信息系統(tǒng)安全漏洞評估及管理制度V10講課講稿

1、四川長虹電器股份有限公司虹微公司管理文件信息系統(tǒng)安全漏洞評估及管理制度xxxx-xx-xx 發(fā)布xxxx-xx-xx 實(shí)施四川長虹虹微公司發(fā)布I目錄1 概況 3.1.1 目的 31.2 目的 錯誤 !未定義書簽。2 正文 3.2.1. 術(shù)語定義 32.2. 職責(zé)分工 42.3. 安全漏洞生命周期 42.4. 信息安全漏洞管理 42.4.1原則 42.4.2 風(fēng)險(xiǎn)等級 52.4.3 評估范圍 62.4.4 整改時(shí)效性 62.4.5 實(shí)施 73 例外處理 9.4 檢查計(jì)劃 9.5 解釋 9.6 附錄 9.1 概況1.1 目的1、規(guī)范集團(tuán)內(nèi)部信息系統(tǒng)安全漏洞(包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng))的評估

2、及管 理，降低信息系統(tǒng)安全風(fēng)險(xiǎn)；2、明確信息系統(tǒng)安全漏洞評估和整改各方職責(zé)。1.2 適用范圍 本制度適用于虹微公司管理的所有信息系統(tǒng)，非虹微公司管理的信息系統(tǒng)可參照執(zhí)行。2 正文2.1. 術(shù)語定義2.1.1. 信息安全 Information security 保護(hù)、維持信息的保密性、完整性和可用性，也可包括真實(shí)性、可核查性、抗抵賴性、 可靠性等性質(zhì)。2.1.2. 信息安全漏洞 Information security vulnerability 信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的缺陷，這些缺 陷以不同形式存在于計(jì)算機(jī)信息系統(tǒng)的各個層次和環(huán)節(jié)之中，一旦被惡意主體利

3、用，就會對 信息系統(tǒng)的安全造成損害，影響信息系統(tǒng)的正常運(yùn)行。2.1.3. 資產(chǎn) Asset 安全策略中，需要保護(hù)的對象，包括信息、數(shù)據(jù)和資源等等。2.1.4. 風(fēng)險(xiǎn) Risk 資產(chǎn)的脆弱性利用給定的威脅，對信息系統(tǒng)造成損害的潛在可能。風(fēng)險(xiǎn)的危害可通過事 件發(fā)生的概率和造成的影響進(jìn)行度量。2.1.5. 信息系統(tǒng)( Information system ) 由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的 以處理信息流為目的的人機(jī)一體化系統(tǒng)，本制度信息系統(tǒng)主要包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及 應(yīng)用系統(tǒng)等。2.2. 職責(zé)分工2.2.1. 安全服務(wù)部：負(fù)責(zé)信息系統(tǒng)安全漏洞的評估和

4、管理，漏洞修復(fù)的驗(yàn)證工作，并為發(fā)現(xiàn)的漏洞提供解決 建議。2.2.2. 各研發(fā)部門研發(fā)部門負(fù)責(zé)修復(fù)應(yīng)用系統(tǒng)存在的安全漏洞，并根據(jù)本制度的要求提供應(yīng)用系統(tǒng)的測試 環(huán)境信息和源代碼給安全服務(wù)部進(jìn)行安全評估。2.2.3. 數(shù)據(jù)服務(wù)部數(shù)據(jù)服務(wù)部負(fù)責(zé)修復(fù)生產(chǎn)環(huán)境和測試環(huán)境操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備存在的安全漏洞，并根據(jù) 本制度的要求提供最新最全的操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的 IP 地址信息。2.3. 安全漏洞生命周期依據(jù)信息安全漏洞從產(chǎn)生到消亡的整個過程，信息安全漏洞的生命周期可分為以下幾個 階段：a) 漏洞的發(fā)現(xiàn)：通過人工或自動的方法分析、 挖掘出漏洞的過程， 且該漏洞可被驗(yàn)證和 重現(xiàn)。b) 漏洞的利用：利用漏洞對信息

5、系統(tǒng)的保密性、完整性和可用性造成破壞的過程。c) 漏洞的修復(fù)： 通過補(bǔ)丁、升級版本或配置策略等方法對漏洞進(jìn)行修補(bǔ)的過程， 使該漏 洞不能被利用。d) 漏洞的公開：通過公開渠道(如網(wǎng)站、郵件列表等)公布漏洞信息的過程。2.4. 信息安全漏洞管理2.4.1 原則信息安全漏洞管理遵循以下：a) 分級原則：應(yīng)根據(jù)對業(yè)務(wù)影響程度，對安全漏洞進(jìn)行分級；同時(shí)對不同級別的安全漏 洞執(zhí)行不同的處理要求；b) 及時(shí)性原則：安全服務(wù)部應(yīng)及時(shí)把發(fā)現(xiàn)的漏洞發(fā)布給相關(guān)的負(fù)責(zé)人；各部門在對安全 漏洞進(jìn)行整改時(shí)，及時(shí)出具整改方案，及時(shí)進(jìn)行研發(fā)或更新補(bǔ)丁和加固，及時(shí)消除漏洞與隱 患；c）安全風(fēng)險(xiǎn)最小化原則：在處理漏洞信息時(shí)應(yīng)以

6、信息系統(tǒng)的風(fēng)險(xiǎn)最小化為原則；d）保密性原則：對于未修復(fù)前的安全漏洞，必須嚴(yán)格控制評估報(bào)告發(fā)放范圍，對評估報(bào) 告中敏感的信息進(jìn)行屏蔽。242風(fēng)險(xiǎn)等級充分考慮漏洞的利用難易程度以及對業(yè)務(wù)的影響情況，采取DREA模型對安全漏洞進(jìn)行風(fēng)險(xiǎn)等級劃分。在量化風(fēng)險(xiǎn)的過程中，對每個威脅進(jìn)行評分，并按照如下的公司計(jì)算風(fēng)險(xiǎn)值:Risk = D + R + E + A + DDREA模型一類別一_等級咼(3)中低Damage Pote ntial潛在危害獲取完全權(quán)限；執(zhí)行管理員 操作；非法上傳文件等等泄露敏感信息泄露其他信 息Reproducibility重復(fù)利用可能性攻擊者可以隨意再次攻擊攻擊者可以重復(fù)攻擊，但 有

7、時(shí)間或其他條件限制攻擊者很難 重復(fù)攻擊過 程Exploitability 利用的困難程度初學(xué)者在短期內(nèi)能掌握攻 擊方法熟練的攻擊者才能完成 這次攻擊漏洞利用條 件非?？量藺ffected users影響的用戶范圍所有用戶，默認(rèn)配置，關(guān)鍵 用戶部分用戶，非默認(rèn)配置極少數(shù)用戶，匿名用戶Discoverability發(fā)現(xiàn)的難易程度漏洞很顯眼，攻擊條件很容 易獲得在私有區(qū)域，部分人能 看到，需要深入挖掘漏洞發(fā)現(xiàn)該漏洞 極其困難說明：每一項(xiàng)都有 3個等級，對應(yīng)著權(quán)重，從而形成了一個矩陣。表一：安全漏洞等級評估模型最后得出安全漏洞風(fēng)險(xiǎn)等級:計(jì)算得分安全漏洞風(fēng)險(xiǎn)等級5-7分低風(fēng)險(xiǎn)8-11 分中風(fēng)險(xiǎn)12-15

8、 分咼風(fēng)險(xiǎn)表二：風(fēng)險(xiǎn)等級對應(yīng)分?jǐn)?shù)2.4.3 評估范圍1)2) 安全服務(wù)部應(yīng)定期對信息系統(tǒng)進(jìn)行例行的安全漏洞評估， 操作系統(tǒng)層面的評估主要以 自動化工具為主，應(yīng)用系統(tǒng)層面評估以自動化工具和手動測試相結(jié)合。3)4) 操作系統(tǒng)層面評估的范圍為所有生產(chǎn)系統(tǒng)的服務(wù)器； 網(wǎng)絡(luò)層面評估的范圍為公司內(nèi)部 網(wǎng)絡(luò)所有的路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備；應(yīng)用系統(tǒng)層面評估的范圍為所有生產(chǎn)環(huán)境 的應(yīng)用系統(tǒng)，包括對互聯(lián)網(wǎng)開發(fā)的應(yīng)用系統(tǒng)以及內(nèi)網(wǎng)的應(yīng)用系統(tǒng)。5)6) 操作系統(tǒng)層面安全漏洞評估的周期為每季度一次，并出具漏洞評估報(bào)告。7)8) 應(yīng)用系統(tǒng)層面的安全評估， 新系統(tǒng)在第一個版本上線前， 必須經(jīng)過安全測試和源代碼 安全掃

