信息系统安全漏洞评估及管理制度V10
CISP考试(习题卷1)
CISP考试(习题卷1)第1部分:单项选择题,共94题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]制定应急响应策略主要需要考虑A)系统恢复能力等级划分B)系统恢复资源的要求C)费用考虑D)人员考虑答案:D解析:2.[单选题]信息安全风险评估师信息安全风险管理工作中的重要环节。
在《关于开展信息安全 风险评估工作的意见》(国信办[2006]5 号)中,指出了风险评估分为自评估和检 查评估两种形式,并对两种工作形式提出了有关工作原则和要求。
下面选项中描述 错误的是?A)自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行 的风险评估B)检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的 风险评估C)信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补 充D)自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个, 并坚持使用答案:D解析:3.[单选题]区别脆弱性评估和渗透测试是脆弱性评估A)检查基础设施并探测脆弱性,然而穿透性测试目的在于通过脆弱性检测其可能带来的损失B)和渗透测试为不同的名称但是同一活动C)是通过自动化工具执行,而渗透测试是一种完全的手动过程D)是通过商业工具执行,而渗透测试是执行公共进程答案:A解析:4.[单选题]某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址,但是该网 络内有 15 台个人计算机,这些个人计算机不会同时开机并连接互联网。
为解决公司员 工的上网问题,公司决定将这 10 个互联网地址集中起来使用,当任意一台个人计算机 开机并连接网络时,管理中心从这 10 个地址中任意取出一个尚未分配的 IP 地址分配给 这个人的计算机。
他关机时,管理中心将该地为收回,并重新设置为未分配。
可见,只 要同时打开的个人计算机数量少于或等于可供分配的 IP 地址,那么,每台个人计算机 可以获取一个 IP 地址,并实现与互联网的连接。
信息网络系统漏洞检测评估及修补
软件安装时的默认配置问题 , 类似于 F'服务器 I P 的 匿名 帐号 、 Q MSS L数 据 库 安 装 时 的默 认 管 理
员帐号 S A及空 口令 的问题 , 都会对信息安全造 成极大危害 。
可以看 出, 漏洞的来源极为广泛 , 即使对系统
计 中如果有缺陷, 无论实现的方法多么完美 , 都存
5 2 利用 C E I 修复 漏洞 . V D号
评 估分值
8~1 O
5 ~8
当利用 各种 方法发 现漏洞后 , 以利 用其 可 C EI , V D号 登录漏洞的公开资源库 , 根据公开资 源提供的方法进行漏洞修补。
例如 , 用漏 洞扫 描工具 扫描一 台主机 , 到一 得
个 “ r l多 个 P / Q Oa e c L S L注 入 漏 洞 ” 目前 较 有 影 ,
1~5
0 ~1
响的漏洞 扫描 工具 皆为 C E兼容 产 品 , V 它会 对这 个 漏洞 提供 一个 C E I 号 C E一20 V D V 04—17 , 30 根 据 此 I 号 登 录 C E 官 方 网 站 ht:/ D V t / p
中图分类号 :T 3 30 2 P 9 .7 文献标识码 :B 文章编号 :10 0 6—89 (0 10 0 6 0 18 2 1 )4— 0 2— 4
E au t n a dM ane a c fIfr t n N t r ytm un r bl y v lai n itn n eo o mai ewo kS s o n o e V le a it i
海
电
力
w w ce m t .r ) w . v. ie og ; r
第3 0卷
网络漏洞风险等级评估原则与主机漏洞风险 等级评估原则一样 , 以漏洞 的危险等级评定标 都 准的分值计算 为基础, 也分为 4个等级 : 常危 非 险、 比较危险、 比较安全 、 非常安全 , 8分以上为非 常危险 , 系统极为脆弱 , 需要立即进行漏洞修补 , 其等级评估见表 4 。
企业信息安全风险评估方案
