IT系统安全基线规范-V3.0

中国中国xx公司IT技术规范IT系统安全基线规范中国xx公司信息技术部

目录IT系统安全基线规范 1（V3.0) 11. 范围 62. 术语、定义和缩略语 63. 总体说明 63.1 编写背景 63.2 安全基线制定的方法论 74. 安全基线范围及内容概述 74.1 覆盖范围及适用版本 74.2 安全基线编号说明 84.3 安全基线组织及内容 85. Web应用安全基线规范 85.1 身份与访问控制 85.1.1 账户锁定策略 85.1.2 登录用图片验证码 95.1.3 口令传输 95.1.4 保存登录功能 95.1.5 纵向访问控制 105.1.6 横向访问控制 105.1.7 敏感资源的访问 105.2 会话管理 115.2.1 会话超时 115.2.2 会话终止 115.2.3 会话标识 115.2.4 会话标识复用 125.3 代码质量 125.3.1 防范跨站脚本攻击 125.3.2 防范SQL注入攻击 135.3.3 防止路径遍历攻击 135.3.4 防止命令注入攻击 135.3.5 防止其他常见的注入攻击 145.3.6 防止下载敏感资源文件 145.3.7 防止上传后门脚本 145.3.8 保证多线程安全 155.3.9 保证释放资源 155.4 内容管理 155.4.1 加密存储敏感信息 155.4.2 避免泄露敏感技术细节 165.5 防钓鱼与防垃圾邮件 165.5.1 防钓鱼 165.5.2 防垃圾邮件 165.6 密码算法 175.6.1 安全算法 175.6.2 密钥管理 176. 中间件安全基线内容 186.1 Apache安全配置基线 186.1.1 日志配置 186.1.2 访问权限 186.1.3 防攻击管理 196.2 WebSphere安全配置基线 226.2.1 帐号管理 226.2.2 认证授权 236.2.3 日志配置 246.2.4 备份容错 246.2.5 安全管理 256.3 TomcatWeb安全配置基线 276.3.1 账号管理 276.3.2 口令安全 286.3.3 日志配置 296.3.4 安全管理 306.4 IIS服务安全配置基线 326.4.1 账号管理 326.4.2 口令安全 336.4.3 认证授权 356.4.4 日志配置 366.4.5 IP协议安全 376.4.6 屏幕保护 396.4.7 文件系统及访问权限 406.4.8 补丁管理 446.4.9 IIS服务组件 456.5 WebLogicWeb服务安全配置基线 466.5.1 账号管理 466.5.2 口令安全 476.5.3 日志配置 486.5.4 IP协议安全配置 486.5.5 安全管理 507. 数据库安全基线内容 517.1 DB2数据库安全配置基线 517.1.1 数据库权限 517.1.2 DB2认证 537.2 SQLServer数据库安全配置基线 547.2.1 口令安全 547.2.2 日志配置 547.2.3 更新补丁 557.3 Oracle数据库系统安全配置基线 567.3.1 账号管理 567.3.2 口令安全 568. 主机安全基线内容 598.1 AIX安全配置基线 598.1.1 账号管理 598.1.2 口令安全 608.1.3 IP协议安全 618.1.4 日志配置 628.2 HP-Unix安全配置基线 628.2.1 账号管理 628.2.2 口令安全 638.2.3 日志配置 658.2.4 IP协议安全 658.2.5 其他安全配置 668.3 Linux安全配置基线 668.3.1 账号管理 668.3.2 认证授权 678.3.3 日志配置 688.4 Windows安全配置基线 688.4.1 账号管理 688.4.2 口令安全 698.4.3 认证授权 708.4.4 日志配置 718.4.5 IP协议安全 748.4.6 其他安全配置 758.5 Solaris安全配置基线 768.5.1 账号管理 768.5.2 口令安全 778.5.3 认证授权 788.5.4 日志配置 798.5.5 IP协议安全 809. 设备安全基线内容 819.1 Cisco路由安全配置基线 819.1.1 账号管理 819.1.2 口令安全 829.1.3 认证授权 839.1.4 日志配置 849.1.5 IP协议安全 869.1.6 功能配置 879.1.7 其他安全配置 899.2 Huawei路由安全配置基线 919.2.1 账号管理 919.2.2 口令安全 929.2.3 日志配置 939.2.4 IP协议安全 959.2.5 其他安全配置 969.3 Juniper路由安全配置基线 989.3.1 账号管理 989.3.2 口令安全 1009.3.3 日志配置 1029.3.4 IP协议安全 1059.3.5 其他安全配置 10910. 安全基线使用要求 11311. 文档修订记录 113

范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。本规范适用于xxxIT系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。术语、定义和缩略语词语解释SecurityBaseline安全基线：是设备功能和配置方面的基本安全要求，是信息系统的最小安全保证和最基本的、必须满足的安全要求。它适用于未上线和已上线系统，用于保障组织内IT系统安全水平。SHG安全加固手册SecurityHardenGuidelineSBL安全基线SecurityBaseline安全风险人为或自然的威胁可能利用IT系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。安全风险评估指运用科学的方法和手段，系统地分析IT系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施。防范和化解IT系统安全风险，或者将风险控制在可接受的水平，为最大限度地为保障IT系统的安全提供科学依据资产是安全防护保护的对象。IT系统的资产可能是以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源，如OA系统、ERP系统等。资产价值资产的重要程度或敏感程度。资产价值是资产的属性，也是进行资产识别的主要内容。威胁可能导致对IT系统产生危害的不希望事故潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。常见的威胁有黑客入侵、硬件故障、人为操作失误、火灾、水灾等等。脆弱性是IT系统中存在的弱点、缺陷与不足，不直接对资产造成危害，但可能被威胁所利用从而危害资产的安全。总体说明编写背景xxxIT系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。为了保证整体安全水平，防止系统设备因为安全配置不到位而带来安全风险，有必要对系统设备的安全性进行检查和加固。若系统按照安全基线进行了检查和加固，则可以确保系统和设备安全符合性达到要求，杜绝大部分的安全隐患。为此，制定各系统的安全基线，作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固依据，同时也是满足内控管理要求的依据。此次系列安全基线规范覆盖了应用层、中间件层、操作系统层以及网络层，并依据这些安全基线建立准入措施，从源头和根本上控制和提高系统的安全性。此次项目对安全基线的要求如下：覆盖面广，涵盖常见IT系统和设备，并涵盖Web应用和源代码的安全基线；可操作性强，针对每个检查项均有简洁的操作说明；定期更新，应当周期性的对基线进行补充和更新；成果可固化，基线可以被集成为检查工具；安全基线将作为系统和设备安全准入的必要条件。安全基线制定的方法论安全基线制定主要基于以下方法：参考产品原厂商的技术资料参考安全服务及安全研究的成果参考国内外大型研究机构及企业现行的安全基线结合xxx集团总部下发的相关规范及xxx信息技术部的实际情况安全基线范围及内容概述覆盖范围及适用版本目前省、市公司IT系统中部署了数量众多的IT设备和系统，主要包括网络设备、主机、数据库、中间件和应用系统等。此次安全基线制定的范围需要涵盖xxx常见的IT系统和设备，具体包括：1、应用系统：Web应用层安全基线，针对Web应用的身份与访问控制、会话管理、代码质量、内容管理等方面制定安全检查项2、中间件：ApacheWebSphereTomcatIISWeblogic3、数据库：OracleDB2SQLServer4、主机：WindowsAIXHP-UXSolarisLinux5、设备：CiscoHuaWeiJuniper以上设备和系统之外的安全基线将根据需要进行补充。安全基线编号说明安全基线采用SBL-设备系统名称-数字-数字-数字的方式命名，设备系统名称是指此基线适用的设备或系统，例如windows、oracle等，后续的数字编号指基线要求的具体项目编号，例如SBL-WebAPP-02-02-01是指Web应用的安全基线，属于此基线第二章身份与访问控制第二小节登录用图片验证码的第一项要求，因此后续数字编号为02-02-01。安全基线组织及内容xxx信息技术部制定的安全基线主要分为两大类，第一大类是应用层基线，由于此层的应用系统多为定制开发，因此重在考虑设计、开发、测试环节引入的安全问题。Web应用层安全基线通常包括以下九个范畴的要求：身份与访问控制会话管理代码质量内容管理防钓鱼与防垃圾邮件密码算法系统日志安装配置安全维护第二大类是通用的IT基础设施系统层基线，这类系统包括中间件、数据库、操作系统和网络设备等，它们多为非定制标准化产品，原厂商技术支持较好，资料完整，因此这类安全基线的内容主要关注帐号口令、安全策略，补丁情况，网络协议，日志等问题。Web应用安全基线规范身份与访问控制账户锁定策略安全基线项目名称Web应用账户锁定策略安全基线要求项安全基线编号SBL-WebAPP-02-01-01安全基线项说明用户登录失败一定次数后系统自动锁定账号一段时间，以防止暴力猜测密码。检测操作步骤尝试使用错误用户名口令失败登录多次，基线符合性判定依据用户登录失败一定次数后系统自动锁定账号。备注登录用图片验证码安全基线项目名称Web应用登录验证策略安全基线要求项安全基线编号SBL-WebAPP-02-02-01安全基线项说明用户登录需提供图片验证码，以防止固定密码暴力猜测账号。检测操作步骤检查登录认证界面输入项，并右键点击图片查看链接属性。基线符合性判定依据要求包含图片验证码输入项，并且图片链接属性不得包含明文图片验证码。