信息系統(tǒng)安全漏洞評估及管理制度V1.0

1、四川長虹電器股份有限公司 虹微公司管理文件 信息系統(tǒng)安全漏洞評估及管理制度 9 XXX X-X X-X X 發(fā) XXX X-X X-X X 實 四川長虹虹微公司發(fā)布 目錄 1概況 3 1.1目的3 1.2適用范圍3 2正文 3 2.1. 術(shù)語定義3 2.2. 職責(zé)分工4 2.3. 安全漏洞生命周期4 2.4. 信息安全漏洞管理4 2.4.1 原則4 2.4.2風(fēng)險等級5 2.4.3評估范圍5 2.4.4整改時效性6 2.4.5 實施7 3例外處理 8 4檢查計劃 8 8 9 1概況 1.1目的 1、規(guī)范集團(tuán)內(nèi)部信息系統(tǒng)安全漏洞（包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)）的評佔及管 理，降低信息系統(tǒng)安全

2、風(fēng)險； 2、明確信息系統(tǒng)安全漏洞評估和整改各方職責(zé)。 1.2適用范圍 本制度適用于虹微公司管理的所有信息系統(tǒng)，非虹微公司管理的信息系統(tǒng)可參照執(zhí)行。 2正文 2.1. 術(shù)語定義 2.1.1. 信息安全 Information security 保護(hù)、維持信息的保密性、完整性和可用性，也可包括真實性、可核查性、抗抵賴性、 可靠性等性質(zhì)。 2.1.2. 信息安全漏洞 Information security vulnerability 信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的缺陷，這些缺 陷以不同形式存在于計算機(jī)信息系統(tǒng)的各個層次和環(huán)節(jié)之中，一旦被惡意主體利用，就會對 信息系

3、統(tǒng)的安全造成損害，影響信息系統(tǒng)的正常運(yùn)行。 2.1.3. 資產(chǎn) Asset 安全策略中，需要保護(hù)的對象，包括信息、數(shù)據(jù)和資源等等。 2.1.4. 風(fēng)險 Risk 資產(chǎn)的脆弱性利用給定的威脅，對信息系統(tǒng)造成損害的潛在可能。風(fēng)險的危害可通過事 件發(fā)生的概率和造成的影響進(jìn)行度量。 2.1.5. 信息系統(tǒng)(Information system) 山計算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的 以處理信息流為U的的人機(jī)一體化系統(tǒng)，本制度信息系統(tǒng)主要包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及 應(yīng)用系統(tǒng)等。 2.2. 職責(zé)分工 2.2.1. 安全服務(wù)部： 負(fù)責(zé)信息系統(tǒng)安全漏洞的評估和管理，漏洞

4、修復(fù)的驗證工作，并為發(fā)現(xiàn)的漏洞提供解決 建議。 2.2.2. 各研發(fā)部門 研發(fā)部門負(fù)責(zé)修復(fù)應(yīng)用系統(tǒng)存在的安全漏洞，并根據(jù)本制度的要求提供應(yīng)用系統(tǒng)的測試 環(huán)境信息和源代碼給安全服務(wù)部進(jìn)行安全評估。 2.2.3. 數(shù)據(jù)服務(wù)部 數(shù)據(jù)服務(wù)部負(fù)責(zé)修復(fù)生產(chǎn)環(huán)境和測試環(huán)境操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備存在的安全漏洞，并根據(jù) 本制度的要求提供最新最全的操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的IP地址信息。 2.3. 安全漏洞生命周期 依據(jù)信息安全漏洞從產(chǎn)生到消亡的整個過程，信息安全漏洞的生命周期可分為以下兒個 階段： Damage Potential 潛在危害 獲取完全權(quán)限；執(zhí)行管 理員操作：非法上傳文件等 等 泄露敏感信息 泄露其 他信息

5、 Reproducibility 重復(fù)利用可能 性 攻擊者可以隨意再次 攻擊 攻擊者可以重復(fù)攻 擊，但有時間或其他條件 限制 攻擊者 很難重復(fù)攻 擊過程 Exploitability 利用的困難程 度 初學(xué)者在短期內(nèi)能掌 握攻擊方法 熟練的攻擊者才能 完成這次攻擊 漏洞利 用條件非常 苛刻 Affected users 影響的用戶范 圍 所有用戶，默認(rèn)配置， 關(guān)鍵用戶 部分用戶，非默認(rèn)配 置 極少數(shù) 用戶,匿名用 戶 Discoverability 發(fā)現(xiàn)的難易程 度 漏洞很顯眼，攻擊條件 很容易獲得 在私有區(qū)域，部分人 能看到，需要深入挖掘漏 洞 發(fā)現(xiàn)該 漏洞極其困 難 說明：每一項都有3個等

6、級，對應(yīng)著權(quán)重，從而形成了一個矩陣。 表一：女全漏洞等級評估模型 最后得出安全漏洞風(fēng)險等級: 計算得分 安全漏洞風(fēng)險等級 5-7分 低風(fēng)險 &11分 中風(fēng)險 12-15 分 高風(fēng)險 表二：風(fēng)險等級對應(yīng)分?jǐn)?shù) 243評估范圍 1）安全服務(wù)部應(yīng)定期對信息系統(tǒng)進(jìn)行例行的安全漏洞評估，操作系統(tǒng)層面的評估主要以 自動化工具為主，應(yīng)用系統(tǒng)層面評估以自動化工具和手動測試相結(jié)合。 2）操作系統(tǒng)層面評估的范圍為所有生產(chǎn)系統(tǒng)的服務(wù)器；網(wǎng)絡(luò)層面評估的范圍為公司內(nèi)部 網(wǎng)絡(luò)所有的路山器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備；應(yīng)用系統(tǒng)層面評估的范圍為所有生產(chǎn)環(huán)境 的應(yīng)用系統(tǒng)，包括對互聯(lián)網(wǎng)開發(fā)的應(yīng)用系統(tǒng)以及內(nèi)網(wǎng)的應(yīng)用系統(tǒng)。 3）操作系統(tǒng)

7、層面安全漏洞評估的周期為每季度一次，并出具漏洞評估報告。 4）應(yīng)用系統(tǒng)層面的安全評估，新系統(tǒng)在第一個版本上線前，必須經(jīng)過安全測試和源代碼 安全掃描。 5）應(yīng)用系統(tǒng)層面的安全評估，對于原有系統(tǒng)進(jìn)行版本更新的，按照下面的規(guī)則進(jìn)行評估: 如果本次版本中涉及信息安全漏洞整改的，在上線前必須經(jīng)過安全測試； 如果本次版本中沒有涉及信息安全漏洞整改的依據(jù)下面的規(guī)則進(jìn)行安全測試： a、應(yīng)用系統(tǒng)安全級別為高級別的，每間隔3個版本進(jìn)行一次安全測試，比如在 1.0版本進(jìn)行了安全測試，那下次測試在1.4版本需要進(jìn)行安全測試； b、應(yīng)用系統(tǒng)安全級別為中級或低級別的，每間隔5個版本進(jìn)行一次安全測試， 比如在1.0版本進(jìn)行

8、了安全測試，那下次測試在1.6版本需要進(jìn)行安全測試； c、如果需要進(jìn)行測試的版本為緊急版本，可以延后到下一個正常版本進(jìn)行安全 測試。 6）安全服務(wù)部應(yīng)定期跟進(jìn)安全漏洞的修復(fù)情況，并對已修復(fù)的安全漏洞進(jìn)行驗證。 7）信息系統(tǒng)安全評估報告中應(yīng)包括信息系統(tǒng)安全水平、漏洞風(fēng)險等級的分布情況、漏洞 的詳細(xì)信息、漏洞的解決建議等。 2.4.4整改時效性 依據(jù)信息系統(tǒng)部署的不同方式和級別，以及發(fā)現(xiàn)的安全漏洞不同級別，整改時效性有一 定的差異。 2.4.4.1應(yīng)用系統(tǒng)安全漏洞整改時效性要求 依據(jù)DREAD模型，和應(yīng)用系統(tǒng)的不同級別，應(yīng)用系統(tǒng)安全漏洞處理時效要求如下表，低風(fēng) 險安全漏洞不做強(qiáng)制性要求。 應(yīng)用系統(tǒng)

9、安全級別 整改的時效性 高風(fēng)險漏洞 中風(fēng)險安全漏洞 高級 5個工作日 10個工作日 中級 10個工作日 10個工作日 低級 1個月內(nèi) 1個月內(nèi) 表三：應(yīng)用系統(tǒng)安全漏洞整改時效性要求 2.4.4.2操作系統(tǒng)安全漏洞整改時效性要求 依據(jù)操作系統(tǒng)所處網(wǎng)絡(luò)區(qū)域的不同，操作系統(tǒng)的安全漏洞處理時效要求如下表，低風(fēng)險 安全漏洞不做強(qiáng)制性要求。 所處網(wǎng)絡(luò)區(qū)域 整改的時效性 高風(fēng)險漏洞 中風(fēng)險漏洞 對外提供服務(wù)區(qū)域 Window操作系統(tǒng)3個月內(nèi) Linux&unix操作系統(tǒng)6個月內(nèi) 對于影響特別嚴(yán)重，易受攻擊的漏 洞，根拯公司安全組的通告立即整改完 成 Window操作系統(tǒng)3個月 內(nèi)Linux&unix操作系統(tǒng)

10、6個 月內(nèi) 對內(nèi)提供服務(wù)區(qū)域 Window操作系統(tǒng)6個月內(nèi) Linux&unix操作系統(tǒng)12個月內(nèi) 對于影響特別嚴(yán)重，易受攻擊的漏 洞，根據(jù)公司安全組的通告立即整改完 成 Window操作系統(tǒng)6個月 內(nèi)Linux&unix操作系統(tǒng)12個 月內(nèi) 表四：操作系統(tǒng)安全漏洞整改時效性要求 245實施 根據(jù)安全漏洞生命周期中漏洞所處的不同狀態(tài)，將漏洞管理行為對應(yīng)為預(yù)防、發(fā)現(xiàn)、消 減、發(fā)布和跟蹤等階段。 1）漏洞的預(yù)防 針對集團(tuán)內(nèi)部自行開發(fā)的Web應(yīng)用系統(tǒng)，應(yīng)釆用安全開發(fā)生命周期流程 （SDL-IT）,在需求、設(shè)計、編碼、測試、上線等階段關(guān)注信息安全，提高應(yīng)用 系統(tǒng)的安全水平。 數(shù)據(jù)服務(wù)部應(yīng)依據(jù)已發(fā)布的安

11、全配置標(biāo)準(zhǔn)，對計算機(jī)操作系統(tǒng)進(jìn)行安全 加固、及時安裝補(bǔ)丁、關(guān)閉不必要的服務(wù)、安裝安全防護(hù)產(chǎn)品等操作。 2）漏洞的發(fā)現(xiàn) 安全服務(wù)部應(yīng)根據(jù)本制度的要求對公司的應(yīng)用系統(tǒng)、操作系統(tǒng)和網(wǎng)絡(luò)設(shè) 備進(jìn)行安全測試，及時發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞； 安全服務(wù)部同時還應(yīng)建立和維護(hù)公開的漏洞收集渠道，漏洞的來源應(yīng)同 時包括集團(tuán)內(nèi)部、廠商及第三方安全組織； 安全服務(wù)部應(yīng)在規(guī)定時間內(nèi)驗證自行發(fā)現(xiàn)或收集到的漏洞是否真實存 在，并依據(jù)DREAD模型，確定漏洞的風(fēng)險等級，并出具相應(yīng)的解決建議。 3）漏洞的發(fā)布 安全服務(wù)部依據(jù)及時性原則，把發(fā)現(xiàn)的安全漏洞通知到相關(guān)的負(fù)責(zé)人； 漏洞的發(fā)布應(yīng)遵循保密性原則，在漏洞未整改完成前，僅發(fā)

12、送給信息系 統(tǒng)涉及的研發(fā)小組或管理小組，對敬感信息進(jìn)行屏蔽。 4）漏洞的消減 安全漏洞所涉及的各部門應(yīng)遵循及時處理原則，根據(jù)本制度的要求在規(guī) 定時間內(nèi)修復(fù)發(fā)現(xiàn)的安全漏洞； 數(shù)據(jù)服務(wù)部在安裝廠商發(fā)布的操作系統(tǒng)及應(yīng)用軟件補(bǔ)丁時，應(yīng)保證補(bǔ)丁 的有效性和安全性，并在安裝之前進(jìn)行測試，避免因更新補(bǔ)丁而對產(chǎn)品或系統(tǒng)帶 來影響或新的安全風(fēng)險； 在無法安裝補(bǔ)丁或更新版本的情況下，各部門應(yīng)共同協(xié)商安全漏洞的解 決措施。 5）漏洞的跟蹤 安全服務(wù)部應(yīng)建立漏洞跟蹤機(jī)制，對曾經(jīng)出現(xiàn)的漏洞進(jìn)行歸檔，并定期 統(tǒng)訃漏洞的修補(bǔ)情況，以便確切的找出信息系統(tǒng)的短板，為安全策略的制定提供 依據(jù)。 安全服務(wù)部應(yīng)定期對安全漏洞的管理情況、安全漏洞解決措施和實施效 果進(jìn)行檢查和審計，包括： 預(yù)防措施是否落實到位，漏洞是否得到有效預(yù)防； 已發(fā)現(xiàn)的漏洞是否得到有效處置： 漏洞處理過程是否符合及時處理和安全風(fēng)險最小化等原則。 3例外處理 如因特