午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、四川長虹虹微公司發布 實施 發布信息系統安全漏洞評估及管理制度四川長虹電器股份有限公司虹微公司管理文件目錄1概況21.1 目的21.2 目的22正文22.1. 術語定義22.2. 職責分工32.3. 安全漏洞生命周期32.4. 信息安全漏洞管理32.4.1原則32.4.2風險等級42.4.3評估范圍52.4.4整改時效性52.4.5實施63例外處理74檢查計劃85解釋86附錄81 概況1.1 目的1、規范集團內部信息系統安全漏洞（包括操作系統、網絡設備和應用系統）的評估及管理，降低信息系統安全風險；2、明確信息系統安全漏洞評估和整改各方職責。1.2 適用范圍本制度適用于虹微公司管理的所有信息系2、統，非虹微公司管理的信息系統可參照執行。2 正文2.1. 術語定義2.1.1. 信息安全 Information security保護、維持信息的保密性、完整性和可用性，也可包括真實性、可核查性、抗抵賴性、可靠性等性質。2.1.2. 信息安全漏洞 Information security vulnerability信息系統在需求、設計、實現、配置、運行等過程中，有意或無意產生的缺陷，這些缺陷以不同形式存在于計算機信息系統的各個層次和環節之中，一旦被惡意主體利用，就會對信息系統的安全造成損害，影響信息系統的正常運行。2.1.3. 資產 Asset安全策略中，需要保護的對象，包括信息、數據和資源等3、等。2.1.4. 風險 Risk資產的脆弱性利用給定的威脅，對信息系統造成損害的潛在可能。風險的危害可通過事件發生的概率和造成的影響進行度量。2.1.5. 信息系統（Information system）由計算機硬件、網絡和通訊設備、計算機軟件、信息資源、信息用戶和規章制度組成的以處理信息流為目的的人機一體化系統，本制度信息系統主要包括操作系統、網絡設備以及應用系統等。2.2. 職責分工2.2.1. 安全服務部：負責信息系統安全漏洞的評估和管理，漏洞修復的驗證工作，并為發現的漏洞提供解決建議。2.2.2. 各研發部門研發部門負責修復應用系統存在的安全漏洞，并根據本制度的要求提供應用系統的測試環4、境信息和源代碼給安全服務部進行安全評估。2.2.3. 數據服務部數據服務部負責修復生產環境和測試環境操作系統、網絡設備存在的安全漏洞，并根據本制度的要求提供最新最全的操作系統和網絡設備的IP地址信息。2.3. 安全漏洞生命周期依據信息安全漏洞從產生到消亡的整個過程，信息安全漏洞的生命周期可分為以下幾個階段：a) 漏洞的發現：通過人工或自動的方法分析、挖掘出漏洞的過程，且該漏洞可被驗證和重現。b) 漏洞的利用：利用漏洞對信息系統的保密性、完整性和可用性造成破壞的過程。c) 漏洞的修復：通過補丁、升級版本或配置策略等方法對漏洞進行修補的過程，使該漏洞不能被利用。d) 漏洞的公開：通過公開渠道（如網5、站、郵件列表等）公布漏洞信息的過程。2.4. 信息安全漏洞管理2.4.1 原則信息安全漏洞管理遵循以下：a) 分級原則：應根據對業務影響程度，對安全漏洞進行分級；同時對不同級別的安全漏洞執行不同的處理要求；b) 及時性原則：安全服務部應及時把發現的漏洞發布給相關的負責人；各部門在對安全漏洞進行整改時，及時出具整改方案，及時進行研發或更新補丁和加固，及時消除漏洞與隱患； c) 安全風險最小化原則：在處理漏洞信息時應以信息系統的風險最小化為原則；d) 保密性原則：對于未修復前的安全漏洞，必須嚴格控制評估報告發放范圍，對評估報告中敏感的信息進行屏蔽。2.4.2 風險等級充分考慮漏洞的利用難易程度以及6、對業務的影響情況，采取DREAD模型對安全漏洞進行風險等級劃分。在量化風險的過程中，對每個威脅進行評分，并按照如下的公司計算風險值：Risk = D + R + E + A + DDREAD模型類別 等級高(3)中(2)低(1)Damage Potential潛在危害獲取完全權限；執行管理員操作；非法上傳文件等等泄露敏感信息泄露其他信息Reproducibility重復利用可能性攻擊者可以隨意再次攻擊攻擊者可以重復攻擊，但有時間或其他條件限制攻擊者很難重復攻擊過程Exploitability利用的困難程度初學者在短期內能掌握攻擊方法熟練的攻擊者才能完成這次攻擊漏洞利用條件非常苛刻Affecte7、d users影響的用戶范圍所有用戶，默認配置，關鍵用戶部分用戶，非默認配置極少數用戶，匿名用戶Discoverability發現的難易程度漏洞很顯眼，攻擊條件很容易獲得在私有區域，部分人能看到，需要深入挖掘漏洞發現該漏洞極其困難說明：每一項都有3個等級，對應著權重，從而形成了一個矩陣。表一：安全漏洞等級評估模型最后得出安全漏洞風險等級：計算得分安全漏洞風險等級5-7分低風險8-11分中風險12-15分高風險表二：風險等級對應分數2.4.3 評估范圍1) 安全服務部應定期對信息系統進行例行的安全漏洞評估，操作系統層面的評估主要以自動化工具為主，應用系統層面評估以自動化工具和手動測試相結合。