TongWeb服務(wù)器安全配置基線

1、TongWeb服務(wù)器安全配置基線中國移動通信有限公司 管理信息系統(tǒng)部2012年 04 月版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年 4 月備注：1. 若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目錄第 1 章概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實施 11.5 例外條款 1第 2 章賬號管理、認(rèn)證授權(quán) 22.1 帳號 22.1.1應(yīng)用帳號分配 22.1.2用戶口令設(shè)置 32.1.3用戶帳號刪除 32.2 認(rèn)證授權(quán) 42.2.1 控制臺安全 4第 3 章日志配置操作 73.1 日志配置 73.1.1 日志與記錄 7第 4

2、 章 備份容錯 94.1 備份容錯 9第 5 章IP 協(xié)議安全配置 105.1 IP 通信安全協(xié)議 10第 6 章設(shè)備其他配置操作 126.1 安全管理 126.1.1禁止應(yīng)用程序可顯 126.1.2 端口設(shè)置 * 136.1.3 錯誤頁面處理 14第 7 章評審與修訂 16第 1章 概述1.1 目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的 TongWeb 服務(wù)器 應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行 TongWeb 服務(wù)器的安全配 置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。 本配置標(biāo)準(zhǔn)適用的范圍包括： 中

3、國移動總部和各省公司信息化部門維護(hù)管理的 TongWeb 服務(wù)器系統(tǒng)。1.3 適用版本5.x 版本的 TongWeb 服務(wù)器。1.4 實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團(tuán)管理信息系統(tǒng)部， 在本標(biāo)準(zhǔn)的執(zhí)行過程中若 有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5 例外條款欲申請本標(biāo)準(zhǔn)的例外條款， 申請人必須準(zhǔn)備書面申請文件， 說明業(yè)務(wù)需求和原因， 送交 中國移動通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。第 2章 賬號管理、認(rèn)證授權(quán)2.1 帳號2.1.1 應(yīng)用帳號分配安全基線項目名稱TongWeb 應(yīng)用帳號分配安全基線要求安全基線編號SBL-TongWeb-02-01-01安全基線項

4、說明應(yīng)按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設(shè)備間通 信使用的賬號共享。檢測操作步驟啟動 tongweb 的控制臺， 選擇列表中的安全域，點(diǎn)擊管理用戶 , 如圖操作：點(diǎn)擊新建，建立用戶賬號，如圖操作：修改用戶直接點(diǎn)擊用戶名，進(jìn)行修改，如圖：基線符合性 判定依據(jù)1、判定條件各賬號都可以登錄 TongWeb 服務(wù)器為正常。2、檢測操作訪問 http:/ip:8080/twns 管理頁面， 進(jìn)行 TongWeb 服務(wù)器配置找安全服務(wù)下的 安全域即可。備注2.1.2 用戶口令設(shè)置安全基線項目名稱安全基線編號安全基線項說明TongWeb 用戶口令設(shè)置安全基線要求項SBL-TongWeb

5、-02-01-02檢測操作步驟對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5 次 以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每 90 天 進(jìn)行更換。進(jìn)行口令的修改或者添加，如圖操作：基線符合性判定依據(jù)1、判定條件 檢查帳號口令是否符合移動通過配置口令復(fù)雜度要求。2、檢測操作 人工檢查登錄頁面測試帳號口令是否符合；備注2.1.3 用戶帳號刪除安全基線項 目名稱TongWeb 用戶帳號刪除安全基線要求項安全基線編SBL-TongWeb-02-01-03號安全基線項說明應(yīng)用刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號。檢測操作步驟刪除無關(guān)用戶，

6、如圖操作：基線符合性判定依據(jù)1、判定條件刪除的用戶 tongwebuser 不能通過控制臺登錄界面進(jìn)入主頁。2、檢測操作訪問 http:/ip:8080/twns 管理頁面，使用刪除帳號進(jìn)行登陸嘗試。備注2.2 認(rèn)證授權(quán)2.2.1 控制臺安全安全基線項目名稱安全基線編號安全基線項說明TongWeb 控制臺安全基線要求項SBL-TongWeb-02-02-01限制登陸管理控制臺的服務(wù)器 , 外網(wǎng)用戶訪問管理控制臺，進(jìn)行非法操作檢測操作步驟登陸管理控制臺， “服務(wù)配置”WEB容器” “虛擬主機(jī)” , 如下圖：選擇“admin”，如下圖：基線符合性判定依據(jù)備注允許訪問的遠(yuǎn)程地址：具體的 IP 或正則

7、表達(dá)式。本例中為正則表達(dá)式： 10.110.111.(193-9|20-50-9) ，允許 93-255 網(wǎng)段的 IP 訪問管理控制臺該設(shè)置需要重啟 TongWeb才能生效第 3章 日志配置操作3.1 日志配置3.1.1 日志與記錄安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟TongWeb 日志記錄安全基線要求項SBL- TongWeb -03-01-01設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的 賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP 地址。TongWeb 默認(rèn)的訪問日志是關(guān)閉了的， 可以修改虛擬主機(jī)打開訪問日志

