WebLogic Web服务器安全配置风险评估检查表

IIS服务安全配置基线目 录第1章 概述 (1)1.1 目的 (1)1.2 适用范围 (1)1.3 适用版本 (1)第2章 账号管理、认证授权 (2)2.1 账号 (2)2.1.1 避免帐号共享 (2)2.1.2 删除或锁定无关帐号 (3)2.2 口令 (3)2.2.1 密码复杂度 (3)2.2.2 密码历史 (4)2.2.3 密码更改 (5)2.2.4 认证失败 (5)2.3 授权 (6)2.3.1 用户权利指派 (6)第3章 日志要求 (8)3.1 日志配置 (8)3.1.1 启用日志功能 (8)3.1.2 更改日志存放路径 (8)3.1.3 记录安全事件 (9)3.1.4 日志访问权限 (10)第4章 IP协议安全配置操作 (11)4.1 IP协议 (11)4.1.1 IP访问限制 (11)4.1.2 IP转发安全性 (12)4.1.3 SSL身份认证 (12)第5章 设备其他安全功能要求 (14)5.1 屏幕保护 (14)5.1.1 屏幕保护配置 (14)5.2 文件系统及访问权限 (14)5.2.1 更改IIS安装路径 (14)5.2.2 删除风险文件 (16)5.2.3 删除非必要脚本影射 (16)5.2.4 按帐户分配日志访问权限 (19)5.3 补丁管理 (20)5.3.1 升级补丁 (20)5.4 IIS服务组件 (21)5.4.1 组件安装管理 (21)5.4.2 服务扩展管理 (21)第1章概述1.1目的本文档规定了IIS服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行IIS服务器的安全配置。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3适用版本5.0、6.0、7.0、2003等版本。

第2章账号管理、认证授权2.1账号2.1.1避免帐号共享安全基线项IIS帐号共享安全基线要求项目名称安全基线编QB-IIS-02-01-01号安全基线项应按照用户分配账号。

Tomcat Web服务器安全配置基线目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)第2章账号管理、认证授权 (2)2.1账号 (2)2.1.1共享帐号管理 (2)2.1.2无关帐号管理 (2)2.2口令 (3)2.2.1密码复杂度 (3)2.2.2密码历史 (4)2.3授权 (4)2.3.1用户权利指派 (4)第3章日志配置操作 (6)3.1日志配置 (6)3.1.1审核登录 (6)第4章IP协议安全配置 (7)4.1IP协议 (7)4.1.1支持加密协议 (7)第5章设备其他配置操作 (8)5.1安全管理 (8)5.1.1定时登出 (8)5.1.2更改默认端口 (8)5.1.3错误页面处理 (9)5.1.4目录列表访问限制 (10)第1章概述1.1 目的本文档规定了Tomcat WEB服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本4.x、5.x、6.x版本的Tomcat Web服务器。

第2章账号管理、认证授权2.1 账号2.1.1共享帐号管理2.1.2无关帐号管理2.2 口令2.2.1密码复杂度2.2.2密码历史2.3 授权2.3.1用户权利指派第3章日志配置操作3.1 日志配置3.1.1审核登录第4章IP协议安全配置4.1 IP协议4.1.1支持加密协议第5章设备其他配置操作5.1 安全管理5.1.1定时登出5.1.2更改默认端口5.1.3错误页面处理备注5.1.4目录列表访问限制安全基线项目名称Tomcat目录列表安全基线要求项安全基线编号SBL-Tomcat-05-01-04安全基线项说明禁止tomcat列表显示文件检测操作步骤1、参考配置操作(1) 编辑tomcat/conf/web.xml配置文件，<init-param><param-name>listings</param-name> <param-value>true</param-value></init-param>把true改成false(2)重新启动tomcat服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容2、检测操作直接访问http://ip:8800/webadd备注。

