1、Ton gWeib艮務(wù)器安全配置基線中國移動通信有限公司 管理信息系統(tǒng)部2012年 04 月版本版本控制信息|更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：1. 若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目錄第 1 章概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實施 11.5 例外條款 1第 2 章賬號管理、認證授權(quán) 22.1 帳號 22.1.1 應(yīng)用帳號分配 22.1.2 用戶口令設(shè)置 32.1.3 用戶帳號刪除 32.2認證授權(quán) 42.2.1 控制臺安全 4第 3 章日志配置操作 73.1 日志配置 73.1.1 日志與記錄 7

2、第 4 章 備份容錯 94.1 備份容錯 9第 5 章IP 協(xié)議安全配置 105.1 IP 通信安全協(xié)議 10第 6 章設(shè)備其他配置操作 126.1 安全管理 126.1.1 禁止應(yīng)用程序可顯 126.1.2端口設(shè)置 * 136.1.3 錯誤頁面處理 14第 7 章評審與修訂 16第 1章 概述1.1 目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護管理的 TongWeb 服務(wù)器 應(yīng)當遵循的安全性設(shè)置標準，本文檔旨在指導(dǎo)系統(tǒng)管理人員進行 TongWeb 服務(wù)器的安全配 置。1.2 適用范圍本配置標準的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。 本配置標準適用的范圍包括

3、： 中國移動總部和各省公司信息化部門維護管理的 TongWeb 服務(wù)器系統(tǒng)。1.3 適用版本5.x 版本的 TongWeb 服務(wù)器。1.4 實施本標準的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部， 在本標準的執(zhí)行過程中若 有任何疑問或建議，應(yīng)及時反饋。本標準發(fā)布之日起生效。1.5 例外條款欲申請本標準的例外條款， 申請人必須準備書面申請文件， 說明業(yè)務(wù)需求和原因， 送交 中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。第2章賬號管理、認證授權(quán)2.1 帳號應(yīng)用帳號分配安全基線項目名稱TongWeb應(yīng)用帳號分配安全基線要求安全基線編號SBL-To ngWeb-02-01-01安全基線項說明應(yīng)按照

4、用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設(shè)備間通 信使用的賬號共享。檢測操作步啟動tongweb的控制臺，選擇列表中的安全域,點擊管理用戶，如圖操作:WWW： Xs円卜c:m :腳:蹴I; aulh r：JI：.Fia mcertiiwlec:m.1«ip?.sKU'ly.aiilhhi.c-ilnHle ?eiiicj：Pahir m闊肚浙加愉刪屮.aullr汕耶皿廁m（I：c:m：orpt sKulj'j.lh；ahi fk.FiePEam訓(xùn)niMkrc:m 1哪號黑:tj aulh沛劇.File加 m點擊新建，建立用戶賬號，如圖操作:陰強垃-法主粥頂

5、全總能麗 _ .用戶心Iwns組列壷tongvb服畀配置-> 妄全服勢亠妥金域宀詈理坤戶>創(chuàng)建冃戶創(chuàng)建取消修改用戶直接點擊用戶名，進行修改，如圖:舄務(wù)配置亠安卸瞬-伎堂域"管理用戶a用戶ID俎列養(yǎng)FII tDngwebuser I野除rtwnslongweti基線符合性 判定依據(jù)1、判定條件各賬號都可以登錄 TongWeb服務(wù)器為正常。2、檢測操作訪冋http:/ip:8080/twns管理頁面，進仃TongWeb服務(wù)器配置找安全服務(wù)下的安全域即可。備注用戶口令設(shè)置安全基線項目名稱安全基線編號安全基線項說明TongWeb用戶口令設(shè)置安全基線要求項SBL-To ngWeb-

