信息系統(tǒng)安全漏洞評(píng)估與管理制度V1.0

1、四川長(zhǎng)虹電器股份有限公司虹微公司管理文件信息系統(tǒng)安全漏洞評(píng)估及管理制度××××××××發(fā)布××××××××實(shí)施四川長(zhǎng)虹虹微公司發(fā)布目錄1概況 .31.1目的 .31.2目的 .錯(cuò)誤 !未定義書簽。2正文 .32.1.術(shù)語(yǔ)定義 .32.2.職責(zé)分工 .42.3.安全漏洞生命周期 .52.4.信息安全漏洞管理 .52.4.1原則 .52.4.2風(fēng)險(xiǎn)等級(jí) .62.4.3評(píng)估范圍 .72.4.4整改時(shí)效性 .82.4.5實(shí)施 .93例外處理.1

2、14檢查計(jì)劃.115解釋 .116附錄 .111 概況1.1目的1 、規(guī)范集團(tuán)內(nèi)部信息系統(tǒng)安全漏洞（包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)）的評(píng)估及管理，降低信息系統(tǒng)安全風(fēng)險(xiǎn)；2 、明確信息系統(tǒng)安全漏洞評(píng)估和整改各方職責(zé)。1.2適用范圍本制度適用于虹微公司管理的所有信息系統(tǒng)，非虹微公司管理的信息系統(tǒng)可參照?qǐng)?zhí)行。2 正文2.1. 術(shù)語(yǔ)定義2.1.1.信息安全I(xiàn)nformation security保護(hù)、維持信息的保密性、完整性和可用性，也可包括真實(shí)性、可核查性、抗抵賴性、可靠性等性質(zhì)。2.1.2.信息安全漏洞Information security vulnerability信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)

3、、配置、運(yùn)行等過(guò)程中，有意或無(wú)意產(chǎn)生的缺陷，這些缺陷以不同形式存在于計(jì)算機(jī)信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中，一旦被惡意主體利用，就會(huì)對(duì)信息系統(tǒng)的安全造成損害，影響信息系統(tǒng)的正常運(yùn)行。2.1.3.資產(chǎn) Asset安全策略中，需要保護(hù)的對(duì)象，包括信息、數(shù)據(jù)和資源等等。2.1.4.風(fēng)險(xiǎn) Risk資產(chǎn)的脆弱性利用給定的威脅，對(duì)信息系統(tǒng)造成損害的潛在可能。風(fēng)險(xiǎn)的危害可通過(guò)事件發(fā)生的概率和造成的影響進(jìn)行度量。2.1.5.信息系統(tǒng)（ Information system）由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)，本制度信息系統(tǒng)主要包括操作系統(tǒng)

4、、網(wǎng)絡(luò)設(shè)備以及應(yīng)用系統(tǒng)等。2.2. 職責(zé)分工2.2.1.安全服務(wù)部：負(fù)責(zé)信息系統(tǒng)安全漏洞的評(píng)估和管理，漏洞修復(fù)的驗(yàn)證工作，并為發(fā)現(xiàn)的漏洞提供解決建議。2.2.2.各研發(fā)部門研發(fā)部門負(fù)責(zé)修復(fù)應(yīng)用系統(tǒng)存在的安全漏洞，并根據(jù)本制度的要求提供應(yīng)用系統(tǒng)的測(cè)試環(huán)境信息和源代碼給安全服務(wù)部進(jìn)行安全評(píng)估。2.2.3.數(shù)據(jù)服務(wù)部數(shù)據(jù)服務(wù)部負(fù)責(zé)修復(fù)生產(chǎn)環(huán)境和測(cè)試環(huán)境操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備存在的安全漏洞，并根據(jù)本制度的要求提供最新最全的操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的IP地址信息。2.3. 安全漏洞生命周期依據(jù)信息安全漏洞從產(chǎn)生到消亡的整個(gè)過(guò)程，信息安全漏洞的生命周期可分為以下幾個(gè)階段：a) 漏洞的發(fā)現(xiàn)： 通過(guò)人工或自動(dòng)的方法分析

5、、挖掘出漏洞的過(guò)程，且該漏洞可被驗(yàn)證和重現(xiàn)。b) 漏洞的利用：利用漏洞對(duì)信息系統(tǒng)的保密性、完整性和可用性造成破壞的過(guò)程。c) 漏洞的修復(fù)：通過(guò)補(bǔ)丁、升級(jí)版本或配置策略等方法對(duì)漏洞進(jìn)行修補(bǔ)的過(guò)程，使該漏洞不能被利用。d) 漏洞的公開：通過(guò)公開渠道（如網(wǎng)站、郵件列表等）公布漏洞信息的過(guò)程。2.4. 信息安全漏洞管理2.4.1原則信息安全漏洞管理遵循以下：a) 分級(jí)原則：應(yīng)根據(jù)對(duì)業(yè)務(wù)影響程度，對(duì)安全漏洞進(jìn)行分級(jí)；同時(shí)對(duì)不同級(jí)別的安全漏洞執(zhí)行不同的處理要求；b) 及時(shí)性原則：安全服務(wù)部應(yīng)及時(shí)把發(fā)現(xiàn)的漏洞發(fā)布給相關(guān)的負(fù)責(zé)人；各部門在對(duì)安全漏洞進(jìn)行整改時(shí)，及時(shí)出具整改方案，及時(shí)進(jìn)行研發(fā)或更新補(bǔ)丁和加固，及

6、時(shí)消除漏洞與隱患；c) 安全風(fēng)險(xiǎn)最小化原則：在處理漏洞信息時(shí)應(yīng)以信息系統(tǒng)的風(fēng)險(xiǎn)最小化為原則；d) 保密性原則：對(duì)于未修復(fù)前的安全漏洞，必須嚴(yán)格控制評(píng)估報(bào)告發(fā)放范圍，對(duì)評(píng)估報(bào)告中敏感的信息進(jìn)行屏蔽。2.4.2風(fēng)險(xiǎn)等級(jí)充分考慮漏洞的利用難易程度以及對(duì)業(yè)務(wù)的影響情況，采取DREAD 模型對(duì)安全漏洞進(jìn)行風(fēng)險(xiǎn)等級(jí)劃分。在量化風(fēng)險(xiǎn)的過(guò)程中，對(duì)每個(gè)威脅進(jìn)行評(píng)分，并按照如下的公司計(jì)算風(fēng)險(xiǎn)值：Risk = D + R + E + A + DDREAD模型類別等級(jí)高 (3)中(2)低 (1)D amage Potential獲取完全權(quán)限； 執(zhí)行管理員泄露敏感信息泄露其他信潛在危害操作；非法上傳文件等等息Repro

7、ducibility攻擊者可以重復(fù)攻擊，但攻擊者很難攻擊者可以隨意再次攻擊重復(fù)攻擊過(guò)重復(fù)利用可能性有時(shí)間或其他條件限制程E xploitability初學(xué)者在短期內(nèi)能掌握攻熟練的攻擊者才能完成漏洞利用條利用的困難程度擊方法這次攻擊件非?？量藺 ffected users所有用戶，默認(rèn)配置，關(guān)鍵部分用戶，非默認(rèn)配置極少數(shù)用戶，影響的用戶范圍用戶匿名用戶D iscoverability漏洞很顯眼， 攻擊條件很容在私有區(qū)域，部分人能發(fā)現(xiàn)該漏洞發(fā)現(xiàn)的難易程度易獲得看到， 需要深入挖掘漏洞極其困難說(shuō)明：每一項(xiàng)都有3 個(gè)等級(jí)，對(duì)應(yīng)著權(quán)重，從而形成了一個(gè)矩陣。表一：安全漏洞等級(jí)評(píng)估模型最后得出安全漏洞風(fēng)險(xiǎn)等

8、級(jí)：計(jì)算得分安全漏洞風(fēng)險(xiǎn)等級(jí)5-7 分低風(fēng)險(xiǎn)8-11分中風(fēng)險(xiǎn)12-15分高風(fēng)險(xiǎn)表二：風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)分?jǐn)?shù)2.4.3評(píng)估范圍1) 安全服務(wù)部應(yīng)定期對(duì)信息系統(tǒng)進(jìn)行例行的安全漏洞評(píng)估， 操作系統(tǒng)層面的評(píng)估主要以自動(dòng)化工具為主，應(yīng)用系統(tǒng)層面評(píng)估以自動(dòng)化工具和手動(dòng)測(cè)試相結(jié)合。2) 操作系統(tǒng)層面評(píng)估的范圍為所有生產(chǎn)系統(tǒng)的服務(wù)器； 網(wǎng)絡(luò)層面評(píng)估的范圍為公司內(nèi)部網(wǎng)絡(luò)所有的路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備；應(yīng)用系統(tǒng)層面評(píng)估的范圍為所有生產(chǎn)環(huán)境的應(yīng)用系統(tǒng)，包括對(duì)互聯(lián)網(wǎng)開發(fā)的應(yīng)用系統(tǒng)以及內(nèi)網(wǎng)的應(yīng)用系統(tǒng)。3) 操作系統(tǒng)層面安全漏洞評(píng)估的周期為每季度一次，并出具漏洞評(píng)估報(bào)告。4) 應(yīng)用系統(tǒng)層面的安全評(píng)估， 新系統(tǒng)在第一個(gè)版