检查项目检测内容过期、备份、测试页面检查WEB站点是否存在以下内容：过期页面或站点、用于备份网站内容的页面或压缩包、用于测试WEB应用运行状态的测试页面信息泄露检查WEB应用默认错误页面是否会泄露应用版本信息、主机IP、物理路径等，检查页面源文件是否泄露内部IP、绝对路径等，检查是否存在.svn目录用户枚举检查是否能通过用户登录页面、密码取回页面对系统存在的用户名进行猜测口令暴力破解检查对用户登录是否有错误次数限制，是否会在规定错误次数后，对用户进行锁定或冻结图形验证码检查用户登录页面是否使用了图形验证码技术，用户登录失败后是否会在服务端对当前验证码进行强制刷新密码修改检查用户登陆后在修改当前密码时，是否会要求输入原密码或要求进行二次认证会话超时检查用户登录并空闲一定时间后，是否会对用户会话进行检测，对超时会话进行自动终止cookie内容检查当前登录用户的cookie内容是否包含用户口令信息或简单加密后口令内容绕过授权检查当前登录用户是否能够通过修改提交参数、URL地址访问非授权页面或数据权限提升检查当前用户能否通过修改提交参数，修改当前用户权限用户弱口令检查当前系统是否存在弱口令账户目录遍历检查是否存在目录遍历漏洞后台管理路径检查是否存在默认的后台管理路径业务逻辑检查当前系统在处理其业务功能时，是否存在逻辑错误跨站漏洞检查当前站点是否存在跨站脚本攻击漏洞SQL注入检查当前站点是否存在SQL注入漏洞命令执行检查当前站点是否存在远程命令执行漏洞文件上传检查当前站点是否存在任意文件上传漏洞文件包含检查当前站点是否存在远程、本地文件包含漏洞文件下载检查当前站点是否存在任意文件下载漏洞说明级别检查方法WEB站点存在的过期、备份、测试页面，往往会泄露页面源代码、网站目录文件、站点绝对路径等敏感信息低使用具有网页爬虫功能的WEB扫描软件对站点文件进行列举，使用字典文件对WEB站点可能存在的敏感文件进行探测WEB应用默认错误页面，如:401、404、500；页面源文件；.svn目录往往会泄露应用程序版本信息、IP信息、物理路径等敏感信息低使用WEB漏洞扫描工具对站点页面进行爬虫测试，或手工输入错误、超长等URL，根据WEB服务器返回的错误信息进行判断通过登录页面的错误信息提示，如：用户密码错误、用户名不存在、请输入正确的用户名等，能够对用户名进行枚举低在用户登录页面输入错误用户名及密码、在密码找回页面输入任意用户名，根据返回的错误信息提示，确认存在用户枚举漏洞若对用户错误登录次数未做限制，可使用HTTP Fuzzer工具对用户口令进行暴力破解中在用户登录页面对某用户连续输入错误的用户口令，测试是否会提示登录限制提示登录页面若未使用验证码技术可对用户口令进行暴力猜解，验证码在服务端未做强制刷新，或在本地使用js刷新情况下验证码均可被绕过低在用户登录失败后，测试验证码是否会自动刷新，抓包分析验证码刷新是否在服务端进行已登录用户在修改密码时，若未要求输入原密码或二次认证时，可能会被他人恶意修改低尝试修改当前用户密码，测试是否必须输入旧密码或进行手机短信等二次认证对用户登录若未设置会话超时并自动终止，当前会话可能会被他们恶意利用低测试用户空闲一定时间后，再次操作页面时，是否会被要求重新进行身份验证cookie内容处理不当，可能导致cookie欺骗、跨站、网络钓鱼等攻击，从而导致账户信息泄露中用户登陆后，使用cookie查看、管理工具查看当前cookie是否包含明文密码或简单加密后的账户信息系统中部分页面对用户权限控制不严格，导致用户可以绕过当前权限访问其他用户页面获取非授权的数据信息高在提交用户参数时，使用HTTP代理软件对数据进行截断，并修改其中的用户信息为他人账号；修改当前地址栏中URL关键参数，测试能否参看、修改他人页面或数据系统中按照用户的不同级别，使用ID值来进行区分，在用户提交的数据包中，使用当前ID值来判断用户级别，对该ID 值进行篡改后，可以以高权限用户身份进行操作或将当前用户加入到高权限用户组高使用HTTP代理软件将用户提交数据包进行截断，测试是否包含标识用户身份的ID值，修改当前ID为其他用户组，测试是否能获取其他用户组权限系统为设置用户口令策略，部分用户为方便记忆而设置了弱口令，可以被他人轻易猜解高使用类似：账户名、123456、111111、abc123等弱口令，尝试能否利用当前用户登录成功，使用Acunetix WVS并结合弱口令字典对用户口令进行破解WEB应用对目录未作安全限制，导致在URL中直接对某目录进行访问时，不会返回403错误，而直接显示当前目录下的所有文件中在URL中直接访问站点目录名，测试是否会显示目录文件信息；使用WEB漏洞扫描工具对站点进行扫描探测当前系统管理后台是否使用了常见的管理目录名、路径，如admin、manager、admin_login.php等中手工使用常见后台路径进行猜测；使用WEB漏洞扫描工具对站点进行爬虫及目录猜解；使用字典文件对可能存在的后台路径进行探测系统在处理某些流程中，某些环节存在设计缺陷，在逻辑上可以在某些环节直接绕过，如：短信验证码绕过、注销任意登录用户高使用HTTP代理软件将提交及返回的数据包进行截获，分析其中包含的关键字段、参数，测试能否对业务处理过程中的某些流程进行绕过系统对用户的输入信息未作任何检查及过滤，而直接输出到用户浏览器，导致跨站攻击，该漏洞常被用于：挂马、盗取cookie等攻击中在存在用户交互的页面，提交类似<script>alert(“xss”)</script>的跨站测试代码，测试系统是否对特殊字符进行了过滤；使用WEB漏洞扫描工具进行跨站漏洞探测系统将用户输入未经检查就用于构造数据库查询，用户据此漏洞可以对数据库信息进行查询、修改、删除等操作，将导致管理员信息、用户信息直接泄露高在URL参数值后面提交类似：'、and1=1、-1等注入测试语句，根据页面返回内容判断是否存在注入漏洞；使用WEB漏洞扫描工具进行SQL注入探测系统对用户提交的请求缺少正确性过滤检查，用户可提交恶意命令的参数，在系统上执行系统命令高使用WEB漏洞扫描工具对站点进行扫描，通过不断尝试修改提交参数，测试是否存在命令执行漏洞系统上传页面对用户身份未进行验证，导致任意用户可直接访问上传页面，并具有任意文件上传权限；用户登陆后具有文件上传权限，但未对文件格式做严格限制，可上传恶意的脚本文件到远端主机高使用WEB漏洞扫描工具或结合字典文件对系统存在的上传页面进行探测；测试上传页面是否在服务端对文件格式有严格限制；用户登陆后查找文件上传点，测试能否上传任意文件系统使用某些危险函数去包含任意文件时，对要包含的文件来源过滤不严，用户可以构造文件路径，使程序能包含该文件，从而获取到文件内容或执行远程恶意脚本高手工在URL中对某些参数使用类似../../的路径替换，测试是否能包含上级目录或系统文件；使用WEB漏洞扫描工具进行自动化扫描测试系统对外提供了文件下载功能，但文件下载对路径未做安全过滤，用户可以构造文件路径，对主机上任意文件进行下载中手工在URL使用类似../../来构造文件下载路径，测试能否对主机其他文件进行下载；使用WEB漏洞扫描工具进行自动化测试支持工具Acunetix WVS、wwwscan、绿盟极光漏洞扫描器Acunetix WVS、绿盟极光漏洞扫描器手工输入验证手工输入验证Fiddler、Firefox 手工输入验证手工输入验证FirefoxFiddler、Firefox Fiddler、Firefox Acunetix WVS。

