48頁(yè)虹微公司治理文件信息系統(tǒng)安全漏洞評(píng)估及治理制度信息系統(tǒng)安全漏洞評(píng)估及治理制度公布××××–××–××實(shí)施公布××××–××–××實(shí)施公司公布名目\l“_TOC_250006“概況 2\l“_TOC_250005“1。1目的 21.2目的 錯(cuò)誤未定義書簽。\l“_TOC_250004“正文 3\l“_TOC_250003“2。1.術(shù)語(yǔ)定義 3\l“_TOC_250002“2.2.職責(zé)分工 3\l“_TOC_250001“。安全漏洞生命周期 4\l“_TOC_250000“。信息安全漏洞治理 42.4.12.4.22.4.4

原則 4風(fēng)險(xiǎn)等級(jí) 4評(píng)估范圍 5整改時(shí)效性 6實(shí)施 7例外處理 8檢查打算 8解釋 8附錄 8概況目的〔包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)〕的評(píng)估及治理，降低信息系統(tǒng)安全風(fēng)險(xiǎn)；2、明確信息系統(tǒng)安全漏洞評(píng)估和整改各方職責(zé)。適用范圍本制度適用于虹微公司治理的全部信息系統(tǒng),非虹微公司治理的信息系統(tǒng)可參照?qǐng)?zhí)行。正文術(shù)語(yǔ)定義Informationsecurity牢靠性等性質(zhì)。Informationsecurityvulnerability信息系統(tǒng)的安全造成損害，影響信息系統(tǒng)的正常運(yùn)行。Asset安全策略中，需要保護(hù)的對(duì)象，包括信息、數(shù)據(jù)和資源等等。Risk發(fā)生的概率和造成的影響進(jìn)展度量。信息系統(tǒng)〔Informationsystem〕應(yīng)用系統(tǒng)等。職責(zé)分工安全效勞部：建議。各研發(fā)部門環(huán)境信息和源代碼給安全效勞部進(jìn)展安全評(píng)估.數(shù)據(jù)效勞部本制度的要求供給最最全的操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的IP地址信息.安全漏洞生命周期階段:重現(xiàn)。漏洞的利用：利用漏洞對(duì)信息系統(tǒng)的保密性、完整性和可用性造成破壞的過(guò)程。洞不能被利用.漏洞的公開：通過(guò)公開渠道〔如網(wǎng)站、郵件列表等)公布漏洞信息的過(guò)程。信息安全漏洞治理原則信息安全漏洞治理遵循以下:分級(jí)原則：應(yīng)依據(jù)對(duì)業(yè)務(wù)影響程度,對(duì)安全漏洞進(jìn)展分級(jí)；同時(shí)對(duì)不同級(jí)別的安全漏洞執(zhí)行不同的處理要求；漏洞進(jìn)展整改時(shí)，準(zhǔn)時(shí)出具整改方案，準(zhǔn)時(shí)進(jìn)展研發(fā)或更補(bǔ)丁和加固，準(zhǔn)時(shí)消退漏洞與隱患；安全風(fēng)險(xiǎn)最小化原則:在處理漏洞信息時(shí)應(yīng)以信息系統(tǒng)的風(fēng)險(xiǎn)最小化為原則；,中敏感的信息進(jìn)展屏蔽。風(fēng)險(xiǎn)等級(jí)DREAD風(fēng)險(xiǎn)等級(jí)劃分.Risk=D+R+E+A+DRisk=D+R+E+A+DDREAD類別 等級(jí) 高〔3〕 中〔2) 低〔1〕DamagePotential潛在危害Reproducibility重復(fù)利用可能性Exploitability利用的困難程度Affectedusers影響的用戶范圍

操作；非法上傳文件等等攻擊者可以隨便再次攻擊初學(xué)者在短期內(nèi)能把握攻擊方法全部用戶，默認(rèn)配置，關(guān)鍵用戶

泄露敏感信息有時(shí)間或其他條件限制嫻熟的攻擊者才能完成這次攻擊局部用戶，非默認(rèn)配置

泄露其他信息攻擊者很難重復(fù)攻擊過(guò)程漏洞利用條件格外苛刻極少數(shù)用戶，匿名用戶Discoverability覺察的難易程度

漏洞很惹眼,攻擊條件很簡(jiǎn)潔獲得

在私有區(qū)域，局部人能覺察該漏洞看到,需要深入挖掘漏洞 極其困難說(shuō)明：每一項(xiàng)都有3個(gè)等級(jí)，對(duì)應(yīng)著權(quán)重，從而形成了一個(gè)矩陣。表一：安全漏洞等級(jí)評(píng)估模型最終得出安全漏洞風(fēng)險(xiǎn)等級(jí):計(jì)算得分計(jì)算得分安全漏洞風(fēng)險(xiǎn)等級(jí)低風(fēng)險(xiǎn)中風(fēng)險(xiǎn)高風(fēng)險(xiǎn)評(píng)估范圍