9、描。9) 應(yīng)用系統(tǒng)層面的安全評估， 對于原有系統(tǒng)進(jìn)行版本更新的， 按照下面的規(guī)則進(jìn)行評估： 如果本次版本中涉及信息安全漏洞整改的，在上線前必須經(jīng)過安全測試； 如果本次版本中沒有涉及信息安全漏洞整改的依據(jù)下面的規(guī)則進(jìn)行安全測試：a、應(yīng)用系統(tǒng)安全級別為高級別的，每間隔 3個版本進(jìn)行一次安全測試，比如在 1.0 版本進(jìn)行了安全測試，那下次測試在 1.4 版本需要進(jìn)行安全測試；b、 應(yīng)用系統(tǒng)安全級別為中級或低級別的，每間隔5個版本進(jìn)行一次安全測試，比如 在 1.0 版本進(jìn)行了安全測試，那下次測試在 1.6 版本需要進(jìn)行安全測試；c、如果需要進(jìn)行測試的版本為緊急版本，可以延后到下一個正常版本進(jìn)行安全測試

10、。10)11) 安全服務(wù)部應(yīng)定期跟進(jìn)安全漏洞的修復(fù)情況，并對已修復(fù)的安全漏洞進(jìn)行驗(yàn)證。12) 信息系統(tǒng)安全評估報(bào)告中應(yīng)包括信息系統(tǒng)安全水平、 漏洞風(fēng)險(xiǎn)等級的分布情況、 漏洞 的詳細(xì)信息、漏洞的解決建議等。2.4.4 整改時(shí)效性依據(jù)信息系統(tǒng)部署的不同方式和級別，以及發(fā)現(xiàn)的安全漏洞不同級別，整改時(shí)效性有一 定的差異。精品文檔245.2 應(yīng)用系統(tǒng)安全漏洞整改時(shí)效性要求依據(jù)DREA模型，和應(yīng)用系統(tǒng)的不同級別，應(yīng)用系統(tǒng)安全漏洞處理時(shí)效要求如下表,低風(fēng)險(xiǎn)安全漏洞不做強(qiáng)制性要求。應(yīng)用系統(tǒng)安全級別整改的時(shí)效性高風(fēng)險(xiǎn)漏洞中風(fēng)險(xiǎn)安全漏洞高級5個工作日10個工作日中級10個工作日10個工作日低級1個月內(nèi)1個月內(nèi)表三

11、：應(yīng)用系統(tǒng)安全漏洞整改時(shí)效性要求245.3 操作系統(tǒng)安全漏洞整改時(shí)效性要求依據(jù)操作系統(tǒng)所處網(wǎng)絡(luò)區(qū)域的不同，操作系統(tǒng)的安全漏洞處理時(shí)效要求如下表，低風(fēng)險(xiǎn) 安全漏洞不做強(qiáng)制性要求。所處網(wǎng)絡(luò)區(qū)域整改的時(shí)效性高風(fēng)險(xiǎn)漏洞中風(fēng)險(xiǎn)漏洞對外提供服務(wù)區(qū)域Window操作系統(tǒng)3個月內(nèi)Linux&unix 操作系統(tǒng)6個月內(nèi) 對于影響特別嚴(yán)重，易受攻擊的漏洞， 根據(jù)公司安全組的通告立即整改完成Window操作系統(tǒng)3個月內(nèi)Linux&unix操作系統(tǒng)6個月內(nèi)對內(nèi)提供服務(wù)區(qū)域Window操作系統(tǒng)6個月內(nèi)Linux&unix操作系統(tǒng)12個月內(nèi)對于影響特別嚴(yán)重，易受攻擊的漏洞， 根據(jù)公司安全組的通告立

