附件信息系統(tǒng)安全漏洞管理規(guī)范第一章總則為規(guī)范我行信息系統(tǒng)安全漏洞的發(fā)現(xiàn)、評估及處理過程，及時發(fā)現(xiàn)安全漏洞，加快漏洞處理響應時間，及時消除安全隱患，特制訂本規(guī)范。本規(guī)范適用于我行所有信息系統(tǒng)，包括但不限于：（一）應用系統(tǒng)：我行所有應用系統(tǒng)，包括自主開發(fā)和外購系統(tǒng)，系統(tǒng)類型包括系統(tǒng)、移動終端、小程序等。（二）基礎組件：為我行提供基礎服務的系統(tǒng)或者硬件設備，包括但不限于：操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡設備、安全設備等。名詞定義（一）漏洞：指在硬件、軟件、協(xié)議的具體實現(xiàn)、系統(tǒng)安全策略上存在的缺陷或安全管理存在的隱患，使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)；（二）信息安全工單：指處理通過安全測試、評審、安全掃描、人工檢查、安全審計等途徑發(fā)現(xiàn)的，未對信息系統(tǒng)的穩(wěn)定運營造成影響但需要采取相應措施進行處置的信息安全潛在風險的流程單。（三）DMZ區(qū)：非軍事化區(qū)，部署互聯(lián)網(wǎng)前置服務器所在區(qū)域，DMZ為生產(chǎn)前置與互聯(lián)網(wǎng)通訊的邊界區(qū)域。本規(guī)范適用于我行各部門。第二章漏洞評級漏洞根據(jù)危害程度、影響范圍、受影響業(yè)務類別等多維度進行評級，分為嚴重漏洞、高危漏洞、中危漏洞、低危漏洞共四類，詳細評級標準見附件一。信息系統(tǒng)漏洞發(fā)現(xiàn)包括以下途徑：（一）信息科技部信息安全中心通過滲透性測試結果及提供安全評審意見；（二）信息科技部信息安全中心通過安全評估、安全審計和現(xiàn)場檢查等方式發(fā)現(xiàn)的安全管理漏洞；（三）在授權的情況下我行內(nèi)部使用安全評估工具掃描的結果；（四）普通用戶通過正規(guī)途徑的上報告知，如通過安全應急響應中心及我行內(nèi)部渠道上報的漏洞；（五）來自供應商、安全廠商或外部組織發(fā)布的漏洞通知，如銀保監(jiān)會、人民銀行、公安部、網(wǎng)信辦等。第三章漏洞處理流程及實效要求漏洞處理通過信息安全工單進行跟進，對應不同層面的漏洞，相應處理負責人對應關系如下：漏洞類型處理負責人應用系統(tǒng)漏洞信息科技部研發(fā)小組負責人基礎組件漏洞信息科技部運行中心負責人安全管理漏洞各部門負責人對于發(fā)現(xiàn)的安全漏洞，信息科技部信息安全中心將漏洞的風險等級、詳細信息描述與修復方案通知到處理負責人，處理負責人應在2個自然日內(nèi)確認漏洞的影響范圍、整改修復計劃，并在下表中要求的處理時效內(nèi)完成漏洞整改修復。因特殊情況無法在要求的時效內(nèi)完成整改，處理負責人需提前提交延期申請及修復計劃，由信息科技部信息安全中心負責人、信息科技部總經(jīng)理及首席信息官審批。對應不同層面的漏洞，修復時效要求如下：（一）應用系統(tǒng)漏洞修復時效要求：漏洞等級修復時效嚴重2天高危7天中危14天（二）基礎組件漏洞修復時效要求：漏洞等級互聯(lián)網(wǎng)區(qū)生產(chǎn)區(qū)開發(fā)測試區(qū)管理區(qū)外聯(lián)區(qū)辦公區(qū)嚴重3天7天14天30天7天30天高7天14天21天90天14天90天中21天28天42天180天28天180天備注：1.基礎組件包括操作系統(tǒng)、存儲、數(shù)據(jù)庫、網(wǎng)絡、中間件等提供基礎服務的系統(tǒng)或硬件設施。2.低風險漏洞根據(jù)實際情況確定是否修復及修復時間。3.如無特別說明，“天”指的是“自然日”。（三）安全管理漏洞修復實效要求漏洞等級修復時效嚴重7天高危14天中危28天第四章職責分工信息科技部信息安全中心職責：（一）發(fā)現(xiàn)我行信息系統(tǒng)、相關的基礎組件和安全管理的漏洞，及時將發(fā)現(xiàn)的漏洞轉(zhuǎn)交相關部門做修復處理，并提供合理可行的修復方案；（二）評估外部渠道獲取的漏洞對我行的影響，及時將漏洞轉(zhuǎn)交相關部門做修復處理，并提供可行的修復方案。