XXXX 公司W(wǎng)EB 網(wǎng)站安全維護操作規(guī)程（試行）（2011年V1版）（編號XX-X-XXXX ）第一章 總則第1條 為加強WEB 網(wǎng)站安全管理，在WEB 網(wǎng)站的各個流程中落實“三同步”要求, 有效減

XXXX 公司

WEB 網(wǎng)站安全維護操作規(guī)程

（試行）

（2011年V1版）

（編號XX-X-XXXX ）

第一章 總則

第1條 為加強WEB 網(wǎng)站安全管理，在WEB 網(wǎng)站的各個流程中落實“三同步”要求, 有效減少和消除WEB 網(wǎng)站的安全隱患，有效預防和規(guī)避安全事故的發(fā)生，按照集團公司制定下發(fā)的《XX 統(tǒng)一門戶網(wǎng)站管理辦法》、《XXWeb 類應用系統(tǒng)安全防護技術要求》、《XX 網(wǎng)頁篡改及網(wǎng)頁信息安全防護系統(tǒng)技術規(guī)范》、《XXXX 公司帳號口令管理辦法》、《XX 網(wǎng)絡與信息安全風險評估管理辦法》、《XX 設備通用安全功能和配置規(guī)范》、《XXXX 公司設備入網(wǎng)安全驗收管理辦法》和《XX 通信集團XX 有限公司網(wǎng)絡類固定資產(chǎn)退網(wǎng)管

理辦法》等安全規(guī)范（詳見附錄5：相關安全管理辦法），特制定本管理辦法。

第2條 本管理辦法自2011年5月1日起實施，由區(qū)公司網(wǎng)絡部負責解釋和修改。

第二章 適用范圍

第3條 本辦法所指WEB 網(wǎng)站為XXXX 公司管轄范圍內(nèi)所有網(wǎng)站系統(tǒng)。

第三章 組織及職責

第4條 按照“誰主管、誰負責，誰維護、誰負責，誰使用、誰負責，誰接入、誰負責”原則，XXXX 公司各業(yè)務網(wǎng)站維護單位應安排專人負責所管轄WEB 網(wǎng)站安全維護工作。

第5條 WEB 網(wǎng)站安全責任單位包括：各市公司，網(wǎng)絡信息公司，區(qū)通信集成公司，區(qū)公司網(wǎng)絡運營中心和運營支撐中心等單位。主要職責如下：

（一） 負責按本管理辦法落實各項安全要求，確保所負責

維護或管理的web 網(wǎng)站的安全。

（二） 負責定期向網(wǎng)絡部報送所負責維護WEB 網(wǎng)站的維護

情況，請見附件1。

（三） 對集團公司以及XX 公司的網(wǎng)站滲透測試檢查的結果

進行確認，并對需整改的問題進行限期整改，針對高風險漏洞應在5個工作日以內(nèi)完成整改。整改不了的問題

應督促設備供應商/系統(tǒng)集成商進行備案，備案材料需對無法進行整改的問題進行說明，設備供應商/系統(tǒng)集成商需承諾對于遺留問題可能引發(fā)的信息安全問題負責并蓋章確認。

第6條 WEB 網(wǎng)站安全職能管理部門：網(wǎng)絡部。主要職責如下：

（一）根據(jù)集團要求及XX 公司實際情況制定、細化、更新WEB 安全管理辦法，同時組織相關部門對安全管理辦法、規(guī)范，定期組織宣貫、學習。

（二）制定設計階段的安全需求，為安全驗收設計部門提供安全建設依據(jù)和參考。

（三）監(jiān)督、檢查WEB 安全維護規(guī)范執(zhí)行情況。

第四章 WEB網(wǎng)站安全運維流程

第7條 在WEB 網(wǎng)站的整個系統(tǒng)的規(guī)劃、建設和運行的生命過程中，應遵循安全“三同步”原則（同步規(guī)劃、同步建設、同步運行）規(guī)定WEB 網(wǎng)站生命周期各個環(huán)節(jié)的安全運維流程。

圖1 WEB網(wǎng)站生命周期各個環(huán)節(jié)的安全運維流程

第8條 上線階段安全管理要求：

（一）網(wǎng)站備案

網(wǎng)站上線前必須向相關部門申請網(wǎng)站備案。

（二）安全入網(wǎng)驗收

對WEB 網(wǎng)站入網(wǎng)前按照《XXXX 公司設備入網(wǎng)安全驗收管理辦法》要求對設備進行基線檢查、漏洞掃描和滲透測試等安全評估工作，根據(jù)評估結果進行安全加固，提交安全評估加固報告，并經(jīng)評審通過后方可入網(wǎng)。重要網(wǎng)站需按照集團《WEB 類應用系統(tǒng)安全防護技術要求》部署相關安全設備。

