四川长虹虹微公司发布
信息系统安全漏洞评估及管理制度
四川长虹电器股份有限公司
虹微公司管理文件
1概况
1.1 目的
1、规范集团内部信息系统安全漏洞(包括操作系统、网络设备和应用系统)的评估及管理,降低信息系统安全风险;
2、明确信息系统安全漏洞评估和整改各方职责。
1.2 适用范围
本制度适用于虹微公司管理的所有信息系统,非虹微公司管理的信息系统可参照执行。
2正文
2.1. 术语定义
2.1.1. 信息安全 Information security
保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。
2.1.2. 信息安全漏洞 Information security vulnerability
信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体利用,就会对信息系统的安全造成损害,影响信息系统的正常运行。
2.1.3. 资产 Asset
安全策略中,需要保护的对象,包括信息、数据和资源等等。
2.1.4. 风险 Risk
资产的脆弱性利用给定的威胁,对信息系统造成损害的潜在可能。风险的危害可通过事件发生的概率和造成的影响进行度量。
2.1.5. 信息系统(Information system)
由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,本制度信息系统主要包括操作系统、网络设备以及应用系统等。
2.2. 职责分工
2.2.1. 安全服务部:
负责信息系统安全漏洞的评估和管理,漏洞修复的验证工作,并为发现的漏洞提供解决建议。
2.2.2. 各研发部门
研发部门负责修复应用系统存在的安全漏洞,并根据本制度的要求提供应用系统的测试环境
信息和源代码给安全服务部进行安全评估。
2.2.3. 数据服务部
web应用防护系统数据服务部负责修复生产环境和测试环境操作系统、网络设备存在的安全漏洞,并根据本制度的要求提供最新最全的操作系统和网络设备的IP地址信息。
2.3. 安全漏洞生命周期
依据信息安全漏洞从产生到消亡的整个过程,信息安全漏洞的生命周期可分为以下几个阶段:
a) 漏洞的发现:通过人工或自动的方法分析、挖掘出漏洞的过程,且该漏洞可被验证和重现。
b) 漏洞的利用:利用漏洞对信息系统的保密性、完整性和可用性造成破坏的过程。
c) 漏洞的修复:通过补丁、升级版本或配置策略等方法对漏洞进行修补的过程,使该漏洞不能被利用。
d) 漏洞的公开:通过公开渠道(如网站、邮件列表等)公布漏洞信息的过程。
2.4. 信息安全漏洞管理
2.4.1原则
信息安全漏洞管理遵循以下:
a) 分级原则:应根据对业务影响程度,对安全漏洞进行分级;同时对不同级别的安全漏洞执行不同的处理要求;
b) 及时性原则:安全服务部应及时把发现的漏洞发布给相关的负责人;各部门在对安全漏洞进行整改时,及时出具整改方案,及时进行研发或更新补丁和加固,及时消除漏洞与隐患;
c) 安全风险最小化原则:在处理漏洞信息时应以信息系统的风险最小化为原则;
d) 保密性原则:对于未修复前的安全漏洞,必须严格控制评估报告发放范围,对评估报告中敏感的信息进行屏蔽。
2.4.2风险等级
充分考虑漏洞的利用难易程度以及对业务的影响情况,采取DREAD模型对安全漏洞进行风险等级划分。
在量化风险的过程中,对每个威胁进行评分,并按照如下的公司计算风险值:
Risk = D + R + E + A + D
DREAD模型 | |||
类别 等级 | 高(3) | 中(2) | 低(1) |
Damage Potential 潜在危害 | 获取完全权限;执行管理员操作;非法上传文件等等 | 泄露敏感信息 | 泄露其他信息 |
Reproducibility 重复利用可能性 | 攻击者可以随意再次攻击 | 攻击者可以重复攻击,但有时间或其他条件限制 | 攻击者很难重复攻击过程 |
Exploitability 利用的困难程度 | 初学者在短期内能掌握攻击方法 | 熟练的攻击者才能完成这次攻击 | 漏洞利用条件非常苛刻 |
Affected users 影响的用户范围 | 所有用户,默认配置,关键用户 | 部分用户,非默认配置 | 极少数用户,匿名用户 |
Discoverability 发现的难易程度 | 漏洞很显眼,攻击条件很容易获得 | 在私有区域,部分人能看到,需要深入挖掘漏洞 | 发现该漏洞极其困难 |
说明:每一项都有3个等级,对应着权重,从而形成了一个矩阵。 | |||
表一:安全漏洞等级评估模型
最后得出安全漏洞风险等级:
计算得分 | 安全漏洞风险等级 |
5-7分 | 低风险 |
8-11分 | 中风险 |
12-15分 | 高风险 |
表二:风险等级对应分数
2.4.3评估范围
1)安全服务部应定期对信息系统进行例行的安全漏洞评估,操作系统层面的评估主要以自动化工具为主,应用系统层面评估以自动化工具和手动测试相结合。
2)操作系统层面评估的范围为所有生产系统的服务器;网络层面评估的范围为公司内部网络所有的路由器、交换机、防火墙等网络设备;应用系统层面评估的范围为所有生产环境的应
用系统,包括对互联网开发的应用系统以及内网的应用系统。
发表评论