XX移動信息系統(tǒng)運營部互聯(lián)網暴露面資產與智能終端應用安全實施細則_第1頁
XX移動信息系統(tǒng)運營部互聯(lián)網暴露面資產與智能終端應用安全實施細則_第2頁
XX移動信息系統(tǒng)運營部互聯(lián)網暴露面資產與智能終端應用安全實施細則_第3頁
XX移動信息系統(tǒng)運營部互聯(lián)網暴露面資產與智能終端應用安全實施細則_第4頁
XX移動信息系統(tǒng)運營部互聯(lián)網暴露面資產與智能終端應用安全實施細則_第5頁
免費預覽已結束,剩余2頁可下載查看

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、XX移動信息系統(tǒng)運營部互聯(lián)網暴露面資產與智能終端應用安全實施細則第一章總則第一條為保障中國移動通信集團XX有限公司(以下簡稱“XX公司”)信息系統(tǒng)運營部中各類暴露面資產與智能終端應用的安全,特制定本實施細則。第二條本辦法中IT系統(tǒng)涵蓋管理信息系統(tǒng)、業(yè)務支撐系統(tǒng)、網管支撐系統(tǒng)。第三條本辦法中互聯(lián)網暴露面資產(以下簡稱暴露面資產)指具有公網IP地址、可以從公網訪問的資產,包括向互聯(lián)網直接提供訪問端口或通過反向代理提供訪問的,包括 已投入使用的與仍處于工程狀態(tài)的。第四條本辦法中智能終端應用指運行在用戶手機、Pad等終端上的客戶端應用程序,包括APP、微信小程序與支付寶小程序等。第五條本辦法由信息系統(tǒng)

2、運營部安全運營部負責制定和解釋。第六條本辦法自發(fā)布之日起實行,安全運營部將根據集團或XX公司最新管理要求定期復審和修訂。第二章組織與職責第七條暴露面資產與智能終端應用安全管理責任劃分的基本原則是:“誰主管,誰負責,誰接入,誰負責”。第八條安全運營部是信息系統(tǒng)運營部IT系統(tǒng)暴露面資產與智能終端應用安全的管理部門,負責根據集團和XX公司要求制定暴露面資產與智能終端應用安全管理制度,負責 組織應用滲透,并按照集團與主管單位要求完成對智能終端應用的報備,負責根據 管理要求對各部門落實執(zhí)行情況進行監(jiān)督。第九條基礎設施維護部、管理系統(tǒng)運營部、網管系統(tǒng)運營部是XX公司IT系統(tǒng)暴露面資產安全的維護部門,負責所

3、維護的暴露面資產的報備工作。在建工程項目的相關職責, 由項目隨工部門承擔。第十條業(yè)務系統(tǒng)開發(fā)部、數(shù)據資產運營部、資源與能力運營部、管理系統(tǒng)運營部、網管系 統(tǒng)運營部、基礎設施維護部是XX公司IT系統(tǒng)暴露面資產與智能終端應用安全的開 發(fā)部門,負責所開發(fā)的智能終端應用的報備工作,并配合維護部門進行應用站點類 暴露面資產報備工作。在建工程項目的相關職責,由項目隨工部門承擔。第十一條 基礎設施維護部、管理系統(tǒng)運營部、網管系統(tǒng)運營部是暴露面資產與智能終端應用 安全管理的網絡管理部門,負責落實對防火墻與反向代理等策略的安全管理要求, 并根據集團與主管單位要求完成對暴露面資產的報備。第三章人員職責第十二條 暴

4、露面資產與智能終端應用安全管理涉及人員主要包括: 安全運營部安全管理員;開發(fā)部門安全管理員、系統(tǒng)責任人;維護部門安全管理員、系統(tǒng)責任人; 網絡管理部門策略管理員;第十三條 安全運營部安全管理員主要職責如下:根據上級管理單位要求制定信息系統(tǒng)運營部IT系統(tǒng)暴露面資產與智能終端應用管理 制度,落實專項安全工作;組織對智能終端應用及web或包含H5頁面站點的應用滲透 對暴露面資產及智能終端應用新增、變更組織安全評估; 根據上級管理單位要求,對智能終端應用進行報備;對暴露面資產與智能終端應用管理中的安全管理工作進行監(jiān)督檢查;對上級管理單位發(fā)現(xiàn)的問題組織查證與整改。第十四條維護部門安全管理員主要職責如下:

