第一章 总 则
第一条 为了规范学校信息系统安全漏洞整改流程,确保 尽早发现安全漏洞,及时消除安全隐患,加快安全处置响应时间,保障信息资产安全,根据《中华人民共和国网络安全法》《信息安全技术安全漏洞划分指南(GB/T30279-2013)》《信息安全技术信息安全漏洞管理规范(GB/T30276-2013)》等法律法规,结合学校实际,特制定本流程。
第二条 本流程适用于学校信息系统、操作系统、数据库、中间件、网络设备和安全设备的漏洞预防、发现、处置和跟踪等流程。
第三条 安全漏洞主要指信息系统在需求、设计、实现、 配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体利用,就会对信息系统的安全造成损害,影响信息系统的正常运行。
第二章 组织机构与职责
第四条 网络与信息中心工作职责:
(一)负责学校信息安全漏洞的检测、评估、通报、应急处置和整改督办工作。
(二)为学校各部门、各单位(以下简称“各单位”)信息系统的漏洞整改工作提供建议和技术支持。
第五条 按照“谁主管、谁负责,谁使用、谁负责”的原则,各单位负责对本单位所建设、管理、使用的信息系统的信息安全漏洞进行自查、整改、验证、跟踪、报告等工作。
第三章 级别定义和处理时间
第六条 根据潜在危害、重复利用的可能性、利用的困难 程度、影响的用户范围和发现的难易程度进行评估,根据评估的风险等级从低至高,将信息安全漏洞划分为四个等级,依次为低、中、高和紧急漏洞。
第七条 根据相关机构或相关安全软件有明确定义安全等 级的漏洞按照其标准确定等级,没有明确级别的,网络与信息中心依据DREAD模型(见附件一)负责对信息安全漏洞的危险等级进行评估,确定漏洞的危害等级,对不同等级的信息安全漏洞采取不同的处置措施。
第八条 依据信息系统部署的方式和级别,以及发现的安全漏洞级别,明确安全漏洞整改时效(见附件二)。
第四章 漏洞处理流程
第九条 根据安全漏洞生命周期中漏洞所处的不同状态, 将漏洞管理行为对应为预防、发现、评估、修补、验证、跟踪等阶段(见附件三)。
(一)漏洞的预防
信息系统所属单位应依据已发布的安全配置标准,对计算机 操作系统进行安全加固、及时安装补丁、关闭不必要的服务、安装安全防护产品和开启相应的安全配置等。
(二)漏洞的发现
1.来自教育主管部门、公安部门以及相关主管部门的安全漏洞和安全威胁通报。
2.来自信息安全服务厂商等的安全漏洞通知,渗透测试结果及风险评估报告。
3.学校自查发现的信息安全漏洞。
(三)风险的评估
1.网络与信息中心应在规定时间内验证通报、自行发现或收集到的漏洞是否真实存在,并依据 DREAD 模型,确定漏洞的风险等级。
2.根据风险等级判断是否需要对风险进行处理,可接受风 险不处理,不可接受风险需要处理。
3.网络与信息中心把需要处理的安全漏洞通知到相关的负责人并发出《周口文理职业学院网络安全隐患整改通知书》(见附件四),在漏洞未整改完成前,仅发送给信息系统涉及的管理人员和需要进行配合的厂商,对敏感信息进行屏蔽。
4.网络与信息中心应依据确定的风险等级,采取必要的安全保护管控措施,限制访问区域。
(四)漏洞的修补
1.安全漏洞所涉及的单位应根据本制度的要求,在规定时间内修复安全漏洞,整改完成后填写《网络安全隐患整改情况反馈表》(详见附件五)。
2.修补方式包括:及时更新厂商官方提供的漏洞修复补丁;正确配置相关应用、系统和口令等策略;开发人员修正代码中的安全漏洞或功能缺陷。
3.系统管理人员在安装厂商发布的操作系统及应用软件补丁时,应保证补丁的有效性和安全性,并在安装之前进行测试,避免因更新补丁而对产品或系统带来影响或新的安全风险。
4.在无法安装补丁或更新版本的情况下,各部门应共同协商安全漏洞的解决措施。
(五)结果验证
由网络与信息中心对修复结果进行测试和检查、确保漏洞成功修复。
(六)漏洞的跟踪
1.网络与信息中心应建立漏洞跟踪机制,对曾经出现的漏洞进行归档,并定期统计漏洞的修补情况,以便确切地找出信息系统的短板,为安全策略的制定提供依据。
2.网络与信息中心应定期对安全漏洞的管理情况、安全漏洞的解决措施和实施效果进行检查和审计,包括预防措施是否落实到位,漏洞是否得到有效预防,已发现的漏洞是否得到有效处置,漏洞处理过程是否符合及时处理和安全风险最小化原则等。
第十条 如因特殊原因,系统管理人员或厂商不能按照规定的时效要求完成漏洞修复的,可申请延期;不能进行修复的漏洞,需采取可实行的补救措施,报网络与信息中心负责人审批。
第十一条 各单位应按照流程及时完成漏洞整改,如有接到整改通知后不整改或整改不力等情况,网络与信息中心将进行通报,情节严重的按有关规定处理。
第五章 附 则
第十二条 本流程由网络与信息中心负责解释。
第十三条 本流程自发布之日起施行。
附件下载:附件下载.docx
- 上一篇:周口文理职业学院电子...
- 下一篇:周口文理职业学院网络...