IT系统安全基线规范方案V30

中国XX公司IT技术标准

中国XX公司信息技术部

目录

IT系统平安基线标准1

(V3.0)错误！未定义书签。

1.范围4

2.术语、定义和缩略语4

3.总体说明5

3.1编写背景5

3.2平安基线制定的方法论5

4.平安基线范围及内容概述6

4.1覆盖范围及适用版本6

4.2平安基线编号说明6

4.3平安基线组织及内容6

5.WEB应用平安基线标准7

5.1身份与访问控制7

5.1.1账户钺定策略7

5.1.2叠录用图片验证码7

5.1.3口令传输8

5.1.4保存叠录功能8

5.1.5纵向访问控制8

5.1.6横向访问控制9

5.1.7敏感资源的访权9

5.2会话管理9

5.2.1会话超时9

5.2.2会话终止10

5.2.3会话标识10

5.2.4会话标识复用10

5.3代码质量11

5.3.1防范跨站脚本攻击11

5.3.2防范SQL注入攻击11

5.3.3防止路径遍历攻击11

5.3.4防止命令注入攻击12

5.3.5防止其他常见的注入攻击12

5.3.6防JL下载敏感资源文件12

5.3.7防止上传后门脚本13

5.3.8保证多线程平安13

5.3.9保证释放资源13

5.4内容管理14

5.4.1加密存储敏感信息14

5.4.2防止泄露敏感技术细节14

5.5防钓鱼与防垃圾邮件15

5.5.1防钓鱼15

5.5.2防垃圾邮件15

5.6密码算法15

5.6.1平安算法15

5.6.2密钥管理16

6.中间件平安基线内容16

6.1APACHE平安配置基线16

6.1.1日志配置16

6.1.2访问权限17

6.1.3防攻击管理18

6.2WEBSPHERE平安配置基线20

6.2.1帐号管理20

6.2.2认证授权21

6.2.3日志配置22

6.2.4备份容错23

6.2.5平安管理23

6.3T0MCATWEB平安配置基线25

6.3.1账号管理25

6.3.2口令平安26

6.3.3日志配置28

6.3.4平安管理29

6.4IIS效劳平安配置基线30

6.4.1题号管理30

6.4.2口令平安31

6.4.3认证授权33

6.4.4日志配置34

6.4.5IP协议平安35

6.4.6孱蕊侏护37

6.4.7文件系统及访问权限38

6.4.8补丁管理42

6.4.911s效劳组件42

6.5WEBL0GICWEB效劳平安配置基线43

65.1账号管理43

6.5.2口令平安44

6.5.3日志配置45

6.5.41P协议平安配置45

6.5.5平安管理47

7.数据库平安基线内容48

7.1DB2数据库平安配置基线48

7.1.1数据库权限48

7.1.2DB2认证50

7.2S0LSERVER数据库平安配置基线51

Z2.1口令平安51

7.2.2日志配置51

7.2.3更新补丁52

7.30RACLE数据库系统平安配置基线52

7.3.1账号管理52

7.3.2口令平安53

8.主机平安基线内容56

8.1AIX平安配置基线56

8.1.1账号管理56

8.1.2口令平安57

8.1.31P协议平安58

8.1.4日志配矍58

8.2HP-UNIX平安配置基线59

8.2.1账号管理59

8.2.2口令平安59

8.2.3日志配置61

8.2.4/P协议平安62

8.2.5其他平安配置62

8.3LINUX平安配置基线63

8.3.1殊号管理63

8.3.2认证授权64

8.3.3日志配置64

8.4MND0WS平安配置基■线65

8.4.1账号管理65

8.4.2口令平安65

8.4.3认证授权66

8.4.4日志配置67

8.4.5/P协议平安71

8.4.6其他平安配置71

8.5S0LARIS平安配置宓线73

8.5.1账号管理73

8.5.2口令平安73

8.5.3认证授权75

854日志配375

8.5.5IP称议平安77