5、總體負責本部門管理要求落實;在發(fā)現(xiàn)未報備暴露面資產時配合策略管理員確認責任人;第十五條維護部門系統(tǒng)責任人主要職責如下:根據需求對暴露面資產進行報備;對暴露面資產進行安全自查與加固;在暴露面資產發(fā)成變動時,及時更新報備信息;第十六條 開發(fā)部門安全管理員主要職責如下:總體負責本部門管理要求落實;在發(fā)現(xiàn)未報備智能終端應用時配合確認責任人;第十七條 開發(fā)部門責任人主要職責如下:根據需求對智能終端應用進行報備;配合維護部門系統(tǒng)責任人進行應用站點類暴露面資產報備;對應用站點、應用接口與智能終端應用進行安全自查與整改;在智能終端應用發(fā)成變動時,及時更新報備信息;在應用站點類暴露面資產發(fā)生變動時,及時通知維護

6、部門系統(tǒng)責任人;第十八條策略管理員主要的職責如下:所管網段內暴露面資產相關策略的日常管理;對新增與變更的暴露面資產策略與報備信息一致性的審核;根據集團與主管單位要求完成對暴露面資產的報備暴露面資產策略新增與變更的執(zhí)行;對未報備暴露面資產情況的核實與反饋;根據管理要求,對暴露面資產進行策略限制、臨時關停與恢復;第四章暴露面資產安全管理第十九條 暴露面資產的報備管理的基本原則是:“先報備,后開放”;“全量報備,提前申報”。第二十條 暴露面資產的報備管理主要包含報備新增,報備變更,報備注銷與補充報備四類場 景,其中:報備新增,指一個未使用的公網IP端口,被分配上線使用,或一條新的 反向代理策略需被添

7、加,包括因工程項目配合與測試等原因申請,也包括做了源地 址限定等保護策略的;報備變更,指一個在用的公網IP端口或反向代理策略、應用場景、使用用途等報備 信息發(fā)生變更以及保護性策略做較大調整的,如指向新站點,服務對象變化或源地 址限定成段增加;報備注銷,指一個在用的公網IP端口或反向代理策略不再需要使用,如源站點退服 或收為內網訪問等;補充報備,指日常運營中發(fā)現(xiàn)在用未報備公網IP端口或反向代理策略,或報備信息 不符后,對其報備信息進行補錄的情況。第二十一條 暴露面資產的報備工作由維護部門負責,開發(fā)部門配合;第二十二條 暴露面資產的報備新增與報備變更當維護部門需新增或對現(xiàn)有暴露面資產進行變更時,應

8、提前參照附件1:暴露面資 產與智能終端應用新增、變更、補充填寫報備表,明確報備對象相關信息,并根 據附件列表,在開發(fā)部門的配合下提交相應附件;安全運營部根據上述材料組織對報備對象的安全評估,通過后通知維護部門提出策 略新增與變更申請;維護部門發(fā)起網絡策略新增與變更申請時,應附上安全運營部的通知作為依據; 網絡管理部門核對報備信息與策略變更工單一致性,并按要求完成集團平臺報備, 通過后開通策略;第二十三條暴露面資產的報備注銷對于不再使用的暴露面資產,維護部門應在3個工作日內參照附件3:暴露面資產 與智能終端應用注箱填寫報備表,發(fā)起暴露面資產注銷流程,經安全運營部審核 后,由網絡管理部門關閉端口移

