信息系統(tǒng)安全漏洞評估及管理制度V1.0

四川長虹虹微公司發(fā)布××××–××四川長虹虹微公司發(fā)布××××–××–××實施××××–××–××發(fā)布信息系統(tǒng)平安漏洞評估及管理制度四川長虹電器股份有限公司虹微公司管理文件書目1 概況 21.1目的 21.2目的 22 正文 22.1.術(shù)語定義 22.2.職責(zé)分工 32.3.平安漏洞生命周期 32.4.信息平安漏洞管理 3 原則 3 風(fēng)險等級 4 評估范圍 5 整改時效性 5 實施 63 例外處理 74 檢查安排 85 說明 86 附錄 8概況目的1、規(guī)范集團內(nèi)部信息系統(tǒng)平安漏洞（包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)）的評估及管理，降低信息系統(tǒng)平安風(fēng)險；2、明確信息系統(tǒng)平安漏洞評估和整改各方職責(zé)。適用范圍本制度適用于虹微公司管理的全部信息系統(tǒng)，非虹微公司管理的信息系統(tǒng)可參照執(zhí)行。正文術(shù)語定義信息平安Informationsecurity愛護、維持信息的保密性、完整性和可用性，也可包括真實性、可核查性、抗抵賴性、牢靠性等性質(zhì)。信息平安漏洞Informationsecurityvulnerability信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運行等過程中，有意或無意產(chǎn)生的缺陷，這些缺陷以不同形式存在于計算機信息系統(tǒng)的各個層次和環(huán)節(jié)之中，一旦被惡意主體利用，就會對信息系統(tǒng)的平安造成損害，影響信息系統(tǒng)的正常運行。資產(chǎn)Asset平安策略中，須要愛護的對象，包括信息、數(shù)據(jù)和資源等等。風(fēng)險Risk資產(chǎn)的脆弱性利用給定的威逼，對信息系統(tǒng)造成損害的潛在可能。風(fēng)險的危害可通過事務(wù)發(fā)生的概率和造成的影響進行度量。信息系統(tǒng)（Informationsystem）由計算機硬件、網(wǎng)絡(luò)和通訊設(shè)備、計算機軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機一體化系統(tǒng)，本制度信息系統(tǒng)主要包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及應(yīng)用系統(tǒng)等。職責(zé)分工平安服務(wù)部：負(fù)責(zé)信息系統(tǒng)平安漏洞的評估和管理，漏洞修復(fù)的驗證工作，并為發(fā)覺的漏洞供應(yīng)解決建議。各研發(fā)部門研發(fā)部門負(fù)責(zé)修復(fù)應(yīng)用系統(tǒng)存在的平安漏洞，并依據(jù)本制度的要求供應(yīng)應(yīng)用系統(tǒng)的測試環(huán)境信息和源代碼給平安服務(wù)部進行平安評估。數(shù)據(jù)服務(wù)部數(shù)據(jù)服務(wù)部負(fù)責(zé)修復(fù)生產(chǎn)環(huán)境和測試環(huán)境操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備存在的平安漏洞，并依據(jù)本制度的要求供應(yīng)最新最全的操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的IP地址信息。平安漏洞生命周期依據(jù)信息平安漏洞從產(chǎn)生到消亡的整個過程，信息平安漏洞的生命周期可分為以下幾個階段：漏洞的發(fā)覺：通過人工或自動的方法分析、挖掘出漏洞的過程，且該漏洞可被驗證和重現(xiàn)。漏洞的利用：利用漏洞對信息系統(tǒng)的保密性、完整性和可用性造成破壞的過程。漏洞的修復(fù)：通過補丁、升級版本或配置策略等方法對漏洞進行修補的過程，使該漏洞不能被利用。漏洞的公開：通過公開渠道（如網(wǎng)站、郵件列表等）公布漏洞信息的過程。信息平安漏洞管理原則信息平安漏洞管理遵循以下：分級原則：應(yīng)依據(jù)對業(yè)務(wù)影響程度，對平安漏洞進行分級；同時對不同級別的平安漏洞執(zhí)行不同的處理要求；剛好性原則：平安服務(wù)部應(yīng)剛好把發(fā)覺的漏洞發(fā)布給相關(guān)的負(fù)責(zé)人；各部門在對平安漏洞進行整改時，剛好出具整改方案，剛好進行研發(fā)或更新補丁和加固，剛好消退漏洞與隱患；平安風(fēng)險最小化原則：在處理漏洞信息時應(yīng)以信息系統(tǒng)的風(fēng)險最小化為原則；保密性原則：對于未修復(fù)前的平安漏洞，必需嚴(yán)格限制評估報告發(fā)放范圍，對評估報告中敏感的信息進行屏蔽。風(fēng)險等級充分考慮漏洞的利用難易程度以及對業(yè)務(wù)的影響狀況，實行DREAD模型對平安漏洞進行風(fēng)險等級劃分。在量化風(fēng)險的過程中，對每個威逼進行評分，并依據(jù)如下的公司計算風(fēng)險值：Risk=D+R+E+A+DDREAD模型類別等級高(3)中(2)低(1)DamagePotential潛在危害獲得完全權(quán)限；執(zhí)行管理員操作；非法上傳文件等等泄露敏感信息泄露其他信息Reproducibility重復(fù)利用可能性攻擊者可以隨意再次攻擊攻擊者可以重復(fù)攻擊，但有時間或其他條件限制攻擊者很難重復(fù)攻擊過程Exploitability利用的困難程度初學(xué)者在短期內(nèi)能駕馭攻擊方法嫻熟的攻擊者才能完成這次攻擊Affectedusers影響的用戶范圍全部用戶，默認(rèn)配置，關(guān)鍵用戶部分用戶，非默認(rèn)配置極少數(shù)用戶，匿名用戶Discoverability發(fā)覺的難易程度漏洞很惹眼，攻擊條件很簡單獲得在私有區(qū)域，部分人能看到，須要深化挖掘漏洞發(fā)覺該漏洞極其困難說明：每一項都有3個等級，對應(yīng)著權(quán)重，從而形成了一個矩陣。表一：平安漏洞等級評估模型最終得出平安漏洞風(fēng)險等級：計算得分平安漏洞風(fēng)險等級5-7分低風(fēng)險8-11分中風(fēng)險12-15分高風(fēng)險表二：風(fēng)險等級對應(yīng)分?jǐn)?shù)評估范圍平安服務(wù)部應(yīng)定期對信息系統(tǒng)進行例行的平安漏洞評估，操作系統(tǒng)層面的評估主要以自動化工具為主，應(yīng)用系統(tǒng)層面評估以自動化工具和手動測試相結(jié)合。操作系統(tǒng)層面評估的范圍為全部生產(chǎn)系統(tǒng)的服務(wù)器；網(wǎng)絡(luò)層面評估的范圍為公司內(nèi)部網(wǎng)絡(luò)全部的路由器、交換機、防火墻等網(wǎng)絡(luò)設(shè)備；應(yīng)用系統(tǒng)層面評估的范圍為全部生產(chǎn)環(huán)境的應(yīng)用系統(tǒng)，包括對互聯(lián)網(wǎng)開發(fā)的應(yīng)用系統(tǒng)以及內(nèi)網(wǎng)的應(yīng)用系統(tǒng)。操作系統(tǒng)層面平安漏洞評估的周期為每季度一次，并出具漏洞評估報告。應(yīng)用系統(tǒng)層面的平安評估，新系統(tǒng)在第一個版本上線前，必需經(jīng)過平安測試和源代碼平安掃描。應(yīng)用系統(tǒng)層面的平安評估，對于原有系統(tǒng)進行版本更新的，依據(jù)下面的規(guī)則進行評估：假如本次版本中涉及信息平安漏洞整改的，在上線前必需經(jīng)過平安測試；假如本次版本中沒有涉及信息平安漏洞整改的依據(jù)下面的規(guī)則進行平安測試：a、應(yīng)用系統(tǒng)平安級別為高級別的，每間隔3個版本進行一次平安測試，比如在1.0版本進行了平安測試，那下次測試在1.4版本須要進行平安測試；b、應(yīng)用系統(tǒng)平安級別為中級或低級別的，每間隔5個版本進行一次平安測試，比如在1.0版本進行了平安測試，那下次測試在1.6版本須要進行平安測試；c、假如須要進行測試的版本為緊急版本，可以延后到下一個正常版本進行平安測試。平安服務(wù)部應(yīng)定期跟進平安漏洞的修復(fù)狀況，并對已修復(fù)的平安漏洞進行驗證。信息系統(tǒng)平安評估報告中應(yīng)包括信息系統(tǒng)平安水平、漏洞風(fēng)險等級的分布狀況、漏洞的具體信息、漏洞的解決建議等。整改時效性依據(jù)信息系統(tǒng)部署的不同方式和級別，以及發(fā)覺的平安漏洞不同級別，整改時效性有肯定的差異。應(yīng)用系統(tǒng)平安漏洞整改時效性要求依據(jù)DREAD模型，和應(yīng)用系統(tǒng)的不同級別，應(yīng)用系統(tǒng)平安漏洞處理時效要求如下表,低風(fēng)險平安漏洞不做強制性要求。應(yīng)用系統(tǒng)平安級別整改的時效性高風(fēng)險漏洞中風(fēng)險平安漏洞高級5個工作日10個工作日中級10個工作日10個工作日低級1個月內(nèi)1個月內(nèi)表三：應(yīng)用系統(tǒng)平安漏洞整改時效性要求操作系統(tǒng)平安漏洞整改時效性要求依據(jù)操作系統(tǒng)所處網(wǎng)絡(luò)區(qū)域的不同，操作系統(tǒng)的平安漏洞處理時效要求如下表，低風(fēng)險平安漏洞不做強制性要求。所處網(wǎng)絡(luò)區(qū)域整改的時效性高風(fēng)險漏洞中風(fēng)險漏洞對外供應(yīng)服務(wù)區(qū)域Window操作系統(tǒng)3個月內(nèi)Linux&unix操作系統(tǒng)6個月內(nèi)對于影響特殊嚴(yán)峻，易受攻擊的漏洞，依據(jù)公司平安組的通告馬上整改完成Window操作系統(tǒng)3個月內(nèi)Linux&unix操作系統(tǒng)6個月內(nèi)對內(nèi)供應(yīng)服務(wù)區(qū)域Window操作系統(tǒng)6個月內(nèi)Linux&unix操作系統(tǒng)12個月內(nèi)對于影響特殊嚴(yán)峻，易受攻擊的漏洞，依據(jù)公司平安組的通告馬上整改完成Window操作系統(tǒng)6個月內(nèi)Linux&unix操作系統(tǒng)12個月內(nèi)表四：操作系統(tǒng)平安漏洞整改時效性要求實施依據(jù)平安漏洞生命周期中漏洞所處的不同狀態(tài)，將漏洞管理行為對應(yīng)為預(yù)防、發(fā)覺、消減、發(fā)布和跟蹤等階段。漏洞的預(yù)防針對集團內(nèi)部自行開發(fā)的Web應(yīng)用系統(tǒng)，應(yīng)采納平安開發(fā)生命周期流程（SDL-IT），在需求、設(shè)計、編碼、測試、上線等階段關(guān)注信息平安，提高應(yīng)用系統(tǒng)的平安水平。數(shù)據(jù)服務(wù)部應(yīng)依據(jù)已發(fā)布的平安配置標(biāo)準(zhǔn)，對計算機操作系統(tǒng)進行平安加固、剛好安裝補丁、關(guān)閉不必要的服務(wù)、安裝平安防護產(chǎn)品等操作。漏洞的發(fā)覺平安服務(wù)部應(yīng)依據(jù)本制度的要求對公司的應(yīng)用系統(tǒng)、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備進行平安測試，剛好發(fā)覺信息系統(tǒng)存在的平安漏洞；平安服務(wù)部同時還應(yīng)建立和維護公開的漏洞收集渠道，漏洞的來源應(yīng)同時包括集團內(nèi)部、廠商及第三方平安組織；平安服務(wù)部應(yīng)在規(guī)定時間內(nèi)驗證自行發(fā)覺或收集到的漏洞是否真實存在，并依據(jù)DREAD模型，確定漏洞的風(fēng)險等級，并出具相應(yīng)的解決建議。漏洞的發(fā)布平安服務(wù)部依據(jù)剛好性原則，把發(fā)覺的平安漏洞通知到相關(guān)的負(fù)責(zé)人；漏洞的發(fā)布應(yīng)遵循保密性原則，在漏洞未整改完成前，僅發(fā)送給信息系統(tǒng)涉及的研發(fā)小組或管理小組，對敏感信息進行屏蔽。漏洞的消減平安漏洞所涉及的各部門應(yīng)遵循剛好處理原則，依據(jù)本制度的要求在規(guī)定時間內(nèi)修復(fù)發(fā)覺的平安漏洞；數(shù)據(jù)服務(wù)部在安裝廠商發(fā)布的操作系統(tǒng)及應(yīng)用軟件補丁時，應(yīng)保證補丁的有效性和平安性，并在安裝之前進行測試，避開因更新補丁而對產(chǎn)品或系統(tǒng)帶來影響或新的平安風(fēng)險；在無法安裝補丁或更新版本的狀況下，各部門應(yīng)共同協(xié)商平安漏洞的解決措施。漏洞的跟蹤平安服務(wù)部應(yīng)建立漏洞跟蹤機制，對曾經(jīng)出現(xiàn)的漏洞進行歸檔，并定期統(tǒng)計漏洞的修補狀況，以便準(zhǔn)確的找出信息系統(tǒng)的短板，為平安策略的制定供應(yīng)依據(jù)。平安服務(wù)部應(yīng)定期對平安漏洞的管理狀況、平安漏洞解決措施和實施效果進行檢查和審計，包括：預(yù)防