HCL AppScan Enterprise 中文文檔 10.0.1 安裝后任務—— 對 FIPS 140-2 和 NIST SP800-131a 安全標準的支持
在 Enterprise Console 中啟用 FIPS 140-2/NIST 800-131a 合規性
當在 Enterprise Console 中啟用了 FIPS 140-2 合規性時,某些不符合 FIPS 140-2 的功能將不會按預期工作或者將被禁用,包括“手動探索”插件。缺省情況下,Enterprise Console 符合 NIST 800-131a 轉換方式。運行 AppScan? Server 配置向導時,此向導將檢測您的環境是否處于 NIST 嚴格方式并將遵循這些設置。
關于此任務
用戶角色:產品管理員
過程
在 Enterprise Console中,轉至“管理”視圖的“常規設置”頁面,然后單擊“Enterprise Console 設置”部分中的編輯。
缺省情況下,已清空啟用增強的安全性部分中的復選框。如果貴組織必須符合 FIPS 140-2 或 NIST SP 800-131a,請選中此選項。選中此選項后,請使用 Manual Explorer 工具來手動探索應用程序中的其他 URL。
注: 從 V8.7 升級之后,此復選框將保留升級之前所具有的值。如果以前符合 FIPS,那么此復選框會保持選中狀態;否則,它會保持清空狀態。
單擊完成。
在操作系統上啟用 FIPS 140-2 合規性
在升級 AppScan? Enterprise Server 和 Dynamic Analysis Scanner 之后,請在操作系統上啟用 FIPS 合規性。
過程
- 在 Windows? 上:
- 轉至開始 > 控制面板 > 管理工具 > 本地安全策略。
- 轉至安全設置 > 本地策略 > 安全選項 > 系統加密并啟用
Use FIPS compliant algorithms for encryption, hashing, and signing安全設置。
在 WebSphere Liberty 概要文件上啟用 FIPS 140-2 或 NIST SP800-131a
使用以下過程之一可在 WebSphere Liberty 概要文件上啟用 FIPS 140-2 或 NIST SP800-131a。
開始之前
運行配置向導,并在開始該任務之前啟動服務。
過程
要啟用 FIPS 140-2:
找到 Liberty 的安裝目錄,位置是: \AppScan Enterprise\Liberty\usr\servers\ase。
將 -Dcom.ibm.jsse2.usefipsprovider=true 屬性添加到 jvm.options 文件以使 JSSE2 提供程序能夠在 FIPS 140-2 方式下運行。
轉至 \AppScan Enterprise\Liberty\jre\lib\security 目錄。
在文本編輯器中,編輯 java.security 主安全屬性文件以注冊其他加密包提供程序。
將以下兩行:
#ssl.SocketFactory.provider= #ssl.ServerSocketFactory.provider=更改為
ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl找到位于行 # List of providers and their preference orders 之后的加密提供程序的列表,并將其替換為以下列表:
security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.jsse2.IBMJSSEProvider2 security.provider.3=com.ibm.crypto.provider.IBMJCE security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath security.provider.6=com.ibm.security.sasl.IBMSASL security.provider.7=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.8=com.ibm.xml.enc.IBMXMLEncProvider security.provider.9=org.apache.harmony.security.provider.PolicyProvider security.provider.10=com.ibm.security.jgss.mech.spnego.IBMSPNEGO轉至 \AppScan Enterprise\Liberty\jre\bin,然后打開 cmd 窗口。證書的大小必須至少為 1024,并可以通過 DSA 或 RSA 簽名算法進行簽署。密鑰工具實用程序可用于生成兼容密鑰對:1 keytool -genkey -alias default -keyalg RSA -keysize 1024 -dname CN=example -keystore fips.jks -storepass Liberty -keypass Liberty.
保存并關閉文件,然后重新運行配置向導。
要啟用 NIST SP800-131a:
- 找到 Liberty 的安裝目錄,位置是: \AppScan Enterprise\Liberty\usr\servers\ase。
- 將 -Dcom.ibm.jsse2.sp800-131=transition 屬性添加到 jvm.options 文件以使 JSSE2 提供程序能夠在 NIST 轉換方式下運行。
- 轉至同一目錄中的 server.xml 文件并將 sslProtocol=”SSL_TLSv2” 屬性替換為 sslProtocol=”TLSv1.2”。
- 保存并關閉文件,然后重新運行配置向導。
在 Enterprise Console 中啟用 FIPS 140-2/NIST 800-131a 合規性
當在 Enterprise Console 中啟用了 FIPS 140-2 合規性時,某些不符合 FIPS 140-2 的功能將不會按預期工作或者將被禁用,包括“手動探索”插件。缺省情況下,Enterprise Console 符合 NIST 800-131a 轉換方式。運行 AppScan? Server 配置向導時,此向導將檢測您的環境是否處于 NIST 嚴格方式并將遵循這些設置。
關于此任務
用戶角色:產品管理員
過程
在 Enterprise Console中,轉至“管理”視圖的“常規設置”頁面,然后單擊“Enterprise Console 設置”部分中的編輯。
缺省情況下,已清空啟用增強的安全性部分中的復選框。如果貴組織必須符合 FIPS 140-2 或 NIST SP 800-131a,請選中此選項。選中此選項后,請使用 Manual Explorer 工具來手動探索應用程序中的其他 URL手動探索意味著您將在配置中指示要測試的掃描的準確 URL(掃描將不會自動搜索發現新的 URL)。對于需要大量用戶交互以瀏覽應用程序的 Web 應用程序或者如果您只想測試應用程序的特定區域,請使用該方法。”)以了解如何下載和使用此工具。
注: 從 V8.7 升級之后,此復選框將保留升級之前所具有的值。如果以前符合 FIPS,那么此復選框會保持選中狀態;否則,它會保持清空狀態。
單擊完成。
在 AppScan Enterprise 上啟用 NIST 合規性以與 SiteProtector 結合使用
SP800-131a 是由美國國家標準技術學會 (NIST) 開創的需求,它要求更大的密鑰長度和更強的密碼術。此規范還提供了一種轉換配置,以使用戶能夠轉變為嚴格執行 SP800-131a。轉換配置還使用戶能夠通過混合 FIPS140-2 和 SP800-131a 中的設置來運作。SP800-131a 能夠以兩種方式來運作:轉換和嚴格。AppScan? Enterprise 出廠便符合 NIST 轉換方式。
過程
轉至 HCL\AppScan Enterprise\localsetttings.xml,并進行適當的編輯:
對于 NIST 轉換(在 SiteProtector? 中稱為“NIST 兼容”),請保留缺省設置 。
注: AppScan Enterprise 以兼容方式與 SiteProtector 2.9、 SiteProtector 3.0 結合使用,以嚴格方式與 SiteProtector 3.0 結合使用。
對于 NIST 嚴格方式,請將 替換為 。
注: AppScan Enterprise 以嚴格方式與 SiteProtector 3.0 結合使用,但無法以兼容方式與 SiteProtector 3.0 結合使用,也無法與 SiteProtector 2.9 結合使用。
保存并關閉文件。
推薦文章: