WebLogicWeb服務(wù)器安全配置基線要點_第1頁
WebLogicWeb服務(wù)器安全配置基線要點_第2頁
WebLogicWeb服務(wù)器安全配置基線要點_第3頁
WebLogicWeb服務(wù)器安全配置基線要點_第4頁
WebLogicWeb服務(wù)器安全配置基線要點_第5頁
已閱讀5頁,還剩8頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、中國移動通信CHINA MOBILEWebLogic Web服務(wù)器安全配置基線WebLogic Web 服務(wù)器安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年4月V2.0更新2012年4月備注:1 .若此文檔需要日后更新,請創(chuàng)建人填寫版本控制表格,否則刪除版本控制表格。中國移動集團公司第3頁共12頁中國移動通信CHINA MOBILEWebLogic Web服務(wù)器安全配置基線目錄第1章概述41.1 目的41.2 適用范圍41.3 適用版本41.4 實施41.5 例外條款4第2章帳號管理、認證授權(quán) 52.1 帳號52.1.1

2、 系統(tǒng)啟動帳號52.1.2 帳號鎖定策略52.2 口令62.2.1 密碼復(fù)雜度6第3章日志配置操作73.1 日志配置73.1.1 審核登錄7第4章 IP協(xié)議安全配置 84.1 IP 協(xié)議84.1.1 支持加密協(xié)議 84.1.2 限制應(yīng)用服務(wù)器Socket數(shù)量 84.1.3 禁用 Send Server Header 9第5章設(shè)備其他配置操作 105.1 安全管理 105.1.1 定時登出105.1.2 更改默認端口 * 105.1.3 錯誤頁面處理 115.1.4 目錄列表訪問限制 11第6章評審與修訂12第1章概述1.1 目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護管理的Web

3、Logic Web服務(wù)器應(yīng)當遵循的安全性設(shè)置標準, 本文檔旨在指導系統(tǒng)管理人員進行 WebLogic Web服務(wù)器 的安全配置。1.2 適用范圍本配置標準的使用者包括:服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標準適用的范圍包括:支持中國移動集團公司管理信息系統(tǒng)部運行的WebLogicWeb服務(wù)器系統(tǒng)。1.3 適用版本8.x 9.x 10.x 版本的 WebLogic Web 服務(wù)器。1.4 實施本標準的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部,在本標準的執(zhí)行過程中若有任何疑問或建議,應(yīng)及時反饋。本標準發(fā)布之日起生效。1.5 例外條款欲申請本標準的例外條款,申請人必須準備書面申請

4、文件,說明業(yè)務(wù)需求和原因,送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。第2章帳號管理、認證授權(quán)2.1 帳號2.1.1系統(tǒng)啟動帳號安全基線項 目名稱WebLogic啟動帳號女全基線要求項安全基線編 號SBL-WebLogic-02-01-01安全基線項 說明要求限制帳號檢測操作步 驟1、參考配置操作查看以管理員身份登錄控制臺執(zhí)行 # ps pf| grep T weblogic基線符合性 判定依據(jù)1、判定條件執(zhí)仃帳號不可以是 root和nobody。備注2.1.2帳號鎖定策略安全基線項 目名稱WebLogic帳號鎖定安全基線要求項安全基線編 號SBL-WebLogic-02-01-02安

5、全基線項 說明要求設(shè)定帳號鎖定次數(shù)和時間,錯誤輸入密碼10次,系統(tǒng)自動鎖定,鎖定時間5分鐘。檢測操作步 驟1、參考配置操作查看以管理員身份登錄控制臺1 .點擊左側(cè)面板"Security”文件夾,展開"REALM ”2 .點擊右側(cè)面板中的User Lock標簽,查看 Lockout Enabled , LockoutThreshold , Lockout Duration 等基線符合性 判定依據(jù)1、判定條件要求 Lockout Enabled=true;Lockout Threshold=10;Lockout Duration=5備注2.2 口令2.2.1密碼復(fù)雜度安全基線項

6、 目名稱WebLogic號碼復(fù)雜度女全基線要求項安全基線編 號SBL-WebLogic-02-02-01安全基線項 說明對于米用靜態(tài)口令認證技術(shù)白設(shè)備,口令長度至少8位,并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每 90天進行更換。檢測操作步 驟1、參考配置操作查看 WebLogic安裝目錄下的 perties 配直文件2、補充操作說明口令要求:口令長度至少8位,并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。 且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進行更換?;€符合性 判定依據(jù)1、判定條件webl

7、ogic.system.minPasswordLen=8 等備注中國移動集團公司第13頁共12頁第3章日志配置操作3.1 日志配置3.1.1審核登錄安全基線項 目名稱WebLogic審核登錄安全基線要求項安全基線編 號SBL-WebLogic-03-01-01安全基線項 說明設(shè)備應(yīng)配置日志功能,對用戶登錄進行記錄,記錄內(nèi)容包括用戶登錄使用的帳號,登錄是否成功,登錄時間,以及遠程登錄時,用戶使用的IP地址。檢測操作步 驟1、參考配置操作查看 WebLogic安裝目錄下的 perties配直文件基線符合性 判定依據(jù)1、判定條件開啟日志,配置按日期rotateweblogic

