时间:2023-04-15 16:06:50 点击次数:12
某某单位对外网站安全管理办法
第一章 总则
第一条 为了加强某某单位对外网站的安全管理,促进各部门及直管单位做好网站安全防护,结合我局实际情况,特制定本办法。
第二条 本办法所指网站为对外提供互联网公众服务的网站,包括但不限于各类门户网站、网上对外提供服务的业务系统。
第二章 组织与职责
第三条 网站安全管理遵循如下原则:
第四条 “谁主管,谁负责;谁运营,谁负责;谁使用,谁负责;谁接入,谁负责”:各下属机构负责对各自网站的安全管理工作。
第五条 “三同步”原则:在系统的设计、建设和运行过程中,应做到同步规划,同步建设,同步运行。
第六条 信息部制定各项网站安全管理制度和规范;
第七条 指导和监督省公司开展网站安全管理工作,定期或不定期对各省的网站安全管理工作进行检查;
第八条 针对网站安全检查中发现的问题,提出整改要求,督促各省公司落实;
第九条 负责管理范围内网站安全管理要求的落实和安全设施的维护;
第十条 建立内部安全检查机制,定期对本省管理范围内网站开展安全检查,消除安全隐患;
第十一条 定期或不定期的对本省管理范围内网站进行安全加固与安全演练;
第三章 网站安全要求
第十二条 网站应从网络层、系统组件层、防护设备层、应用层等做好安全防护。
第十三条 网络层应按要求进行安全域划分与边界整合,通过安全域划分和边界整合明确所部署的设备及访问控制策略,保证网站的安全运行;
第十四条 系统组件层包括主机、网络设备、数据库、中间件等。系统组件应满足安全配置规范,做好帐号口令、认证授权、日志记录等安全配置;
第十五条 防护设备层应部署防火墙、入侵检测等基本的防护手段,重要网站还应具备抗拒绝服务攻击、网页防篡改等安全防护能力;
第十六条 Web应用应根据业务需求与安全设计原则进行安全编码,合理划分帐号权限,确保用户帐号密码安全,加强敏感数据安全保护,提供详细的日志。
第十七条 应明确网站各层次安全管理的责任主体,对网站开展全生命周期的安全防护。
第十八条 在网站规划设计阶段,各单位应结合网站信息安全需求,落实必要的安全防护和技术保障措施,包括但不限于以下方面:
第十九条 明确网站开发部署过程中各关键环节所应遵循的安全原则与安全要求;
第二十条 配置安全防护设备,防范来自网络内外部的攻击。
第二十一条 在网站建设、更新改造阶段,各单位应注重信息安全功能检测和验收,包括但不限于以下方面:
第二十二条 应确保组成网站系统的各类基础设施组件遵循相关的安全配置要求,确保其自身能稳定、可靠、安全地运行;
第二十三条 应确保所需的各种安全防护设备及设施的到位,验收合格后网站方可上线;
第二十四条 在应用上线或调整变动时,应通过代码审计、渗透测试、漏洞扫描等方式进行全面安全扫描和测试,测试合格后方可上线;
第二十五条 网站上线、变更时,应遵循工业和信息化部及集团相关制度要求进行网站备案。
第二十六条 在网站运行和维护阶段,各单位应充分落实网站安全管理要求,及时排查和处置网站安全隐患,防范信息安全事件发生,包括但不限于以下方面:
第二十七条 加强对网站内容发布的审核,制定规范的内容发布流程,采用自动过滤和人工检查结合的方式进行有害信息检查、屏蔽和删除;
第二十八条 定期对网站日志进行安全分析,检查各种扫描探测和攻击行为;
第二十九条 定期对帐号口令、目录权限等进行检查,及时发现可疑和非法账户及权限;
第三十条 定期对网站进行安全扫描和测试,及时发现网站漏洞并进行整改加固。
第四章 网站安全检查
第三十一条 建立日常网站安全检查机制,对管理范围内的重点网站进行定期安全检查。
第三十二条 应制定网站安全检查日常工作计划,明确工作要点、检查策略及实施方案。
第三十三条 建立检查、整改、验证的闭环管理机制,保证检查中发现问题的有效解决。
第三十四条 网站安全检查方式应包括网站漏洞扫描、网站安全配置基线检查等。
第三十五条 所使用的网站漏洞扫描工具应具有权威性,应使用多种扫描工具进行交叉扫描;
第三十六条 应对网站系统层、应用层进行全面的漏洞扫描;
第三十七条 对于重点网站应用层的扫描深度应能够覆盖网站的主要内容;
第三十八条 对于扫描发现的安全漏洞应限期完成修补。
修订记录:
版本号
修订日期
修订人
修订原因