9.设备平安基线内容78

9.1CISC0路由平安配置基线78

9.1.1账号管理78

9.1.2口令平安79

9.1.3认证授权80

9.1.4日志配置81

9.1.5IP协议平安83

9.1.6功能配置84

9.1.7其他平安配矍86

9.2HUAWEI路由平安配置身线87

9.2.1账号管理87

9.2.2口令平安88

9.2.3日志配置90

9.2.4IP协议平安92

9.2.5其他平安配置93

9.3JUNIPER路由平安配端,基线95

9.3.1账号管理95

9.3.2口令平安97

9.3.3日志配矍98

9.3.4/P协议平安102

9.3.5其他平安配置106

10.平安基线使用要求109

11.文档修订记录109

1.范围

本标准对各类操作系统、网络设备、数据库、中间件和WEB应用的平安配置和检查明确

了根本的要求。本标准适用于xxxIT系统的各类操作系统、网络设备、数据库、中间件和

WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、平安加固

的依据。

2.术语、定义和缩略语

词语解释

SecurityBaseIine平安基线：是设备功能和配卷方面的根本平安要求，是信息系

统的最小平安保证和最根本的、必须满足的平安要求。它适用

于未上线和已上线系统，用于保障组织内IT系统平安水平。

SHG平安加固手册SecurityHardenGuideIine

SBL平安基线SecurityBaseIine

平安风险人为或自然的威胁可能利用IT系统中存在的脆弱性导致平安

事件的发生及其对组织造成的影喻。

平安风险评估指运用科学的方法和手段，系统地分析IT系统所面临的威胁

及其存在的脆弱性，评估平安事件一旦发生可能造成的危害程

度，提出有针对性的抵御威胁的防护对策和平安措施。防范和

化解IT系统平安风险，或者将风险控制在可承受的水平，为

最大限度地为保障IT系统的平安提供科学依据

资产是平安防护保护的对象。IT系统的资产可能是以多种形式存

在，无形的、有形的、硬件、软件，包括物理布局、通信设备、

物理线路、数据、软件、文档、规程、业务、人员、管理等各

种类型的资源，如0A系统、ERP系统等。

资产价值资产的重要程度或敏感程度。资产价值是资产的属性，也是进

展资产识别的主要内容。

威胁可能导致对IT系统产生危害的不希望事故潜在起因，它可能是

人为的，也可能是非人为的：可能是无意失误，也可能是恶意

攻击。常见的威胁有黑客入侵、硬件故障、人为操作失误、火

灾、水灾等等.

脆弱性是IT系统中存在的弱点、缺陷与缺乏，不直接对资产造成危

害，但可能被威胁所利用从而危害资产的平安。

3.总体说明

3.1编写背景

xxxIT系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，

各个系统平安水平不一，容易遭受黑客攻击，存在很多平安隐患。为了保证整体平安水平，

防止系统设备因为平安配置不到位而带来平安风险，有必要对系统设备的平安性进展检查和

加固。假设系统按照平安表线进展了检查和加固，那么可以确保系统和设备平安符合性到达

要求，杜绝大局部的平安隐患。为此，制定各系统的平安基线，作为产品准入、入网测试、

工程脸妆、系统运维配置、自我评估、平安加固依据，同时也是满足内控管理要求的依据。

此次系列平安基线标准覆盖了应用层、中间件层、操作系统层以及网络层，并依据这些

平安基线建立准入措施，从源头和根本上控制和提高系统的平安性。此次工程对平安基线的

要求如下：

•覆盖面广，涵盖常见IT系统和设备，并涵盖Web应用和源代码的平安基线；

•可操作性强，针对每个检查项均有简洁的操作说明；

•定期更新，应当周期性的对基线进展补充和更新；

•成果可固化，基线可以被集成为检查工具：

•平安基线将作为系统和设备平安准入的必要条件。

3.2平安基线制定的方法论

平安基线制定主要基于以下方法:

1.参考产品原厂商的技术资料

2.参考平安效劳及平安研究的成果

3.参考国内外大型研究机构及企业现行的平安基战

4.结合xxx集团总部下发的相关标准及xxx信息技术部的实际情况

4.平安基线范围及内容概述

4.1覆盖范围及适用版本

目前省、市公司IT系统中部署了数量众多的IT设备和系统，主要包括网络设备、主

机、数据库、中间件和应用系统等。此次平安基线制定的范围需要涵盖xxx常见的IT系统

和设备，具体包括：

1、应用系统：2、中间件：

■Web应用层平安基线，针对Web应用■Apache

的身份与访问控制、会话管理、代码■WebSphere

质量、内容管理等方面制定平安检查■Tomcat

项・IIS

■Weblogic

3、数据库：4、主机：

■Oracle■Windows

■DB2■AIX

■SQLServer■HP-UX

■Solaris

■Linux

5、设备：

■Cisco

■HuaWei

■Juniper

以上设备和系统之外的平安基线将根据需要进展补充。

4.2平安基线编号说明

平安基线采用SBL-设备系统名称-数字-数字-数字的方式命名，设备系统名称是指此基

线适用的设备或系统，例如windows、oracle等，后续的数字编号指基线要求的具体工程编

号，例如SBL-WebAPP-02-02-01是指Web应用的平安基线，属于此基线第二章身份与访问控

制第二小节登录用图片验证码的第一项要求，因此后续数字编号为02-02-01o

4.3平安基线组织及内容

XXX信息技术部制定的平安基线主要分为两大类，第一大类是应用层基线，由于此层的

应用系统多为定制开发，因此重在考虑设计、开发、测试环节引入的平安问题。Web应用层

平安基线通常包括以下九个范畴的要求：

1）身份与访问控制

2）会话管理

3）代码质量

4）内容管理

5）防钓鱼与防垃圾邮件

6）密码算法

7）系统日志

8）安装配直

9）平安维护

第二大类是通用的IT根底设施系统层基线，这类系统包括中间件、数据库、操作系统

和网络设备等，它们多为非定制标准化产品，原厂商技术支持较好，资料完整，因此这类平

安基线的内容主要关注帐号口令、平安策略，补丁情况，网络协议，日志等问题。

5.Web应用平安基线标准

5.1身份与访问控制

5.1.1账户锁定策咯

平安基线工Web应用账户锁定策略平安基线要求项

程名称

平安基线编SBL-WebAPP-02-01-01

号

平安基线项用户卷录失败一定次数后系统自动锁定账号一段时间，以防止暴力猜想密码。

说明

检测操作步尝试使用错误用户名口令失败登录屡次，

骤

基线符合性用户卷录失败一定次数后系统自动锁定账号。

判定依据

备注

5.1.2登录用图片验证码

平安基线工Web应用登录验证策略平安基线要求项

程名称

平安基线编SBL-WebAPP-02-02-01

号

平安基线项用户登录需提供图片验证码，以防止固定密码暴力猜想账号。

说明

检测操作步检查登录认证界面输入项，并右键点击图片查看链接属性。

骤

基线符合性要求包含图片脸证码输入项，并且图片链接属性不得包含明文图片睑证码。

判定依据

备注

5.1.3口令传输

平安基线工Web应用口令传输策略平安基线要求项

程名称

平安基线编SBL-WebAPP-02-03-01

号

平安基线项不能明文传输用户登录密码。

说明

检测操作步尝试登录系统，并使用抓包工具查看交互过程中在网络传输的内容。

骤

基线符合性要求不得出现明文口令

判定依据

备注

5.1.4保存登录功能

平安基线工Web应用保存登录平安基线要求项

程名称

平安基线编SBL-WebAPP-02-04-01

号

平安基线项不能提供“保存登录〃功能，该功能可能被利用于CSRF攻击。

说明

检测操作步检查登录界面是否提供了保存登录功能

骤

基线符合性不得提供该功能。

判定依据

备注

5.1.5纵向访问控制

