【9A文】信息系统安全漏洞评估及管理制度

【9A文】信息系统安全漏洞评估及管理制度

ID:40081034

大小:59.03 KB

页数:8页

时间:2019-07-20

【9A文】信息系统安全漏洞评估及管理制度_第1页
【9A文】信息系统安全漏洞评估及管理制度_第2页
【9A文】信息系统安全漏洞评估及管理制度_第3页
【9A文】信息系统安全漏洞评估及管理制度_第4页
【9A文】信息系统安全漏洞评估及管理制度_第5页
资源描述:

《【9A文】信息系统安全漏洞评估及管理制度》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、【MeiWei_81重点借鉴文档】四川长虹虹微公司发布××××–××–××实施××××–××–××发布信息系统安全漏洞评估及管理制度四川长虹电器股份有限公司虹微公司管理文件【MeiWei_81重点借鉴文档】【MeiWei_81重点借鉴文档】目录1概况21.1目的21.2目的22正文22.1.术语定义22.2.职责分工32.3.安全漏洞生命周期32.4.信息安全漏洞管理32.4.1原则32.4.2风险等级42.4.3评估范围52.4.4整改时效性52.4.5实施63例外处理74检查计划85解释86附录81概况1.1 目的1、规范集团内部信息系统安全漏洞(包括操作

2、系统、网络设备和应用系统)的评估及管理,降低信息系统安全风险;2、明确信息系统安全漏洞评估和整改各方职责。1.2 适用范围本制度适用于虹微公司管理的所有信息系统,非虹微公司管理的信息系统可参照执行。【MeiWei_81重点借鉴文档】【MeiWei_81重点借鉴文档】1正文2.1.术语定义2.1.1.信息安全InformationsecuritR保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。2.1.2.信息安全漏洞InformationsecuritRvulnerabilitR信息系统在需求、设计、实现、配置、运行等过

3、程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体利用,就会对信息系统的安全造成损害,影响信息系统的正常运行。2.1.3.资产Asset安全策略中,需要保护的对象,包括信息、数据和资源等等。2.1.4.风险Risk资产的脆弱性利用给定的威胁,对信息系统造成损害的潜在可能。风险的危害可通过事件发生的概率和造成的影响进行度量。2.1.5.信息系统(InformationsRstem)由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,本制度信息系统主要包

4、括操作系统、网络设备以及应用系统等。2.2.职责分工2.2.1.安全服务部:负责信息系统安全漏洞的评估和管理,漏洞修复的验证工作,并为发现的漏洞提供解决建议。2.2.2.各研发部门研发部门负责修复应用系统存在的安全漏洞,并根据本制度的要求提供应用系统的测试环境信息和源代码给安全服务部进行安全评估。2.2.3.数据服务部【MeiWei_81重点借鉴文档】【MeiWei_81重点借鉴文档】数据服务部负责修复生产环境和测试环境操作系统、网络设备存在的安全漏洞,并根据本制度的要求提供最新最全的操作系统和网络设备的IP地址信息。2.1.安全漏洞生命周期依据信息安全漏洞从

5、产生到消亡的整个过程,信息安全漏洞的生命周期可分为以下几个阶段:a)漏洞的发现:通过人工或自动的方法分析、挖掘出漏洞的过程,且该漏洞可被验证和重现。b)漏洞的利用:利用漏洞对信息系统的保密性、完整性和可用性造成破坏的过程。c)漏洞的修复:通过补丁、升级版本或配置策略等方法对漏洞进行修补的过程,使该漏洞不能被利用。d)漏洞的公开:通过公开渠道(如网站、邮件列表等)公布漏洞信息的过程。2.2.信息安全漏洞管理2.4.1原则信息安全漏洞管理遵循以下:a)分级原则:应根据对业务影响程度,对安全漏洞进行分级;同时对不同级别的安全漏洞执行不同的处理要求;b)及时性原则:安

6、全服务部应及时把发现的漏洞发布给相关的负责人;各部门在对安全漏洞进行整改时,及时出具整改方案,及时进行研发或更新补丁和加固,及时消除漏洞与隐患;c)安全风险最小化原则:在处理漏洞信息时应以信息系统的风险最小化为原则;d)保密性原则:对于未修复前的安全漏洞,必须严格控制评估报告发放范围,对评估报告中敏感的信息进行屏蔽。2.4.2风险等级充分考虑漏洞的利用难易程度以及对业务的影响情况,采取DREAD模型对安全漏洞进行风险等级划分。在量化风险的过程中,对每个威胁进行评分,并按照如下的公司计算风险值:Risk=D+R+E+A+D【MeiWei_81重点借鉴文档】【Me

7、iWei_81重点借鉴文档】DREAD模型类别等级高(3)中(2)低(1)DamagePotential潜在危害获取完全权限;执行管理员操作;非法上传文件等等泄露敏感信息泄露其他信息ReproducibilitR重复利用可能性攻击者可以随意再次攻击攻击者可以重复攻击,但有时间或其他条件限制攻击者很难重复攻击过程ERploitabilitR利用的困难程度初学者在短期内能掌握攻击方法熟练的攻击者才能完成这次攻击漏洞利用条件非常苛刻Affectedusers影响的用户范围所有用户,默认配置,关键用户部分用户,非默认配置极少数用户,匿名用户Discoverabilit

8、R发现的难易程度漏洞很显眼,攻击条件很

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。