6、02-01-02檢測操作步驟對于采用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少 8位，并包括數(shù)字、小寫 字母、大寫字母和特殊符號四類中至少兩類。且 5次以內(nèi)不得設(shè)置相同的口 令。密碼應(yīng)至少每 90天進行更換。進行口令的修改或者添加，如圖操作：I服労ati-嗖宜騎法玄0官理甩- 人一a4協(xié)：回耕擁砸的幀用戶ID朗表tunb tungweb|眄堿哺第二步：點擊用口IUMH邇I肝玄皿眄皿軒基線符合性判定依據(jù)1、判定條件檢查帳號口令是否符合移動通過配置口令復(fù)雜度要求。2、檢測操作人工檢查登錄頁面測試帳號口令是否符合；備注用戶帳號刪除安全基線項 目名稱TongWeb用戶帳號刪除安全基線要求項安全基線編SBL-

7、To ngWeb-02-01-03號安全基線項說明應(yīng)用刪除或鎖定與設(shè)備運行、維護等工作無關(guān)的賬號。檢測操作步驟基線符合性判定依據(jù)備注刪除無關(guān)用戶，如圖操作:聲號:點擊EB歸眄+1'1話捂二出他陽E儷longtionoweb1、判定條件刪除的用戶ton gwebuser不能通過控制臺登錄界面進入主頁。2、檢測操作訪問http:/ip:8080/twns管理頁面，使用刪除帳號進行登陸嘗試。2.2認證授權(quán)控制臺安全安全基線項目名稱安全基線編號安全基線項說明TongWeb控制臺安全基線要求項SBL-To ngWeb-02-02-01限制登陸管理控制臺的服務(wù)器 ，外網(wǎng)用戶訪問管理控制臺，進行非法

8、操作檢測操作步驟登陸管理控制臺，“服務(wù)配置”服務(wù)配置容器*虛擬主機“ WEB容器”“虛擬主機”，如下圖:名稱£Erver主機名Jdongweb.riosiName)Ejtongweb.hastName選擇“admin ”，如下圖:基線符合性判定依據(jù)備注允許訪問的遠程地址：具體的 IP或正則表達式。本例中為正則表達式：10.110.111.(193-9|20-50-9)，允許93-255 網(wǎng)段的IP訪問管理控制臺該設(shè)置需要重啟Ton gWeb才能生效第3章日志配置操作3.1 日志配置日志與記錄安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟TongWeb日

9、志記錄安全基線要求項SBL- Ton gWeb -03-01-01設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的 賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。To ngWeb默認的訪問日志是關(guān)閉了的， 可以修改虛擬主機打開訪問日志， 訪問日志中記錄了客戶端訪問的本機IP、訪問時間、訪問的資源、請求使用的協(xié)議以及返回的狀態(tài)碼等內(nèi)容，若發(fā)現(xiàn)有攻擊現(xiàn)象可以打開訪問日志，通 過分析訪問日志可以知道哪些IP訪問了系統(tǒng)資源，操作如圖：|服勞配直尿器虛擬主訓(xùn)第一步：在所有桂務(wù)中，1S揮虛擔主機選項a創(chuàng)建名稱I admir |4serverca? server主機名第

10、二步:點擊血in Wgweb.nostName塔ttjngwe b. h o$tN am etest刪除啟動O停止虛擬主機名稱虛擬主機別名虛擬主機狀態(tài)admin$to ngweb. hotName通道列表htlps-liislener-2admin-listenerhtlp-listener-2 htlp-listener-1Jfton腫曲 rQ（rt）/logs/sen*er.log日志文件時位瓷rn第三母：默U縣I ongweb. root jlogc訪問日志開關(guān)訪問日志文件所在目錄 將日志保存到文件的周期（:單位：秒而日志格式如圖:吒血忸血加12；03：刪M 4O0CQ盲允虺他輕血他嘰愉

11、$ mP/l.L* 0Q 3173"in,Q,0J* 時則制書皿山;敬縮 血迎 慌t /ims/dojwocit/dizt/i 1b'eVlosdiig.j£ IT出i.l1* ZD0 79 p127.D,0.r "t血QMBa旳）12:03:和加 40D0Q 'GET 允耶他皿就fdijiVkymrt伽如詢個彈 0/11" 2£基線符合性 判定依據(jù)1、判定條件查看logs目錄中相關(guān)日志文件內(nèi)容，記錄完整2、檢測操作查看 localhost_access_log.2012-03-07.log 中相關(guān)日志記錄備注第4章備份容錯4.

