TongWeb 服务器安全配置基线

1、TongWeb 服务器安全配置基线TongWebTongWeb 服务器服务器安全配置基线安全配置基线TongWeb 服务器安全配置基线版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人V2.0创建2012 年 4 月备注：备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。TongWeb 服务器安全配置基线目目 录录第第 1 章章概述概述.11.1目的.11.2适用范围.11.3适用版本.11.4实施.11.5例外条款.1第第 2 章章账号管理、认证授权账号管理、认证授权.22.1帐号.22.1.1应用帐号分配.22.1.2用户口令设置.32

2、.1.3用户帐号删除.32.2认证授权.42.2.1控制台安全.4第第 3 章章日志配置操作日志配置操作.73.1日志配置.73.1.1日志与记录.7第第 4 章章备份容错备份容错.94.1备份容错.9第第 5 章章IP 协议安全配置协议安全配置 .105.1IP 通信安全协议.10第第 6 章章设备其他配置操作设备其他配置操作.126.1安全管理.126.1.1禁止应用程序可显.126.1.2端口设置*.136.1.3错误页面处理.14第第 7 章章评审与修订评审与修订.16TongWeb 服务器安全配置基线第 0 页 共 18 页第第 1 章章概述概述1.1目的目的本文档旨在指导系统管理人

3、员进行 TongWeb 服务器的安全配置。1.2适用范围适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。1.3适用版本适用版本5.x 版本的 TongWeb 服务器。1.4实施实施1.5例外条款例外条款第第 2 章章账号管理、认证授权账号管理、认证授权2.1帐号帐号2.1.1 应用帐号分配应用帐号分配安全基线项安全基线项目名称目名称TongWeb 应用帐号分配安全基线要求安全基线编安全基线编号号SBL-TongWeb-02-01-01 安全基线项安全基线项应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通TongWeb 服务器安全配置基线第 1 页

4、 共 18 页说明说明 信使用的账号共享。检测操作步检测操作步骤骤 启动 tongweb 的控制台，选择列表中的安全域，点击管理用户,如图操作： 点击新建，建立用户账号，如图操作： 修改用户直接点击用户名，进行修改，如图：基线符合性基线符合性判定依据判定依据1、判定条件各账号都可以登录 TongWeb 服务器为正常。2、检测操作访问 http:/ip:8080/twns 管理页面，进行 TongWeb 服务器配置找安全服务下的安全域即可。备注备注2.1.2 用户口令设置用户口令设置安全基线项安全基线项TongWeb 用户口令设置安全基线要求项TongWeb 服务器安全配置基线第 2 页 共 1

5、8 页目名称目名称安全基线编安全基线编号号SBL-TongWeb-02-01-02 安全基线项安全基线项说明说明 对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次次以内不得设置相同的口令。密码应至少每 90 天天进行更换。检测操作步检测操作步骤骤 进行口令的修改或者添加，如图操作：基线符合性基线符合性判定依据判定依据1、判定条件检查帐号口令是否符合口令复杂度要求。2、检测操作人工检查登录页面测试帐号口令是否符合；备注备注2.1.3 用户帐号删除用户帐号删除安全基线项安全基线项目名称目名称TongWeb 用户帐号删除安全基线

6、要求项安全基线编安全基线编号号SBL-TongWeb-02-01-03 安全基线项安全基线项说明说明 应用删除或锁定与设备运行、维护等工作无关的账号。检测操作步检测操作步骤骤 删除无关用户，如图操作：TongWeb 服务器安全配置基线第 3 页 共 18 页基线符合性基线符合性判定依据判定依据1、判定条件删除的用户 tongwebuser 不能通过控制台登录界面进入主页。2、检测操作访问 http:/ip:8080/twns 管理页面，使用删除帐号进行登陆尝试。备注备注2.2认证授权认证授权2.2.1 控制台安全控制台安全安全基线项安全基线项目名称目名称TongWeb 控制台安全基线要求项安全

7、基线编安全基线编号号SBL-TongWeb-02-02-01 安全基线项安全基线项说明说明 限制登陆管理控制台的服务器, 外网用户访问管理控制台，进行非法操作检测操作步检测操作步骤骤登陆管理控制台， “服务配置”“WEB 容器”“虚拟主机”,如下图：选择“admin” ，如下图：允许访问的远程地址：具体的 IP 或正则表达式。本例中为正则表达式：10.110.111.(193-9|20-50-9)，允许 93-255 网段的 IP 访问管理控制台基线符合性基线符合性判定依据判定依据该设置需要重启 TongWeb 才能生效备注备注TongWeb 服务器安全配置基线第 4

8、页 共 18 页TongWeb 服务器安全配置基线第 5 页 共 18 页第第 3 章章日志日志配置操作配置操作3.1日志配置日志配置3.1.1 日志与记录日志与记录安全基线项安全基线项目名称目名称TongWeb 日志记录安全基线要求项安全基线编安全基线编号号SBL- TongWeb -03-01-01 安全基线项安全基线项说明说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。检测操作步检测操作步骤骤TongWeb 默认的访问日志是关闭了的，可以修改虚拟主机打开访问日志，访问日志中记录了客户端访问的本机

