中间件安全基线配置标准

Tomcat中间件安全配置基线加固操作指导书
佛山供电局信息中心
2014年4月
目录
1.1 Tomcat安全基线要求 (3)
1.1.1 对登录Tomcat的用户进行身份鉴别 (3)
1.1.2 限制管理中间件用户权限 (3)
1.1.3 修改默认口令 (4)
1.1.4 访问日志审计功能 (4)
1.1.5 保护日志审计 (5)
1.1.6 限制超时连接 (5)
1.1.7 修改SHUTDOWN字符串 (5)
1.1.8 禁止目录遍历操作 (6)
1.1.9 防止版本信息泄漏 (6)
1.1.10 自定义错误信息 (7)
1.1 Tomcat安全基线要求
1.1.1 对登录Tomcat的用户进行身份鉴别
1.1.2 限制管理中间件用户权限
1.1.3 修改默认口令
1.1.4 访问日志审计功能
1.1.5 保护日志审计
1.1.6 限制超时连接
1.1.7 修改SHUTDOWN字符串
1.1.8 禁止目录遍历操作
1.1.9 防止版本信息泄漏
1.1.10 自定义错误信息。

（安全管理）中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳版本号：1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS199《联邦信息和信息系统安全分类标准》◆FIPS200《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。

各类操作系统安全配置要求及操作指南检查模块支持系统版本号Windows Windows 2000 以上Solaris Solaris 8 以上AIX AIX 5.X以上HP-UNIX HP-UNIX 11i以上Linux 内核版本2.6以上Oracle Oracle 8i以上SQLServerMicrosoft SQL Server 2000 以上MySQL MySQL 5.x以上IIS IIS 5.x以上Apache Apache 2.x 以上Tomcat Tomcat 5.x以上WebLogic WebLogic 8.X以上Windows操作系统安全配置要求及操作指南I目录目录 (I)前言 (II)1 范围 (1)2 规范性引用文件 (1)3 缩略语 (1)4 安全配置要求 (2)4.1 账号 (2)4.2 口令 (3)4.3 授权 (5)4.4 补丁 (7)4.5 防护软件 (8)4.6 防病毒软件 (8)4.7 日志安全要求 (9)4.8 不必要的服务 (11)4.9 启动项 (12)4.10 关闭自动播放功能 (13)4.11 共享文件夹 (13)4.12 使用NTFS 文件系统 (14)4.13 网络访问 (15)4.14 会话超时设置 (16)4.15 注册表设置 (17)附录A：端口及服务 (18)II前言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。

该系列安全配置要求及操作指南的结构及名称预计如下：（1）《Windows 操作系统安全配置要求及操作指南》（本规范）（2）《AIX操作系统安全配置要求及操作指南》（3）《HP-UX 操作系统安全配置要求及操作指南》（4）《Linux操作系统安全配置要求及操作指南》（5）《Solaris操作系统安全配置要求及操作指南》（6）《MS SQL server数据库安全配置要求及操作指南》（7）《MySQL 数据库安全配置要求及操作指南》（8）《Oracle数据库安全配置要求及操作指南》（9）《Apache安全配置要求及操作指南》（10）《IIS安全配置要求及操作指南》（11）《Tomcat 安全配置要求及操作指南》（12）《WebLogic 安全配置要求及操作指南》11 范围适用于使用Windows 操作系统的设备。

1.操作系统安全基线技术要求1.1.AIX系统安全基线1.1.1.系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。

表1 AIX系统管理基线技术要求1.1.2.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表2。

表2 AIX系统用户账户与口令基线技术要求1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。

1.1.4.服务优化通过优化操作系统资源，提高系统服务安全性，详见表4。

表4 AIX系统服务优化基线技术要求1.1.5.访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。

表5 AIX系统访问控制基线技术要求1.2.Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表6。

表6 Windows系统用户账号与口令基线技术要求1.2.2.日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。