12、1 備份容錯安全基線項 目名稱TongWeb備份容錯安全基線要求項安全基線編 號SBL- Ton gWeb -04-01-01安全基線項 說明用戶應(yīng)有完善的應(yīng)用服務(wù)器備份機制檢測操作步 驟某些操作如修改啟動腳本或者配置文件 twsn.xml，操作失誤可能導(dǎo)致啟 動異常，需要對TongWeb的配置文件進行日常備份保護， 保證應(yīng)用系統(tǒng)的可 用性。如果損壞，必須重新配置應(yīng)用，也需要備份。每周備份一次twns.xml文件，至少每月備份一次TongWeb全目錄，生產(chǎn)環(huán)境配置更改前必須先備份?；€符合性 判定依據(jù)任何系統(tǒng)的改變都必須有授權(quán)和紙介質(zhì)保存的修改記錄備注第5章IP協(xié)議安全配5.1ip通信安全協(xié)議

13、安全基線項目名稱安全基線編號安全基線項說明TongWeb通信安全協(xié)議安全基線要求項SBL- Ton gWeb -05-01-01對于通過HTTP協(xié)議進行遠程維護的設(shè)備，設(shè)備應(yīng)支持使用 協(xié)議。HTTPS等加密檢測操作步驟圖：W配 It* WEB容器，HTTP4道創(chuàng)律HTTR通道第一歩:在所有任務(wù)申地擇L丄丄iTSm上+£il注Ahttpjfija j點擊包建.基不凰性通道名稱第二歩:起Ihttplisienectesl通道名稱會法通道類壁HTTPS v4第匸步：選擇httR協(xié)議監(jiān)聽地址監(jiān)聽端口(0445監(jiān)馭g左第四歩：選揮端 n1、啟動tongweb，并創(chuàng)建https通道，端口為844

14、5（根據(jù)實際情況創(chuàng)建），如server默認虛擬主機重定向端口是苦漫用阻靈訪問代理服務(wù)器的URLxpowered-bySelectorReaderThreadi' 1的LJ1性證書刖名|tw4 第穴步：必煩塔冨別咅，與證書要一董是否支持SS協(xié)議¥是否支持TL助諫P站口SJL呂 Ciphers1點擊傑1?即可是否允許TLS Rollback |7昱沓啟用客戶端認證廠2、修改tongweb的配置文件twn.xml，如圖所示：R -A W WiV! A1fivictuoL-aerver hosts=,rS tonigveb, hostNearelhttp-】i眈亡眥討咋血in-1 已

15、晦'id='radJHLii,r lo; <http-access-log accesa-log-huffer-siEeMOSfi* access-lowrite-interiral'*10 access-kc <sso sso-etiatoled='rialse,7>第-步:闕詢減側(cè) f 虹flEt-/virtual-se rve r >障視曲hi ips-Lbi e価-t«戍d-5f&ult-virbiaL-3Enr=rsErverr eEablEtrue"' faiEjlTinEt* i護嗆譏蘆T

16、Mtmaem蕪"part=",BJi43r；-euei 1 e滬匸匸庠"11弓-匕uet 1晡=:釗r Is茁口&亦-eiisj 1曰=飛船叩fe- oic - di reel -bytebu£fei:="false 7鑒善；Jillkilprli 只 en«醮遹S > 豹it 替騙4ii 曲可*重新登錄tongweb控制臺，結(jié)果如圖：ktlpi. /I c-e ilox ttHnx/ tviulAki EL/n<i.n. jxE雷赴檢制白用戶名1I-密碼I-登錄 取消基線符合性 判定依據(jù)1、判定條件使用https