第9條 運維階段安全管理要求：

（一）安全設備日常運維

門戶網(wǎng)站的日常運維管理主要包括日常安全作業(yè)、帳號權限管理、遠程接入管理和安全監(jiān)控管理等內(nèi)容。

（二）日常安全作業(yè)

WEB 網(wǎng)站安全維護部門應嚴格執(zhí)行WEB 網(wǎng)站安全管理部門制定的

安全作業(yè)計劃，具體要求如下：

1. 作業(yè)的內(nèi)容：包括設備巡檢、補丁升級、安全評估加固、安全審計、應急演練等。

2. 作業(yè)的周期：應按照作業(yè)的規(guī)模制定日、周、月及重大節(jié)假日的執(zhí)行計劃。

3. 作業(yè)的執(zhí)行：應對作業(yè)的結果進行復核。

（三）帳號權限管理

WEB 網(wǎng)站安全維護部門在日常運維工作中所使用的帳號，應嚴格遵循《XXXX 公司帳號口令管理辦法》進行管理，并根據(jù)“權限最小化”原則進行授權，并對帳號權限進行審計。

（四）遠程接入管理

WEB 網(wǎng)站安全維護部門在日常運維工作中所需要的遠程接入，應嚴格遵循《XXXX 公司遠程接入安全管理辦法》對遠程接入的范圍和權限等進行嚴格的管理，并定期進行審計，對不再使用的遠程接入帳號，應及時回收權限或刪除。

（五）安全監(jiān)控管理

WEB 網(wǎng)站安全維護部門應對系統(tǒng)軟硬件設備和應用的安全狀況進行監(jiān)控，及時發(fā)現(xiàn)系統(tǒng)運行過程中的安全問題并及時處理。

安全監(jiān)控管理范圍

1. 安全設備：包括防火墻、入侵檢測/防護設備、抗拒絕服務

攻擊設備、網(wǎng)頁防篡改設備等。

2. 系統(tǒng)設備：包括交換機、路由器、負載均衡、主機、數(shù)據(jù)庫、中間件等設備。

（六）安全評估加固

WEB 網(wǎng)站安全維護部門在日常運營過程中，應定期對網(wǎng)站進行安全評估加固，發(fā)現(xiàn)系統(tǒng)中存在安全問題并進行整改，提高系統(tǒng)的安全防護水平。

評估加固范圍：門戶網(wǎng)站的基礎設施、業(yè)務和應用等。

評估加固內(nèi)容

1. 網(wǎng)絡安全評估：從網(wǎng)絡架構、網(wǎng)絡設備配置兩個層面對網(wǎng)絡結構、網(wǎng)絡協(xié)議、網(wǎng)絡流量、網(wǎng)絡規(guī)范性、網(wǎng)絡邊界、網(wǎng)絡設備配置、等方面的安全狀況進行評估。

2. 安全設備評估：對防火墻、入侵檢測(防護) 、抗拒絕服務攻擊等設備進行的漏洞掃描、基線檢查、安全防護策略檢查等工作。

3. 系統(tǒng)安全評估：對網(wǎng)絡設備、主機、數(shù)據(jù)庫、中間件等進行的漏洞掃描、基線檢查等工作。

4. 應用安全評估： Web應用掃描、遠程滲透測試等工作。

5. 安全加固：對安全評估發(fā)現(xiàn)的問題進行整改，消除存在的弱點，進行再評估，直到漏洞徹底解決。

評估加固周期：至少每半年一次。

評估加固方式：自評估加固或第三方評估加固。

圖2 安全評估加固流程

（七）變更管理

門戶網(wǎng)站的變更主要指在日常運營過程中對系統(tǒng)、服務所做的更改，包括WEB 系統(tǒng)軟件升級和配置變更等。

WEB 網(wǎng)站安全維護部門應對門戶網(wǎng)站的系統(tǒng)變更進行嚴格的安全管理和控制，盡量減少變更給系統(tǒng)帶來新的安全威脅，確保系統(tǒng)的安全性。

門戶網(wǎng)站的變更在實施前后必須通過進行安全評估加固。

圖3 配置變更管理流程

第10條 廢棄階段安全管理要求:

WEB網(wǎng)站安全維護部門對WEB 網(wǎng)站的硬件設備、系統(tǒng)軟件、應用程序等在退出服務時，應遵循以下原則進行敏感信息銷毀，以避免敏感信息外泄。

1. 對于退出門戶網(wǎng)站現(xiàn)網(wǎng)的硬件設備（如報廢、挪作他用等），

應采用數(shù)據(jù)銷毀等方式徹底銷毀設備上的軟件和數(shù)據(jù)。

2. 對于停止使用的應用程序，應對程序進行離線備份，并采取軟

件刪除的方式進行處理。

第11條 退網(wǎng)階段安全要求

請參考《XX 通信集團XX 有限公司網(wǎng)絡類固定資產(chǎn)退網(wǎng)管理辦法》。

附件1 WEB網(wǎng)站維護情況匯總表

附件2 安全維護作業(yè)計劃