Linux系统运维:http://www.linuxyw.com,QQ交流群:244914685

Linux系统运维

当前位置: 主页 > 架构 >

应用安全管理规范

时间:2013-04-20 16:38来源:www.itkoala.com 作者:itkoala 点击:
互联网公司为用户提供线上服务,发生安全事件是不可避免的,引用腾讯CTO张志东说过的一句话,安全问题可以让腾讯一天倒闭,所以制定相应的安全管理规范,杜绝公司产品的安全隐

转载请注明出处: Linux系统运维 http://www.linuxyw.com/linux/jiagou/20130420/91.html


互联网公司为用户提供线上服务,发生安全事件是不可避免的,引用腾讯CTO张志东说过的一句话,“安全问题可以让腾讯一天倒闭”,所以制定相应的安全管理规范,杜绝公司产品的安全隐患,保证业务健康运行,是不可缺少的,结合个人经验,汇总如下。

WEB安全

1、新web类上线前必须经过安全平台扫描,检查并修复存在的漏洞。漏洞修复的重要程度必须依照下表执行,高危漏洞要修复并经过回归扫描后方可上线,中低危漏洞要安排修复计划并经安全中心确认后方可上线。
 

漏洞类型 漏洞等级 重要程度
SQL注入漏洞 高威胁 修复后方可上线
任意文件读取漏洞 高威胁 修复后方可上线
目录浏览漏洞 高威胁 修复后方可上线
跨站脚本注入漏洞 高威胁 修复后方可上线
跨域跳转漏洞 高威胁 修复后方可上线
INFO漏洞 中威胁 安排修复方可上线/敏感时期修复后方可上线
信息未验证漏洞 中威胁 安排修复方可上线
引入第三方框架、脚本 中威胁 安排修复方可上线
其它漏洞 中威胁 安排修复方可上线

2、web类业务中的链接到第三方的脚本、框架、媒体文件等内容要上报安全中心进行登记备案后,方可上线。
3、新web类业务,禁止在公司服务器上部署第三方开发的web应用。已上线运营的web类业务,在公司服务器上部署了第三方开发的web应用的,需要主动报安全中心备案,并提供修正计划,逐步切换到公司自开发的web应用。如必须部署第三方web应用,按照原有流程,必须报CTO特批并在安全中心备案。
4、新web类业务,禁止将公司域名直接指向第三方域名或IP,必须使用域名跳转方式实现。已上线运营的web类业务,将我公司域名直接指向第三方域名或IP的,在合作合同到期后不得自动续约,必须改用域名跳转方式实现。如必须直接指向第三方域名或IP,按照原有流程,必须报CTO特批并在安全中心备案。linux系统运维

客户端安全

1、客户端类业务上线前必须经过安全平台扫描,检查并修复存在的漏洞。
 

漏洞类型 漏洞等级 重要程度
内存访问冲突漏洞 高威胁 修复后方可上线
除零操作漏洞 高威胁 修复后方可上线
栈溢出漏洞 高威胁 修复后方可上线
该函数可能执行危险操作 疑似威胁 确认无危险操作后方可上线

2、新客户端类业务必须修正代码中所有的高危险函数后方可上线。高危险函数可以使用代码安全检查工具进行自查。

信息安全

1、产品上线前信息安全责任人统一提交到安全中心备案,提供第一关键字处理责任人和备份关键字处理责任人。

2、产品信息安全处理响应规范
1) 一级信息指反动类(包括反党、反政府、游行、集会及突发事件等),产品部门对于该类信息的响应处理时限30分钟内处理完毕;
2) 二级信息指色情,诈骗,谩骂诽谤,暴力犯罪类(包括淫秽文字、图片,钓鱼网站,诋毁他人,血腥图片、文字,买卖枪支弹药、毒品等)产品部门对于该类信息的响应处理时限60分钟内处理完毕;
3) 三级信息指广告类,产品部门对于该类信息的响应处理时限600分钟内处理完毕。

本文来自linux系统运维http://www.linuxyw.com/linux/jiagou/20130420/91.html

顶一下
(0)
0%
踩一下
(0)
0%
分享按钮
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片