应用网站安全维护操作分解.doc

XXXX公司 WEB网站安全维护操作规程 （试行） （2011年V1版） （编号XX-X-XXXX） 第一章 总则 为加强WEB网站安全管理，在WEB网站的各个流程中落实“三同步”要求,有效减少和消除WEB网站的安全隐患，有效预防和规避安全事故的发生，按照集团公司制定下发的《XX统一门户网站管理办法》、《XXWeb类应用系统安全防护技术要求》、《XX网页篡改及网页信息安全防护系统技术规范》、《XXXX公司帐号口令管理办法》、《XX网络与信息安全风险评估管理办法》、《XX设备通用安全功能和配置规范》、《XXXX公司设备入网安全验收管理办法》和《XX通信集团XX有限公司网络类固定资产退网管理办法》等安全规范（详见附录5：相关安全管理办法），特制定本管理办法。 本管理办法自2011年5月1日起实施，由区公司网络部负责解释和修改。 第二章 适用范围 本办法所指WEB网站为XXXX公司管辖范围内所有网站系统。 第三章 组织及职责 按照“谁主管、谁负责，谁维护、谁负责，谁使用、谁负责，谁接入、谁负责”原则，XXXX公司各业务网站维护单位应安排专人负责所管辖WEB网站安全维护工作。 WEB网站安全责任单位包括：各市公司，网络信息公司，区通信集成公司，区公司网络运营中心和运营支撑中心等单位。主要职责如下： 负责按本管理办法落实各项安全要求，确保所负责维护或管理的web网站的安全。 负责定期向网络部报送所负责维护WEB网站的维护情况，请见附件1。 对集团公司以及XX公司的网站渗透测试检查的结果进行确认，并对需整改的问题进行限期整改，针对高风险漏洞应在5个工作日以内完成整改。整改不了的问题应督促设备供应商/系统集成商进行备案，备案材料需对无法进行整改的问题进行说明，设备供应商/系统集成商需承诺对于遗留问题可能引发的信息安全问题负责并盖章确认。 WEB网站安全职能管理部门：网络部。主要职责如下： （一）根据集团要求及XX公司实际情况制定、细化、更新WEB安全管理办法，同时组织相关部门对安全管理办法、规范，定期组织宣贯、学习。 （二）制定设计阶段的安全需求，为安全验收设计部门提供安全建设依据和参考。 （三）监督、检查WEB安全维护规范执行情况。 第四章 WEB网站安全运维流程 在WEB网站的整个系统的规划、建设和运行的生命过程中，应遵循安全“三同步”原则（同步规划、同步建设、同步运行）规定WEB网站生命周期各个环节的安全运维流程。 图1 WEB网站生命周期各个环节的安全运维流程 上线阶段安全管理要求： （一）网站备案 网站上线前必须向相关部门申请网站备案。 （二）安全入网验收 对WEB网站入网前按照《XXXX公司设备入网安全验收管理办法》要求对设备进行基线检查、漏洞扫描和渗透测试等安全评估工作，根据评估结果进行安全加固，提交安全评估加固报告，并经评审通过后方可入网。重要网站需按照集团《WEB类应用系统安全防护技术要求》部署相关安全设备。 运维阶段安全管理要求： （一）安全设备日常运维 门户网站的日常运维管理主要包括日常安全作业、帐号权限管理、远程接入管理和安全监控管理等内容。 （二）日常安全作业 WEB网站安全维护部门应严格执行WEB网站安全管理部门制定的安全作业计划，具体要求如下： 作业的内容：包括设备巡检、补丁升级、安全评估加固、安全审计、应急演练等。 作业的周期：应按照作业的规模制定日、周、月及重大节假日的执行计划。 作业的执行：应对作业的结果进行复核。 （三）帐号权限管理 WEB网站安全维护部门在日常运维工作中所使用的帐号，应严格遵循《XXXX公司帐号口令管理办法》进行管理，并根据“权限最小化”原则进行授权，并对帐号权限进行审计。 （四）远程接入管理 WEB网站安全维护部门在日常运维工作中所需要的远程接入，应严格遵循《XXXX公司远程接入安全管理办法》对远程接入的范围和权限等进行严格的管理，并定期进行审计，对不再使用的远程接入帐号，应及时回收权限或删除。 （五）安全监控管理 WEB网站安全维护部门应对系统软硬件设备和应用的安全状况进行监控，及时发现系统运行过程中的安全问题并及时处理。 安全监控管理范围 安全设备：包括防火墙、入侵检测/防护设备、抗拒绝服务攻击设备、网页防篡改设备等。 系统设备：包括交换机、路由器、负载均衡、主机、数据库、中间件等设备。 （六）安全评估加固 WEB网站安全维护部门在日常运营过程中，应定期对网站进行安全评估加固，发现系统中存在安全问题并进行整改，提高系统的安全防护水平。 评估加固范围：门户网站的基础设施、业务和应用等。 评估加固内容 网络安全评估：从网络架构、网络设备配置两个层面对网络结构、网络协议、网络流量、网络规范性、网络边界、网络设备配置、等方面的安全状况进行评估。 安全设备评