ＴongWeb服務(wù)器安全配置基線————————————————————————————————作者：————————————————————————————————日期: TonｇWeb服務(wù)器安全配置基線中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部２01２年０4月?版本版本控制信息更新日期更新人審批人V2．０創(chuàng)建2012年4月備注：若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格,否則刪除版本控制表格。目錄ＴＯＣ＼o"１-３＂＼h\z＼uHＹPEＲLINK＼l＂_Ｔoc321５55224"第1章?概述?PAGERＥF＿Tｏc3２15552２４\h1HYPERＬINK\l＂＿Tｏc321５55２2５"１．1 目的?ＰAGＥREF_Tｏｃ３21５5522５\ｈ1ＨYPERLＩNK＼l"＿Toｃ3２15５５２26"1.2?適用范圍?PAGEREF＿Tｏc321555226\h1HYPERLＩNK1．3?適用版本 ＰAGEREF＿Tｏc321555２2７\h1ＨYPERLＩNＫ1．4 實(shí)施 PAGＥREF＿Ｔｏc32155５２２8\ｈ1HＹＰEＲLINK\l＂＿Toｃ3２1５5５２29"１.5?例外條款 PＡGEREＦ_Toc32１555２29＼h1HYPERLINK\ｌ"_Ｔｏc３2155５230"第２章 賬號(hào)管理、認(rèn)證授權(quán)?PＡGＥREF_Tｏc32１55５230\h2HＹPERLINＫ2.1 帳號(hào)?ＰＡGEREF_Toc３21５55２3１＼h2HYＰERLINK＼ｌ"_Ｔoc321555２３2＂2.1.1 應(yīng)用帳號(hào)分配 ＰAGEＲＥF_Toc3２1５55２３２\h2HYＰＥRLINK＼ｌ"_Toc3２１５55２３3"2.1．2 用戶口令設(shè)置 PAGＥREＦ＿Toc32155５23３\h3HＹPＥRLINK＼l"_Ｔoc321555２34＂2.1.３ 用戶帳號(hào)刪除?PAGＥＲＥF_Toc321555２34\h3HＹPERＬINＫ２．2 認(rèn)證授權(quán) PＡGEREF_Toｃ32１555235\h4HYＰEＲLIＮＫ第3章 日志配置操作 PAＧＥＲＥF_Toc３21５5523７\h7HＹPEＲLINK3.1 日志配置 PAＧＥREＦ_Toc３２155５2３８\ｈ7HYＰEＲLＩNＫ＼l"＿Ｔoc3２1555239＂3.1．1 日志與記錄 PAGEＲEＦ_Ｔoc32１5５5２3９\h7ＨYPＥRLIＮK\ｌ＂＿Toｃ3215５52４０"第4章 備份容錯(cuò) PAGEＲEF＿Ｔoc321555240\h９ＨYＰＥRＬINK\l＂_Toc3２1５55241"4.1 備份容錯(cuò) PAGERＥＦ_Toc32155５24１\h9HYＰERLIＮK第５章?ＩP協(xié)議安全配置 PAGEREF_Tｏc３2１555242\h１0ＨYPERLIＮK5.1?IP通信安全協(xié)議 PAGEREF_Ｔoc321555243\ｈ10第6章?設(shè)備其他配置操作 PAGEREＦ_Tｏc３21555244\h１2HYPＥRLIＮK\ｌ"＿Tｏｃ321５５5245"6.1 安全管理 ＰAGEＲEF_Toc3２15５５245＼h12ＨYＰERLIＮＫ6.1.1 禁止應(yīng)用程序可顯?ＰＡGＥRＥF_Toc３2１５５524６\ｈ１2HＹPＥRLINＫ\ｌ"_Toc3２155524７"６.1.２ 端口設(shè)置*?PＡGERＥF_Tｏc3２1555247\ｈ1３HYＰEＲLＩNＫ\l＂_Toc3２1５５52４8"6.1.3?錯(cuò)誤頁(yè)面處理 ＰAGＥREF_Toc321555248\h１4HＹPERLIＮK\ｌ"_Ｔoc３２155524９"第7章 評(píng)審與修訂 PAＧEＲEF_Toｃ321555249\h16概述目的本文檔規(guī)定了中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部門(mén)所維護(hù)管理的ToｎgＷeｂ服務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行ＴongＷeb服務(wù)器的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括:服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括:中國(guó)移動(dòng)總部和各省公司信息化部門(mén)維護(hù)管理的TongWｅｂ服務(wù)器系統(tǒng)。適用版本5.x版本的ＴonｇＷｅｂ服務(wù)器。實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部,在本標(biāo)準(zhǔn)的執(zhí)行過(guò)程中若有任何疑問(wèn)或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書(shū)面申請(qǐng)文件,說(shuō)明業(yè)務(wù)需求和原因,送交中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。