08.差距评估.安全计算环境之中间件安全基线


本次从头梳理一下等保2.0涉及到的主要步骤:
等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。
定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评的安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。
本节继续分析安全计算环境中的中间件,常见的中间件有IIS,Tomcat,Apache,WebLogic等,实际上就是WEB服务器的软件部分,这块内容之前是集合在操作系统中的,现在专门分出来了。不同类型的中间件可以根据安全加固基线进行相应的配置,下面给出不同加固基线配置的大纲。
在对中间件做测评过程中,安全计算环境中的要求有些控制点是不适用的,在测评过程中可根据中间件的类型以及表中的【测评对象】进行判定是否不适用。
安全计算环境中还有一块是终端安全,这块由于和服务器安全测评方法大同小异,这里就不再赘述,亦可以找相关的加固基线配置文档进行参考。

总体要求

中间件安全防护基线配置及检测应满足账号、口令、日志、授权和其它安全等五个方面的要求,具体配置操作及检测方法应结合具体设备,要求详见下方各类型中间件的详细描述。总体要求主要包括:

  1. 账号(对应访问控制)
    1)应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。
    2)应删除或锁定与设备运行、维护等工作无关的账号。
  2. 口令(对应身份鉴别)
    对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。这里要注意的是,目前大多数中间件都不支持双因素认证,因此对口令复杂度上一定要做到位。
  3. 授权(对应访问控制)
    在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
  4. 日志(对应安全审计)
    设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
  5. 其它(对应剩余信息保护)
    1)对于具备字符交互界面的设备,应支持定时账户自动登出。登出后用户需再次登录才能进入系统。
    2)错误页面重定向。
    3)检查中间件的版本是否存在高危漏洞

Apache

  1. 访问控制
      1.1 配置Apache运行账户
      1.2 禁止访问外部文件
      1.3 禁止目录浏览
      1.4 配置敏感文件访问权限
      1.5 配置使用安全的HTTP请求
  2. 安全审计
      2.1 配置安全日志
  3. 资源控制
      3.1 配置抗拒绝服务攻击参数
      3.2 设置连接数
  4. 其它安全项
      4.1 删除缺省文件
      4.2 设置隐藏Apache版本号
      4.3 配置错误页面处理
      4.4 更新补丁

IIS

IIS的版本有5.0/6.0/7.0/2003,其中5.0是老古董了,且漏洞较多,基本已绝种。其他几个版本功能上略有不同,体现在下面星号的部分可能低版本的IIS会无法配置。

  1. 帐号管理、认证授权
      1.1 帐号
        1.1.1 避免帐号共享*
        1.1.2 删除或锁定无关帐号*
      1.2 口令
        1.2.1 密码复杂度
        1.2.2 密码生存期
        1.2.3 密码更改
      1.3 授权
        1.3.1 用户权利指派*
  2. 日志要求
      2.1 日志配置
        2.1.1 启用日志功能
        2.1.2 更改日志存放路径
        2.1.3 记录安全事件
        2.1.4 日志访问权限
  3. IP协议安全配置操作
      3.1 IP协议
        3.1.1 IP访问限制*
        3.1.2 IP转发安全性
        3.1.3 SSL身份认证*
  4. 设备其他安全功能要求
      4.1 屏幕保护
        4.1.1 屏幕保护配置
      4.2 文件系统及访问权限
        4.2.1 更改lIS安装路径
        4.2.2 删除风险文件*
        4.2.3 删除非必要脚本映射*
        4.2.4 按帐户分配日志访问权限*
      4.3 补丁管理
        4.3.1 升级补丁*
      4.4 lIS服务组件
        4.4.1 组件安装管理*
        4.4.2 服务扩展管理*

Tomcat

Tomcat Web服务器版本从3.x到10.x都有。详见:https://archive.apache.org/dist/tomcat/,不同版本在配置安全加固上略有不同,体现在下面星号的部分。

  1. 帐号管理、认证授权
      1.1 帐号
        1.1.1 共享帐号管理*
        1.1.2 无关帐号管理*
      1.2口令
        1.2.1密码复杂度
        1.2.2密码生存期
      1.3 授权
        1.3.1 用户权利指派*
  2. 日志配置操作
      2.1 日志配置
        2.1.1 审核登录
  3. IP协议安全配置
      3.1 IP协议
        3.1.1 支持加密协议*
    4.设备其他配置操作
      4.1安全管理
        4.1.1定时登出
        4.1.2错误页面处理
        4.1.3目录列表访问限制

WebLogic

  1. 帐号管理、认证授权
      1.1 帐号
        1.1.1 系统启动帐号
        1.1.2 帐号锁定策略
      1.2 口令
        1.2.1 密码复杂度
  2. 日志配置操作
      2.1 日志配置
        2.1.1 审核登录
  3. IP协议安全配置
      3.1 lP协议
        3.1.1 支持加密协议
        3.1.2 限制应用服务器Socket数量
        3.1.3 禁用Send Server Header
  4. 设备其他配置操作
      4.1 安全管理
        4.1.1 定时登出
        4.1.2 更改默认端口*
        4.1.3 错误页面处理
        4.1.4 目录列表访问限制

