WebSphere-Web服務(wù)器安全配置基線

WebSphereWeb服務(wù)器安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月

版本版本控制信息更新日期更新人審批人創(chuàng)建2009年1月更新2012年4月備注：若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目錄第1章 概述 4 目的 4 適用范圍 4 適用版本 4 實施 4 例外條款 4第2章 帳號管理、認證授權(quán) 5 帳號 5 應(yīng)用程序角色 5 控制臺帳號安全 5 口令管理 6 密碼復雜度 6 認證授權(quán) 7 控制臺安全 7 全局安全性與Java2安全 7第3章 日志配置操作 9 日志配置 9 日志與記錄 9第4章 備份容錯 10 備份容錯 10第5章 設(shè)備其他配置操作 11 安全管理 11 控制臺超時設(shè)置 11 示例程序刪除 11 錯誤頁面處理 12 文件訪問限制 12 目錄列出訪問限制 12 控制目錄權(quán)限 13 補丁管理* 13第6章 評審與修訂 15概述目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護管理的WebSphereWeb服務(wù)器應(yīng)當遵循的安全性設(shè)置標準，本文檔旨在指導系統(tǒng)管理人員進行WebSphereWeb服務(wù)器的安全配置。適用范圍本配置標準的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標準適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的WebSphereWeb服務(wù)器系統(tǒng)。適用版本版本的WebSphereWeb服務(wù)器。實施本標準的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部，在本標準的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標準發(fā)布之日起生效。例外條款欲申請本標準的例外條款，申請人必須準備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。帳號管理、認證授權(quán)帳號應(yīng)用程序角色安全基線項目名稱WebSphere應(yīng)用程序角色安全基線要求項安全基線編號SBL-WebSphere-02-01-01安全基線項說明要求為應(yīng)用用戶定義合適的角色檢測操作步驟以管理員身份打開管理控制臺,執(zhí)行：點擊“應(yīng)用程序”-->”企業(yè)應(yīng)用程序”雙擊要查看的應(yīng)用程序點擊“其它屬性”中的”映射安全性角色到用戶/組”基線符合性判定依據(jù)要求安全角色映射到“每個用戶“、“所有已認證用戶”、“已映射的用戶”、“已映射的組”備注控制臺帳號安全安全基線項目名稱WebSphere控制臺帳號安全安全基線要求項安全基線編號SBL-WebSphere-02-01-02安全基線項說明特權(quán)管理帳號在多個用戶間共享，會引發(fā)很多安全問題，企業(yè)無法控制配置上的安全，不易定位安全事件責任人,同時特權(quán)帳號非法使用者還可抹去審計信息檢測操作步驟以管理員身份打開管理控制臺,執(zhí)行：點擊“系統(tǒng)管理”-->”控制臺設(shè)置”-->“控制臺用戶”點擊要查看的用戶名3.查看用戶所屬組基線符合性判定依據(jù)要求不得出現(xiàn)共用特權(quán)管理帳號，管理帳號必須按角色分配用戶角色為monitor（監(jiān)控員）、Configurator(配置員)、Operator（操作員）Administrator(管理員)之一備注口令管理安全基線項目名稱WebSphere口令安全基線要求項安全基線編號SBL-WebSphere-02-01-03安全基線項說明不得在自動運行腳本、控制命令等地方出現(xiàn)Websphere明文口令，例如cron腳本檢測操作步驟以root身份執(zhí)行：#ps–ef|grep–iWebSphere#su–WebSphere_username–c“crontab–l”#crontab-l基線符合性判定依據(jù)要求回顯內(nèi)容中不含口令字備注密碼復雜度安全基線項目名稱WebSphere密碼復雜度安全基線要求項安全基線編號SBL-WebSphere-02-01-04安全基線項說明對于采用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進行更換。檢測操作步驟1、參考配置操作查看WebSphere安裝目錄下的配置文件2、補充操作說明口令要求：口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進行更換。基線符合性判定依據(jù)1、判定條件備注

認證授權(quán)控制臺安全安全基線項目名稱WebSphere控制臺安全基線要求項安全基線編號SBL-WebSphere-02-02-01安全基線項說明Cosnaming服務(wù)權(quán)限設(shè)置過大會引入安全隱患檢測操作步驟以管理員身份打開管理控制臺,執(zhí)行：點擊“環(huán)境”-->命名-->CORBA命名服務(wù)用戶查看服務(wù)用戶點擊“環(huán)境”-->命名-->CORBA命名服務(wù)組查看服務(wù)組授權(quán)基線符合性判定依據(jù)要求EVERYONE組已刪除，并且ALL_AUTHENTICATED組角色僅設(shè)為”控制臺命名讀”備注全局安全性與Java2安全安全基線項目名稱WebSphere全局安全性與Java2安全基線要求項安全基線編號SBL-WebSphere-02-02-02安全基線項說明啟用全局安全性，控制登錄管理控制臺，同時應(yīng)用程序?qū)⒖梢允褂肳ebSphere的安全特性,Java2安全性在J2EE基于角色的授權(quán)之上提供訪問控制保護的額外級別。它特別處理系統(tǒng)資源和API的保護，不啟用Java2安全性會極大減弱應(yīng)用的安全強度。檢測操作步驟打開管理控制臺點擊“安全性”-->”全局安全性”查看“啟用全局安全性”和“強制Java2安全性”是否啟用基線符合性判定依據(jù)要求“啟用全局安全性”和“強制Java2安全性”啟用備注

