版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、信息系統(tǒng)安全漏洞評估及管理制度VI. 0標(biāo)準(zhǔn)化文件發(fā)布號:(9312-EUATWW-MWUB-WUNN-INNUL-DQQTYs四川長虹電器股份有限公司虹微公司管理文件信息系統(tǒng)安全漏洞評估及管理制度XXX X-X X-X X 發(fā)布XXX X-X X-X X 實(shí)施川長虹虹微公司發(fā)布目錄1 概況2目的2目的22 正文2.術(shù)語定義2.職責(zé)分工3.安全漏洞生命周期3.信息安全漏洞管理3原則3風(fēng)險(xiǎn)等級4評估范圍5整改時(shí)效性5實(shí)施63 例外處理74 檢查計(jì)劃85 解釋86 附錄81概況1.1目的1規(guī)范集團(tuán)內(nèi)部信息系統(tǒng)安全漏洞(包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng))的評估及 管理,降低信息系統(tǒng)安全風(fēng)險(xiǎn);2、明確
2、信息系統(tǒng)安全漏洞評估和整改各方職責(zé)。1.2適用范圍本制度適用于虹微公司管理的所有信息系統(tǒng),非虹微公司管理的信息系統(tǒng)可參照執(zhí)行。2正文2.1.術(shù)語定義2.1.1. 信息安全 Information security保護(hù)、維持信息的保密性、完整性和可用性,也可包括真實(shí)性、可核查性、抗抵賴性、 可靠性等性質(zhì)。2.1.2. 信息安全漏洞 Information security vulnerability信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中,有意或無意產(chǎn)生的缺陷,這些缺 陷以不同形式存在于計(jì)算機(jī)信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中,一旦被惡意主體利用,就會(huì)對 信息系統(tǒng)的安全造成損害,影響信息系統(tǒng)的正
3、常運(yùn)行。2.1.3. 資產(chǎn) Asset安全策略中,需要保護(hù)的對象,包括信息、數(shù)據(jù)和資源等等。2.1.4. 風(fēng)險(xiǎn) Risk資產(chǎn)的脆弱性利用給定的威脅,對信息系統(tǒng)造成損害的潛在可能。風(fēng)險(xiǎn)的危害可通過事 件發(fā)生的概率和造成的影響進(jìn)行度量。2.1.5. 信息系統(tǒng)(Information system)曲計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的 以處理信息流為L1的的人機(jī)一體化系統(tǒng),本制度信息系統(tǒng)主要包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及 應(yīng)用系統(tǒng)等。2.2. 職責(zé)分工2.2.1. 安全服務(wù)部:負(fù)責(zé)信息系統(tǒng)安全漏洞的評估和管理,漏洞修復(fù)的驗(yàn)證工作,并為發(fā)現(xiàn)的漏洞提供解決 建議。2.
4、2.2. 各研發(fā)部門研發(fā)部門負(fù)責(zé)修復(fù)應(yīng)用系統(tǒng)存在的安全漏洞,并根據(jù)本制度的要求提供應(yīng)用系統(tǒng)的測試 環(huán)境信息和源代碼給安全服務(wù)部進(jìn)行安全評估。2.2.3. 數(shù)據(jù)服務(wù)部數(shù)據(jù)服務(wù)部負(fù)責(zé)修復(fù)生產(chǎn)環(huán)境和測試環(huán)境操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備存在的安全漏洞,并根據(jù) 本制度的要求提供最新最全的操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的IP地址信息。2.3. 安全漏洞生命周期依據(jù)信息安全漏洞從產(chǎn)生到消亡的整個(gè)過程,信息安全漏洞的生命周期可分為以下兒個(gè) 階段:a)漏洞的發(fā)現(xiàn):通過人工或自動(dòng)的方法分析、挖掘出漏洞的過程,且該漏洞可被驗(yàn)證和重現(xiàn)。b)漏洞的利用:利用漏洞對信息系統(tǒng)的保密性、完整性和可用性造成破壞的過程。c)漏洞的修復(fù):通過補(bǔ)丁、升級
5、版本或配置策略等方法對漏洞進(jìn)行修補(bǔ)的過程,使該 漏洞不能被利用。d)漏洞的公開:通過公開渠道(如網(wǎng)站、郵件列表等)公布漏洞信息的過程。2.4. 信息安全漏洞管理2.4.1原則信息安全漏洞管理遵循以下:a)分級原則:應(yīng)根據(jù)對業(yè)務(wù)影響程度,對安全漏洞進(jìn)行分級:同時(shí)對不同級別的安全漏 洞執(zhí)行不同的處理要求;b)及時(shí)性原則:安全服務(wù)部應(yīng)及時(shí)把發(fā)現(xiàn)的漏洞發(fā)布給相關(guān)的負(fù)責(zé)人;各部門在對安全 漏洞進(jìn)行整改時(shí),及時(shí)出具整改方案,及時(shí)進(jìn)行研發(fā)或更新補(bǔ)丁和加固,及時(shí)消除漏洞與隱 患;c)安全風(fēng)險(xiǎn)最小化原則:在處理漏洞信息時(shí)應(yīng)以信息系統(tǒng)的風(fēng)險(xiǎn)最小化為原則;d)保密性原則:對于未修復(fù)前的安全漏洞,必須嚴(yán)格控制評估報(bào)告
6、發(fā)放范圉,對評估報(bào) 告中敏感的信息進(jìn)行屏蔽。2.4.2風(fēng)險(xiǎn)等級充分考慮漏洞的利用難易程度以及對業(yè)務(wù)的影響情況,采取DREAD模型對安全漏洞進(jìn) 行風(fēng)險(xiǎn)等級劃分。在量化風(fēng)險(xiǎn)的過程中,對每個(gè)威脅進(jìn)行評分,并按照如下的公司訃算風(fēng)險(xiǎn)值:Risk = D + R + E + A + DDREAD模型高中(2)低Damage Potential 潛在危害獲取完全權(quán)限:執(zhí)行管理 員操作:非法上傳文件等 等泄?fàn)柮舾行畔⑿孤镀渌?息Reproducibility 重復(fù)利用可能性攻擊者可以隨意再次攻擊攻擊者可以重復(fù)攻擊, 但有時(shí)間或其他條件限 制攻擊者很難 重復(fù)攻擊過 程Exploitability 利用的困難程
7、度初學(xué)者在短期內(nèi)能掌握攻 擊方法熟練的攻擊者才能完成 這次攻擊漏洞利用條 件非??量藺ffected users 影響的用戶范用所有用戶,默認(rèn)配宜,關(guān) 鍵用戶部分用戶,非默認(rèn)配苣極少數(shù)用 戶.匿需用 戶Discoverability 發(fā)現(xiàn)的難易程度漏洞很顯眼,攻擊條件很 容易獲得在私有區(qū)域,部分人 能看到,需要深入挖掘 漏洞發(fā)現(xiàn)該漏洞 極其困難說明:每一項(xiàng)都有3個(gè)等級,對應(yīng)著權(quán)重,從而形成了一個(gè)矩陣。表一:安全漏洞等級評估模型最后得出安全漏洞風(fēng)險(xiǎn)等級:計(jì)算得分安全漏洞風(fēng)險(xiǎn)等級5-7分低風(fēng)險(xiǎn)8小分中風(fēng)險(xiǎn)12-15 分髙風(fēng)險(xiǎn)表二:風(fēng)險(xiǎn)等級對應(yīng)分?jǐn)?shù)2.4.3評估范圍1)安全服務(wù)部應(yīng)定期對信息系統(tǒng)進(jìn)行
8、例行的安全漏洞評估,操作系統(tǒng)層面的評估主要以 自動(dòng)化工具為主,應(yīng)用系統(tǒng)層面評估以自動(dòng)化工具和手動(dòng)測試相結(jié)合。2)操作系統(tǒng)層面評估的范圉為所有生產(chǎn)系統(tǒng)的服務(wù)器;網(wǎng)絡(luò)層面評估的范圍為公司內(nèi)部 網(wǎng)絡(luò)所有的路山器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)層面評估的范圍為所有生產(chǎn)環(huán)境 的應(yīng)用系統(tǒng),包括對互聯(lián)網(wǎng)開發(fā)的應(yīng)用系統(tǒng)以及內(nèi)網(wǎng)的應(yīng)用系統(tǒng)。3)操作系統(tǒng)層面安全漏洞評估的周期為每季度一次,并出具漏洞評估報(bào)告。4)應(yīng)用系統(tǒng)層面的安全評估,新系統(tǒng)在笫一個(gè)版本上線前,必須經(jīng)過安全測試和源代碼 安全掃描。5)應(yīng)用系統(tǒng)層面的安全評估,對于原有系統(tǒng)進(jìn)行版本更新的,按照下面的規(guī)則進(jìn)行評 估: 如果本次版本中涉及信息安全漏洞