WebLogic应用服务器健康检查方法深圳九鼎云州新创科技有限公司2008年10月目录1.文档控制 (3)修改记录 (3)审阅 (3)分发 (3)2.文档介绍 (3)目标 (3)检查方法 (4)检查范围 (4)3.系统背景 (4)4.操作系统基本信息 (5)系统信息 (5)系统运行状况 (5)磁盘空间占用 (5)swap区使用率 (6)其他参数 (6)5.Weblogic服务器信息 (7)JDK版本信息 (7)weblogic版本信息 (7)Server配置情况 (9)Server性能监控 (12)Web应用包配置和运行状态 (12)EJB包配置和运行状态 (13)JDBC连接池配置和运行状态 (13)日志信息状态 (14)1. 文档控制修改记录审阅分发2. 文档介绍目标Weblogic健康检查是用来：❖评价Weblogic当前的性能情况❖分析瓶颈和资源竞争情况❖指出存在的问题，提出解决建议检查方法本次Weblogic健康检查的工具是：❖操作系统工具和命令检查操作系统❖Weblogic Console收集性能图表❖检查Weblogic的配置文件和日志上述输出结果为建议提供依据。

检查范围本报告提供的检查和建议主要针对以下方面：1)主机配置2)操作系统性能3)Weblogic配置4)Weblogic性能本报告的提供的检查和建议不涉及：❖具体的性能调整❖应用程序的具体细节以下提请注意：本次检查仅历时一天，其中还包括了提交分析报告的时间。