平安基线工Web应用纵向访问平安基线要求项

程名称

平安基线编SBL-WebAPP-02-05-01

号

平安基线项合理进展纵向访问控制，不允许普通用户访问管理功能。

说明

检测操作步了解是否有不允许普通用户访问的功能，尝试直接在浏览器中访问功能甦接。

豚

基线符合性用户不得跨权限访问受控页面

判定依据

备注

5.1.6横向访问控制

平安基线工Web应用横向访问平安基线要求项

程名称

平安基线编SBL-WebAPP-02-06-01

号

平安基线项合理进展横向访问控制，不允许用户访问其他用户的敏感数据。

说明

检测操作步了解是否存在敏感信息，检查是否对个人敏感信息进展了有效保护

骤

基线符合性用户不得跨权限查看其它用户受保护敏感信息

判定依据

备注

5.1.7敏感资源的访问

平安基线工Web应用敏感资源访问平安基线要求项

程名称

平安基线编SBL-WebAPP-02-07-01

号

平安基线项需要限制对敏感资源的访问，例如后台管理，日志记录等。

说明

检测操作步检查效劳器的文件是否存在敏感资源，测试是否限制了这些资源的访问。

骤

基线符合性对钺感资源的访问应当受控。

判定依据

备注

5.2会话管理

5.2.1会话超时

平安基线工Web应用会话超时平安基线要求项

程名称

平安基线编SBL-WebAPP-03-01-01

号

平安基线项当用户长叶间不操作时，系统自动终止超时会话。

说明

检测操作步登录系统后不操作，等待合理的时间间隔。

骤

基线符合性要求预先设计的时间间隔后查看页面自动中止超时会话。

判定依据

备注

5.2.2会话终止

平安基线工Web应用会话终止平安基线要求项

程名称

平安基线编SBL-WebAPP-03-02-01

号

平安基线项系统需提供“退出”功能，允许用户强制终止当前的会话。

说明

检测操作步登录系统后点击系统提供的“退出〃功能，然后在同一IE窗口下视图回退到

骤登录后的页面，并访问相应的功能

基线符合性点击退出后，上述检测操作结果不成功

判定依据

备注

5.2.3会话标识

平安基线工Web应用会话标识平安基线要求项

程名称

平安基线编SBL-WebAPP-03-03-01

号

平安基线项会话标识必须足够随机，防止攻击者猜想标识或依据当前标识推导后续的标

说明识。

检测操作步检查多个会话标识的格式。

骤

基线符合性多个会话标识不得存在简单明了的逻辑关系，要求具有随机性

判定依据

备注

5.2.4会话标识复用

平安基线工Web应用会话标识复用平安基线要求项

程名称

平安基线编SBL-WebAPP-03-04-01

号

平安基线项用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标

说明识。

检测操作步检查登录前后是否使用一样的会话标识。

骤

基线符合性用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标

判定依据识。

备注

5.3代码质量

5.3.1防范跨站脚本攻击

平安基线工Web应用防范跨站脚本平安基线要求项

程名称

平安基线编SBL-WebAPP-04-01-01

号

平安基线项系统要防止将用户输入未经检查就直接输出到用户浏览器，防范跨站脚本攻

说明击。

检测操作步检查系统是否存在跨站脚本攻击漏洞。例如在能够回显的输入枢揄入

a<sccipt>alert("xss〃)</script>

基线符合性要求系统能够将输入内容中的控制字当作纯文本内容处理

判定依据

备注

5.3.2防范SQL注入攻击

平安基线工Web应用防范SQL注入平安基线要求项

程名称

平安基线编SBL-WebAPP-04-02-01

号

平安基线项系统要防止将用户输入未经检查就用于构造数据库查询，防范SQL注入攻击。

说明

检测操作步检查系统是否存在SQL注入漏洞。例如在输入框中输入'