12、即整改完成Window操作系統(tǒng)6個月內(nèi)Linux&unix操作系統(tǒng)12個月內(nèi)表四：操作系統(tǒng)安全漏洞整改時(shí)效性要求實(shí)施根據(jù)安全漏洞生命周期中漏洞所處的不同狀態(tài)，將漏洞管理行為對應(yīng)為預(yù)防、發(fā)現(xiàn)、消 減、發(fā)布和跟蹤等階段。1) 漏洞的預(yù)防? 針對集團(tuán)內(nèi)部自行開發(fā)的 We應(yīng)用系統(tǒng)，應(yīng)采用安全開發(fā)生命周期流程(SDL-IT), 在需求、設(shè)計(jì)、編碼、測試、上線等階段關(guān)注信息安全，提高應(yīng)用系統(tǒng)的安全水 平。? 數(shù)據(jù)服務(wù)部應(yīng)依據(jù)已發(fā)布的安全配置標(biāo)準(zhǔn)，對計(jì)算機(jī)操作系統(tǒng)進(jìn)行安全加固、及 時(shí)安裝補(bǔ)丁、關(guān)閉不必要的服務(wù)、安裝安全防護(hù)產(chǎn)品等操作。2) 漏洞的發(fā)現(xiàn)? 安全服務(wù)部應(yīng)根據(jù)本制度的要求對公司的應(yīng)用系統(tǒng)、

13、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行安 全測試，及時(shí)發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞；? 安全服務(wù)部同時(shí)還應(yīng)建立和維護(hù)公開的漏洞收集渠道，漏洞的來源應(yīng)同時(shí)包括集 團(tuán)內(nèi)部、廠商及第三方安全組織；? 安全服務(wù)部應(yīng)在規(guī)定時(shí)間內(nèi)驗(yàn)證自行發(fā)現(xiàn)或收集到的漏洞是否真實(shí)存在，并依據(jù) DREA模型，確定漏洞的風(fēng)險(xiǎn)等級，并出具相應(yīng)的解決建議。3) 漏洞的發(fā)布? 安全服務(wù)部依據(jù)及時(shí)性原則，把發(fā)現(xiàn)的安全漏洞通知到相關(guān)的負(fù)責(zé)人；? 漏洞的發(fā)布應(yīng)遵循保密性原則，在漏洞未整改完成前，僅發(fā)送給信息系統(tǒng)涉及的 研發(fā)小組或管理小組，對敏感信息進(jìn)行屏蔽。4) 漏洞的消減? 安全漏洞所涉及的各部門應(yīng)遵循及時(shí)處理原則，根據(jù)本制度的要求在規(guī)定時(shí)間內(nèi) 修復(fù)發(fā)現(xiàn)的安全漏洞；? 數(shù)據(jù)服務(wù)部在安裝廠商發(fā)布的操作系統(tǒng)及應(yīng)用軟件補(bǔ)丁時(shí)，應(yīng)保證補(bǔ)丁的有效性 和安全性，并在安裝之前進(jìn)行測試，避免因更新補(bǔ)丁而對產(chǎn)品或系統(tǒng)帶來影響或 新的安全風(fēng)險(xiǎn)；? 在無法安裝補(bǔ)丁或更新版本的情況下，各部門應(yīng)共同協(xié)商安全漏洞的解決措施。5) 漏洞的跟蹤? 安全服務(wù)部應(yīng)建立漏洞跟蹤機(jī)制，對曾經(jīng)出現(xiàn)的漏洞進(jìn)行歸檔，并定期統(tǒng)計(jì)漏洞 的修補(bǔ)情況，以便確切的找出信息系統(tǒng)的短板，為安全策略的制定提供依據(jù)。? 安全服務(wù)部應(yīng)定期對安全漏洞的管理情況、安全漏洞解決措施和實(shí)施效果進(jìn)行檢 查和審計(jì)，包括： 預(yù)防措施是否落實(shí)到位，漏洞是否得到有效預(yù)防； 已發(fā)現(xiàn)的漏洞是否得到有效處置； 漏洞處理