賬號(hào)管理、認(rèn)證授權(quán)帳號(hào)應(yīng)用帳號(hào)分配安全基線項(xiàng)目名稱(chēng)ToｎｇＷeｂ應(yīng)用帳號(hào)分配安全基線要求安全基線編號(hào)SＢL－TonｇWeb-02－01-0１安全基線項(xiàng)說(shuō)明應(yīng)按照用戶分配賬號(hào)。避免不同用戶間共享賬號(hào)。避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。檢測(cè)操作步驟啟動(dòng)toｎｇｗeb的控制臺(tái),選擇列表中的安全域，點(diǎn)擊管理用戶,如圖操作：點(diǎn)擊新建，建立用戶賬號(hào),如圖操作:修改用戶直接點(diǎn)擊用戶名,進(jìn)行修改，如圖：基線符合性判定依據(jù)１、判定條件各賬號(hào)都可以登錄TongWeb服務(wù)器為正常。2、檢測(cè)操作訪問(wèn)hｔtp://ip:80８0／twns管理頁(yè)面,進(jìn)行TonｇWeb服務(wù)器配置找安全服務(wù)下的安全域即可。備注用戶口令設(shè)置安全基線項(xiàng)目名稱(chēng)TongWeｂ用戶口令設(shè)置安全基線要求項(xiàng)安全基線編號(hào)SBL-ToｎgWeb-02－0１－02安全基線項(xiàng)說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少８位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)四類(lèi)中至少兩類(lèi)。且5次以?xún)?nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每９0天進(jìn)行更換。檢測(cè)操作步驟進(jìn)行口令的修改或者添加，如圖操作:基線符合性判定依據(jù)1、判定條件檢查帳號(hào)口令是否符合移動(dòng)通過(guò)配置口令復(fù)雜度要求。2、檢測(cè)操作人工檢查登錄頁(yè)面測(cè)試帳號(hào)口令是否符合；備注用戶帳號(hào)刪除安全基線項(xiàng)目名稱(chēng)TongＷeb用戶帳號(hào)刪除安全基線要求項(xiàng)安全基線編號(hào)ＳＢＬ-TongWeb-0２-01-0３安全基線項(xiàng)說(shuō)明應(yīng)用刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。檢測(cè)操作步驟刪除無(wú)關(guān)用戶,如圖操作:基線符合性判定依據(jù)1、判定條件刪除的用戶tongｗebuser不能通過(guò)控制臺(tái)登錄界面進(jìn)入主頁(yè)。２、檢測(cè)操作訪問(wèn)ｈttp:／/ip:8080／ｔｗns管理頁(yè)面，使用刪除帳號(hào)進(jìn)行登陸嘗試。備注認(rèn)證授權(quán)控制臺(tái)安全安全基線項(xiàng)目名稱(chēng)TongWeb控制臺(tái)安全基線要求項(xiàng)安全基線編號(hào)SBL-ToｎgWeｂ-02－０２-０1安全基線項(xiàng)說(shuō)明限制登陸管理控制臺(tái)的服務(wù)器,外網(wǎng)用戶訪問(wèn)管理控制臺(tái),進(jìn)行非法操作檢測(cè)操作步驟登陸管理控制臺(tái),“服務(wù)配置”“WＥB容器”“虛擬主機(jī)”,如下圖：選擇“admin”，如下圖:允許訪問(wèn)的遠(yuǎn)程地址：具體的IP或正則表達(dá)式。本例中為正則表達(dá)式:10\.110＼.11１\.(［1][9］[3-9]|[２]［0－5][0－９］），允許１0.110．1１1.１９3-２5５網(wǎng)段的IP訪問(wèn)管理控制臺(tái)基線符合性判定依據(jù)該設(shè)置需要重啟ＴonｇWｅb才能生效備注

日志配置操作日志配置日志與記錄安全基線項(xiàng)目名稱(chēng)TｏngWｅｂ日志記錄安全基線要求項(xiàng)安全基線編號(hào)SBＬ-TongＷｅb-03-01－０1安全基線項(xiàng)說(shuō)明設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄,記錄內(nèi)容包括用戶登錄使用的賬號(hào),登錄是否成功，登錄時(shí)間,以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。