表二：風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)分?jǐn)?shù)自動(dòng)化工具為主,應(yīng)用系統(tǒng)層面評(píng)估以自動(dòng)化工具和手動(dòng)測(cè)試相結(jié)合。網(wǎng)絡(luò)全部的路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備；應(yīng)用系統(tǒng)層面評(píng)估的范圍為全部生產(chǎn)環(huán)境的應(yīng)用系統(tǒng),包括對(duì)互聯(lián)網(wǎng)開發(fā)的應(yīng)用系統(tǒng)以及內(nèi)網(wǎng)的應(yīng)用系統(tǒng).操作系統(tǒng)層面安全漏洞評(píng)估的周期為每季度一次，并出具漏洞評(píng)估報(bào)告。安全掃描。31.01。4b51.01.6c。安全效勞部應(yīng)定期跟進(jìn)安全漏洞的修復(fù)狀況，并對(duì)已修復(fù)的安全漏洞進(jìn)展驗(yàn)證。的具體信息、漏洞的解決建議等。整改時(shí)效性的差異。應(yīng)用系統(tǒng)安全漏洞整改時(shí)效性要求模型，和應(yīng)用系統(tǒng)的不同級(jí)別，應(yīng)用系統(tǒng)安全漏洞處理時(shí)效要求如下表，低風(fēng)險(xiǎn)安全漏洞不做強(qiáng)制性要求。整改的時(shí)效性應(yīng)用系統(tǒng)安全級(jí)別高級(jí)高風(fēng)險(xiǎn)漏洞5個(gè)工作日中風(fēng)險(xiǎn)安全漏洞10個(gè)工作日中級(jí)10個(gè)工作日10個(gè)工作日低級(jí)1個(gè)月內(nèi)1個(gè)月內(nèi)表三:應(yīng)用系統(tǒng)安全漏洞整改時(shí)效性要求操作系統(tǒng)安全漏洞整改時(shí)效性要求依據(jù)操作系統(tǒng)所處網(wǎng)絡(luò)區(qū)域的不同,操作系統(tǒng)的安全漏洞處理時(shí)效要求如下表,低風(fēng)險(xiǎn)安全漏洞不做強(qiáng)制性要求。所處網(wǎng)絡(luò)區(qū)域

整改的時(shí)效性高風(fēng)險(xiǎn)漏洞 中風(fēng)險(xiǎn)漏洞對(duì)外供給效勞區(qū)域 Window操作系統(tǒng)3個(gè)月內(nèi)Linux＆unix6對(duì)于影響特別嚴(yán)峻，易受攻擊的漏洞，依據(jù)公司安全組的通告馬上整改完成

Window操作系統(tǒng)3個(gè)月內(nèi)Linux＆unix操作系統(tǒng)6個(gè)月內(nèi)對(duì)內(nèi)供給效勞區(qū)域 Window操作系統(tǒng)6個(gè)月內(nèi)Linux&unix操作系統(tǒng)12個(gè)月內(nèi)公司安全組的通告馬上整改完成

Window操作系統(tǒng)6個(gè)月內(nèi)Linux＆unix操作系統(tǒng)12個(gè)月內(nèi)實(shí)施

表四：操作系統(tǒng)安全漏洞整改時(shí)效性要求減、公布和跟蹤等階段。漏洞的預(yù)防Web〔SDL-IT)，在需求、設(shè)計(jì)、編碼、測(cè)試、上線等階段關(guān)注信息安全，提高應(yīng)用系統(tǒng)的安全水平。數(shù)據(jù)效勞部應(yīng)依據(jù)已公布的安全配置標(biāo)準(zhǔn),安裝補(bǔ)丁、關(guān)閉不必要的效勞、安裝安全防護(hù)產(chǎn)品等操作。漏洞的覺察全測(cè)試，準(zhǔn)時(shí)覺察信息系統(tǒng)存在的安全漏洞；團(tuán)內(nèi)部、廠商及第三方安全組織；DREAD模型，確定漏洞的風(fēng)險(xiǎn)等級(jí)，并出具相應(yīng)的解決建議。漏洞的公布安全效勞部依據(jù)準(zhǔn)時(shí)性原則，把覺察的安全漏洞通知到相關(guān)的負(fù)責(zé)人;研發(fā)小組或治理小組，對(duì)敏感信息進(jìn)展屏蔽.漏洞的消減修復(fù)覺察的安全漏洞;的安全風(fēng)險(xiǎn);在無(wú)法安裝補(bǔ)丁或更版本的狀況下，各部門應(yīng)共同協(xié)商安全漏洞的解決措施.漏洞的跟蹤的修補(bǔ)狀況，以便精準(zhǔn)的找出信息系統(tǒng)的短板,為安全策略的制定供給依據(jù).查和審計(jì)，包括：①預(yù)防措施是否落實(shí)到位，漏洞是否得到有效預(yù)防；②已覺察的漏洞是否得到有效處置；