表7 Windows系统日志与审计基线技术要求1.2.3.服务优化通过优化系统资源，提高系统服务安全性，详见表8。

表8 Windows系统服务优化基线技术要求1.2.4.访问控制通过对系统配置参数调整，提高系统安全性，详见表9。

表9 Windows系统访问控制基线技术要求1.2.5.补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表10。

1.3.Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。

表11 Linux系统管理基线技术要求1.3.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。

表12 Linux系统用户账号与口令基线技术要求1.3.3.日志与审计通过对Linux系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表13。

操作系统安全基线配置要求为不同用户分配独立的帐户，不允许多个用户共享同一帐户。

应删除或锁定过期或无用的帐户。

只允许指定授权帐户对主机进行远程访问。

应根据实际需要为各个帐户分配最小权限。

应对Administrator帐户进行重命名，并禁用Guest（来宾）帐户。

要求操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合。

设置口令的最长使用期限小于90天，并配置操作系统用户不能重复使用最近5次（含5次）已使用过的口令。

当用户连续认证失败次数为5次时，应锁定该帐户30分钟。

2.2.服务及授权安全应关闭不必要的服务。

应设置SNMP接受团体名称不为public或弱字符串。

确保系统时间与NTP服务器同步。

配置系统DNS指向企业内部DNS服务器。

2.3.补丁安全应确保操作系统版本更新至最新。

应在确保业务不受影响的情况下及时更新操作系统补丁。

2.4.日志审计应合理配置系统日志审核策略。

应设置日志存储规则，保证足够的日志存储空间。

更改日志默认存放路径，并定期对系统日志进行备份。

2.5.系统防火墙应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。

2.6.防病毒软件应安装由总部统一部署的防病毒软件，并及时更新。

2.7.关闭自动播放功能应关闭Windows自动播放功能。

2.8.共享文件夹应关闭Windows本地默认共享。

设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。

2.9.登录通信安全应禁止远程访问注册表路径和子路径。

设置远程登录帐户的登录超时时间为30分钟。

禁用匿名访问命名管道和共享。

1.帐户共用：每个用户应分配一个独立的系统帐户，不允许多个用户共享同一个帐户。

2.帐户锁定：过期或无用的帐户应该被删除或锁定。

3.超级管理员远程登录限制：应限制root帐户的远程登录。

4.帐户权限最小化：为每个帐户设置最小权限，以满足其实际需求。

5.口令长度及复杂度：操作系统帐户口令长度应至少为8位，且应包含数字、字母和特殊符号中的至少2种组合。

中间件weblogic安全基线配置标准目录第1章账号管理、认证授权 (3)1.1账号管理 (3)1.1.1系统启动账号 (3)1.1.2帐号锁定策略 (3)1.2口令 (4)1.2.1密码复杂度 (4)第2章日志配置操作 (4)2.1日志配置 (4)2.1.1审核登录 (4)第3章IP协议安全配置 (6)3.1IP 协议 (6)3.1.1支持加密协议 (6)3.1.2限制应用服务器Socket数量 (7)3.1.3禁用Send ServerHeader (7)第4章其他配置操作 (8)4.1登录安全管理 (8)4.1.1定时登出 (8)4.1.2更改默认端口 (8)4.1.3错误页面处理 (9)4.1.4目录列表访问限制 (9)第1章账号管理、认证授权1.1账号管理1.1.1系统启动账号1.1.2帐号锁定策略1.2 口令1.2.1密码复杂度第2章日志配置操作2.1日志配置2.1.1审核登录第3章IP协议安全配置3.1IP协议3.1.1支持加密协议3.1.2限制应用服务器Socket数量3.1.3禁用Send Server Header第4章其他配置操作4.1登录安全管理4.1.1定时登出4.1.2更改默认端口4.1.3错误页面处理4.1.4目录列表访问限制中间件tomcat安全基线配置标准第1章账号管理、认证授权 (12)1.1账号管理 (12)1.1.1共享帐号管理 (12)1.1.2无关帐号管理 (12)1.2口令 (13)1.2.1密码复杂度 (13)1.3授权 (13)1.3.1用户权利指派 (13)第2章日志配置操作 (14)2.1日志配置 (14)2.1.1审核登录 (14)第3章其他配置操作 (15)3.1访问权限 (15)3.1.1定时登出 (15)3.2防攻击管理 (15)3.2.1错误页面处理 (15)3.2.2目录列表访问限制 (16)3.2.3禁用危险HTTP方法 (17)11第1章账号管理、认证授权1.1账号管理1.1.1共享帐号管理1.1.2无关帐号管理121.2 口令1.2.1密码复杂度1.3授权1.3.1用户权利指派第2章日志配置操作2.1日志配置2.1.1审核登录第3章其他配置操作3.1访问权限3.1.1定时登出3.2防攻击管理3.2.1错误页面处理153.2.2目录列表访问限制3.2.3禁用危险HTTP方法17。

Nginx中间件配置安全基线标准与操作指南南京农业大学图书与信息中心2018年6月目录第1章概述 (1)1.1 安全基线概念 (1)1.2 文档编制目的 (1)1.3 文档适用范围 (1)1.4 文档修订 (1)第2章日志审计 (1)2.1 日志配置 (1)2.1.1 审核记录 (1)第3章服务管理 (1)3.1 IP管理 (1)3.1.1 限制IP 访问 (1)3.2 超时管理 (2)3.2.1 控制超时时间 (2)第4章其他配置操作 (3)4.1 访问权限 (3)4.1.1 错误页面处理 (3)4.1.2 防止目录遍历 (3)4.1.3 连接超时设置 (3)第1章概述1.1 安全基线概念安全基线是指满足最小安全保证的基本要求。

1.2 文档编制目的本文档针对安装运行Nginx中间件的服务器主机所应当遵循的基本安全设置要求提供了参考建议，供校园网用户在安装使用Nginx 中间件提供信息服务过程中进行安全合规性自查、检查、加固提供标准依据与操作指导。

1.3 文档适用范围本文档适用于Nginx的各类版本。

1.4 文档修订本文档的解释权和修改权属于南京农业大学图书与信息中心，欢迎校园网用户提供意见或建议，请发送至security@。

第2章日志审计2.1 日志配置2.1.1 审核记录第3章服务管理3.1 IP管理3.1.1 限制IP 访问3.2 超时管理3.2.1 控制超时时间第4章其他配置操作4.1 访问权限4.1.1 错误页面处理4.1.2 防止目录遍历4.1.3 连接超时设置（2）重新启动Nginx 服务。

华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................ 错误！未定义书签。

2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

工信部的基线配置核查标准概述及解释说明1. 引言1.1 概述在当今数字化时代，信息技术发展迅速，网络安全问题日益严峻。

为了确保国家信息基础设施的安全可靠，工信部（工业和信息化部）近年来发布了一系列的政策法规和标准，其中包括基线配置核查标准。

本文将对工信部的基线配置核查标准进行概述和解释说明。

1.2 文章结构本文按照如下顺序组织：引言、工信部的基线配置核查标准概述、工信部基线配置核查标准的解释说明、实际案例分析与应用实践、结论。

通过这样的结构布局，旨在系统全面地介绍和分析工信部的基线配置核查标准。

1.3 目的本文的目的是让读者深入了解工信部基线配置核查标准，并理解其定义、重要性以及工信部在此方面所扮演的角色和责任。

同时，文章还将详细解读该标准提出的具体要求，并对相关核查方法、流程以及常见问题进行分析和阐述。

通过实际案例分析与应用实践，读者可以进一步掌握该标准在不同行业领域的应用和效果评估。

最后，文章将总结主要观点和发现结果，并对未来工信部基线配置核查标准的发展做出展望，提出改进建议和实施策略推荐。

通过本文的阅读，读者将能够全面了解工信部的基线配置核查标准，掌握其实施要求和相关解释说明，并对其在实践中的应用与效果有所认识。

同时，本文也希望为相关行业提供借鉴与启示，促进网络安全事业的健康发展。

2. 工信部的基线配置核查标准概述：2.1 基线配置核查标准的定义工信部的基线配置核查标准是指在信息化建设中，为了确保计算机系统和网络安全，严格按照工信部的规范要求，对系统的基线配置进行检查和验证的过程。