备注口令传输安全基线项目名称Web应用口令传输策略安全基线要求项安全基线编号SBL-WebAPP-02-03-01安全基线项说明不能明文传输用户登录密码。检测操作步骤尝试登录系统，并使用抓包工具查看交互过程中在网络传输的内容。基线符合性判定依据要求不得出现明文口令备注保存登录功能安全基线项目名称Web应用保存登录安全基线要求项安全基线编号SBL-WebAPP-02-04-01安全基线项说明不能提供“保存登录”功能，该功能可能被利用于CSRF攻击。检测操作步骤检查登录界面是否提供了保存登录功能基线符合性判定依据不得提供该功能。备注纵向访问控制安全基线项目名称Web应用纵向访问安全基线要求项安全基线编号SBL-WebAPP-02-05-01安全基线项说明合理进行纵向访问控制，不允许普通用户访问管理功能。检测操作步骤了解是否有不允许普通用户访问的功能，尝试直接在浏览器中访问功能链接。基线符合性判定依据用户不得跨权限访问受控页面备注横向访问控制安全基线项目名称Web应用横向访问安全基线要求项安全基线编号SBL-WebAPP-02-06-01安全基线项说明合理进行横向访问控制，不允许用户访问其他用户的敏感数据。检测操作步骤了解是否存在敏感信息，检查是否对个人敏感信息进行了有效保护基线符合性判定依据用户不得跨权限查看其它用户受保护敏感信息备注敏感资源的访问安全基线项目名称Web应用敏感资源访问安全基线要求项安全基线编号SBL-WebAPP-02-07-01安全基线项说明需要限制对敏感资源的访问，例如后台管理，日志记录等。检测操作步骤检查服务器的文件是否存在敏感资源，测试是否限制了这些资源的访问。基线符合性判定依据对敏感资源的访问应当受控。备注会话管理会话超时安全基线项目名称Web应用会话超时安全基线要求项安全基线编号SBL-WebAPP-03-01-01安全基线项说明当用户长时间不操作时，系统自动终止超时会话。检测操作步骤登录系统后不操作，等待合理的时间间隔。基线符合性判定依据要求预先设计的时间间隔后查看页面自动中止超时会话。备注会话终止安全基线项目名称Web应用会话终止安全基线要求项安全基线编号SBL-WebAPP-03-02-01安全基线项说明系统需提供“退出”功能，允许用户强制终止当前的会话。检测操作步骤登录系统后点击系统提供的“退出”功能，然后在同一IE窗口下视图回退到登录后的页面，并访问相应的功能基线符合性判定依据点击退出后，上述检测操作结果不成功备注会话标识安全基线项目名称Web应用会话标识安全基线要求项安全基线编号SBL-WebAPP-03-03-01安全基线项说明会话标识必须足够随机，防止攻击者猜测标识或依据当前标识推导后续的标识。检测操作步骤检查多个会话标识的格式。基线符合性判定依据多个会话标识不得存在简单明了的逻辑关系，要求具有随机性备注会话标识复用安全基线项目名称Web应用会话标识复用安全基线要求项安全基线编号SBL-WebAPP-03-04-01安全基线项说明用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标识。检测操作步骤检查登录前后是否使用相同的会话标识。基线符合性判定依据用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标识。备注代码质量防范跨站脚本攻击安全基线项目名称Web应用防范跨站脚本安全基线要求项安全基线编号SBL-WebAPP-04-01-01安全基线项说明系统要防止将用户输入未经检查就直接输出到用户浏览器，防范跨站脚本攻击。检测操作步骤检查系统是否存在跨站脚本攻击漏洞。例如在能够回显的输入框输入<script>alert(“xss”)</script>基线符合性判定依据要求系统能够将输入内容中的控制字当作纯文本内容处理备注防范SQL注入攻击安全基线项目名称Web应用防范SQL注入安全基线要求项安全基线编号SBL-WebAPP-04-02-01安全基线项说明系统要防止将用户输入未经检查就用于构造数据库查询，防范SQL注入攻击。检测操作步骤检查系统是否存在SQL注入漏洞。例如在输入框中输入’基线符合性判定依据系统要使用诸如preparedstatement等方式防止SQL注入，将输入内容中的控制字也当作纯文本处理备注防止路径遍历攻击安全基线项目名称Web应用防范路径遍历安全基线要求项安全基线编号SBL-WebAPP-04-03-01安全基线项说明系统要防止将用户输入未经检查就用于构造文件路径，防止路径遍历攻击。检测操作步骤尝试在URL与输入中构造文件路径并查看页面反应基线符合性判定依据不允许通过构造文件路径的方式直接查看文件备注防止命令注入攻击安全基线项目名称Web应用防范命令注入安全基线要求项安全基线编号SBL-WebAPP-04-04-01安全基线项说明系统要防止将用户输入未经检查就用于构造操作系统命令并执行。检测操作步骤尝试在各个输入点进行命令注入攻击基线符合性判定依据命令注入攻击不得成功备注防止其他常见的注入攻击安全基线项目名称Web应用防范其它注入安全基线要求项安全基线编号SBL-WebAPP-04-05-01安全基线项说明防止系统存在LDAP注入、XML注入、XPATH注入、SMTP注入等漏洞。检测操作步骤尝试在各个输入点进行其它常见注入攻击基线符合性判定依据各类注入攻击不得成功备注防止下载敏感资源文件安全基线项目名称Web应用防范下载漏洞安全基线要求项安全基线编号SBL-WebAPP-04-06-01安全基线项说明如果系统提供了下载功能，要防止用户通过路径遍历漏洞下载敏感资源文件。检测操作步骤如果系统提供了下载功能，试图通过路径遍历漏洞下载敏感资源文件。基线符合性判定依据各类下载攻击不得成功备注防止上传后门脚本安全基线项目名称Web应用防范上传漏洞安全基线要求项安全基线编号SBL-WebAPP-04-07-01安全基线项说明如果系统提供了文件上传功能，要防止用户上传后门脚本。