TongWeb服务器安全配置基线Word文档格式.doc
《TongWeb服务器安全配置基线Word文档格式.doc》由会员分享,可在线阅读,更多相关《TongWeb服务器安全配置基线Word文档格式.doc(19页珍藏版)》请在冰点文库上搜索。
1.1 目的 1
1.2 适用范围 1
1.3 适用版本 1
1.4 实施 1
1.5 例外条款 1
第2章 账号管理、认证授权 2
2.1 帐号 2
2.1.1 应用帐号分配 2
2.1.2 用户口令设置 3
2.1.3 用户帐号删除 3
2.2 认证授权 4
2.2.1 控制台安全 4
第3章 日志配置操作 7
3.1 日志配置 7
3.1.1 日志与记录 7
第4章 备份容错 9
4.1 备份容错 9
第5章 IP协议安全配置 10
5.1 IP通信安全协议 10
第6章 设备其他配置操作 12
6.1 安全管理 12
6.1.1 禁止应用程序可显 12
6.1.2 端口设置* 13
6.1.3 错误页面处理 14
第7章 评审与修订 16
I
第1章概述
1.1目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的TongWeb服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。
1.2适用范围
本配置标准的使用者包括:
服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:
中国移动总部和各省公司信息化部门维护管理的TongWeb服务器系统。
1.3适用版本
5.x版本的TongWeb服务器。
1.4实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章账号管理、认证授权
2.1帐号
2.1.1应用帐号分配
安全基线项目名称
TongWeb应用帐号分配安全基线要求
安全基线编号
SBL-TongWeb-02-01-01
安全基线项说明
应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
检测操作步骤
启动tongweb的控制台,选择列表中的安全域,点击管理用户,如图操作:
点击新建,建立用户账号,如图操作:
修改用户直接点击用户名,进行修改,如图:
基线符合性判定依据
1、判定条件
各账号都可以登录TongWeb服务器为正常。
2、检测操作
访问http:
//ip:
8080/twns管理页面,进行TongWeb服务器配置找安全服务下的安全域即可。
备注
2.1.2用户口令设置
TongWeb用户口令设置安全基线要求项
SBL-TongWeb-02-01-02
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
进行口令的修改或者添加,如图操作:
检查帐号口令是否符合移动通过配置口令复杂度要求。
人工检查登录页面测试帐号口令是否符合;
2.1.3用户帐号删除
TongWeb用户帐号删除安全基线要求项
SBL-TongWeb-02-01-03
应用删除或锁定与设备运行、维护等工作无关的账号。
删除无关用户,如图操作:
删除的用户tongwebuser不能通过控制台登录界面进入主页。
8080/twns管理页面,使用删除帐号进行登陆尝试。
2.2认证授权
2.2.1控制台安全
TongWeb控制台安全基线要求项
SBL-TongWeb-02-02-01
限制登陆管理控制台的服务器,外网用户访问管理控制台,进行非法操作
登陆管理控制台,“服务配置”à
“WEB容器”à
“虚拟主机”,如下图:
选择“admin”,如下图:
允许访问的远程地址:
具体的IP或正则表达式。
本例中为正则表达式:
10\.110\.111\.([1][9][3-9]|[2][0-5][0-9]),允许10.110.111.193-255网段的IP访问管理控制台
该设置需要重启TongWeb才能生效
第3章日志配置操作
3.1日志配置
3.1.1日志与记录
TongWeb日志记录安全基线要求项
SBL-TongWeb-03-01-01
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
TongWeb默认的访问日志是关闭了的,可以修改虚拟主机打开访问日志,访问日志中记录了客户端访问的本机IP、访问时间、访问的资源、请求使用的协议以及返回的状态码等内容,若发现有攻击现象可以打开访问日志,通过分析访问日志可以知道哪些IP访问了系统资源,操作如图:
日志格式如图:
查看logs目录中相关日志文件内容,记录完整
查看localhost_access_log.2012-03-07.log中相关日志记录
第4章备份容错
4.1备份容错
TongWeb备份容错安全基线要求项
SBL-TongWeb-04-01-01
用户应有完善的应用服务器备份机制
某些操作如修改启动脚本或者配置文件twsn.xml,操作失误可能导致启动异常,需要对TongWeb的配置文件进行日常备份保护,保证应用系统的可用性.。
如果损坏,必须重新配置应用,也需要备份。
每周备份一次twns.xml文件,至少每月备份一次TongWeb全目录,生产环境配置更改前必须先备份。
任何系统的改变都必须有授权和纸介质保存的修改记录
第5章IP协议安全配置
5.1IP通信安全协议
TongWeb通信安全协议安全基线要求项
SBL-TongWeb-05-01-01
对于通过HTTP协议进行远程维护的设备,设备应支持使用HTTPS等加密协议。
1、启动tongweb,并创建https通道,端口为8445(根据实际情况创建),如图:
2、修改tongweb的配置文件twn.xml,如图所示:
重新登录tongweb控制台,结果如图:
使用https方式登陆TongWeb服务器页面,登陆成功
使用https方式登陆TongWeb服务器管理页面ip:
https:
8445/twns
第6章设备其他配置操作
6.1安全管理
6.1.1禁止应用程序可显
TongWeb控制台超时设置安全基线要求项
SBL-TongWeb-06-01-01
可以避免访问应用时,暴露应用目录下有哪些文件。
为了防止如下图所示的显示应用目录的情况的发生,TongWeb默认为不显示目录结构:
如果希望显示,可进行如图操作:
说明:
不需要重启tongweb。
勾选显示目录,有详细应用列表。
按照操作指南显示操作。
6.1.2端口设置*
TongWeb默认端口安全基线要求项
SBL-TongWeb-06-01-02
更改TongWeb服务器默认管理控制台端口和访问端口
选择列表中的虚拟机,进行如图操作:
定制部署到该虚拟主机上的所有web应用的错误页面,每个web应用都可以在自己的web.xml里覆盖这个配置,属性值分为3个部分:
code指定错误号,path指定错误页的绝对路径,reason指定错误原因。
如code=404path=/存放error.jsp文件的目录/error.jspreason=MY-404-REASON。
指向指定错误页面
URL地址栏中输入http:
8080/manager~~~
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
6.1.3错误页面处理
TongWeb错误页面安全基线要求项
SBL-TongWeb-06-01-03
TongWeb错误页面重定向
第7章评审与修订
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。
第16页共19页
升级会员 