檢測(cè)操作步驟TongＷeb默認(rèn)的訪問(wèn)日志是關(guān)閉了的,可以修改虛擬主機(jī)打開(kāi)訪問(wèn)日志,訪問(wèn)日志中記錄了客戶端訪問(wèn)的本機(jī)ＩP、訪問(wèn)時(shí)間、訪問(wèn)的資源、請(qǐng)求使用的協(xié)議以及返回的狀態(tài)碼等內(nèi)容,若發(fā)現(xiàn)有攻擊現(xiàn)象可以打開(kāi)訪問(wèn)日志，通過(guò)分析訪問(wèn)日志可以知道哪些IP訪問(wèn)了系統(tǒng)資源,操作如圖：日志格式如圖:基線符合性判定依據(jù)1、判定條件查看lｏgs目錄中相關(guān)日志文件內(nèi)容,記錄完整2、檢測(cè)操作查看ｌocalhoｓt_ａcceｓｓ_log.２0１2備注?備份容錯(cuò)備份容錯(cuò)安全基線項(xiàng)目名稱(chēng)TｏngWeb備份容錯(cuò)安全基線要求項(xiàng)安全基線編號(hào)SBL-TｏngWeｂ-０４-０1-01安全基線項(xiàng)說(shuō)明用戶應(yīng)有完善的應(yīng)用服務(wù)器備份機(jī)制檢測(cè)操作步驟某些操作如修改啟動(dòng)腳本或者配置文件tｗsn.xml,操作失誤可能導(dǎo)致啟動(dòng)異常,需要對(duì)ＴoｎｇWeｂ的配置文件進(jìn)行日常備份保護(hù),保證應(yīng)用系統(tǒng)的可用性.。如果損壞，必須重新配置應(yīng)用，也需要備份。每周備份一次ｔｗns.ｘmｌ文件，至少每月備份一次ToｎｇWeb全目錄,生產(chǎn)環(huán)境配置更改前必須先備份。基線符合性判定依據(jù)任何系統(tǒng)的改變都必須有授權(quán)和紙介質(zhì)保存的修改記錄備注

ＩＰ協(xié)議安全配置IＰ通信安全協(xié)議安全基線項(xiàng)目名稱(chēng)TｏngWｅb通信安全協(xié)議安全基線要求項(xiàng)安全基線編號(hào)SBＬ-TｏnｇWeb－０5－０１-01安全基線項(xiàng)說(shuō)明對(duì)于通過(guò)HTTP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備,設(shè)備應(yīng)支持使用HTTPS等加密協(xié)議。檢測(cè)操作步驟啟動(dòng)toｎgｗeb，并創(chuàng)建https通道，端口為8445(根據(jù)實(shí)際情況創(chuàng)建)，如圖:修改tｏngweb的配置文件twn.xml,如圖所示：重新登錄toｎgｗｅb控制臺(tái),結(jié)果如圖：基線符合性判定依據(jù)1、判定條件使用ｈttps方式登陸TｏｎgWeb服務(wù)器頁(yè)面,登陸成功2、檢測(cè)操作使用hｔｔps方式登陸TongWeb服務(wù)器管理頁(yè)面iｐ:htｔpｓ:／/ip:8４45/tｗｎs備注

設(shè)備其他配置操作安全管理禁止應(yīng)用程序可顯安全基線項(xiàng)目名稱(chēng)TongWｅb控制臺(tái)超時(shí)設(shè)置安全基線要求項(xiàng)安全基線編號(hào)SBL－ToｎgWeｂ-0６-01-01安全基線項(xiàng)說(shuō)明可以避免訪問(wèn)應(yīng)用時(shí)，暴露應(yīng)用目錄下有哪些文件。檢測(cè)操作步驟為了防止如下圖所示的顯示應(yīng)用目錄的情況的發(fā)生，TongWeｂ默認(rèn)為不顯示目錄結(jié)構(gòu):如果希望顯示，可進(jìn)行如圖操作：說(shuō)明：不需要重啟tonｇweb?；€符合性判定依據(jù)1、判定條件勾選顯示目錄，有詳細(xì)應(yīng)用列表。2、檢測(cè)操作按照操作指南顯示操作。備注端口設(shè)置*安全基線項(xiàng)目名稱(chēng)ToｎgWeb默認(rèn)端口安全基線要求項(xiàng)安全基線編號(hào)SBL-TongＷeb-0６安全基線項(xiàng)說(shuō)明更改TｏｎｇWeｂ服務(wù)器默認(rèn)管理控制臺(tái)端口和訪問(wèn)端口檢測(cè)操作步驟選擇列表中的虛擬機(jī),進(jìn)行如圖操作:定制部署到該虛擬主機(jī)上的所有ｗeｂ應(yīng)用的錯(cuò)誤頁(yè)面，每個(gè)wｅb應(yīng)用都可以在自己的web.xml里覆蓋這個(gè)配置，屬性值分為3個(gè)部分:code指定錯(cuò)誤號(hào)，patｈ指定錯(cuò)誤頁(yè)的絕對(duì)路徑,reasoｎ指定錯(cuò)誤原因。如ｃode=404pａｔｈ＝/存放erroｒ.jsp文件的目錄/ｅrrｏr.jspreaｓon＝MY-404-REASOＮ?；€符合性判定依據(jù)１、判定條件指向指定錯(cuò)誤頁(yè)面2、檢測(cè)操作URL地址欄中輸入http://ip:8０80/ｍaｎagｅr～~~備注根據(jù)應(yīng)用場(chǎng)景的不同,如部署場(chǎng)景需開(kāi)啟此功能,則強(qiáng)制要求此項(xiàng)。錯(cuò)誤頁(yè)面處理安全基線項(xiàng)目名稱(chēng)TｏｎｇWeb錯(cuò)誤頁(yè)面安全基線要求項(xiàng)安全基線編號(hào)SBL-TongＷｅb-06安全基線項(xiàng)說(shuō)明TongWeｂ錯(cuò)誤頁(yè)面重定向檢測(cè)操作步驟選擇列表中的虛擬機(jī)，進(jìn)行如圖操作：定制部署到該虛擬主機(jī)上的所有w