1、1.1 目的 11.2 适用范围 11.3 适用版本 11.4 实施 11.5 例外条款 1第2章 账号管理、认证授权 22.1 帐号 22.1.1 应用帐号分配 22.1.2 用户口令设置 32.1.3 用户帐号删除 32.2 认证授权 42.2.1 控制台安全 4第3章 日志配置操作 73.1 日志配置 73.1.1 日志与记录 7第4章 备份容错 94.1 备份容错 9第5章 IP协议安全配置 105.1 IP通信安全协议 10第6章 设备其他配置操作 126.1 安全管理 126.1.1 禁止应用程序可显 126.1.2 端口设置* 136.1.3 错误页面处理 14第7章 评审与修订
2、 16第1章 概述1.1 目的本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。1.2 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。1.3 适用版本5.x版本的TongWeb服务器。1.4 实施1.5 例外条款第2章 账号管理、认证授权2.1 帐号2.1.1 应用帐号分配安全基线项目名称TongWeb应用帐号分配安全基线要求安全基线编号SBL-TongWeb-02-01-01 安全基线项说明 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。检测操作步骤 启动tongweb的控制台,选择列表中的安全域,点击管理用户
3、,如图操作: 点击新建,建立用户账号,如图操作: 修改用户直接点击用户名,进行修改,如图:基线符合性判定依据1、判定条件各账号都可以登录TongWeb服务器为正常。2、检测操作访问http:/ip:8080/twns管理页面,进行TongWeb服务器配置找安全服务下的安全域即可。备注用户口令设置TongWeb用户口令设置安全基线要求项SBL-TongWeb-02-01-02 对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 进行口令的修改或者添加,如图操作:检查帐号口令是否符合口
4、令复杂度要求。人工检查登录页面测试帐号口令是否符合;用户帐号删除TongWeb用户帐号删除安全基线要求项SBL-TongWeb-02-01-03 应用删除或锁定与设备运行、维护等工作无关的账号。 删除无关用户,如图操作:删除的用户tongwebuser不能通过控制台登录界面进入主页。8080/twns管理页面,使用删除帐号进行登陆尝试。2.2 认证授权控制台安全TongWeb控制台安全基线要求项SBL-TongWeb-02-02-01 限制登陆管理控制台的服务器, 外网用户访问管理控制台,进行非法操作登陆管理控制台,“服务配置”“WEB容器”“虚拟主机”,如下图:选择“admin”,如下图:允
5、许访问的远程地址:具体的IP或正则表达式。本例中为正则表达式:10.110.111.(193-9|20-50-9),允许10.110.111.193-255网段的IP访问管理控制台该设置需要重启TongWeb才能生效第3章 日志配置操作3.1 日志配置日志与记录TongWeb日志记录安全基线要求项SBL- TongWeb -03-01-01 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。TongWeb默认的访问日志是关闭了的,可以修改虚拟主机打开访问日志,访问日志中记录了客户端访问的本机IP、访问时间、访问的
6、资源、请求使用的协议以及返回的状态码等内容,若发现有攻击现象可以打开访问日志,通过分析访问日志可以知道哪些IP访问了系统资源,操作如图: 日志格式如图:查看logs目录中相关日志文件内容,记录完整查看localhost_access_log.2012-03-07.log中相关日志记录第4章 备份容错4.1 备份容错TongWeb备份容错安全基线要求项SBL- TongWeb -04-01-01 用户应有完善的应用服务器备份机制 某些操作如修改启动脚本或者配置文件twsn.xml,操作失误可能导致启动异常,需要对TongWeb的配置文件进行日常备份保护,保证应用系统的可用性.。如果损坏,必须重新
7、配置应用,也需要备份。每周备份一次twns.xml文件,至少每月备份一次TongWeb全目录,生产环境配置更改前必须先备份。任何系统的改变都必须有授权和纸介质保存的修改记录第5章 IP协议安全配置5.1 IP通信安全协议TongWeb通信安全协议安全基线要求项SBL- TongWeb -05-01-01 对于通过HTTP协议进行远程维护的设备,设备应支持使用HTTPS等加密协议。1、启动tongweb,并创建https通道,端口为8445(根据实际情况创建),如图:2、修改tongweb的配置文件twn.xml,如图所示:重新登录tongweb控制台,结果如图:使用https方式登陆TongW
8、eb服务器页面,登陆成功使用https方式登陆TongWeb服务器管理页面 ip:https:8445/twns第6章 设备其他配置操作6.1 安全管理禁止应用程序可显TongWeb控制台超时设置安全基线要求项SBL-TongWeb-06-01-01 可以避免访问应用时,暴露应用目录下有哪些文件。 为了防止如下图所示的显示应用目录的情况的发生,TongWeb默认为不显示目录结构:如果希望显示,可进行如图操作:说明:不需要重启tongweb。勾选显示目录,有详细应用列表。按照操作指南显示操作。端口设置*TongWeb默认端口安全基线要求项SBL-TongWeb-06-01-02 更改TongWe
9、b服务器默认管理控制台端口和访问端口 选择列表中的虚拟机,进行如图操作: 定制部署到该虚拟主机上的所有web应用的错误页面,每个web应用都可以在自己的web.xml里覆盖这个配置,属性值分为3个部分:code指定错误号,path指定错误页的绝对路径,reason指定错误原因。如code=404 path=/存放error.jsp文件的目录/error.jsp reason=MY-404-REASON。指向指定错误页面URL地址栏中输入http:8080/manager根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。错误页面处理TongWeb错误页面安全基线要求项SBL-TongWeb-06-01-03 TongWeb错误页面重定向第7章 评审与修订
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1