ｅebLogic-Web服務(wù)器安全安全配置基線

1、PAGE12WebLogic Web服務(wù)器安全配置基線中國移動通信有限公司 管理信息系統(tǒng)部2012年 04月版本版本控制信息更新日期更新人審批人創(chuàng)建2009年4月更新2012年4月備注：若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目 錄 TOC o 1-3 h z u HYPERLINK l _Toc5 第1章概述 PAGEREF _Toc5 h 4 HYPERLINK l _Toc6 目的 PAGEREF _Toc6 h 4 HYPERLINK l _Toc7 適用范圍 PAGEREF _Toc7 h 4 HYPERLINK l _Toc8 適用版本 PAGEREF

2、 _Toc8 h 4 HYPERLINK l _Toc9 實施 PAGEREF _Toc9 h 4 HYPERLINK l _Toc0 例外條款 PAGEREF _Toc0 h 4 HYPERLINK l _Toc1 第2章帳號管理、認(rèn)證授權(quán) PAGEREF _Toc1 h 5 HYPERLINK l _Toc2 帳號 PAGEREF _Toc2 h 5 HYPERLINK l _Toc3 系統(tǒng)啟動帳號 PAGEREF _Toc3 h 5 HYPERLINK l _Toc4 帳號鎖定策略 PAGEREF _Toc4 h 5 HYPERLINK l _Toc5 口令 PAGEREF _Toc5

3、h 6 HYPERLINK l _Toc6 密碼復(fù)雜度 PAGEREF _Toc6 h 6 HYPERLINK l _Toc7 第3章日志配置操作 PAGEREF _Toc7 h 7 HYPERLINK l _Toc8 日志配置 PAGEREF _Toc8 h 7 HYPERLINK l _Toc9 審核登錄 PAGEREF _Toc9 h 7 HYPERLINK l _Toc0 第4章IP協(xié)議安全配置 PAGEREF _Toc0 h 8 HYPERLINK l _Toc1 IP協(xié)議 PAGEREF _Toc1 h 8 HYPERLINK l _Toc2 支持加密協(xié)議 PAGEREF _Toc

4、2 h 8 HYPERLINK l _Toc3 限制應(yīng)用服務(wù)器Socket數(shù)量 PAGEREF _Toc3 h 8 HYPERLINK l _Toc4 禁用Send Server Header PAGEREF _Toc4 h 9 HYPERLINK l _Toc5 第5章設(shè)備其他配置操作 PAGEREF _Toc5 h 10 HYPERLINK l _Toc6 安全管理 PAGEREF _Toc6 h 10 HYPERLINK l _Toc7 定時登出 PAGEREF _Toc7 h 10 HYPERLINK l _Toc8 更改默認(rèn)端口* PAGEREF _Toc8 h 10 HYPERLI

5、NK l _Toc9 錯誤頁面處理 PAGEREF _Toc9 h 11 HYPERLINK l _Toc0 目錄列表訪問限制 PAGEREF _Toc0 h 11 HYPERLINK l _Toc1 第6章評審與修訂 PAGEREF _Toc1 h 12概述目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的WebLogic Web服務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行WebLogic Web服務(wù)器的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：支持中國移動集團(tuán)公司管理信息系統(tǒng)部運行的We

6、bLogic Web服務(wù)器系統(tǒng)。適用版本 版本的WebLogic Web服務(wù)器。實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。帳號管理、認(rèn)證授權(quán)帳號系統(tǒng)啟動帳號安全基線項目名稱WebLogic啟動帳號安全基線要求項安全基線編號SBL-WebLogic-02-01-01 安全基線項說明 要求限制帳號檢測操作步驟1、參考配置操作 查看以管理員身份登錄控制臺執(zhí)行# ps ef| gre

7、p i weblogic基線符合性判定依據(jù)1、判定條件執(zhí)行帳號不可以是root和nobody。備注帳號鎖定策略安全基線項目名稱WebLogic帳號鎖定安全基線要求項安全基線編號SBL-WebLogic-02-01-02 安全基線項說明 要求設(shè)定帳號鎖定次數(shù)和時間，錯誤輸入密碼10次，系統(tǒng)自動鎖定，鎖定時間5分鐘。檢測操作步驟1、參考配置操作 查看以管理員身份登錄控制臺1. 點擊左側(cè)面板”Security”文件夾，展開”REALM”2. 點擊右側(cè)面板中的”User Lock”標(biāo)簽，查看Lockout Enabled，Lockout Threshold，Lockout Duration等基線符合性