检测操作步骤如果系统提供了上传功能，试图通过上传功能上传恶意文件。基线符合性判定依据各类上传攻击不得成功备注保证多线程安全安全基线项目名称Web应用多线程安全基线要求项安全基线编号SBL-WebAPP-04-08-01安全基线项说明如果系统某资源可被多人同时修改，或被同一用户经过不同的方式同时修改，或被用户线程与系统线程同时修改，需要保证多线程安全。检测操作步骤如果系统存在多线程问题，分析保护多线程访问资源的安全解决方案基线符合性判定依据必须有适当的解决方案备注保证释放资源安全基线项目名称Web应用释放资源基线要求项安全基线编号SBL-WebAPP-04-09-01安全基线项说明系统需保证在正常与异常流程时都能正确释放不需要的资源，例如打开的文件，数据库连接等。检测操作步骤分析正常与异常流程中资源释放的动作基线符合性判定依据资源释放覆盖所有流程分支备注内容管理加密存储敏感信息安全基线项目名称Web应用加密存储敏感信息基线要求项安全基线编号SBL-WebAPP-05-01-01安全基线项说明系统应当加密存储敏感信息，如密码、信用卡号等。检测操作步骤分析系统中敏感信息的存储与加密基线符合性判定依据要求加密算法安全，对信息有适当访问控制备注避免泄露敏感技术细节安全基线项目名称Web应用信息泄漏基线要求项安全基线编号SBL-WebAPP-05-02-01安全基线项说明系统应当避免向用户提示过多的技术细节，防止被攻击者利用。例如错误信息中可能包含SQL语句，这有利于攻击者构造合法的攻击字串；又如Html中可能包含了技术性的注释语句，可能被攻击者利用。检测操作步骤分析各个页面的源码，查看提示页面，尤其是出错提示页面基线符合性判定依据各个页面不得包含技术性注释，各个提示页面不得包含Web服务器版本、源代码等信息备注防钓鱼与防垃圾邮件防钓鱼安全基线项目名称Web应用重定向基线要求项安全基线编号SBL-WebAPP-06-01-01安全基线项说明系统应当避免通过用户控制的参数来重定向或包含另外一个网站的内容。检测操作步骤分析系统存在任意重定向或包含其它网站内容的控制基线符合性判定依据不得由用户控制的参数生成重定向备注防垃圾邮件安全基线项目名称Web应用垃圾邮件基线要求项安全基线编号SBL-WebAPP-06-02-01安全基线项说明如果系统提供了发送邮件的功能，应当防止被利用于发送垃圾邮件。检测操作步骤检查系统发送邮件功能基线符合性判定依据不得存在滥用此功能的可能备注密码算法安全算法安全基线项目名称Web应用安全算法基线要求项安全基线编号SBL-WebAPP-07-01-01安全基线项说明如果系统采用了密码算法，应当采用安全的密码算法，且符合算法的应用场景。检测操作步骤检查所有系统中使用的安全算法基线符合性判定依据不得使用已经被证明为不安全的算法或者自定义不安全算法备注密钥管理安全基线项目名称Web应用密钥管理基线要求项安全基线编号SBL-WebAPP-07-02-01安全基线项说明如果系统采用了密码算法，且拥有密钥，那么应当有文档化的密钥管理办法并严格遵照执行。检测操作步骤检查所有系统中使用的密钥管理基线符合性判定依据不得使用不安全的密钥管理办法备注中间件安全基线内容Apache安全配置基线日志配置审核登录安全基线项目名称Apache审核登录策略安全基线要求项安全基线编号SBL-Apache-02-01-01安全基线项说明设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。检测操作步骤1、参考配置操作编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。LogLevelnoticeErrorLoglogs/error_logLogFormat"%h%l%u%t\"%r\"%>s%b\"%{Accept}i\"\"%{Referer}i\"\"%{User-Agent}i\""combinedCustomLoglogs/access_logcombinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apachehttpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：ErrorLogsyslog。CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。基线符合性判定依据1、判定条件查看logs目录中相关日志文件内容，记录完整。2、检测操作查看相关日志记录。3、补充说明备注访问权限禁止访问外部文件安全基线项目名称Apache目录访问权限安全基线要求项安全基线编号SBL-Apache-03-01-01安全基线项说明禁止Apache访问Web目录之外的任何文件。检测操作步骤1、参考配置操作编辑httpd.conf配置文件，<Directory/>OrderDeny,AllowDenyfromall</Directory>2、补充操作说明设置可访问目录，<Directory/web>OrderAllow,DenyAllowfromall</Directory>其中/web为网站根目录。基线符合性判定依据1、判定条件无法访问Web目录之外的文件。2、检测操作访问服务器上不属于Web目录的一个文件，结果应无法显示。3、补充说明备注防攻击管理错误页面处理安全基线项目名称Apache错误页面安全基线要求项安全基线编号SBL-Apache-03-02-01安全基线项说明Apache错误页面重定向检测操作步骤1、参考配置操作(1)修改httpd.conf配置文件：