所以在具体的性能方面仅做相应的建议。

如需在Weblogic性能方面进行进一步的调整，请继续选择Weblogic性能调整。

3. 系统背景4. 操作系统基本信息以下以linux系统为例系统信息#uname -a系统运行状况#vmstat 1 10磁盘空间占用#df -klswap区使用率#cat /proc/swaps#free其他参数vmo -a（AIX5.3以后的版本，次命令用于显示当前所有参数设置）例子：Linux系统的核心参数# more /etc/sysctl.conf查看单个核心参数net.ipv4.conf.default.accept_source_route = 0# Controls the System Request debugging functionality of the kernel kernel.sysrq = 0# Controls whether core dumps will append the PID to the core filename. # Useful for debugging multi-threaded applications.kernel.core_uses_pid = 1kernel.shmall = 2097152kernel.shmmax = 2147483648kernel.shmmni = 4096kernel.sem = 250 32000 100 128fs.file-max = 65536net.ipv4.ip_local_port_range = 1024 65000net.core.rmem_default = 1048576net.core.rmem_max = 1048576net.core.wmem_default = 262144net.core.wmem_max = 2621445. Weblogic服务器信息以下均以BEA WebLogic Server®9.2为例JDK版本信息java -versionweblogic版本信息1）可直接查看./bea/logs目录2）9.2之前的版本查询版本号：进入主页，点击左侧树的第一行（console），点击右侧页面的version9.2之后的版本查询版本号：进入主页，点击右侧页面的General Information选项卡中的Read the documentationServer配置情况9.2之前的版本,点击相应的server name进行检查。

网络安全措施评估表1. 引言本文档旨在对公司网络安全措施进行评估，以确保系统和数据的安全性。

通过评估现有的网络安全措施，我们将能够确定可能存在的风险和漏洞，并提出改进建议，以增强公司的网络安全。

2. 评估项目2.1 网络设备安全性评估- 检查防火墙及入侵检测系统的配置情况- 确认网络设备固件是否及时更新- 检查网络设备是否存在默认账户或弱密码2.2 身份验证措施评估- 评估公司内部身份验证政策的有效性- 检查用户账户是否设置了强密码- 确认是否存在多因素身份验证措施2.3 数据保护措施评估- 评估数据备份策略和实施情况- 检查数据加密措施的可靠性- 确认数据访问权限的分级和控制情况2.4 安全意识培训评估- 评估公司员工对网络安全的认知和意识- 检查是否有定期的网络安全培训计划- 确认是否有应急事件响应演练计划3. 评估结果根据对上述项目的评估，我们得出以下结论：- 网络设备配置整体较为合理，但仍存在一些配置不当的情况，需要加以改进。

- 公司内部身份验证政策较为完善，但在强密码和多因素身份验证措施的实施上仍有改进空间。

- 数据备份和加密措施较为可靠，但需要加强对数据访问权限的控制和管理。

- 公司员工对网络安全的认知和意识较高，但仍有一些可以加强的方面，包括定期的网络安全培训和应急事件演练。

4. 改进建议基于上述评估结果，我们向公司提出以下改进建议：- 对网络设备进行定期的安全审查，确保配置的合理性和及时更新固件。

- 强化员工密码管理意识，提醒使用强密码，并推广多因素身份验证措施。

- 定期检查数据备份策略的可行性，并加强对数据访问权限的监管和控制。

- 组织定期的网络安全培训，提高员工对网络安全的认知和应对能力。

- 开展定期的应急事件响应演练，提升公司应对安全事件的能力和效率。

结论网络安全是公司发展的重要保障，通过对网络安全措施的评估和改进，可以提升公司在网络环境下的安全性和稳定性。

我们建议公司按照上述改进建议实施，并定期进行安全评估，以确保网络安全的持续保护和提升。

表1：基本信息调查1 / 222 / 22网络设备：路由器、网关、交换机等。

安全设备：防火墙、入侵检测系统、身份鉴别等。

服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备：办公计算机、移动存储设备。

重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

3 / 22填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件：项目管理软件、网管软件、办公软件等。

4 / 22服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。

5 / 22填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。

6 / 227 / 221、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a) 国家秘密信息；b) 非密敏感信息(机构或公民的专有信息) ；c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。

1、网络区域主要包括：服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等；2、重要程度填写非常重要、重要、一般。

