XXXX 公司W(wǎng)EB 網(wǎng)站安全維護(hù)操作規(guī)程（試行）（2011年V1版）（編號(hào)XX-X-XXXX ）第一章 總則第1條 為加強(qiáng)WEB 網(wǎng)站安全管理，在WEB 網(wǎng)站的各個(gè)流程中落實(shí)“三同步”要求, 有效減

XXXX 公司

WEB 網(wǎng)站安全維護(hù)操作規(guī)程

（試行）

（2011年V1版）

（編號(hào)XX-X-XXXX ）

第一章 總則

第1條 為加強(qiáng)WEB 網(wǎng)站安全管理，在WEB 網(wǎng)站的各個(gè)流程中落實(shí)“三同步”要求, 有效減少和消除WEB 網(wǎng)站的安全隱患，有效預(yù)防和規(guī)避安全事故的發(fā)生，按照集團(tuán)公司制定下發(fā)的《XX 統(tǒng)一門戶網(wǎng)站管理辦法》、《XXWeb 類應(yīng)用系統(tǒng)安全防護(hù)技術(shù)要求》、《XX 網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)系統(tǒng)技術(shù)規(guī)范》、《XXXX 公司帳號(hào)口令管理辦法》、《XX 網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估管理辦法》、《XX 設(shè)備通用安全功能和配置規(guī)范》、《XXXX 公司設(shè)備入網(wǎng)安全驗(yàn)收管理辦法》和《XX 通信集團(tuán)XX 有限公司網(wǎng)絡(luò)類固定資產(chǎn)退網(wǎng)管

理辦法》等安全規(guī)范（詳見附錄5：相關(guān)安全管理辦法），特制定本管理辦法。

第2條 本管理辦法自2011年5月1日起實(shí)施，由區(qū)公司網(wǎng)絡(luò)部負(fù)責(zé)解釋和修改。

第二章 適用范圍

第3條 本辦法所指WEB 網(wǎng)站為XXXX 公司管轄范圍內(nèi)所有網(wǎng)站系統(tǒng)。

第三章 組織及職責(zé)

第4條 按照“誰主管、誰負(fù)責(zé)，誰維護(hù)、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)，誰接入、誰負(fù)責(zé)”原則，XXXX 公司各業(yè)務(wù)網(wǎng)站維護(hù)單位應(yīng)安排專人負(fù)責(zé)所管轄WEB 網(wǎng)站安全維護(hù)工作。

第5條 WEB 網(wǎng)站安全責(zé)任單位包括：各市公司，網(wǎng)絡(luò)信息公司，區(qū)通信集成公司，區(qū)公司網(wǎng)絡(luò)運(yùn)營中心和運(yùn)營支撐中心等單位。主要職責(zé)如下：

（一） 負(fù)責(zé)按本管理辦法落實(shí)各項(xiàng)安全要求，確保所負(fù)責(zé)

維護(hù)或管理的web 網(wǎng)站的安全。

（二） 負(fù)責(zé)定期向網(wǎng)絡(luò)部報(bào)送所負(fù)責(zé)維護(hù)WEB 網(wǎng)站的維護(hù)

情況，請(qǐng)見附件1。

（三） 對(duì)集團(tuán)公司以及XX 公司的網(wǎng)站滲透測試檢查的結(jié)果

進(jìn)行確認(rèn)，并對(duì)需整改的問題進(jìn)行限期整改，針對(duì)高風(fēng)險(xiǎn)漏洞應(yīng)在5個(gè)工作日以內(nèi)完成整改。整改不了的問題

應(yīng)督促設(shè)備供應(yīng)商/系統(tǒng)集成商進(jìn)行備案，備案材料需對(duì)無法進(jìn)行整改的問題進(jìn)行說明，設(shè)備供應(yīng)商/系統(tǒng)集成商需承諾對(duì)于遺留問題可能引發(fā)的信息安全問題負(fù)責(zé)并蓋章確認(rèn)。

第6條 WEB 網(wǎng)站安全職能管理部門：網(wǎng)絡(luò)部。主要職責(zé)如下：

（一）根據(jù)集團(tuán)要求及XX 公司實(shí)際情況制定、細(xì)化、更新WEB 安全管理辦法，同時(shí)組織相關(guān)部門對(duì)安全管理辦法、規(guī)范，定期組織宣貫、學(xué)習(xí)。

（二）制定設(shè)計(jì)階段的安全需求，為安全驗(yàn)收設(shè)計(jì)部門提供安全建設(shè)依據(jù)和參考。

（三）監(jiān)督、檢查WEB 安全維護(hù)規(guī)范執(zhí)行情況。

第四章 WEB網(wǎng)站安全運(yùn)維流程

第7條 在WEB 網(wǎng)站的整個(gè)系統(tǒng)的規(guī)劃、建設(shè)和運(yùn)行的生命過程中，應(yīng)遵循安全“三同步”原則（同步規(guī)劃、同步建設(shè)、同步運(yùn)行）規(guī)定WEB 網(wǎng)站生命周期各個(gè)環(huán)節(jié)的安全運(yùn)維流程。

圖1 WEB網(wǎng)站生命周期各個(gè)環(huán)節(jié)的安全運(yùn)維流程

第8條 上線階段安全管理要求：

（一）網(wǎng)站備案

網(wǎng)站上線前必須向相關(guān)部門申請(qǐng)網(wǎng)站備案。

（二）安全入網(wǎng)驗(yàn)收

對(duì)WEB 網(wǎng)站入網(wǎng)前按照《XXXX 公司設(shè)備入網(wǎng)安全驗(yàn)收管理辦法》要求對(duì)設(shè)備進(jìn)行基線檢查、漏洞掃描和滲透測試等安全評(píng)估工作，根據(jù)評(píng)估結(jié)果進(jìn)行安全加固，提交安全評(píng)估加固報(bào)告，并經(jīng)評(píng)審?fù)ㄟ^后方可入網(wǎng)。重要網(wǎng)站需按照集團(tuán)《WEB 類應(yīng)用系統(tǒng)安全防護(hù)技術(shù)要求》部署相關(guān)安全設(shè)備。

第9條 運(yùn)維階段安全管理要求：

（一）安全設(shè)備日常運(yùn)維

門戶網(wǎng)站的日常運(yùn)維管理主要包括日常安全作業(yè)、帳號(hào)權(quán)限管理、遠(yuǎn)程接入管理和安全監(jiān)控管理等內(nèi)容。

（二）日常安全作業(yè)

WEB 網(wǎng)站安全維護(hù)部門應(yīng)嚴(yán)格執(zhí)行WEB 網(wǎng)站安全管理部門制定的

安全作業(yè)計(jì)劃，具體要求如下：

1. 作業(yè)的內(nèi)容：包括設(shè)備巡檢、補(bǔ)丁升級(jí)、安全評(píng)估加固、安全審計(jì)、應(yīng)急演練等。

2. 作業(yè)的周期：應(yīng)按照作業(yè)的規(guī)模制定日、周、月及重大節(jié)假日的執(zhí)行計(jì)劃。

3. 作業(yè)的執(zhí)行：應(yīng)對(duì)作業(yè)的結(jié)果進(jìn)行復(fù)核。

（三）帳號(hào)權(quán)限管理

WEB 網(wǎng)站安全維護(hù)部門在日常運(yùn)維工作中所使用的帳號(hào)，應(yīng)嚴(yán)格遵循《XXXX 公司帳號(hào)口令管理辦法》進(jìn)行管理，并根據(jù)“權(quán)限最小化”原則進(jìn)行授權(quán)，并對(duì)帳號(hào)權(quán)限進(jìn)行審計(jì)。

（四）遠(yuǎn)程接入管理

WEB 網(wǎng)站安全維護(hù)部門在日常運(yùn)維工作中所需要的遠(yuǎn)程接入，應(yīng)嚴(yán)格遵循《XXXX 公司遠(yuǎn)程接入安全管理辦法》對(duì)遠(yuǎn)程接入的范圍和權(quán)限等進(jìn)行嚴(yán)格的管理，并定期進(jìn)行審計(jì)，對(duì)不再使用的遠(yuǎn)程接入帳號(hào)，應(yīng)及時(shí)回收權(quán)限或刪除。

