应用网站安全维护操作Word文档格式.docx
《应用网站安全维护操作Word文档格式.docx》由会员分享,可在线阅读,更多相关《应用网站安全维护操作Word文档格式.docx(7页珍藏版)》请在冰豆网上搜索。
各市公司,网络信息公司,区通信集成公司,区公司网络运营中心和运营支撑中心等单位。
主要职责如下:
(一)负责按本管理办法落实各项安全要求,确保所负责维护或管理的web网站的安全。
(二)负责定期向网络部报送所负责维护WEB网站的维护情况,请见附件1。
(三)对集团公司以及XX公司的网站渗透测试检查的结果进行确认,并对需整改的问题进行限期整改,针对高风险漏洞应在5个工作日以内完成整改。
整改不了的问题应督促设备供应商/系统集成商进行备案,备案材料需对无法进行整改的问题进行说明,设备供应商/系统集成商需承诺对于遗留问题可能引发的信息安全问题负责并盖章确认。
第6条WEB网站安全职能管理部门:
网络部。
(一)根据集团要求及XX公司实际情况制定、细化、更新WEB安全管理办法,同时组织相关部门对安全管理办法、规范,定期组织宣贯、学习。
(二)制定设计阶段的安全需求,为安全验收设计部门提供安全建设依据和参考。
(三)监督、检查WEB安全维护规范执行情况。
第四章WEB网站安全运维流程
第7条在WEB网站的整个系统的规划、建设和运行的生命过程中,应遵循安全“三同步”原则(同步规划、同步建设、同步运行)规定WEB网站生命周期各个环节的安全运维流程。
图1WEB网站生命周期各个环节的安全运维流程
第8条上线阶段安全管理要求:
(一)网站备案
网站上线前必须向相关部门申请网站备案。
(二)安全入网验收
对WEB网站入网前按照《XXXX公司设备入网安全验收管理办法》要求对设备进行基线检查、漏洞扫描和渗透测试等安全评估工作,根据评估结果进行安全加固,提交安全评估加固报告,并经评审通过后方可入网。
重要网站需按照集团《WEB类应用系统安全防护技术要求》部署相关安全设备。
第9条运维阶段安全管理要求:
(一)安全设备日常运维
门户网站的日常运维管理主要包括日常安全作业、帐号权限管理、远程接入管理和安全监控管理等内容。
(二)日常安全作业
WEB网站安全维护部门应严格执行WEB网站安全管理部门制定的安全作业计划,具体要求如下:
1.作业的内容:
包括设备巡检、补丁升级、安全评估加固、安全审计、应急演练等。
2.作业的周期:
应按照作业的规模制定日、周、月及重大节假日的执行计划。
3.作业的执行:
应对作业的结果进行复核。
(三)帐号权限管理
WEB网站安全维护部门在日常运维工作中所使用的帐号,应严格遵循《XXXX公司帐号口令管理办法》进行管理,并根据“权限最小化”原则进行授权,并对帐号权限进行审计。
(四)远程接入管理
WEB网站安全维护部门在日常运维工作中所需要的远程接入,应严格遵循《XXXX公司远程接入安全管理办法》对远程接入的范围和权限等进行严格的管理,并定期进行审计,对不再使用的远程接入帐号,应及时回收权限或删除。
(五)安全监控管理
WEB网站安全维护部门应对系统软硬件设备和应用的安全状况进行监控,及时发现系统运行过程中的安全问题并及时处理。
安全监控管理范围
1.安全设备:
包括防火墙、入侵检测/防护设备、抗拒绝服务攻击设备、网页防篡改设备等。
2.系统设备:
包括交换机、路由器、负载均衡、主机、数据库、中间件等设备。
(六)安全评估加固
WEB网站安全维护部门在日常运营过程中,应定期对网站进行安全评估加固,发现系统中存在安全问题并进行整改,提高系统的安全防护水平。
评估加固范围:
门户网站的基础设施、业务和应用等。
评估加固内容
1.网络安全评估:
从网络架构、网络设备配置两个层面对网络结构、网络协议、网络流量、网络规范性、网络边界、网络设备配置、等方面的安全状况进行评估。
2.安全设备评估:
对防火墙、入侵检测(防护)、抗拒绝服务攻击等设备进行的漏洞扫描、基线检查、安全防护策略检查等工作。
3.系统安全评估:
对网络设备、主机、数据库、中间件等进行的漏洞扫描、基线检查等工作。
4.应用安全评估:
Web应用扫描、远程渗透测试等工作。
5.安全加固:
对安全评估发现的问题进行整改,消除存在的弱点,进行再评估,直到漏洞彻底解决。
评估加固周期:
至少每半年一次。
评估加固方式:
自评估加固或第三方评估加固。
图2安全评估加固流程
(七)变更管理
门户网站的变更主要指在日常运营过程中对系统、服务所做的更改,包括WEB系统软件升级和配置变更等。
WEB网站安全维护部门应对门户网站的系统变更进行严格的安全管理和控制,尽量减少变更给系统带来新的安全威胁,确保系统的安全性。
门户网站的变更在实施前后必须通过进行安全评估加固。
图3配置变更管理流程
第10条废弃阶段安全管理要求:
WEB网站安全维护部门对WEB网站的硬件设备、系统软件、应用程序等在退出服务时,应遵循以下原则进行敏感信息销毁,以避免敏感信息外泄。
1.对于退出门户网站现网的硬件设备(如报废、挪作他用等),应采用数据销毁等方式彻底销毁设备上的软件和数据。
2.对于停止使用的应用程序,应对程序进行离线备份,并采取软件删除的方式进行处理。
第11条退网阶段安全要求
请参考《XX通信集团XX有限公司网络类固定资产退网管理办法》。
附件1WEB网站维护情况汇总表
编号
网站名称
URL
业务内容负责人
维护负责人
联系方式
备注
附件2安全维护作业计划
序号
执行内容
周期
是否上载附件
1
系统日志安全检查
天
无异常日志
无
2
安全设备网络连通性维护
各设备网络连接正常
3
防火墙健康巡检
各防火墙运行正常,CPU占用率<
70%.
4
设备健康巡检
各设备运行正常
5
网络异常流量监控
各网络接口流量正常,无异常流量.
6
检查应用系统端口、服务情况
周
各应用系统端口、服务正常
7
检查各防火墙访问控制策略
各防火墙策略应用正确合理,严格有效.
8
病毒代码更新检查
已完成更新.
9
重要操作日志检查
半月
完成日志检查,无异常操作
10
安全设备日志分析
月
完成日志检查,无异常行为
11
系统安装安全补丁
已完成本月安全补丁更新
12
防火墙配置备份
已完成备份
13
病毒杀毒策略定制
已对防病毒系统进行策略检查
14
更改账号口令
季度
已完成相关用户口令更新
15
防火墙权限检查
已完成防火墙权限管理
16
安全评估加固
完成安全评估,对隐患主机进行处理
上载扫描结果
17
安全事件处理演练
半年
按计划顺利完成.
18
安全审计
检查安全规范的执行落实情况
检查报告