2)8、 操作系統層面評估的范圍為所有生產系統的服務器；網絡層面評估的范圍為公司內部網絡所有的路由器、交換機、防火墻等網絡設備；應用系統層面評估的范圍為所有生產環境的應用系統，包括對互聯網開發的應用系統以及內網的應用系統。3) 操作系統層面安全漏洞評估的周期為每季度一次，并出具漏洞評估報告。4) 應用系統層面的安全評估，新系統在第一個版本上線前，必須經過安全測試和源代碼安全掃描。5) 應用系統層面的安全評估，對于原有系統進行版本更新的，按照下面的規則進行評估： 如果本次版本中涉及信息安全漏洞整改的，在上線前必須經過安全測試； 如果本次版本中沒有涉及信息安全漏洞整改的依據下面的規則進行安全測試：a、應用9、系統安全級別為高級別的，每間隔3個版本進行一次安全測試，比如在1.0版本進行了安全測試，那下次測試在1.4版本需要進行安全測試；b、應用系統安全級別為中級或低級別的，每間隔5個版本進行一次安全測試，比如在1.0版本進行了安全測試，那下次測試在1.6版本需要進行安全測試；c、如果需要進行測試的版本為緊急版本，可以延后到下一個正常版本進行安全測試。6) 安全服務部應定期跟進安全漏洞的修復情況，并對已修復的安全漏洞進行驗證。7) 信息系統安全評估報告中應包括信息系統安全水平、漏洞風險等級的分布情況、漏洞的詳細信息、漏洞的解決建議等。2.4.4 整改時效性依據信息系統部署的不同方式和級別，以及發現的安10、全漏洞不同級別，整改時效性有一定的差異。2.4.4.1 應用系統安全漏洞整改時效性要求依據DREAD模型，和應用系統的不同級別，應用系統安全漏洞處理時效要求如下表,低風險安全漏洞不做強制性要求。應用系統安全級別整改的時效性高風險漏洞中風險安全漏洞高級5個工作日10個工作日中級10個工作日10個工作日低級1個月內1個月內表三：應用系統安全漏洞整改時效性要求2.4.4.2 操作系統安全漏洞整改時效性要求依據操作系統所處網絡區域的不同，操作系統的安全漏洞處理時效要求如下表，低風險安全漏洞不做強制性要求。所處網絡區域整改的時效性高風險漏洞中風險漏洞對外提供服務區域Window操作系統3個月內 Linu11、x&unix操作系統6個月內對于影響特別嚴重，易受攻擊的漏洞，根據公司安全組的通告立即整改完成Window操作系統3個月內 Linux&unix操作系統6個月內 對內提供服務區域Window操作系統6個月內 Linux&unix操作系統12個月內 對于影響特別嚴重，易受攻擊的漏洞，根據公司安全組的通告立即整改完成 Window操作系統6個月內 Linux&unix操作系統12個月內 表四：操作系統安全漏洞整改時效性要求2.4.5 實施根據安全漏洞生命周期中漏洞所處的不同狀態，將漏洞管理行為對應為預防、發現、消減、發布和跟蹤等階段。1) 漏洞的預防 針對集團內部自行開發的Web應用系統，應采用安12、全開發生命周期流程（SDL-IT），在需求、設計、編碼、測試、上線等階段關注信息安全，提高應用系統的安全水平。 數據服務部應依據已發布的安全配置標準，對計算機操作系統進行安全加固、及時安裝補丁、關閉不必要的服務、安裝安全防護產品等操作。2) 漏洞的發現 安全服務部應根據本制度的要求對公司的應用系統、操作系統和網絡設備進行安全測試，及時發現信息系統存在的安全漏洞； 安全服務部同時還應建立和維護公開的漏洞收集渠道，漏洞的來源應同時包括集團內部、廠商及第三方安全組織； 安全服務部應在規定時間內驗證自行發現或收集到的漏洞是否真實存在，并依據DREAD模型，確定漏洞的風險等級，并出具相應的解決建議。3)13、 漏洞的發布 安全服務部依據及時性原則，把發現的安全漏洞通知到相關的負責人； 漏洞的發布應遵循保密性原則，在漏洞未整改完成前，僅發送給信息系統涉及的研發小組或管理小組，對敏感信息進行屏蔽。4) 漏洞的消減 安全漏洞所涉及的各部門應遵循及時處理原則，根據本制度的要求在規定時間內修復發現的安全漏洞； 數據服務部在安裝廠商發布的操作系統及應用軟件補丁時，應保證補丁的有效性和安全性，并在安裝之前進行測試，避免因更新補丁而對產品或系統帶來影響或新的安全風險； 在無法安裝補丁或更新版本的情況下，各部門應共同協商安全漏洞的解決措施。5) 漏洞的跟蹤 安全服務部應建立漏洞跟蹤機制，對曾經出現的漏洞進行歸檔，并14、定期統計漏洞的修補情況，以便確切的找出信息系統的短板，為安全策略的制定提供依據。 安全服務部應定期對安全漏洞的管理情況、安全漏洞解決措施和實施效果進行檢查和審計，包括： 預防措施是否落實到位，漏洞是否得到有效預防； 已發現的漏洞是否得到有效處置； 漏洞處理過程是否符合及時處理和安全風險最小化等原則。3 例外處理如因特殊原因，不能按照規定的時效性要求完成漏洞修復的，可申請延期，申請延期必須經過研發總監或數據服務部部長和安全服務部部長審批。如因特殊原因，不能進行修復的，必須申請例外，按風險接受處理，申請例外必須經過研發總監或數據服務部總監和安全服務部總監審批。4 檢查計劃安全服務部每年組織1次對信息系統安全漏洞的評估和管理工作進行檢查。5 解釋本流程制度由安全服務部負責解釋。6 附錄 無