骤

基线符合性系统要使用诸如preparedstatement等方式防止SQL注入，将输入内容中的

判定依据控制字也当作纯文本处理

备注

5.3.3防止路径遍历攻击

平安基线工Web应用防范路径遍历平安基线要求项

程名称

平安基线编SBL-WebAPP-04-03-01

号

平安基线项系统要防止将用户输入未经检查就用于构造文件路径，防止路径遍历攻击。

说明

检测操作步尝试在URL与榆入中构造文件路径并查看页面反响

骤

基线符合性不允许通过构造文件路径的方式直接查看文件

判定依据

备注

5.3.4防止命令注入攻击

平安基线工Web应用防范命令注入平安基线要求项

程名称

平安基线编SBL-WebAPP-04-04-01

号

平安基线项系统要防止将用户输入未经检查就用于构造操作系统命令并执行。

说明

检测操作步宏试在各个输入点进展命令注入攻击

骤

基线符合性命令注入攻击不得成功

判定依据

备注

5.3.5防止其他常见的注入攻击

平安基线工Web应用防范其它注入「安基线要求项

程名称

平安基线编SBL-WebAPP-04-05-01

号

平安基线项防止系统存在LDAP注入、XML注入、XPATH注入、SMTP注入等漏洞。

说明

检测操作步尝试在各个输入点进展其它常见注入攻击

骤

基线符合性各类注入攻击不得成功

判定依据

备注

5.3.6防止下载敏感资源文件

平安基线工Web应用防范下载漏洞平安基线要求项

程名称

平安基线编SBL-WebAPP-04-06-01

号

平安基线项如果系统提供了下载功能，要防止用户通过路径遍历漏洞下载敏感资源文件。

说明

检测操作步如果系统提供了下载功能，试图通过路径遍历漏洞下载敏感资源文件。

骤

基线符合性各类下载攻击不得成功

判定依据

备注

5.3.7防止上传后门脚本

平安基线工Web应用防范上传漏洞平安基线要求项

程名称

平安基线编SBL-WebAPP-04-07-01

号

平安基线项如果系统提供了文件上传功能，要防止用户上传后门脚本。

说明

检测操作步如果系统提供了上传功能，试图通过上传功能上传恶意文件。

a

基线符合性各类上传攻击不得成功

判定依据

备注

5.3.8保证多线程平安

平安基线工Web应用多线程平安基线要求项

程名称

平安基线编SBL-WebAPP-04-08-01

号

平安基线项如果系统某资源可被多人同时修改，或被同一用户经过不同的方式同时修改，

说明或被用户线程与系统线程同时修改，需要保证多线程平安。

检测操作步如果系统存在多线程问题，分析保护多线程访问资源的平安解决方案

骤

基线符合性必须有适当的解决方案

判定依据

备注

5.3.9保证释放资源

平安基线工Web应用释放资源基线要求项

程名称

平安基线编SBL-WebAPP-04-09-01

号

平安基线项系统需保证在正常与异常流程时都能正确释放不需要的资源，例如翻开的文

说明件，数据店连接等。

检测操作步分析正常与异常流程中资源释放的动作

a

基线符合性资源释放覆盖所有流程分支

判定依据

备注

5.4内容管理

5.4.1加密存储敏感信息

平安基线工Web应用加密存储敏感信息基线要求项

程名称

