應(yīng)用網(wǎng)站安全維護(hù)操作

1、XXXX公司W(wǎng)EB網(wǎng)站安全維護(hù)操作規(guī)程（試行）（2011年V1版）（編號(hào)XX-X-XXXX）第一章 總則第1條 為加強(qiáng)WEB網(wǎng)站安全管理，在WEB網(wǎng)站的各個(gè)流程中落實(shí)“三同步”要求,有效減少和消除WEB網(wǎng)站的安全隱患，有效預(yù)防和規(guī)避安全事故的發(fā)生，按照集團(tuán)公司制定下發(fā)的XX統(tǒng)一門戶網(wǎng)站管理辦法、XXWeb類應(yīng)用系統(tǒng)安全防護(hù)技術(shù)要求、XX網(wǎng)頁(yè)篡改及網(wǎng)頁(yè)信息安全防護(hù)系統(tǒng)技術(shù)規(guī)范、XXXX公司帳號(hào)口令管理辦法、XX網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估管理辦法、XX設(shè)備通用安全功能和配置規(guī)范、XXXX公司設(shè)備入網(wǎng)安全驗(yàn)收管理辦法和XX通信集團(tuán)XX有限公司網(wǎng)絡(luò)類固定資產(chǎn)退網(wǎng)管理辦法等安全規(guī)范（詳見附錄5：相關(guān)安全管理

2、辦法），特制定本管理辦法。第2條 本管理辦法自2011年5月1日起實(shí)施，由區(qū)公司網(wǎng)絡(luò)部負(fù)責(zé)解釋和修改。第二章適用范圍第3條 本辦法所指WEB網(wǎng)站為XXXX公司管轄范圍內(nèi)所有網(wǎng)站系統(tǒng)。 第三章 組織及職責(zé)第4條 按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)維護(hù)、誰(shuí)負(fù)責(zé)，誰(shuí)使用、誰(shuí)負(fù)責(zé)，誰(shuí)接入、誰(shuí)負(fù)責(zé)”原則，XXXX公司各業(yè)務(wù)網(wǎng)站維護(hù)單位應(yīng)安排專人負(fù)責(zé)所管轄WEB網(wǎng)站安全維護(hù)工作。第5條 WEB網(wǎng)站安全責(zé)任單位包括：各市公司，網(wǎng)絡(luò)信息公司，區(qū)通信集成公司，區(qū)公司網(wǎng)絡(luò)運(yùn)營(yíng)中心和運(yùn)營(yíng)支撐中心等單位。主要職責(zé)如下：（一） 負(fù)責(zé)按本管理辦法落實(shí)各項(xiàng)安全要求，確保所負(fù)責(zé)維護(hù)或管理的web網(wǎng)站的安全。（二） 負(fù)責(zé)定期向網(wǎng)絡(luò)部報(bào)送

3、所負(fù)責(zé)維護(hù)WEB網(wǎng)站的維護(hù)情況，請(qǐng)見附件1。（三） 對(duì)集團(tuán)公司以及XX公司的網(wǎng)站滲透測(cè)試檢查的結(jié)果進(jìn)行確認(rèn)，并對(duì)需整改的問題進(jìn)行限期整改，針對(duì)高風(fēng)險(xiǎn)漏洞應(yīng)在5個(gè)工作日以內(nèi)完成整改。整改不了的問題應(yīng)督促設(shè)備供應(yīng)商/系統(tǒng)集成商進(jìn)行備案，備案材料需對(duì)無法進(jìn)行整改的問題進(jìn)行說明，設(shè)備供應(yīng)商/系統(tǒng)集成商需承諾對(duì)于遺留問題可能引發(fā)的信息安全問題負(fù)責(zé)并蓋章確認(rèn)。第6條 WEB網(wǎng)站安全職能管理部門：網(wǎng)絡(luò)部。主要職責(zé)如下：（一）根據(jù)集團(tuán)要求及XX公司實(shí)際情況制定、細(xì)化、更新WEB安全管理辦法，同時(shí)組織相關(guān)部門對(duì)安全管理辦法、規(guī)范，定期組織宣貫、學(xué)習(xí)。（二）制定設(shè)計(jì)階段的安全需求，為安全驗(yàn)收設(shè)計(jì)部門提供安全建設(shè)依