企业信息安全风险评估方案知识域:信息安全风险评估•:•知识子域:风险评估流程和方法■掌握国家对开展风险评估工作的政策要求■理解风险评估、检查评估和等级保护测评之间的关系掌握风险评估的实施流程:风险评估准备、资产识别、威胁评估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记录-理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点■掌握典型风险计算方法:年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具:风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号)中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理〃国家对开展风险评估工作的政2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》(国信办[2006 】5号文)中明确规定了风险评估工作的相关要求:风险评估的基本内容和原则开展风险评估工作的有关安排风险评估工作的基本要求K信息安全风险评估工作应当贯穿信息系统全生命周期。
在信息系统规划设计阶段,通过信息安全风险评估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施”从而避免产生欠保护或过保护的情况。
2、在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。
3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化,会不断出现新的信息安全风险,因此,在信息系统的运行阶段,应当定期逬行信息安全风险评估,以检验安全措施的有效性以及对安全环境的适应性。
当安全形势发生重大变化或信息系统使命有重大变更时,应及时逬行信息安全风险评估。
银河麒麟高级服务器操作系统V10 产品白皮书
银河麒麟高级服务器操作系统V10产品白皮书麒麟软件有限公司2021年11月目录1概述 (3)1.1时代背景 (3)1.2关于麒麟 (3)2产品介绍 (5)2.1产品简介 (5)2.1.1银河麒麟高级服务器操作系统V10新特性 (6)2.1.2同源策略 (8)2.1.3产品维护周期 (9)2.2产品特性与优势 (9)2.2.1性能与可靠性 (9)2.2.2系统安全管理 (11)2.2.3数据安全管理 (16)2.3配套扩展软件 (17)2.3.1高可用集群软件 (17)2.3.2虚拟化管理平台 (19)2.4系统主要功能及服务 (21)2.4.1Web服务 (21)2.4.2邮件服务 (21)2.4.3文件打印服务 (22)2.4.4域名解析服务 (22)2.4.5FTP服务 (23)2.4.6代理服务 (23)2.4.7SSH服务 (23)2.4.8DHCP服务 (24)2.4.9NFS服务 (24)2.4.10数据库服务 (25)2.4.11远程管理 (25)I2.4.12容器虚拟化 (25)2.5产品技术指标 (25)3生态适配 (30)3.1服务器整机适配部分列表 (30)3.2数据库适配部分列表 (31)3.3中间件适配部分列表 (31)4应用场景 (33)4.1海量数据管理 (33)4.2网络业务系统支撑 (34)4.3应用案例 (34)5开发环境与工具 (36)5.1系统开发环境 (36)5.2构造工具 (36)5.3调试器 (36)6技术服务 (38)7结束语 (39)1.1时代背景操作系统(OperatingSystem,简称OS)是承载各种信息设备和软件应用运行的基础平台,是配置在计算机硬件上的第一层软件。
它是一组控制和管理计算机硬件和软件资源,合理地对各类作业进行调度以及方便用户的程序集合。
操作系统是用来对整个计算机系统的硬件和软件资源进行配置和管理,控制所有应用程序运行,提供人机交互的平台,是计算机工作的灵魂,CPU、数据库、办公软件、中间件、应用软件等需要与操作系统深度适配。
网络安全管理员技师习题库(含答案)
网络安全管理员技师习题库(含答案)一、单选题(共40题,每题1分,共40分)1.Linux下常用以下哪个命令来查看与目标之间的路由情况()。
A、TracerouteB、TracertC、PingD、Nslookup正确答案:A2.下列哪一项最准确地描述了定量风险分析?()A、一种将潜在的损失以及进行严格分级的分析方法B、一种基于主观判断的风险分析方法C、在风险分析时,将货币价值赋给信息资产D、通过基于场景的分析方法来研究不同的安全威胁正确答案:C3.可研及立项审批环节,()按照厂家意愿申报项目。
A、应该B、必须C、可以D、严禁正确答案:D4.在正常情况下,关机后CMOS中的信息将()。
A、丢失B、全部清空C、不会丢失D、无法确定正确答案:C5.将一个Word文档打开,修改后存入另一个文件夹,最简便有效的办法是()。
A、点击“文件”菜单中的“保存”命令B、点击“文件”菜单中的“另存为”命令C、点击工具栏上的“保存”按钮D、只能将此文档复制到一新的文档再保存正确答案:B6.信息安全从总体上可以分成5个层次,()是信息安全中研究的关键点。
A、网络安全B、密码技术C、安全协议D、系统安全正确答案:B7.哈希算法MD5的摘要长度为()A、64位B、128位C、256位D、512位正确答案:B8.在企业网络中应合理部署入侵检测系统,入侵检测系统要求覆盖()与主要服务器。
A、主要网络边界B、重要网络接口C、网络出口D、重要网络设备正确答案:A9.CD-R光盘属于()。
A、一次性写入可重复读取光盘B、多次写入可重复读取光盘C、不可写入可重复读取光盘D、可以写入不可读取光盘正确答案:A10.信息化建设和信息安全建设的关系应当是:A、信息化建设的结束就是信息安全建设的开始B、信息化建设和信息安全建设应同步规划、同步实施C、信息化建设和信息安全建设是交替进行的,无法区分谁先谁后D、以上说法都正确正确答案:B11.linux操作系统卸载文件系统的命令为()。
信息安全风险评估报告
附件:国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称:项目建设单位:风险评估单位:年月日目录一、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息1.1.2 建设单位基本信息工程建设牵头部门工程建设参与部门如有多个参与部门;分别填写上1.1.3承建单位基本信息如有多个承建单位;分别填写下表..1.2 风险评估实施单位基本情况二、风险评估活动概述2.1 风险评估工作组织管理描述本次风险评估工作的组织体系含评估人员构成、工作原则和采取的保密措施..2.2 风险评估工作过程工作阶段及具体工作内容.2.3 依据的技术标准及相关法规文件2.4 保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件;以及可能的限制条件..三、评估对象3.1 评估对象构成与定级3.1.1 网络结构文字描述网络构成情况、分区情况、主要功能等;提供网络拓扑图..3.1.2 业务应用文字描述评估对象所承载的业务;及其重要性..3.1.3 子系统构成及定级描述各子系统构成..根据安全等级保护定级备案结果;填写各子系统的安全保护等级定级情况表:各子系统的定级情况表3.2 评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况;分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施;以及等级保护的测评结果..根据需要;以下子目录按照子系统重复..3.2.1XX子系统的等级保护措施根据等级测评结果;XX子系统的等级保护管理措施情况见附表一..根据等级测评结果;XX子系统的等级保护技术措施情况见附表二..3.2.2子系统N的等级保护措施四、资产识别与分析4.1 资产类型与赋值4.1.1资产类型按照评估对象的构成;分类描述评估对象的资产构成..详细的资产分类与赋值;以附件形式附在评估报告后面;见附件3资产类型与赋值表..4.1.2资产赋值填写资产赋值表..资产赋值表4.2 关键资产说明在分析被评估系统的资产基础上;列出对评估单位十分重要的资产;作为风险评估的重点对象;并以清单形式列出如下:关键资产列表五、威胁识别与分析对威胁来源内部/外部;主观/不可抗力等、威胁方式、发生的可能性;威胁主体的能力水平等进行列表分析..5.1 威胁数据采集5.2 威胁描述与分析依据威胁赋值表;对资产进行威胁源和威胁行为分析..5.2.1 威胁源分析填写威胁源分析表..5.2.2 威胁行为分析填写威胁行为分析表..5.2.3 威胁能量分析5.3 威胁赋值填写威胁赋值表..六、脆弱性识别与分析按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析..6.1 常规脆弱性描述6.1.1 管理脆弱性6.1.2 网络脆弱性6.1.3系统脆弱性6.1.4应用脆弱性6.1.5数据处理和存储脆弱性6.1.6运行维护脆弱性6.1.7灾备与应急响应脆弱性6.1.8物理脆弱性6.2脆弱性专项检测6.2.1木马病毒专项检查6.2.2渗透与攻击性专项测试6.2.3关键设备安全性专项测试6.2.4设备采购和维保服务专项检测6.2.5其他专项检测包括:电磁辐射、卫星通信、光缆通信等..6.2.6安全保护效果综合验证6.3 脆弱性综合列表填写脆弱性分析赋值表..七、风险分析7.1 关键资产的风险计算结果填写风险列表风险列表7.2 关键资产的风险等级7.2.1 风险等级列表填写风险等级表资产风险等级表7.2.2 风险等级统计资产风险等级统计表7.2.3 基于脆弱性的风险排名基于脆弱性的风险排名表7.2.4 风险结果分析八、综合分析与评价九、整改意见附件1:管理措施表附件2:技术措施表附件3:资产类型与赋值表针对每一个系统或子系统;单独建表附件4:威胁赋值表附件5:脆弱性分析赋值表。
网站安全管理制度
网站安全管理制度(实用版)编制人:__________________审核人:__________________审批人:__________________编制单位:__________________编制时间:____年____月____日序言下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!并且,本店铺为大家提供各种类型的实用范文,如工作计划、工作总结、演讲稿、合同范本、心得体会、条据文书、应急预案、教学资料、作文大全、其他范文等等,想了解不同范文格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!Moreover, our store provides various types of practical sample essays for everyone, such as work plans, work summaries, speech drafts, contract templates, personal experiences, policy documents, emergency plans, teaching materials, complete essays, and other sample essays. If you want to learn about different formats and writing methods of sample essays, please stay tuned!网站安全管理制度网站安全管理制度十篇网站安全管理制度篇11、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相应规章制度。
信息系统安全等级保护标准体系
信息系统安全等级保护标准体系信息系统安全等级保护标准体系是指根据《中华人民共和国网络安全法》和《信息系统安全等级保护管理办法》,结合国家信息安全等级保护标准,对信息系统按照其承载信息的重要性和保密等级,划分为不同的安全等级,并对不同安全等级的信息系统提出相应的安全保护要求和措施的一套标准体系。
信息系统安全等级保护标准体系的建立和实施,对于保障国家重要信息基础设施和关键信息系统的安全运行,维护国家安全和社会稳定,具有重要意义。
首先,信息系统安全等级保护标准体系的建立,能够有力地提高国家信息系统的整体安全水平。
通过对信息系统进行安全等级划分和分类管理,可以根据信息系统承载的信息重要性和保密等级,有针对性地制定相应的安全保护要求和措施,从而有效地提高信息系统的安全性和可靠性。
其次,信息系统安全等级保护标准体系的建立,有利于加强对关键信息基础设施和关键信息系统的保护。
针对国家重要信息基础设施和关键信息系统,可以通过严格的安全等级划分和保护要求,加强对其安全运行的监测和管理,有效地防范和应对各类网络安全威胁和风险,确保其安全稳定运行。
此外,信息系统安全等级保护标准体系的建立,有助于促进信息系统安全保护工作的规范化和标准化。
通过统一的安全等级划分标准和保护要求,可以使各类信息系统的安全保护工作更加规范和标准化,为相关安全管理和技术人员提供明确的指导和依据,提高安全管理工作的科学性和有效性。
总的来说,信息系统安全等级保护标准体系的建立和实施,对于提高信息系统整体安全水平,加强关键信息基础设施和关键信息系统的保护,促进安全保护工作的规范化和标准化,都具有重要意义和价值。
希望各相关单位和部门能够充分重视信息系统安全等级保护标准体系的建设和实施,切实加强对信息系统安全的管理和保护,共同维护国家信息安全和社会稳定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
四川长虹电器股份有限公司
虹微公司管理文件
信息系统安全漏洞评估及管理制度
××××–××–××发布××××–××–××实施
四川长虹虹微公司发布
目录
1概况 (3)
1.1 目的 (3)
1.2 目的 ............................................................................................................................. 错误!未定义书签。
2正文 . (3)
2.1. 术语定义 (3)
2.2. 职责分工 (4)
2.3. 安全漏洞生命周期 (4)
2.4. 信息安全漏洞管理 (4)
2.4.1原则 (4)
2.4.2风险等级 (5)
2.4.3评估范围 (5)
2.4.4整改时效性 (6)
2.4.5实施 (7)
3例外处理 (8)
4检查计划 (8)
5解释 (8)
6附录 (9)
1概况
1.1目的
1、规范集团内部信息系统安全漏洞(包括操作系统、网络设备和应用系统)的评估及管理,降低信息系统安全风险;
2、明确信息系统安全漏洞评估和整改各方职责。
1.2适用范围
本制度适用于虹微公司管理的所有信息系统,非虹微公司管理的信息系统可参照执行。
2正文
2.1. 术语定义
2.1.1.信息安全 Information security
保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。
2.1.2.信息安全漏洞 Information security vulnerability
信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体利用,就会对信息系统的安全造成损害,影响信息系统的正常运行。
2.1.
