軟件研發(fā)安全紅線管理細(xì)則

軟件研發(fā)安全紅線管理細(xì)則1概述1.1.目的為加強(qiáng)信息安全管理工作，規(guī)范員工安全操作行為，提供全員安全風(fēng)險(xiǎn)意識(shí)，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《某集團(tuán)數(shù)據(jù)安全規(guī)范（總綱）》、《某集團(tuán)（集團(tuán)）員工紀(jì)律制度》、《某集團(tuán)商業(yè)行為準(zhǔn)則》，特制定本管理細(xì)則。1.2.適用范圍本管理細(xì)則適用于某集團(tuán)旗下所有公司和關(guān)聯(lián)公司（以下簡稱“公司”）全體員工（含外包員工和實(shí)習(xí)生）。1.3.規(guī)范解釋本管理細(xì)則由某集團(tuán)安全部負(fù)責(zé)解釋和修訂。2安全紅線2.1安全紅線條例1、未經(jīng)授權(quán)入侵或盜用他人賬戶進(jìn)入公司計(jì)算機(jī)、服務(wù)器。場景示例：未經(jīng)授權(quán)盜用他人賬戶進(jìn)入公司計(jì)算機(jī)或服務(wù)器。利用漏洞入侵他人計(jì)算機(jī)或服務(wù)器。案例：某測(cè)試小二發(fā)現(xiàn)某敏感系統(tǒng)權(quán)限問題，未及時(shí)報(bào)告而利用該漏洞持續(xù)查看敏感信息并獲利。某小二使用自己域賬號(hào)登錄外包同學(xué)計(jì)算機(jī)，瀏覽非法信息，并下載查看違規(guī)信息。2、故意利用或干擾、破壞公司的系統(tǒng)資源。場景示例：在公司內(nèi)部故意傳播病毒蠕蟲木馬程序。公司內(nèi)部應(yīng)用系統(tǒng)故意執(zhí)行違規(guī)操作，如rm–fr/。使用公司資源攻擊外部網(wǎng)絡(luò)。使用公司系統(tǒng)資源制作、傳播、復(fù)制有害信息（如：涉政、涉黃、涉恐、涉暴等）。使用公司資源執(zhí)行其他違法違規(guī)操作。案例：某位銷售，給其他同學(xué)種植木馬，非法獲取客戶信息，大幅提升銷售業(yè)績。某開發(fā)小二使用測(cè)試服務(wù)器挖礦。某互聯(lián)網(wǎng)公司運(yùn)維工程師離職前對(duì)服務(wù)器執(zhí)行破壞性刪除操作。3、嚴(yán)禁私搭私建服務(wù)器或應(yīng)用。場景示例：私搭私建各種服務(wù)臨時(shí)對(duì)內(nèi)或?qū)ν馓峁┓?wù)（包括命令管道、跳板機(jī)、odpsgateway，統(tǒng)一接入層等）。私搭私建數(shù)據(jù)庫并存儲(chǔ)業(yè)務(wù)信息。未授權(quán)私搭釣魚應(yīng)用、WIFI。案例：某收購公司小二私搭redis開放至互聯(lián)網(wǎng)，被入侵后直接跳至集團(tuán)生產(chǎn)網(wǎng)。某運(yùn)維小二離線備份生產(chǎn)服務(wù)器信息至測(cè)試環(huán)境，導(dǎo)致密鑰泄露。4、未經(jīng)授權(quán)在公司應(yīng)用系統(tǒng)上配置特權(quán)賬戶、登錄通道或后門。場景示例：私自配置非授權(quán)的賬號(hào)權(quán)限。非授權(quán)開啟登錄通道或預(yù)留管理后門、webshell。案例：某運(yùn)維小二為運(yùn)維方便減少必要root權(quán)限申請(qǐng)流程，私自給某生產(chǎn)服務(wù)器添加root權(quán)限賬號(hào)。某開發(fā)小二為管理方便私自在生產(chǎn)服務(wù)器預(yù)留webshell并向互聯(lián)網(wǎng)開放，導(dǎo)致被入侵。5、故意繞過公司安全措施。場景示例：故意刪除審計(jì)日志（包含但不限于網(wǎng)絡(luò)、系統(tǒng)，應(yīng)用、數(shù)據(jù)庫，用戶行為日志等）。