08.差距评估.安全计算环境之中间件安全基线

本次从头梳理一下等保2.0涉及到的主要步骤：
等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。
定级备案后就开始正式测评工作，我们忽略掉签合同、开项目启动会等非技术性环节，本节开始就要按等保测评的安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。
本节继续分析安全计算环境中的中间件，常见的中间件有IIS，Tomcat，Apache，WebLogic等，实际上就是WEB服务器的软件部分，这块内容之前是集合在操作系统中的，现在专门分出来了。不同类型的中间件可以根据安全加固基线进行相应的配置，下面给出不同加固基线配置的大纲。
在对中间件做测评过程中，安全计算环境中的要求有些控制点是不适用的，在测评过程中可根据中间件的类型以及表中的【测评对象】进行判定是否不适用。
安全计算环境中还有一块是终端安全，这块由于和服务器安全测评方法大同小异，这里就不再赘述，亦可以找相关的加固基线配置文档进行参考。

总体要求

中间件安全防护基线配置及检测应满足账号、口令、日志、授权和其它安全等五个方面的要求，具体配置操作及检测方法应结合具体设备，要求详见下方各类型中间件的详细描述。总体要求主要包括：

1. 账号（对应访问控制）
   1）应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。
   2）应删除或锁定与设备运行、维护等工作无关的账号。
2. 口令（对应身份鉴别）
   对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。这里要注意的是，目前大多数中间件都不支持双因素认证，因此对口令复杂度上一定要做到位。
3. 授权（对应访问控制）
   在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。
4. 日志（对应安全审计）
   设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。
5. 其它（对应剩余信息保护）
   1）对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。
   2）错误页面重定向。
   3）检查中间件的版本是否存在高危漏洞

Apache

1. 访问控制
     1.1 配置Apache运行账户
     1.2 禁止访问外部文件
     1.3 禁止目录浏览
     1.4 配置敏感文件访问权限
     1.5 配置使用安全的HTTP请求
2. 安全审计
     2.1 配置安全日志
3. 资源控制
     3.1 配置抗拒绝服务攻击参数
     3.2 设置连接数
4. 其它安全项
     4.1 删除缺省文件
     4.2 设置隐藏Apache版本号
     4.3 配置错误页面处理
     4.4 更新补丁

IIS

IIS的版本有5.0/6.0/7.0/2003，其中5.0是老古董了，且漏洞较多，基本已绝种。其他几个版本功能上略有不同，体现在下面星号的部分可能低版本的IIS会无法配置。

1. 帐号管理、认证授权
     1.1 帐号
       1.1.1 避免帐号共享*
       1.1.2 删除或锁定无关帐号*
     1.2 口令
       1.2.1 密码复杂度
       1.2.2 密码生存期
       1.2.3 密码更改
     1.3 授权
       1.3.1 用户权利指派*
2. 日志要求
     2.1 日志配置
       2.1.1 启用日志功能
       2.1.2 更改日志存放路径
       2.1.3 记录安全事件
       2.1.4 日志访问权限
3. IP协议安全配置操作
     3.1 IP协议
       3.1.1 IP访问限制*
       3.1.2 IP转发安全性
       3.1.3 SSL身份认证*
4. 设备其他安全功能要求
     4.1 屏幕保护
       4.1.1 屏幕保护配置
     4.2 文件系统及访问权限
       4.2.1 更改lIS安装路径
       4.2.2 删除风险文件*
       4.2.3 删除非必要脚本映射*
       4.2.4 按帐户分配日志访问权限*
     4.3 补丁管理
       4.3.1 升级补丁*
     4.4 lIS服务组件
       4.4.1 组件安装管理*
       4.4.2 服务扩展管理*

Tomcat

Tomcat Web服务器版本从3.x到10.x都有。详见：https://archive.apache.org/dist/tomcat/，不同版本在配置安全加固上略有不同，体现在下面星号的部分。

1. 帐号管理、认证授权
     1.1 帐号
       1.1.1 共享帐号管理*
       1.1.2 无关帐号管理*
     1.2口令
       1.2.1密码复杂度
       1.2.2密码生存期
     1.3 授权
       1.3.1 用户权利指派*
2. 日志配置操作
     2.1 日志配置
       2.1.1 审核登录
3. IP协议安全配置
     3.1 IP协议
       3.1.1 支持加密协议*
   4.设备其他配置操作
     4.1安全管理
       4.1.1定时登出
       4.1.2错误页面处理
       4.1.3目录列表访问限制

WebLogic

1. 帐号管理、认证授权
     1.1 帐号
       1.1.1 系统启动帐号
       1.1.2 帐号锁定策略
     1.2 口令
       1.2.1 密码复杂度
2. 日志配置操作
     2.1 日志配置
       2.1.1 审核登录
3. IP协议安全配置
     3.1 lP协议
       3.1.1 支持加密协议
       3.1.2 限制应用服务器Socket数量
       3.1.3 禁用Send Server Header
4. 设备其他配置操作
     4.1 安全管理
       4.1.1 定时登出
       4.1.2 更改默认端口*
       4.1.3 错误页面处理
       4.1.4 目录列表访问限制

WebSphere

1. 账号管理、认证授权
     1.1 账号管理
       1.1.1 定义合适的角色MAP
       1.1.2 设置控制台CosNaming服务安全
     1.2 认证授权
       1.2.1 启用全局安全性和JAVA2 安全
       1.2.2 使用管理角色分配给用户合适的管理权限
       1.2.3 查看应用服务器是否有明文口令
2. 日志配置
     2.1 查看是否启用日志以及记录级别
3. 通信协议
     3.1 查看是否启用SWAM认证
4. 设备其他安全要求
     4.1 安装部署
       4.1.1 查看控制台会话timeout设置
       4.1.2 删除sample例子程序
       4.1.3 定义默认错误网页
       4.1.4 禁止file serving服务
       4.1.5 禁止Directory browsing
       4.1.6 限制MQ消息日志目录权限
       4.1.7 限制config和properties目录权限
       4.1.8 从生产环境删除源码
     4.2 运行维护
       4.2.1 安装最新安全相关补丁包
       4.2.2 命令行和crontab不显示口令参数
     4.3 备份容错
       4.2.1 完善WebSphere服务器备份机制

除了这些中间件，还有JBoss、Nginx等，这里就不一一列举。