WebSphere

  1. 账号管理、认证授权
      1.1 账号管理
        1.1.1 定义合适的角色MAP
        1.1.2 设置控制台CosNaming服务安全
      1.2 认证授权
        1.2.1 启用全局安全性和JAVA2 安全
        1.2.2 使用管理角色分配给用户合适的管理权限
        1.2.3 查看应用服务器是否有明文口令
  2. 日志配置
      2.1 查看是否启用日志以及记录级别
  3. 通信协议
      3.1 查看是否启用SWAM认证
  4. 设备其他安全要求
      4.1 安装部署
        4.1.1 查看控制台会话timeout设置
        4.1.2 删除sample例子程序
        4.1.3 定义默认错误网页
        4.1.4 禁止file serving服务
        4.1.5 禁止Directory browsing
        4.1.6 限制MQ消息日志目录权限
        4.1.7 限制config和properties目录权限
        4.1.8 从生产环境删除源码
      4.2 运行维护
        4.2.1 安装最新安全相关补丁包
        4.2.2 命令行和crontab不显示口令参数
      4.3 备份容错
        4.2.1 完善WebSphere服务器备份机制

除了这些中间件,还有JBoss、Nginx等,这里就不一一列举。

  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
IIS服务器安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月 "版本 "版本控制信息 "更新日期 "更新人 "审批人 " "V1.0 "创建 "2009年1月 " " " "V2.0 "更新 "2012年4月 " " " " " " " " " " " " " " " " " " " " " 备注: 1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。 目 录 第1章 概述 5 1.1 目的 5 1.2 适用范围 5 1.3 适用版本 5 1.4 实施 5 1.5 例外条款 5 第2章 帐号管理、认证授权 6 2.1 帐号 6 2.1.1 避免帐号共享* 6 2.1.2 删除或锁定无关帐号* 7 2.2 口令 7 2.2.1 密码复杂度 7 2.2.2 密码生存期 8 2.2.3 密码更改 9 2.3 授权 9 2.3.1 用户权利指派* 9 第3章 日志要求 11 3.1 日志配置 11 3.1.1 启用日志功能 11 3.1.2 更改日志存放路径 11 3.1.3 记录安全事件 12 3.1.4 日志访问权限 13 第4章 IP协议安全配置操作 14 4.1 IP协议 14 4.1.1 IP访问限制* 14 4.1.2 IP转发安全性 15 4.1.3 SSL身份认证* 15 第5章 设备其他安全功能要求 17 5.1 屏幕保护 17 5.1.1 屏幕保护配置 17 5.2 文件系统及访问权限 17 5.2.1 更改IIS安装路径 17 5.2.2 删除风险文件* 19 5.2.3 删除非必要脚本映射* 19 5.2.4 按帐户分配日志访问权限* 22 5.3 补丁管理 23 5.3.1 升级补丁* 23 5.4 IIS服务组件 24 5.4.1 组件安装管理* 24 5.4.2 服务扩展管理* 24 第6章 评审与修订 26 第1章 概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的IIS服务器应当 遵循的安全性设置标准,本文档旨在指导系统管理人员进行IIS服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的IIS服 务器系统。 1.3 适用版本 5.0、6.0、7.0、2003等版本。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程 中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因, 送交中国移动通信有限公司管理信息系统部进行审批备案。 第2章 帐号管理、认证授权 2.1 帐号 2.1.1 避免帐号共享* "安全 "IIS帐号共享安全基线要求项 " "基线 " " "项目 " " "名称 " " "安全 "SBL-IIS-02-01-01 " "基线 " " "编号 " " "安全 "应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备" "基线 "间通信使用的帐号共享(对于IIS用户定义分为两个层次:一、IIS自身" "项说 "操作用户,二、IIS发布应用访问用户) " "明 " " "检测 "1、参考配置操作 " "操作 "进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和 " "步骤 "组":根据系统的要求,设定不同的帐户和帐户组.对应设置IIS系统管 " " "理员的权限。 " " "进入IIS管理器->相应网站"属性"->"目录安全性"->"身份访问及访问控" " "制":其中分为"匿名访问身份"及"基本(Basic)验证"。"