8、.system.enableReverseDNSLookups=true備注第4章IP協(xié)議安全配置4.1 IP協(xié)議4.1.1支持加密協(xié)議安全基線項 目名稱WebLogic支持加留協(xié)議女全基線要求項安全基線編 號SBL-WebLogic-04-01-01安全基線項 說明對于通過HTTP協(xié)議進行遠程維護的設(shè)備,設(shè)備應(yīng)支持使用HTTPS等加密協(xié)議。檢測操作步 驟1、參考配置操作查看 WebLogic安裝目錄下的 perties配直文件基線符合性 判定依據(jù)1、判定條件weblogic.system.SSLListenPort=portNumber weblogic.securi

9、ty.certificate.server= mycert.der weblogic.security.key.server= mykey.der weblogic.security.certificate.authority= CA.der weblogic.security.certificateCacheSize= 5 weblogic.security.clientRootCA= anyValidCertificate weblogic.httpd.register.authenticated= weblogic.t3.srvr.ClientAuthenticationServlet

10、weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA SSL Enabled="true"備注4.1.2 限制應(yīng)用服務(wù)器 Socket數(shù)量安全基線項 目名稱WebLogic限制應(yīng)用服務(wù)器Socket數(shù)重女全基線要求項安全基線編 號SBL-WebLogic-04-01-02安全基線項 說明Sockets最大打開數(shù)目設(shè)置不當?shù)脑?,容易受到拒絕服務(wù)攻擊,超出操作系統(tǒng)文件描述符限制檢測操作步1、參考配置操作驟以管理員身份登錄管理控制臺1 .點擊左側(cè)面板的域名文件夾,然后點擊Servers文件夾

11、,雙擊要管理的服務(wù)器2 .在右側(cè)圓板的 Configuration圓板下選擇 Tuning標簽,查看Maximum Open Sockets 值基線符合性 判定依據(jù)1、判定條件要求 Maximum Open Sockets 不大丁 1024。備注4.1.3 禁用 Send Server Header安全基線項 目名稱WebLogic禁用Send Server Header女全基線要求項安全基線編 號SBL-WebLogic-04-01-03安全基線項 說明Sockets最大打開數(shù)目設(shè)置不當?shù)脑?,容易受到拒絕服務(wù)攻擊,超出操作系統(tǒng)文件描述符限制檢測操作步 驟1、參考配置操作以管理員身份登錄管理控

12、制臺1 .點擊域名卜的Servers文件夾,選擇要管理的服務(wù)器2 .在右側(cè)圓板 Protocols圓板下,點擊 HTTP標簽3 .檢查是否勾選 Send Server header基線符合性 判定依據(jù)1、判定條件要求禁止 Send Server header備注第5章設(shè)備其他配置操作5.1安全管理5.1.1定時登由安全基線項 目名稱WebLogic te時登出女全基線要求項安全基線編 號SBL-WebLogic-05-01-01安全基線項 說明對于具備字符交互界面的設(shè)備,應(yīng)支持定時帳戶自動登出。登出后用戶需再 次登錄才能進入系統(tǒng)。檢測操作步 驟1、參考配置操作查看 WebLogic安裝目錄下的

13、 perties配直文件 自動登出時間為5分鐘?;€符合性 判定依據(jù)1、判定條件weblogic.login.readTimeoutMillis=integerweblogic.login.readTimeoutMillisSSL=integer備注5.1.2更改默認端口 *安全基線項 目名稱WebLogic運行端口女全基線要求項安全基線編 號SBL-WebLogic-05-01-02安全基線項 說明更改WebLogic服務(wù)器默認端口檢測操作步 驟1、參考配置操作查看 WebLogic安裝目錄下的 perties配直文件基線符合性 判定依據(jù)1、判

14、定條件weblogic.system.listenPort= integer備注根據(jù)應(yīng)用場景的不向,如部署場景需開啟此功能,則強制要求此項??赡軙?影響系統(tǒng)。5.1.3錯誤頁面處理安全基線項 目名稱WebLogic錯誤貝囿處理女全基線要求項安全基線編 號SBL-WebLogic-05-01-03安全基線項 說明WebLogic錯誤貝的重te向檢測操作步 驟1、參考配置操作查育Application HOME>/WEB-INF/web.xml:基線符合性 判定依據(jù)1、判定條件要求包含如下片段:<error-page>+J< exc eption- typ e> * </exc eption-typ<location> error html</location>+J</error-page>+,備注5.1.4目錄列表訪問限制安全基線項 目名稱WebLogic目

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論