ErrorDocument400/custom400.htmlErrorDocument401/custom401.htmlErrorDocument403/custom403.htmlErrorDocument404/custom404.htmlErrorDocument405/custom405.htmlErrorDocument500/custom500.htmlCustomxxx.html为要设置的错误页面。(2)重新启动Apache服务基线符合性判定依据1、判定条件指向指定错误页面2、检测操作URL地址栏中输入http://ip/xxxxxxx~~~（一个不存在的页面）备注目录列表访问限制安全基线项目名称Apache目录列表安全基线要求项安全基线编号SBL-Apache-03-02-02安全基线项说明禁止Apache列表显示文件检测操作步骤1、参考配置操作(1)编辑httpd.conf配置文件，

<Directory"/web">OptionsFollowSymLinksAllowOverrideNoneOrderallow,denyAllowfromall</Directory>

将OptionsIndexesFollowSymLinks中的Indexes去掉，就可以禁止Apache显示该目录结构。Indexes的作用就是当该目录下没有index.html文件时，就显示目录结构。(2)设置Apache的默认页面，编辑%apache%\conf\httpd.conf配置文件，<IfModuledir_module>DirectoryIndexindex.html</IfModule>其中index.html即为默认页面，可根据情况改为其它文件。(3)重新启动Apache服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html文件时，不会列出目录内容2、检测操作直接访问http://ip:8800/xxx（xxx为某一目录）备注删除无用文件安全基线项目名称Apache无用文件安全基线要求项安全基线编号SBL-Apache-03-02-04安全基线项说明删除缺省安装的无用文件。检测操作步骤1、参考配置操作删除缺省HTML文件：#rm-rf/usr/local/apache2/htdocs/*删除缺省的CGI脚本：#rm–rf/usr/local/apache2/cgi-bin/*删除Apache说明文件：#rm–rf/usr/local/apache2/manual删除源代码文件：#rm-rf/path/to/httpd-2.2.4*根据安装步骤不同和版本不同，某些目录或文件可能不存在或位置不同。基线符合性判定依据1、判定条件2、检测操作检查对应目录。备注隐藏敏感信息安全基线项目名称Apache隐藏敏感信息安全基线要求项安全基线编号SBL-Apache-03-02-05安全基线项说明隐藏Apache的版本号及其它敏感信息。检测操作步骤1、参考配置操作修改httpd.conf配置文件：ServerSignatureOffServerTokensProd基线符合性判定依据1、判定条件2、检测操作检查配置文件。备注WebSphere安全配置基线帐号管理应用程序角色安全基线项目名称WebSphere应用程序角色安全基线要求项安全基线编号SBL-WebSphere-02-01-01安全基线项说明要求为应用用户定义合适的角色检测操作步骤以管理员身份打开管理控制台,执行：点击“应用程序”-->”企业应用程序”双击要查看的应用程序点击“其它属性”中的”映射安全性角色到用户/组”基线符合性判定依据要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”备注控制台帐号安全安全基线项目名称WebSphere控制台帐号安全安全基线要求项安全基线编号SBL-WebSphere-02-01-02安全基线项说明特权管理帐号在多个用户间共享，会引发很多安全问题，企业无法控制配置上的安全，不易定位安全事件责任人,同时特权帐号非法使用者还可抹去审计信息检测操作步骤以管理员身份打开管理控制台,执行：点击“系统管理”-->”控制台设置”-->“控制台用户”点击要查看的用户名3.查看用户所属组基线符合性判定依据要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为monitor（监控员）、Configurator(配置员)、Operator（操作员）Administrator(管理员)之一备注口令管理安全基线项目名称WebSphere口令安全基线要求项安全基线编号SBL-WebSphere-02-01-03安全基线项说明不得在自动运行脚本、控制命令等地方出现Websphere明文口令，例如cron脚本检测操作步骤以root身份执行：#ps–ef|grep–iWebSphere#su–WebSphere_username–c“crontab–l”#crontab-l基线符合性判定依据要求回显内容中不含口令字备注提供3类账号给4A，有4A根据密码设置要求进行定期修改，应用系统必须支持生产账号密码定期修改等密码设置要求，建议无需人工干预。认证授权控制台安全安全基线项目名称WebSphere控制台安全基线要求项安全基线编号SBL-WebSphere-02-02-01安全基线项说明Cosnaming服务权限设置过大会引入安全隐患检测操作步骤以管理员身份打开管理控制台,执行：点击“环境”-->命名-->CORBA命名服务用户查看服务用户点击“环境”-->命名-->CORBA命名服务组查看服务组授权基线符合性判定依据要求EVERYONE组已删除，并且ALL_AUTHENTICATED组角色仅设为”控制台命名读”备注全局安全性与Java2安全安全基线项目名称WebSphere全局安全性与Java2安全基线要求项安全基线编号SBL-WebSphere-02-02-02安全基线项说明启用全局安全性，控制登录管理控制台，同时应用程序将可以使用WebSphere的安全特性,Java2安全性在J2EE基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和API的保护，不启用Java2安全性会极大减弱应用的安全强度。检测操作步骤打开管理控制台点击“安全性”-->”全局安全性”查看“启用全局安全性”和“强制Java2安全性”是否启用基线符合性判定依据要求“启用全局安全性”和“强制Java2安全性”启用备注日志配置日志与记录安全基线项目名称WebSphere日志记录安全基线要求项安全基线编号SBL-WebSphere-03-01-01安全基线项说明启用日志可以回溯事件进行检查或审计，日志详细信息级别如果配置不当，会缺少必要的审计信息检测操作步骤以管理员身份打开管理控制台，执行：1.查看设置日志的输出属性：在导航窗格中，单击服务器>应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面，单击日志记录和跟踪-->单击要配置的系统日志（诊断跟踪、静态更改，单击”配置”选项卡,动态更改点击”运行时”选项卡。2.查看日志设置日志级别。在导航窗格中，单击服务器>应用程序服务器-->单击您要使用的服务器的名称。-->在“故障诊断”下面，单击日志记录和跟踪,查看日志详细信息级别基线符合性判定依据要求启用所有日志，并配置日志详细信息级别为*=info:SecurityManager=all:SystemOut=all备注备份容错备份容错安全基线项目名称WebSphere备份容错安全基线要求项安全基线编号SBL-WebSphere-04-01-01安全基线项说明某非法操作或误操作可能导致服务器崩溃，需要对WebSphere的配置文件进行日常备份保护，保证应用系统的可用性.检测操作步骤访谈与实地了解针对Web应用的当前备份容错机制基线符合性判定依据要求备份容错机制中针对配置文件、主程序等的备份周期，介质及内容达到Web应用需求备注安全管理示例程序删除安全基线项目名称WebSphere示例程序删除安全基线要求项安全基线编号SBL-WebSphere-05-01-02安全基线项说明sample例子程序会泄露系统敏感信息，存在较大的安全隐患检测操作步骤以管理员身份打开管理控制台,执行：1.点击“应用程序”-->”企业应用程序”基线符合性判定依据不得存在”DefaultApplication”、“PlantsByWebSphere“、“SamplesGallery”、“ivtApp”等例子程序备注错误页面处理安全基线项目名称WebSphere错误页面安全基线要求项安全基线编号SBL-WebSphere-05-01-03安全基线项说明如果没有定义默认错误网页，则当应用程序出错时会显示内部出错信息,暴露系统和应用的敏感信息检测操作步骤以root身份执行:grep-idefaultErrorPage$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi基线符合性判定依据要求defaultErrorPage=设置为定义错误页面备注目录列出访问限制安全基线项目名称WebSphere目录列出安全基线要求项安全基线编号SBL-WebSphere-05-01-05安全基线项说明禁止WebSphere浏览、列表显示目录检测操作步骤以root身份执行：grep–idirectoryBrowsingEnabled$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi基线符合性判定依据要求directoryBrowsingEnabled=”false”备注控制目录权限安全基线项目名称WebSphere控制目录权限安全基线要求项安全基线编号SBL-WebSphere-05-01-06安全基线项说明config和properties等控制目录权限不当会导致严重后果检测操作步骤检查config与properties目录及子目录访问权限基线符合性判定依据一般目录设置权限750备注补丁管理安全基线项目名称WebSphere补丁管理安全基线要求项安全基线编号SBL-WebSphere-05-01-07安全基线项说明要求Websphere更新了必要的补丁检测操作步骤以root权限执行查看命令(包含补丁安装信息)：$WAS_HOME/bin/versioninfo.sh