9、本上線前， 必須經(jīng)過(guò)安全測(cè)試和源代碼安全掃描。5) 應(yīng)用系統(tǒng)層面的安全評(píng)估， 對(duì)于原有系統(tǒng)進(jìn)行版本更新的， 按照下面的規(guī)則進(jìn)行評(píng)估： 如果本次版本中涉及信息安全漏洞整改的，在上線前必須經(jīng)過(guò)安全測(cè)試； 如果本次版本中沒(méi)有涉及信息安全漏洞整改的依據(jù)下面的規(guī)則進(jìn)行安全測(cè)試：a 、應(yīng)用系統(tǒng)安全級(jí)別為高級(jí)別的，每間隔3 個(gè)版本進(jìn)行一次安全測(cè)試，比如在1.0版本進(jìn)行了安全測(cè)試，那下次測(cè)試在1.4 版本需要進(jìn)行安全測(cè)試；b 、應(yīng)用系統(tǒng)安全級(jí)別為中級(jí)或低級(jí)別的，每間隔5 個(gè)版本進(jìn)行一次安全測(cè)試，比如在 1.0 版本進(jìn)行了安全測(cè)試，那下次測(cè)試在1.6 版本需要進(jìn)行安全測(cè)試；c 、如果需要進(jìn)行測(cè)試的版本為緊急版本

10、，可以延后到下一個(gè)正常版本進(jìn)行安全測(cè)試。6) 安全服務(wù)部應(yīng)定期跟進(jìn)安全漏洞的修復(fù)情況，并對(duì)已修復(fù)的安全漏洞進(jìn)行驗(yàn)證。7) 信息系統(tǒng)安全評(píng)估報(bào)告中應(yīng)包括信息系統(tǒng)安全水平、 漏洞風(fēng)險(xiǎn)等級(jí)的分布情況、 漏洞的詳細(xì)信息、漏洞的解決建議等。2.4.4整改時(shí)效性依據(jù)信息系統(tǒng)部署的不同方式和級(jí)別，以及發(fā)現(xiàn)的安全漏洞不同級(jí)別，整改時(shí)效性有一定的差異。2.4.4.1 應(yīng)用系統(tǒng)安全漏洞整改時(shí)效性要求依據(jù) DREAD 模型，和應(yīng)用系統(tǒng)的不同級(jí)別，應(yīng)用系統(tǒng)安全漏洞處理時(shí)效要求如下表,低風(fēng)險(xiǎn)安全漏洞不做強(qiáng)制性要求。整改的時(shí)效性應(yīng)用系統(tǒng)安全級(jí)別高風(fēng)險(xiǎn)漏洞中風(fēng)險(xiǎn)安全漏洞高級(jí)5 個(gè)工作日10 個(gè)工作日中級(jí)10 個(gè)工作日10

11、個(gè)工作日低級(jí)1 個(gè)月內(nèi)1 個(gè)月內(nèi)表三：應(yīng)用系統(tǒng)安全漏洞整改時(shí)效性要求2.4.4.2 操作系統(tǒng)安全漏洞整改時(shí)效性要求依據(jù)操作系統(tǒng)所處網(wǎng)絡(luò)區(qū)域的不同，操作系統(tǒng)的安全漏洞處理時(shí)效要求如下表，低風(fēng)險(xiǎn)安全漏洞不做強(qiáng)制性要求。整改的時(shí)效性所處網(wǎng)絡(luò)區(qū)域高風(fēng)險(xiǎn)漏洞中風(fēng)險(xiǎn)漏洞對(duì)外提供服務(wù)區(qū)域Window 操作系統(tǒng) 3 個(gè)月內(nèi)Window操作系統(tǒng) 3個(gè)月內(nèi)Linux&unix操作系統(tǒng)6 個(gè)月內(nèi)Linux&unix 操作系統(tǒng) 6 個(gè)對(duì)于影響特別嚴(yán)重，易受攻擊的漏洞，月內(nèi)根據(jù)公司安全組的通告立即整改完成對(duì)內(nèi)提供服務(wù)區(qū)域Window 操作系統(tǒng) 6個(gè)月內(nèi)Window 操作系統(tǒng) 6個(gè)月內(nèi)Linux&

