TongWeb 服務器安全配置基線

1、TongWeb 服務器安全配置基線TongWebTongWeb 服務器服務器安全配置基線安全配置基線TongWeb 服務器安全配置基線版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人V2.0創(chuàng)建2012 年 4 月備注：備注：1. 若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。TongWeb 服務器安全配置基線目目 錄錄第第 1 章章概述概述.11.1目的.11.2適用范圍.11.3適用版本.11.4實施.11.5例外條款.1第第 2 章章賬號管理、認證授權賬號管理、認證授權.22.1帳號.22.1.1應用帳號分配.22.1.2用戶口令設置.32

2、.1.3用戶帳號刪除.32.2認證授權.42.2.1控制臺安全.4第第 3 章章日志配置操作日志配置操作.73.1日志配置.73.1.1日志與記錄.7第第 4 章章備份容錯備份容錯.94.1備份容錯.9第第 5 章章IP 協(xié)議安全配置協(xié)議安全配置 .105.1IP 通信安全協(xié)議.10第第 6 章章設備其他配置操作設備其他配置操作.126.1安全管理.126.1.1禁止應用程序可顯.126.1.2端口設置*.136.1.3錯誤頁面處理.14第第 7 章章評審與修訂評審與修訂.16TongWeb 服務器安全配置基線第 0 頁 共 18 頁第第 1 章章概述概述1.1目的目的本文檔旨在指導系統(tǒng)管理人

3、員進行 TongWeb 服務器的安全配置。1.2適用范圍適用范圍本配置標準的使用者包括：服務器系統(tǒng)管理員、應用管理員、網(wǎng)絡安全管理員。1.3適用版本適用版本5.x 版本的 TongWeb 服務器。1.4實施實施1.5例外條款例外條款第第 2 章章賬號管理、認證授權賬號管理、認證授權2.1帳號帳號2.1.1 應用帳號分配應用帳號分配安全基線項安全基線項目名稱目名稱TongWeb 應用帳號分配安全基線要求安全基線編安全基線編號號SBL-TongWeb-02-01-01 安全基線項安全基線項應按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設備間通TongWeb 服務器安全配置基線第 1 頁

4、 共 18 頁說明說明 信使用的賬號共享。檢測操作步檢測操作步驟驟 啟動 tongweb 的控制臺，選擇列表中的安全域，點擊管理用戶,如圖操作： 點擊新建，建立用戶賬號，如圖操作： 修改用戶直接點擊用戶名，進行修改，如圖：基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件各賬號都可以登錄 TongWeb 服務器為正常。2、檢測操作訪問 http:/ip:8080/twns 管理頁面，進行 TongWeb 服務器配置找安全服務下的安全域即可。備注備注2.1.2 用戶口令設置用戶口令設置安全基線項安全基線項TongWeb 用戶口令設置安全基線要求項TongWeb 服務器安全配置基線第 2 頁 共 1

5、8 頁目名稱目名稱安全基線編安全基線編號號SBL-TongWeb-02-01-02 安全基線項安全基線項說明說明 對于采用靜態(tài)口令認證技術的設備，口令長度至少 8 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且 5 次次以內不得設置相同的口令。密碼應至少每 90 天天進行更換。檢測操作步檢測操作步驟驟 進行口令的修改或者添加，如圖操作：基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件檢查帳號口令是否符合口令復雜度要求。2、檢測操作人工檢查登錄頁面測試帳號口令是否符合；備注備注2.1.3 用戶帳號刪除用戶帳號刪除安全基線項安全基線項目名稱目名稱TongWeb 用戶帳號刪除安全基線

6、要求項安全基線編安全基線編號號SBL-TongWeb-02-01-03 安全基線項安全基線項說明說明 應用刪除或鎖定與設備運行、維護等工作無關的賬號。檢測操作步檢測操作步驟驟 刪除無關用戶，如圖操作：TongWeb 服務器安全配置基線第 3 頁 共 18 頁基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件刪除的用戶 tongwebuser 不能通過控制臺登錄界面進入主頁。2、檢測操作訪問 http:/ip:8080/twns 管理頁面，使用刪除帳號進行登陸嘗試。備注備注2.2認證授權認證授權2.2.1 控制臺安全控制臺安全安全基線項安全基線項目名稱目名稱TongWeb 控制臺安全基線要求項安全

7、基線編安全基線編號號SBL-TongWeb-02-02-01 安全基線項安全基線項說明說明 限制登陸管理控制臺的服務器, 外網(wǎng)用戶訪問管理控制臺，進行非法操作檢測操作步檢測操作步驟驟登陸管理控制臺， “服務配置”“WEB 容器”“虛擬主機”,如下圖：選擇“admin” ，如下圖：允許訪問的遠程地址：具體的 IP 或正則表達式。本例中為正則表達式：10.110.111.(193-9|20-50-9)，允許 93-255 網(wǎng)段的 IP 訪問管理控制臺基線符合性基線符合性判定依據(jù)判定依據(jù)該設置需要重啟 TongWeb 才能生效備注備注TongWeb 服務器安全配置基線第 4

8、頁 共 18 頁TongWeb 服務器安全配置基線第 5 頁 共 18 頁第第 3 章章日志日志配置操作配置操作3.1日志配置日志配置3.1.1 日志與記錄日志與記錄安全基線項安全基線項目名稱目名稱TongWeb 日志記錄安全基線要求項安全基線編安全基線編號號SBL- TongWeb -03-01-01 安全基線項安全基線項說明說明 設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的 IP 地址。檢測操作步檢測操作步驟驟TongWeb 默認的訪問日志是關閉了的，可以修改虛擬主機打開訪問日志，訪問日志中記錄了客戶端訪問的本機

