二級(jí)等保主機(jī)安全測(cè)評(píng)作業(yè)指導(dǎo)書-中間件Tomcat

1、二級(jí)主機(jī)安全測(cè)評(píng)作業(yè)指導(dǎo)書-中間件Tomcat序號(hào)類別測(cè)評(píng)項(xiàng)測(cè)評(píng)方法測(cè)評(píng)實(shí)施步驟預(yù)期結(jié)果說明1身份 鑒別 （S2 ）a）應(yīng)對(duì)登錄中間件的用 戶進(jìn)行身份標(biāo)識(shí)和鑒 另限應(yīng)檢查中間件的身份鑒別 策略，查看是否提供了身份 鑒別措施。檢查用戶是否設(shè)置密碼或以其他鑒 別技術(shù)（如CA Key、生物特征、數(shù) 字證書）進(jìn)行驗(yàn)證登錄。使用身份標(biāo)識(shí)和鑒別 措施（如用戶名和密 碼、CA Key、生物特 征、數(shù)字證書）對(duì)登 錄用戶進(jìn)行身份標(biāo)識(shí) 和鑒別。在tomcat沒有 用戶，控制臺(tái)未 啟用的情況下， 身份鑒別的測(cè)評(píng) 項(xiàng)，均不適用b）管理用戶身份標(biāo)識(shí)應(yīng) 具有不易被冒用的特 點(diǎn)，口令應(yīng)有復(fù)雜度要 求并定期更換。應(yīng)檢查中間

2、件的身份鑒別 策略，查看其身份鑒別信息 是否具有不易被冒用的特 點(diǎn)，如對(duì)用戶登錄口令的最 小長度、復(fù)雜度和更換周期 進(jìn)行要求和限制。檢查Tomcat安裝路徑，打開 conftomcat-users.xml 文件，查 看密碼是否滿足要求（8位以上、3 種組合、定期修改）密碼復(fù)雜度滿足要 求。c）應(yīng)啟用登錄失敗處理 功能，可采取結(jié)束會(huì)話、 限制非法登錄次數(shù)和自 動(dòng)退出等措施。應(yīng)檢查中間件的身份鑒別 策略，查看是否配置了登錄 失敗處理功能、設(shè)置了非法 登錄次數(shù)的限制值；查看是 否設(shè)置網(wǎng)絡(luò)登錄連接超時(shí)， 并自動(dòng)退出。默認(rèn)符合默認(rèn)符合第1頁共7頁序號(hào)類別測(cè)評(píng)項(xiàng)測(cè)評(píng)方法測(cè)評(píng)實(shí)施步驟預(yù)期結(jié)果說明d）當(dāng)對(duì)服務(wù)

3、器進(jìn)行遠(yuǎn)程 管理時(shí)，應(yīng)采取必要措 施，防止鑒別信息在網(wǎng) 絡(luò)傳輸過程中被竊聽。應(yīng)訪談管理員，詢問是否對(duì) 中間件采用了遠(yuǎn)程管理方 式，如果采用遠(yuǎn)程管理方 式，查看是否具有防止鑒別 信息在網(wǎng)絡(luò)傳輸過程中被 竊聽的措施默認(rèn)符合默認(rèn)符合e）應(yīng)為的不同用戶分配 不同的用戶名，確保用 戶名具有唯一性。應(yīng)檢查中間件的賬戶列表， 查看管理員用戶名或UID分 配是否唯一。檢查Tomcat安裝路徑，打開 conftomcat-users.xml 文件，查 看用戶是否唯一。用戶名唯一。2訪問 控制 （S2 ）a）應(yīng)啟用訪問控制功 能，依據(jù)安全策略控制 用戶對(duì)資源的訪問。應(yīng)檢查中間件的安全策略， 查看是否對(duì)重要文件的訪

4、 問權(quán)限進(jìn)行了限制，對(duì)系統(tǒng) 不需要的服務(wù)、共享路徑等 進(jìn)行了禁用或刪除。檢查conftomcat-users.xml 中是 否為WEB服務(wù)提供唯一、最小權(quán)限 的用戶與組。為Tomcat創(chuàng)建最小 權(quán)限的用戶與組。在tomcat沒有 用戶，控制臺(tái)未 啟用的情況下， 訪問控制的測(cè)評(píng) 項(xiàng)，均不適用b）應(yīng)實(shí)現(xiàn)特權(quán)用戶的權(quán) 限分離。應(yīng)檢查特權(quán)用戶，查看不同 管理員的系統(tǒng)賬戶權(quán)限是 否不同，且不應(yīng)由同一個(gè)人 擔(dān)任。檢查conftomcat-users.xml 中是 否為不同用戶分配不同的角色。為不同用戶分配不同 的角色。c）應(yīng)限制默認(rèn)賬戶的訪 問權(quán)限，重命名系統(tǒng)默 認(rèn)賬戶，修改這些賬戶 的默認(rèn)口令。應(yīng)檢查中

