NC安全问题技术支持处理流程-NC技术顾问资料.pdf

NC安全问题技术支持处理流程技术服务支持部1安全问题定义.......................................................................................................................................12客户沟通行为准则..............................................................................................................................23安全漏洞ism问题提交规范(不包括sop)...................................................................................24了解安全漏洞.......................................................................................................................................31安全问题定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全包括企业内所有网络、信息系统、公共服务（云平台）等基础设施的安全保障，及相关的管理制度、安全防护措施。数据安全包括数据本身安全、数据防护安全、数据处理安全及数据存储安全。安全漏洞的分类从广义上讲可以分为：1.硬件安全设备安全硬件防御身份安全识别2.软件安全操作系统应用软件代码安全安全、补丁软件3.网络安全传输安全性传输保密性传输完整性4.数据安全数据泄漏数据破坏数据篡改2客户沟通行为准则积极协助处理一般客户方遇到安全问题会首先反馈到机构技术支持顾问，接收到安全相关的问题要表现出积极配合解决的态度，不熟悉的问题请联系总部技术支持顾问协助解决。工作负责范围跟客户说清楚我们负责的范围：一般NC本身的代码安全问题我们要负责给客户解决；数据库和中间件集群相关软件因为是属于三方厂商软件的漏洞，原则上不属于我们的服务范围，但如果客户方是从用友购买的这些软件，我们应当协助或指导客户解决相关安全漏洞，如果是客户从其它渠道购买的，原则上不是我们负责的范围；硬件或网络相关的安全问题原则上由客户方技术部门来解决。正确认识安全漏洞任何一个软件系统，包括操作系统软件都需要定期更新安全补丁，NC产品也不例外，根据日常使用中检测到的安全漏洞我们会提供现有的或新研发补丁来进行解决。详见第4小节《了解安全漏洞》。3安全漏洞ism问题提交规范(不包括sop)1.安全问题分类NC系统进行安全扫描可能会扫描出多个问题（经常几十或几百个问题），一般网络、操作系统或硬件等安全问题由客户方技术部（可以机构技术顾问协助）来进行漏洞修复。涉及到NC产品相关的代码级别的安全漏洞问题提交ism问题来由总部技术顾问协助处理。2.问题提交原则根据目前机构技术顾问提交的安全问题存在问题，提供一些建议。对NC产品相关的代码级别的安全漏洞问题提交ism问题时，尽量按类别(最优是按代码维护所属部门进行分类，如果不太清楚，可以多提交几个问题)提交多个技术问题，不要所有问题都提交到一个问题中，因为对每个问题可能涉及到不同的研发部门（平台、业务部）协助修改代码出补丁来完成补丁交付工作。如果所有安全问题汇总提交到一个问题中，会存在以下问题：一是多个补丁无法在一个问题中集中挂载(这种情况补丁只能线下传递，不好统一管理，对历史安全问题及补丁的对应关系非常混乱)；二是处理时效性也得不到保障（要一个部门完成再转到另一个部门），处理时间耗时较长；按分类提交多个问题，可以多个研发部门同时进行代码修正补丁工作。4了解安全漏洞自从互联网诞生以来，黑客和反黑客都是制约与被制约的关系，首先黑客会寻找互联网软、硬件信息系统的切入点，并尝试攻击这些切入点来达到攻击的目的，这些切入点如果攻击成功则称为安全漏洞。一旦产生安全漏洞，则反黑客则会针对漏洞采取相应的修复措施进行安全加固，让黑客不能够攻击成功。黑客如果发现安全漏洞被安全加固，则会寻找其它新的切入点，来进行尝试新的攻击。也就是说，对任何一个应用系统来讲：1.安全都是相对的操作系统、数据库、集群中间件（如WAS）厂商会不断的提供安全漏洞补丁更新，来防御新得漏洞。没有完美的系统，需要做的是不断打最新补丁以进行安全加固。2.安全防御手段只在一定时间内有效。随着黑客攻击的手段不断增强，现有防御方案和补丁也要不断的升级，比如不断提供新的补丁。3.NC安全漏洞修复对NC系统进行安全扫描时，很可能会扫描出一些安全漏洞，包括过去一些历史安全问题，这属于正常现象；对于已经有补丁的漏洞，我们只需要打上对应的漏洞修复补丁即可；对于新出现的漏洞，我们需要研发出新的补丁，进行漏洞修复。