$WAS_HOME/bin/historyinfo.sh$WAS_HOME/bin/genHistoryReport.sh$WAS_HOME/bin/genVersionReport.sh基线符合性判定依据要求必要补丁更新至最新备注按原厂工程师确认要求进行补丁更新变更管理安全基线项目名称WebSphere变更管理安全基线要求项安全基线编号SBL-WebSphere-05-01-08安全基线项说明要求Websphere的配置变更，升级有必要的申请、审批、备案等流程检测操作步骤访谈管理员并检查过去的流程文件记录基线符合性判定依据要求有规范的配置变更流程并严格执行备注TomcatWeb安全配置基线账号管理共享帐号管理安全基线项目名称Tomcat共享帐号管理安全基线要求项安全基线编号SBL-Tomcat-02-01-01安全基线项说明应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。检测操作步骤1、参考配置操作修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帐号。<userusername=”tomcat”password=”Tomcat!234”roles=”admin”2、补充操作说明1、根据不同用户，取不同的名称。2、Tomcat4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。基线符合性判定依据1、判定条件各账号都可以登录TomcatWeb服务器为正常2、检测操作访问http://ip:8080/manager/html管理页面，进行Tomcat服务器管理备注无关帐号管理安全基线项目名称Tomcat无关帐号管理安全基线要求项安全基线编号SBL-Tomcat-02-01-02安全基线项说明应删除或锁定与设备运行、维护等工作无关的账号。检测操作步骤1、参考配置操作修改tomcat/conf/tomcat-users.xml配置文件，删除与工作无关的帐号。例如tomcat1与运行、维护等工作无关，删除帐号：<userusername=”tomcat1”password=”tomcat”roles=”admin”基线符合性判定依据1、判定条件被删除的与工作无关的账号tomcat1不能正常登陆。2、检测操作访问http://ip:8080/manager/html管理页面，使用删除帐号进行登陆尝试。备注口令安全密码复杂度安全基线项目名称Tomcat密码复杂度安全基线要求项安全基线编号SBL-Tomcat-02-02-01安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤1、参考配置操作在tomcat/conf/tomcat-user.xml配置文件中设置密码<userusername=”tomcat”password=”Tomcat!234”roles=”admin”2、补充操作说明口令要求：长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。基线符合性判定依据1、判定条件检查tomcat/conf/tomcat-user.xml配置文件中的帐号口令是否符合移动通过配置口令复杂度要求。2、检测操作（1）人工检查配置文件中帐号口令是否符合；（2）使用tomcat弱口令扫描工具定期对TomcatWeb服务器进行远程扫描，检查是否存在弱口令帐号。3、补充说明对于使用弱口令扫描工具进行检查时应注意扫描的线程数等方面，避免对服务器造成不必要的资源消耗；选择在服务器负荷较低的时间段进行扫描检查。备注提供3类账号给4A，有4A根据密码设置要求进行定期修改，应用系统必须支持生产账号密码定期修改等密码设置要求，建议无需人工干预。密码历史安全基线项目名称Tomcat密码历史安全基线要求项安全基线编号SBL-Tomcat-02-02-02安全基线项说明对于采用静态口令认证技术的设备，应支持按天配置口令生存期功能，帐号口令的生存期不长于90天。检测操作步骤1、参考配置操作定期对管理TomcatWeb服务器的帐号口令进行修改，间隔不长于90天。基线符合性判定依据1、判定条件90天后使用原帐号口令进行登陆尝试，登录不成功；2、检测操作使用超过90天的帐号口令进行登录尝试；备注适用于4.x、5.x、6.x所有版本。提供3类账号给4A，有4A根据密码设置要求进行定期修改，应用系统必须支持生产账号密码定期修改等密码设置要求，建议无需人工干预。日志配置审核登录安全基线项目名称Tomcat审核登录安全基线要求项安全基线编号SBL-Tomcat-03-01-01安全基线项说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤1、参考配置操作编辑server.xml配置文件，在<HOST>标签中增加记录日志功能将以下内容的注释标记<!---->取消<valveclassname=”org.apache.catalina.valves.AccessLogValve”Directory=”logs”prefix=”localhost_access_log.”Suffix=”.txt”Pattern=”common”resloveHosts=”false”/>2、补充操作说明classname:ThisMUSTbesettoorg.apache.catalina.valves.AccessLogValvetousethedefaultaccesslogvalve.&<60Directory:日志文件放置的目录，在tomcat下面有个logs文件夹，那里面是专门放置日志文件的，也可以修改为其他路径；Prefix:这个是日志文件的名称前缀，日志名称为localhost_access_log.2008-10Suffix:文件后缀名Pattern:common方式时，将记录访问源IP、本地服务器IP、记录日志服务器IP、访问方式、发送字节数、本地接收端口、访问URL地址等相关信息在日志文件中resolveHosts:值为true时，tomcat会将这个服务器IP地址通过DNS转换为主机名，如果是false，就直接写服务器IP地址基线符合性判定依据1、判定条件查看logs目录中相关日志文件内容，记录完整2、检测操作查看localhost_access_log.2008-10-22.log中相关日志记录3、补充说明备注安全管理错误页面处理安全基线项目名称Tomcat错误页面安全基线要求项安全基线编号SBL-Tomcat-05-01-03安全基线项说明Tomcat错误页面重定向检测操作步骤1、参考配置操作(1)查看tomcat/conf/web.xml文件:

<error>

<error-code>404</error-code>

<location>/noFile.htm</location>

</error>

……………

<error>

<exception-type>java.lang.NullPointerException</exception-type>

<location>/error.jsp</location>

</error>基线符合性判定依据判定条件要求包含如下片段：备注目录列表访问限制安全基线项目名称Tomcat目录列表安全基线要求项安全基线编号SBL-Tomcat-05-01-04安全基线项说明禁止tomcat列表显示文件检测操作步骤1、参考配置操作(1)编辑tomcat/conf/web.xml配置文件，

<init-param>

<param-name>listings</param-name>

<param-value>true</param-value>

</init-param>

把true改成false(2)重新启动tomcat服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容2、检测操作直接访问http://ip:8800/webadd备注IIS服务安全配置基线账号管理避免帐号共享安全基线项目名称IIS帐号共享安全基线要求项安全基线编号QB-IIS-02-01-01安全基线项说明应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户）检测操作步骤1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的账户和账户组.对应设置IIS系统管理员的权限。进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”：其中分为“匿名访问身份”及“基本（Basic）验证”。“基本（Basic）验证”包含：“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NETPassport身份验证”；可依据业务应用安全特性，相应配置。基线符合性判定依据1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组。2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：查看根据系统的要求，设定不同的账户和账户组。进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”查看相应配置。备注删除或锁定无关帐号安全基线项目名称IIS无关帐号安全基线要求项安全基线编号QB-IIS-02-01-02安全基线项说明应删除或锁定与设备运行、维护等工作无关的账号（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户；对于删除无用帐号可参考Windows操作系统无用帐号的删除）检测操作步骤1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：删除或锁定与设备运行、维护等与工作无关的账号。基线符合性判定依据1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。备注口令安全密码复杂度安全基线项目名称IIS密码复杂度安全基线要求项安全基线编号QB-IIS-02-02-01安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类（IIS基于Windows系统，可通过提升Windows自身密码安全等级实现）检测操作步骤1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码必须符合复杂性要求”选择“已启动”基线符合性判定依据1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”备注提供3类账号给4A，有4A根据密码设置要求进行定期修改，应用系统必须支持生产账号密码定期修改等密码设置要求，建议无需人工干预。密码历史安全基线项目名称IIS密码历史安全基线要求项安全基线编号QB-IIS-02-02-02安全基线项说明对于采用静态口令认证技术的设备，维护人员使用的账户口令的生存期不长于90天（IIS基于Windows系统，可通过提升Windows帐户策略实现）检测操作步骤1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码最长存留期”设置为“90天”基线符合性判定依据1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码最长存留期”设置为“90天”备注提供3类账号给4A，有4A根据密码设置要求进行定期修改，应用系统必须支持生产账号密码定期修改等密码设置要求，建议无需人工干预。密码更改安全基线项目名称IIS密码更改安全基线要求项安全基线编号QB-IIS-02-02-03安全基线项说明对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令（IIS基于Windows系统，可通过提升Windows帐户策略实现）检测操作步骤1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“强制密码历史”设置为“记住5个密码”基线符合性判定依据1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“强制密码历史”设置为“记住5个密码”备注提供3类账号给4A，有4A根据密码设置要求进行定期修改，应用系统必须支持生产账号密码定期修改等密码设置要求，建议无需人工干预。认证失败安全基线项目名称IIS认证失败安全基线要求项安全基线编号QB-IIS-02-02-04安全基线项说明对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号（IIS基于Windows系统，可通过提升Windows帐户策略实现）检测操作步骤1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：“账户锁定阀值”设置为6次基线符合性判定依据1、判定条件“账户锁定阀值”设置为小于或等于6次2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于6次备注认证授权用户权利指派安全基线项目名称IIS用户权利指派安全基线要求项安全基线编号QB-IIS-02-03-01安全基线项说明在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限（对于IIS用户定义分为两个层次：一、IIS自身操作用户，二、IIS发布应用访问用户；设备权限的配置基于上述两方面考虑）检测操作步骤1、参考配置操作原理：（1）文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的用户组和用户进行不同的权限设置；另外，可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。（2）目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页面实现对www目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全性。www服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件；执行权限，允许用户运行www目录下的程序和脚本。

