欢迎大家分享自己的文档,请点击查阅:分享方法,
如果你喜欢这文章,可以点击文章结尾处百度分享,分享到你的各种社区收藏,或推荐给朋友……
返回:海量运维、运营规划--linux网络架构规划首页
互联网公司为用户提供线上服务,发生安全事件是不可避免的,引用腾讯CTO张志东说过的一句话,“安全问题可以让腾讯一天倒闭”,所以制定相应的安全管理规范,杜绝公司产品的安全隐患,保证业务健康运行,是不可缺少的,结合个人经验,汇总如下。
WEB安全
1、新web类上线前必须经过安全平台扫描,检查并修复存在的漏洞。漏洞修复的重要程度必须依照下表执行,高危漏洞要修复并经过回归扫描后方可上线,中低危漏洞要安排修复计划并经安全中心确认后方可上线。
|
漏洞类型 |
漏洞等级 |
重要程度 |
|
SQL注入漏洞 |
高威胁 |
修复后方可上线 |
|
任意文件读取漏洞 |
高威胁 |
修复后方可上线 |
|
目录浏览漏洞 |
高威胁 |
修复后方可上线 |
|
跨站脚本注入漏洞 |
高威胁 |
修复后方可上线 |
|
跨域跳转漏洞 |
高威胁 |
修复后方可上线 |
|
INFO漏洞 |
中威胁 |
安排修复方可上线/敏感时期修复后方可上线 |
|
信息未验证漏洞 |
中威胁 |
安排修复方可上线 |
|
引入第三方框架、脚本 |
中威胁 |
安排修复方可上线 |
|
其它漏洞 |
中威胁 |
安排修复方可上线 |
2、web类业务中的链接到第三方的脚本、框架、媒体文件等内容要上报安全中心进行登记备案后,方可上线。
3、新web类业务,禁止在公司服务器上部署第三方开发的web应用。已上线运营的web类业务,在公司服务器上部署了第三方开发的web应用的,需要主动报安全中心备案,并提供修正计划,逐步切换到公司自开发的web应用。如必须部署第三方web应用,按照原有流程,必须报CTO特批并在安全中心备案。
4、新web类业务,禁止将公司域名直接指向第三方域名或IP,必须使用域名跳转方式实现。已上线运营的web类业务,将我公司域名直接指向第三方域名或IP的,在合作合同到期后不得自动续约,必须改用域名跳转方式实现。如必须直接指向第三方域名或IP,按照原有流程,必须报CTO特批并在安全中心备案。linux系统运维
客户端安全
1、客户端类业务上线前必须经过安全平台扫描,检查并修复存在的漏洞。
|
漏洞类型 |
漏洞等级 |
重要程度 |
|
内存访问冲突漏洞 |
高威胁 |
修复后方可上线 |
|
除零操作漏洞 |
高威胁 |
修复后方可上线 |
|
栈溢出漏洞 |
高威胁 |
修复后方可上线 |
|
该函数可能执行危险操作 |
疑似威胁 |
确认无危险操作后方可上线 |
2、新客户端类业务必须修正代码中所有的高危险函数后方可上线。高危险函数可以使用代码安全检查工具进行自查。
信息安全
1、产品上线前信息安全责任人统一提交到安全中心备案,提供第一关键字处理责任人和备份关键字处理责任人。
2、产品信息安全处理响应规范
1) 一级信息指反动类(包括反党、反政府、游行、集会及突发事件等),产品部门对于该类信息的响应处理时限30分钟内处理完毕;
2) 二级信息指色情,诈骗,谩骂诽谤,暴力犯罪类(包括淫秽文字、图片,钓鱼网站,诋毁他人,血腥图片、文字,买卖枪支弹药、毒品等)产品部门对于该类信息的响应处理时限60分钟内处理完毕;
3) 三级信息指广告类,产品部门对于该类信息的响应处理时限600分钟内处理完毕。
转载请注明linux系统运维:
http://www.linuxyw.com/linux/wangluojiagou/20130420/91.html |