（五）安全監(jiān)控管理

WEB 網(wǎng)站安全維護(hù)部門應(yīng)對(duì)系統(tǒng)軟硬件設(shè)備和應(yīng)用的安全狀況進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行過程中的安全問題并及時(shí)處理。

安全監(jiān)控管理范圍

1. 安全設(shè)備：包括防火墻、入侵檢測/防護(hù)設(shè)備、抗拒絕服務(wù)

攻擊設(shè)備、網(wǎng)頁防篡改設(shè)備等。

2. 系統(tǒng)設(shè)備：包括交換機(jī)、路由器、負(fù)載均衡、主機(jī)、數(shù)據(jù)庫、中間件等設(shè)備。

（六）安全評(píng)估加固

WEB 網(wǎng)站安全維護(hù)部門在日常運(yùn)營過程中，應(yīng)定期對(duì)網(wǎng)站進(jìn)行安全評(píng)估加固，發(fā)現(xiàn)系統(tǒng)中存在安全問題并進(jìn)行整改，提高系統(tǒng)的安全防護(hù)水平。

評(píng)估加固范圍：門戶網(wǎng)站的基礎(chǔ)設(shè)施、業(yè)務(wù)和應(yīng)用等。

評(píng)估加固內(nèi)容

1. 網(wǎng)絡(luò)安全評(píng)估：從網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備配置兩個(gè)層面對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)規(guī)范性、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)設(shè)備配置、等方面的安全狀況進(jìn)行評(píng)估。

2. 安全設(shè)備評(píng)估：對(duì)防火墻、入侵檢測(防護(hù)) 、抗拒絕服務(wù)攻擊等設(shè)備進(jìn)行的漏洞掃描、基線檢查、安全防護(hù)策略檢查等工作。

3. 系統(tǒng)安全評(píng)估：對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫、中間件等進(jìn)行的漏洞掃描、基線檢查等工作。

4. 應(yīng)用安全評(píng)估： Web應(yīng)用掃描、遠(yuǎn)程滲透測試等工作。

5. 安全加固：對(duì)安全評(píng)估發(fā)現(xiàn)的問題進(jìn)行整改，消除存在的弱點(diǎn)，進(jìn)行再評(píng)估，直到漏洞徹底解決。

評(píng)估加固周期：至少每半年一次。

評(píng)估加固方式：自評(píng)估加固或第三方評(píng)估加固。

圖2 安全評(píng)估加固流程

（七）變更管理

門戶網(wǎng)站的變更主要指在日常運(yùn)營過程中對(duì)系統(tǒng)、服務(wù)所做的更改，包括WEB 系統(tǒng)軟件升級(jí)和配置變更等。

WEB 網(wǎng)站安全維護(hù)部門應(yīng)對(duì)門戶網(wǎng)站的系統(tǒng)變更進(jìn)行嚴(yán)格的安全管理和控制，盡量減少變更給系統(tǒng)帶來新的安全威脅，確保系統(tǒng)的安全性。

門戶網(wǎng)站的變更在實(shí)施前后必須通過進(jìn)行安全評(píng)估加固。

圖3 配置變更管理流程

第10條 廢棄階段安全管理要求:

WEB網(wǎng)站安全維護(hù)部門對(duì)WEB 網(wǎng)站的硬件設(shè)備、系統(tǒng)軟件、應(yīng)用程序等在退出服務(wù)時(shí)，應(yīng)遵循以下原則進(jìn)行敏感信息銷毀，以避免敏感信息外泄。

1. 對(duì)于退出門戶網(wǎng)站現(xiàn)網(wǎng)的硬件設(shè)備（如報(bào)廢、挪作他用等），

應(yīng)采用數(shù)據(jù)銷毀等方式徹底銷毀設(shè)備上的軟件和數(shù)據(jù)。

2. 對(duì)于停止使用的應(yīng)用程序，應(yīng)對(duì)程序進(jìn)行離線備份，并采取軟

件刪除的方式進(jìn)行處理。

第11條 退網(wǎng)階段安全要求

請(qǐng)參考《XX 通信集團(tuán)XX 有限公司網(wǎng)絡(luò)類固定資產(chǎn)退網(wǎng)管理辦法》。

附件1 WEB網(wǎng)站維護(hù)情況匯總表

附件2 安全維護(hù)作業(yè)計(jì)劃