8、， 訪問日志中記錄了客戶端訪問的本機(jī)IP、訪問時間、訪問的資源、請求使用的協(xié)議以及返回的狀態(tài)碼等內(nèi)容，若發(fā)現(xiàn)有攻擊現(xiàn)象可以打開訪問日志，通 過分析訪問日志可以知道哪些 IP 訪問了系統(tǒng)資源，操作如圖：日志格式如圖：基線符合性 判定依據(jù)1、判定條件 查看 logs 目錄中相關(guān)日志文件內(nèi)容，記錄完整2、檢測操作查看 localhost_access_log.2012-03-07.log 中相關(guān)日志記錄備注第 4章 備份容錯4.1 備份容錯安全基線項 目名稱TongWeb 備份容錯安全基線要求項安全基線編 號SBL- TongWeb -04-01-01安全基線項 說明用戶應(yīng)有完善的應(yīng)用服務(wù)器備份機(jī)制

9、檢測操作步 驟某些操作如修改啟動腳本或者配置文件 twsn.xml ，操作失誤可能導(dǎo)致啟 動異常， 需要對 TongWeb 的配置文件進(jìn)行日常備份保護(hù)， 保證應(yīng)用系統(tǒng)的可 用性 .。如果損壞，必須重新配置應(yīng)用，也需要備份。每周備份一次 twns.xml 文件，至少每月備份一次 TongWeb 全目錄 ,生產(chǎn) 環(huán)境配置更改前必須先備份。基線符合性 判定依據(jù)任何系統(tǒng)的改變都必須有授權(quán)和紙介質(zhì)保存的修改記錄備注第 5章 IP 協(xié)議安全配5.1IP 通信安全協(xié)議安全基線項目名稱安全基線編號安全基線項說明TongWeb 通信安全協(xié)議安全基線要求項SBL- TongWeb -05-01-01對于通過 HT

10、TP 協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)支持使用 協(xié)議。HTTPS 等加密檢測操作步驟圖：1、啟動 tongweb，并創(chuàng)建 https 通道，端口為 8445（ 根據(jù)實際情況創(chuàng)建 ），如2、修改 tongweb 的配置文件 twn.xml ，如圖所示：重新登錄 tongweb 控制臺，結(jié)果如圖：基線符合性 判定依據(jù)1、判定條件 使用 https 方式登陸 TongWeb 服務(wù)器頁面，登陸成功2、檢測操作使用 https 方式登陸 TongWeb 服務(wù)器管理頁面 ip： https：/ip:8445/twns備注第 6章 設(shè)備其他配置操作6.1 安全管理6.1.1 禁止應(yīng)用程序可顯安全基線項目名稱T

11、ongWeb 控制臺超時設(shè)置安全基線要求項安全基線編號SBL-TongWeb-06-01-01安全基線項說明檢測操作步驟可以避免訪問應(yīng)用時，暴露應(yīng)用目錄下有哪些文件。為了防止如下圖所示的顯示應(yīng)用目錄的情況的發(fā)生， 顯示目錄結(jié)構(gòu)：TongWeb 默認(rèn)為不如果希望顯示，可進(jìn)行如圖操作：說明 :不需要重啟 tongweb 。基線符合性 判定依據(jù)1、判定條件 勾選顯示目錄，有詳細(xì)應(yīng)用列表。2、檢測操作 按照操作指南顯示操作。備注6.1.2 端口設(shè)置 *安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟TongWeb 默認(rèn)端口安全基線要求項SBL-TongWeb-06-01-02更改 TongWeb

12、 服務(wù)器默認(rèn)管理控制臺端口和訪問端口選擇列表中的虛擬機(jī)，進(jìn)行如圖操作：定制部署到該虛擬主機(jī)上的所有 web 應(yīng)用的錯誤頁面，每個 web 應(yīng)用都 可以在自己的 web.xml 里覆蓋這個配置，屬性值分為 3個部分： code 指定錯 誤號，path指定錯誤頁的絕對路徑， reason指定錯誤原因。 如 code=404 path=/ 存放 error.jsp 文件的目錄 /error.jsp reason=MY-404-REASON ?；€符合性 判定依據(jù)1、判定條件 指向指定錯誤頁面2、檢測操作URL 地址欄中輸入 http:/ip:8080/manager備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項。6.1.3 錯誤頁面處理安全基線項目名稱安全基線編號安全基線項說明TongWeb 錯誤頁面安全基線要求項SBL-TongWeb-06-01-03TongWeb 錯誤頁面重定向檢測操作步驟選擇列表中的虛擬機(jī)，進(jìn)行如圖操作：web 應(yīng)用都基線符合性1、判定條件定制部署到該虛擬主機(jī)上的所有 web 應(yīng)用的錯誤頁面，每個 可以在自己的 web.xml 里覆蓋這個配置，屬性值分為 3個部分： code 指定錯 誤號，path指定錯