1、四川長虹電器股份有限公司虹微公司管理文件信息系統安全漏洞評估及管理制度xxxx-xx-xx 發布xxxx-xx-xx 實施四川長虹虹微公司發布I目錄1 概況 3.1.1 目的 31.2 目的 錯誤 !未定義書簽。2 正文 3.2.1. 術語定義 32.2. 職責分工 42.3. 安全漏洞生命周期 42.4. 信息安全漏洞管理 42.4.1原則 42.4.2 風險等級 52.4.3 評估范圍 62.4.4 整改時效性 62.4.5 實施 73 例外處理 9.4 檢查計劃 9.5 解釋 9.6 附錄 9.1 概況1.1 目的1、規范集團內部信息系統安全漏洞(包括操作系統、網絡設備和應用系統)的評估

2、及管 理，降低信息系統安全風險；2、明確信息系統安全漏洞評估和整改各方職責。1.2 適用范圍 本制度適用于虹微公司管理的所有信息系統，非虹微公司管理的信息系統可參照執行。2 正文2.1. 術語定義2.1.1. 信息安全 Information security 保護、維持信息的保密性、完整性和可用性，也可包括真實性、可核查性、抗抵賴性、 可靠性等性質。2.1.2. 信息安全漏洞 Information security vulnerability 信息系統在需求、設計、實現、配置、運行等過程中，有意或無意產生的缺陷，這些缺 陷以不同形式存在于計算機信息系統的各個層次和環節之中，一旦被惡意主體利

3、用，就會對 信息系統的安全造成損害，影響信息系統的正常運行。2.1.3. 資產 Asset 安全策略中，需要保護的對象，包括信息、數據和資源等等。2.1.4. 風險 Risk 資產的脆弱性利用給定的威脅，對信息系統造成損害的潛在可能。風險的危害可通過事 件發生的概率和造成的影響進行度量。2.1.5. 信息系統( Information system ) 由計算機硬件、網絡和通訊設備、計算機軟件、信息資源、信息用戶和規章制度組成的 以處理信息流為目的的人機一體化系統，本制度信息系統主要包括操作系統、網絡設備以及 應用系統等。2.2. 職責分工2.2.1. 安全服務部：負責信息系統安全漏洞的評估和

4、管理，漏洞修復的驗證工作，并為發現的漏洞提供解決 建議。2.2.2. 各研發部門研發部門負責修復應用系統存在的安全漏洞，并根據本制度的要求提供應用系統的測試 環境信息和源代碼給安全服務部進行安全評估。2.2.3. 數據服務部數據服務部負責修復生產環境和測試環境操作系統、網絡設備存在的安全漏洞，并根據 本制度的要求提供最新最全的操作系統和網絡設備的 IP 地址信息。2.3. 安全漏洞生命周期依據信息安全漏洞從產生到消亡的整個過程，信息安全漏洞的生命周期可分為以下幾個 階段：a) 漏洞的發現：通過人工或自動的方法分析、 挖掘出漏洞的過程， 且該漏洞可被驗證和 重現。b) 漏洞的利用：利用漏洞對信息

5、系統的保密性、完整性和可用性造成破壞的過程。c) 漏洞的修復： 通過補丁、升級版本或配置策略等方法對漏洞進行修補的過程， 使該漏 洞不能被利用。d) 漏洞的公開：通過公開渠道(如網站、郵件列表等)公布漏洞信息的過程。2.4. 信息安全漏洞管理2.4.1 原則信息安全漏洞管理遵循以下：a) 分級原則：應根據對業務影響程度，對安全漏洞進行分級；同時對不同級別的安全漏 洞執行不同的處理要求；b) 及時性原則：安全服務部應及時把發現的漏洞發布給相關的負責人；各部門在對安全 漏洞進行整改時，及時出具整改方案，及時進行研發或更新補丁和加固，及時消除漏洞與隱 患；c）安全風險最小化原則：在處理漏洞信息時應以

6、信息系統的風險最小化為原則；d）保密性原則：對于未修復前的安全漏洞，必須嚴格控制評估報告發放范圍，對評估報 告中敏感的信息進行屏蔽。242風險等級充分考慮漏洞的利用難易程度以及對業務的影響情況，采取DREA模型對安全漏洞進行風險等級劃分。在量化風險的過程中，對每個威脅進行評分，并按照如下的公司計算風險值:Risk = D + R + E + A + DDREA模型一類別一_等級咼(3)中低Damage Pote ntial潛在危害獲取完全權限；執行管理員 操作；非法上傳文件等等泄露敏感信息泄露其他信 息Reproducibility重復利用可能性攻擊者可以隨意再次攻擊攻擊者可以重復攻擊，但 有

7、時間或其他條件限制攻擊者很難 重復攻擊過 程Exploitability 利用的困難程度初學者在短期內能掌握攻 擊方法熟練的攻擊者才能完成 這次攻擊漏洞利用條 件非常苛刻Affected users影響的用戶范圍所有用戶，默認配置，關鍵 用戶部分用戶，非默認配置極少數用戶，匿名用戶Discoverability發現的難易程度漏洞很顯眼，攻擊條件很容 易獲得在私有區域，部分人能 看到，需要深入挖掘漏洞發現該漏洞 極其困難說明：每一項都有 3個等級，對應著權重，從而形成了一個矩陣。表一：安全漏洞等級評估模型最后得出安全漏洞風險等級:計算得分安全漏洞風險等級5-7分低風險8-11 分中風險12-15