（三）對本規(guī)范的執(zhí)行情況進行檢查，確保所有漏洞都按照既定流程進行了有效的處理。信息科技部運行中心職責：負責我行操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡設備等基礎組件安全漏洞的修復工作，包括：（一）維護我行信息系統(tǒng)所有設備（包括虛擬機）和信息資產(chǎn)列表，能夠根據(jù)漏洞描述迅速定位受影響設備，評估影響范圍；（二）根據(jù)信息科技部信息安全中心提供的掃描報告或漏洞描述，制定修復工作日程，按照本規(guī)范第三章時效要求進行整改修復。（三）如確實存在特殊原因無法按時完成修復的，應在修復截止日期前向信息科技部信息安全中心申請延期，并共同協(xié)商延后的修復時間和排期。各信息科技部研發(fā)小組職責：負責我行各應用系統(tǒng)層面漏洞的修復工作，包括：（一）根據(jù)信息科技部信息安全中心提供的掃描報告或漏洞描述，制定修復工作日程，按照本規(guī)范第三章時效要求進行整改修復；（二）如確實存在特殊原因無法按時完成修復的，應在修復截止日期前向信息科技部信息安全中心申請延期，并共同協(xié)商延后的修復時間和排期。第五章處罰規(guī)定對出現(xiàn)嚴重違反本管理規(guī)范的違規(guī)行為而引發(fā)信息安全事件或令我行遭受名譽、經(jīng)濟等損失的，將視其所造成的影響或損失，依據(jù)行內(nèi)相關處罰規(guī)范，對相關責任人進行處罰。第六章附則本規(guī)范由信息科技部制定、修改并負責解釋。本規(guī)范自發(fā)布之日起施行。附件：1.漏洞評級標準附件-1漏洞評級標準指標名稱詳細說明嚴重漏洞1.直接獲取權限的漏洞（服務器權限、重要產(chǎn)品客戶端權限），包括但不限于遠程任意命令執(zhí)行、上傳Webshell、可利用遠程緩沖區(qū)溢出、可利用的ActiveX堆棧溢出、可利用瀏覽器Useafterfree漏洞、可利用遠程內(nèi)核代碼執(zhí)行漏洞以及其它因邏輯問題導致的可利用的遠程代碼執(zhí)行漏洞；2.直接導致嚴重的信息泄漏漏洞，包括但不限于重要DB的SQL注入漏洞；3.直接導致嚴重影響的邏輯漏洞。高危漏洞1.能直接盜取用戶身份信息的漏洞，包括重要業(yè)務（如手機銀行、微信銀行等）的重點頁面的存儲型XSS漏洞、普通站點的SQL注入漏洞；2.越權訪問，包括但不限于敏感管理后臺登錄；3.高風險的信息泄漏漏洞，包括但不限于可直接利用的敏感數(shù)據(jù)泄漏；4.本地任意代碼執(zhí)行，包括但不限于本地可利用的堆棧溢出、UAF、Doublefree、Formatstring、本地提權、文件關聯(lián)的DLL劫持（不包括加載不存在的DLL文件及加載正常DLL未校驗合法性）以及其它邏輯問題導致的本地代碼執(zhí)行漏洞；5.直接獲取客戶端權限的漏洞，包括但不限于遠程任意命令執(zhí)行、遠程緩沖區(qū)溢出、可利用的ActiveX堆棧溢出、瀏覽器Useafterfree漏洞、遠程內(nèi)核代碼執(zhí)行漏洞以及其它因邏輯問題導致的遠程代碼執(zhí)行漏洞；6.可獲取敏感信息或者執(zhí)行敏感操作的重要客戶端產(chǎn)品（例如手機銀行APP）的XSS漏洞。中危漏洞1.需交互才能獲取用戶身份信息的漏洞，包括但不限于反射型XSS（包括反射型DOM-XSS）、JSONHijacking、重要敏感操作的CSRF、普通業(yè)務的存儲型XSS；2.遠程應用拒絕服務漏洞、敏感信息泄露、內(nèi)核拒絕服務漏洞、可獲取敏感信息或者執(zhí)行敏感操作的客戶端產(chǎn)品的XSS漏洞；3.普通信息泄漏漏洞，包括但不限于客戶端明文存儲密碼、密碼明文傳輸、包含敏感信息的源代碼壓縮包泄漏。低危漏洞1.只在特定非流行瀏覽器環(huán)境下（如IE6等）才能獲取用戶身份信息的漏洞，包括但不限于反射型XSS（包括反射型DOM-XSS）、普通業(yè)務的存儲型XSS等；2.輕微信息泄漏漏洞，包括但不限于路徑泄漏、SVN文件泄漏、Phpinfo、Logcat敏感信息泄漏；3）PC客戶端及移動客戶端本地拒絕服務漏洞，包括但不限于組件權限導致的本地拒絕服務漏洞；4.越權訪問，包括但不限于繞過客戶端主動防御，URL跳轉(zhuǎn)漏洞、繞過惡意網(wǎng)址檢測