漏洞扫描制度

1、青岛百森通支付有限公司漏洞扫描系统运行安全管理制度第一章 总则第一条 为保障本公司信息网络的安全、稳定运行，特制订本制度。 第二条 本制度适用于公司（以下简称公司）本部、分公司，以及直属各单位信息系统的所有漏洞扫描及相关设备的管理和运行。其他联网单位参照执行。 第二章 人员职责第三条 漏洞扫描系统管理员的任命漏洞扫描系统管理员的任命应遵循“任期有限、权限分散”的原则；系统管理员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；必须签订保密协议书。第四条 漏洞扫描系统管理员的职责如下：恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关通信管理的相关规程；负责漏洞扫描软件（

2、包括漏洞库）的管理、更新和公布；负责对网络系统所有服务器和专用网络设备的首次、周期性和紧急的漏洞扫描；负责查找修补漏洞的补丁程序，及时打补丁堵塞漏洞；密切注意最新漏洞的发生、发展情况，关注和追踪业界公布的漏洞疫情；遵守漏洞扫描设备各项管理规范。第三章用户管理第五条 只有漏洞扫描系统管理员才具有修改漏洞扫描设备配置、分析和扫描的权限。第六条 为用户级和特权级模式设置口令。不能使用缺省口令，确保用户级和特权级模式口令不同。每三个月进行一次漏洞扫描。第七条 漏洞扫描设备口令长度应采用8位以上，由非纯数字或字母组成，并定期更换，不能使用容易猜解的口令。第四章设备管理第八条 漏洞扫描设备的部署环境应满足

3、相应的国家标准和规范，其网络拓扑和扫描范围的更改要报送信息系统运行管理部门批准，以保证漏洞扫描设备发挥最大效应。第九条 漏洞扫描设备工作时会对网络造成一定程度的影响，应避免在网络运行高峰期进行扫描，如有特殊情况应通知有关的系统管理员第十条 漏洞扫描设备的规则设置、更改的授权、审批依据漏洞扫描设备配置变更审批表（参见附表1）进行。漏洞扫描设备的规则设置、更改，应该得到信息系统运行管理部门负责人的批准，由系统管理员具体负责实施。第十一条 对扫描结果的分析和安全漏洞修补。漏洞扫描后，发现系统漏洞公告，必须及时找到修补漏洞的补丁程序，并通过专用工具，及时下载打补丁，堵塞漏洞。第十二条 漏洞扫描设备定期

4、检测和维护要求（首次实施）。系统管理员对服务器和专用网络设备实施首次漏洞扫描。服务器和专用网络设备上线前，必须进行漏洞扫描，并填写漏洞扫描补丁记录单（附表2）。第十三条 漏洞扫描设备定期检测和维护要求（周期实施）。系统管理员对服务器和专用网络设备实施周期性漏洞扫描，并填写漏洞扫描记录单（附表3）。第十四条 漏洞扫描设备配置操作规程要求如下：记录网络环境，定义漏洞扫描的网络接口；定义漏洞扫描的IP地址范围；第十五条 定义漏洞扫描的安全级别和扫描选项；安装，升级最新的漏洞库安装，升级最新的漏洞库；定义管理员清单和管理权限；测试漏洞扫描设备的性能和做好网管数据库。第十六条 漏洞扫描发现的安全事件处理

5、和报告的要求。一旦获悉业界公布的漏洞疫情，并确认它们存在严重的危害性，即使公司当前尚未出现受到侵扰的迹象，也必须采取预防措施，紧急更新库，通告公司，对服务器和专用网络设备实施紧急漏洞扫描，及时调整防火墙策略，并填写漏洞扫描记录单（附表3）。第五章附则第十七条 本制度由公司信息中心负责解释。第十八条 本规定自颁布之日起实行，有新的修改版本颁布后，本规定自行终止附表1 漏洞扫描设备配置变更审批表 编号：申请部门 责任人联系电话申请日期设备名称设备类型设备型号设备位置 授 权 性 质 新增策略策略变更 授 权 期 限起始日期：结束日期：申请权限要求（所在网络名称/IP范围、扫描范围、扫描方式、扫描目的等）：申请理由：申请部门意见：签名： 日期：信息系统运行管理部门意见：签名： 日期： 执行记录控制名称控制目的扫描目标地址扫描规则设置其他设置执行人执行日期 附表2 系统漏洞补丁记录表 编号： 记录人 记录时间 漏洞名称漏洞通告发现时间漏洞通告发现地址漏洞补丁发现时间漏洞补丁发现地址 漏洞补丁名称漏洞补丁上载内部网时间附表3漏洞扫描记录单 编号：实施人实施时间 漏洞扫描时机 首次扫描 定期扫描 紧急扫描 其他扫描软件名称和版本本次获得漏洞扫描的