IT系統(tǒng)安全基線規(guī)范方案V30

中國(guó)XX公司IT技術(shù)標(biāo)準(zhǔn)

中國(guó)XX公司信息技術(shù)部

目錄

IT系統(tǒng)平安基線標(biāo)準(zhǔn)1

(V3.0)錯(cuò)誤！未定義書簽。

1.范圍4

2.術(shù)語(yǔ)、定義和縮略語(yǔ)4

3.總體說(shuō)明5

3.1編寫背景5

3.2平安基線制定的方法論5

4.平安基線范圍及內(nèi)容概述6

4.1覆蓋范圍及適用版本6

4.2平安基線編號(hào)說(shuō)明6

4.3平安基線組織及內(nèi)容6

5.WEB應(yīng)用平安基線標(biāo)準(zhǔn)7

5.1身份與訪問控制7

5.1.1賬戶鉞定策略7

5.1.2疊錄用圖片驗(yàn)證碼7

5.1.3口令傳輸8

5.1.4保存疊錄功能8

5.1.5縱向訪問控制8

5.1.6橫向訪問控制9

5.1.7敏感資源的訪權(quán)9

5.2會(huì)話管理9

5.2.1會(huì)話超時(shí)9

5.2.2會(huì)話終止10

5.2.3會(huì)話標(biāo)識(shí)10

5.2.4會(huì)話標(biāo)識(shí)復(fù)用10

5.3代碼質(zhì)量11

5.3.1防范跨站腳本攻擊11

5.3.2防范SQL注入攻擊11

5.3.3防止路徑遍歷攻擊11

5.3.4防止命令注入攻擊12

5.3.5防止其他常見的注入攻擊12

5.3.6防JL下載敏感資源文件12

5.3.7防止上傳后門腳本13

5.3.8保證多線程平安13

5.3.9保證釋放資源13

5.4內(nèi)容管理14

5.4.1加密存儲(chǔ)敏感信息14

5.4.2防止泄露敏感技術(shù)細(xì)節(jié)14

5.5防釣魚與防垃圾郵件15

5.5.1防釣魚15

5.5.2防垃圾郵件15

5.6密碼算法15

5.6.1平安算法15

5.6.2密鑰管理16

6.中間件平安基線內(nèi)容16

6.1APACHE平安配置基線16

6.1.1日志配置16

6.1.2訪問權(quán)限17

6.1.3防攻擊管理18

6.2WEBSPHERE平安配置基線20

6.2.1帳號(hào)管理20

6.2.2認(rèn)證授權(quán)21

6.2.3日志配置22

6.2.4備份容錯(cuò)23

6.2.5平安管理23

6.3T0MCATWEB平安配置基線25

6.3.1賬號(hào)管理25

6.3.2口令平安26

6.3.3日志配置28

6.3.4平安管理29

6.4IIS效勞平安配置基線30

6.4.1題號(hào)管理30

6.4.2口令平安31

6.4.3認(rèn)證授權(quán)33

6.4.4日志配置34

6.4.5IP協(xié)議平安35

6.4.6孱蕊侏護(hù)37

6.4.7文件系統(tǒng)及訪問權(quán)限38

6.4.8補(bǔ)丁管理42

6.4.911s效勞組件42

6.5WEBL0GICWEB效勞平安配置基線43

65.1賬號(hào)管理43

6.5.2口令平安44

6.5.3日志配置45

6.5.41P協(xié)議平安配置45

6.5.5平安管理47

7.數(shù)據(jù)庫(kù)平安基線內(nèi)容48

7.1DB2數(shù)據(jù)庫(kù)平安配置基線48

7.1.1數(shù)據(jù)庫(kù)權(quán)限48

7.1.2DB2認(rèn)證50

7.2S0LSERVER數(shù)據(jù)庫(kù)平安配置基線51

Z2.1口令平安51

7.2.2日志配置51

7.2.3更新補(bǔ)丁52

7.30RACLE數(shù)據(jù)庫(kù)系統(tǒng)平安配置基線52

7.3.1賬號(hào)管理52

7.3.2口令平安53

8.主機(jī)平安基線內(nèi)容56

8.1AIX平安配置基線56

8.1.1賬號(hào)管理56

8.1.2口令平安57

8.1.31P協(xié)議平安58

8.1.4日志配矍58

8.2HP-UNIX平安配置基線59

8.2.1賬號(hào)管理59

8.2.2口令平安59

8.2.3日志配置61

8.2.4/P協(xié)議平安62

8.2.5其他平安配置62

8.3LINUX平安配置基線63

8.3.1殊號(hào)管理63

8.3.2認(rèn)證授權(quán)64

8.3.3日志配置64

8.4MND0WS平安配置基■線65

8.4.1賬號(hào)管理65

8.4.2口令平安65

8.4.3認(rèn)證授權(quán)66

8.4.4日志配置67

8.4.5/P協(xié)議平安71

8.4.6其他平安配置71

8.5S0LARIS平安配置宓線73

8.5.1賬號(hào)管理73

8.5.2口令平安73

8.5.3認(rèn)證授權(quán)75

854日志配375

8.5.5IP稱議平安77

9.設(shè)備平安基線內(nèi)容78

9.1CISC0路由平安配置基線78

9.1.1賬號(hào)管理78

9.1.2口令平安79

9.1.3認(rèn)證授權(quán)80

9.1.4日志配置81

9.1.5IP協(xié)議平安83

9.1.6功能配置84

9.1.7其他平安配矍86

9.2HUAWEI路由平安配置身線87

9.2.1賬號(hào)管理87

9.2.2口令平安88

9.2.3日志配置90

9.2.4IP協(xié)議平安92

9.2.5其他平安配置93

9.3JUNIPER路由平安配端,基線95

9.3.1賬號(hào)管理95

9.3.2口令平安97

9.3.3日志配矍98

9.3.4/P協(xié)議平安102

9.3.5其他平安配置106

10.平安基線使用要求109

11.文檔修訂記錄109

1.范圍

本標(biāo)準(zhǔn)對(duì)各類操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、中間件和WEB應(yīng)用的平安配置和檢查明確

