应用网站安全维护操作

1、XXXX公司WEB网站安全维护操作规程（试行）（2011年V1版）（编号XX-X-XXXX）第一章 总则第1条 为加强WEB网站安全管理，在WEB网站的各个流程中落实“三同步”要求,有效减少和消除WEB网站的安全隐患，有效预防和规避安全事故的发生，按照集团公司制定下发的XX统一门户网站管理办法、XXWeb类应用系统安全防护技术要求、XX网页篡改及网页信息安全防护系统技术规范、XXXX公司帐号口令管理办法、XX网络与信息安全风险评估管理办法、XX设备通用安全功能和配置规范、XXXX公司设备入网安全验收管理办法和XX通信集团XX有限公司网络类固定资产退网管理办法等安全规范（详见附录5：相关安全管理

2、办法），特制定本管理办法。第2条 本管理办法自2011年5月1日起实施，由区公司网络部负责解释和修改。第二章适用范围第3条 本办法所指WEB网站为XXXX公司管辖范围内所有网站系统。 第三章 组织及职责第4条 按照“谁主管、谁负责，谁维护、谁负责，谁使用、谁负责，谁接入、谁负责”原则，XXXX公司各业务网站维护单位应安排专人负责所管辖WEB网站安全维护工作。第5条 WEB网站安全责任单位包括：各市公司，网络信息公司，区通信集成公司，区公司网络运营中心和运营支撑中心等单位。主要职责如下：（一） 负责按本管理办法落实各项安全要求，确保所负责维护或管理的web网站的安全。（二） 负责定期向网络部报送

3、所负责维护WEB网站的维护情况，请见附件1。（三） 对集团公司以及XX公司的网站渗透测试检查的结果进行确认，并对需整改的问题进行限期整改，针对高风险漏洞应在5个工作日以内完成整改。整改不了的问题应督促设备供应商/系统集成商进行备案，备案材料需对无法进行整改的问题进行说明，设备供应商/系统集成商需承诺对于遗留问题可能引发的信息安全问题负责并盖章确认。第6条 WEB网站安全职能管理部门：网络部。主要职责如下：（一）根据集团要求及XX公司实际情况制定、细化、更新WEB安全管理办法，同时组织相关部门对安全管理办法、规范，定期组织宣贯、学习。（二）制定设计阶段的安全需求，为安全验收设计部门提供安全建设依

4、据和参考。（三）监督、检查WEB安全维护规范执行情况。第四章 WEB网站安全运维流程第7条 在WEB网站的整个系统的规划、建设和运行的生命过程中，应遵循安全“三同步”原则（同步规划、同步建设、同步运行）规定WEB网站生命周期各个环节的安全运维流程。图1 WEB网站生命周期各个环节的安全运维流程第8条 上线阶段安全管理要求：（一）网站备案网站上线前必须向相关部门申请网站备案。（二）安全入网验收对WEB网站入网前按照XXXX公司设备入网安全验收管理办法要求对设备进行基线检查、漏洞扫描和渗透测试等安全评估工作，根据评估结果进行安全加固，提交安全评估加固报告，并经评审通过后方可入网。重要网站需按照集团

5、WEB类应用系统安全防护技术要求部署相关安全设备。第9条 运维阶段安全管理要求：（一）安全设备日常运维门户网站的日常运维管理主要包括日常安全作业、帐号权限管理、远程接入管理和安全监控管理等内容。（二）日常安全作业WEB网站安全维护部门应严格执行WEB网站安全管理部门制定的安全作业计划，具体要求如下：1. 作业的内容：包括设备巡检、补丁升级、安全评估加固、安全审计、应急演练等。2. 作业的周期：应按照作业的规模制定日、周、月及重大节假日的执行计划。3. 作业的执行：应对作业的结果进行复核。（三）帐号权限管理WEB网站安全维护部门在日常运维工作中所使用的帐号，应严格遵循XXXX公司帐号口令管理办法

6、进行管理，并根据“权限最小化”原则进行授权，并对帐号权限进行审计。（四）远程接入管理WEB网站安全维护部门在日常运维工作中所需要的远程接入，应严格遵循XXXX公司远程接入安全管理办法对远程接入的范围和权限等进行严格的管理，并定期进行审计，对不再使用的远程接入帐号，应及时回收权限或删除。（五）安全监控管理WEB网站安全维护部门应对系统软硬件设备和应用的安全状况进行监控，及时发现系统运行过程中的安全问题并及时处理。安全监控管理范围1. 安全设备：包括防火墙、入侵检测/防护设备、抗拒绝服务攻击设备、网页防篡改设备等。2. 系统设备：包括交换机、路由器、负载均衡、主机、数据库、中间件等设备。（六）安全

7、评估加固WEB网站安全维护部门在日常运营过程中，应定期对网站进行安全评估加固，发现系统中存在安全问题并进行整改，提高系统的安全防护水平。评估加固范围：门户网站的基础设施、业务和应用等。评估加固内容1. 网络安全评估：从网络架构、网络设备配置两个层面对网络结构、网络协议、网络流量、网络规范性、网络边界、网络设备配置、等方面的安全状况进行评估。2. 安全设备评估：对防火墙、入侵检测(防护)、抗拒绝服务攻击等设备进行的漏洞扫描、基线检查、安全防护策略检查等工作。3. 系统安全评估：对网络设备、主机、数据库、中间件等进行的漏洞扫描、基线检查等工作。4. 应用安全评估： Web应用扫描、远程渗透测试等工

8、作。5. 安全加固：对安全评估发现的问题进行整改，消除存在的弱点，进行再评估，直到漏洞彻底解决。评估加固周期：至少每半年一次。评估加固方式：自评估加固或第三方评估加固。图2 安全评估加固流程（七）变更管理门户网站的变更主要指在日常运营过程中对系统、服务所做的更改，包括WEB系统软件升级和配置变更等。WEB网站安全维护部门应对门户网站的系统变更进行严格的安全管理和控制，尽量减少变更给系统带来新的安全威胁，确保系统的安全性。门户网站的变更在实施前后必须通过进行安全评估加固。图3 配置变更管理流程第10条 废弃阶段安全管理要求: WEB网站安全维护部门对WEB网站的硬件设备、系统软件、应用程序等在退

9、出服务时，应遵循以下原则进行敏感信息销毁，以避免敏感信息外泄。1. 对于退出门户网站现网的硬件设备（如报废、挪作他用等），应采用数据销毁等方式彻底销毁设备上的软件和数据。2. 对于停止使用的应用程序，应对程序进行离线备份，并采取软件删除的方式进行处理。第11条 退网阶段安全要求请参考XX通信集团XX有限公司网络类固定资产退网管理办法。附件1 WEB网站维护情况汇总表编号网站名称URL业务内容负责人维护负责人联系方式备注附件2 安全维护作业计划序号执行内容周期执行内容备注是否上载附件1系统日志安全检查天无异常日志无2安全设备网络连通性维护天各设备网络连接正常无3防火墙健康巡检天各防火墙运行正常,CPU占用率<70%.无4设备健康巡检天各设备运行正常无5网络异常流量监控天各网络接口流量正常,无异常流量.无6检查应用系统端口、服务情况周各应用系统端口、服务正常无7检查各防火墙访问控制策略周各防火墙策略应用正确合理,严格有效.无8病毒代码更新检查周已完成更新.无9重要操作日志检查半月完成日志检查，无异常操作无10安全设备日志分析月完成日志检查，无异常行为无11系统安装安全补丁月已完成本月安全补丁更新无12防火墙配置备份月