具体操作：（1）启动“域用户管理器”->

“规则”选单下的“审核”选项->

“审核规则”（2）启动ISM（Internet服务器管理器）->

启动Web属性页面并选择“目录”选项卡；->

选择www目录；->

选择“编辑属性”中的“目录属性”进行设置：“脚本资源访问”、“读取”、“写入”、“目录浏览”、“记录访问”、“索引资源”。

基线符合性判定依据1、判定条件检测用户权限审核及ISM目录安全属性。2、检测操作（1）启动“域用户管理器”->

“规则”选单下的“审核”选项->

“审核规则”，检测

“审核规则”配置状态。（2）启动ISM（Internet服务器管理器）->

启动Web属性页面并选择“目录”选项卡；->

选择www目录；->

“编辑属性”中的“目录属性”，查看配置状态。备注日志配置启用日志功能安全基线项目名称IIS启用日志功能安全基线要求项安全基线编号QB-IIS-03-03-01安全基线项说明启用日志功能检测操作步骤1、参考配置操作打开IIS管理工具，右击要管理的站点，选择“属性”。在“WebSite”选择“启用日志记录”，从下拉菜单中选择“MicrosotfIIS日志文件格式”。“W3C”日志格式存在日志记录时间与服务器时间不统一的问题，所以应尽量采用IIS日志格式。基线符合性判定依据1、判定条件启用日志记录，并采用IIS日志格式。2、检测操作开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”检查是否“启用日志记录”并采用“MicrosotfIIS日志文件格式”。备注更改日志存放路径安全基线项目名称IIS日志存放路径安全基线要求项安全基线编号QB-IIS-03-01-02安全基线项说明更改IISWeb日志默认存放路径检测操作步骤1、参考配置操作将IIS的网页访问日志独立存放在一个独立的分区中，并且系统管理员要定期对该目录进行查看和维护，确保日志内容不会溢出，并可以及早的发现网络异常行为。基线符合性判定依据1、判定条件IIS的网页访问日志独立存放在一个独立的分区中2、检测操作进入“开始->管理工具->资源管理器”，查看日志文件存放路径。备注日志访问权限安全基线项目名称IIS日志访问权限安全基线要求项安全基线编号QB-IIS-03-01-04安全基线项说明设备应配置权限，控制对日志文件读取、修改和删除等操作。检测操作步骤1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中配置相应“审核策略更改”配置相应选项。基线符合性判定依据1、判定条件确定系统相关“审核策略”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中配置相应“审核策略更改”选项选择状态。备注IP协议安全IP访问限制安全基线项目名称IISIP访问限制安全基线要求项安全基线编号QB-IIS-04-01-01安全基线项说明在条件允许的条件下，对IIS访问源进行IP范围限制。只有在允许的IP范围内的主机才可以访问WWW服务。检测操作步骤参考配置操作开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”基线符合性判定依据1、判定条件需要限制访问源的话进行ip范围限制。2、检测操作开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”。检查是否进行了ip的限制。备注IP转发安全性安全基线项目名称IISIP转发安全基线要求项安全基线编号QB-IIS-04-01-02安全基线项说明IP转发的安全性检测操作步骤1、参考配置操作IIS服务可提供IP数据包转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，以此提升IIS服务安全性。IIS服务器启动“网络属性”->“协议”选项卡->在“TCP/IP属性”中去除“路由选择”选项。基线符合性判定依据1、判定条件判断IIS所属服务器“路由选择”选项状态。2、检测操作IIS服务器启动“网络属性”->“协议”选项卡->在“TCP/IP属性”查看“路由选择”选项。备注SSL身份认证安全基线项目名称IISSSL身份认证安全基线要求项安全基线编号QB-IIS-04-01-03安全基线项说明IIS服务SSL身份访问认证检测操作步骤1、参考配置操作IIS的身份认证除了匿名访问、基本验证和WindowsNT请求/响应方式外，还有一种安全性更高的认证：通过SSL（SecuritySocketLayer）安全机制使用数字证书，以此提升IIS应用的身份访问安全性。启动“Internet信息服务”->“Web站点的属性页”->“目录安全性”选项->单击“密钥管理器”通过密钥管理器生成密钥对文件和请求文件；从身份认证权限中申请一个证书；

