第三方組件安全管理辦法(V1.0)

1、公司第三方組件安全管理辦法(VI .0)第一章總則2第二章組織與職責(zé)3第三章第三方組件選用及入網(wǎng)安全管理4第四章第三方組件登記及版本管理6第五章第三方組件基礎(chǔ)安全功能及配置要求6第六章附則7附件1XXXX系統(tǒng)第三方組件選用申請(qǐng)表8附件2XXXX系統(tǒng)第三方組件登記表9附件3XXXX系統(tǒng)第三方組件測(cè)試記錄10附件4 :XXXX系統(tǒng)第三方組件文件清單12附件5 :XXXX系統(tǒng)第三方組件端口服務(wù)清單13附件6 :XXXX系統(tǒng)第三方組件帳號(hào)權(quán)限清單14附件7XXXX系統(tǒng)第三方組件版本更新記錄表15第一章總則第一條為了規(guī)范公司應(yīng)用系統(tǒng)對(duì)第三方組件的安全使用， 降低引入第三方組件給應(yīng)用系統(tǒng)帶來(lái)的信息安全風(fēng)險(xiǎn)

2、，特制定本 管理辦法。第二條本辦法所稱(chēng)應(yīng)用系統(tǒng)包括但不限于通信網(wǎng)、業(yè)務(wù)平 臺(tái)、支撐系統(tǒng)等涉及的應(yīng)用系統(tǒng)。第三條 本辦法適用于公司各部門(mén)、省客戶(hù)服務(wù)中心、各市 分公司（以下簡(jiǎn)稱(chēng)：各單位）。第四條本辦法所稱(chēng)的第三方組件指在應(yīng)用開(kāi)發(fā)過(guò)程中所引 入的第三方的代碼、控件、組件、庫(kù)文件與應(yīng)用產(chǎn)品等。應(yīng)用服 務(wù)器、數(shù)據(jù)庫(kù)、中間件與操作系統(tǒng)不在本辦法所稱(chēng)的第三方組件 范疇內(nèi)。常見(jiàn)的第三方組件包括：（-）開(kāi)發(fā)過(guò)程引入的開(kāi)源或非開(kāi)源庫(kù)文件，如Java的jar文件等等：（二）非開(kāi)發(fā)方自身開(kāi)發(fā)的內(nèi)容管理系統(tǒng)、論壇、博客等應(yīng)用, 如Discuz等等;（三）公開(kāi)的開(kāi)發(fā)框架，如Struts、Spring. Hibernat

3、e等 等。第二章組織與職責(zé)第五條 系統(tǒng)建設(shè)部門(mén)：指提出系統(tǒng)開(kāi)發(fā)/建設(shè)需求的單位, 其主要職責(zé)包括:（-）對(duì)第三方組件使用進(jìn)行入網(wǎng)測(cè)試、入網(wǎng)登記；（二）對(duì)使用第三方組件的系統(tǒng)進(jìn)行安全測(cè)試；（三）督促系統(tǒng)開(kāi)發(fā)人員/廠商落實(shí)第三方組件安全管理要求；向采購(gòu)部門(mén)提出合同中需明確的第三方組件安全管理要求;（五）向采購(gòu)部門(mén)提出合同中需明確的系統(tǒng)集成/開(kāi)發(fā)商以 及設(shè)備提供商對(duì)第三方組件信息安全責(zé)任及后續(xù)服務(wù)的要 求。第六條系統(tǒng)運(yùn)維部門(mén)：指具體負(fù)責(zé)系統(tǒng)安全管理、運(yùn)維工 作的單位，其主要職責(zé)包括：（-）對(duì)系統(tǒng)中的第三方組件使用情況進(jìn)行登記、版本管理、 報(bào)備；（二）定期對(duì)系統(tǒng)中的第三方組件進(jìn)行安全檢查、評(píng)估和加固；

4、第三章第三方組件選用及入網(wǎng)安全管理第七條系統(tǒng)建設(shè)部門(mén)應(yīng)在系統(tǒng)需求以及開(kāi)發(fā)建設(shè)技術(shù)規(guī)范 中明確第三方組件選用的基礎(chǔ)安全要求；第八條 系統(tǒng)建設(shè)部門(mén)應(yīng)在系統(tǒng)建設(shè)和維護(hù)服務(wù)等合同中明 確提出：承擔(dān)公司工程建設(shè)項(xiàng)目的集成/開(kāi)發(fā)商或者提供維保服 務(wù)的廠商，對(duì)其引入/使用的第三方組件應(yīng)承擔(dān)的信息安全責(zé)任 及后續(xù)服務(wù)要求，系統(tǒng)開(kāi)發(fā)商和相關(guān)服務(wù)提供商至少應(yīng)履行以下 義務(wù)和職責(zé):（-）應(yīng)有第三方組件的原作者或廠商授權(quán)，出現(xiàn)專(zhuān)利糾紛或 侵權(quán)使用等責(zé)任問(wèn)題時(shí)由系統(tǒng)開(kāi)發(fā)商負(fù)責(zé)。（二）應(yīng)保證引入的第三方組件的安全質(zhì)量調(diào)研待引入的版 本是否有已知安全漏洞。對(duì)開(kāi)源的第三方組件，應(yīng)進(jìn)行源代 碼安全分析，防止出現(xiàn)系統(tǒng)漏洞與后門(mén)。

5、系統(tǒng)開(kāi)發(fā)商及相關(guān) 服務(wù)廠商應(yīng)對(duì)使用第三方組件的信息安全風(fēng)險(xiǎn)負(fù)責(zé)。（三）應(yīng)滿(mǎn)足第三方組件選用、入網(wǎng)、版本管理、登記等管理 要求，并符合第三方組件基礎(chǔ)安全功能和配置要求。（四）在產(chǎn)品投入運(yùn)行直至退網(wǎng)期間，應(yīng)及時(shí)地、無(wú)償?shù)南蚬景l(fā)布第三方組件相關(guān)安全漏洞及應(yīng)急處置措施，在實(shí)驗(yàn)環(huán) 境內(nèi)對(duì)補(bǔ)丁及加固配置進(jìn)行兼容性測(cè)試、提供測(cè)試結(jié)果，并 協(xié)助公司進(jìn)行補(bǔ)丁升級(jí)和配置加固等工作。（五）當(dāng)發(fā)現(xiàn)第三方組件存在零日安全漏洞時(shí)，應(yīng)制定臨時(shí)補(bǔ)救措施或聯(lián)系第三方組件開(kāi)發(fā)商索取安全補(bǔ)丁，并在經(jīng)過(guò)維護(hù)管理部門(mén)的審核后進(jìn)行整改。第九條第三方組件選用流程：（一）開(kāi)發(fā)商應(yīng)向系統(tǒng)建設(shè)部門(mén)提交第三方組件的詳細(xì)說(shuō)明, 內(nèi)容至少包括：系統(tǒng)

6、名稱(chēng)、系統(tǒng)集成/開(kāi)發(fā)廠商、擬選用的 第三方組件名稱(chēng)、版本號(hào)、主要功能、用途、風(fēng)險(xiǎn)分析、 風(fēng)險(xiǎn)規(guī)避措施、基礎(chǔ)安全功能測(cè)試結(jié)果等。（二）系統(tǒng)建設(shè)部門(mén)應(yīng)對(duì)開(kāi)發(fā)廠商擬選用的第三方組件進(jìn)行 審核，測(cè)試和備案，對(duì)不符合基礎(chǔ)安全功能要求的組件， 或存在重大信息安全風(fēng)險(xiǎn)的組件應(yīng)不予選用。（三）系統(tǒng)建設(shè)部門(mén)應(yīng)在系統(tǒng)上線(xiàn)前進(jìn)行入網(wǎng)安全測(cè)試測(cè)試 內(nèi)容至少包括：檢查采用的第三方組件及版本是否經(jīng)過(guò)審 批、是否符合基礎(chǔ)安全配置要求、風(fēng)險(xiǎn)規(guī)避措施是否有效、 是否存在其他信息安全風(fēng)險(xiǎn)等。未通過(guò)安全測(cè)試的系統(tǒng)不 可以上線(xiàn)。第十條系統(tǒng)建設(shè)部門(mén)向系統(tǒng)運(yùn)維部門(mén)交維時(shí)應(yīng)提交第三方 組件登記表、入網(wǎng)安全測(cè)試記錄及相關(guān)信息表。登記表內(nèi)容至

7、少 包括：系統(tǒng)名稱(chēng)、系統(tǒng)集成/開(kāi)發(fā)廠商、第三方組件名稱(chēng)、版本 號(hào)、主要功能、用途、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)規(guī)避措施、入網(wǎng)安全測(cè)試 結(jié)果等。相關(guān)信息表包括但不限于:第三方組件的帳號(hào)權(quán)限清單、 文件清單、端口服務(wù)清單等。第四章第三方組件登記及版本管理第十一條系統(tǒng)運(yùn)維部門(mén)應(yīng)定期跟蹤第三方組件相關(guān)的漏洞通 告（如：組件廠商公告、國(guó)際CVE漏洞庫(kù)及國(guó)內(nèi)CNVD漏洞庫(kù) 公布的相關(guān)漏洞、公司安全預(yù)警信息公告等），發(fā)現(xiàn)相關(guān)安全漏 洞應(yīng)及時(shí)上報(bào)信息安全歸口管理部門(mén)，并采取相應(yīng)的處置措施。第十二條系統(tǒng)運(yùn)維部門(mén)應(yīng)針對(duì)第三方組件安全漏洞進(jìn)行補(bǔ)丁 升級(jí)或配置加固，補(bǔ)丁升級(jí)后應(yīng)填寫(xiě)版本更新記錄，同步更新第 三方組件登記信息，并及時(shí)

8、報(bào)信息安全歸口管理部門(mén)備案。第十三條系統(tǒng)運(yùn)維部門(mén)應(yīng)按相關(guān)要求對(duì)第三方組件開(kāi)展安全 檢查、風(fēng)險(xiǎn)評(píng)估、日志審計(jì)等日常安全維護(hù)工作。第十四條系統(tǒng)運(yùn)維部門(mén)在系統(tǒng)下線(xiàn)時(shí)，應(yīng)對(duì)第三方組件內(nèi)的 業(yè)務(wù)信息及客戶(hù)信息進(jìn)行轉(zhuǎn)存和銷(xiāo)毀，防止信息泄露。第五章第三方組件基礎(chǔ)安全功能及配置要求第十五條第三方組件的安全功能與配置要求應(yīng)符合通用系統(tǒng) 安全功能與配置要求，至少包括：（一）應(yīng)具備訪(fǎng)問(wèn)控制功能、具備輸入驗(yàn)證功能、確保敏感數(shù) 據(jù)加密存儲(chǔ)、提供詳細(xì)日志記錄、確保文件訪(fǎng)問(wèn)與數(shù)據(jù)庫(kù) 訪(fǎng)問(wèn)的安全等；（二）從配置要求上應(yīng)杜絕默認(rèn)口令、空口令、弱口令，遵循 最小權(quán)限原則，修改缺省關(guān)鍵路徑和文件等。第十六條應(yīng)禁用或移除第三方組件中

9、的缺省賬號(hào)、冗余管理 接口、示范文件等缺省安裝內(nèi)容和與系統(tǒng)整體業(yè)務(wù)無(wú)關(guān)的功能， 并禁用或修改缺省用戶(hù)口令。第十七條應(yīng)對(duì)第三方組件采取必要的隔離機(jī)制防止黑客通過(guò) 入侵第三方組件來(lái)獲取整個(gè)系統(tǒng)的權(quán)限，包括但不限于：權(quán)限控 制、部署位置隔離、數(shù)據(jù)庫(kù)隔離等。第十八條對(duì)涉及信息發(fā)布的第三方組件，應(yīng)具備內(nèi)容審核功 能，并可配置強(qiáng)制人工審核，確保未通過(guò)審核的信息不發(fā)布。第十九條對(duì)涉及信息發(fā)布的第三方組件，應(yīng)具備日志記錄功 能，準(zhǔn)確記錄信息發(fā)布人員和審核人員的登錄與退出、信息發(fā)布、 信息審核等操作行為，確保信息發(fā)布行為的可追溯與可審計(jì)。日 志內(nèi)容至少包含：操作類(lèi)型、操作時(shí)間、操作帳號(hào)、操作IP、操 作主要內(nèi)容

10、及參數(shù)、操作結(jié)果等。第六章附則第二十條本實(shí)施細(xì)則解釋權(quán)歸屬省公司網(wǎng)絡(luò)信息安全管理辦 公室。各單位可根據(jù)本辦法制定有關(guān)的實(shí)施細(xì)則。第二十一條 本辦法自頒布之日起實(shí)施。附件1 XXXX系統(tǒng)第三方組件選用申請(qǐng)表表格名：編號(hào):申請(qǐng)人所屬公司/部門(mén)聯(lián)系電話(huà)申請(qǐng)時(shí)間（年月日）系統(tǒng)名稱(chēng)系統(tǒng)集成/開(kāi)發(fā)廠商擬選用第三方組件名（版本 號(hào)）主要功能用途安全風(fēng)險(xiǎn)分析（公開(kāi)漏洞檢 索情況，整體安全風(fēng)險(xiǎn)分 析）風(fēng)險(xiǎn)規(guī)避措施系統(tǒng)集成/開(kāi)發(fā)項(xiàng)目經(jīng)理意見(jiàn)及簽字：申請(qǐng)人部門(mén)信息安全員意見(jiàn)及簽字：備注：申請(qǐng)人被認(rèn)為已閱讀并知曉第三方組件安全管理辦法并愿意接受第三 方組件安全管理制度的約束。備注：表格名和編號(hào)由負(fù)責(zé)表格存檔的部門(mén)負(fù)責(zé)

11、填寫(xiě)。附件3 XXXX系統(tǒng)第三方組件測(cè)試記錄附件2 XXXX系統(tǒng)第三方組件登記表表格名：編號(hào)：系統(tǒng)名稱(chēng)：系統(tǒng)集成/開(kāi)發(fā)廠商:第三方 組件名 稱(chēng)版本號(hào)主要功能風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)規(guī)避措施安試 網(wǎng)測(cè)錄 入全結(jié)備注：表格名和編號(hào)由負(fù)責(zé)表格存檔的部門(mén)負(fù)責(zé)填寫(xiě).測(cè)試人所屬公司/部門(mén)聯(lián)系電話(huà)測(cè)試時(shí)間（年月 日）系統(tǒng)名稱(chēng)系統(tǒng)集成/開(kāi)發(fā)廠 商第三方組件名（版本號(hào)）：主要功能用途安全風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)規(guī)避措施基本安全功能測(cè)試：訪(fǎng)問(wèn)控制安全通過(guò)口未通過(guò)口不適用口備注：輸入驗(yàn)證通過(guò)口未通過(guò)口不適用口備注：數(shù)據(jù)存儲(chǔ)傳輸安 全通過(guò)口未通過(guò)口不適用口備注：日志通過(guò)口未通過(guò)口不適用口備注：文件操作安全通過(guò)口未通過(guò)口不適用口備注：數(shù)據(jù)庫(kù)操

12、作安全通過(guò)口未通過(guò)口不適用口備注：基本安全配置測(cè)試：帳號(hào)口令安全通過(guò)口未通過(guò)口不適用口備注：最小化權(quán)限通過(guò)口未通過(guò)口不適用口備注：移除示范文件通過(guò)口未通過(guò)口不適用口備注：禁用無(wú)關(guān)功能通過(guò)口未通過(guò)口不適用口備注：禁用冗余管理接 口通過(guò)口未通過(guò)口不適用口備注：信息發(fā)布類(lèi)組件專(zhuān)項(xiàng)測(cè)試：是否具備內(nèi)容審 核與管理功能通過(guò)口未通過(guò)口不適用口備注：日志記錄是否全 面通過(guò)口未通過(guò)口不適用口備注：補(bǔ)充測(cè)試項(xiàng)目：表格名:編號(hào):測(cè)試人意見(jiàn)及簽字：測(cè)試結(jié)論通過(guò)口未通過(guò)口備注：1、表格名和編號(hào)由負(fù)責(zé)表格存檔的部門(mén)負(fù)責(zé)填寫(xiě).2、如測(cè)試項(xiàng)目不適用，請(qǐng)?jiān)趥渥⒄f(shuō)明原因。附件4： XXXX系統(tǒng)第三方組件文件清單系統(tǒng)名稱(chēng)：系統(tǒng)集成/開(kāi)發(fā)廠商:第三方組件名文件類(lèi)型存儲(chǔ)位置程序口日志口配置口數(shù)據(jù)口程序口日志口配置口數(shù)據(jù)口程序口日志口配置口數(shù)據(jù)口程序口日志口配置口數(shù)據(jù)口程序口日志口配置口數(shù)據(jù)口附件5： XXXX系統(tǒng)第三方組件端口服務(wù)清單第三方組 件名端口訪(fǎng)問(wèn)權(quán)限開(kāi)放范圍用途備注系統(tǒng)名稱(chēng):系統(tǒng)集成/開(kāi)發(fā)