8、判定依據(jù)1、判定條件要求Lockout Enabled=true;Lockout Threshold=10;Lockout Duration=5備注口令密碼復(fù)雜度安全基線項目名稱WebLogic密碼復(fù)雜度安全基線要求項安全基線編號SBL-WebLogic-02-02-01 安全基線項說明 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測操作步驟1、參考配置操作 查看WebLogic安裝目錄下的配置文件2、補充操作說明口令要求：口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和

9、特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換?；€符合性判定依據(jù)1、判定條件等備注日志配置操作日志配置審核登錄安全基線項目名稱WebLogic審核登錄安全基線要求項安全基線編號SBL-WebLogic-03-01-01 安全基線項說明 設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的帳號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。檢測操作步驟1、參考配置操作查看WebLogic安裝目錄下的配置文件基線符合性判定依據(jù)1、判定條件開啟日志，配置按日期rotate備注IP協(xié)議安全配置IP協(xié)議支持加密協(xié)議安全基線項目名稱WebLo

10、gic支持加密協(xié)議安全基線要求項安全基線編號SBL-WebLogic-04-01-01 安全基線項說明 對于通過HTTP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)支持使用HTTPS等加密協(xié)議。檢測操作步驟1、參考配置操作查看WebLogic安裝目錄下的配置文件基線符合性判定依據(jù)1、判定條件 SSL Enabled=true備注限制應(yīng)用服務(wù)器Socket數(shù)量安全基線項目名稱WebLogic限制應(yīng)用服務(wù)器Socket數(shù)量安全基線要求項安全基線編號SBL-WebLogic-04-01-02 安全基線項說明 Sockets最大打開數(shù)目設(shè)置不當(dāng)?shù)脑?，容易受到拒絕服務(wù)攻擊，超出操作系統(tǒng)文件描述符限制檢測操作步驟1、參

11、考配置操作以管理員身份登錄管理控制臺 1. 點擊左側(cè)面板的域名文件夾，然后點擊Servers文件夾，雙擊要管理的服務(wù)器 2. 在右側(cè)面板的“Configuration”面板下選擇“Tuning”標(biāo)簽，查看Maximum Open Sockets值基線符合性判定依據(jù)1、判定條件要求Maximum Open Sockets不大于1024。備注禁用Send Server Header安全基線項目名稱WebLogic禁用Send Server Header安全基線要求項安全基線編號SBL-WebLogic-04-01-03 安全基線項說明 Sockets最大打開數(shù)目設(shè)置不當(dāng)?shù)脑挘菀资艿骄芙^服務(wù)攻擊，

12、超出操作系統(tǒng)文件描述符限制檢測操作步驟1、參考配置操作以管理員身份登錄管理控制臺1. 點擊域名下的Servers文件夾，選擇要管理的服務(wù)器2. 在右側(cè)面板“Protocols”面板下，點擊HTTP標(biāo)簽3. 檢查是否勾選Send Server header基線符合性判定依據(jù)1、判定條件要求禁止Send Server header備注設(shè)備其他配置操作安全管理定時登出安全基線項目名稱WebLogic定時登出安全基線要求項安全基線編號SBL-WebLogic-05-01-01 安全基線項說明 對于具備字符交互界面的設(shè)備，應(yīng)支持定時帳戶自動登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測操作步驟1、參考配置

13、操作查看WebLogic安裝目錄下的配置文件自動登出時間為5分鐘?；€符合性判定依據(jù)1、判定條件 備注更改默認(rèn)端口*安全基線項目名稱WebLogic運行端口安全基線要求項安全基線編號SBL-WebLogic-05-01-02 安全基線項說明 更改WebLogic服務(wù)器默認(rèn)端口檢測操作步驟1、參考配置操作查看WebLogic安裝目錄下的配置文件基線符合性判定依據(jù)1、判定條件備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項?？赡軙绊懴到y(tǒng)。錯誤頁面處理安全基線項目名稱WebLogic錯誤頁面處理安全基線要求項安全基線編號SBL-WebLogic-05-01-03 安全基線項說明 WebLogic錯誤頁面重定向檢測操作步驟1、參考配置操作查看/WEB-INF/:基線符合性