信息系統(tǒng)安全漏洞評(píng)估及管理制度V10講課講稿

1、四川長(zhǎng)虹電器股份有限公司虹微公司管理文件信息系統(tǒng)安全漏洞評(píng)估及管理制度xxxx-xx-xx 發(fā)布xxxx-xx-xx 實(shí)施四川長(zhǎng)虹虹微公司發(fā)布I目錄1 概況 3.1.1 目的 31.2 目的 錯(cuò)誤 !未定義書(shū)簽。2 正文 3.2.1. 術(shù)語(yǔ)定義 32.2. 職責(zé)分工 42.3. 安全漏洞生命周期 42.4. 信息安全漏洞管理 42.4.1原則 42.4.2 風(fēng)險(xiǎn)等級(jí) 52.4.3 評(píng)估范圍 62.4.4 整改時(shí)效性 62.4.5 實(shí)施 73 例外處理 9.4 檢查計(jì)劃 9.5 解釋 9.6 附錄 9.1 概況1.1 目的1、規(guī)范集團(tuán)內(nèi)部信息系統(tǒng)安全漏洞(包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng))的評(píng)估

2、及管 理，降低信息系統(tǒng)安全風(fēng)險(xiǎn)；2、明確信息系統(tǒng)安全漏洞評(píng)估和整改各方職責(zé)。1.2 適用范圍 本制度適用于虹微公司管理的所有信息系統(tǒng)，非虹微公司管理的信息系統(tǒng)可參照?qǐng)?zhí)行。2 正文2.1. 術(shù)語(yǔ)定義2.1.1. 信息安全 Information security 保護(hù)、維持信息的保密性、完整性和可用性，也可包括真實(shí)性、可核查性、抗抵賴性、 可靠性等性質(zhì)。2.1.2. 信息安全漏洞 Information security vulnerability 信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中，有意或無(wú)意產(chǎn)生的缺陷，這些缺 陷以不同形式存在于計(jì)算機(jī)信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中，一旦被惡意主體利

3、用，就會(huì)對(duì) 信息系統(tǒng)的安全造成損害，影響信息系統(tǒng)的正常運(yùn)行。2.1.3. 資產(chǎn) Asset 安全策略中，需要保護(hù)的對(duì)象，包括信息、數(shù)據(jù)和資源等等。2.1.4. 風(fēng)險(xiǎn) Risk 資產(chǎn)的脆弱性利用給定的威脅，對(duì)信息系統(tǒng)造成損害的潛在可能。風(fēng)險(xiǎn)的危害可通過(guò)事 件發(fā)生的概率和造成的影響進(jìn)行度量。2.1.5. 信息系統(tǒng)( Information system ) 由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的 以處理信息流為目的的人機(jī)一體化系統(tǒng)，本制度信息系統(tǒng)主要包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及 應(yīng)用系統(tǒng)等。2.2. 職責(zé)分工2.2.1. 安全服務(wù)部：負(fù)責(zé)信息系統(tǒng)安全漏洞的評(píng)估和

4、管理，漏洞修復(fù)的驗(yàn)證工作，并為發(fā)現(xiàn)的漏洞提供解決 建議。2.2.2. 各研發(fā)部門(mén)研發(fā)部門(mén)負(fù)責(zé)修復(fù)應(yīng)用系統(tǒng)存在的安全漏洞，并根據(jù)本制度的要求提供應(yīng)用系統(tǒng)的測(cè)試 環(huán)境信息和源代碼給安全服務(wù)部進(jìn)行安全評(píng)估。2.2.3. 數(shù)據(jù)服務(wù)部數(shù)據(jù)服務(wù)部負(fù)責(zé)修復(fù)生產(chǎn)環(huán)境和測(cè)試環(huán)境操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備存在的安全漏洞，并根據(jù) 本制度的要求提供最新最全的操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的 IP 地址信息。2.3. 安全漏洞生命周期依據(jù)信息安全漏洞從產(chǎn)生到消亡的整個(gè)過(guò)程，信息安全漏洞的生命周期可分為以下幾個(gè) 階段：a) 漏洞的發(fā)現(xiàn)：通過(guò)人工或自動(dòng)的方法分析、 挖掘出漏洞的過(guò)程， 且該漏洞可被驗(yàn)證和 重現(xiàn)。b) 漏洞的利用：利用漏洞對(duì)信息

5、系統(tǒng)的保密性、完整性和可用性造成破壞的過(guò)程。c) 漏洞的修復(fù)： 通過(guò)補(bǔ)丁、升級(jí)版本或配置策略等方法對(duì)漏洞進(jìn)行修補(bǔ)的過(guò)程， 使該漏 洞不能被利用。d) 漏洞的公開(kāi)：通過(guò)公開(kāi)渠道(如網(wǎng)站、郵件列表等)公布漏洞信息的過(guò)程。2.4. 信息安全漏洞管理2.4.1 原則信息安全漏洞管理遵循以下：a) 分級(jí)原則：應(yīng)根據(jù)對(duì)業(yè)務(wù)影響程度，對(duì)安全漏洞進(jìn)行分級(jí)；同時(shí)對(duì)不同級(jí)別的安全漏 洞執(zhí)行不同的處理要求；b) 及時(shí)性原則：安全服務(wù)部應(yīng)及時(shí)把發(fā)現(xiàn)的漏洞發(fā)布給相關(guān)的負(fù)責(zé)人；各部門(mén)在對(duì)安全 漏洞進(jìn)行整改時(shí)，及時(shí)出具整改方案，及時(shí)進(jìn)行研發(fā)或更新補(bǔ)丁和加固，及時(shí)消除漏洞與隱 患；c）安全風(fēng)險(xiǎn)最小化原則：在處理漏洞信息時(shí)應(yīng)以

6、信息系統(tǒng)的風(fēng)險(xiǎn)最小化為原則；d）保密性原則：對(duì)于未修復(fù)前的安全漏洞，必須嚴(yán)格控制評(píng)估報(bào)告發(fā)放范圍，對(duì)評(píng)估報(bào) 告中敏感的信息進(jìn)行屏蔽。242風(fēng)險(xiǎn)等級(jí)充分考慮漏洞的利用難易程度以及對(duì)業(yè)務(wù)的影響情況，采取DREA模型對(duì)安全漏洞進(jìn)行風(fēng)險(xiǎn)等級(jí)劃分。在量化風(fēng)險(xiǎn)的過(guò)程中，對(duì)每個(gè)威脅進(jìn)行評(píng)分，并按照如下的公司計(jì)算風(fēng)險(xiǎn)值:Risk = D + R + E + A + DDREA模型一類(lèi)別一_等級(jí)咼(3)中低Damage Pote ntial潛在危害獲取完全權(quán)限；執(zhí)行管理員 操作；非法上傳文件等等泄露敏感信息泄露其他信 息Reproducibility重復(fù)利用可能性攻擊者可以隨意再次攻擊攻擊者可以重復(fù)攻擊，但 有

7、時(shí)間或其他條件限制攻擊者很難 重復(fù)攻擊過(guò) 程Exploitability 利用的困難程度初學(xué)者在短期內(nèi)能掌握攻 擊方法熟練的攻擊者才能完成 這次攻擊漏洞利用條 件非?？量藺ffected users影響的用戶范圍所有用戶，默認(rèn)配置，關(guān)鍵 用戶部分用戶，非默認(rèn)配置極少數(shù)用戶，匿名用戶Discoverability發(fā)現(xiàn)的難易程度漏洞很顯眼，攻擊條件很容 易獲得在私有區(qū)域，部分人能 看到，需要深入挖掘漏洞發(fā)現(xiàn)該漏洞 極其困難說(shuō)明：每一項(xiàng)都有 3個(gè)等級(jí)，對(duì)應(yīng)著權(quán)重，從而形成了一個(gè)矩陣。表一：安全漏洞等級(jí)評(píng)估模型最后得出安全漏洞風(fēng)險(xiǎn)等級(jí):計(jì)算得分安全漏洞風(fēng)險(xiǎn)等級(jí)5-7分低風(fēng)險(xiǎn)8-11 分中風(fēng)險(xiǎn)12-15

8、 分咼風(fēng)險(xiǎn)表二：風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)分?jǐn)?shù)2.4.3 評(píng)估范圍1)2) 安全服務(wù)部應(yīng)定期對(duì)信息系統(tǒng)進(jìn)行例行的安全漏洞評(píng)估， 操作系統(tǒng)層面的評(píng)估主要以 自動(dòng)化工具為主，應(yīng)用系統(tǒng)層面評(píng)估以自動(dòng)化工具和手動(dòng)測(cè)試相結(jié)合。3)4) 操作系統(tǒng)層面評(píng)估的范圍為所有生產(chǎn)系統(tǒng)的服務(wù)器； 網(wǎng)絡(luò)層面評(píng)估的范圍為公司內(nèi)部 網(wǎng)絡(luò)所有的路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備；應(yīng)用系統(tǒng)層面評(píng)估的范圍為所有生產(chǎn)環(huán)境 的應(yīng)用系統(tǒng)，包括對(duì)互聯(lián)網(wǎng)開(kāi)發(fā)的應(yīng)用系統(tǒng)以及內(nèi)網(wǎng)的應(yīng)用系統(tǒng)。5)6) 操作系統(tǒng)層面安全漏洞評(píng)估的周期為每季度一次，并出具漏洞評(píng)估報(bào)告。7)8) 應(yīng)用系統(tǒng)層面的安全評(píng)估， 新系統(tǒng)在第一個(gè)版本上線前， 必須經(jīng)過(guò)安全測(cè)試和源代碼 安全掃

9、描。9) 應(yīng)用系統(tǒng)層面的安全評(píng)估， 對(duì)于原有系統(tǒng)進(jìn)行版本更新的， 按照下面的規(guī)則進(jìn)行評(píng)估： 如果本次版本中涉及信息安全漏洞整改的，在上線前必須經(jīng)過(guò)安全測(cè)試； 如果本次版本中沒(méi)有涉及信息安全漏洞整改的依據(jù)下面的規(guī)則進(jìn)行安全測(cè)試：a、應(yīng)用系統(tǒng)安全級(jí)別為高級(jí)別的，每間隔 3個(gè)版本進(jìn)行一次安全測(cè)試，比如在 1.0 版本進(jìn)行了安全測(cè)試，那下次測(cè)試在 1.4 版本需要進(jìn)行安全測(cè)試；b、 應(yīng)用系統(tǒng)安全級(jí)別為中級(jí)或低級(jí)別的，每間隔5個(gè)版本進(jìn)行一次安全測(cè)試，比如 在 1.0 版本進(jìn)行了安全測(cè)試，那下次測(cè)試在 1.6 版本需要進(jìn)行安全測(cè)試；c、如果需要進(jìn)行測(cè)試的版本為緊急版本，可以延后到下一個(gè)正常版本進(jìn)行安全測(cè)試

10、。10)11) 安全服務(wù)部應(yīng)定期跟進(jìn)安全漏洞的修復(fù)情況，并對(duì)已修復(fù)的安全漏洞進(jìn)行驗(yàn)證。12) 信息系統(tǒng)安全評(píng)估報(bào)告中應(yīng)包括信息系統(tǒng)安全水平、 漏洞風(fēng)險(xiǎn)等級(jí)的分布情況、 漏洞 的詳細(xì)信息、漏洞的解決建議等。2.4.4 整改時(shí)效性依據(jù)信息系統(tǒng)部署的不同方式和級(jí)別，以及發(fā)現(xiàn)的安全漏洞不同級(jí)別，整改時(shí)效性有一 定的差異。精品文檔245.2 應(yīng)用系統(tǒng)安全漏洞整改時(shí)效性要求依據(jù)DREA模型，和應(yīng)用系統(tǒng)的不同級(jí)別，應(yīng)用系統(tǒng)安全漏洞處理時(shí)效要求如下表,低風(fēng)險(xiǎn)安全漏洞不做強(qiáng)制性要求。應(yīng)用系統(tǒng)安全級(jí)別整改的時(shí)效性高風(fēng)險(xiǎn)漏洞中風(fēng)險(xiǎn)安全漏洞高級(jí)5個(gè)工作日10個(gè)工作日中級(jí)10個(gè)工作日10個(gè)工作日低級(jí)1個(gè)月內(nèi)1個(gè)月內(nèi)表三

11、：應(yīng)用系統(tǒng)安全漏洞整改時(shí)效性要求245.3 操作系統(tǒng)安全漏洞整改時(shí)效性要求依據(jù)操作系統(tǒng)所處網(wǎng)絡(luò)區(qū)域的不同，操作系統(tǒng)的安全漏洞處理時(shí)效要求如下表，低風(fēng)險(xiǎn) 安全漏洞不做強(qiáng)制性要求。所處網(wǎng)絡(luò)區(qū)域整改的時(shí)效性高風(fēng)險(xiǎn)漏洞中風(fēng)險(xiǎn)漏洞對(duì)外提供服務(wù)區(qū)域Window操作系統(tǒng)3個(gè)月內(nèi)Linux&unix 操作系統(tǒng)6個(gè)月內(nèi) 對(duì)于影響特別嚴(yán)重，易受攻擊的漏洞， 根據(jù)公司安全組的通告立即整改完成Window操作系統(tǒng)3個(gè)月內(nèi)Linux&unix操作系統(tǒng)6個(gè)月內(nèi)對(duì)內(nèi)提供服務(wù)區(qū)域Window操作系統(tǒng)6個(gè)月內(nèi)Linux&unix操作系統(tǒng)12個(gè)月內(nèi)對(duì)于影響特別嚴(yán)重，易受攻擊的漏洞， 根據(jù)公司安全組的通告立

12、即整改完成Window操作系統(tǒng)6個(gè)月內(nèi)Linux&unix操作系統(tǒng)12個(gè)月內(nèi)表四：操作系統(tǒng)安全漏洞整改時(shí)效性要求實(shí)施根據(jù)安全漏洞生命周期中漏洞所處的不同狀態(tài)，將漏洞管理行為對(duì)應(yīng)為預(yù)防、發(fā)現(xiàn)、消 減、發(fā)布和跟蹤等階段。1) 漏洞的預(yù)防? 針對(duì)集團(tuán)內(nèi)部自行開(kāi)發(fā)的 We應(yīng)用系統(tǒng)，應(yīng)采用安全開(kāi)發(fā)生命周期流程(SDL-IT), 在需求、設(shè)計(jì)、編碼、測(cè)試、上線等階段關(guān)注信息安全，提高應(yīng)用系統(tǒng)的安全水 平。? 數(shù)據(jù)服務(wù)部應(yīng)依據(jù)已發(fā)布的安全配置標(biāo)準(zhǔn)，對(duì)計(jì)算機(jī)操作系統(tǒng)進(jìn)行安全加固、及 時(shí)安裝補(bǔ)丁、關(guān)閉不必要的服務(wù)、安裝安全防護(hù)產(chǎn)品等操作。2) 漏洞的發(fā)現(xiàn)? 安全服務(wù)部應(yīng)根據(jù)本制度的要求對(duì)公司的應(yīng)用系統(tǒng)、

13、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行安 全測(cè)試，及時(shí)發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞；? 安全服務(wù)部同時(shí)還應(yīng)建立和維護(hù)公開(kāi)的漏洞收集渠道，漏洞的來(lái)源應(yīng)同時(shí)包括集 團(tuán)內(nèi)部、廠商及第三方安全組織；? 安全服務(wù)部應(yīng)在規(guī)定時(shí)間內(nèi)驗(yàn)證自行發(fā)現(xiàn)或收集到的漏洞是否真實(shí)存在，并依據(jù) DREA模型，確定漏洞的風(fēng)險(xiǎn)等級(jí)，并出具相應(yīng)的解決建議。3) 漏洞的發(fā)布? 安全服務(wù)部依據(jù)及時(shí)性原則，把發(fā)現(xiàn)的安全漏洞通知到相關(guān)的負(fù)責(zé)人；? 漏洞的發(fā)布應(yīng)遵循保密性原則，在漏洞未整改完成前，僅發(fā)送給信息系統(tǒng)涉及的 研發(fā)小組或管理小組，對(duì)敏感信息進(jìn)行屏蔽。4) 漏洞的消減? 安全漏洞所涉及的各部門(mén)應(yīng)遵循及時(shí)處理原則，根據(jù)本制度的要求在規(guī)定時(shí)間內(nèi) 修復(fù)發(fā)現(xiàn)的安全漏洞；? 數(shù)據(jù)服務(wù)部在安裝廠商發(fā)布的操作系統(tǒng)及應(yīng)用軟件補(bǔ)丁時(shí)，應(yīng)保證補(bǔ)丁的有效性 和安全性，并在安裝之前進(jìn)行測(cè)試，避免因更新補(bǔ)丁而對(duì)產(chǎn)品或系統(tǒng)帶來(lái)影響或 新的安全風(fēng)險(xiǎn)；? 在無(wú)法安裝補(bǔ)丁或更新版本的情況下，各部門(mén)應(yīng)共同協(xié)商安全漏洞的解決措施。5) 漏洞的跟蹤? 安全服務(wù)部應(yīng)建立漏洞跟蹤機(jī)制，對(duì)曾經(jīng)出現(xiàn)的漏洞進(jìn)行歸檔，并定期統(tǒng)計(jì)漏洞 的修補(bǔ)情況，以便確切的找出信息系統(tǒng)的短板，為安全策略的制定提供依據(jù)。? 安全服務(wù)部應(yīng)定期對(duì)安全漏洞的管理情況、安全漏洞解決措施和實(shí)施效果進(jìn)行檢 查和審計(jì)，包括： 預(yù)防措施是否落實(shí)到位，漏洞是否得到有效預(yù)防； 已發(fā)現(xiàn)的漏洞是否得到有效處置； 漏洞處理