4、據(jù)和參考。（三）監(jiān)督、檢查WEB安全維護(hù)規(guī)范執(zhí)行情況。第四章 WEB網(wǎng)站安全運(yùn)維流程第7條 在WEB網(wǎng)站的整個(gè)系統(tǒng)的規(guī)劃、建設(shè)和運(yùn)行的生命過程中，應(yīng)遵循安全“三同步”原則（同步規(guī)劃、同步建設(shè)、同步運(yùn)行）規(guī)定WEB網(wǎng)站生命周期各個(gè)環(huán)節(jié)的安全運(yùn)維流程。圖1 WEB網(wǎng)站生命周期各個(gè)環(huán)節(jié)的安全運(yùn)維流程第8條 上線階段安全管理要求：（一）網(wǎng)站備案網(wǎng)站上線前必須向相關(guān)部門申請(qǐng)網(wǎng)站備案。（二）安全入網(wǎng)驗(yàn)收對(duì)WEB網(wǎng)站入網(wǎng)前按照XXXX公司設(shè)備入網(wǎng)安全驗(yàn)收管理辦法要求對(duì)設(shè)備進(jìn)行基線檢查、漏洞掃描和滲透測(cè)試等安全評(píng)估工作，根據(jù)評(píng)估結(jié)果進(jìn)行安全加固，提交安全評(píng)估加固報(bào)告，并經(jīng)評(píng)審?fù)ㄟ^后方可入網(wǎng)。重要網(wǎng)站需按照集團(tuán)

5、WEB類應(yīng)用系統(tǒng)安全防護(hù)技術(shù)要求部署相關(guān)安全設(shè)備。第9條 運(yùn)維階段安全管理要求：（一）安全設(shè)備日常運(yùn)維門戶網(wǎng)站的日常運(yùn)維管理主要包括日常安全作業(yè)、帳號(hào)權(quán)限管理、遠(yuǎn)程接入管理和安全監(jiān)控管理等內(nèi)容。（二）日常安全作業(yè)WEB網(wǎng)站安全維護(hù)部門應(yīng)嚴(yán)格執(zhí)行WEB網(wǎng)站安全管理部門制定的安全作業(yè)計(jì)劃，具體要求如下：1. 作業(yè)的內(nèi)容：包括設(shè)備巡檢、補(bǔ)丁升級(jí)、安全評(píng)估加固、安全審計(jì)、應(yīng)急演練等。2. 作業(yè)的周期：應(yīng)按照作業(yè)的規(guī)模制定日、周、月及重大節(jié)假日的執(zhí)行計(jì)劃。3. 作業(yè)的執(zhí)行：應(yīng)對(duì)作業(yè)的結(jié)果進(jìn)行復(fù)核。（三）帳號(hào)權(quán)限管理WEB網(wǎng)站安全維護(hù)部門在日常運(yùn)維工作中所使用的帳號(hào)，應(yīng)嚴(yán)格遵循XXXX公司帳號(hào)口令管理辦法

6、進(jìn)行管理，并根據(jù)“權(quán)限最小化”原則進(jìn)行授權(quán)，并對(duì)帳號(hào)權(quán)限進(jìn)行審計(jì)。（四）遠(yuǎn)程接入管理WEB網(wǎng)站安全維護(hù)部門在日常運(yùn)維工作中所需要的遠(yuǎn)程接入，應(yīng)嚴(yán)格遵循XXXX公司遠(yuǎn)程接入安全管理辦法對(duì)遠(yuǎn)程接入的范圍和權(quán)限等進(jìn)行嚴(yán)格的管理，并定期進(jìn)行審計(jì)，對(duì)不再使用的遠(yuǎn)程接入帳號(hào)，應(yīng)及時(shí)回收權(quán)限或刪除。（五）安全監(jiān)控管理WEB網(wǎng)站安全維護(hù)部門應(yīng)對(duì)系統(tǒng)軟硬件設(shè)備和應(yīng)用的安全狀況進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行過程中的安全問題并及時(shí)處理。安全監(jiān)控管理范圍1. 安全設(shè)備：包括防火墻、入侵檢測(cè)/防護(hù)設(shè)備、抗拒絕服務(wù)攻擊設(shè)備、網(wǎng)頁(yè)防篡改設(shè)備等。2. 系統(tǒng)設(shè)備：包括交換機(jī)、路由器、負(fù)載均衡、主機(jī)、數(shù)據(jù)庫(kù)、中間件等設(shè)備。（六）安全