5、間件的訪問控制 策略，查看是否已禁用或者 限制匿名/默認(rèn)賬戶的訪問 權(quán)限，是否重命名系統(tǒng)默認(rèn) 賬戶、修改這些賬戶的默認(rèn) 口令。在Tomcat安裝路徑，打開 conftomcat-users.xml，查看是 否修改默認(rèn)口令或禁用默認(rèn)賬號(hào)。 tomcatusers.xml文檔的內(nèi)容類似 如下： d)應(yīng)及時(shí)刪除多余的、 過期的賬戶，避免共享 賬戶的存在。應(yīng)檢查中間件的訪問控制 策略，是否刪除了系統(tǒng)中多 余的、過期的以及共享的賬 戶。檢查conftomcat-users.xml 中是 否存在多余的、過期的以及共享的 賬戶。無多余的、過期的以 及共享的賬戶3安全 審計(jì) (G2 )a)應(yīng)提供覆蓋到每個(gè)用

6、戶的安全審計(jì)功能。應(yīng)檢查審計(jì)范圍是否覆蓋 到服務(wù)器和重要客戶端上 的每個(gè)操作系統(tǒng)用戶和數(shù) 據(jù)庫用戶。檢查是否增加訪問日志審計(jì)，檢查 方法可參照以下兩種方法：1、在 server.xml 里的標(biāo)簽 下是否加上：2、打開bin下面的catalina.bat文件，增加訪問日志審計(jì)功 能。第3頁共7頁序號(hào)類別測(cè)評(píng)項(xiàng)測(cè)評(píng)方法測(cè)評(píng)實(shí)施步驟預(yù)期結(jié)果說明會(huì)發(fā)現(xiàn)共有4處“ACTION%，查 看在后面是否分別加上“ %CATALINA_HOME%logscatalina.out”。b）審計(jì)內(nèi)容應(yīng)包括重要 用戶行為、系統(tǒng)資源的 異常使用和重要系統(tǒng)命 令的使用等系統(tǒng)內(nèi)重要 的安全相關(guān)事件。應(yīng)檢查中間件的安全審計(jì) 策略

7、，查看安全審計(jì)配置是 否包括系統(tǒng)內(nèi)重要用戶行 為、系統(tǒng)資源的異常和重要 系統(tǒng)命令的使用等重要的 安全相關(guān)事件。在Tomcat安裝路徑的logs目錄 下，查看是否記錄錯(cuò)誤日志。記錄了錯(cuò)誤日志c）審計(jì)記錄應(yīng)包括事件 的日期、時(shí)間、類型、 主體標(biāo)識(shí)、客體標(biāo)識(shí)和 結(jié)果等。應(yīng)檢查中間件的安全審計(jì) 策略，查看審計(jì)記錄信息是 否包括事件發(fā)生的日期與 時(shí)間、觸發(fā)事件的主體與客 體、事件的類型、事件成功 或失敗、事件的結(jié)果等內(nèi) 容。在Tomcat安裝路徑的logs目錄 下，查看審計(jì)日志是否包括事件的 日期、時(shí)間、類型、主體標(biāo)識(shí)、客 體標(biāo)識(shí)和結(jié)果。日志包括事件的日 期、時(shí)間、類型、主 體標(biāo)識(shí)、客體標(biāo)識(shí)和 結(jié)果。d

8、）應(yīng)保護(hù)審計(jì)記錄，避 免受到未預(yù)期的刪除、 修改或覆蓋等。應(yīng)檢查中間件的安全審計(jì) 策略，查看是否通過日志覆 蓋周期、存儲(chǔ)方式、日志文 件/空間大小、日志文件操 作權(quán)限等設(shè)置，實(shí)現(xiàn)了對(duì)審 計(jì)記錄的保護(hù)，使其避免受 到未預(yù)期的刪除、修改或覆1）審計(jì)日志文件是否設(shè)置訪問權(quán) 限，是否禁止未經(jīng)授權(quán)的用戶訪問；（Windows everyone用戶應(yīng)沒有寫 權(quán)限，其他操作系統(tǒng)：建議640）。2）檢查日志保存周期，是否至少保 存2個(gè)月。1）審計(jì)日志文件設(shè)置 訪問權(quán)限，禁止未經(jīng) 授權(quán)的用戶訪問。2）日志保存周期大于 等于2個(gè)月。第4頁共7頁序號(hào)類別測(cè)評(píng)項(xiàng)測(cè)評(píng)方法測(cè)評(píng)實(shí)施步驟預(yù)期結(jié)果說明蓋等。4入侵 防范 （G

9、2 ）a）操作系統(tǒng)遵循最小安 裝的原則，僅安裝需要 的組件和應(yīng)用程序，并 通過設(shè)置升級(jí)服務(wù)器等 方式保持系統(tǒng)補(bǔ)丁及時(shí) 得到更新。1）應(yīng)檢查主要服務(wù)器操作 系統(tǒng)中所安裝的系統(tǒng)組件 和應(yīng)用程序是否都是必須 的。2）應(yīng)檢查主要服務(wù)器操作 系統(tǒng)和主要數(shù)據(jù)庫管理系 統(tǒng)的補(bǔ)丁是否得到了及時(shí) 更新。不適用不適用5惡意 代碼 防范 （G2 ）a）應(yīng)安裝防惡意代碼軟 件，并及時(shí)更新防惡意 代碼軟件版本和惡意代 碼庫。應(yīng)檢查主要服務(wù)器的惡意 代碼防范策略、查看是否安 裝了實(shí)時(shí)檢測(cè)與查殺惡意 代碼的軟件產(chǎn)品，并且及時(shí) 更新了軟件版本的惡意代 碼庫。不適用不適用切應(yīng)支持惡意代碼防范 的統(tǒng)一管理。應(yīng)檢查主機(jī)防惡意代碼軟

10、 件是否實(shí)現(xiàn)了統(tǒng)一管理。不適用不適用6系統(tǒng) 資源 控制（A2 ）a）應(yīng)通過設(shè)定終端接入 方式、網(wǎng)絡(luò)地址范圍等 條件限制終端登錄。應(yīng)檢查中間件的資源控制 策略，查看是否設(shè)定了終端 接入方式、網(wǎng)路地址范圍等 條件限制終端登錄。檢查是否修改過默認(rèn)的訪問地址。 默認(rèn)訪問地址格式 http:/XX.XX.XX.XX:8080o修改過訪問地址。應(yīng)檢查訪問中間件的終 端是否都設(shè)置了操作超 時(shí)鎖定的配置。檢查是否設(shè)置了操作超時(shí) 鎖定的配置。如在Tomcat 安裝目錄下的 confServer.xml，根據(jù)實(shí)際設(shè)置了操作超時(shí)的相關(guān)參數(shù)。應(yīng)檢查訪問中間件的 終端是否都設(shè)置了操 作超時(shí)鎖定的配置。第5頁共7頁序號(hào)類

11、別測(cè)評(píng)項(xiàng)測(cè)評(píng)方法測(cè)評(píng)實(shí)施步驟預(yù)期結(jié)果說明情況設(shè)置以下類似參數(shù)： connectionTimeout 網(wǎng)絡(luò) 連接超時(shí)，默認(rèn)值為60000 毫秒，經(jīng)驗(yàn)值為 2000-60000 毫秒；maxKeppAliveRequests 最 大長連接個(gè)數(shù)，1表示禁用， -1表示不限制個(gè)數(shù)，默認(rèn) 100 個(gè)；maxThreadsTomcat 可創(chuàng)建 的最大的線程數(shù)，每一個(gè)線 程處理一個(gè)請(qǐng)求；minSpareThreads 最小備用 線程數(shù)，tomcat啟動(dòng)時(shí)的初 始化的線程數(shù)maxConnections 與 tomcat 建立的最大socket連接數(shù)c）應(yīng)限制單個(gè)用戶對(duì)系 統(tǒng)資源的最大或最小使 用限度。應(yīng)檢查中間件的資源控制 策略，查看是否設(shè)置了單個(gè) 用戶或應(yīng)用對(duì)系統(tǒng)資源的 最大或最小使用限度。檢查Tomcat安