软件研发安全红线细则

软件研发安全红线细则

1概述

1.1.目的

为加强信息安全管理工作，规范员工安全操作行为，提供全员安

全风险意识，依据《中华人民共和国网络安全法》、《某集团数

据安全规范（总纲）》、《某集团（集团）员工纪律制度》、《某

集团商业行为准则》，特制定本管理细则。

1.2.适用范围

本管理细则适用于某集团旗下所有公司和关联公司（以下简称

〃公司〃）全体员工（含外包员工和实习生）。

13.规范解释

本管理细则由某集团安全部负责解释和修订。

2安全红线

2.1安全红线条例

1、未经授权入侵或盗用他人账户进入公司计算机■服务器。

场景示例：

•未经授权盗用他人账户进入公司计算机或服务器。

•利用漏洞入侵他人计算机或服务器。

案例：

•某测试小二发现某敏感系统权限问题，未及时报告而利用

该漏洞持续查看敏感信息并获利。

•某小二使用自己域账号登录外包同学计算机，浏览非法信

息，并下载查看违规信息。

2、故意利用或干扰、破坏公司的系统资源。

场景示例：

•在公司内部故意传播病毒蠕虫木马程序。

•公司内部应用系统故意执行违规操作，如rm-fr/o

.使用公司资源攻击外部网络。

•使用公司系统资源制作、传播、复制有害信息（如：涉政、

涉黄、涉恐、涉暴等）。

.使用公司资源执行其他违法违规操作。

案例：

•某位销售，给其他同学种植木马,非法获取客户信息，大

幅提升销售业绩。

.某开发小二使用测试服务器挖矿。

.某互联网公司运维工程师离职前对服务器执行破坏性删除

操作。

3、严禁私搭私建服务器或应用。

场景示例：

­私搭私建各种服务临时对内或对外提供服务（包括命令管

道、跳板机、odpsgateway，统一接入层等）。

­私搭私建数据库并存储业务信息。

.未授权私搭钓鱼应用、

WIFIO

案例：

.某收购公司小二私搭redis开放至互联网，被入侵后直接

跳至集团生产网。

•某运维小二离线备份生产服务器信息至测试环境，导致密

钥泄露。

4.未经授权在公司应用系统上配置特权账户,登录通道或后门。

场景示例：

•私自配置非授权的账号权限。

.非授权开启登录通道或预留管理后门、webshelL

案例：

.某运维小二为运维方便减少必要root权限申请流程，私自

给某生产服务器添加root权限账号。

•某开发小二为管理方便私自在生产服务器预留webshell

并向互联网开放，导致被入侵。

5、故意绕过公司安全措施。

场景示例：

.故意删除审计日志（包含但不限于网络、系统，应用、数

据库，用户行为日志等）。

•未经授权或故意关闭公司必须部署的安全产品（如云壳、

安骑士、STC...）。

•在服务器、网络设备、应用系统上故意修改安全配置导致

安全措施降级。如开放管理后台至互联网、标准22端口映射

80端口、修改账号为弱口令等。

•私设代理、vpn隧道、ReverseSSHTunnel等向互联网

暴露内部应用。

•故意绕过安全策略访问非授权应用或服务器。

案例：

•集团极少数开发小二私自将代码绕过流程并发布至生产网，

导致大量安全漏洞未及时发现被入侵。

•某开发小二为管理方便，修改内部应用账号为弱密码，导

致被入侵造成敏感信息泄露。

.某开发小二通过vpn隧道将内部服务器与阿里云ECS打通,

导致ECS被入侵后攻击者©姬至生产网。

6、未按要求处理高危安全漏洞（bug）。

场景示例：

.SOC高危漏洞修复超时且未例外申请报备。

.开发无报备带已知高危漏洞（bug）发布。

案例：暂无。

请参考《网络安全法》第六十条违反本法第二十二条第一款、

第二款和第四十八条第一款规定，有下列行为之一的，由有关主

管部门责令改正，给予警告；拒不改正或者导致危害网络安全等

后果的，处五万元以上五十万元以下罚款，对直接负责的主管人

员处一万元以上十万元以下罚款：

(-)设置恶意程序的；

(—)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取

补救措施，或者未按照规定及时告知用户并向有关主管部门报告

的。

第二十二条网络产品、服务应当符合相关国家标准的强制性要

求。网络产品、服务的提供者不得设置恶意程序；发现其网络产

品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施,

按照规定及时告知用户并向有关主管部门报告。

2.2安全红线违规认定

.红线违规认定流程参考《某集团员工纪律制度》相关规定。

•违规判定依据〃是否对公司造成重大的经济损失或名誉损

失〃、〃生产事故严重程度〃、〃是否有违规主观动机〃、

〃是否有不当获利〃等情况，由当事人主管、当事人部门

M4/P9及以上主管、HR共同酌情裁定。

公司应在员工入职培训过程中开展安全红线培训I,并在日

常工作过程中不断宣贯，定期考核。

公司应根据实际情况不断改进和完善安全红线要求。对于

不在安全红线规定中的特殊违规行为，公司因组织安全、法

务合规和人力资源等部门讨论审慎决定。

管理人员应在工作中做出正确的表率，确保其监督管辖范

围内的团队成员都能理解并实际遵守公司各项规章制度，无

论何时何地都不得指示、默许、纵容、鼓励员工以违反公司

规章制度为代价达成任何业务目标。如若其监督管辖范围内

的团队成员被