devops/security.md

# 信息安全体系

## [安全服务项目](sec_service.md)


2020/11/3 二大楼 安全会议 陈珂
-----------------------------------
1. 工具, 同步机制
2. 漏洞，3天修复率100%，对系统的影响
   整改完，一天2000条
3. 白名单
4. 通报前3天取数(一般26日)
   月报在1号2号取数

   每个月22号取数, 节假日提前到周五
   1号

   测试使用，不能修复漏洞说明

5. ip+port 

alpha,beta环境扫描工作,加白名单，减少暴露面

6. 暴露面
必须开放的暴露面清单
交换机
开放端口申请, 审核报告
**只要安全评估材料**，核验

<<中国电信179号文>>

7. 玄武盾平台, 我们的二级域名!!可以纳入

8. EDR, 青藤云, 漏洞+弱口令

9. fangtian - 暴露面 责任书 资产管理 核验材料
   houjunmeng - 备案 4A
   sunfansong - 4A
   chenke - 漏洞
   qianlv - agent

10. 云NAS  资产归宿问题

11. WIFI遗留问题，扫描后重新报备

12. 4A管理，机器导入


## 巡视安全整改举措
从反思问题成因、制定立行立改 目标举措时间点、 举一反三长效机制目标举措时间点等方面填写相关内容，并请明确相关联系人。同时将管局中期检查中主要扣分点纳入相关专业举一反三工作内容，管局中期检查结果详见附件。

认识不到位，动作落实迟缓。

加强安全管理队伍建设，专职人员自有编制4人，安全合作商一个。人员陆续到位2人，招聘人员因为招聘难，还未完全到位。

针对安全漏洞进行漏洞分类，针对不同分类的情况，布置落实漏洞修补的计划。其中98%属于私网漏洞，私网漏洞中5%属于自已代码研发漏洞。但是一些底层漏洞修补会带来代码需要修正，从而影响业务的正常运行，所以我们已经有初步计划，针对暴露面的漏洞及时限时修复，针对私网漏洞与业务的耦合关系安排具体的漏洞修复实施计划。

紧密跟踪漏洞的情况发布，加强自有漏洞主动发现能力，及时修补漏洞。加强自已系统的扫描频度和能力。

加强网络安全培训，落实安全考核。优化软件架构设计、优化自有代码研发、优化落实安全制度、优化落实操作安全动作。


## 2020/11/27 元华7007会议室
1. 漏洞&弱口令&暴露面修复
  - 11月份修复2468个漏洞
  - 修复弱口令48个
  - 互联网暴露面下降59个
2. 安全意识培训，漏洞提早检测、高频检测，口令设置强度意识
3. 自研项目架构优化，减少不必要的暴露面，提早升级开源软件版本

三个同步
暴露面&安全漏洞
账户三个月未使用的，冻结，封存

安全团队组织
安全质量
安全防护手段

2021年网信安建设规划


## 20201208 双新安全 会议
------------------------------
1. 双新(新业务，新技术，新产品，新平台等)评估问题
  - 云上，互联网，针对公众用户，有暴露面
  - “天翼云课堂”&“号百呼叫中心”
  - 定期核查，风险台账表格不完整
  - 部分业务风险识别

  - 核查核验口径
     范围: 除了前一年完成评估的业务，包括近三年
           历史评估清单纳入
  - 评估清单
     所有新业务
  - 报告

2. 线上网信安检查

3. 共性问题
  - 风险发现和整改
  - 未漏洞扫描报告
  - 自行减少报告目录中项目
  - 无架构图和无业务功能描述
  安恒配合沟通联系

4. 业务清单
  - 天翼看家
  - 云NAS
  - aWiFi业务平台
  - ? First专网
  - ? 小翼管楼
    - 没有评估查到扣分

## 20201214 工信部通报
- 平台、能力、人才
- 问责

责任. 从能力角度说
人员配置、平台、人才

举一反三动作：
- 提高网信安意识，思想重视，开全体会议
- 能力建设，探索全生命周期管控
- 人才培养
看看