軟件研發(fā)安全紅線管理細則VIP

軟件研發(fā)安全紅線管理細則1概述1.1.目的為加強信息安全管理工作，規(guī)范員工安全操作行為，提供全員安全風險意識，依據(jù)《中華人民共和國網(wǎng)絡安全法》、《某集團數(shù)據(jù)安全規(guī)范（總綱）》、《某集團（集團）員工紀律制度》、《某集團商業(yè)行為準則》，特制定本管理細則。1.2.適用范圍本管理細則適用于某集團旗下所有公司和關(guān)聯(lián)公司（以下簡稱“公司”）全體員工（含外包員工和實習生）。1.3.規(guī)范解釋本管理細則由某集團安全部負責解釋和修訂。2安全紅線2.1安全紅線條例1、未經(jīng)授權(quán)入侵或盜用他人賬戶進入公司計算機、服務器。場景示例：未經(jīng)授權(quán)盜用他人賬戶進入公司計算機或服務器。利用漏洞入侵他人計算機或服務器。案例：某測試小二發(fā)現(xiàn)某敏感系統(tǒng)權(quán)限問題，未及時報告而利用該漏洞持續(xù)查看敏感信息并獲利。某小二使用自己域賬號登錄外包同學計算機，瀏覽非法信息，并下載查看違規(guī)信息。2、故意利用或干擾、破壞公司的系統(tǒng)資源。場景示例：在公司內(nèi)部故意傳播病毒蠕蟲木馬程序。公司內(nèi)部應用系統(tǒng)故意執(zhí)行違規(guī)操作，如rm–fr/。使用公司資源攻擊外部網(wǎng)絡。使用公司系統(tǒng)資源制作、傳播、復制有害信息（如：涉政、涉黃、涉恐、涉暴等）。使用公司資源執(zhí)行其他違法違規(guī)操作。案例：某位銷售，給其他同學種植木馬，非法獲取客戶信息，大幅提升銷售業(yè)績。某開發(fā)小二使用測試服務器挖礦。某互聯(lián)網(wǎng)公司運維工程師離職前對服務器執(zhí)行破壞性刪除操作。3、嚴禁私搭私建服務器或應用。場景示例：私搭私建各種服務臨時對內(nèi)或?qū)ν馓峁┓眨ò罟艿?、跳板機、odpsgateway，統(tǒng)一接入層等）。私搭私建數(shù)據(jù)庫并存儲業(yè)務信息。未授權(quán)私搭釣魚應用、WIFI。案例：某收購公司小二私搭redis開放至互聯(lián)網(wǎng)，被入侵后直接跳至集團生產(chǎn)網(wǎng)。某運維小二離線備份生產(chǎn)服務器信息至測試環(huán)境，導致密鑰泄露。4、未經(jīng)授權(quán)在公司應用系統(tǒng)上配置特權(quán)賬戶、登錄通道或后門。場景示例：私自配置非授權(quán)的賬號權(quán)限。非授權(quán)開啟登錄通道或預留管理后門、webshell。案例：某運維小二為運維方便減少必要root權(quán)限申請流程，私自給某生產(chǎn)服務器添加root權(quán)限賬號。某開發(fā)小二為管理方便私自在生產(chǎn)服務器預留webshell并向互聯(lián)網(wǎng)開放，導致被入侵。5、故意繞過公司安全措施。場景示例：故意刪除審計日志（包含但不限于網(wǎng)絡、系統(tǒng)，應用、數(shù)據(jù)庫，用戶行為日志等）。未經(jīng)授權(quán)或故意關(guān)閉公司必須部署的安全產(chǎn)品（如云殼、安騎士、STC…）。在服務器、網(wǎng)絡設備、應用系統(tǒng)上故意修改安全配置導致安全措施降級。如開放管理后臺至互聯(lián)網(wǎng)、標準22端口映射80端口、修改賬號為弱口令等。私設代理、vpn隧道、ReverseSSHTunnel等向互聯(lián)網(wǎng)暴露內(nèi)部應用。故意繞過安全策略訪問非授權(quán)應用或服務器。案例：集團極少數(shù)開發(fā)小二私自將代碼繞過Aone\STC流程并發(fā)布至生產(chǎn)網(wǎng)，導致大量安全漏洞未及時發(fā)現(xiàn)被入侵。某開發(fā)小二為管理方便，修改內(nèi)部應用賬號為弱密碼，導致被入侵造成敏感信息泄露。某開發(fā)小二通過vpn隧道將內(nèi)部服務器與阿里云ECS打通，導致ECS被入侵后攻擊者跳轉(zhuǎn)至生產(chǎn)網(wǎng)。6、未按要求處理高危安全漏洞（bug）。場景示例：SOC高危漏洞修復超時且未例外申請報備。開發(fā)無報備帶已知高危漏洞（bug）發(fā)布。案例：暫無。請參考《網(wǎng)絡安全法》第六十條違反本法第二十二條第一款、第二款和第四十八條第一款規(guī)定，有下列行為之一的，由有關(guān)主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處五萬元以上五十萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款：（一）設置惡意程序的；（二）對其產(chǎn)品、服務存在的安全缺陷、漏洞等風險未立即采取補救措施，或者未按照規(guī)定及時告知用戶并向有關(guān)主管部門報告的。第二十二條網(wǎng)絡產(chǎn)品、服務應當符合相關(guān)國家標準的強制性要求。網(wǎng)絡產(chǎn)品、服務的提供者不得設置惡意程序；發(fā)現(xiàn)其網(wǎng)絡產(chǎn)品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。2.2安全紅線違規(guī)認定紅線違規(guī)認定流程參考《某集團員工紀律制度》相關(guān)規(guī)定。違規(guī)判定依據(jù)“是否對公司造成重大的經(jīng)濟損失或名譽損失”、“生產(chǎn)事故嚴重程度”、“是否有違規(guī)主觀動機”、“是否有不當獲利”等情況，由當事人主管、當事人部門M4/P9及以上主管、HR共同酌情裁定。公司應在員工入職培訓過程中開展安全紅線培訓，并在日常工作過程中不斷宣貫，定期考核。公司應根據(jù)實際情況不斷改進和完善安全紅線要求。對于不在安全紅線規(guī)定中的特殊違規(guī)行為，公司因組織安全、法務合規(guī)和人力資源等部門討論審慎決定。管理人員應在工作中做出正確的表率，確保其監(jiān)督管轄范圍內(nèi)的團隊成員都能理解并實際遵守公司各項規(guī)章制度，無論何時何地都不得指示、默許、縱容、鼓勵員工以違反公司規(guī)章制度為代價達成任何業(yè)務目標。如若其監(jiān)督管轄范圍內(nèi)的團隊成員被認定從事一項或多項嚴重違規(guī)行為，管理人員將因自身監(jiān)管職能的履行狀況、嚴重違規(guī)行為的情