8、 分咼風險表二：風險等級對應分數2.4.3 評估范圍1)2) 安全服務部應定期對信息系統進行例行的安全漏洞評估， 操作系統層面的評估主要以 自動化工具為主，應用系統層面評估以自動化工具和手動測試相結合。3)4) 操作系統層面評估的范圍為所有生產系統的服務器； 網絡層面評估的范圍為公司內部 網絡所有的路由器、交換機、防火墻等網絡設備；應用系統層面評估的范圍為所有生產環境 的應用系統，包括對互聯網開發的應用系統以及內網的應用系統。5)6) 操作系統層面安全漏洞評估的周期為每季度一次，并出具漏洞評估報告。7)8) 應用系統層面的安全評估， 新系統在第一個版本上線前， 必須經過安全測試和源代碼 安全掃

9、描。9) 應用系統層面的安全評估， 對于原有系統進行版本更新的， 按照下面的規則進行評估： 如果本次版本中涉及信息安全漏洞整改的，在上線前必須經過安全測試； 如果本次版本中沒有涉及信息安全漏洞整改的依據下面的規則進行安全測試：a、應用系統安全級別為高級別的，每間隔 3個版本進行一次安全測試，比如在 1.0 版本進行了安全測試，那下次測試在 1.4 版本需要進行安全測試；b、 應用系統安全級別為中級或低級別的，每間隔5個版本進行一次安全測試，比如 在 1.0 版本進行了安全測試，那下次測試在 1.6 版本需要進行安全測試；c、如果需要進行測試的版本為緊急版本，可以延后到下一個正常版本進行安全測試

10、。10)11) 安全服務部應定期跟進安全漏洞的修復情況，并對已修復的安全漏洞進行驗證。12) 信息系統安全評估報告中應包括信息系統安全水平、 漏洞風險等級的分布情況、 漏洞 的詳細信息、漏洞的解決建議等。2.4.4 整改時效性依據信息系統部署的不同方式和級別，以及發現的安全漏洞不同級別，整改時效性有一 定的差異。精品文檔245.2 應用系統安全漏洞整改時效性要求依據DREA模型，和應用系統的不同級別，應用系統安全漏洞處理時效要求如下表,低風險安全漏洞不做強制性要求。應用系統安全級別整改的時效性高風險漏洞中風險安全漏洞高級5個工作日10個工作日中級10個工作日10個工作日低級1個月內1個月內表三

11、：應用系統安全漏洞整改時效性要求245.3 操作系統安全漏洞整改時效性要求依據操作系統所處網絡區域的不同，操作系統的安全漏洞處理時效要求如下表，低風險 安全漏洞不做強制性要求。所處網絡區域整改的時效性高風險漏洞中風險漏洞對外提供服務區域Window操作系統3個月內Linux&unix 操作系統6個月內 對于影響特別嚴重，易受攻擊的漏洞， 根據公司安全組的通告立即整改完成Window操作系統3個月內Linux&unix操作系統6個月內對內提供服務區域Window操作系統6個月內Linux&unix操作系統12個月內對于影響特別嚴重，易受攻擊的漏洞， 根據公司安全組的通告立

12、即整改完成Window操作系統6個月內Linux&unix操作系統12個月內表四：操作系統安全漏洞整改時效性要求實施根據安全漏洞生命周期中漏洞所處的不同狀態，將漏洞管理行為對應為預防、發現、消 減、發布和跟蹤等階段。1) 漏洞的預防? 針對集團內部自行開發的 We應用系統，應采用安全開發生命周期流程(SDL-IT), 在需求、設計、編碼、測試、上線等階段關注信息安全，提高應用系統的安全水 平。? 數據服務部應依據已發布的安全配置標準，對計算機操作系統進行安全加固、及 時安裝補丁、關閉不必要的服務、安裝安全防護產品等操作。2) 漏洞的發現? 安全服務部應根據本制度的要求對公司的應用系統、

13、操作系統和網絡設備進行安 全測試，及時發現信息系統存在的安全漏洞；? 安全服務部同時還應建立和維護公開的漏洞收集渠道，漏洞的來源應同時包括集 團內部、廠商及第三方安全組織；? 安全服務部應在規定時間內驗證自行發現或收集到的漏洞是否真實存在，并依據 DREA模型，確定漏洞的風險等級，并出具相應的解決建議。3) 漏洞的發布? 安全服務部依據及時性原則，把發現的安全漏洞通知到相關的負責人；? 漏洞的發布應遵循保密性原則，在漏洞未整改完成前，僅發送給信息系統涉及的 研發小組或管理小組，對敏感信息進行屏蔽。4) 漏洞的消減? 安全漏洞所涉及的各部門應遵循及時處理原則，根據本制度的要求在規定時間內 修復發現的安全漏洞；? 數據服務部在安裝廠商發布的操作系統及應用軟件補丁時，應保證補丁的有效性 和安全性，并在安裝之前進行測試，避免因更新補丁而對產品或系統帶來影響或 新的安全風險；? 在無法安裝補丁或更新版本的情況下，各部門應共同協商安全漏洞的解決措施。5) 漏洞的跟蹤? 安全服務部應建立漏洞跟蹤機制，對曾經出現的漏洞進行歸檔，并定期統計漏洞 的修補情況，以便確切的找出信息系統的短板，為安全策略的制定提供依據。? 安全服務部應定期對安全漏洞的管理情況、安全漏洞解決措施和實施效果進行檢 查和審計，包括： 預防措施是否落實到位，漏洞是否得到有效預防； 已發現的漏洞是否得到有效處置； 漏洞處理