系统安全配置技术规范-Websphere.doc

系统安全配置技术规范—Webphere 版本 V 日期 文档编号 文档发布 文档说明 （一）变更信息 版本号 变更日期 变更者 变更理由/变更内容 备注 （二）文档审核人 姓名 职位 签名 日期 目 录 1. 适用范围 4 2. 帐号管理与授权 4 2.1 【基本】控制台帐号安全 4 2.2 【基本】帐号的口令安全 4 2.3 【基本】为应用用户定义合适的角色 5 2.4 【基本】控制台安全 5 2.5 【基本】全局安全性与Java2安全 6 3. 日志配置要求 6 3.1 【基本】开启应用日志记录 6 4. 服务配置要求 7 4.1 【基本】禁止列表显示文件 7 4.2 【基本】禁止浏览列表显示目录 7 4.3 【基本】删除示例程序 8 4.4 【基本】控制台超时设置 8 4.5 【基本】更新WebSphere补丁 8 4.6 【基本】备份容错 9 4.7 设置错误页面 9 4.8 配置SSL访问 9 4.9 控制目录权限 11 5. 操作系统配置要求 11  适用范围 如无特殊说明，本规范所有配置项适用于IBM WebSphere Application Server (WAS) 6.x,7.x，8.x版本。其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。 帐号管理与授权 【基本】控制台帐号安全 配置项描述 配置WebSphere控制台帐号安全，要求按权利需要分配不同用户角色，同时保证权限最小化 检查方法 以管理员身份打开管理控制台,执行： 点击“系统管理”-->”控制台设置”-->“控制台用户” 点击要查看的用户名 查看用户所属组 操作步骤 要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为monitor（监控员）、Configurator(配置员)、Operator（操作员）Administrator(管理员)之 回退操作 回退到原有的配置设置 操作风险 低风险 【基本】帐号的口令安全 配置项描述 配置WebSphere口令安全，要求用户口令至少6位，包括大小写，数字和符号中的至少两种 检查方法 询问管理员是否存在如下类似的简单用户密码配置，比如： Test、netscreen、admin、root1234 操作步骤 检查用户口令的设置情况，检查是否存在简单密码。要求密码长度最少为6位，包含大小写字母、数字和特殊符号，密码变更周期。 回退操作 回退到原有的配置设置 操作风险 低风险 【基本】为应用用户定义合适的角色 配置项描述 为应用用户定义合适的角色，根据用户的需求，为用户分配不同的权限 检查方法 以管理员身份打开管理控制台,执行： 点击“应用程序”-->”企业应用程序” 双击要查看的应用程序 点击“其它属性”中的”映射安全性角色到用户/组” 操作步骤 要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组” 以管理员身份打开管理控制台,执行： 点击“应用程序”-->”企业应用程序” 双击要查看的应用程序 点击“其它属性”中的”映射安全性角色到用户/组”，编辑用户角色 回退操作 回退到原有的配置设置 操作风险 需要确认应用程序用户角色 【基本】控制台安全 配置项描述 设置WebSphere控制台安全，要求EVERYONE组已删除，并且ALL_AUTHENTICATED组角色仅设为”控制台命名读” 检查方法 以管理员身份打开管理控制台,执行： 点击“环境”-->命名-->CORBA 命名服务用户 查看服务用户 点击“环境”-->命名-->CORBA 命名服务组 查看服务组授权 操作步骤 以管理员身份打开管理控制台,执行： 点击“环境”-->命名-->CORBA 命名服务用户 编辑服务用户 点击“环境”-->命名-->CORBA 命名服务组 编辑服务组授权 回退操作 回退到原有的配置设置 操作风险 低风险 【基本】全局安全性与Java2安全 配置项描述 Java 2安全性在 J2EE 基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和 API 的保护，不启用Java2 安全性会极大减弱应用的安全强度。 检查方法 打开管理控制台 点击“安全性”-->”全局安全性” 查看“启用全局安全性”和“强制Java 2安全性”是否启用 操作步骤 打开管理控制台 点击“安全性”-->”全局安全性” 勾选“启用全局安全性”和“强制Java 2安全性” 回退操作 回退到原有的配置设置 操作风险 低风险 日志配置要求 【基本】开启应