信息系统安全漏洞评估及管理制度

《信息系统安全漏洞评估及管理制度》由会员分享，可在线阅读，更多相关《信息系统安全漏洞评估及管理制度（9页珍藏版）》请在装配图网上搜索。

1、四 川 长 虹 电 器 股 份 有 限 公 司虹微公司治理文件信息系统安全漏洞评估及治理制度 公布 实施四 川 长 虹 虹 微公司公布名目1 概况错误!未定义书签。目的错误!未定义书签。目的错误!未定义书签。2 正文错误!未定义书签。. 术语定义错误!未定义书签。. 职责分工错误!未定义书签。. 安全漏洞生命周期错误!未定义书签。. 信息安全漏洞治理错误!未定义书签。原则错误!未定义书签。风险等级错误!未定义书签。评估范围错误!未定义书签。整改时效性错误!未定义书签。实施错误!未定义书签。3 例外处理错误!未定义书签。4 检查打算错误!未定义书签。5 解释错误!未定义书签。6 附录错误!未定义

2、书签。1 概况1.1 目的1、标准集团内部信息系统安全漏洞包括操作系统、网络设备和应用系统的评估及治理，降低信息系统安全风险；2、明确信息系统安全漏洞评估和整改各方职责。1.2 适用范围本制度适用于虹微公司治理的全部信息系统，非虹微公司治理的信息系统可参照执行。2 正文2.1. 术语定义2.1.1. 信息安全 Information security保护、维持信息的保密性、完整性和可用性，也可包括真实性、可核查性、抗抵赖性、牢靠性等性质。2.1.2. 信息安全漏洞 Information security vulnerability信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生

3、的缺陷，这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体利用，就会对信息系统的安全造成损害，影响信息系统的正常运行。2.1.3. 资产 Asset安全策略中，需要保护的对象，包括信息、数据和资源等等。2.1.4. 风险 Risk资产的脆弱性利用给定的威逼，对信息系统造成损害的潜在可能。风险的危害可通过大事发生的概率和造成的影响进展度量。2.1.5. 信息系统Information system由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统，本制度信息系统主要包括操作系统、网络设备以及应用系统等。2.2.

4、职责分工2.2.1. 安全效劳部：负责信息系统安全漏洞的评估和治理，漏洞修复的验证工作，并为觉察的漏洞供给解决建议。2.2.2. 各研发部门研发部门负责修复应用系统存在的安全漏洞，并依据本制度的要求供给应用系统的测试环境信息和源代码给安全效劳部进展安全评估。2.2.3. 数据效劳部数据效劳部负责修复生产环境和测试环境操作系统、网络设备存在的安全漏洞，并依据本制度的要求供给最最全的操作系统和网络设备的IP地址信息。2.3. 安全漏洞生命周期依据信息安全漏洞从产生到消亡的整个过程，信息安全漏洞的生命周期可分为以下几个阶段：a) 漏洞的觉察：通过人工或自动的方法分析、挖掘出漏洞的过程，且该漏洞可被验

5、证和重现。b) 漏洞的利用：利用漏洞对信息系统的保密性、完整性和可用性造成破坏的过程。c) 漏洞的修复：通过补丁、升级版本或配置策略等方法对漏洞进展修补的过程，使该漏洞不能被利用。d) 漏洞的公开：通过公开渠道如网站、邮件列表等公布漏洞信息的过程。2.4. 信息安全漏洞治理2.4.1 原则信息安全漏洞治理遵循以下：a) 分级原则：应依据对业务影响程度，对安全漏洞进展分级；同时对不同级别的安全漏洞执行不同的处理要求；b) 准时性原则：安全效劳部应准时把觉察的漏洞公布给相关的负责人；各部门在对安全漏洞进展整改时，准时出具整改方案，准时进展研发或更补丁和加固，准时消退漏洞与隐患；c) 安全风险最小化

6、原则：在处理漏洞信息时应以信息系统的风险最小化为原则；d) 保密性原则：对于未修复前的安全漏洞，必需严格掌握评估报揭露放范围，对评估报告中敏感的信息进展屏蔽。2.4.2 风险等级充分考虑漏洞的利用难易程度以及对业务的影响状况，实行 DREAD 模型对安全漏洞进展风险等级划分。在量化风险的过程中，对每个威逼进展评分，并依据如下的公司计算风险值：Risk = D + R + E + A + DDREAD 模型类别等级高(3)中(2)低(1)Damage Potential 潜在危害Reproducibility 重复利用可能性Exploitability 利用的困难程度Affected users

7、 影响的用户范围猎取完全权限；执行治理员操作；非法上传文件等等攻击者可以随便再次攻击初学者在短期内能把握攻击方法全部用户，默认配置，关键用户泄露敏感信息攻击者可以重复攻击，但有时间或其他条件限制娴熟的攻击者才能完成这次攻击局部用户，非默认配置泄露其他信息攻击者很难重复攻击过程漏洞利用条件格外苛刻极少数用户， 匿名用户Discoverability 觉察的难易程度漏洞很惹眼，攻击条件很简洁获得在私有区域，局部人能 觉察该漏洞看到，需要深入挖掘漏洞 极其困难说明：每一项都有 3 个等级，对应着权重，从而形成了一个矩阵。表一：安全漏洞等级评估模型最终得出安全漏洞风险等级：计算得分安全漏洞风险等级5-

