first commit

security.md

@@ -0,0 +1,128 @@
+
+# 信息安全体系
+
+## [安全服务项目](sec_service.md)
+
+
+2020/11/3 二大楼 安全会议 陈珂
+-----------------------------------
+1. 工具, 同步机制
+2. 漏洞，3天修复率100%，对系统的影响
+   整改完，一天2000条
+3. 白名单
+4. 通报前3天取数(一般26日)
+   月报在1号2号取数
+
+   每个月22号取数, 节假日提前到周五
+   1号
+
+   测试使用，不能修复漏洞说明
+
+5. ip+port 
+
+alpha,beta环境扫描工作,加白名单，减少暴露面
+
+6. 暴露面
+必须开放的暴露面清单
+交换机
+开放端口申请, 审核报告
+**只要安全评估材料**，核验
+
+<<中国电信179号文>>
+
+7. 玄武盾平台, 我们的二级域名!!可以纳入
+
+8. EDR, 青藤云, 漏洞+弱口令
+
+9. fangtian - 暴露面 责任书 资产管理 核验材料
+   houjunmeng - 备案 4A
+   sunfansong - 4A
+   chenke - 漏洞
+   qianlv - agent
+
+10. 云NAS  资产归宿问题
+
+11. WIFI遗留问题，扫描后重新报备
+
+12. 4A管理，机器导入
+
+
+## 巡视安全整改举措
+从反思问题成因、制定立行立改 目标举措时间点、 举一反三长效机制目标举措时间点等方面填写相关内容，并请明确相关联系人。同时将管局中期检查中主要扣分点纳入相关专业举一反三工作内容，管局中期检查结果详见附件。
+
+认识不到位，动作落实迟缓。
+
+加强安全管理队伍建设，专职人员自有编制4人，安全合作商一个。人员陆续到位2人，招聘人员因为招聘难，还未完全到位。
+
+针对安全漏洞进行漏洞分类，针对不同分类的情况，布置落实漏洞修补的计划。其中98%属于私网漏洞，私网漏洞中5%属于自已代码研发漏洞。但是一些底层漏洞修补会带来代码需要修正，从而影响业务的正常运行，所以我们已经有初步计划，针对暴露面的漏洞及时限时修复，针对私网漏洞与业务的耦合关系安排具体的漏洞修复实施计划。
+
+紧密跟踪漏洞的情况发布，加强自有漏洞主动发现能力，及时修补漏洞。加强自已系统的扫描频度和能力。
+
+加强网络安全培训，落实安全考核。优化软件架构设计、优化自有代码研发、优化落实安全制度、优化落实操作安全动作。
+
+
+## 2020/11/27 元华7007会议室
+1. 漏洞&弱口令&暴露面修复
+  - 11月份修复2468个漏洞
+  - 修复弱口令48个
+  - 互联网暴露面下降59个
+2. 安全意识培训，漏洞提早检测、高频检测，口令设置强度意识
+3. 自研项目架构优化，减少不必要的暴露面，提早升级开源软件版本
+
+三个同步
+暴露面&安全漏洞
+账户三个月未使用的，冻结，封存
+
+安全团队组织
+安全质量
+安全防护手段
+
+2021年网信安建设规划
+
+
+## 20201208 双新安全 会议
+------------------------------
+1. 双新(新业务，新技术，新产品，新平台等)评估问题
+  - 云上，互联网，针对公众用户，有暴露面
+  - “天翼云课堂”&“号百呼叫中心”
+  - 定期核查，风险台账表格不完整
+  - 部分业务风险识别
+
+  - 核查核验口径
+     范围: 除了前一年完成评估的业务，包括近三年
+           历史评估清单纳入
+  - 评估清单
+     所有新业务
+  - 报告
+
+2. 线上网信安检查
+
+3. 共性问题
+  - 风险发现和整改
+  - 未漏洞扫描报告
+  - 自行减少报告目录中项目
+  - 无架构图和无业务功能描述
+  安恒配合沟通联系
+
+4. 业务清单
+  - 天翼看家
+  - 云NAS
+  - aWiFi业务平台
+  - ? First专网
+  - ? 小翼管楼
+    - 没有评估查到扣分
+
+## 20201214 工信部通报
+- 平台、能力、人才
+- 问责
+
+责任. 从能力角度说
+人员配置、平台、人才
+
+举一反三动作：
+- 提高网信安意识，思想重视，开全体会议
+- 能力建设，探索全生命周期管控
+- 人才培养
+看看
+
+