基线配置是指计算机系统、网络设备以及软件应用中所必需具备并在合理设置条件下应该包含的一组通用安全策略、权限控制、服务配置等。

通过进行基线配置核查可以有效识别和解决可能存在的漏洞和风险，提高信息系统和网络的安全性。

2.2 基线配置核查的重要性基线配置核查对于保障信息系统和网络的安全至关重要。

首先，它能够及时发现并修复系统中可能存在的组件错误或者未修补漏洞，避免被黑客利用；其次，通过对基线配置进行检查验证，可以保证系统满足法律法规、行业标准等相关要求；最后，通过持续进行基线配置核查，能够提高信息系统运行效率，并有效预防潜在威胁。

安全基线管理规范安全基线管理是为了规范系统安全基线配置过程，加强系统安全配置的强度与质量，防⽌未经授权的访问、⿊客攻击等造成的系统故障与业务中断，保证系统运⾏安全。

▼▼安全配置基线定义安全配置基线是指系统实现安全运⾏所需要的最低安全配置，是系统所要达到的安全基本要求。

系统安全配置管理通⽤安全配置技术规范涉及五个⽅⾯，包括帐号管理、认证授权、审计⽇志、访问控制和服务配置，是编制各类系统安全配置技术规范的依据。

▼▼帐号管理⽅⾯的要求包括：应按照⽤户分配帐号；避免不同⽤户间共享帐号；避免员⼯⽤户帐号和系统间通信使⽤的帐号共享；应删除或锁定与系统运⾏、维护等⼯作⽆关的帐号。

▼▼认证授权⽅⾯的要求包括：对于采⽤静态⼝令认证技术的系统，⼝令长度⾄少10位，并包括数字、⼩写字母、⼤写字母和特殊符号4类中⾄少3类；帐号⼝令输⼊错误超过5次⾃动锁定⼀定时间；帐号⼝令的⽣存期不长于90天；系统权限应遵循“最⼩权限”原则，在系统配置能⼒内，根据⽤户需要，配置其所需的最⼩权限。

▼▼审计⽇志⽅⾯的要求包括：应配置⽇志功能对普通⽤户登录进⾏记录，记录内容包括但不限于⽤户登录使⽤的帐号，登录是否成功，登录时间；应配置⽇志功能记录管理员对系统的操作，包括但不限于以下内容：帐号创建、删除和权限修改，⼝令修改，读取和修改系统配置；⽇志记录中需要包含⽤户帐号，操作时间，操作内容以及操作结果；系统应配置权限，控制对⽇志⽂件读取、修改和删除权限操作。

▼▼访问控制⽅⾯的要求包括：⽹络系统应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、⽬的IP地址、源端⼝、⽬的端⼝的流量过滤，过滤所有和业务不相关的流量；对于使⽤IP协议远程维护的系统，系统应配置使⽤SSH等加密协议。

▼▼服务配置⽅⾯的要求包括：系统中应关闭不必要的服务，卸载不必要的组件；对于具有交互界⾯的系统，应开启操作空闲超时退出功能。

安全配置基线说明系统安全配置基线涉及操作系统、数据库、中间件和应⽤、⽹络设备四类系统，详细如下：操作系统：包括Windows、Linux、AIX、Solaris等操作系统；数据库：包括Oracle、DB2、MySQL、SQL Server等数据库；中间件和应⽤：包括Tomcat、Weblogic、Websphere等中间件；Apache、IIS等Web应⽤；⽹络设备：包括Cisco防⽕墙、Juniper防⽕墙等防⽕墙；Cisco、华为路由器/交换机等路由交换设备等。