《漏洞扫描制度》由会员分享,可在线阅读,更多相关《漏洞扫描制度(4页珍藏版)》请在装配图网上搜索。
1、青岛百森通支付有限公司漏洞扫描系统运行安全管理制度第一章 总则第一条 为保障本公司信息网络的安全、稳定运行,特制订本制度。第二条 本制度适用于公司(以下简称公司) 本部、分公司, 以及直属各单位信息系统 的所有漏洞扫描及相关设备的管理和运行。其他联网单位参照执行。第二章 人员职责第三条 漏洞扫描系统管理员的任命 漏洞扫描系统管理员的任命应遵循“任期有限、权限分散”的原则; 系统管理员的任期可根据系统的安全性要求而定, 最长为三年, 期满通过考核 后可以续任;必须签订保密协议书。第四条 漏洞扫描系统管理员的职责如下: 恪守职业道德, 严守企业秘密; 熟悉国家安全生产法以及有关通信管理的相关 规程
2、; 负责漏洞扫描软件(包括漏洞库)的管理、更新和公布; 负责对网络系统所有服务器和专用网络设备的首次、周期性和紧急的漏洞扫描; 负责查找修补漏洞的补丁程序,及时打补丁堵塞漏洞; 密切注意最新漏洞的发生、 发展情况, 关注和追踪业界公布的漏洞疫情; 遵 守漏洞扫描设备各项管理规范。第三章 用户管理第五条 只有漏洞扫描系统管理员才具有修改漏洞扫描设备配置、分析和扫描的权 限。第六条 为用户级和特权级模式设置口令。 不能使用缺省口令, 确保用户级和特权级模 式口令不同。每三个月进行一次漏洞扫描。第七条 漏洞扫描设备口令长度应采用 8 位以上,由非纯数字或字母组成, 并定期更换, 不能使用容易猜解的口
3、令。第四章 设备管理第八条 漏洞扫描设备的部署环境应满足相应的国家标准和规范, 其网络拓扑和扫描范 围的更改要报送信息系统运行管理部门批准,以保证漏洞扫描设备发挥最大效 应。第九条 漏洞扫描设备工作时会对网络造成一定程度的影响, 应避免在网络运行高峰 期进行扫描,如有特殊情况应通知有关的系统管理员第十条 漏洞扫描设备的规则设置、 更改的授权、 审批依据 漏洞扫描设备配置变更审批表(参见附表 1)进行。漏洞扫描设备的规则设置、更改,应该得到信息系 统运行管理部门负责人的批准,由系统管理员具体负责实施。第十一条 对扫描结果的分析和安全漏洞修补。 漏洞扫描后, 发现系统漏洞公告, 必 须及时找到修补
4、漏洞的补丁程序, 并通过专用工具, 及时下载打补丁, 堵塞漏洞。第十二条 漏洞扫描设备定期检测和维护要求(首次实施) 。系统管理员对服务器和 专用网络设备实施首次漏洞扫描。 服务器和专用网络设备上线前, 必须进行漏洞扫 描,并填写漏洞扫描补丁记录单 (附表 2)。第十三条 漏洞扫描设备定期检测和维护要求(周期实施) 。系统管理员对服务器和专用网络设备实施周期性漏洞扫描,并填写漏洞扫描记录单(附表 3)。第十四条漏洞扫描设备配置操作规程要求如下:记录网络环境, 定义漏洞扫描的网络接口; 定义漏洞扫描的 IP 地址范围;第十五条定义漏洞扫描的安全级别和扫描选项;安装,升级最新的漏洞库安装,升级最新
5、的漏洞库; 定义管理员清单和管理权限; 测试漏洞扫描设备的性能和做好网管数据库。第十六条 漏洞扫描发现的安全事件处理和报告的要求。 一旦获悉业界公布的漏洞 疫情, 并确认它们存在严重的危害性, 即使公司当前尚未出现受到侵扰的迹象, 也 必须采取预防措施, 紧急更新库, 通告公司, 对服务器和专用网络设备实施紧急漏 洞扫描,及时调整防火墙策略,并填写漏洞扫描记录单 (附表 3)。第五章 附则第十七条 本制度由公司信息中心负责解释。第十八条 本规定自颁布之日起实行,有新的修改版本颁布后,本规定自行终止附表1漏洞扫描设备配置变更审批表编号:申请部门责任人联系电话申请日期设备名称设备类型设备型号设备位
6、置授权性质口新增策略 策略变更授权期限起始日期:结束日期:申请权限要求(所在网络名称 /IP范围、扫描范围、扫描方式、扫描目的等):申请理由:申请部门意见:签名:日期:信息系统运行管理部门意见:签名:日期:执行记录控制名称控制目的扫描目标地址扫描规则设置其他设置执行人执行日期附表2系统漏洞补丁记录表编号:记录人记录时间漏洞名称漏洞通告发现时间漏洞通告发现地址漏洞补丁发现时间漏洞补丁发现地址漏洞补丁名称漏洞补丁上载内部网时间附表3 漏洞扫描记录单编号:实施人实施时间漏洞扫描时机首次扫描口定期扫描口紧急扫描其他扫描软件名称和版本本次获得漏洞扫描的 网络设备列表本次扫描出的漏洞分 布情况、种类以及个 数、危险级别、堵塞 情况
漏洞扫描制度