平安基线编SBL-WebAPP-05-01-01

号

平安基线项系统应当加密存储敏感信息，如密码、信用卡号等。

说明

检测操作步分析系统中敏感信息的存储与加密

骤

基线符合性要求加密算法平安，对信息有适当访问控制

判定依据

备注

5.4.2防止泄露敏感技术细节

平安基线工Web应用信息泄漏基线要求项

程名称

平安基线编SBL-WebAPP-05-02-01

号

平安基线项系统应当防止向用户提示过多的技术细苇，防止被攻击者利用。例如错误信

说明息中可能包含SQL语句，这有利于攻击者构造合法的攻击字串；又如Html

中可能包含了技术性的注释语句，可能被攻击者利用。

检测操作步分析各个页面的源码，查看提示页面，尤其是出错提示页面

骤

基线符合性各个页面不得包含技术性注释，各个提示页面不得包含Web效劳器版本、源

判定依据代码等信息

备注

5.5防钓鱼与防垃圾邮件

5.5.1防钓鱼

平安基线工Web应用重定向基线要求项

程名称

平安基线编SBL-WebAPP-06-01-01

号

平安基线项系统应当防止通过用户控制的参数来重定向或包含另外一个网站的内容。

说明

检测操作步分析系统存在任意重定向或包含其它网站内容的控制

骤

基线符合性不得由用户控制的参数生成重定向

判定依据

备注

5.5.2防垃圾邮件

平安基线工Web应用垃圾邮件基线要求项

程名称

平安基线编SBL-WebAPP-06-02-01

号

平安基”项如果系统提供了发送邮件的功能，应当防止被利用于发送垃圾邮件。

说明

检测操作步检查系统发送邮件功能

骤

基线符合性不得存在没用此功能的可能

判定依据

备注

5.6密码算法

5.6.1平安算法

平安基线工Web应用平安算法基线要求项

程名称

平安基线编SBL-WebAPP-07-01-01

号

平安基线项如果系统采用了密码算法，应当采用平安的密码算法，且符合算法的应用场

说明景。

检测操作步检查所有系统中使用的平安算法

躲

基线符合性不得使用已经被证明为不平安的算法或者自定义不平安算法

判定依据

备注

5.6.2密与月管理

平安基线工Web应用密钥管理基线要求项

程名称

平安基线编SBL-WebAPP-07-02-01

号

平安基线项如果系统采用了密码算法，且拥有密钥，那么应当有文档化的密钥管理方法

说明并严格遵照执行。

检测操作步检查所有系统中使用的密钥管理

骤

基线符合性不得使用不平安的密钥管理方法

判定依据

备注

6.中间件平安基线内容

6.1Apache平安配置基线

6.1.1日志配置

审核登录

平安基线工Apache审核叠录策略平安基线要求项

程名称

平安基线编SBL-Apache_02-01-01

号

平安基线项设备应配置日志功能，对运行错误、用户访问等进展记录，记录内容也括时

说明间，用户使用的IP地址等内容。

检测操作步1、参考配置操作

骤编辑dconf配置文件，设置日志记录文件、记录内容、记录格式。

LogLeveInotice

ErrorLoglogs/error_log

LogFormat"%h%l%u%t\"%r\"%>s%b\"%{Accept)i\"\"%{Referer)i\"