12、unix 操作系統(tǒng) 12 個(gè)月內(nèi)Linux&unix 操作系統(tǒng) 12 個(gè)對(duì)于影響特別嚴(yán)重，易受攻擊的漏洞，月內(nèi)根據(jù)公司安全組的通告立即整改完成表四：操作系統(tǒng)安全漏洞整改時(shí)效性要求2.4.5實(shí)施根據(jù)安全漏洞生命周期中漏洞所處的不同狀態(tài)，將漏洞管理行為對(duì)應(yīng)為預(yù)防、發(fā)現(xiàn)、消減、發(fā)布和跟蹤等階段。1) 漏洞的預(yù)防? 針對(duì)集團(tuán)內(nèi)部自行開發(fā)的 Web 應(yīng)用系統(tǒng)，應(yīng)采用安全開發(fā)生命周期流程（SDL-IT ），在需求、設(shè)計(jì)、編碼、測(cè)試、上線等階段關(guān)注信息安全，提高應(yīng)用系統(tǒng)的安全水平。? 數(shù)據(jù)服務(wù)部應(yīng)依據(jù)已發(fā)布的安全配置標(biāo)準(zhǔn)，對(duì)計(jì)算機(jī)操作系統(tǒng)進(jìn)行安全加固、及時(shí)安裝補(bǔ)丁、關(guān)閉不必要的服務(wù)、安裝安全防護(hù)產(chǎn)品

13、等操作。2) 漏洞的發(fā)現(xiàn)? 安全服務(wù)部應(yīng)根據(jù)本制度的要求對(duì)公司的應(yīng)用系統(tǒng)、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行安全測(cè)試，及時(shí)發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞；? 安全服務(wù)部同時(shí)還應(yīng)建立和維護(hù)公開的漏洞收集渠道，漏洞的來(lái)源應(yīng)同時(shí)包括集團(tuán)內(nèi)部、廠商及第三方安全組織；? 安全服務(wù)部應(yīng)在規(guī)定時(shí)間內(nèi)驗(yàn)證自行發(fā)現(xiàn)或收集到的漏洞是否真實(shí)存在，并依據(jù)DREAD 模型，確定漏洞的風(fēng)險(xiǎn)等級(jí)，并出具相應(yīng)的解決建議。3) 漏洞的發(fā)布? 安全服務(wù)部依據(jù)及時(shí)性原則，把發(fā)現(xiàn)的安全漏洞通知到相關(guān)的負(fù)責(zé)人；? 漏洞的發(fā)布應(yīng)遵循保密性原則，在漏洞未整改完成前，僅發(fā)送給信息系統(tǒng)涉及的研發(fā)小組或管理小組，對(duì)敏感信息進(jìn)行屏蔽。4) 漏洞的消減? 安全漏洞

14、所涉及的各部門應(yīng)遵循及時(shí)處理原則，根據(jù)本制度的要求在規(guī)定時(shí)間內(nèi)修復(fù)發(fā)現(xiàn)的安全漏洞；? 數(shù)據(jù)服務(wù)部在安裝廠商發(fā)布的操作系統(tǒng)及應(yīng)用軟件補(bǔ)丁時(shí)，應(yīng)保證補(bǔ)丁的有效性和安全性，并在安裝之前進(jìn)行測(cè)試，避免因更新補(bǔ)丁而對(duì)產(chǎn)品或系統(tǒng)帶來(lái)影響或新的安全風(fēng)險(xiǎn)；? 在無(wú)法安裝補(bǔ)丁或更新版本的情況下，各部門應(yīng)共同協(xié)商安全漏洞的解決措施。5) 漏洞的跟蹤? 安全服務(wù)部應(yīng)建立漏洞跟蹤機(jī)制，對(duì)曾經(jīng)出現(xiàn)的漏洞進(jìn)行歸檔，并定期統(tǒng)計(jì)漏洞的修補(bǔ)情況，以便確切的找出信息系統(tǒng)的短板，為安全策略的制定提供依據(jù)。? 安全服務(wù)部應(yīng)定期對(duì)安全漏洞的管理情況、安全漏洞解決措施和實(shí)施效果進(jìn)行檢查和審計(jì)，包括： 預(yù)防措施是否落實(shí)到位，漏洞是否得到有效預(yù)防；已發(fā)現(xiàn)的漏洞是否得到有效處置；漏