信息系統(tǒng)安全漏洞管理規(guī)范

附件信息系統(tǒng)安全漏洞管理規(guī)范第一章總則為規(guī)范我行信息系統(tǒng)安全漏洞的發(fā)現(xiàn)、評估及處理過程，及時發(fā)現(xiàn)安全漏洞，加快漏洞處理響應(yīng)時間，及時消除安全隱患，特制訂本規(guī)范。本規(guī)范適用于我行所有信息系統(tǒng)，包括但不限于：（一）應(yīng)用系統(tǒng)：我行所有應(yīng)用系統(tǒng)，包括自主開發(fā)和外購系統(tǒng)，系統(tǒng)類型包括系統(tǒng)、移動終端、小程序等。（二）基礎(chǔ)組件：為我行提供基礎(chǔ)服務(wù)的系統(tǒng)或者硬件設(shè)備，包括但不限于：操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。名詞定義（一）漏洞：指在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)、系統(tǒng)安全策略上存在的缺陷或安全管理存在的隱患，使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)；（二）信息安全工單：指處理通過安全測試、評審、安全掃描、人工檢查、安全審計(jì)等途徑發(fā)現(xiàn)的，未對信息系統(tǒng)的穩(wěn)定運(yùn)營造成影響但需要采取相應(yīng)措施進(jìn)行處置的信息安全潛在風(fēng)險的流程單。（三）DMZ區(qū)：非軍事化區(qū)，部署互聯(lián)網(wǎng)前置服務(wù)器所在區(qū)域，DMZ為生產(chǎn)前置與互聯(lián)網(wǎng)通訊的邊界區(qū)域。本規(guī)范適用于我行各部門。第二章漏洞評級漏洞根據(jù)危害程度、影響范圍、受影響業(yè)務(wù)類別等多維度進(jìn)行評級，分為嚴(yán)重漏洞、高危漏洞、中危漏洞、低危漏洞共四類，詳細(xì)評級標(biāo)準(zhǔn)見附件一。信息系統(tǒng)漏洞發(fā)現(xiàn)包括以下途徑：（一）信息科技部信息安全中心通過滲透性測試結(jié)果及提供安全評審意見；（二）信息科技部信息安全中心通過安全評估、安全審計(jì)和現(xiàn)場檢查等方式發(fā)現(xiàn)的安全管理漏洞；（三）在授權(quán)的情況下我行內(nèi)部使用安全評估工具掃描的結(jié)果；（四）普通用戶通過正規(guī)途徑的上報(bào)告知，如通過安全應(yīng)急響應(yīng)中心及我行內(nèi)部渠道上報(bào)的漏洞；（五）來自供應(yīng)商、安全廠商或外部組織發(fā)布的漏洞通知，如銀保監(jiān)會、人民銀行、公安部、網(wǎng)信辦等。第三章漏洞處理流程及實(shí)效要求漏洞處理通過信息安全工單進(jìn)行跟進(jìn)，對應(yīng)不同層面的漏洞，相應(yīng)處理負(fù)責(zé)人對應(yīng)關(guān)系如下：漏洞類型處理負(fù)責(zé)人應(yīng)用系統(tǒng)漏洞信息科技部研發(fā)小組負(fù)責(zé)人基礎(chǔ)組件漏洞信息科技部運(yùn)行中心負(fù)責(zé)人安全管理漏洞各部門負(fù)責(zé)人對于發(fā)現(xiàn)的安全漏洞，信息科技部信息安全中心將漏洞的風(fēng)險等級、詳細(xì)信息描述與修復(fù)方案通知到處理負(fù)責(zé)人，處理負(fù)責(zé)人應(yīng)在2個自然日內(nèi)確認(rèn)漏洞的影響范圍、整改修復(fù)計(jì)劃，并在下表中要求的處理時效內(nèi)完成漏洞整改修復(fù)。