8 / 22注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》9 / 2210 / 22表2：安全状况调查1. 安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况，重点、敏感岗4. 系统建设管理关键资产采购时是否进行了安全性测评，对服务机构和人员的保密约束情况如何，在服务提供过程中是否采取了管控措施。

WebLogicWeb服务器安全配置基线目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)第2章账号管理、认证授权 (2)2.1账号 (2)2.1.1账号锁定策略 (2)2.2口令 (2)2.2.1密码复杂度 (2)第3章日志配置操作 (4)3.1日志配置 (4)3.1.1审核登录 (4)第4章IP协议安全配置 (5)4.1IP协议 (5)4.1.1支持加密协议 (5)4.1.2限制应用服务器Socket数量 (5)4.1.3禁用Send Server Header (6)第5章设备其他配置操作 (7)5.1安全管理 (7)5.1.1定时登出 (7)5.1.2更改默认端口 (7)5.1.3错误页面处理 (8)5.1.4目录列表访问限制 (8)第1章概述1.1 目的本文档规定了WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本6.x、7.x、8.x版本的WebLogic Web服务器。

现在最新的weblogic服务器时9.1，此文件不适用与最新的服务器第2章账号管理、认证授权2.1 账号2.1.1账号锁定策略2.2 口令2.2.1密码复杂度第3章日志配置操作3.1 日志配置3.1.1审核登录第4章IP协议安全配置4.1 IP协议4.1.1支持加密协议4.1.2限制应用服务器Socket数量4.1.3禁用Send Server Header第5章设备其他配置操作5.1 安全管理5.1.1定时登出5.1.2更改默认端口5.1.3错误页面处理5.1.4目录列表访问限制。

WebLogicWeb服务器安全配置基线目录1章 .......................................................................... ............................................................... 概述第11 ......................................................................................................................................... 目的1.111.2 ................................................................................................................................. 适用范围1 ................................................................................................................................. 1.3适用版本2 .......................................................................... ................................... 账号管理、认证授权第2章2 ......................................................................................................................................... 账号2.1账号锁定策略2.1.12 ..................................................................... ............................................2口令2.2 .........................................................................................................................................密码复杂度2 .......................................................................... ........................................... 2.2.14日志配置操作 .......................................................................... ............................................... 第3章4日志配置................................................................................................................................. 3.1审核登录4........................................................................... .............................................. 3.1.15 .......................................................................... ...................................... IP协议安全配置4第章5.................................................................................................................................... .4.1IP协议支持加密协议54.1.1....................................................................... ..........................................数量限制应用服务器5.Socket4.1.2........................................................................................禁用6........................................................................... .................... Send Server Header 4.1.3.7 .......................................................................... ....................................... 设备其他配置操作5第章7安全管理................................................................................................................................. 5.1定时登出75.1.1...................................................................... ...................................................更改默认端口75.1.2....................................................................... ..........................................错误页面处理85.1.3 ..................................................................... ............................................目录列表访问限制85.1.4 ..................................................................... ....................................第1章概述1.1 目的本文档规定了WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。

Tomcat Web服务器安全配置基线目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)第2章账号管理、认证授权 (2)2.1账号 (2)2.1.1共享帐号管理 (2)2.1.2无关帐号管理 (2)2.2口令 (3)2.2.1密码复杂度 (3)2.2.2密码历史 (4)2.3授权 (4)2.3.1用户权利指派 (4)第3章日志配置操作 (6)3.1日志配置 (6)3.1.1审核登录 (6)第4章IP协议安全配置 (7)4.1IP协议 (7)4.1.1支持加密协议 (7)第5章设备其他配置操作 (8)5.1安全管理 (8)5.1.1定时登出 (8)5.1.2更改默认端口 (8)5.1.3错误页面处理 (9)5.1.4目录列表访问限制 (10)第1章概述1.1 目的本文档规定了Tomcat WEB服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本4.x、5.x、6.x版本的Tomcat Web服务器。

第2章账号管理、认证授权2.1 账号2.1.1共享帐号管理2.1.2无关帐号管理2.2 口令2.2.1密码复杂度2.2.2密码历史2.3 授权2.3.1用户权利指派第3章日志配置操作3.1 日志配置3.1.1审核登录第4章IP协议安全配置4.1 IP协议4.1.1支持加密协议第5章设备其他配置操作5.1 安全管理5.1.1定时登出5.1.2更改默认端口5.1.3错误页面处理备注5.1.4目录列表访问限制安全基线项目名称Tomcat目录列表安全基线要求项安全基线编号SBL-Tomcat-05-01-04安全基线项说明禁止tomcat列表显示文件检测操作步骤1、参考配置操作(1) 编辑tomcat/conf/web.xml配置文件，<init-param><param-name>listings</param-name> <param-value>true</param-value></init-param>把true改成false(2)重新启动tomcat服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容2、检测操作直接访问http://ip:8800/webadd备注。