\"%{User-Agent}i\""combined

CustomLoglogs/accesslogcombined

ErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，

Apached将在这个文件中存放诊断信息和处理请求中出现的错误。假设

要将错误日志送到Syslog,那么设置:ErrorLogsyslogo

CustomLog指令设置访问日志的文件名和位置。访问日志中会记录效劳器所

处理的所有请求。

LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详

细程度，建议设置为notice。

基线符合性1、判定条件

判定依据查看logs目录中相关日志文件内容，记录完整。

2、检测操作

查看相关日志记录。

3、补充说明

备注

6.1.2访问权限

6.1.2.1制止访问外部文件

平安基线工Apache目录访问权限平安基线要求项

程名称

平安基线编SBL-Apache-03-01-01

号

平安基线项制止Apache访问Web目录之外的任何文件。

说明

检测操作步1、参考配置操作

骤编辑dconf配置文件，

<Directory/>

OrderDen/,Allow

DenyfromaII

</Directory>

2、补充操作说明

设置可访问目录，

<Directory/web>

OrderAllow,Deny

AllowfromaII

</Directory>

其中/web为网站根目录。

基线符合性1、判定条件

判定依据无法访问Web目录之外的文件。

2、检测操作

访问效劳器上不属于Web目录的一个文件，结果应无法显示。

3、补充说明

备注

6.1.3防攻击管理

错误页面处理

平安基线工Apache错误页面平安基线要求项

程名称

平安基线编SBL-Apache_03-02-01

号

平安基线项Apache错误页面重定向

说明

检测操作步1、参考配更操作

骤(1)修改d.conf配置文件：

ErrorDocument400/custom400.html

ErrorDocument401/custom401.html

ErrorDocument403/custom403.html

ErrorDocument404/custom404.html

ErrorDocument405/custom405.html

ErrorDocument500/custom500.html

Customxxxhtml为要设置的错误页面。

(2)重新启动Apache效劳

基线符合性1、判定条件

判定依据指向指定错误页面

2、检测操作

URL地址栏中输入://ip/xxxxxxx"~~〔一个不存在的页面〕

备注

6.1.3.2目录列表访问限制

平安基线工Apache目录列表平安基线要求项

程名称

平安基线编SBL-Apache_03-02-02

号

平安基线项制止Apache列表显示文件

说明

检测操作步1、参考配直操作

骤(1)编辑d.conf配置文件，

<Directory"/web">

OptionsFoIIowSymLinks

Allov/OverrideNone

Orderallow,deny

AllowfromaII

</Directory>

将OptionsIndexesFolIowSymLinks中的Indexes去掉，就可以制止Apache

显示该目录构造。Indexes的作用就是当该目录下没有index.html文件时，

就显示目录构造。

(2)设置Apache的默认页面，编辑%apache%\conf\d.conf配置文件，

<lfModuledir_moduIe>

DirectoryIndexindex.html

</lfModule>

其中index,html即为默认页面，可根据晴况改为其它文件。

(3)重新启动Apache效劳

基线符合性1、判定条件

判定依据当WEB目录中没有默认首页如index,html文件时，不会列出目录内容

2、检测操作

直接访问：//ip：8800/xxx〔xxx为某一目录〕

备注

删除无用文件

平安基线工Apache无用文件平安基线要求项

程名称

平安基线编SBL-Apache_03-02-04

号

平安基线项删除块省安装的无用文件。

说明

检测操作步1、参考配优操作

骤删除较省HTML文件：

#rm-rf/usr/1ocaI/apache2/htdocs/*

删除缺省的CGI脚本：

#rm-rf/usr/local/apache2/cgi-bin/*

删除Apache说明文件：

#rm-rf/usr/local/apache2/manuaI

删除源代码文件：

#rm-rf/path/to/d-2.2.4*

根据安装步臊不同和版本不同，某些目录或文件可能不存在或位罹不同。

基线符合性1、判定条件

判定依据2、检测操作

检查对应目录。

备注

隐藏敏感信息

平安基线工Apache隐藏,敏感信息可安基线要求项

程名称

平安基线编SBL-Apache-03-02-05

号

平安基线项隐藏Apache的版本号及其它敏感信息。

说明

检测操作步1、参考配更操作

骤修改d.conf配置文件：

ServerSignatureOff

ServerTokensProd

基线符合性1、判定条件

判定依据2、检测操作

检查配置文件。

备注

6.2WebSphere平安配置基线

6.2.1帐号管理

6.2.1.1应用程序角色

平安基线工WebSphere应用程序角色平安基线要求项

程名称

平安基线编SBL-WebSphere-02-01-01

号

平安基线项要求为应用用户定义适宜6勺角色

说明

检测操作步以管理员身份翻开管理控制台，执行：

骤1.点击“应用程序〃―〃企业应用程序〃

2.双击要查看的应用程序

3.点击“其它属性〃中的〃映射平安性角色到用户/组〃

基线符合性要求平安角色映射到“每个用户”、”所有已认证用户〃、“已映射的用户〃、

判定依据“已映射的组〃

备注

6.2.1.2控制台帐号平安

平安基线工WebSphere控制台帐号平安平安基线要求项

程名称

平安基线编SBL-WebSphere-02-01-02

号

平安基线项特权管理帐号在多个用户间共享，会引发很多平安问题，企业无法控制配置

说明上的平安，不易定位平安事件责任人，同时特权帐号非法使用者还可抹去审计

信息

检测操作步以管理员身份翻开管理控制台，执行：

骤1.点击“系统管理〃—）〃控制台设置〃~＞“控制台用户〃

2.点击要查看的用户名

3.查看用户所属组

基线符合性要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为

判定依据monitor〔监控员〕、Configurator（配置员）、Operator［操作员）

Administrator（管理员）之一

备注

6.2.1.3口令管理

平安基线工WebSphere口令平安基线要求项

程名称

平安基线编SBL-WebSphere-02-01-03

号

平安基线项不得在自动运行脚本、控制命令等地方出现Websphere明文口令，例如cron

说明脚本

检测操作步以root身份执行：

骤#ps-ef|grep-iV/ebSphere

#su-WebSphere_username-ccrontab-I"

