门户网站安全管理办法.docx
- 文档编号:646427
- 上传时间:2022-10-11
- 格式:DOCX
- 页数:13
- 大小:108.74KB
门户网站安全管理办法.docx
《门户网站安全管理办法.docx》由会员分享,可在线阅读,更多相关《门户网站安全管理办法.docx(13页珍藏版)》请在冰豆网上搜索。
门户网站安全管理办法
第一章总则
第一条为了适应公司建设国际一流的企业门户与集中化运营管理的需要,提升统一门户网站的建设与运维的安全管理水平,根据《统一门户网站管理办法》(的职责分工与安全管理要求,特制定本管理办法。
第二条本管理办法所指的门户网站(以下简称门户网站)是指包括统一门户网站以及在此基础上整合的系列接入网站群,如全网各级各类企业网站、业务网站、服务网站、活动网站与基地业务网站等。
第三条本管理办法适用于公司及各省、自治区、直辖市公司(以下简称各省公司)涉及门户网站支撑管理的相关部门。
第四条门户网站安全管理遵循如下原则:
1.“谁主管,谁负责;谁使用,谁负责;谁接入,谁负责”的基本原则;
2.“集中管控、分级管理”原则:
理清门户网站运维支撑安全工作职责,并规范门户网站规划建设与运维阶段各岗位安全职责;
3.“三同步”原则:
在门户网站的设计、建设和运行过程中,应做到同步安全规划、同步安全建设、同步安全运行。
第五条本管理办法主要规范门户网站的开发、实施、运维和审计的安全管理要求,结合《门户网站安全技术规范》指导门户网站的日常安全管理工作。
第六条本管理办法所引用的相关标准与制度应使用最新版本文件。
第七条本管理办法的解释和修改权归属集团公司业务支撑系统部。
第八条本管理办法自正式发布之日起执行。
第二章管理机构与工作职责
第九条集团公司与省公司的安全职责分工
根据《统一门户网站管理办法》,门户网站的管理部门按职能划分为业务管理部门、建设管理部门、支撑管理部门、运营管理部门、业务和信息管理部门等。
支撑管理部门应明确在门户网站管理中的安全职责,以集团公司、省公司两级体系开展一级网站群、二级网站群的安全管理工作。
1.集团公司:
a)贯彻和落实国家及公司对于门户网站安全管理工作的部署和要求,制定门户网站安全技术要求和管理办法;
b)指导和监督全网门户网站的安全管理工作,确保门户网站符合相关安全要求;
c)在一级门户网站群开发建设、集成实施、运行维护中,落实各项安全管理要求;
d)协调、监督和指导门户网站重大安全事件的应急处理。
2.各省公司:
a)依据集团公司门户网站安全技术要求和管理办法,结合本省情况制定门户网站安全管理实施细则;
b)明确安全管理工作的岗位及职责,建立公司部门间、与合作伙伴间的门户网站安全管理工作协调机制;
c)负责二级门户网站群的开发建设、集成实施、运行维护的安全管理工作,并按照安全技术要求进行二级网站群的整合、改造、扩容和升级;
d)负责门户网站重大安全事件的应急处理和上报。
第一十条岗位角色与安全职责分工
门户网站支撑管理部门的岗位角色主要包括门户规划建设人员、门户开发管理员、门户维护人员、门户安全管理员、门户安全审计员5大类,岗位角色的安全职责分工如下:
1.门户规划建设人员:
主要负责在项目管理、系统规划设计、项目实施建设中落实门户网站基础设施的安全要求。
2.门户开发管理员:
主要负责在需求管理、应用规划设计、开发测试、上线发布中落实门户网站应用系统的安全要求。
3.门户维护人员:
主要负责在门户网站的日常运行维护中落实安全要求。
4.门户安全管理员:
a)负责组织制定并落实门户网站安全管理实施细则;
b)指导和监督门户网站其他人员的安全工作;
c)负责门户网站项目规划建设、需求开发测试、配置变更、上线发布等关键环节的安全评审;
d)负责门户网站安全评估加固、安全事件应急响应等日常安全运维工作。
5.门户安全审计员:
定期对门户网站安全状况、安全管理工作落实情况进行监督审计,并提交安全审计报告。
第三章开发实施安全管理