未經(jīng)授權(quán)或故意關(guān)閉公司必須部署的安全產(chǎn)品（如云殼、安騎士、STC…）。在服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)上故意修改安全配置導(dǎo)致安全措施降級(jí)。如開放管理后臺(tái)至互聯(lián)網(wǎng)、標(biāo)準(zhǔn)22端口映射80端口、修改賬號(hào)為弱口令等。私設(shè)代理、vpn隧道、ReverseSSHTunnel等向互聯(lián)網(wǎng)暴露內(nèi)部應(yīng)用。故意繞過安全策略訪問非授權(quán)應(yīng)用或服務(wù)器。案例：集團(tuán)極少數(shù)開發(fā)小二私自將代碼繞過Aone\STC流程并發(fā)布至生產(chǎn)網(wǎng)，導(dǎo)致大量安全漏洞未及時(shí)發(fā)現(xiàn)被入侵。某開發(fā)小二為管理方便，修改內(nèi)部應(yīng)用賬號(hào)為弱密碼，導(dǎo)致被入侵造成敏感信息泄露。某開發(fā)小二通過vpn隧道將內(nèi)部服務(wù)器與阿里云ECS打通，導(dǎo)致ECS被入侵后攻擊者跳轉(zhuǎn)至生產(chǎn)網(wǎng)。6、未按要求處理高危安全漏洞（bug）。場景示例：SOC高危漏洞修復(fù)超時(shí)且未例外申請(qǐng)報(bào)備。開發(fā)無報(bào)備帶已知高危漏洞（bug）發(fā)布。案例：暫無。請(qǐng)參考《網(wǎng)絡(luò)安全法》第六十條違反本法第二十二條第一款、第二款和第四十八條第一款規(guī)定，有下列行為之一的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處五萬元以上五十萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款：（一）設(shè)置惡意程序的；（二）對(duì)其產(chǎn)品、服務(wù)存在的安全缺陷、漏洞等風(fēng)險(xiǎn)未立即采取補(bǔ)救措施，或者未按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告的。第二十二條網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。2.2安全紅線違規(guī)認(rèn)定紅線違規(guī)認(rèn)定流程參考《某集團(tuán)員工紀(jì)律制度》相關(guān)規(guī)定。違規(guī)判定依據(jù)“是否對(duì)公司造成重大的經(jīng)濟(jì)損失或名譽(yù)損失”、“生產(chǎn)事故嚴(yán)重程度”、“是否有違規(guī)主觀動(dòng)機(jī)”、“是否有不當(dāng)獲利”等情況，由當(dāng)事人主管、當(dāng)事人部門M4/P9及以上主管、HR共同酌情裁定。公司應(yīng)在員工入職培訓(xùn)過程中開展安全紅線培訓(xùn)，并在日常工作過程中不斷宣貫，定期考核。公司應(yīng)根據(jù)實(shí)際情況不斷改進(jìn)和完善安全紅線要求。對(duì)于不在安全紅線規(guī)定中的特殊違規(guī)行為，公司因組織安全、法務(wù)合規(guī)和人力資源等部門討論審慎決定。管理人員應(yīng)在工作中做出正確的表率，確保其監(jiān)督管轄范圍內(nèi)的團(tuán)隊(duì)成員都能理解并實(shí)際遵守公司各項(xiàng)規(guī)章制度，無論何時(shí)何地都不得指示、默許、縱容、鼓勵(lì)員工以違反公司規(guī)章制度為代價(jià)達(dá)成任何業(yè)務(wù)目標(biāo)。如若其監(jiān)督管轄范圍內(nèi)的團(tuán)隊(duì)成員被認(rèn)定從事一項(xiàng)或多項(xiàng)嚴(yán)重違規(guī)行為，管理人員將因自身監(jiān)管職能的履行狀況、嚴(yán)重違規(guī)行為的情