第一章 总 则
第一条 为了规范学校信息系统安全漏洞整改流程,确保尽早发现安全漏洞,及时消除安全隐患,加快安全处置响应时间,保障信息资产安全,根据《中华人民共和国网络安全法》《信息安全技术安全漏洞划分指南(GB/T30279-2013)》《信息安全技术信息安全漏洞管理规范(GB/T30276-2013)》等法律法规,结合学校实际,特制定本流程。
第二条 本流程适用于学校信息系统、操作系统、数据库、中间件、网络设备和安全设备的漏洞预防、发现、处置和跟踪等流程。
第三条 安全漏洞主要指信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体利用,就会对信息系统的安全造成损害,影响信息系统的正常运行。
第二章 组织机构与职责
第四条 网络安全与信息化办公室(以下简称“网信办”)工作职责:
(一)负责学校信息安全漏洞的检测、评估、通报、应急处置和整改督办工作。
(二)为学校各部门、各单位(以下简称“各单位”)信息系统的漏洞整改工作提供建议和技术支持。
第五条 按照“谁主管、谁负责,谁使用、谁负责”的原则,各单位负责对本单位所建设、管理、使用的信息系统的信息安全漏洞进行自查、整改、验证、跟踪、报告等工作。
第三章 级别定义和处理时间
第六条 根据潜在危害、重复利用的可能性、利用的困难程度、影响的用户范围和发现的难易程度进行评估,根据评估的风险等级从低至高,将信息安全漏洞划分为四个等级,依次为低、中、高和紧急漏洞。
第七条 根据相关机构或相关安全软件有明确定义安全等级的漏洞按照其标准确定等级,没有明确级别的,网信办依据DREAD模型(见附件一)负责对信息安全漏洞的危险等级进行评估,确定漏洞的危害等级,对不同等级的信息安全漏洞采取不同的处置措施。
第八条 依据信息系统部署的方式和级别,以及发现的安全漏洞级别,明确安全漏洞整改时效(见附件二)。
第四章 漏洞处理流程
第九条 根据安全漏洞生命周期中漏洞所处的不同状态,将漏洞管理行为对应为预防、发现、评估、修补、验证、跟踪等阶段(见附件三)。
(一)漏洞的预防
信息系统所属单位应依据已发布的安全配置标准,对计算机操作系统进行安全加固、及时安装补丁、关闭不必要的服务、安装安全防护产品和开启相应的安全配置等。
(二)漏洞的发现
1. 来自教育主管部门、公安部门以及相关主管部门的安全漏洞和安全威胁通报。
2. 来自信息安全服务厂商等的安全漏洞通知,渗透测试结果及风险评估报告。
3. 学校自查发现的信息安全漏洞。
(三)风险的评估
1. 网信办应在规定时间内验证通报、自行发现或收集到的漏洞是否真实存在,并依据DREAD模型,确定漏洞的风险等级。
2. 根据风险等级判断是否需要对风险进行处理,可接受风险不处理,不可接受风险需要处理。
3. 网信办把需要处理的安全漏洞通知到相关的负责人并发出《山东科技大学网络安全隐患整改通知书》(见附件四),在漏洞未整改完成前,仅发送给信息系统涉及的管理人员和需要进行配合的厂商,对敏感信息进行屏蔽。
4. 网信办应依据确定的风险等级,采取必要的安全保护管控措施,限制访问区域。
(四)漏洞的修补
1. 安全漏洞所涉及的单位应根据本制度的要求,在规定时间内修复安全漏洞,整改完成后填写《网络安全隐患整改情况反馈表》(详见附件五)。
2. 修补方式包括:及时更新厂商官方提供的漏洞修复补丁;正确配置相关应用、系统和口令等策略;开发人员修正代码中的安全漏洞或功能缺陷。
3. 系统管理人员在安装厂商发布的操作系统及应用软件补丁时,应保证补丁的有效性和安全性,并在安装之前进行测试,避免因更新补丁而对产品或系统带来影响或新的安全风险。
4. 在无法安装补丁或更新版本的情况下,各部门应共同协商安全漏洞的解决措施。
(五)结果验证
由网信办对修复结果进行测试和检查、确保漏洞成功修复。
(六)漏洞的跟踪
1. 网信办应建立漏洞跟踪机制,对曾经出现的漏洞进行归档,并定期统计漏洞的修补情况,以便确切地找出信息系统的短板,为安全策略的制定提供依据。
2. 网信办应定期对安全漏洞的管理情况、安全漏洞的解决措施和实施效果进行检查和审计,包括预防措施是否落实到位,漏洞是否得到有效预防,已发现的漏洞是否得到有效处置,漏洞处理过程是否符合及时处理和安全风险最小化原则等。
第十条 如因特殊原因,系统管理人员或厂商不能按照规定的时效要求完成漏洞修复的,可申请延期; 不能进行修复的漏洞,需采取可实行的补救措施,报网信办负责人审批。
第十一条 各单位应按照流程及时完成漏洞整改,如有接到整改通知后不整改或整改不力等情况,网信办将进行通报,情节严重的按有关规定处理。
第五章 附 则
第十二条 本流程由网络安全与信息化办公室负责解释。
第十三条 本流程自发布之日起施行。