通过密钥管理器在服务器上安装证书激活Web站点的SSL安全性。

基线符合性判定依据1、判定条件登录“Internet信息服务”->“Web站点的属性页”->“目录安全性”->“编辑”查看SSL相应选项选择状态。2、检测操作（1）登录“Internet信息服务”->“Web站点的属性页”->“目录安全性”->“编辑”查看SSL相应选项选择状态。（2）配置相应SSL身份认证后，分别以普通身份及基于SSL证书方式分别登录Web应用，查看登录状态。备注屏幕保护屏幕保护配置安全基线项目名称IIS屏幕保护安全基线要求项安全基线编号QB-IIS-05-01-01安全基线项说明对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定（参考Windows相关配置：设置带密码的屏幕保护，并将时间设定为5分钟。）检测操作步骤1、参考配置操作进入“控制面板－>显示－>屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”基线符合性判定依据1、判定条件启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。2、检测操作进入“控制面板－>显示－>屏幕保护程序”：查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。备注文件系统及访问权限更改IIS安装路径安全基线项目名称IIS安装路径安全基线要求项安全基线编号QB-IIS-05-02-01安全基线项说明更改IIS默认安装路径。检测操作步骤参考配置操作开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”。IIS安装后的默认主目录是“%system%Inetpubwwwroot”，为更好地抵抗踩点、刺探等攻击行为，应该更改主目录位置，如下图所示：基线符合性判定依据1、判定条件更改IIS默认安装路径。2、检测操作开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”。查看是否更改IIS默认安装路径。备注删除非必要脚本影射安全基线项目名称IIS脚本影射安全基线要求项安全基线编号QB-IIS-05-02-03安全基线项说明文件安全配置要求：删除不必要的脚本影射。检测操作步骤1、参考配置操作开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”-〉编辑-〉根目录-〉配置，然后从列表中删除以下不必要的脚本，包括：.htr、idc、.stm、.shtm、.shtml、.printer、.htw、.ida和.idq。删除的原则：只保留需要的脚本映射。配置方法：从“Internet服务管理器”中：选择计算机名，点鼠标右键，选择属性：然后选择编辑：然后选择主目录，点击配置：选择需要删除的扩展名，点击删除：（以下图示仅供参考，依据实际需求操作）基线符合性判定依据1、判定条件删除不必要的脚本影射。2、检测操作开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”-〉编辑-〉根目录-〉配置：查看是否删除不必要的脚本影射。备注按帐户分配日志访问权限安全基线项目名称IIS按帐户分配日志权限安全基线要求项安全基线编号QB-IIS-05-02-04安全基线项说明按账号分配日志文件读取、修改和删除权限，从而防止日志文件被篡改或非法删除。检测操作步骤1、参考配置操作通过“资源管理器”，修改文件权限，除管理员组用户外，其他用户不得修改、删除日志文件。基线符合性判定依据1、判定条件非管理员组的用户不得修改、删除日志文件。2、检测操作资源管理器->日志文件->“属性”。备注补丁管理升级补丁安全基线项目名称IIS补丁升级安全基线要求项安全基线编号QB-IIS-05-03-01安全基线项说明如需启用IIS服务，则将IIS升级到最新补丁。检测操作步骤1、参考配置操作下载IIS补丁包

IIS4.0

/Downloads/Release.asp?ReleaseID=23667

IIS5.0

/Downloads/Release.asp?ReleaseID=23665并安装，或升级到IIS6.0基线符合性判定依据1、判定条件已安装IIS最新补丁包。2、检测操作控制面板->添加或删除程序->显示更新打钩，查看是否安装IIS补丁包。备注IIS服务组件组件安装管理安全基线项目名称IIS组件安装安全基线要求项安全基线编号QB-IIS-05-04-01安全基线项说明IIS是架设WEB、FTP、SMTP服务器的一套整合软件，如果不是必须，不得安装FTP、SMTP服务。检测操作步骤1、参考配置操作已经安装的上述不必服务，可以通过“控制面板”->“添加/删除程序”->“添加删除IIS组件”->“internet信息服务（IIS）”中删除不必要的服务组件。基线符合性判定依据1、判定条件查看FTP、SMTP服务没有被安装。2、检测操作可以通过“控制面板”->“添加/删除程序”->“添加删除IIS组件”->“internet信息服务（IIS）”中检查是否删除不必要的服务组件。备注服务扩展管理安全基线项目名称IIS服务扩展安全基线要求项安全基线编号QB-IIS-05-04-02安全基线项说明对于IIS6.0对于“web服务扩展”，默认只启用了“”功能。如果业务系统不需要ASP支持，必须按照下图的方法将相应的服务扩展禁止。检测操作步骤1、参考配置操作基线符合性判定依据1、判定条件如果业务系统不需要ASP支持，禁用“”功能。2、检测操作开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点，然后右键点击“web服务扩展”。检查是否禁用“”功能。备注WebLogicWeb服务安全配置基线账号管理系统启动帐号安全基线项目名称WebLogic启动账号安全基线要求项安全基线编号SBL-WebLogic-02-01-01安全基线项说明要求限制帐号检测操作步骤1、参考配置操作查看以管理员身份登录控制台执行#ps–ef|grep–iweblogic基线符合性判定依据1、判定条件执行账号不可以是root和nobody。备注账号锁定策略安全基线项目名称WebLogic账号锁定安全基线要求项安全基线编号SBL-WebLogic-02-01-02安全基线项说明要求设定帐号锁定次数和时间检测操作步骤1、参考配置操作查看以管理员身份登录控制台1.点击左侧面板”Security”文件夹，展开”REALM”2.点击右侧面板中的”UserLock”标签，查看LockoutEnabled，LockoutThreshold，LockoutDuration等基线符合性判定依据1、判定条件要求LockoutEnabled=true;LockoutThreshold=5;LockoutDuration=30备注口令安全密码复杂度安全基线项目名称WebLogic密码复杂度安全基线要求项安全基线编号SBL-WebLogic-02-01-01安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8位。检测操作步骤1、参考配置操作查看WebLogic安装目录下的config.xml配置文件2、补充操作说明口令要求：长度至少8位。基线符合性判定依据1、判定条件PasswordPolicyMinimumPasswordLength="8"缺省就是8，缺省在config.xml不会有MinimumPasswordLength值<PasswordPolicyName="wl_default_password_policy"/>备注提供3类账号给4A，有4A根据密码设置要求进行定期修改，应用系统必须支持生产账号密码定期修改等密码设置要求，建议无需人工干预。日志配置审核登录安全基线项目名称WebLogic审核登录安全基线要求项安全基线编号SBL-WebLogic-03-01安全基线项说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤1、参考配置操作登录控制台检查基线符合性判定依据1、判定条件开启日志，配置按日期rotate备注IP协议安全配置支持加密协议安全基线项目名称WebLogic支持加密协议安全基线要求项安全基线编号SBL-WebLogic-04-01安全基线项说明对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。检测操作步骤1、参考配置操作查看WebLogic安装目录下的config.xml配置文件基线符合性判定依据1、判定条件weblogic.system.SSLListenPort=portNumberweblogic.security.certificate.server=mycert.derweblogic.security.key.server=mykey.derweblogic.security.certificate.authority=CA.derweblogic.security.certificateCacheSize=5weblogic.security.clientRootCA=anyValidCertificateweblogic.httpd.register.a