基本(Basic" " ")验证"包含:"集成windows身份验证"、"Windows域服务器的摘要身份" " "验证"、"基本身份验证"、".NET " " "Passport身份验证";可依据业务应用安全特性,相应配置。 " "基线 "1、判定条件 " "符合 "结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的" "性判 "帐户和帐户组。 " "定依 "2、检测操作 " "据 "进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和 " " "组":查看根据系统的要求,设定不同的帐户和帐户组。 " " "进入IIS管理器->相应网站"属性"->"目录安全性"->"身份访问及访问控" " "制"查看相应配置。 " "备注 "手工判断 " " " " 2.1.2 删除或锁定无关帐号* "安全基"IIS无关帐号安全基线要求项 " "线项目" " "名称 " " "安全基"SBL-IIS-02
### 回答1: 中间件MySQL安全基线自动检查脚本是一种自动化工具,用于检查MySQL数据库的安全配置是否符合基线标准。这种脚本通常由数据库管理员使用,以确保数据库系统的安全性和完整性。以下是关于中间件MySQL安全基线自动检查脚本的一些要点: 首先,中间件MySQL安全基线自动检查脚本可以检查数据库服务器的一系列安全设置,例如访问控制、密码策略、日志记录、网络安全等。脚本会自动扫描数据库系统的配置文件和参数设置,并与安全基线相比较,给出合规性评估报告。 其次,这种脚本提供了一种自动化的方式来评估数据库的安全性。传统的手动检查工作通常费时费力,并且容易出现遗漏或错误。而安全基线自动检查脚本可以快速、准确地检查数据库的多个安全配置,从而提高了安全性和效率。 此外,这种脚本还可以根据实际需求进行定制化配置。例如,可以设置不同的基线标准、安全级别或策略,以满足特定的安全要求。管理员可以根据自己的需求选择执行相应的检查项,并根据报告结果进行相应的调整和修复。 最后,中间件MySQL安全基线自动检查脚本还可以与其他安全工具和监控系统集成。它能够生成详细的检查报告,包括问题描述、解决方案和建议,帮助管理员更好地理解和解决安全问题。此外,还可以将脚本与自动化脚本或工作流程集成,实现自动检查和修复的流程化管理。 总结来说,中间件MySQL安全基线自动检查脚本是一种非常有用的工具,可以自动化地检查数据库系统的安全配置,提高数据库系统的安全性和合规性,并节省管理员的时间和精力。 ### 回答2: 中间件MySQL安全基线自动检查脚本是一种能够自动检查MySQL数据库安全性的工具。它可以通过检查数据库的配置和操作是否符合安全标准,来评估数据库的安全性水平。 该脚本通常包含以下检查项: 1. 访问控制:检查是否存在弱密码、禁用了匿名访问、只允许了合法的远程连接等。 2. 权限设置:检查数据库用户的权限是否合理,并且没有给予不必要的特权。 3. 数据备份与恢复:检查备份与恢复策略是否正确,并且备份数据是否加密和存储在安全的位置。 4. 日志监控与审计:检查是否启用了日志功能,日志是否记录关键操作,并且是否有定期审计机制。 5. 数据加密:检查是否启用了数据库数据的加密功能,以保护敏感数据的安全性。 6. 防火墙设置:检查数据库服务器是否配置了防火墙,限制了对数据库的非法访问。 7. 更新与升级:检查数据库是否安装了最新的安全补丁,以修复已知的安全漏洞。 通过使用中间件MySQL安全基线自动检查脚本,可以快速、准确地评估数据库安全性,并及时发现潜在的安全风险。同时,该脚本也可以为数据库管理员提供定期的安全检查报告,帮助他们了解数据库的安全状况,并采取相应的措施来加强数据库的安全防护。 ### 回答3: 中间件MySQL安全基线自动检查脚本是一种自动化工具,用于评估和检查MySQL数据库的安全配置是否符合最佳实践和安全标准。该脚本可以帮助管理员快速发现和修复数据库中的安全漏洞和配置问题,从而提高数据库的安全性。 MySQL数据库作为一种常用的关系型数据库管理系统,在企业和个人中广泛使用。然而,由于配置错误或不当的安全设置,数据库可能暴露在各种攻击和威胁之下。因此,使用安全基线自动检查脚本对MySQL进行检查和评估是非常重要的。 这个脚本的工作原理是通过扫描MySQL数据库的配置文件和运行状态,检查是否存在以下问题: 1. 弱密码:检查数据库用户的密码强度是否符合要求,并提出改进建议。 2. 未授权访问:检查是否存在未授权的访问权限,比如未删除默认用户、未禁用不必要的用户等。 3. 不安全的网络访问:检查MySQL是否以默认端口运行,并建议更改默认端口,以减少被扫描和攻击的风险。 4. 数据备份和恢复:检查数据库备份和恢复策略是否合理,并建议改善。 5. 日志记录和审计:检查是否启用了日志记录和审计功能,以便及时发现和应对安全事件。 6. 数据库补丁和升级:检查是否有待安装的补丁,并提醒管理员及时更新数据库软件。 该脚本还可以生成详细的检查报告,包括问题的严重性级别和优先级,以帮助管理员有针对性地解决数据库的安全问题。 总而言之,中间件MySQL安全基线自动检查脚本可以帮助管理员快速评估和提升MySQL数据库的安全性,保护数据库不受恶意攻击和未授权访问的威胁。在企业和个人使用MySQL数据库时,应定期运行该脚本并根据检查结果采取相应的安全措施,以确保数据库的安全和稳定运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oldmao_2000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值