软件研发安全红线管理细则.docx
《软件研发安全红线管理细则.docx》由会员分享,可在线阅读,更多相关《软件研发安全红线管理细则.docx(6页珍藏版)》请在第壹文秘上搜索。
1、软件研发安全红线管理细则1概述1.1. 目的为加强信息安全管理工作,规范员工安全操作行为,提供全员安全风险意识,依据中华人民共和国网络安全法、某集团数据安全规范(总纲)、某集团(集团)员工纪律制度、某集团商业行为准则,特制定本管理细则。1.2. 适用范围本管理细则适用于某集团旗下所有公司和关联公司(以下简称“公司)全体员工(含外包员工和实习生)。1.3. 规范解释本管理细则由某集团安全部负责解释和修订。2安全红线2.1安全红线条例1.未经授权入侵或盗用他人账户进入公司计算机、服务器。场景示例: 未经授权盗用他人账户进入公司计算机或服务器。 利用漏洞入侵他人计算机或服务器。案例: 某测试小二发现
2、某敏感系统权限问题,未及时报告而利用该漏洞持续查看敏感信息并获利。 某小二使用自己域账号登录外包同学计算机,浏览非法信息,并下载查看违规信息。2、故意利用或干扰、破坏公司的系统资源。场景示例: 在公司内部故意传播病毒蠕虫木马程序。 公司内部应用系统故意执行违规操作,如rm-fr0 使用公司资源攻击外部网络。 使用公司系统资源制作、传播、复制有害信息(如:涉政、涉黄、涉恐、涉暴等) 使用公司资源执行其他违法违规操作。案例: 某位销售,给其他同学种植木马,非法获取客户信息,大幅提升销售业绩。 某开发小二使用测试服务器挖矿。某互联网公司运维工程师离职前对服务器执行破坏性删除操作。3、严禁私搭私建服务
3、器或应用。场景示例: 私搭私建各种服务临时对内或对外提供服务(包括命令管道、跳板机、OdPSgateway,统一接入层等)。 私搭私建数据库并存储业务信息。.未授权私搭钓鱼应用、WIFIo案例: 某收购公司小二私搭redis开放至互联网,被入侵后直接跳至集团生产网。 某运维小二离线备份生产服务器信息至测试环境,导致密钥泄露。4、未经授权在公司应用系统上配置特权账户、登录通道或后门。场景示例:.私自配置非授权的账号权限。 非授权开启登录通道或预留管理后门、Webshello案例: 某运维小二为运维方便减少必要root权限申请流程,私自给某生产服务器添加root权限账号。.某开发小二为管理方便私自
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 软件 研发 安全 红线 管理 细则