第三方组件安全管理办法(V1.0)

1、公司第三方组件安全管理办法(VI .0)第一章总则2第二章组织与职责3第三章第三方组件选用及入网安全管理4第四章第三方组件登记及版本管理6第五章第三方组件基础安全功能及配置要求6第六章附则7附件1XXXX系统第三方组件选用申请表8附件2XXXX系统第三方组件登记表9附件3XXXX系统第三方组件测试记录10附件4 :XXXX系统第三方组件文件清单12附件5 :XXXX系统第三方组件端口服务清单13附件6 :XXXX系统第三方组件帐号权限清单14附件7XXXX系统第三方组件版本更新记录表15第一章总则第一条为了规范公司应用系统对第三方组件的安全使用， 降低引入第三方组件给应用系统带来的信息安全风险

2、，特制定本 管理办法。第二条本办法所称应用系统包括但不限于通信网、业务平 台、支撑系统等涉及的应用系统。第三条 本办法适用于公司各部门、省客户服务中心、各市 分公司（以下简称：各单位）。第四条本办法所称的第三方组件指在应用开发过程中所引 入的第三方的代码、控件、组件、库文件与应用产品等。应用服 务器、数据库、中间件与操作系统不在本办法所称的第三方组件 范畴内。常见的第三方组件包括：（-）开发过程引入的开源或非开源库文件，如Java的jar文件等等：（二）非开发方自身开发的内容管理系统、论坛、博客等应用, 如Discuz等等;（三）公开的开发框架，如Struts、Spring. Hibernat

3、e等 等。第二章组织与职责第五条 系统建设部门：指提出系统开发/建设需求的单位, 其主要职责包括:（-）对第三方组件使用进行入网测试、入网登记；（二）对使用第三方组件的系统进行安全测试；（三）督促系统开发人员/厂商落实第三方组件安全管理要求；向采购部门提出合同中需明确的第三方组件安全管理要求;（五）向采购部门提出合同中需明确的系统集成/开发商以 及设备提供商对第三方组件信息安全责任及后续服务的要 求。第六条系统运维部门：指具体负责系统安全管理、运维工 作的单位，其主要职责包括：（-）对系统中的第三方组件使用情况进行登记、版本管理、 报备；（二）定期对系统中的第三方组件进行安全检查、评估和加固；

4、第三章第三方组件选用及入网安全管理第七条系统建设部门应在系统需求以及开发建设技术规范 中明确第三方组件选用的基础安全要求；第八条 系统建设部门应在系统建设和维护服务等合同中明 确提出：承担公司工程建设项目的集成/开发商或者提供维保服 务的厂商，对其引入/使用的第三方组件应承担的信息安全责任 及后续服务要求，系统开发商和相关服务提供商至少应履行以下 义务和职责:（-）应有第三方组件的原作者或厂商授权，出现专利纠纷或 侵权使用等责任问题时由系统开发商负责。（二）应保证引入的第三方组件的安全质量调研待引入的版 本是否有已知安全漏洞。对开源的第三方组件，应进行源代 码安全分析，防止出现系统漏洞与后门。

5、系统开发商及相关 服务厂商应对使用第三方组件的信息安全风险负责。（三）应满足第三方组件选用、入网、版本管理、登记等管理 要求，并符合第三方组件基础安全功能和配置要求。（四）在产品投入运行直至退网期间，应及时地、无偿的向公司发布第三方组件相关安全漏洞及应急处置措施，在实验环 境内对补丁及加固配置进行兼容性测试、提供测试结果，并 协助公司进行补丁升级和配置加固等工作。（五）当发现第三方组件存在零日安全漏洞时，应制定临时补救措施或联系第三方组件开发商索取安全补丁，并在经过维护管理部门的审核后进行整改。第九条第三方组件选用流程：（一）开发商应向系统建设部门提交第三方组件的详细说明, 内容至少包括：系统

6、名称、系统集成/开发厂商、拟选用的 第三方组件名称、版本号、主要功能、用途、风险分析、 风险规避措施、基础安全功能测试结果等。（二）系统建设部门应对开发厂商拟选用的第三方组件进行 审核，测试和备案，对不符合基础安全功能要求的组件， 或存在重大信息安全风险的组件应不予选用。（三）系统建设部门应在系统上线前进行入网安全测试测试 内容至少包括：检查采用的第三方组件及版本是否经过审 批、是否符合基础安全配置要求、风险规避措施是否有效、 是否存在其他信息安全风险等。未通过安全测试的系统不 可以上线。第十条系统建设部门向系统运维部门交维时应提交第三方 组件登记表、入网安全测试记录及相关信息表。登记表内容至