9、除策略,并完成集團平臺的報備注銷,以降低互聯(lián) 網暴露面風險。第二十四條暴露面資產的補充報備對于檢查中發(fā)現(xiàn)的未經報備或報備信息不符的暴露面資產,由安全運營部通知網絡 管理部門向維護部門進行核實,網絡管理部門應在3個工作日內完成補充報備材料 的提交以及集團平臺的報備;第二十五條網絡管理部門應對公網地址段、防火墻與反向代理設備進行集中管理,對工程建設 與日常運營中涉及公網地址段、防火墻與反向代理設備新增、變動或退服的,應通 知策略管理員,并確保其對所有公網地址段、在網防火墻與反向代理設備具有控制 權;嚴禁廠商對公網地址段、在網防火墻與反向代理設備具有獨立控制權;嚴禁未 經安全運營部批準開通或變更任何

10、暴露面資產相關策略,包括但不限于防火墻策略 與反向代理策略。第二十六條對掃描、滲透中發(fā)現(xiàn)漏洞的暴露面資產,山安全運營部評估后安排策略管理員臨時 關?;蛳拗?,待漏洞修復后再做恢復。第五章智能終端應用安全管理第二十七條 智能終端應用的報備管理的基本原則是:“全量報備,及時更新”,“先報備,后 發(fā)布,先申報,后推送”。第二十八條 智能終端應用的報備管理主要包含報備新增,報備變更,報備注銷與補充報備四類 場景,其中:報備新增,指一個新的智能終端應用需上線發(fā)布,不同平臺版本或衍生版本應獨立 報備;報備變更,指一個已報備的在用智能終端應用,其應用場景、服務對象、使用用途、 發(fā)布渠道等報備信息發(fā)生變更,如版

11、本升級、服務對象變化、發(fā)布渠道變化等; 報備注銷,指一個已報備的智能終端應用不再需要使用,如智能終端應用退服或整 合等;補充報備,指日常運營中發(fā)現(xiàn)智能終端應用未報備、新版本發(fā)布未報備,或其他報 備信息與實情明顯不符后,對其報備信息進行補錄的情況。第二十九條 智能終端應用的報備工作由開發(fā)部門負責,維護部門配合。第三十條 智能終端應用的報備新增與報備變更當開發(fā)部門需新增或對現(xiàn)有智能終端應用進行變更時,應提前根據是否涉及暴露面 資產變動,參照附件1:暴露面資產與智能終端應用新增、變更、補充(涉及) 或附件2:智能終端應用升級(不涉及)填寫報備表,明確報備對象相關信息, 并根據附件列表,在維護部門的配

12、合下提交相應附件;安全運營部根據上述材料組織對報備對象的安全評估,通過后按要求完成集團平價 報備,完成后通知開發(fā)部門發(fā)布應用;涉及暴露面資產新增或變更的,安全運營部 將同步通知維護部門提出網絡策略新增與變更申請;第三十一條智能終端應用的報備注銷對于不再使用的智能終端應用,開發(fā)部門應在3個工作日內參照附件3:暴露面資 產與智能終端應用注銷填寫報備表,發(fā)起智能終端應用報備注銷流程,經安全運 營部審核后,由網絡管理部門關閉端口移除策略,并完成集團平臺的報備注銷,降 低系統(tǒng)安全風險。第三十二條 智能終端應用的補充報備對于檢查中發(fā)現(xiàn)的未經報備或報備信息不符的智能終端應用,山安全運營部核實情 況后通知開發(fā)部門補充報備,開發(fā)部門應在2個工作日內完成補充報備材料提交;第三十三條智能終端應用的發(fā)布參照上線進行管理,嚴禁通過任何渠道私下發(fā)布未報備版本的 智能終端應用,包括但不限于應用市場與獨立下載鏈接。第三十四條對掃描、滲透中發(fā)現(xiàn)漏洞的智能終端應用,由安全運營部評估后關閉升級推送并撤 除下載鏈接,待漏洞修復后恢復。第六章與問責第三十五條 安全運營部在日常管理考核中對各部門的執(zhí)行情況進行評分和通報,包含但不限于 以下情況:1、

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論