3.资产 Asset
安全策略中,需要保护的对象,包括信息、数据和资源等等。
2.1.4.风险 Risk
资产的脆弱性利用给定的威胁,对信息系统造成损害的潜在可能。
风险的危害可通过事件发生的概率和造成的影响进行度量。
2.1.5.信息系统(Information system)
由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,本制度信息系统主要包括操作系统、网络设备以及应用系统等。
2.2. 职责分工
2.2.1.安全服务部:
负责信息系统安全漏洞的评估和管理,漏洞修复的验证工作,并为发现的漏洞提供解决建议。
2.2.2.各研发部门
研发部门负责修复应用系统存在的安全漏洞,并根据本制度的要求提供应用系统的测试环境信息和源代码给安全服务部进行安全评估。
2.2.
3.数据服务部
数据服务部负责修复生产环境和测试环境操作系统、网络设备存在的安全漏洞,并根据本制度的要求提供最新最全的操作系统和网络设备的IP地址信息。
2.3. 安全漏洞生命周期
依据信息安全漏洞从产生到消亡的整个过程,信息安全漏洞的生命周期可分为以下几个阶段:
a)漏洞的发现:通过人工或自动的方法分析、挖掘出漏洞的过程,且该漏洞可被验证和重现。
b)漏洞的利用:利用漏洞对信息系统的保密性、完整性和可用性造成破坏的过程。
c)漏洞的修复:通过补丁、升级版本或配置策略等方法对漏洞进行修补的过程,使该漏洞不能被利用。
d)漏洞的公开:通过公开渠道(如网站、邮件列表等)公布漏洞信息的过程。
2.4. 信息安全漏洞管理
2.4.1原则
信息安全漏洞管理遵循以下:
a)分级原则:应根据对业务影响程度,对安全漏洞进行分级;同时对不同级别的安全漏洞执行不同的处理要求;
b)及时性原则:安全服务部应及时把发现的漏洞发布给相关的负责人;各部门在对安全漏洞进行整改时,及时出具整改方案,及时进行研发或更新补丁和加固,及时消除漏洞与隐患;
c)安全风险最小化原则:在处理漏洞信息时应以信息系统的风险最小化为原则;
d)保密性原则:对于未修复前的安全漏洞,必须严格控制评估报告发放范围,对评估报告中敏感的信息进行屏蔽。
2.4.2风险等级
充分考虑漏洞的利用难易程度以及对业务的影响情况,采取DREAD模型对安全漏洞进行风险等级划分。
在量化风险的过程中,对每个威胁进行评分,并按照如下的公司计算风险值:
Risk = D + R + E + A + D
表二:风险等级对应分数
2.4.3评估范围
1)安全服务部应定期对信息系统进行例行的安全漏洞评估,操作系统层面的评估主要以自动化工具为主,应用系统层面评估以自动化工具和手动测试相结合。
2)操作系统层面评估的范围为所有生产系统的服务器;网络层面评估的范围为公司内部网络所有的路由器、交换机、防火墙等网络设备;应用系统层面评估的范围为所有生产环境的应用系统,包括对互联网开发的应用系统以及内网的应用系统。
3)操作系统层面安全漏洞评估的周期为每季度一次,并出具漏洞评估报告。
4)应用系统层面的安全评估,新系统在第一个版本上线前,必须经过安全测试和源代码安全扫描。
5)应用系统层面的安全评估,对于原有系统进行版本更新的,按照下面的规则进行评估:
①如果本次版本中涉及信息安全漏洞整改的,在上线前必须经过安全测试;
②如果本次版本中没有涉及信息安全漏洞整改的依据下面的规则进行安全测试:
a、应用系统安全级别为高级别的,每间隔3个版本进行一次安全测试,比如在1.0
版本进行了安全测试,那下次测试在1.4版本需要进行安全测试;