7、少 包括：系统名称、系统集成/开发厂商、第三方组件名称、版本 号、主要功能、用途、风险分析、风险规避措施、入网安全测试 结果等。相关信息表包括但不限于:第三方组件的帐号权限清单、 文件清单、端口服务清单等。第四章第三方组件登记及版本管理第十一条系统运维部门应定期跟踪第三方组件相关的漏洞通 告（如：组件厂商公告、国际CVE漏洞库及国内CNVD漏洞库 公布的相关漏洞、公司安全预警信息公告等），发现相关安全漏 洞应及时上报信息安全归口管理部门，并采取相应的处置措施。第十二条系统运维部门应针对第三方组件安全漏洞进行补丁 升级或配置加固，补丁升级后应填写版本更新记录，同步更新第 三方组件登记信息，并及时

8、报信息安全归口管理部门备案。第十三条系统运维部门应按相关要求对第三方组件开展安全 检查、风险评估、日志审计等日常安全维护工作。第十四条系统运维部门在系统下线时，应对第三方组件内的 业务信息及客户信息进行转存和销毁，防止信息泄露。第五章第三方组件基础安全功能及配置要求第十五条第三方组件的安全功能与配置要求应符合通用系统 安全功能与配置要求，至少包括：（一）应具备访问控制功能、具备输入验证功能、确保敏感数 据加密存储、提供详细日志记录、确保文件访问与数据库 访问的安全等；（二）从配置要求上应杜绝默认口令、空口令、弱口令，遵循 最小权限原则，修改缺省关键路径和文件等。第十六条应禁用或移除第三方组件中

9、的缺省账号、冗余管理 接口、示范文件等缺省安装内容和与系统整体业务无关的功能， 并禁用或修改缺省用户口令。第十七条应对第三方组件采取必要的隔离机制防止黑客通过 入侵第三方组件来获取整个系统的权限，包括但不限于：权限控 制、部署位置隔离、数据库隔离等。第十八条对涉及信息发布的第三方组件，应具备内容审核功 能，并可配置强制人工审核，确保未通过审核的信息不发布。第十九条对涉及信息发布的第三方组件，应具备日志记录功 能，准确记录信息发布人员和审核人员的登录与退出、信息发布、 信息审核等操作行为，确保信息发布行为的可追溯与可审计。日 志内容至少包含：操作类型、操作时间、操作帐号、操作IP、操 作主要内容

10、及参数、操作结果等。第六章附则第二十条本实施细则解释权归属省公司网络信息安全管理办 公室。各单位可根据本办法制定有关的实施细则。第二十一条 本办法自颁布之日起实施。附件1 XXXX系统第三方组件选用申请表表格名：编号:申请人所属公司/部门联系电话申请时间（年月日）系统名称系统集成/开发厂商拟选用第三方组件名（版本 号）主要功能用途安全风险分析（公开漏洞检 索情况，整体安全风险分 析）风险规避措施系统集成/开发项目经理意见及签字：申请人部门信息安全员意见及签字：备注：申请人被认为已阅读并知晓第三方组件安全管理办法并愿意接受第三 方组件安全管理制度的约束。备注：表格名和编号由负责表格存档的部门负责

11、填写。附件3 XXXX系统第三方组件测试记录附件2 XXXX系统第三方组件登记表表格名：编号：系统名称：系统集成/开发厂商:第三方 组件名 称版本号主要功能风险分析风险规避措施安试 网测录 入全结备注：表格名和编号由负责表格存档的部门负责填写.测试人所属公司/部门联系电话测试时间（年月 日）系统名称系统集成/开发厂 商第三方组件名（版本号）：主要功能用途安全风险分析风险规避措施基本安全功能测试：访问控制安全通过口未通过口不适用口备注：输入验证通过口未通过口不适用口备注：数据存储传输安 全通过口未通过口不适用口备注：日志通过口未通过口不适用口备注：文件操作安全通过口未通过口不适用口备注：数据库操

12、作安全通过口未通过口不适用口备注：基本安全配置测试：帐号口令安全通过口未通过口不适用口备注：最小化权限通过口未通过口不适用口备注：移除示范文件通过口未通过口不适用口备注：禁用无关功能通过口未通过口不适用口备注：禁用冗余管理接 口通过口未通过口不适用口备注：信息发布类组件专项测试：是否具备内容审 核与管理功能通过口未通过口不适用口备注：日志记录是否全 面通过口未通过口不适用口备注：补充测试项目：表格名:编号:测试人意见及签字：测试结论通过口未通过口备注：1、表格名和编号由负责表格存档的部门负责填写.2、如测试项目不适用，请在备注说明原因。附件4： XXXX系统第三方组件文件清单系统名称：系统集成/开发厂商:第三方组件名文件类型存储位置程序口日志口配置口数据口程序口日志口配置口数据口程序口日志口配置口数据口程序口日志口配置口数据口程序口日志口配置口数据口附件5： XXXX系统第三方组件端口服务清单第三方组 件名端口访问权限开放范围用途备注系统名称:系统集成/开发