GB/T 35281-2017 信息安全技術 移動互聯網應用服務器安全技術要求8.2 中間件安全
8.2 中間件安全
移動互聯網應用服務器的中間件安全要求包括但不限于:
a) 應加強對中間件用戶賬戶的管理,禁用或刪除所有對于業務應用正常運行所非必須的賬戶,并且啟用的賬戶應防止使用空口令或弱口令;
b) 運行的中間件應關閉所有對于業務應用正常運行所非必須的、外部可訪問的端口和服務;
c) 應配置中間件的訪問控制策略,將在線應用支持軟件可訪問的系統資源限制在最少夠用的范圍內,并且在不同的在線應用支持軟件(如果存在多個)之間實現隔離;
d) 應通過升級軟件版本或安裝安全更新等方式及時修復中間件中存在的安全漏洞。對于因軟件版本依賴等特殊原因無法升級系統或安裝更新的情況,應采取適當措施避免相關安全漏洞被惡意利用;
e) 應刪除中間件軟件默認安裝的、對于業務應用正常運行所非必須的組件和數據,包括但不限于工具軟件、用戶文檔、測試文件和示例數據;
f) 應修改中間件的默認配置,從中間件向網絡返回的信息(如banner信息和錯誤信息)中移除有關中間件軟件版本、配置選項和運行狀態的內容。
推薦文章: