:Middleware -WebSphere一其他一07(可选)要求内容:Websphere更新了必要的补丁操作指南:安装最新补丁检测方法:判定条件:补丁更新至最新补充说明:I.以root权限执行查看命令(包含补丁安装信息):$WAS HOME/bin/versioninfo.sh$WAS-HOME/bin/historyinfo.sh$WASes HOME/bin/genHistoryReport.sh$WASes HOME/bin /genVersionReport.sh根据应用场景的不同，如部署场景需开启此功能，则强制要求此项