9、 IP、訪問時間、訪問的資源、請求使用的協(xié)議以及返回的狀態(tài)碼等內容，若發(fā)現(xiàn)有攻擊現(xiàn)象可以打開訪問日志，通過分析訪問日志可以知道哪些 IP 訪問了系統(tǒng)資源，操作如圖： 日志格式如圖：TongWeb 服務器安全配置基線第 6 頁 共 18 頁基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件查看 logs 目錄中相關日志文件內容，記錄完整2、檢測操作查看 localhost_access_log.2012-03-07.log 中相關日志記錄備注備注TongWeb 服務器安全配置基線第 7 頁 共 18 頁第第 4 章章備份容錯備份容錯4.1備份容錯備份容錯安全基線項安全基線項目名稱目名稱TongWe

10、b 備份容錯安全基線要求項安全基線編安全基線編號號SBL- TongWeb -04-01-01 安全基線項安全基線項說明說明 用戶應有完善的應用服務器備份機制檢測操作步檢測操作步驟驟 某些操作如修改啟動腳本或者配置文件 twsn.xml，操作失誤可能導致啟動異常，需要對 TongWeb 的配置文件進行日常備份保護，保證應用系統(tǒng)的可用性.。如果損壞，必須重新配置應用，也需要備份。每周備份一次 twns.xml 文件，至少每月備份一次 TongWeb 全目錄,生產環(huán)境配置更改前必須先備份?；€符合性基線符合性判定依據(jù)判定依據(jù)任何系統(tǒng)的改變都必須有授權和紙介質保存的修改記錄備注備注TongWeb 服

11、務器安全配置基線第 8 頁 共 18 頁第第 5 章章IPIP 協(xié)議安全配置協(xié)議安全配置5.1IP 通信安全協(xié)議通信安全協(xié)議安全基線項安全基線項目名稱目名稱TongWeb 通信安全協(xié)議安全基線要求項安全基線編安全基線編號號SBL- TongWeb -05-01-01 安全基線項安全基線項說明說明 對于通過 HTTP 協(xié)議進行遠程維護的設備，設備應支持使用 HTTPS 等加密協(xié)議。檢測操作步檢測操作步驟驟1、啟動 tongweb，并創(chuàng)建 https 通道，端口為 8445(根據(jù)實際情況創(chuàng)建)，如圖：2、修改 tongweb 的配置文件 twn.xml，如圖所示：TongWeb 服務器安全配置基線

12、第 9 頁 共 18 頁重新登錄 tongweb 控制臺，結果如圖：基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件使用 https 方式登陸 TongWeb 服務器頁面，登陸成功2、檢測操作使用 https 方式登陸 TongWeb 服務器管理頁面 ip：https：/ip:8445/twns備注備注TongWeb 服務器安全配置基線第 10 頁 共 18 頁第第 6 章章設備其他配置操作設備其他配置操作6.1安全管理安全管理6.1.1 禁止應用程序可顯禁止應用程序可顯安全基線項安全基線項目名稱目名稱TongWeb 控制臺超時設置安全基線要求項安全基線編安全基線編號號SBL-TongWeb-

13、06-01-01 安全基線項安全基線項說明說明 可以避免訪問應用時，暴露應用目錄下有哪些文件。檢測操作步檢測操作步驟驟 為了防止如下圖所示的顯示應用目錄的情況的發(fā)生，TongWeb 默認為不顯示目錄結構：如果希望顯示，可進行如圖操作：TongWeb 服務器安全配置基線第 11 頁 共 18 頁說明:不需要重啟 tongweb。基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件勾選顯示目錄，有詳細應用列表。2、檢測操作按照操作指南顯示操作。備注備注6.1.2 端口設置端口設置*安全基線項安全基線項目名稱目名稱TongWeb 默認端口安全基線要求項安全基線編安全基線編號號SBL-TongWeb-06

14、-01-02 安全基線項安全基線項說明說明 更改 TongWeb 服務器默認管理控制臺端口和訪問端口檢測操作步檢測操作步驟驟 選擇列表中的虛擬機，進行如圖操作： 定制部署到該虛擬主機上的所有 web 應用的錯誤頁面，每個 web 應用都可以在自己的 web.xml 里覆蓋這個配置，屬性值分為3個部分：code 指定錯誤號，path 指定錯誤頁的絕對路徑，reason 指定錯誤原因。如 code=404 path=/存放 error.jsp 文件的目錄/error.jsp reason=MY-404-REASON。TongWeb 服務器安全配置基線第 12 頁 共 18 頁基線符合性基線符合性判

15、定依據(jù)判定依據(jù)1、判定條件指向指定錯誤頁面2、檢測操作URL 地址欄中輸入 http:/ip:8080/manager備注備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。6.1.3 錯誤頁面處理錯誤頁面處理安全基線項安全基線項目名稱目名稱TongWeb 錯誤頁面安全基線要求項安全基線編安全基線編號號SBL-TongWeb-06-01-03 安全基線項安全基線項說明說明 TongWeb 錯誤頁面重定向檢測操作步檢測操作步驟驟 選擇列表中的虛擬機，進行如圖操作： 定制部署到該虛擬主機上的所有 web 應用的錯誤頁面，每個 web 應用都可以在自己的 web.xml 里覆蓋這個配置，屬性值分為3個部分：code 指定錯誤號，path 指定錯誤頁