WebLogic系统检查报告时间：2010年09月26日1基本信息软件安装目录WebLogic版本console访问端口应用访问端口172.16.12.180 D:\bea10 10.0.1.0 9002 7001172.16.12.183 D:\bea10 10.0.1.0 9002 7001172.16.12.184 D:\bea 8.1.6.0 9002 7001172.16.12.185 D:\bea 8.1.6.0 9002 7001172.16.12.186 D:\bea 8.1.6.0 9002 7001172.16.12.187 D:\bea 8.1.6.0 9002 7001172.16.12.192 D:\bea10 10.0.1.0 9002 7001172.16.12.193 D:\bea10 10.0.1.0 9002 70012巡检结果172.16.12.1801.配置信息ServicePackLevel 1PatchLevel 0安装系统Windows安装目录D:\bea10\wlserver_10.0JavaHome d:\bea10\jdk150_11JavaVersion 1.5.0_11内存配置MEM_ARGS=-Xms1200m -Xmx1200mAdmin Server端口7001WebLogic 管理配置stuck-thread-max-time ：1200结论：目前配置的参数适当，能够满足当前业务量的需求。

2.系统稳定性●WebLogic 运行状况●WebLogic 模块运行状况细分●Chennel 统计●内存运行状况●线程运行状况●WorkManager运行统计●Servlet 运行状况●JDBC运行状况●部分Servlet运行状况细分结论：系统运行良好。

Web应用/foundcomp中的JspServle的调用时间为8.9秒，最长26秒，虽然被调用的次数不多（3次），但需要结合应用，分析长时间调用的原因。

WebLogic Web服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (5)2.1帐号 (5)2.1.1系统启动帐号 (5)2.1.2帐号锁定策略 (5)2.2口令 (6)2.2.1密码复杂度 (6)第3章日志配置操作 (7)3.1日志配置 (7)3.1.1审核登录 (7)第4章IP协议安全配置 (8)4.1IP协议 (8)4.1.1支持加密协议 (8)4.1.2限制应用服务器Socket数量 (8)4.1.3禁用Send Server Header (9)第5章设备其他配置操作 (10)5.1安全管理 (10)5.1.1定时登出 (10)5.1.2更改默认端口* (10)5.1.3错误页面处理 (11)5.1.4目录列表访问限制 (11)第6章评审与修订 (12)第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的WebLogic Web服务器系统。

1.3适用版本8.x 9.x 10.x版本的WebLogic Web服务器。

1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

网站风险评估报告——《信息安全工程》报告课程名称信息安全工程班级专业信息安全任课教师学号姓名目录封面-------------------------------------------------------------------------1 目录-------------------------------------------------------------------------2一、评估准备-------------------------------------------------------------31、安全评估准备-----------------------------------------------------32、安全评估范围-----------------------------------------------------33、安全评估团队-----------------------------------------------------34、安全评估计划-----------------------------------------------------3二、风险因素评估-------------------------------------------------------31．威胁分析-----------------------------------------------------------31.1威胁分析概述--------------------------------------------------31.2威胁分析来源--------------------------------------------------41.3威胁种类--------------------------------------------------------42．安全评估-----------------------------------------------------------72.1高危漏洞--------------------------------------------------------72.2中级漏洞--------------------------------------------------------72.3低级漏洞--------------------------------------------------------8三、综述--------------------------------------------------------------------81.1具有最多安全性问题的文件--------------------------------91.2Web风险分布统计--------------------------------------------92.Web风险类别分布-----------------------------------------------103.渗透测试------------------------------------------------------------104.漏洞信息------------------------------------------------------------15四、风险评价-------------------------------------------------------------18五、风险控制建议-------------------------------------------------------19附录:------------------------------------------------------------------------22一、评估准备1、安全评估目标在项目评估阶段，为了充分了解SecurityTweets这个网站的安全系数，因此需要对SecurityTweets这个网站当前的重点服务器和web应用程序进行一次抽样扫描和安全弱点分析，对象为SecurityTweets全站，然后根据安全弱点扫描分析报告，作为提高SecurityTweets 系统整体安全的重要参考依据之一。