#crontab-I

基线符合性要求回显内容中不含口令字

判定依据

备注提供3类账号给4A,有4A根据密码设置要求进展定期修改，应用系统必须

支持生产账号密码定期修改等密码设置要求，速议无需人工干预。

6.2.2认证授权

6.2.2.1控制台平安

平安基线工WebSphere控制台平安基线要求项

程名称

平安基线编SBL-WebSphere-02-02-01

号

平安基线项Cosnaming效劳权限设置过大会引入平安隐患

说明

检测操作步以管理员身份翻开管理控制台，执行：

骤1.点击“环境〃一＞命名一＞C0RBA命名效劳用户

2.查看效劳用户

3.点击“环境〃一＞命名一＞C0RBA命名效劳组

4.查看效劳组授权

基线符合性要求EVERYONE组已删除，并且ALL_AUTHENTICATED组角色仅设为"控制台命

判定依据名读〃

备注

6.2.2.2全局平安性与Java2平安

平安基线工WebSphere全局平安性与Java2平安基线要求项

程名称

平安基线编SBL-WebSphere-02-02-02

号

平安基线项启用全局平安性，控制登录管理控制台，同时应用程序将可以使用WebSphere

说明的平安特性，Java2平安性在J2EE基于角色的授权之上提供访问控制保护

的额外级别。它特别处理系统资源和API的保护，不启用Java2平安性会

极大减弱应用的平安强度。

检测操作步1.翻开管理控制台

骤2.点击“平安性〃一〉〃全局平安性〃

查看“启用全局平安性〃和“强制Java2平安性〃是否启用

基线符合性要求“启用全局平安性〃和“强制Java2平安性〃启用

判定依据

备注

6.2.3日志配置

6.2.3.1日志与记录

平安基线工WebSphere日志记录平安基线要求项

程名称

平安基线编SBL-WebSphere-03-01-01

号

平安基线项启用日志可以回溯事件进展检查或审计，日志详细信息级别如果配置不当，

说明会缺少必要的审计信息

检测操作步以管理员身份翻开管理控制台，执行：

腺1.查看设番日志的输出属性：

在导航窗格中，单击效劳器）应用程序放劳器一〉单击您要使用的效劳器的

名称一》在“故障诊断〃下面，单击日志记录和跟踪一＞单击要配置的系统日

志〔诊断跟踪、静态更改，单击〃配置〃选项卡，动态更改点击〃运行时〃选

项卡。

2.查看日志设置日志级别。

在导航窗格中，单击效劳器）应用程序效劳器一〉单击您要使用的效劳器的名

称。

--＞在“故障诊断〃下面，单击日志记录和跟踪，查看日志详细信息级别

基线符合性要求启用所有日志，并配置日志详细信息级别为*=info:

判定依据SecurityManager=aII:SystemOut=a11

备注

6.2.4备份容错

6.2.4.1备份容错

平安基线工WebSphere备份容错平安基线要求项

程名称

平安基线编SBL-WebSphere-04-01-01

号

平安基线项某非法操作或误操作可能导致效劳器崩溃，需要对WebSphere的配置文件进

说明展日常备份保护，保证应用系统的可用性.

检测操作步访谈与实地了解针对Web应用的当前备份容错机制

骤

基线符合性要求备份定错机制中针对配置文件、主程序等的备份周期，介质及内容到达

判定依据Web应用需求

备注

6.2.5平安管理

6.2.5.1例如程序删除

平安基线工WebSphere例如程序删除平安基线要求项

程名称

平安基线编SBL-WebSphere-05~01-02

号

平安基线项

sample例子程序会泄露系统敏感信息，存在较大的平安隐患

说明

检测操作步以管理员身份翻开管理控制台，执行：

骤1.点击“应用程序〃一）〃企业应用程序〃

基线符合性不得存在"DefauItAppIication*、*1PIantsByWebSphere"、

判定依据“SamplesGaIIery"、"ivtApp"等例子程序

备注

6.2.5.2错误页面处理

平安基线工WebSphere错误页面平安基线要求项