系统安全配置技术规范-Websphere.doc

系统安全配置技术规范—Websphere版本 V0.9日期 2013-06-03文档编号文档发布2文档说明（一）变更信息版本号 变更日期 变更者 变更理由/变更内容 备注（二）文档审核人姓名 职位 签名 日期3目 录1. 适用范围 ......................................................................................................................................42. 帐号管理与授权 ..........................................................................................................................42.1 【基本】控制台帐号安全 ......................................................................................................42.2 【基本】帐号的口令安全 ......................................................................................................42.3 【基本】为应用用户定义合适的角色 ..................................................................................52.4 【基本】控制台安全 ..............................................................................................................52.5 【基本】全局安全性与 JAVA2 安全 .....................................................................................63. 日志配置要求 ..............................................................................................................................63.1 【基本】开启应用日志记录 ..................................................................................................64. 服务配置要求 ..............................................................................................................................74.1 【基本】禁止列表显示文件 ..................................................................................................74.2 【基本】禁止浏览列表显示目录 ..........................................................................................74.3 【基本】删除示例程序 ..........................................................................................................84.4 【基本】控制台超时设置 ......................................................................................................84.5 【基本】更新 WEBSPHERE 补丁 ...........................................................................................84.6 【基本】备份容错 ..................................................................................................................94.7 设置错误页面 .....................................................................................................................94.8 配置 SSL 访问 ....................................................................................................................94.9 控制目录权限 ...................................................................................................................115. 操作系统配置要求 ....................................................................................................................1141. 适用范围如无特殊说明，本规范所有配置项适用于 IBM WebSphere Application Server (WAS) 6.x,7.x，8.x 版本。

其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未标示“ 基本” 字样的配置项，请各系统管理员视实际需求酌情遵从2. 帐号管理与授权【基本】控制台帐号安全配置项描述 配置 WebSphere 控制台帐号安全，要求按权利需要分配不同用户角色，同时保证权限最小化检查方法以管理员身份打开管理控制台,执行：1. 点击“系统管理””控制台设置”“ 控制台用户”2. 点击要查看的用户名3. 查看用户所属组操作步骤要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为monitor（监控员） 、Configurator(配置员)、Operator （操作员）Administrator(管理员)之回退操作 回退到原有的配置设置操作风险 低风险2.2 【基本】帐号的口令安全配置项描述 配置 WebSphere 口令安全，要求用户口令至少 6 位，包括大小写，数字和符号中的至少两种检查方法 询问管理员是否存在如下类似的简单用户密码配置，比如：Test、netscreen、admin 、root1234操作步骤 检查用户口令的设置情况，检查是否存在简单密码要求密码长度最少为6 位，包含大小写字母、数字和特殊符号，密码变更周期。

回退操作 回退到原有的配置设置5操作风险 低风险2.3 【基本】为应用用户定义合适的角色配置项描述 为应用用户定义合适的角色，根据用户的需求，为用户分配不同的权限检查方法以管理员身份打开管理控制台,执行：1. 点击“应用程序””企业应用程序”2. 双击要查看的应用程序3. 点击“其它属性” 中的” 映射安全性角色到用户 /组”操作步骤要求安全角色映射到“每个用户“、 “所有已认证用户”、 “已映射的用户”、 “已映射的组”以管理员身份打开管理控制台,执行：1. 点击“应用程序””企业应用程序”2. 双击要查看的应用程序3. 点击“其它属性” 中的” 映射安全性角色到用户 /组”，编辑用户角色回退操作 回退到原有的配置设置操作风险 需要确认应用程序用户角色2.4 【基本】控制台安全配置项描述 设置 WebSphere 控制台安全，要求 EVERYONE 组已删除，并且ALL_AUTHENTICATED 组角色仅设为”控制台命名读”检查方法以管理员身份打开管理控制台,执行：1. 点击“环境”命名CORBA 命名服务用户2. 查看服务用户3. 点击“环境”命名CORBA 命名服务组4. 查看服务组授权操作步骤以管理员身份打开管理控制台,执行：1. 点击“环境”命名CORBA 命名服务用户2. 编辑服务用户3. 点击“环境”命名CORBA 命名服务组4. 编辑服务组授权回退操作 回退到原有的配置设置操作风险 低风险62.5 【基本】全局安全性与 Java2 安全配置项描述Java 2 安全性在 J2EE 基于角色的授权之上提供访问控制保护的额外级别。

它特别处理系统资源和 API 的保护，不启用 Java2 安全性会极大减弱应用的安全强度检查方法1. 打开管理控制台2. 点击“安全性””全局安全性”查看“启用全局安全性” 和“ 强制 Java 2 安全性”是否启用操作步骤1. 打开管理控制台2. 点击“安全性””全局安全性”3. 勾选“启用全局安全性” 和“ 强制 Java 2 安全性” 回退操作 回退到原有的配置设置操作风险 低风险3. 日志配置要求【基本】开启应用日志记录配置项描述 开启 WebSphere 日志记录，对设备运行状况、网络流量、用户行为等进行日志记录检查方法以管理员身份打开管理控制台,执行：1. 查看设置日志的输出属性： 在导航窗格中，单击服务器 > 应用程序服务器单击您要使用的服务器的名称在“ 故障诊断”下面，单击日志记录和跟踪单击要配置的系统日志（诊断跟踪、静态更改，单击”配置”选项卡,动态更改点击”运行时”选项卡 2. 查看日志设置日志级别 在导航窗格中，单击服务器 > 应用程序服务器单击您要使用的服务器的名称 在“故障诊断”下面，单击日志记录和跟踪,查看日志详细信息级别操作步骤 要求启用所有日志，并配置日志详细信息级别为*=info: SecurityManager=all: SystemOut=all回退操作 回退到原有的配置设置操作风险 占用一定磁盘空间74. 服务配置要求【基本】禁止列表显示文件配置项描述 WebSphere 文件访问，禁止 WebSphere 列表显示文件检查方法查看 fileServingEnabled 参数设置文件该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm-web-ext.xmi 文件中$WAS_HOME//config/cells//applications/.ear/.war/WEB-INF/ibm-web-ext.xmi操作步骤修改 fileServingEnabled 参数设置为 false该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm-web-ext.xmi 文件中$WAS_HOME//config/cells//applications/.ear/.war/WEB-INF/ibm-web-ext.xmi要求 fileServingEnabled=”false”回退操作修改 fileServingEnabled 参数设置为原有参数该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm-web-ext.xmi 文件中$WAS_HOME//config/cells//applicati。