日志配置操作日志配置日志與記錄安全基線項目名稱WebSphere日志記錄安全基線要求項安全基線編號SBL-WebSphere-03-01-01安全基線項說明啟用日志可以回溯事件進行檢查或?qū)徲?，日志詳細信息級別如果配置不當，會缺少必要的審計信息檢測操作步驟以管理員身份打開管理控制臺,執(zhí)行：1.查看設(shè)置日志的輸出屬性：在導航窗格中，單擊服務(wù)器>應(yīng)用程序服務(wù)器-->單擊您要使用的服務(wù)器的名稱-->在“故障診斷”下面，單擊日志記錄和跟蹤-->單擊要配置的系統(tǒng)日志（診斷跟蹤、靜態(tài)更改，單擊”配置”選項卡,動態(tài)更改點擊”運行時”選項卡。2.查看日志設(shè)置日志級別。在導航窗格中，單擊服務(wù)器>應(yīng)用程序服務(wù)器-->單擊您要使用的服務(wù)器的名稱。-->在“故障診斷”下面，單擊日志記錄和跟蹤,查看日志詳細信息級別基線符合性判定依據(jù)要求啟用所有日志，并配置日志詳細信息級別為*=info:SecurityManager=all:SystemOut=all備注

備份容錯備份容錯安全基線項目名稱WebSphere備份容錯安全基線要求項安全基線編號SBL-WebSphere-04-01-01安全基線項說明某非法操作或誤操作可能導致服務(wù)器崩潰，需要對WebSphere的配置文件進行日常備份保護，保證應(yīng)用系統(tǒng)的可用性.檢測操作步驟訪談與實地了解針對Web應(yīng)用的當前備份容錯機制基線符合性判定依據(jù)要求備份容錯機制中針對配置文件、主程序等的備份周期，介質(zhì)及內(nèi)容達到Web應(yīng)用需求備注

設(shè)備其他配置操作安全管理控制臺超時設(shè)置安全基線項目名稱WebSphere控制臺超時設(shè)置安全基線要求項安全基線編號SBL-WebSphere-05-01-01安全基線項說明控制臺會話默認30分鐘timeout,要求設(shè)置不大于10分鐘檢測操作步驟1.用文本編輯器打開文件$WAS_HOME/systemApps/查看invalidationTimeout的值基線符合性判定依據(jù)invalidationTimeout的值不得大于30備注示例程序刪除安全基線項目名稱WebSphere示例程序刪除安全基線要求項安全基線編號SBL-WebSphere-05-01-02安全基線項說明sample例子程序會泄露系統(tǒng)敏感信息，存在較大的安全隱患檢測操作步驟以管理員身份打開管理控制臺,執(zhí)行：1.點擊“應(yīng)用程序”-->”企業(yè)應(yīng)用程序”基線符合性判定依據(jù)不得存在”DefaultApplication”、“PlantsByWebSphere“、“SamplesGallery”、“ivtApp”等例子程序備注錯誤頁面處理安全基線項目名稱WebSphere錯誤頁面安全基線要求項安全基線編號SBL-WebSphere-05-01-03安全基線項說明如果沒有定義默認錯誤網(wǎng)頁，則當應(yīng)用程序出錯時會顯示內(nèi)部出錯信息,暴露系統(tǒng)和應(yīng)用的敏感信息檢測操作步驟以root身份執(zhí)行:grep-idefaultErrorPage$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/基線符合性判定依據(jù)要求defaultErrorPage=設(shè)置為定義錯誤頁面?zhèn)渥⑽募L問限制安全基線項目名稱WebSphere文件訪問安全基線要求項安全基線編號SBL-WebSphere-05-01-04安全基線項說明禁止WebSphere列表顯示文件檢測操作步驟以root身份執(zhí)行：grep–ifileServingEnabled$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/基線符合性判定依據(jù)要求fileServingEnabled=”false”備注目錄列出訪問限制安全基線項目名稱WebSphere目錄列出安全基線要求項安全基線編號SBL-WebSphere-05-01-05安全基線項說明禁止WebSphere瀏覽、列表顯示目錄檢測操作步驟以root身份執(zhí)行：grep–idirectoryBrowsingEnabled$WAS_HOME/<profi