TongWeb 服务器安全配置基线文档格式.docx

TongWeb 服务器安全配置基线文档格式.docx

《TongWeb 服务器安全配置基线文档格式.docx》由会员分享，可在线阅读，更多相关《TongWeb 服务器安全配置基线文档格式.docx（14页珍藏版）》请在冰豆网上搜索。

1.1目的1

1.2适用范围1

1.3适用版本1

1.4实施1

1.5例外条款1

第2章账号管理、认证授权2

2.1帐号2

2.1.1应用帐号分配2

2.1.2用户口令设置3

2.1.3用户帐号删除3

2.2认证授权4

2.2.1控制台安全4

第3章日志配置操作7

3.1日志配置7

3.1.1日志与记录7

第4章备份容错9

4.1备份容错9

第5章IP协议安全配置10

5.1IP通信安全协议10

第6章设备其他配置操作12

6.1安全管理12

6.1.1禁止应用程序可显12

6.1.2端口设置*13

6.1.3错误页面处理14

第7章评审与修订16

第1章概述

1.1目的

本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。

1.2适用范围

本配置标准的使用者包括：

服务器系统管理员、应用管理员、网络安全管理员。

1.3适用版本

5.x版本的TongWeb服务器。

1.4实施

1.5例外条款

第2章账号管理、认证授权

2.1帐号

2.1.1应用帐号分配

安全基线项目名称

TongWeb应用帐号分配安全基线要求

安全基线编号

SBL-TongWeb-02-01-01

安全基线项说明

应按照用户分配账号。

避免不同用户间共享账号。

避免用户账号和设备间通信使用的账号共享。

检测操作步骤

启动tongweb的控制台，选择列表中的安全域，点击管理用户,如图操作：

点击新建，建立用户账号，如图操作：

修改用户直接点击用户名，进行修改，如图：

基线符合性判定依据

1、判定条件

各账号都可以登录TongWeb服务器为正常。

2、检测操作

访问http:

//ip:

8080/twns管理页面，进行TongWeb服务器配置找安全服务下的安全域即可。

备注

用户口令设置

TongWeb用户口令设置安全基线要求项

SBL-TongWeb-02-01-02

对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

进行口令的修改或者添加，如图操作：

检查帐号口令是否符合口令复杂度要求。

人工检查登录页面测试帐号口令是否符合；

用户帐号删除

TongWeb用户帐号删除安全基线要求项

SBL-TongWeb-02-01-03

应用删除或锁定与设备运行、维护等工作无关的账号。

删除无关用户，如图操作：

删除的用户tongwebuser不能通过控制台登录界面进入主页。

8080/twns管理页面，使用删除帐号进行登陆尝试。

2.2认证授权

控制台安全

TongWeb控制台安全基线要求项

SBL-TongWeb-02-02-01

限制登陆管理控制台的服务器,外网用户访问管理控制台，进行非法操作

登陆管理控制台，“服务配置”“WEB容器”“虚拟主机”,如下图：

选择“admin”，如下图：

允许访问的远程地址：

具体的IP或正则表达式。

本例中为正则表达式：

10\.110\.111\.（[1][9][3-9]|[2][0-5][0-9]），允许10.110.111.193-255网段的IP访问管理控制台

该设置需要重启TongWeb才能生效

第3章日志配置操作

3.1日志配置

日志与记录

TongWeb日志记录安全基线要求项

SBL-TongWeb-03-01-01

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

TongWeb默认的访问日志是关闭了的，可以修改虚拟主机打开访问日志，访问日志中记录了客户端访问的本机IP、访问时间、访问的资源、请求使用的协议以及返回的状态码等内容，若发现有攻击现象可以打开访问日志，通过分析访问日志可以知道哪些IP访问了系统资源，操作如图：

日志格式如图：

查看logs目录中相关日志文件内容，记录完整

查看localhost_access_log.2012-03-07.log中相关日志记录

第4章备份容错

4.1备份容错

TongWeb备份容错安全基线要求项

SBL-TongWeb-04-01-01

用户应有完善的应用服务器备份机制

某些操作如修改启动脚本或者配置文件twsn.xml，操作失误可能导致启动异常，需要对TongWeb的配置文件进行日常备份保护，保证应用系统的可用性.。

如果损坏，必须重新配置应用，也需要备份。

每周备份一次twns.xml文件，至少每月备份一次TongWeb全目录,生产环境配置更改前必须先备份。

任何系统的改变都必须有授权和纸介质保存的修改记录

第5章IP协议安全配置

5.1IP通信安全协议

TongWeb通信安全协议安全基线要求项

SBL-TongWeb-05-01-01

对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。

1、启动tongweb，并创建https通道，端口为8445（根据实际情况创建），如图：

2、修改tongweb的配置文件twn.xml，如图所示：

重新登录tongweb控制台，结果如图：

使用https方式登陆TongWeb服务器页面，登陆成功

使用https方式登陆TongWeb服务器管理页面ip：

https：

8445/twns

第6章设备其他配置操作

6.1安全管理

禁止应用程序可显

TongWeb控制台超时设置安全基线要求项

SBL-TongWeb-06-01-01

可以避免访问应用时，暴露应用目录下有哪些文件。

为了防止如下图所示的显示应用目录的情况的发生，TongWeb默认为不显示目录结构：

如果希望显示，可进行如图操作：

说明:

不需要重启tongweb。

勾选显示目录，有详细应用列表。

按照操作指南显示操作。

端口设置*

TongWeb默认端口安全基线要求项

SBL-TongWeb-06-01-02

更改TongWeb服务器默认管理控制台端口和访问端口

选择列表中的虚拟机，进行如图操作：

定制部署到该虚拟主机上的所有web应用的错误页面，每个web应用都可以在自己的web.xml里覆盖这个配置，属性值分为3个部分：

code指定错误号，path指定错误页的绝对路径，reason指定错误原因。

如code=404path=/存放error.jsp文件的目录/error.jspreason=MY-404-REASON。

指向指定错误页面

URL地址栏中输入http:

8080/manager~~~

根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

错误页面处理

TongWeb错误页面安全基线要求项

SBL-TongWeb-06-01-03

TongWeb错误页面重定向

第7章评审与修订