9、整改的,在上線前必須經(jīng)過安全測試; 如果本次版本中沒有涉及信息安全漏洞整改的依據(jù)下面的規(guī)則進(jìn)行安全測試:a、應(yīng)用系統(tǒng)安全級別為高級別的,每間隔3個(gè)版本進(jìn)行一次安全測試,比如在版本 進(jìn)行了安全測試,那下次測試在版本需要進(jìn)行安全測試;b、應(yīng)用系統(tǒng)安全級別為中級或低級別的,每間隔5個(gè)版本進(jìn)行一次安全測試,比如 在版本進(jìn)行了安全測試,那下次測試在版本需要進(jìn)行安全測試;c、如果需要進(jìn)行測試的版本為緊急版本,可以延后到下一個(gè)正常版本進(jìn)行安全測 試。6)安全服務(wù)部應(yīng)定期跟進(jìn)安全漏洞的修復(fù)情況,并對已修復(fù)的安全漏洞進(jìn)行驗(yàn)證。7)信息系統(tǒng)安全評估報(bào)告中應(yīng)包括信息系統(tǒng)安全水平、漏洞風(fēng)險(xiǎn)等級的分布情況、漏洞 的詳細(xì)
10、信息、漏洞的解決建議等。2.4.4整改時(shí)效性依據(jù)信息系統(tǒng)部署的不同方式和級別,以及發(fā)現(xiàn)的安全漏洞不同級別,整改時(shí)效性有一 定的差異。2.4.4.1應(yīng)用系統(tǒng)安全漏洞整改時(shí)效性要求依據(jù)DREAD模型,和應(yīng)用系統(tǒng)的不同級別,應(yīng)用系統(tǒng)安全漏洞處理時(shí)效要求如下表/氐風(fēng) 險(xiǎn)安全漏洞不做強(qiáng)制性要求。應(yīng)用系統(tǒng)安全級別整改的時(shí)效性高風(fēng)險(xiǎn)漏洞中風(fēng)險(xiǎn)安全漏洞高級5個(gè)工作日10個(gè)工作日中級10個(gè)工作日10個(gè)工作日低級1個(gè)月內(nèi)1個(gè)月內(nèi)表三:應(yīng)用系統(tǒng)安全漏洞整改時(shí)效性要求24.42操作系統(tǒng)安全漏洞整改時(shí)效性要求依據(jù)操作系統(tǒng)所處網(wǎng)絡(luò)區(qū)域的不同,操作系統(tǒng)的安全漏洞處理時(shí)效要求如下表,低風(fēng)險(xiǎn) 安全漏洞不做強(qiáng)制性要求。所處網(wǎng)絡(luò)區(qū)
11、域整改的時(shí)效性高風(fēng)險(xiǎn)漏洞中風(fēng)險(xiǎn)漏洞對外提供服務(wù)區(qū)域Window操作系統(tǒng)3個(gè)月內(nèi) Linux&unix操作系統(tǒng)6個(gè)月內(nèi) 對于影響特別嚴(yán)重,易受攻擊的漏洞, 根據(jù)公司安全組的通告立即整改完成Window操作系統(tǒng)3個(gè)月內(nèi)Linux&unix操作系統(tǒng)6個(gè)月內(nèi)對內(nèi)提供服務(wù)區(qū)域Window操作系統(tǒng)6個(gè)月內(nèi)Linux&unix操作系統(tǒng)12個(gè)月內(nèi)對于影響特別嚴(yán)重,易受攻擊的漏洞, 根據(jù)公司安全組的通告立即整改完成Window操作系統(tǒng)6個(gè)月內(nèi)Linux&unix操作系統(tǒng)12個(gè)月 內(nèi)表四:操作系統(tǒng)安全漏洞整改時(shí)效性要求2.4.5實(shí)施根據(jù)安全漏洞生命周期中漏洞所處的不同狀態(tài),將漏洞管
12、理行為對應(yīng)為預(yù)防、發(fā)現(xiàn)、消 減、發(fā)布和跟蹤等階段。1)漏洞的預(yù)防針對集團(tuán)內(nèi)部自行開發(fā)的Web應(yīng)用系統(tǒng),應(yīng)采用安全開發(fā)生命周期流程(SDL- IT),在需求、設(shè)計(jì)、編碼、測試、上線等階段關(guān)注信息安全,提高應(yīng)用系統(tǒng)的 安全水平。數(shù)據(jù)服務(wù)部應(yīng)依據(jù)已發(fā)布的安全配置標(biāo)準(zhǔn),對計(jì)算機(jī)操作系統(tǒng)進(jìn)行安全加固、 及時(shí)安裝補(bǔ)丁、關(guān)閉不必要的服務(wù)、安裝安全防護(hù)產(chǎn)品等操作。2)漏洞的發(fā)現(xiàn)安全服務(wù)部應(yīng)根據(jù)本制度的要求對公司的應(yīng)用系統(tǒng)、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行 安全測試,及時(shí)發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞;安全服務(wù)部同時(shí)還應(yīng)建立和維護(hù)公開的漏洞收集渠道,漏洞的來源應(yīng)同時(shí)包括 集團(tuán)內(nèi)部、廠商及第三方安全組織;安全服務(wù)部應(yīng)在規(guī)定時(shí)間
13、內(nèi)驗(yàn)證自行發(fā)現(xiàn)或收集到的漏洞是否真實(shí)存在,并依 據(jù)DREAD模型,確定漏洞的風(fēng)險(xiǎn)等級,并出具相應(yīng)的解決建議。3)漏洞的發(fā)布安全服務(wù)部依據(jù)及時(shí)性原則,把發(fā)現(xiàn)的安全漏洞通知到相關(guān)的負(fù)責(zé)人;漏洞的發(fā)布應(yīng)遵循保密性原則,在漏洞未整改完成前,僅發(fā)送給信息系統(tǒng)涉及 的研發(fā)小組或管理小組,對敏感信息進(jìn)行屏蔽。4)漏洞的消減安全漏洞所涉及的各部門應(yīng)遵循及時(shí)處理原則,根據(jù)本制度的要求在規(guī)定時(shí)間 內(nèi)修復(fù)發(fā)現(xiàn)的安全漏洞;數(shù)據(jù)服務(wù)部在安裝廠商發(fā)布的操作系統(tǒng)及應(yīng)用軟件補(bǔ)丁時(shí),應(yīng)保證補(bǔ)丁的有效 性和安全性,并在安裝之前進(jìn)行測試,避免因更新補(bǔ)丁而對產(chǎn)品或系統(tǒng)帶來影 響或新的安全風(fēng)險(xiǎn);在無法安裝補(bǔ)丁或更新版本的情況下,各部門應(yīng)共同協(xié)商安全漏洞的解決措 施。5)漏洞的跟蹤安全服務(wù)部應(yīng)建立漏洞跟蹤機(jī)制,對曾經(jīng)出現(xiàn)的漏洞進(jìn)行歸檔,并定期統(tǒng)計(jì)漏 洞的修補(bǔ)情況,以便確切的找出信息系統(tǒng)的短板,為安全策略的制定提供依 據(jù)。安全服務(wù)部應(yīng)定期對安全漏洞的管理惜況、安全漏洞解決措施和實(shí)施效果進(jìn)行 檢査和審計(jì),包括: 預(yù)防描施是否落實(shí)到位,漏洞是否得到有效預(yù)防; 已發(fā)現(xiàn)的漏洞是否得到有效處置; 漏洞處理過
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年在線教育內(nèi)容提供合同
- 石家莊2025年河北石家莊建筑行業(yè)大型國有企業(yè)招聘46人筆試歷年參考題庫附帶答案詳解
- 溫州2024年浙江溫州市公安局洞頭區(qū)分局第四期招聘編外用工6人筆試歷年參考題庫附帶答案詳解
- 浙江浙江工業(yè)職業(yè)技術(shù)學(xué)院資產(chǎn)管理處采購中心編外人員招聘筆試歷年參考題庫附帶答案詳解
- 浙江2025年春季浙江省國際經(jīng)濟(jì)貿(mào)易學(xué)會(huì)招聘筆試歷年參考題庫附帶答案詳解
- 2024美容院加盟商區(qū)域保護(hù)與市場推廣合同3篇
- 2025年新能源電動(dòng)車租賃與環(huán)保政策扶持合同3篇
- 四川2025年西南民族大學(xué)招聘教師70人筆試歷年參考題庫附帶答案詳解
- 四川2024下半年四川政協(xié)報(bào)社招聘工作人員筆試歷年參考題庫附帶答案詳解
- 2025年度貨物進(jìn)出口合同標(biāo)的說明3篇
- 15.5-博物館管理法律制度(政策與法律法規(guī)-第五版)
- 水泥廠鋼結(jié)構(gòu)安裝工程施工方案
- 2023光明小升初(語文)試卷
- 三年級上冊科學(xué)說課課件-1.5 水能溶解多少物質(zhì)|教科版
- GB/T 7588.2-2020電梯制造與安裝安全規(guī)范第2部分:電梯部件的設(shè)計(jì)原則、計(jì)算和檢驗(yàn)
- GB/T 14600-2009電子工業(yè)用氣體氧化亞氮
- 小學(xué)道德與法治學(xué)科高級(一級)教師職稱考試試題(有答案)
- 河北省承德市各縣區(qū)鄉(xiāng)鎮(zhèn)行政村村莊村名居民村民委員會(huì)明細(xì)
- 實(shí)用性閱讀與交流任務(wù)群設(shè)計(jì)思路與教學(xué)建議
- 應(yīng)急柜檢查表
- 通風(fēng)設(shè)施標(biāo)準(zhǔn)
評論
0/150
提交評論