一套系统漏洞管理办法

漏洞管理介绍

目标:根据漏洞管理成熟度模型(下图),在Q2实现Level 1-2的成熟度(基本流程、基础指标、定期扫描),在Q3-Q4实现Level 3的成熟度(基于风险的优先级判断、趋势)。在2019年度实现或接近Level 4-5的成熟度(全设备管理、防范APT攻击;与业务目标协同、持续修复):

范围:

  • 数据中心:服务器、网络设备、各业务系统
  • 办公室:办公电脑、IT服务器、网络设备(包括VoIP话机、IoT设备)
  • 云平台:阿里云、腾讯云
  • 终端:小黑鱼iOS、Android客户端

流程:

  • 识别资产(服务器、网络设备、应用)并根据部门分类
  • 使用漏洞扫描器查找已知漏洞并确定风险等级
  • 确认漏洞上报平台(内部、外部)或威胁情报平台提交的漏洞并确定风险等级
  • 漏洞修复
    • 测试补丁/方案
    • 应用补丁/方案至生产环境
  • 漏洞修复重扫/确认
  • 知识沉淀(知识库、流程/配置优化)

方法:

评价指标:

  • 平均检测时间 (MTTD)
  • 平均响应时间 (MTTR),或平均修复时间
  • 扫描覆盖率
  • 暴露窗口期
  • 未修复的高危漏洞数
  • 经授权暂不修复的漏洞数
  • 漏洞重启率
  • 不含任何高危漏洞的系统数

漏洞上报奖励办法

外部”白帽子”版本:略

内部员工版本:略

注:奖励标准内、外部保持一致。

漏洞提交模板

漏洞标题:

漏洞类型:

  • 应用漏洞:上传类漏洞、代码执行、SQL注入、XSS攻击、CSRF、逻辑类漏洞、信息泄露
  • 系统漏洞:服务器端口漏洞、信息泄露、代码执行、权限提升
  • 终端漏洞:越权访问、信息泄露、逻辑错误、组件漏洞
  • 安全事件:安全情报、入侵事件
  • 其他

关联系统:

漏洞详情:

  • 详细说明
  • 漏洞证明
  • 修复方案

时间表

TBD

流程图

漏洞提交

安全测试申请(新上线扫描、漏洞复测)

修复申请(已知漏洞修复、”豁免”漏洞修复)

 2,015 total views,  2 views today

发表评论

邮箱地址不会被公开。 必填项已用*标注