b、应用系统安全级别为中级或低级别的,每间隔5个版本进行一次安全测试,比如
在1.0版本进行了安全测试,那下次测试在1.6版本需要进行安全测试;
c、如果需要进行测试的版本为紧急版本,可以延后到下一个正常版本进行安全测试。
6)安全服务部应定期跟进安全漏洞的修复情况,并对已修复的安全漏洞进行验证。
7)信息系统安全评估报告中应包括信息系统安全水平、漏洞风险等级的分布情况、漏洞的详细信息、漏洞的解决建议等。
2.4.4整改时效性
依据信息系统部署的不同方式和级别,以及发现的安全漏洞不同级别,整改时效性有一定的差异。
2.4.4.1应用系统安全漏洞整改时效性要求
依据DREAD模型,和应用系统的不同级别,应用系统安全漏洞处理时效要求如下表,低风险安全漏洞不做强制性要求。
表三:应用系统安全漏洞整改时效性要求
2.4.4.2操作系统安全漏洞整改时效性要求
依据操作系统所处网络区域的不同,操作系统的安全漏洞处理时效要求如下表,低风险安全漏洞不做强制性要求。
2.4.5实施
根据安全漏洞生命周期中漏洞所处的不同状态,将漏洞管理行为对应为预防、发现、消减、发布和跟踪等阶段。
1)漏洞的预防
➢针对集团内部自行开发的Web应用系统,应采用安全开发生命周期流程(SDL-IT),在需求、设计、编码、测试、上线等阶段关注信息安全,提高应用系统的安全水
平。
➢数据服务部应依据已发布的安全配置标准,对计算机操作系统进行安全加固、及时安装补丁、关闭不必要的服务、安装安全防护产品等操作。
2)漏洞的发现
➢安全服务部应根据本制度的要求对公司的应用系统、操作系统和网络设备进行安全测试,及时发现信息系统存在的安全漏洞;
➢安全服务部同时还应建立和维护公开的漏洞收集渠道,漏洞的来源应同时包括集团内部、厂商及第三方安全组织;
➢安全服务部应在规定时间内验证自行发现或收集到的漏洞是否真实存在,并依据DREAD模型,确定漏洞的风险等级,并出具相应的解决建议。
3)漏洞的发布
➢安全服务部依据及时性原则,把发现的安全漏洞通知到相关的负责人;
➢漏洞的发布应遵循保密性原则,在漏洞未整改完成前,仅发送给信息系统涉及的研发小组或管理小组,对敏感信息进行屏蔽。
4)漏洞的消减
➢安全漏洞所涉及的各部门应遵循及时处理原则,根据本制度的要求在规定时间内修复发现的安全漏洞;
➢数据服务部在安装厂商发布的操作系统及应用软件补丁时,应保证补丁的有效性和安全性,并在安装之前进行测试,避免因更新补丁而对产品或系统带来影响或
新的安全风险;
➢在无法安装补丁或更新版本的情况下,各部门应共同协商安全漏洞的解决措施。
5)漏洞的跟踪
➢安全服务部应建立漏洞跟踪机制,对曾经出现的漏洞进行归档,并定期统计漏洞的修补情况,以便确切的找出信息系统的短板,为安全策略的制定提供依据。
➢安全服务部应定期对安全漏洞的管理情况、安全漏洞解决措施和实施效果进行检查和审计,包括:
①预防措施是否落实到位,漏洞是否得到有效预防;
②已发现的漏洞是否得到有效处置;
③漏洞处理过程是否符合及时处理和安全风险最小化等原则。
3例外处理
如因特殊原因,不能按照规定的时效性要求完成漏洞修复的,可申请延期,申请延期必须经过研发总监或数据服务部部长和安全服务部部长审批。
如因特殊原因,不能进行修复的,必须申请例外,按风险接受处理,申请例外必须经过研发总监或数据服务部总监和安全服务部总监审批。
4检查计划
安全服务部每年组织1次对信息系统安全漏洞的评估和管理工作进行检查。
5解释
本流程制度由安全服务部负责解释。
6附录
无。