为了解决以上问题,SINE安全对中间件漏洞修复方案进行了全套优化,其目标是在提高大
规模漏洞修复效率的同时,尽量降低部门整体修复成本,并避免大规模修复造成的生产环境事
件:建立规范的中间件管理体系。中间件产品种类繁多,实施部署方案也因项目而异,要想做
到快速修复安全漏洞,关键在于标准化,即标准产品范围、标准部署架构、标准安装路径、标
准版本、标准组件、标准参数概要和安全参数。
产品范围:对于相同类型的中间件,如应用服务器、Web服务器、分布式框架等,选用流行商
业加流行开源的方法,做为首要的行内主打版本,明确产品目录,严格控制对非产品目录中间
件的随意使用,对于确实需要新引入的中间件产品,执行明确的引入标准,提供标准交付文件
,通过研究、试用、主打三个阶段,完成标准化引入。部署架构:关注高风险网络区域如因特
网的中间件部署,禁止直接将应用中间件部署到因特网相关域,应使用web中间件对请求进行
安全过滤和转发,并禁止直接透传所有请求。
业加流行开源的方法,做为首要的行内主打版本,明确产品目录,严格控制对非产品目录中间
件的随意使用,对于确实需要新引入的中间件产品,执行明确的引入标准,提供标准交付文件
,通过研究、试用、主打三个阶段,完成标准化引入。部署架构:关注高风险网络区域如因特
网的中间件部署,禁止直接将应用中间件部署到因特网相关域,应使用web中间件对请求进行
安全过滤和转发,并禁止直接透传所有请求。
设置路径:标准中间件软件路径,应用部署路径,日志路径,配置文件路径,方便统一的管理
和开发标准的工具。标准版:维持流行版,而非主流版的环境需要一起升级到最新流行版,同
时应用系统的任意基本组件(包括操作系统、数据库、中间件)触发升级策略。标准件:为了保
证安全性,环境中的一些高风险组件,比如weblogicwsat高风险war文件,tomcat控制台,中
间件产品自带的样例程序,等等。
和开发标准的工具。标准版:维持流行版,而非主流版的环境需要一起升级到最新流行版,同
时应用系统的任意基本组件(包括操作系统、数据库、中间件)触发升级策略。标准件:为了保
证安全性,环境中的一些高风险组件,比如weblogicwsat高风险war文件,tomcat控制台,中
间件产品自带的样例程序,等等。
标准化概要和安全参数:对启动过程中涉及的脚本和概要文件进行二次封装,明确概要文件
安全参数设置要求,控制脚本修改权限,通过工具对脚本和概要文件进行统一检查。
安全参数设置要求,控制脚本修改权限,通过工具对脚本和概要文件进行统一检查。
规范化是漏洞快速修复方案的基础,在推行规范化的初期,一般会遇到各种阻力,此时需要领
导层的大力支持,严格控制非标环境的上线,同时对存量非标环境制定一份整改计划,并将漏
洞修复负责人进行分类,即标准化环境的修复由运营部门统一负责实施,非标准环境的修复由
项目组负责实施,未能按时修复的将进行相应的考核,督促项目组配合完成中间件环境规范化
工作。
导层的大力支持,严格控制非标环境的上线,同时对存量非标环境制定一份整改计划,并将漏
洞修复负责人进行分类,即标准化环境的修复由运营部门统一负责实施,非标准环境的修复由
项目组负责实施,未能按时修复的将进行相应的考核,督促项目组配合完成中间件环境规范化
工作。