应用网站安全维护操作

XXXX 公司WEB 网站安全维护操作规程（试行）（2011年V1版）（编号XX-X-XXXX ）第一章 总则第1条 为加强WEB 网站安全管理，在WEB 网站的各个流程中落实“三同步”要求, 有效减

XXXX 公司

WEB 网站安全维护操作规程

（试行）

（2011年V1版）

（编号XX-X-XXXX ）

第一章 总则

第1条 为加强WEB 网站安全管理，在WEB 网站的各个流程中落实“三同步”要求, 有效减少和消除WEB 网站的安全隐患，有效预防和规避安全事故的发生，按照集团公司制定下发的《XX 统一门户网站管理办法》、《XXWeb 类应用系统安全防护技术要求》、《XX 网页篡改及网页信息安全防护系统技术规范》、《XXXX 公司帐号口令管理办法》、《XX 网络与信息安全风险评估管理办法》、《XX 设备通用安全功能和配置规范》、《XXXX 公司设备入网安全验收管理办法》和《XX 通信集团XX 有限公司网络类固定资产退网管

理办法》等安全规范（详见附录5：相关安全管理办法），特制定本管理办法。

第2条 本管理办法自2011年5月1日起实施，由区公司网络部负责解释和修改。

第二章 适用范围

第3条 本办法所指WEB 网站为XXXX 公司管辖范围内所有网站系统。

第三章 组织及职责

第4条 按照“谁主管、谁负责，谁维护、谁负责，谁使用、谁负责，谁接入、谁负责”原则，XXXX 公司各业务网站维护单位应安排专人负责所管辖WEB 网站安全维护工作。

第5条 WEB 网站安全责任单位包括：各市公司，网络信息公司，区通信集成公司，区公司网络运营中心和运营支撑中心等单位。主要职责如下：

（一） 负责按本管理办法落实各项安全要求，确保所负责

维护或管理的web 网站的安全。

（二） 负责定期向网络部报送所负责维护WEB 网站的维护

情况，请见附件1。

（三） 对集团公司以及XX 公司的网站渗透测试检查的结果

进行确认，并对需整改的问题进行限期整改，针对高风险漏洞应在5个工作日以内完成整改。整改不了的问题

应督促设备供应商/系统集成商进行备案，备案材料需对无法进行整改的问题进行说明，设备供应商/系统集成商需承诺对于遗留问题可能引发的信息安全问题负责并盖章确认。

第6条 WEB 网站安全职能管理部门：网络部。主要职责如下：

（一）根据集团要求及XX 公司实际情况制定、细化、更新WEB 安全管理办法，同时组织相关部门对安全管理办法、规范，定期组织宣贯、学习。

（二）制定设计阶段的安全需求，为安全验收设计部门提供安全建设依据和参考。

（三）监督、检查WEB 安全维护规范执行情况。

第四章 WEB网站安全运维流程

第7条 在WEB 网站的整个系统的规划、建设和运行的生命过程中，应遵循安全“三同步”原则（同步规划、同步建设、同步运行）规定WEB 网站生命周期各个环节的安全运维流程。

图1 WEB网站生命周期各个环节的安全运维流程

第8条 上线阶段安全管理要求：

（一）网站备案

网站上线前必须向相关部门申请网站备案。

（二）安全入网验收

对WEB 网站入网前按照《XXXX 公司设备入网安全验收管理办法》要求对设备进行基线检查、漏洞扫描和渗透测试等安全评估工作，根据评估结果进行安全加固，提交安全评估加固报告，并经评审通过后方可入网。重要网站需按照集团《WEB 类应用系统安全防护技术要求》部署相关安全设备。

第9条 运维阶段安全管理要求：

（一）安全设备日常运维

门户网站的日常运维管理主要包括日常安全作业、帐号权限管理、远程接入管理和安全监控管理等内容。

（二）日常安全作业

WEB 网站安全维护部门应严格执行WEB 网站安全管理部门制定的

安全作业计划，具体要求如下：

1. 作业的内容：包括设备巡检、补丁升级、安全评估加固、安全审计、应急演练等。

2. 作业的周期：应按照作业的规模制定日、周、月及重大节假日的执行计划。

3. 作业的执行：应对作业的结果进行复核。

（三）帐号权限管理

WEB 网站安全维护部门在日常运维工作中所使用的帐号，应严格遵循《XXXX 公司帐号口令管理办法》进行管理，并根据“权限最小化”原则进行授权，并对帐号权限进行审计。

（四）远程接入管理

WEB 网站安全维护部门在日常运维工作中所需要的远程接入，应严格遵循《XXXX 公司远程接入安全管理办法》对远程接入的范围和权限等进行严格的管理，并定期进行审计，对不再使用的远程接入帐号，应及时回收权限或删除。

（五）安全监控管理

WEB 网站安全维护部门应对系统软硬件设备和应用的安全状况进行监控，及时发现系统运行过程中的安全问题并及时处理。

安全监控管理范围

1. 安全设备：包括防火墙、入侵检测/防护设备、抗拒绝服务

攻击设备、网页防篡改设备等。

2. 系统设备：包括交换机、路由器、负载均衡、主机、数据库、中间件等设备。

（六）安全评估加固

WEB 网站安全维护部门在日常运营过程中，应定期对网站进行安全评估加固，发现系统中存在安全问题并进行整改，提高系统的安全防护水平。

评估加固范围：门户网站的基础设施、业务和应用等。

评估加固内容

1. 网络安全评估：从网络架构、网络设备配置两个层面对网络结构、网络协议、网络流量、网络规范性、网络边界、网络设备配置、等方面的安全状况进行评估。

2. 安全设备评估：对防火墙、入侵检测(防护) 、抗拒绝服务攻击等设备进行的漏洞扫描、基线检查、安全防护策略检查等工作。

3. 系统安全评估：对网络设备、主机、数据库、中间件等进行的漏洞扫描、基线检查等工作。

4. 应用安全评估： Web应用扫描、远程渗透测试等工作。

5. 安全加固：对安全评估发现的问题进行整改，消除存在的弱点，进行再评估，直到漏洞彻底解决。

评估加固周期：至少每半年一次。

评估加固方式：自评估加固或第三方评估加固。

图2 安全评估加固流程

（七）变更管理

门户网站的变更主要指在日常运营过程中对系统、服务所做的更改，包括WEB 系统软件升级和配置变更等。

WEB 网站安全维护部门应对门户网站的系统变更进行严格的安全管理和控制，尽量减少变更给系统带来新的安全威胁，确保系统的安全性。

门户网站的变更在实施前后必须通过进行安全评估加固。

图3 配置变更管理流程

第10条 废弃阶段安全管理要求:

WEB网站安全维护部门对WEB 网站的硬件设备、系统软件、应用程序等在退出服务时，应遵循以下原则进行敏感信息销毁，以避免敏感信息外泄。

1. 对于退出门户网站现网的硬件设备（如报废、挪作他用等），

应采用数据销毁等方式彻底销毁设备上的软件和数据。

2. 对于停止使用的应用程序，应对程序进行离线备份，并采取软

件删除的方式进行处理。

第11条 退网阶段安全要求

请参考《XX 通信集团XX 有限公司网络类固定资产退网管理办法》。

附件1 WEB网站维护情况汇总表

附件2 安全维护作业计划