了根本的要求。本標(biāo)準(zhǔn)適用于xxxIT系統(tǒng)的各類操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、中間件和

WEB應(yīng)用，可以作為產(chǎn)品準(zhǔn)入、入網(wǎng)測(cè)試、工程驗(yàn)收、系統(tǒng)運(yùn)維配置、自我評(píng)估、平安加固

的依據(jù)。

2.術(shù)語(yǔ)、定義和縮略語(yǔ)

詞語(yǔ)解釋

SecurityBaseIine平安基線：是設(shè)備功能和配卷方面的根本平安要求，是信息系

統(tǒng)的最小平安保證和最根本的、必須滿足的平安要求。它適用

于未上線和已上線系統(tǒng)，用于保障組織內(nèi)IT系統(tǒng)平安水平。

SHG平安加固手冊(cè)SecurityHardenGuideIine

SBL平安基線SecurityBaseIine

平安風(fēng)險(xiǎn)人為或自然的威脅可能利用IT系統(tǒng)中存在的脆弱性導(dǎo)致平安

事件的發(fā)生及其對(duì)組織造成的影喻。

平安風(fēng)險(xiǎn)評(píng)估指運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析IT系統(tǒng)所面臨的威脅

及其存在的脆弱性，評(píng)估平安事件一旦發(fā)生可能造成的危害程

度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和平安措施。防范和

化解IT系統(tǒng)平安風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可承受的水平，為

最大限度地為保障IT系統(tǒng)的平安提供科學(xué)依據(jù)

資產(chǎn)是平安防護(hù)保護(hù)的對(duì)象。IT系統(tǒng)的資產(chǎn)可能是以多種形式存

在，無(wú)形的、有形的、硬件、軟件，包括物理布局、通信設(shè)備、

物理線路、數(shù)據(jù)、軟件、文檔、規(guī)程、業(yè)務(wù)、人員、管理等各

種類型的資源，如0A系統(tǒng)、ERP系統(tǒng)等。

資產(chǎn)價(jià)值資產(chǎn)的重要程度或敏感程度。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)

展資產(chǎn)識(shí)別的主要內(nèi)容。

威脅可能導(dǎo)致對(duì)IT系統(tǒng)產(chǎn)生危害的不希望事故潛在起因，它可能是

人為的，也可能是非人為的：可能是無(wú)意失誤，也可能是惡意

攻擊。常見的威脅有黑客入侵、硬件故障、人為操作失誤、火

災(zāi)、水災(zāi)等等.

脆弱性是IT系統(tǒng)中存在的弱點(diǎn)、缺陷與缺乏，不直接對(duì)資產(chǎn)造成危

害，但可能被威脅所利用從而危害資產(chǎn)的平安。

3.總體說(shuō)明

3.1編寫背景

xxxIT系統(tǒng)的設(shè)備、主機(jī)、應(yīng)用等多采購(gòu)自第三方，在部署之前往往只執(zhí)行了功能測(cè)試，

各個(gè)系統(tǒng)平安水平不一，容易遭受黑客攻擊，存在很多平安隱患。為了保證整體平安水平，

防止系統(tǒng)設(shè)備因?yàn)槠桨才渲貌坏轿欢鴰?lái)平安風(fēng)險(xiǎn)，有必要對(duì)系統(tǒng)設(shè)備的平安性進(jìn)展檢查和

加固。假設(shè)系統(tǒng)按照平安表線進(jìn)展了檢查和加固，那么可以確保系統(tǒng)和設(shè)備平安符合性到達(dá)

要求，杜絕大局部的平安隱患。為此，制定各系統(tǒng)的平安基線，作為產(chǎn)品準(zhǔn)入、入網(wǎng)測(cè)試、

工程臉妝、系統(tǒng)運(yùn)維配置、自我評(píng)估、平安加固依據(jù)，同時(shí)也是滿足內(nèi)控管理要求的依據(jù)。

此次系列平安基線標(biāo)準(zhǔn)覆蓋了應(yīng)用層、中間件層、操作系統(tǒng)層以及網(wǎng)絡(luò)層，并依據(jù)這些

平安基線建立準(zhǔn)入措施，從源頭和根本上控制和提高系統(tǒng)的平安性。此次工程對(duì)平安基線的

要求如下：

?覆蓋面廣，涵蓋常見IT系統(tǒng)和設(shè)備，并涵蓋Web應(yīng)用和源代碼的平安基線；

?可操作性強(qiáng)，針對(duì)每個(gè)檢查項(xiàng)均有簡(jiǎn)潔的操作說(shuō)明；

?定期更新，應(yīng)當(dāng)周期性的對(duì)基線進(jìn)展補(bǔ)充和更新；

?成果可固化，基線可以被集成為檢查工具：

?平安基線將作為系統(tǒng)和設(shè)備平安準(zhǔn)入的必要條件。

3.2平安基線制定的方法論

平安基線制定主要基于以下方法:

1.參考產(chǎn)品原廠商的技術(shù)資料

2.參考平安效勞及平安研究的成果

3.參考國(guó)內(nèi)外大型研究機(jī)構(gòu)及企業(yè)現(xiàn)行的平安基戰(zhàn)

4.結(jié)合xxx集團(tuán)總部下發(fā)的相關(guān)標(biāo)準(zhǔn)及xxx信息技術(shù)部的實(shí)際情況

4.平安基線范圍及內(nèi)容概述

4.1覆蓋范圍及適用版本

目前省、市公司IT系統(tǒng)中部署了數(shù)量眾多的IT設(shè)備和系統(tǒng)，主要包括網(wǎng)絡(luò)設(shè)備、主

機(jī)、數(shù)據(jù)庫(kù)、中間件和應(yīng)用系統(tǒng)等。此次平安基線制定的范圍需要涵蓋xxx常見的IT系統(tǒng)

和設(shè)備，具體包括：

1、應(yīng)用系統(tǒng)：2、中間件：

■Web應(yīng)用層平安基線，針對(duì)Web應(yīng)用■Apache

的身份與訪問控制、會(huì)話管理、代碼■WebSphere

質(zhì)量、內(nèi)容管理等方面制定平安檢查■Tomcat

項(xiàng)?IIS

■Weblogic

3、數(shù)據(jù)庫(kù)：4、主機(jī)：

■Oracle■Windows

■DB2■AIX

■SQLServer■HP-UX

■Solaris

■Linux

5、設(shè)備：

■Cisco

■HuaWei

■Juniper

以上設(shè)備和系統(tǒng)之外的平安基線將根據(jù)需要進(jìn)展補(bǔ)充。

4.2平安基線編號(hào)說(shuō)明

平安基線采用SBL-設(shè)備系統(tǒng)名稱-數(shù)字-數(shù)字-數(shù)字的方式命名，設(shè)備系統(tǒng)名稱是指此基

線適用的設(shè)備或系統(tǒng)，例如windows、oracle等，后續(xù)的數(shù)字編號(hào)指基線要求的具體工程編

號(hào)，例如SBL-WebAPP-02-02-01是指Web應(yīng)用的平安基線，屬于此基線第二章身份與訪問控

制第二小節(jié)登錄用圖片驗(yàn)證碼的第一項(xiàng)要求，因此后續(xù)數(shù)字編號(hào)為02-02-01o

4.3平安基線組織及內(nèi)容

XXX信息技術(shù)部制定的平安基線主要分為兩大類，第一大類是應(yīng)用層基線，由于此層的

應(yīng)用系統(tǒng)多為定制開發(fā)，因此重在考慮設(shè)計(jì)、開發(fā)、測(cè)試環(huán)節(jié)引入的平安問題。Web應(yīng)用層

平安基線通常包括以下九個(gè)范疇的要求：

1）身份與訪問控制

2）會(huì)話管理

3）代碼質(zhì)量

4）內(nèi)容管理

5）防釣魚與防垃圾郵件

6）密碼算法

7）系統(tǒng)日志

8）安裝配直

9）平安維護(hù)

第二大類是通用的IT根底設(shè)施系統(tǒng)層基線，這類系統(tǒng)包括中間件、數(shù)據(jù)庫(kù)、操作系統(tǒng)

和網(wǎng)絡(luò)設(shè)備等，它們多為非定制標(biāo)準(zhǔn)化產(chǎn)品，原廠商技術(shù)支持較好，資料完整，因此這類平

安基線的內(nèi)容主要關(guān)注帳號(hào)口令、平安策略，補(bǔ)丁情況，網(wǎng)絡(luò)協(xié)議，日志等問題。

5.Web應(yīng)用平安基線標(biāo)準(zhǔn)

5.1身份與訪問控制

5.1.1賬戶鎖定策咯

平安基線工Web應(yīng)用賬戶鎖定策略平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-02-01-01

號(hào)

平安基線項(xiàng)用戶卷錄失敗一定次數(shù)后系統(tǒng)自動(dòng)鎖定賬號(hào)一段時(shí)間，以防止暴力猜想密碼。

說(shuō)明

檢測(cè)操作步嘗試使用錯(cuò)誤用戶名口令失敗登錄屢次，

驟

基線符合性用戶卷錄失敗一定次數(shù)后系統(tǒng)自動(dòng)鎖定賬號(hào)。

判定依據(jù)

備注

5.1.2登錄用圖片驗(yàn)證碼

平安基線工Web應(yīng)用登錄驗(yàn)證策略平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-02-02-01

號(hào)

平安基線項(xiàng)用戶登錄需提供圖片驗(yàn)證碼，以防止固定密碼暴力猜想賬號(hào)。

說(shuō)明

檢測(cè)操作步檢查登錄認(rèn)證界面輸入項(xiàng)，并右鍵點(diǎn)擊圖片查看鏈接屬性。

驟

基線符合性要求包含圖片臉證碼輸入項(xiàng)，并且圖片鏈接屬性不得包含明文圖片瞼證碼。

判定依據(jù)

備注

5.1.3口令傳輸

平安基線工Web應(yīng)用口令傳輸策略平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-02-03-01

號(hào)

平安基線項(xiàng)不能明文傳輸用戶登錄密碼。

說(shuō)明

檢測(cè)操作步嘗試登錄系統(tǒng)，并使用抓包工具查看交互過(guò)程中在網(wǎng)絡(luò)傳輸?shù)膬?nèi)容。

驟

基線符合性要求不得出現(xiàn)明文口令

判定依據(jù)

備注

5.1.4保存登錄功能

平安基線工Web應(yīng)用保存登錄平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-02-04-01

號(hào)

平安基線項(xiàng)不能提供“保存登錄〃功能，該功能可能被利用于CSRF攻擊。

說(shuō)明

檢測(cè)操作步檢查登錄界面是否提供了保存登錄功能

驟

基線符合性不得提供該功能。

判定依據(jù)

備注

5.1.5縱向訪問控制

平安基線工Web應(yīng)用縱向訪問平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-02-05-01

號(hào)