17、方式登陸TongWeb服務(wù)器頁面，登陸成功2、檢測操作使用https方式登陸TongWeb服務(wù)器管理頁面 ip : https： ip:8445/twns備注第6章設(shè)備其他配置操作6.1 安全管理禁止應(yīng)用程序可顯安全基線項目名稱TongWeb控制臺超時設(shè)置安全基線要求項安全基線編號SBL-To ngWeb-06-01-01安全基線項說明可以避免訪問應(yīng)用時，暴露應(yīng)用目錄下有哪些文件。檢測操作步為了防止如下圖所示的顯示應(yīng)用目錄的情況的發(fā)生, 顯示目錄結(jié)構(gòu)：H ienameS«zepgJxcLMi-jjrT打乂 吐TongWeb默認為不Last ModirfiedV丄“-:叩taca.jr

18、pIscncH. jrp:incud«. japhbcuJb L. af如果希望顯示，可進行如圖操作:.24 rnb :D32 Ca=27=：-1 E -r 24 Fab ZD 11 C£:2.7=l-I dT sr 24 Fab ZQ11 便苗E GTT-r 24 Fab ZD 11 C£:2.7=l-I dT ar 24 Fab ZQ11 «E:Z.7=1-I GIT-r 24 Fib ZQ1Z 4i£：z.7：-l GTT ar 24 Fab ZQ11 «E:Z.7=1-I GIT jP 2i Tab ZDU !X:2.7=3-

19、I NT.24 Fata ZD32 01:27=2-1 OT應(yīng)用-，應(yīng)用晉理-譏b應(yīng)用|弟_甘:祖彌J任豁中，醉膽用詐中財血mprmc應(yīng)用名禰狀態(tài)遍休狀離虛扭主機管理r 囲+第:鳩點擊u譎輕休盅臟機管遲r lestCASItue耒遙休虛楓主機管理曲有徐擬廉1頁哄1頁反用風性應(yīng)用名秣cas應(yīng)用前績 應(yīng)用目班否可顯匚| A 第三古：應(yīng)用目錄夥可崔默認乘4|1應(yīng)用儲true應(yīng)用進件牡塞未遊休叵用位罷c /uU0212/w/cas斯眞裘型user卻罷橢迖冊文件 丿口若 Hr?砧說明：不需要重啟tongweb。基線符合性 判定依據(jù)1、判定條件勾選顯示目錄，有詳細應(yīng)用列表。2、檢測操作按照操作指南顯示操作

20、。備注端口設(shè)置*安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟TongWeb默認端口安全基線要求項SBL-To ngWeb-06-01-02更改TongWeb服務(wù)器默認管理控制臺端口和訪問端口選擇列表中的虛擬機，進行如圖操作：名稱主機名admin$Eng曬ti hoslNama廠I server在步：點擊論壽血叩醮時闊附mercassewrie?t虛擬主執(zhí)剔名 S(tangweb.ha5tName是否虢用荷號離 謂求重定向頷定制部署到該虛擬主機上的所有 web應(yīng)用的錯誤頁面，每個 web應(yīng)用都 可以在自己的 web.xml里覆蓋這個配置，屬性值分為 3個部分：code指定錯 誤號，path指定錯誤頁的絕對路徑， reason指定錯誤原因。女口 code=404 path=/ 存放 error.jsp 文件的目錄 /error.jsp reason=MY-404-REASON。網(wǎng)瓦爰棄控制參敷安全色名隸自定義Wive自定興曲旳審 口定義構(gòu)逞麗 竝壤認證誦過丘不進訐網(wǎng)瓦鄭廠基線符合性 判定依據(jù)1、判定條件指向指定錯誤頁面2、檢測操作URL 地址欄中輸入 http:/ip:8080/manager備注根據(jù)應(yīng)用場景的不冋，如部署場景需開啟此功能，則強制要求此項。錯誤頁面