范围
适用于使用的Weblogic服务器。本规范提出了Weblogic服务器安全配置
要求,适用于所有的安全等级,可作为编制设备入网测试,安全验收,安全检查规范等
文档的参考。
由于版本不同,配置操作有所不同,本规范以unix平台上Weblogic9。x为例,给出
参考配置操作。
2规范性引用文件
GB/t22239 - 2008《信息安全技术信息系统安全等级保护基本要求》
码/T 1736 - 2008《互联网安全防护要求》
码/T 1738 - 2008《增值业务网——消息网安全防护要求》
码/T 1740 - 2008《增值业务网——智能网安全防护要求》
码/T 1758 - 2008《非核心生产单元安全防护要求》
码/T 1752 - 2008《支撑网安全防护要求》
3缩略语
SSL安全套接字层安全套接层
HTTP超文本传输协议超文本传输协议
4安全配置要求
4.1账号
编号:1
要求内容为不同的管理用户分配不同的角色
参考操作
以管理员身份登录控制台
-
<李>点击左侧面板“安全”文件夹,展开“领域”
<李>点击“用户”文件夹,修改非特权用户为角色
管理员部署人员、监视器、运营商之一李
2检测方法
1,判定条件
2,检测操作
以管理员身份登录控制台
-
<李>点击左侧面板“安全”文件夹,展开“领域”
<李>点击“用户”文件夹,查看用户所属组及组,全局角色配置李
编号:2
要求内容应删除与设备运行,维护等工作无关的账号
参考操作
以管理员身份登录控制台
-
<李>点击左侧面板“安全”文件夹,展开“领域”
<李>点击“用户”文件夹,删除与设备运行,维护等工作无关的
账号
检测方法,判定条件
没有与设备运行,维护等工作无关的账号
编号:3
要求内容禁止以特权用户身份运行WebLogic
操作指南1,参考配置操作
以WebLogic管理员身份登录管理控制台,执行:
-
<李>在左面板,点击“机器”文件夹李
<李>在右面板,选择“配置一个新的Unix计算机链接”
<李>输入unix机器名,勾选“启用Post-bind UID场”并输入用户名,
该用户名必须对BEA_HOME及子目录有完全控制权限,输入对应组(用
户名和组名须事先在操作系统中单独创建),点击“应用”按钮。注意:不要使用
默认的没人用户。
“选择列表”。然后击“应用”按钮李
检测方法,判定条件
以特权用户身份启动应用服务器,绑定端口之后改变UID和GID到非特
权用户和组
2,检测操作
以根身份执行:
p ef | grep - i weblogic
以WebLogic管理员身份登录管理控制台,执行:
-
<李>在左面板,点击“机器”文件夹李
<李>在右面板,查看是否配置“Unix计算机链接”
编号4:
要求内容开启主机名认证,设置主机名验证值为“Bea主机名
验证器”
参考操作
设置主机名验证值为“Bea主机名验证器”
以管理员身份登录管理控制台:
-
<李>点击左面板域名文件夹,然后点击“服务器”文件夹,点击要管理的李
4
服务器名
高级选项中“显示”项,查看客户属性下的主机名
验证值,设置为“Bea主机名验证器”
检测方法,判定条件
2,检测操作
以管理员身份登录管理控制台:李 <李>点击左面板域名文件夹,然后点击“服务器”文件夹,点击要管理的
服务器名李 <李>在右侧面板的“配置”面板下的“密钥存储库和SSL”标签中,点击
高级选项中“显示”项,查看客户属性下的主机名
验证值
4.2口令
编号:1
要求内容对于采用静态口令认证技术的设备,口令长度至少8位,并包括数
字,小写字母、大写字母和特殊符号4类中至少3类
操作指南以管理员身份登录控制台
-
<李>点击左侧面板“安全”文件夹,展开“领域”
<李>点击“用户”文件夹,设置口令长度至少8位,并包括数字,小写字
母、大写字母和特殊符号4类中至少3类