门户网站开发实施指由于业务管理部门的需求而发起的规划、设计、开发、测试、部署等过程,业务管理部门发起的需求包括项目需求、日常开发需求和网站接入需求。
第一十一条需求分析
门户开发管理员应根据业务管理部门提出的需求,分析并确定本次开发实施过程所必须的环节。
1.涉及基础设施较大调整的,必须进行基础设施规划、集成方案设计和集成实施。
2.涉及应用软件开发的,必须进行应用系统设计、应用开发、应用测试和应用部署。
3.所有需求,必须进行上线前安全评估和上线后安全评估。
第一十二条基础设施规划
1.门户规划建设人员应按照《门户网站安全技术规范》的“安全防护设备技术要求”进行规划设计。
2.门户安全管理员应参与规划设计方案的评审,确保门户网站配备成熟的安全防护设备,至少包括防火墙、抗拒绝服务攻击设备、入侵检测和防护系统、网页防篡改系统、漏洞扫描系统。
3.审核不通过,门户安全管理员应要求门户规划建设人员进行规划设计方案修订,完成后再次进行评审。
4.审核通过后,门户规划建设人员方可进行集成方案设计。
第一十三条集成方案设计
1.门户规划建设人员应按照《门户网站安全技术规范》的“基础设施安全防护要求”进行集成方案设计。
2.门户安全管理员应参与集成方案的评审,确保集成方案符合安全域划分、安全防护设备、系统组件安全配置等方面的要求。
3.审核不通过,门户安全管理员应要求门户规划建设人员进行集成方案修订,完成后再次进行评审。
4.审核通过后,门户规划建设人员方可进行集成实施。
第一十四条集成实施
门户规划建设人员应按照集成方案进行实施,并按照《门户网站安全技术规范》的“部署环境配置检查”进行安全自查,对不符合安全要求的配置应进行修改或调整。
第一十五条应用系统设计
1.门户开发管理员应按照《门户网站安全技术规范》的“业务安全需求”与“安全设计要求”进行应用系统方案设计。
2.门户安全管理员应参与设计方案的评审,确保设计方案在架构、安全功能、数据安全等方面符合要求。
3.审核不通过,门户安全管理员应要求门户开发管理员进行设计方案修订,完成后再次进行评审。
4.审核通过后,门户开发管理员方可进行应用开发。
第一十六条应用开发
1.门户开发管理员应按照《门户网站安全技术规范》的“编码安全要求”进行应用开发过程的代码安全控制。
2.门户开发管理员应确保开发环境与生产环境实施隔离,防止未经审核的代码与数据直接被互联网访问。
3.门户开发管理员应避免在应用代码中使用第三方程序或开源代码,若确实需要使用,则应进行专门的安全测试,并在安全测试报告中体现测试结果。
第一十七条应用测试
1.门户开发管理员应按照《门户网站安全技术规范》的“安全测试要求”进行应用测试,并提交安全测试报告给门户安全管理员。
2.门户开发管理员应确保测试环境与生产环境实施隔离,防止未经审核的代码与数据直接被互联网访问。
3.门户开发管理员应确保测试过程中用到的敏感数据(如客户信息、详单等)必须进行模糊化处理。
4.门户安全管理员应进行安全测试报告审核,确认应用系统正确实现安全功能。
5.审核不通过,门户安全管理员应要求门户开发管理员进行修补或补充测试,完成后再次进行审核。
6.审核通过后,门户开发管理员方可进行应用部署。
第一十八条应用部署
门户开发管理员应按照《门户网站安全技术规范》的“初始化检查”和“清空检查”进行应用部署。
第一十九条上线前安全评估
1.门户网站支撑管理部门应对上线进行统筹规划,实施集中上线控制,降低应用系统的上线频率。
2.门户业务管理部门向支撑管理部门提交统一门户网站接入申请时,应向支撑管理部门提交安全自评估报告,由支撑管理部门进行集中接入控制。
3.门户安全管理员应采取漏洞扫描等方式对门户网站进行上线前安全评估。
4.安全评估不通过,门户安全管理员应要求门户网站开发管理员及时进行整改,整改完成后进行二次确认。
5.安全评估通过后,门户维护人员方可进行上线发布或网站接入。
第二十条上线后安全评估