8、7 分低风险8-11 分中风险12-15 分高风险2.4.3 评估范围表二：风险等级对应分数1) 安全效劳部应定期对信息系统进展例行的安全漏洞评估，操作系统层面的评估主要以自动化工具为主，应用系统层面评估以自动化工具和手动测试相结合。2) 操作系统层面评估的范围为全部生产系统的效劳器；网络层面评估的范围为公司内部网络全部的路由器、交换机、防火墙等网络设备；应用系统层面评估的范围为全部生产环境的应用系统，包括对互联网开发的应用系统以及内网的应用系统。3) 操作系统层面安全漏洞评估的周期为每季度一次，并出具漏洞评估报告。4) 应用系统层面的安全评估，系统在第一个版本上线前，必需经过安全测试和源代码

9、安全扫描。5) 应用系统层面的安全评估，对于原有系统进展版本更的，依据下面的规章进展评估： 假设本次版本中涉及信息安全漏洞整改的，在上线前必需经过安全测试； 假设本次版本中没有涉及信息安全漏洞整改的依据下面的规章进展安全测试：a、应用系统安全级别为高级别的，每间隔 3 个版本进展一次安全测试，比方在版本进展了安全测试，那下次测试在版本需要进展安全测试；b、应用系统安全级别为中级或低级别的，每间隔 5 个版本进展一次安全测试，比方在版本进展了安全测试，那下次测试在版本需要进展安全测试；c、假设需要进展测试的版本为紧急版本，可以延后到下一个正常版本进展安全测试。6) 安全效劳部应定期跟进安全漏洞的

10、修复状况，并对已修复的安全漏洞进展验证。7) 信息系统安全评估报告中应包括信息系统安全水平、漏洞风险等级的分布状况、漏洞的具体信息、漏洞的解决建议等。2.4.4 整改时效性依据信息系统部署的不同方式和级别，以及觉察的安全漏洞不同级别，整改时效性有肯定的差异。2.4.4.1 应用系统安全漏洞整改时效性要求依据DREAD模型，和应用系统的不同级别，应用系统安全漏洞处理时效要求如下表,低风险安全漏洞不做强制性要求。整改的时效性应用系统安全级别高级高风险漏洞5个工作日中风险安全漏洞10个工作日中级10个工作日10个工作日低级1个月内1个月内表三：应用系统安全漏洞整改时效性要求2.4.4.2 操作系统安

11、全漏洞整改时效性要求整改的时效性所处网络区域高风险漏洞中风险漏洞对外供给效劳区域Window 操作系统 3 个月内Linux&unix 操作系统 6 个月内Window操作系统3个月内Linux&unix操作系统6个月对于影响特别严峻，易受攻击的漏洞，内依据公司安全组的通告马上整改完成对内供给效劳区域Window操作系统6个月内Window操作系统6个月内Linux&unix操作系统12个月内Linux&unix操作系统12个月对于影响特别严峻，易受攻击的漏洞，内依据公司安全组的通告马上整改完成依据操作系统所处网络区域的不同，操作系统的安全漏洞处理时效要求如下表，低风险安全漏洞不做强制性要求。

12、2.4.5 实施表四：操作系统安全漏洞整改时效性要求依据安全漏洞生命周期中漏洞所处的不同状态，将漏洞治理行为对应为预防、觉察、消减、公布和跟踪等阶段。1) 漏洞的预防针对集团内部自行开发的Web应用系统，应承受安全开发生命周期流程SDL-IT， 在需求、设计、编码、测试、上线等阶段关注信息安全，提高应用系统的安全水平。数据效劳部应依据已公布的安全配置标准，对计算机操作系统进展安全加固、准时安装补丁、关闭不必要的效劳、安装安全防护产品等操作。2) 漏洞的觉察安全效劳部应依据本制度的要求对公司的应用系统、操作系统和网络设备进展安全测试，准时觉察信息系统存在的安全漏洞；安全效劳部同时还应建立和维护公

13、开的漏洞收集渠道，漏洞的来源应同时包括集团内部、厂商及第三方安全组织；安全效劳部应在规定时间内验证自行觉察或收集到的漏洞是否真实存在，并依据DREAD模型，确定漏洞的风险等级，并出具相应的解决建议。3) 漏洞的公布安全效劳部依据准时性原则，把觉察的安全漏洞通知到相关的负责人；漏洞的公布应遵循保密性原则，在漏洞未整改完成前，仅发送给信息系统涉及的研发小组或治理小组，对敏感信息进展屏蔽。4) 漏洞的消减安全漏洞所涉及的各部门应遵循准时处理原则，依据本制度的要求在规定时间内修复觉察的安全漏洞；数据效劳部在安装厂商公布的操作系统及应用软件补丁时，应保证补丁的有效性和安全性，并在安装之前进展测试，避开因

14、更补丁而对产品或系统带来影响或的安全风险；在无法安装补丁或更版本的状况下，各部门应共同协商安全漏洞的解决措施。5) 漏洞的跟踪安全效劳部应建立漏洞跟踪机制，对曾经消灭的漏洞进展归档，并定期统计漏洞的修补状况，以便精准的找出信息系统的短板，为安全策略的制定供给依据。安全效劳部应定期对安全漏洞的治理状况、安全漏洞解决措施和实施效果进展检查和审计，包括： 预防措施是否落实到位，漏洞是否得到有效预防； 已觉察的漏洞是否得到有效处置； 漏洞处理过程是否符合准时处理和安全风险最小化等原则。3 例外处理如因特别缘由，不能依据规定的时效性要求完成漏洞修复的，可申请延期，申请延期必需经过研发总监或数据效劳部部长和安全效劳部部长审批。如因特别缘由，不能进展修复的，必需申请例外，按风险承受处理，申请例外必需经过研发总监或数据效劳部总监和安全效劳部总监审批。4 检查打算安全效劳部每年组织1次对信息系统安全漏洞的评估和治理工作进展检查。5 解释本流程制度由安全效劳部负责解释。6 附录无