9、 IP、访问时间、访问的资源、请求使用的协议以及返回的状态码等内容，若发现有攻击现象可以打开访问日志，通过分析访问日志可以知道哪些 IP 访问了系统资源，操作如图： 日志格式如图：TongWeb 服务器安全配置基线第 6 页 共 18 页基线符合性基线符合性判定依据判定依据1、判定条件查看 logs 目录中相关日志文件内容，记录完整2、检测操作查看 localhost_access_log.2012-03-07.log 中相关日志记录备注备注TongWeb 服务器安全配置基线第 7 页 共 18 页第第 4 章章备份容错备份容错4.1备份容错备份容错安全基线项安全基线项目名称目名称TongWe

10、b 备份容错安全基线要求项安全基线编安全基线编号号SBL- TongWeb -04-01-01 安全基线项安全基线项说明说明 用户应有完善的应用服务器备份机制检测操作步检测操作步骤骤 某些操作如修改启动脚本或者配置文件 twsn.xml，操作失误可能导致启动异常，需要对 TongWeb 的配置文件进行日常备份保护，保证应用系统的可用性.。如果损坏，必须重新配置应用，也需要备份。每周备份一次 twns.xml 文件，至少每月备份一次 TongWeb 全目录,生产环境配置更改前必须先备份。基线符合性基线符合性判定依据判定依据任何系统的改变都必须有授权和纸介质保存的修改记录备注备注TongWeb 服

11、务器安全配置基线第 8 页 共 18 页第第 5 章章IPIP 协议安全配置协议安全配置5.1IP 通信安全协议通信安全协议安全基线项安全基线项目名称目名称TongWeb 通信安全协议安全基线要求项安全基线编安全基线编号号SBL- TongWeb -05-01-01 安全基线项安全基线项说明说明 对于通过 HTTP 协议进行远程维护的设备，设备应支持使用 HTTPS 等加密协议。检测操作步检测操作步骤骤1、启动 tongweb，并创建 https 通道，端口为 8445(根据实际情况创建)，如图：2、修改 tongweb 的配置文件 twn.xml，如图所示：TongWeb 服务器安全配置基线

12、第 9 页 共 18 页重新登录 tongweb 控制台，结果如图：基线符合性基线符合性判定依据判定依据1、判定条件使用 https 方式登陆 TongWeb 服务器页面，登陆成功2、检测操作使用 https 方式登陆 TongWeb 服务器管理页面 ip：https：/ip:8445/twns备注备注TongWeb 服务器安全配置基线第 10 页 共 18 页第第 6 章章设备其他配置操作设备其他配置操作6.1安全管理安全管理6.1.1 禁止应用程序可显禁止应用程序可显安全基线项安全基线项目名称目名称TongWeb 控制台超时设置安全基线要求项安全基线编安全基线编号号SBL-TongWeb-

13、06-01-01 安全基线项安全基线项说明说明 可以避免访问应用时，暴露应用目录下有哪些文件。检测操作步检测操作步骤骤 为了防止如下图所示的显示应用目录的情况的发生，TongWeb 默认为不显示目录结构：如果希望显示，可进行如图操作：TongWeb 服务器安全配置基线第 11 页 共 18 页说明:不需要重启 tongweb。基线符合性基线符合性判定依据判定依据1、判定条件勾选显示目录，有详细应用列表。2、检测操作按照操作指南显示操作。备注备注6.1.2 端口设置端口设置*安全基线项安全基线项目名称目名称TongWeb 默认端口安全基线要求项安全基线编安全基线编号号SBL-TongWeb-06

14、-01-02 安全基线项安全基线项说明说明 更改 TongWeb 服务器默认管理控制台端口和访问端口检测操作步检测操作步骤骤 选择列表中的虚拟机，进行如图操作： 定制部署到该虚拟主机上的所有 web 应用的错误页面，每个 web 应用都可以在自己的 web.xml 里覆盖这个配置，属性值分为3个部分：code 指定错误号，path 指定错误页的绝对路径，reason 指定错误原因。如 code=404 path=/存放 error.jsp 文件的目录/error.jsp reason=MY-404-REASON。TongWeb 服务器安全配置基线第 12 页 共 18 页基线符合性基线符合性判

15、定依据判定依据1、判定条件指向指定错误页面2、检测操作URL 地址栏中输入 http:/ip:8080/manager备注备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。6.1.3 错误页面处理错误页面处理安全基线项安全基线项目名称目名称TongWeb 错误页面安全基线要求项安全基线编安全基线编号号SBL-TongWeb-06-01-03 安全基线项安全基线项说明说明 TongWeb 错误页面重定向检测操作步检测操作步骤骤 选择列表中的虚拟机，进行如图操作： 定制部署到该虚拟主机上的所有 web 应用的错误页面，每个 web 应用都可以在自己的 web.xml 里覆盖这个配置，属性值分为3个部分：code 指定错误号，path 指定错误页