1.在门户维护人员上线发布后,门户安全管理员应采取漏洞扫描等方式对门户网站进行二次安全评估。
2.安全评估不通过,门户安全管理员应要求门户开发管理员及时进行整改,整改完成后进行二次确认,若不能及时修复,则要求进行应用系统版本回退或下线处理。
3.接入网站的支撑管理部门应对接入网站自身的安全负责,正式运行后如发现安全问题,接入网站的支撑管理部门应立即修复,如不能及时修复,则应对接入网站进行退网处理。
第四章配置变更安全管理
门户网站配置变更主要指在日常运行维护过程中对软硬件系统所做的维护和调整,包括软硬件配置变更、软硬件设备入网、软硬件设备退服和安全策略配置变更。
配置变更安全管理的适用场景如下:
硬件微码升级、硬件模块更换、重要参数调整、补丁升级、软硬件扩容、系统软件版本升级、应用软件配置变更、软硬件入网退服、安全策略配置变更等。
涉及影响范围较大、实施风险较大、实施较复杂的生产环境配置变更应遵循如下安全管理要求。
第二十一条软硬件配置变更
支撑管理部门应根据来自门户规划建设人员、门户开发管理员和门户维护人员提出的软硬件配置变更需求,进行可行性分析与计划、测试评估、安全评审、配置变更实施和安全评估。
1.可行性分析和计划:
门户维护人员应进行配置变更可行性分析,制定变更计划。
2.测试评估
门户维护人员应对变更进行必要的安全测试,评估对门户网站的影响并提供测试报告。
3.安全评审:
a)门户维护人员应提交变更计划、测试报告,并安排门户安全管理员在内的评审。
b)门户安全管理员应参与配置变更的评审,确保变更符合《门户网站安全技术规范》中安全域划分、系统组件安全配置等方面的要求。
c)门户安全管理员审核不通过,应要求门户维护人员及时调整变更计划或取消变更,调整完成后需要进行二次评审。
d)门户安全管理员审核通过后,门户维护人员方可进行配置变更实施。
4.配置变更实施:
配置变更需求评审通过后,由门户维护人员按照变更计划,在生产环境中实施变更,并在必要时启动恢复计划。
5.安全评估:
配置变更实施后,由门户安全管理员组织必要的安全评估,发现安全隐患应及时进行修复或变更回退。
第二十二条软硬件设备入网
支撑管理部门应根据来自门户规划建设人员、门户开发管理员和门户维护人员提出的软硬件设备入网需求,进行可行性分析与计划、测试评估、安全评审、配置变更实施和安全评估。
1.可行性分析和计划:
门户维护人员应进行入网可行性分析,制定变更计划。
2.测试评估:
门户安全管理员应对入网软硬件进行漏洞扫描等必要的安全评估,根据评估结果协调门户维护人员进行安全加固,并提交安全评估加固报告。
3.安全评审:
a)门户维护人员应提交变更计划、评估加固报告,并安排门户安全管理员在内的评审。
b)门户安全管理员应参与入网评审,确保符合《门户网站安全技术规范》中安全域划分、系统组件安全配置等方面的要求。
c)门户安全管理员审核不通过,应要求门户维护人员及时安全配置加固或取消入网,调整完成后需要进行二次评审。
d)门户安全管理员审核通过后,门户维护人员方可进行入网实施。
4.配置变更实施:
评审通过后,由门户维护人员按照变更计划,在生产环境中入网,并在必要时启动恢复计划。
5.安全评估:
入网实施后,由门户安全管理员组织必要的二次安全评估,发现安全隐患应及时进行修复或变更回退。
第二十三条软硬件设备退服
支撑管理部门应根据来自门户规划建设人员、门户开发管理员和门户维护人员提出的软硬件设备退服需求,进行可行性分析与计划、测试评估、安全评审和配置变更实施。
门户维护人员应定期对软硬件设备进行检查,发现长期不用的软硬件设备,确认后进行退服处理,防止该设备成为安全隐患。
1.可行性分析和计划:
门户维护人员应进行软硬件设备退服可行性分析,制定变更计划。
2.安全评审:
a)门户维护人员应提交变更
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 门户 网站 安全管理 办法