7、評(píng)估加固WEB網(wǎng)站安全維護(hù)部門在日常運(yùn)營(yíng)過程中，應(yīng)定期對(duì)網(wǎng)站進(jìn)行安全評(píng)估加固，發(fā)現(xiàn)系統(tǒng)中存在安全問題并進(jìn)行整改，提高系統(tǒng)的安全防護(hù)水平。評(píng)估加固范圍：門戶網(wǎng)站的基礎(chǔ)設(shè)施、業(yè)務(wù)和應(yīng)用等。評(píng)估加固內(nèi)容1. 網(wǎng)絡(luò)安全評(píng)估：從網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備配置兩個(gè)層面對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)規(guī)范性、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)設(shè)備配置、等方面的安全狀況進(jìn)行評(píng)估。2. 安全設(shè)備評(píng)估：對(duì)防火墻、入侵檢測(cè)(防護(hù))、抗拒絕服務(wù)攻擊等設(shè)備進(jìn)行的漏洞掃描、基線檢查、安全防護(hù)策略檢查等工作。3. 系統(tǒng)安全評(píng)估：對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、中間件等進(jìn)行的漏洞掃描、基線檢查等工作。4. 應(yīng)用安全評(píng)估： Web應(yīng)用掃描、遠(yuǎn)程滲透測(cè)試等工

8、作。5. 安全加固：對(duì)安全評(píng)估發(fā)現(xiàn)的問題進(jìn)行整改，消除存在的弱點(diǎn)，進(jìn)行再評(píng)估，直到漏洞徹底解決。評(píng)估加固周期：至少每半年一次。評(píng)估加固方式：自評(píng)估加固或第三方評(píng)估加固。圖2 安全評(píng)估加固流程（七）變更管理門戶網(wǎng)站的變更主要指在日常運(yùn)營(yíng)過程中對(duì)系統(tǒng)、服務(wù)所做的更改，包括WEB系統(tǒng)軟件升級(jí)和配置變更等。WEB網(wǎng)站安全維護(hù)部門應(yīng)對(duì)門戶網(wǎng)站的系統(tǒng)變更進(jìn)行嚴(yán)格的安全管理和控制，盡量減少變更給系統(tǒng)帶來新的安全威脅，確保系統(tǒng)的安全性。門戶網(wǎng)站的變更在實(shí)施前后必須通過進(jìn)行安全評(píng)估加固。圖3 配置變更管理流程第10條 廢棄階段安全管理要求: WEB網(wǎng)站安全維護(hù)部門對(duì)WEB網(wǎng)站的硬件設(shè)備、系統(tǒng)軟件、應(yīng)用程序等在退

9、出服務(wù)時(shí)，應(yīng)遵循以下原則進(jìn)行敏感信息銷毀，以避免敏感信息外泄。1. 對(duì)于退出門戶網(wǎng)站現(xiàn)網(wǎng)的硬件設(shè)備（如報(bào)廢、挪作他用等），應(yīng)采用數(shù)據(jù)銷毀等方式徹底銷毀設(shè)備上的軟件和數(shù)據(jù)。2. 對(duì)于停止使用的應(yīng)用程序，應(yīng)對(duì)程序進(jìn)行離線備份，并采取軟件刪除的方式進(jìn)行處理。第11條 退網(wǎng)階段安全要求請(qǐng)參考XX通信集團(tuán)XX有限公司網(wǎng)絡(luò)類固定資產(chǎn)退網(wǎng)管理辦法。附件1 WEB網(wǎng)站維護(hù)情況匯總表編號(hào)網(wǎng)站名稱URL業(yè)務(wù)內(nèi)容負(fù)責(zé)人維護(hù)負(fù)責(zé)人聯(lián)系方式備注附件2 安全維護(hù)作業(yè)計(jì)劃序號(hào)執(zhí)行內(nèi)容周期執(zhí)行內(nèi)容備注是否上載附件1系統(tǒng)日志安全檢查天無異常日志無2安全設(shè)備網(wǎng)絡(luò)連通性維護(hù)天各設(shè)備網(wǎng)絡(luò)連接正常無3防火墻健康巡檢天各防火墻運(yùn)行正常,CPU占用率<70%.無4設(shè)備健康巡檢天各設(shè)備運(yùn)行正常無5網(wǎng)絡(luò)異常流量監(jiān)控天各網(wǎng)絡(luò)接口流量正常,無異常流量.無6檢查應(yīng)用系統(tǒng)端口、服務(wù)情況周各應(yīng)用系統(tǒng)端口、服務(wù)正常無7檢查各防火墻訪問控制策略周各防火墻策略應(yīng)用正確合理,嚴(yán)格有效.無8病毒代碼更新檢查周已完成更新.無9重要操作日志檢查半月完成日志檢查，無異常操作無10安全設(shè)備日志分析月完成日志檢查，無異常行為無11系統(tǒng)安裝安全補(bǔ)丁月已完成本月安全補(bǔ)丁更新無12防火墻配置備份月