.
优化Tong服务账1 号和应用共用同一用户(可选) Tong和应用共用同一用户 与操作系统应用用户保持一致 3.1.2. 日志与审计
通过对中间件的日志进行安全控制与管理,保护日志的安全与有效性,详见表20。
表20 Tong日志与审计基线技术要求
序号 2 3 4 5 6 7 8 9 基线技术要求 事务包日志备份 交易日志备份 通信管理模块运行日志备份 系统日志备份 名字服务日志备份 调试日志备份 通信管理模块错误日志备份 日志保存时间(可选) 6个月 等保三级要求日志必须保存6个月 基线标准点(参数) 1.5G 1.5G 1.5G 1.5G 1.5G 1.5G 1.5G 说明 Pktlog达到1.5G进行备份 Txlog达到1.5G进行备份 Tonglink.log达到1.5G进行备份 syslog达到1.5G进行备份 Nsfwdlog达到1.5G进行备份 Testlog达到1.5G进行备份 Tonglink.err达到1.5G进行备份 3.1.3. 访问控制
通过配置中间件系统资源,提高中间件系统服务安全,详见表21。
表21 Tong访问控制基线技术要求
序号 10 基线技术要求 共享内存 基线标准点(参数) SHMMAX:4G SHMSEG: 3个以上 SHMALL:12G MSGTQL :4096 11 消息队列 MSGMAX:8192 MSGMNB:16384 12 .
说明 根据不同操作系统调整Tong的3个核心参数 设置Tong核心应用系统程序进行数据传递参数 设置Tong信号灯参数
信号灯 Maxuproc:1000以上 SEMMSL:13以上
.
SEMMNS:26以上 NPROC:2000以上 MAXUP:1000以上 13 进程数 设置同时运行进程数参数
3.1.4. 安全防护
通过对中间件配置参数调整,提高中间件系统安全,详见表22。
表22 Tong安全防护基线技术要求
序号 14 基线技术要求 数据传输安全 基线标准点(参数) 根据应用需求设置加密标识 tld 15 守护进程安全 tmmoni tmrcv tmsnd 说明 根据应用需求保护数据传输安全 通信管理模块、运行监控、接收处理、发送处理守护进程处于常开状态,随时处理应用程序的请求 3.1.5. 补丁管理
通过对Tong的补丁进行定期更新,达到管理基线,防止常见的漏洞被利用,详见表23。
表23 Tong补丁管理基线技术要求
序号 16 基线技术要求 基线标准点(参数) 说明 根据实际需要更新安全补丁安全补丁(可选) 根据实际需要更新 Tong4.2、Tong4.5、Tong4.6适用于AIX5.3以上版本 3.2. Apache中间件安全基线 3.2.1. 用户账号与口令
通过配置中间件用户账号与口令安全策略,提高系统账号与口令安全性,详见表24。
表24 Apache用户账号与口令基线技术要求
序号 基线技术要求 基线标准点(参数) 说明 .
.
1 优化WEB服务账号 新建Apache可访问80端口用户账号 使用WAS中间件用户安装,root用户启动 3.2.2. 日志与审计
通过对中间件的日志进行安全控制与管理,提高日志的安全性与有效性,详见表25。
表25 Apache日志与审计基线技术要求
序号 2 3 4 基线技术要求 基线标准点(参数) 说明 采用Info日志级别,分析问题时采用更高日志级别 配置错误日志文件名及位置 配置访问日志文件名及位置 日志级别(可选) Info 错误日志及记录 ErrorLog 访问日志(可选) CustomLog 3.2.3. 服务优化
通过优化中间件系统资源,提高中间件系统服务安全性,详见表26。
表26 Apache服务优化基线技术要求
序号 5 基线技术要求 无用模块 基线标准点(参数) 禁用 说明 禁用无用模块 3.2.4. 安全防护
通过对中间件配置参数调整,提高中间件系统安全性,详见表27。
表27 Apache安全防护基线技术要求
序号 6 7 基线技术要求 遍历操作系统目录(可选) 服务器应答头中的版本信息 服务器生成页面8 的页脚中版本信息 .
基线标准点(参数) 禁止 关闭 说明 修改参数文件,禁止目录遍历 隐藏版本信息,防止软件版本信息泄漏 不显示服务器默认欢迎页面 关闭 .
3.3. WAS中间件安全基线 3.3.1. 用户账号与口令
通过配置用户账号与口令安全策略,提高系统账号与口令安全性,详见表28。
表28 WAS用户账号与口令基线技术要求
序号 1 2 基线技术要求 账号安全策略 口令安全策略 基线标准点(参数) 按照操作系统账号管理规范执行 按照操作系统口令管理规范执行 说明 符合应用系统运行要求 符合应用系统运行要求 3.3.2. 日志与审计
通过对系统的日志进行安全控制与管理,提高日志的安全性与有效性,详见表29。
表29 WAS日志与审计基线技术要求
序号 3 4 基线技术要求 故障日志 记录级别 基线标准点(参数) 开启 Info 说明 记录相关日志 记录相关日志级别 3.3.3. 服务优化
通过优化系统资源,提高系统服务安全性,详见表30。
表30 WAS服务优化基线技术要求
序号 5 基线技术要求 file serving服务 配置config和6 properties目录权限 755 基线标准点(参数) 禁止 说明 开启用户可能非法浏览应用服务器目录和文件 config和properties目录权限不当存在安全隐患 3.3.4. 安全防护
通过对系统配置参数调整,提高系统安全性,详见表31。
.
.
表31 WAS安全防护基线技术要求
序号 7 8 9 10 基线技术要求 删除sample例子程序 连接会话超时控制 数据传输安全 设置控制台会话最长时间 基线标准点(参数) 删除示例域 10分钟 加密传送 30分钟 说明 防止已知攻击 设置超时时间,控制用户登录会话 在服务器console管理中浏览器与服务器传输信息配置SSL 控制台会话timeout低于30分钟 3.3.5. 补丁管理
通过进行定期更新,达到管理基线,降低常见的的漏洞被利用,详见表32。
表32 WAS补丁管理基线技术要求
序号 11 基线技术要求 安全补丁(可选) 基线标准点(参数) 按照系统管理室年度版本执行 说明 根据应用系统实际情况选择 4. 网络设备安全基线技术要求 4.1. Cisco路由器/交换机安全基线 4.1.1. 系统管理
通过配置网络设备管理,提高系统运维管理安全性,详见表33。
表33 Cisco系统管理基线技术要求
序号 1 基线技术要求 基线标准点(参数) 说明 采用ssh服务代替telnet服务管远程ssh服务(可选) 启用 理网络设备,提高设备管理安全性 2 3 .
认证方式 非管理员IP地址 tacas/radius认证 禁止 启用设备认证 配置访问控制列表,只允许管理员IP或网段能访问网络设备管理
信息系统的安全基线