因特殊情況無法在要求的時效內(nèi)完成整改，處理負(fù)責(zé)人需提前提交延期申請及修復(fù)計(jì)劃，由信息科技部信息安全中心負(fù)責(zé)人、信息科技部總經(jīng)理及首席信息官審批。對應(yīng)不同層面的漏洞，修復(fù)時效要求如下：（一）應(yīng)用系統(tǒng)漏洞修復(fù)時效要求：漏洞等級修復(fù)時效嚴(yán)重2天高危7天中危14天（二）基礎(chǔ)組件漏洞修復(fù)時效要求：漏洞等級互聯(lián)網(wǎng)區(qū)生產(chǎn)區(qū)開發(fā)測試區(qū)管理區(qū)外聯(lián)區(qū)辦公區(qū)嚴(yán)重3天7天14天30天7天30天高7天14天21天90天14天90天中21天28天42天180天28天180天備注：1.基礎(chǔ)組件包括操作系統(tǒng)、存儲、數(shù)據(jù)庫、網(wǎng)絡(luò)、中間件等提供基礎(chǔ)服務(wù)的系統(tǒng)或硬件設(shè)施。2.低風(fēng)險漏洞根據(jù)實(shí)際情況確定是否修復(fù)及修復(fù)時間。3.如無特別說明，“天”指的是“自然日”。（三）安全管理漏洞修復(fù)實(shí)效要求漏洞等級修復(fù)時效嚴(yán)重7天高危14天中危28天第四章職責(zé)分工信息科技部信息安全中心職責(zé)：（一）發(fā)現(xiàn)我行信息系統(tǒng)、相關(guān)的基礎(chǔ)組件和安全管理的漏洞，及時將發(fā)現(xiàn)的漏洞轉(zhuǎn)交相關(guān)部門做修復(fù)處理，并提供合理可行的修復(fù)方案；（二）評估外部渠道獲取的漏洞對我行的影響，及時將漏洞轉(zhuǎn)交相關(guān)部門做修復(fù)處理，并提供可行的修復(fù)方案。（三）對本規(guī)范的執(zhí)行情況進(jìn)行檢查，確保所有漏洞都按照既定流程進(jìn)行了有效的處理。信息科技部運(yùn)行中心職責(zé)：負(fù)責(zé)我行操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)組件安全漏洞的修復(fù)工作，包括：（一）維護(hù)我行信息系統(tǒng)所有設(shè)備（包括虛擬機(jī)）和信息資產(chǎn)列表，能夠根據(jù)漏洞描述迅速定位受影響設(shè)備，評估影響范圍；（二）根據(jù)信息科技部信息安全中心提供的掃描報(bào)告或漏洞描述，制定修復(fù)工作日程，按照本規(guī)范第三章時效要求進(jìn)行整改修復(fù)。（三）如確實(shí)存在特殊原因無法按時完成修復(fù)的，應(yīng)在修復(fù)截止日期前向信息科技部信息安全中心申請延期，并共同協(xié)商延后的修復(fù)時間和排期。各信息科技部研發(fā)小組職責(zé)：負(fù)責(zé)我行各應(yīng)用系統(tǒng)層面漏洞的修復(fù)工作，包括：（一）根據(jù)信息科技部信息安全中心提供的掃描報(bào)告或漏洞描述，制定修復(fù)工作日程，按照本規(guī)范第三章時效要求進(jìn)行整改修復(fù)；（二）如確實(shí)存在特殊原因無法按時完成修復(fù)的，應(yīng)在修復(fù)截止日期前向信息科技部信息安全中心申請延期，并共同協(xié)商延后的修復(fù)時間和排期。