最新TongWeb服务器安全配置基线.doc

Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateTongWeb服务器安全配置基线TongWeb服务器TongWeb服务器安全配置基线中国移动通信有限公司 管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。-目 录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章账号管理、认证授权22.1帐号22.1.1应用帐号分配22.1.2用户口令设置32.1.3用户帐号删除32.2认证授权42.2.1控制台安全4第3章日志配置操作73.1日志配置73.1.1日志与记录7第4章备份容错94.1备份容错9第5章IP协议安全配置105.1IP通信安全协议10第6章设备其他配置操作126.1安全管理126.1.1禁止应用程序可显126.1.2端口设置*136.1.3错误页面处理14第7章评审与修订16第1章 概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的TongWeb服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的TongWeb服务器系统。1.3 适用版本5.x版本的TongWeb服务器。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章 账号管理、认证授权2.1 帐号2.1.1 应用帐号分配安全基线项目名称TongWeb应用帐号分配安全基线要求安全基线编号SBL-TongWeb-02-01-01 安全基线项说明 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。检测操作步骤 启动tongweb的控制台，选择列表中的安全域，点击管理用户,如图操作： 点击新建，建立用户账号，如图操作： 修改用户直接点击用户名，进行修改，如图：基线符合性判定依据1、判定条件各账号都可以登录TongWeb服务器为正常。2、检测操作访问http:/ip:8080/twns管理页面，进行TongWeb服务器配置找安全服务下的安全域即可。备注2.1.2 用户口令设置安全基线项目名称TongWeb用户口令设置安全基线要求项安全基线编号SBL-TongWeb-02-01-02 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤 进行口令的修改或者添加，如图操作：基线符合性判定依据1、判定条件检查帐号口令是否符合移动通过配置口令复杂度要求。2、检测操作人工检查登录页面测试帐号口令是否符合；备注2.1.3 用户帐号删除安全基线项目名称TongWeb用户帐号删除安全基线要求项安全基线编号SBL-TongWeb-02-01-03 安全基线项说明 应用删除或锁定与设备运行、维护等工作无关的账号。检测操作步骤 删除无关用户，如图操作：基线符合性判定依据1、判定条件删除的用户tongwebuser不能通过控制台登录界面进入主页。2、检测操作访问http:/ip:8080/twns管理页面，使用删除帐号进行登陆尝试。备注2.2 认证授权2.2.1 控制台安全安全基线项目名称TongWeb控制台安全基线要求项安全基线编号SBL-TongWeb-02-02-01 安全基线项说明 限制登陆管理控制台的服务器, 外网用户访问管理控制台，进行非法操作检测操作步骤登陆管理控制台，“服务配置”à“WEB容器”à“虚拟主机”,如下图：选择“admin”，如下图：允许访问的远程地址：具体的IP或正则表达式。本例中为正则表达式：10.110.111.(193-9|20-50-9)，允许10.110.111.193-255网段的IP访问管理控制台基线符合性判定依据该设置需要重启TongWeb才能生效备注第3章 日志配置操作3.1 日志配置3.1.1 日志与记录安全基线项目名称TongWeb日志记录安全基线要求项安全基线编号SBL- TongWeb -03-01-01 安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤TongWeb默认的访问日志是关闭了的，可以修改虚拟主机打开访问日志，访问日志中记录了客户端访问的本机IP、访问时间、访问的资源、请求使用的协议以及返回的状态码等内容，若发现有攻击现象可以打开访问日志，通过分析访问日志可以知道哪些IP访问了系统资源，操作如图： 日志格式如图：基线符合性判定依据1、判定条件查看logs目录中相关日志文件内容，记录完整2、检测操作查看localhost_access_log.2012-03-07.log中相关日志记录备注第4章 备份容错4.1 备份容错安全基线项目名称TongWeb备份容错安全基线要求项安全基线编号SBL- TongWeb -04-01-01 安全基线项说明 用户应有完善的应用服务器备份机制检测操作步骤 某些操作如修改启动脚本或者配置文件twsn.xml，操作失误可能导致启动异常，需要对TongWeb的配置文件进行日常备份保护，保证应用系统的可用性.。如果损坏，必须重新配置应用，也需要备份。每周备份一次twns.xml文件，至少每月备份一次TongWeb全目录,生产环境配置更改前必须先备份。基线符合性判定依据任何系统的改变都必须有授权和纸介质保存的修改记录备注第5章 IP协议安全配置5.1 IP通信安全协议安全基线项目名称TongWeb通信安全协议安全基线要求项安全基线编号SBL- TongWeb -05-01-01 安全基线项说明 对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。检测操作步骤1、 启动tongweb，并创建https通道，端口为8445(根据实际情况创建)，如图：2、 修改tongweb的配置文件twn.xml，如图所示：重新登录tongweb控制台，结果如图：基线符合性判定依据1、判定条件使用https方式登陆TongWeb服务器页面，登陆成功2、检测操作使用https方式登陆TongWeb服务器管理页面 ip：https：/ip:8445/twns备注第6章 设备其他配置操作6.1 安全管理6.1.1 禁止应用程序可显安全基线项目名称TongWeb控制台超时设置安全基线要求项安全基线编号SBL-TongWeb-06-01-01 安全基线项说明 可以避免访问应用时，暴露应用目录下有哪些文件。检测操作步骤 为了防止如下图所示的显示应用目录的情况的发生，TongWeb默认为不显示目录结构：如果希望显示，可进行如图操作：说明:不需要重启tongweb。基线符合性判定依据1、判定条件勾选显示目录，有详细应用列表。2、检测操作按照操作指南显示操作。备注6.1.2 端口设置*安全基线项目名称TongWeb默认端口安全基线要求项安全基线编号SBL-TongWeb-06-01-02 安全基线项说明 更改TongWeb服务器默认管理控制台端口和访问端口检测操作步骤 选择列表中的虚拟机，进行如图操作： 定制部署到该虚拟主机上的所有web应用的错误页面，每个web应用都可以在自己的web.xml里覆盖这个配置，属性值分为3个部分：code指定错误号，path指定错误页的绝对路径，reason指定错误原因。如code=404 path=/存放error.jsp文件的目录/error.jsp reason=MY-404-REASON。基线符合性判定依据1、判定条件指向指定错误页面2、检测操作URL地址栏中输入http:/ip:8080/manager备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。6.1.3 错误页面处理安全基线项目名称TongWeb错误页面安全基线要求项安全基线编号SBL-TongWeb-06-01-03 安全基线项说明 TongWeb错误页面重定向检测操作步骤 选择列表中的虚拟机，进行如图操作： 定制部署到该虚拟主机上的所有web应用的错误页面，每个web应用都可以在自己的web.xml里覆盖这个配置，属性值分为3个部分：code指定错误号，path指定错误页的绝对路径，reason指定错误原因。如code=404 path=/存放error.jsp文件的目录/error.jsp reason=MY-404-REASON。基线符合性判定依据1、判定条件指向指定错误页面2、检测操作URL地址栏中输入http:/ip:8080/manager备注第7章 评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。