WebSphere Web服务器
安全配置基线
中国移动通信有限公司管理信息系统部
2012年 04月
备注：
1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录
第1章概述 (4)
1.1目的 (4)
1.2适用范围 (4)
1.3适用版本 (4)
1.4实施 (4)
1.5例外条款 (4)
第2章帐号管理、认证授权 (5)
2.1帐号 (5)
2.1.1应用程序角色 (5)
2.1.2控制台帐号安全 (5)
2.1.3口令管理 (6)
2.1.4密码复杂度 (6)
2.2认证授权 (7)
2.2.1控制台安全 (7)
2.2.2全局安全性与Java2安全 (7)
第3章日志配置操作 (9)
3.1日志配置 (9)
3.1.1日志与记录 (9)
第4章备份容错 (10)
4.1备份容错 (10)
第5章设备其他配置操作 (11)
5.1安全管理 (11)
5.1.1控制台超时设置 (11)
5.1.2示例程序删除 (11)
5.1.3错误页面处理 (12)
5.1.4文件访问限制 (12)
5.1.5目录列出访问限制 (13)
5.1.6控制目录权限 (13)
5.1.7补丁管理* (13)
第6章评审与修订 (15)
第1章概述
1.1目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphere Web 服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。

1.2适用范围
本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的WebSphere Web服务器系统。

1.3适用版本
6.x版本的WebSphere Web服务器。

1.4实施
本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款
欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章帐号管理、认证授权2.1帐号
应用程序角色
控制台帐号安全
口令管理
密码复杂度
2.2认证授权
控制台安全
全局安全性与Java2安全
第3章日志配置操作3.1日志配置
日志与记录
第4章备份容错4.1备份容错
第5章设备其他配置操作5.1安全管理
控制台超时设置
示例程序删除
错误页面处理
文件访问限制
目录列出访问限制
控制目录权限
补丁管理*
第6章评审与修订
本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。