第五章處罰規(guī)定對出現(xiàn)嚴(yán)重違反本管理規(guī)范的違規(guī)行為而引發(fā)信息安全事件或令我行遭受名譽(yù)、經(jīng)濟(jì)等損失的，將視其所造成的影響或損失，依據(jù)行內(nèi)相關(guān)處罰規(guī)范，對相關(guān)責(zé)任人進(jìn)行處罰。第六章附則本規(guī)范由信息科技部制定、修改并負(fù)責(zé)解釋。本規(guī)范自發(fā)布之日起施行。附件：1.漏洞評級標(biāo)準(zhǔn)附件-1漏洞評級標(biāo)準(zhǔn)指標(biāo)名稱詳細(xì)說明嚴(yán)重漏洞1.直接獲取權(quán)限的漏洞（服務(wù)器權(quán)限、重要產(chǎn)品客戶端權(quán)限），包括但不限于遠(yuǎn)程任意命令執(zhí)行、上傳Webshell、可利用遠(yuǎn)程緩沖區(qū)溢出、可利用的ActiveX堆棧溢出、可利用瀏覽器Useafterfree漏洞、可利用遠(yuǎn)程內(nèi)核代碼執(zhí)行漏洞以及其它因邏輯問題導(dǎo)致的可利用的遠(yuǎn)程代碼執(zhí)行漏洞；2.直接導(dǎo)致嚴(yán)重的信息泄漏漏洞，包括但不限于重要DB的SQL注入漏洞；3.直接導(dǎo)致嚴(yán)重影響的邏輯漏洞。高危漏洞1.能直接盜取用戶身份信息的漏洞，包括重要業(yè)務(wù)（如手機(jī)銀行、微信銀行等）的重點(diǎn)頁面的存儲型XSS漏洞、普通站點(diǎn)的SQL注入漏洞；2.越權(quán)訪問，包括但不限于敏感管理后臺登錄；3.高風(fēng)險的信息泄漏漏洞，包括但不限于可直接利用的敏感數(shù)據(jù)泄漏；4.本地任意代碼執(zhí)行，包括但不限于本地可利用的堆棧溢出、UAF、Doublefree、Formatstring、本地提權(quán)、文件關(guān)聯(lián)的DLL劫持（不包括加載不存在的DLL文件及加載正常DLL未校驗(yàn)合法性）以及其它邏輯問題導(dǎo)致的本地代碼執(zhí)行漏洞；5.直接獲取客戶端權(quán)限的漏洞，包括但不限于遠(yuǎn)程任意命令執(zhí)行、遠(yuǎn)程緩沖區(qū)溢出、可利用的ActiveX堆棧溢出、瀏覽器Useafterfree漏洞、遠(yuǎn)程內(nèi)核代碼執(zhí)行漏洞以及其它因邏輯問題導(dǎo)致的遠(yuǎn)程代碼執(zhí)行漏洞；6.可獲取敏感信息或者執(zhí)行敏感操作的重要客戶端產(chǎn)品（例如手機(jī)銀行APP）的XSS漏洞。中危漏洞1.需交互才能獲取用戶身份信息的漏洞，包括但不限于反射型XSS（包括反射型DOM-XSS）、JSONHijacking、重要敏感操作的CSRF、普通業(yè)務(wù)的存儲型XSS；2.遠(yuǎn)程應(yīng)用拒絕服務(wù)漏洞、敏感信息泄露、內(nèi)核拒絕服務(wù)漏洞、可獲取敏感信息或者執(zhí)行敏感操作的客戶端產(chǎn)品的XSS漏洞；3.普通信息泄漏漏洞，包括但不限于客戶端明文存儲密碼、密碼明文傳輸、包含敏感信息的源代碼壓縮包泄漏。低危漏洞1.只在特定非流行瀏覽器環(huán)境下（如IE6等）才能獲取用戶身份信息的漏洞，包括但不限于反射型XSS（包括反射型DOM-XSS）、普通業(yè)務(wù)的存儲型XSS等；2.輕微信息泄漏漏洞，包括但不限于路徑泄漏、SVN文件泄漏、Phpinfo、Logcat敏感信息泄漏；3）PC客戶端及移動客戶端本地拒絕服務(wù)漏洞，包括但不限于組件權(quán)限導(dǎo)致的本地拒絕服務(wù)漏洞；4.越權(quán)訪問，包括但不限于繞過客戶端主動防御，URL跳轉(zhuǎn)漏洞、繞過惡意網(wǎng)址檢測