平安基線項(xiàng)合理進(jìn)展縱向訪問控制，不允許普通用戶訪問管理功能。

說(shuō)明

檢測(cè)操作步了解是否有不允許普通用戶訪問的功能，嘗試直接在瀏覽器中訪問功能甦接。

豚

基線符合性用戶不得跨權(quán)限訪問受控頁(yè)面

判定依據(jù)

備注

5.1.6橫向訪問控制

平安基線工Web應(yīng)用橫向訪問平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-02-06-01

號(hào)

平安基線項(xiàng)合理進(jìn)展橫向訪問控制，不允許用戶訪問其他用戶的敏感數(shù)據(jù)。

說(shuō)明

檢測(cè)操作步了解是否存在敏感信息，檢查是否對(duì)個(gè)人敏感信息進(jìn)展了有效保護(hù)

驟

基線符合性用戶不得跨權(quán)限查看其它用戶受保護(hù)敏感信息

判定依據(jù)

備注

5.1.7敏感資源的訪問

平安基線工Web應(yīng)用敏感資源訪問平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-02-07-01

號(hào)

平安基線項(xiàng)需要限制對(duì)敏感資源的訪問，例如后臺(tái)管理，日志記錄等。

說(shuō)明

檢測(cè)操作步檢查效勞器的文件是否存在敏感資源，測(cè)試是否限制了這些資源的訪問。

驟

基線符合性對(duì)鉞感資源的訪問應(yīng)當(dāng)受控。

判定依據(jù)

備注

5.2會(huì)話管理

5.2.1會(huì)話超時(shí)

平安基線工Web應(yīng)用會(huì)話超時(shí)平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-03-01-01

號(hào)

平安基線項(xiàng)當(dāng)用戶長(zhǎng)葉間不操作時(shí)，系統(tǒng)自動(dòng)終止超時(shí)會(huì)話。

說(shuō)明

檢測(cè)操作步登錄系統(tǒng)后不操作，等待合理的時(shí)間間隔。

驟

基線符合性要求預(yù)先設(shè)計(jì)的時(shí)間間隔后查看頁(yè)面自動(dòng)中止超時(shí)會(huì)話。

判定依據(jù)

備注

5.2.2會(huì)話終止

平安基線工Web應(yīng)用會(huì)話終止平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-03-02-01

號(hào)

平安基線項(xiàng)系統(tǒng)需提供“退出”功能，允許用戶強(qiáng)制終止當(dāng)前的會(huì)話。

說(shuō)明

檢測(cè)操作步登錄系統(tǒng)后點(diǎn)擊系統(tǒng)提供的“退出〃功能，然后在同一IE窗口下視圖回退到

驟登錄后的頁(yè)面，并訪問相應(yīng)的功能

基線符合性點(diǎn)擊退出后，上述檢測(cè)操作結(jié)果不成功

判定依據(jù)

備注

5.2.3會(huì)話標(biāo)識(shí)

平安基線工Web應(yīng)用會(huì)話標(biāo)識(shí)平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-03-03-01

號(hào)

平安基線項(xiàng)會(huì)話標(biāo)識(shí)必須足夠隨機(jī)，防止攻擊者猜想標(biāo)識(shí)或依據(jù)當(dāng)前標(biāo)識(shí)推導(dǎo)后續(xù)的標(biāo)

說(shuō)明識(shí)。

檢測(cè)操作步檢查多個(gè)會(huì)話標(biāo)識(shí)的格式。

驟

基線符合性多個(gè)會(huì)話標(biāo)識(shí)不得存在簡(jiǎn)單明了的邏輯關(guān)系，要求具有隨機(jī)性

判定依據(jù)

備注

5.2.4會(huì)話標(biāo)識(shí)復(fù)用

平安基線工Web應(yīng)用會(huì)話標(biāo)識(shí)復(fù)用平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-03-04-01

號(hào)

平安基線項(xiàng)用戶登錄后必須分配新的會(huì)話標(biāo)識(shí)，不能繼續(xù)使用用戶未登錄前所使用的標(biāo)

說(shuō)明識(shí)。

檢測(cè)操作步檢查登錄前后是否使用一樣的會(huì)話標(biāo)識(shí)。

驟

基線符合性用戶登錄后必須分配新的會(huì)話標(biāo)識(shí)，不能繼續(xù)使用用戶未登錄前所使用的標(biāo)

判定依據(jù)識(shí)。

備注

5.3代碼質(zhì)量

5.3.1防范跨站腳本攻擊

平安基線工Web應(yīng)用防范跨站腳本平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-04-01-01

號(hào)

平安基線項(xiàng)系統(tǒng)要防止將用戶輸入未經(jīng)檢查就直接輸出到用戶瀏覽器，防范跨站腳本攻

說(shuō)明擊。

檢測(cè)操作步檢查系統(tǒng)是否存在跨站腳本攻擊漏洞。例如在能夠回顯的輸入樞揄入

a<sccipt>alert("xss〃)</script>

基線符合性要求系統(tǒng)能夠?qū)⑤斎雰?nèi)容中的控制字當(dāng)作純文本內(nèi)容處理

判定依據(jù)

備注

5.3.2防范SQL注入攻擊

平安基線工Web應(yīng)用防范SQL注入平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-04-02-01

號(hào)

平安基線項(xiàng)系統(tǒng)要防止將用戶輸入未經(jīng)檢查就用于構(gòu)造數(shù)據(jù)庫(kù)查詢，防范SQL注入攻擊。

說(shuō)明

檢測(cè)操作步檢查系統(tǒng)是否存在SQL注入漏洞。例如在輸入框中輸入'

驟

基線符合性系統(tǒng)要使用諸如preparedstatement等方式防止SQL注入，將輸入內(nèi)容中的

判定依據(jù)控制字也當(dāng)作純文本處理

備注

5.3.3防止路徑遍歷攻擊

平安基線工Web應(yīng)用防范路徑遍歷平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-04-03-01

號(hào)

平安基線項(xiàng)系統(tǒng)要防止將用戶輸入未經(jīng)檢查就用于構(gòu)造文件路徑，防止路徑遍歷攻擊。

說(shuō)明

檢測(cè)操作步嘗試在URL與榆入中構(gòu)造文件路徑并查看頁(yè)面反響

驟

基線符合性不允許通過(guò)構(gòu)造文件路徑的方式直接查看文件

判定依據(jù)

備注

5.3.4防止命令注入攻擊

平安基線工Web應(yīng)用防范命令注入平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-04-04-01

號(hào)

平安基線項(xiàng)系統(tǒng)要防止將用戶輸入未經(jīng)檢查就用于構(gòu)造操作系統(tǒng)命令并執(zhí)行。

說(shuō)明

檢測(cè)操作步宏試在各個(gè)輸入點(diǎn)進(jìn)展命令注入攻擊

驟

基線符合性命令注入攻擊不得成功

判定依據(jù)

備注

5.3.5防止其他常見的注入攻擊

平安基線工Web應(yīng)用防范其它注入「安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-04-05-01

號(hào)

平安基線項(xiàng)防止系統(tǒng)存在LDAP注入、XML注入、XPATH注入、SMTP注入等漏洞。

說(shuō)明

檢測(cè)操作步嘗試在各個(gè)輸入點(diǎn)進(jìn)展其它常見注入攻擊

驟

基線符合性各類注入攻擊不得成功

判定依據(jù)

備注

5.3.6防止下載敏感資源文件

平安基線工Web應(yīng)用防范下載漏洞平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-04-06-01

號(hào)

平安基線項(xiàng)如果系統(tǒng)提供了下載功能，要防止用戶通過(guò)路徑遍歷漏洞下載敏感資源文件。

說(shuō)明

檢測(cè)操作步如果系統(tǒng)提供了下載功能，試圖通過(guò)路徑遍歷漏洞下載敏感資源文件。

驟

基線符合性各類下載攻擊不得成功

判定依據(jù)

備注

5.3.7防止上傳后門腳本

平安基線工Web應(yīng)用防范上傳漏洞平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-04-07-01

號(hào)

平安基線項(xiàng)如果系統(tǒng)提供了文件上傳功能，要防止用戶上傳后門腳本。

說(shuō)明

檢測(cè)操作步如果系統(tǒng)提供了上傳功能，試圖通過(guò)上傳功能上傳惡意文件。

a

基線符合性各類上傳攻擊不得成功

判定依據(jù)

備注

5.3.8保證多線程平安

平安基線工Web應(yīng)用多線程平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-04-08-01

號(hào)

平安基線項(xiàng)如果系統(tǒng)某資源可被多人同時(shí)修改，或被同一用戶經(jīng)過(guò)不同的方式同時(shí)修改，

說(shuō)明或被用戶線程與系統(tǒng)線程同時(shí)修改，需要保證多線程平安。

檢測(cè)操作步如果系統(tǒng)存在多線程問題，分析保護(hù)多線程訪問資源的平安解決方案

驟

基線符合性必須有適當(dāng)?shù)慕鉀Q方案

判定依據(jù)

備注

5.3.9保證釋放資源

平安基線工Web應(yīng)用釋放資源基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-04-09-01

號(hào)

平安基線項(xiàng)系統(tǒng)需保證在正常與異常流程時(shí)都能正確釋放不需要的資源，例如翻開的文

說(shuō)明件，數(shù)據(jù)店連接等。

檢測(cè)操作步分析正常與異常流程中資源釋放的動(dòng)作

a

基線符合性資源釋放覆蓋所有流程分支

判定依據(jù)

備注

5.4內(nèi)容管理

5.4.1加密存儲(chǔ)敏感信息

平安基線工Web應(yīng)用加密存儲(chǔ)敏感信息基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-05-01-01

號(hào)

平安基線項(xiàng)系統(tǒng)應(yīng)當(dāng)加密存儲(chǔ)敏感信息，如密碼、信用卡號(hào)等。

說(shuō)明

檢測(cè)操作步分析系統(tǒng)中敏感信息的存儲(chǔ)與加密

驟

基線符合性要求加密算法平安，對(duì)信息有適當(dāng)訪問控制

判定依據(jù)

備注

5.4.2防止泄露敏感技術(shù)細(xì)節(jié)

平安基線工Web應(yīng)用信息泄漏基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-05-02-01

號(hào)

平安基線項(xiàng)系統(tǒng)應(yīng)當(dāng)防止向用戶提示過(guò)多的技術(shù)細(xì)葦，防止被攻擊者利用。例如錯(cuò)誤信

說(shuō)明息中可能包含SQL語(yǔ)句，這有利于攻擊者構(gòu)造合法的攻擊字串；又如Html

中可能包含了技術(shù)性的注釋語(yǔ)句，可能被攻擊者利用。

檢測(cè)操作步分析各個(gè)頁(yè)面的源碼，查看提示頁(yè)面，尤其是出錯(cuò)提示頁(yè)面

驟

基線符合性各個(gè)頁(yè)面不得包含技術(shù)性注釋，各個(gè)提示頁(yè)面不得包含Web效勞器版本、源

判定依據(jù)代碼等信息

備注

5.5防釣魚與防垃圾郵件

5.5.1防釣魚

平安基線工Web應(yīng)用重定向基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-06-01-01

號(hào)

平安基線項(xiàng)系統(tǒng)應(yīng)當(dāng)防止通過(guò)用戶控制的參數(shù)來(lái)重定向或包含另外一個(gè)網(wǎng)站的內(nèi)容。

說(shuō)明

檢測(cè)操作步分析系統(tǒng)存在任意重定向或包含其它網(wǎng)站內(nèi)容的控制

驟

基線符合性不得由用戶控制的參數(shù)生成重定向

判定依據(jù)

備注

5.5.2防垃圾郵件

平安基線工Web應(yīng)用垃圾郵件基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-06-02-01

號(hào)

平安基”項(xiàng)如果系統(tǒng)提供了發(fā)送郵件的功能，應(yīng)當(dāng)防止被利用于發(fā)送垃圾郵件。

說(shuō)明

檢測(cè)操作步檢查系統(tǒng)發(fā)送郵件功能

驟

基線符合性不得存在沒用此功能的可能

判定依據(jù)

備注

5.6密碼算法

5.6.1平安算法

平安基線工Web應(yīng)用平安算法基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-07-01-01

號(hào)

平安基線項(xiàng)如果系統(tǒng)采用了密碼算法，應(yīng)當(dāng)采用平安的密碼算法，且符合算法的應(yīng)用場(chǎng)

說(shuō)明景。

檢測(cè)操作步檢查所有系統(tǒng)中使用的平安算法

躲

基線符合性不得使用已經(jīng)被證明為不平安的算法或者自定義不平安算法

判定依據(jù)

備注

5.6.2密與月管理

平安基線工Web應(yīng)用密鑰管理基線要求項(xiàng)

程名稱

平安基線編SBL-WebAPP-07-02-01

號(hào)

平安基線項(xiàng)如果系統(tǒng)采用了密碼算法，且擁有密鑰，那么應(yīng)當(dāng)有文檔化的密鑰管理方法

說(shuō)明并嚴(yán)格遵照?qǐng)?zhí)行。

檢測(cè)操作步檢查所有系統(tǒng)中使用的密鑰管理

驟

基線符合性不得使用不平安的密鑰管理方法

判定依據(jù)

備注

6.中間件平安基線內(nèi)容

6.1Apache平安配置基線

6.1.1日志配置

審核登錄

平安基線工Apache審核疊錄策略平安基線要求項(xiàng)

程名稱

平安基線編SBL-Apache_02-01-01

號(hào)

平安基線項(xiàng)設(shè)備應(yīng)配置日志功能，對(duì)運(yùn)行錯(cuò)誤、用戶訪問等進(jìn)展記錄，記錄內(nèi)容也括時(shí)

說(shuō)明間，用戶使用的IP地址等內(nèi)容。

檢測(cè)操作步1、參考配置操作

驟編輯dconf配置文件，設(shè)置日志記錄文件、記錄內(nèi)容、記錄格式。

LogLeveInotice

ErrorLoglogs/error_log

LogFormat"%h%l%u%t\"%r\"%>s%b\"%{Accept)i\"\"%{Referer)i\"

\"%{User-Agent}i\""combined

CustomLoglogs/accesslogcombined

ErrorLog指令設(shè)置錯(cuò)誤日志文件名和位置。錯(cuò)誤日志是最重要的日志文件，

Apached將在這個(gè)文件中存放診斷信息和處理請(qǐng)求中出現(xiàn)的錯(cuò)誤。假設(shè)

要將錯(cuò)誤日志送到Syslog,那么設(shè)置:ErrorLogsyslogo

CustomLog指令設(shè)置訪問日志的文件名和位置。訪問日志中會(huì)記錄效勞器所

處理的所有請(qǐng)求。

LogFormat設(shè)置日志格式。LogLevel用于調(diào)整記錄在錯(cuò)誤日志中的信息的詳

細(xì)程度，建議設(shè)置為notice。

基線符合性1、判定條件

判定依據(jù)查看logs目錄中相關(guān)日志文件內(nèi)容，記錄完整。

2、檢測(cè)操作

查看相關(guān)日志記錄。

3、補(bǔ)充說(shuō)明

備注

6.1.2訪問權(quán)限

6.1.2.1制止訪問外部文件

平安基線工Apache目錄訪問權(quán)限平安基線要求項(xiàng)

程名稱

平安基線編SBL-Apache-03-01-01

號(hào)

平安基線項(xiàng)制止Apache訪問Web目錄之外的任何文件。

說(shuō)明

檢測(cè)操作步1、參考配置操作

驟編輯dconf配置文件，

<Directory/>

OrderDen/,Allow

DenyfromaII

</Directory>

2、補(bǔ)充操作說(shuō)明

設(shè)置可訪問目錄，

<Directory/web>

OrderAllow,Deny

AllowfromaII

</Directory>

其中/web為網(wǎng)站根目錄。

基線符合性1、判定條件

判定依據(jù)無(wú)法訪問Web目錄之外的文件。

2、檢測(cè)操作

訪問效勞器上不屬于Web目錄的一個(gè)文件，結(jié)果應(yīng)無(wú)法顯示。

3、補(bǔ)充說(shuō)明

備注

6.1.3防攻擊管理

錯(cuò)誤頁(yè)面處理

平安基線工Apache錯(cuò)誤頁(yè)面平安基線要求項(xiàng)

程名稱

平安基線編SBL-Apache_03-02-01

號(hào)

平安基線項(xiàng)Apache錯(cuò)誤頁(yè)面重定向

說(shuō)明

檢測(cè)操作步1、參考配更操作

驟(1)修改d.conf配置文件：

ErrorDocument400/custom400.html

ErrorDocument401/custom401.html

ErrorDocument403/custom403.html

ErrorDocument404/custom404.html

ErrorDocument405/custom405.html

ErrorDocument500/custom500.html

Customxxxhtml為要設(shè)置的錯(cuò)誤頁(yè)面。

(2)重新啟動(dòng)Apache效勞

基線符合性1、判定條件

判定依據(jù)指向指定錯(cuò)誤頁(yè)面

2、檢測(cè)操作

URL地址欄中輸入://ip/xxxxxxx"~~〔一個(gè)不存在的頁(yè)面〕

備注

6.1.3.2目錄列表訪問限制

平安基線工Apache目錄列表平安基線要求項(xiàng)

程名稱

平安基線編SBL-Apache_03-02-02

號(hào)

平安基線項(xiàng)制止Apache列表顯示文件

說(shuō)明

檢測(cè)操作步1、參考配直操作

驟(1)編輯d.conf配置文件，

<Directory"/web">

OptionsFoIIowSymLinks

Allov/OverrideNone

Orderallow,deny

AllowfromaII

</Directory>

將OptionsIndexesFolIowSymLinks中的Indexes去掉，就可以制止Apache

顯示該目錄構(gòu)造。Indexes的作用就是當(dāng)該目錄下沒有index.html文件時(shí)，

就顯示目錄構(gòu)造。

(2)設(shè)置Apache的默認(rèn)頁(yè)面，編輯%apache%\conf\d.conf配置文件，

<lfModuledir_moduIe>

DirectoryIndexindex.html

</lfModule>

其中index,html即為默認(rèn)頁(yè)面，可根據(jù)晴況改為其它文件。

(3)重新啟動(dòng)Apache效勞

基線符合性1、判定條件

判定依據(jù)當(dāng)WEB目錄中沒有默認(rèn)首頁(yè)如index,html文件時(shí)，不會(huì)列出目錄內(nèi)容

2、檢測(cè)操作

直接訪問：//ip：8800/xxx〔xxx為某一目錄〕

備注

刪除無(wú)用文件

平安基線工Apache無(wú)用文件平安基線要求項(xiàng)

程名稱

平安基線編SBL-Apache_03-02-04

號(hào)

平安基線項(xiàng)刪除塊省安裝的無(wú)用文件。

說(shuō)明

檢測(cè)操作步1、參考配優(yōu)操作

驟刪除較省HTML文件：

#rm-rf/usr/1ocaI/apache2/htdocs/*

刪除缺省的CGI腳本：

#rm-rf/usr/local/apache2/cgi-bin/*

刪除Apache說(shuō)明文件：

#rm-rf/usr/local/apache2/manuaI

刪除源代碼文件：

#rm-rf/path/to/d-2.2.4*

根據(jù)安裝步臊不同和版本不同，某些目錄或文件可能不存在或位罹不同。

基線符合性1、判定條件

判定依據(jù)2、檢測(cè)操作

檢查對(duì)應(yīng)目錄。

備注

隱藏敏感信息

平安基線工Apache隱藏,敏感信息可安基線要求項(xiàng)

程名稱

平安基線編SBL-Apache-03-02-05

號(hào)

平安基線項(xiàng)隱藏Apache的版本號(hào)及其它敏感信息。

說(shuō)明

檢測(cè)操作步1、參考配更操作

驟修改d.conf配置文件：

ServerSignatureOff

ServerTokensProd

基線符合性1、判定條件

判定依據(jù)2、檢測(cè)操作

檢查配置文件。

備注

6.2WebSphere平安配置基線

6.2.1帳號(hào)管理

6.2.1.1應(yīng)用程序角色

平安基線工WebSphere應(yīng)用程序角色平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebSphere-02-01-01

號(hào)

平安基線項(xiàng)要求為應(yīng)用用戶定義適宜6勺角色

說(shuō)明

檢測(cè)操作步以管理員身份翻開管理控制臺(tái)，執(zhí)行：

驟1.點(diǎn)擊“應(yīng)用程序〃―〃企業(yè)應(yīng)用程序〃

2.雙擊要查看的應(yīng)用程序

3.點(diǎn)擊“其它屬性〃中的〃映射平安性角色到用戶/組〃

基線符合性要求平安角色映射到“每個(gè)用戶”、”所有已認(rèn)證用戶〃、“已映射的用戶〃、

判定依據(jù)“已映射的組〃

備注

6.2.1.2控制臺(tái)帳號(hào)平安

平安基線工WebSphere控制臺(tái)帳號(hào)平安平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebSphere-02-01-02

號(hào)

平安基線項(xiàng)特權(quán)管理帳號(hào)在多個(gè)用戶間共享，會(huì)引發(fā)很多平安問題，企業(yè)無(wú)法控制配置

說(shuō)明上的平安，不易定位平安事件責(zé)任人，同時(shí)特權(quán)帳號(hào)非法使用者還可抹去審計(jì)

信息

檢測(cè)操作步以管理員身份翻開管理控制臺(tái)，執(zhí)行：

驟1.點(diǎn)擊“系統(tǒng)管理〃—）〃控制臺(tái)設(shè)置〃~＞“控制臺(tái)用戶〃

2.點(diǎn)擊要查看的用戶名

3.查看用戶所屬組

基線符合性要求不得出現(xiàn)共用特權(quán)管理帳號(hào)，管理帳號(hào)必須按角色分配用戶角色為

判定依據(jù)monitor〔監(jiān)控員〕、Configurator（配置員）、Operator［操作員）

Administrator（管理員）之一

備注

6.2.1.3口令管理

平安基線工WebSphere口令平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebSphere-02-01-03

號(hào)

平安基線項(xiàng)不得在自動(dòng)運(yùn)行腳本、控制命令等地方出現(xiàn)Websphere明文口令，例如cron

說(shuō)明腳本

檢測(cè)操作步以root身份執(zhí)行：

驟#ps-ef|grep-iV/ebSphere

#su-WebSphere_username-ccrontab-I"

#crontab-I

基線符合性要求回顯內(nèi)容中不含口令字

判定依據(jù)

備注提供3類賬號(hào)給4A,有4A根據(jù)密碼設(shè)置要求進(jìn)展定期修改，應(yīng)用系統(tǒng)必須

支持生產(chǎn)賬號(hào)密碼定期修改等密碼設(shè)置要求，速議無(wú)需人工干預(yù)。

6.2.2認(rèn)證授權(quán)

6.2.2.1控制臺(tái)平安

平安基線工WebSphere控制臺(tái)平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebSphere-02-02-01

號(hào)

平安基線項(xiàng)Cosnaming效勞權(quán)限設(shè)置過(guò)大會(huì)引入平安隱患

說(shuō)明

檢測(cè)操作步以管理員身份翻開管理控制臺(tái)，執(zhí)行：

驟1.點(diǎn)擊“環(huán)境〃一＞命名一＞C0RBA命名效勞用戶

2.查看效勞用戶

3.點(diǎn)擊“環(huán)境〃一＞命名一＞C0RBA命名效勞組

4.查看效勞組授權(quán)

基線符合性要求EVERYONE組已刪除，并且ALL_AUTHENTICATED組角色僅設(shè)為"控制臺(tái)命

判定依據(jù)名讀〃

備注

6.2.2.2全局平安性與Java2平安

平安基線工WebSphere全局平安性與Java2平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebSphere-02-02-02

號(hào)

平安基線項(xiàng)啟用全局平安性，控制登錄管理控制臺(tái)，同時(shí)應(yīng)用程序?qū)⒖梢允褂肳ebSphere

說(shuō)明的平安特性，Java2平安性在J2EE基于角色的授權(quán)之上提供訪問控制保護(hù)

的額外級(jí)別。它特別處理系統(tǒng)資源和API的保護(hù)，不啟用Java2平安性會(huì)

極大減弱應(yīng)用的平安強(qiáng)度。

檢測(cè)操作步1.翻開管理控制臺(tái)

驟2.點(diǎn)擊“平安性〃一〉〃全局平安性〃

查看“啟用全局平安性〃和“強(qiáng)制Java2平安性〃是否啟用

基線符合性要求“啟用全局平安性〃和“強(qiáng)制Java2平安性〃啟用

判定依據(jù)

備注

6.2.3日志配置

6.2.3.1日志與記錄

平安基線工WebSphere日志記錄平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebSphere-03-01-01

號(hào)

平安基線項(xiàng)啟用日志可以回溯事件進(jìn)展檢查或?qū)徲?jì)，日志詳細(xì)信息級(jí)別如果配置不當(dāng)，

說(shuō)明會(huì)缺少必要的審計(jì)信息

檢測(cè)操作步以管理員身份翻開管理控制臺(tái)，執(zhí)行：

腺1.查看設(shè)番日志的輸出屬性：

在導(dǎo)航窗格中，單擊效勞器）應(yīng)用程序放勞器一〉單擊您要使用的效勞器的

名稱一》在“故障診斷〃下面，單擊日志記錄和跟蹤一＞單擊要配置的系統(tǒng)日

志〔診斷跟蹤、靜態(tài)更改，單擊〃配置〃選項(xiàng)卡，動(dòng)態(tài)更改點(diǎn)擊〃運(yùn)行時(shí)〃選

項(xiàng)卡。

2.查看日志設(shè)置日志級(jí)別。

在導(dǎo)航窗格中，單擊效勞器）應(yīng)用程序效勞器一〉單擊您要使用的效勞器的名

稱。

--＞在“故障診斷〃下面，單擊日志記錄和跟蹤，查看日志詳細(xì)信息級(jí)別

基線符合性要求啟用所有日志，并配置日志詳細(xì)信息級(jí)別為*=info:

判定依據(jù)SecurityManager=aII:SystemOut=a11

備注

6.2.4備份容錯(cuò)

6.2.4.1備份容錯(cuò)

平安基線工WebSphere備份容錯(cuò)平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebSphere-04-01-01

號(hào)

平安基線項(xiàng)某非法操作或誤操作可能導(dǎo)致效勞器崩潰，需要對(duì)WebSphere的配置文件進(jìn)

說(shuō)明展日常備份保護(hù)，保證應(yīng)用系統(tǒng)的可用性.

檢測(cè)操作步訪談與實(shí)地了解針對(duì)Web應(yīng)用的當(dāng)前備份容錯(cuò)機(jī)制

驟

基線符合性要求備份定錯(cuò)機(jī)制中針對(duì)配置文件、主程序等的備份周期，介質(zhì)及內(nèi)容到達(dá)

判定依據(jù)Web應(yīng)用需求

備注

6.2.5平安管理

6.2.5.1例如程序刪除

平安基線工WebSphere例如程序刪除平安基線要求項(xiàng)

程名稱

平安基線編SBL-WebSphere-05~01-02

號(hào)

平安基線項(xiàng)

sample例子程序會(huì)泄露系統(tǒng)敏感信息，存在較大的平安隱患

說(shuō)明

檢測(cè)操作步以管理員身份翻開管理控制臺(tái)，執(zhí)行：

驟1.點(diǎn)擊“應(yīng)用程序〃一）〃企業(yè)應(yīng)用程序〃

基線符合性不得存在"DefauItAppIication*、*1PIantsByWebSphere"、

判定依據(jù)“SamplesGaIIery"、"ivtApp"等例子程序

備注

6.2.5.2錯(cuò)誤頁(yè)面處理

平安基線工WebSphere錯(cuò)誤頁(yè)面平安基線要求項(xiàng)