第三方组件安全管理办法.doc

PAGE PAGE 11 目 录 TOC \o 1-3 \h \z \u 第一章 总则 2 第二章 组织与职责 2 第三章 第三方组件选用及入网安全管理 3 第四章 第三方组件登记及版本管理 5 第五章 第三方组件基础安全功能及配置要求 6 第六章 附则 7 附件1 XXXX系统第三方组件选用申请表 8 附件2 XXXX系统第三方组件登记表 9 附件3 XXXX系统第三方组件测试记录 10 附件4： XXXX系统第三方组件文件清单 12 附件5： XXXX系统第三方组件端口服务清单 13 附件6： XXXX系统第三方组件帐号权限清单 14 附件7 XXXX系统第三方组件版本更新记录表 15  总则 为了规范公司应用系统对第三方组件的安全使用，降低引入第三方组件给应用系统带来的信息安全风险，特制定本管理办法。 本办法所称应用系统包括但不限于通信网、业务平台、支撑系统等涉及的应用系统。 本办法适用于公司各部门、省客户服务中心、各市分公司（以下简称：各单位）。 本办法所称的第三方组件指在应用开发过程中所引入的第三方的代码、控件、组件、库文件与应用产品等。应用服务器、数据库、中间件与操作系统不在本办法所称的第三方组件范畴内。常见的第三方组件包括: 开发过程引入的开源或非开源库文件，如Java的jar文件等等： 非开发方自身开发的内容管理系统、论坛、博客等应用，如Discuz等等； 公开的开发框架，如Struts、Spring、Hibernate等等。 组织与职责 系统建设部门：指提出系统开发/建设需求的单位，其主要职责包括： 对第三方组件使用进行入网测试、入网登记； 对使用第三方组件的系统进行安全测试； 督促系统开发人员/厂商落实第三方组件安全管理要求； 向采购部门提出合同中需明确的第三方组件安全管理要求； 向采购部门提出合同中需明确的系统集成/开发商以及设备提供商对第三方组件信息安全责任及后续服务的要求。 系统运维部门：指具体负责系统安全管理、运维工作的单位，其主要职责包括： 对系统中的第三方组件使用情况进行登记、版本管理、报备； 定期对系统中的第三方组件进行安全检查、评估和加固； 第三方组件选用及入网安全管理 系统建设部门应在系统需求以及开发建设技术规范中明确第三方组件选用的基础安全要求； 系统建设部门应在系统建设和维护服务等合同中明确提出：承担公司工程建设项目的集成/开发商或者提供维保服务的厂商，对其引入/使用的第三方组件应承担的信息安全责任及后续服务要求，系统开发商和相关服务提供商至少应履行以下义务和职责： 应有第三方组件的原作者或厂商授权,出现专利纠纷或侵权使用等责任问题时由系统开发商负责。 应保证引入的第三方组件的安全质量，调研待引入的版本是否有已知安全漏洞。对开源的第三方组件，应进行源代码安全分析，防止出现系统漏洞与后门。系统开发商及相关服务厂商应对使用第三方组件的信息安全风险负责。 应满足第三方组件选用、入网、版本管理、登记等管理要求，并符合第三方组件基础安全功能和配置要求。 在产品投入运行直至退网期间，应及时地、无偿的向公司发布第三方组件相关安全漏洞及应急处置措施，在实验环境内对补丁及加固配置进行兼容性测试、提供测试结果，并协助公司进行补丁升级和配置加固等工作。 当发现第三方组件存在“零日”安全漏洞时，应制定临时补救措施或联系第三方组件开发商索取安全补丁，并在经过维护管理部门的审核后进行整改。 第三方组件选用流程： 开发商应向系统建设部门提交第三方组件的详细说明，内容至少包括：系统名称、系统集成/开发厂商、拟选用的第三方组件名称、版本号、主要功能、用途、风险分析、风险规避措施、基础安全功能测试结果等。 系统建设部门应对开发厂商拟选用的第三方组件进行审核，测试和备案，对不符合基础安全功能要求的组件，或存在重大信息安全风险的组件应不予选用。 系统建设部门应在系统上线前进行入网安全测试，测试内容至少包括：检查采用的第三方组件及版本是否经过审批、是否符合基础安全配置要求、风险规避措施是否有效、是否存在其他信息安全风险等。未通过安全测试的系统不可以上线。 系统建设部门向系统运维部门交维时应提交第三方组件登记表、入网安全测试记录及相关信息表。登记表内容至少包括：系统名称、系统集成/开发厂商、第三方组件名称、版本号、主要功能、用途、风险分析、风险规避措施、入网安全测试结果等。相关信息表包括但不限于：第三方组件的帐号权限清单、文件清单、端口服务清单等。 第三方组件登记及版本管理 系统运维部门应定期跟踪第三方组件相关的漏洞通告（如：组件厂商公告、国际CVE漏洞库及国内CNVD漏洞库公布的相关漏洞、公司安全预警信息公告等），发现相关安全漏