茂名职业技术学院安全漏洞修复工作流程

 

第一章 总则

第一条 为了规范学校信息系统安全漏洞整改流程，确保尽早发现安全漏洞，及时消除安全隐患，加快安全处置响应时间，保障信息资产安全，根据《中华人民共和国网络安全法》《信息安全技术安全漏洞划分指南（GB/T30279-2013）》《信息安全技术信息安全漏洞管理规范（GB/T30276-2013）》等法律法规，结合学校实际，特制定本流程。

第二条 本流程适用于学校信息系统、操作系统、数据库、中间件、网络设备和安全设备的漏洞预防、发现、处置和跟踪等流程。

第三条 安全漏洞主要指信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体利用，就会对信息系统的安全造成损害，影响信息系统的正常运行。

第二章 组织机构与职责

第四条 网络与信息安全工作领导小组负责评估、通报、应急处置和整改督办工作。教育信息与网络中心（以下简称“教信中心”）负责学校信息安全漏洞的检测，为学校各部门信息系统的漏洞整改工作提供建议和技术支持。

第五条 按照“谁主管、谁负责，谁使用、谁负责”的原则，各部门负责对本部门所建设、管理、使用的信息系统的信息安全漏洞进行自查、整改、验证、跟踪、报告等工作。

第三章 漏洞处理流程

第六条 根据安全漏洞生命周期中漏洞所处的不同状态，将漏洞管理行为对应为预防、发现、评估、修补、验证、跟踪等阶段。

1、漏洞的预防

信息系统所属部门应依据已发布的安全配置标准，对计算机操作系统进行安全加固、及时安装补丁、关闭不必要的服务、安装安全防护产品和开启相应的安全配置等。

2、漏洞的发现

（1）来自教育主管部门、公安部门以及相关主管部门的安全漏洞和安全威胁通报，收到通报后及时做出响应。

（2）来自信息安全服务厂商等的安全漏洞通知，渗透测试结果及风险评估报告。

（3）学校自查发现的信息安全漏洞。

3、风险的评估

（1）教信中心应在规定时间内验证通报、自行发现或收集到的漏洞是否真实存在，并依据DREAD模型，确定漏洞的风险等级。

（2）根据风险等级判断是否需要对风险进行处理，可接受风险不处理，不可接受风险需要处理。

（3）教信中心把需要处理的安全漏洞通知到相关的负责人并发出《网络安全隐患整改通知书》，在漏洞未整改完成前，仅发送给信息系统涉及的管理人员和需要进行配合的厂商，对敏感信息进行屏蔽。

（4）教信中心应依据确定的风险等级，采取必要的安全保护管控措施，限制访问区域。

4、漏洞的修补

（1）安全漏洞所涉及的单位应根据本制度的要求，在规定时间内修复安全漏洞，整改完成后填写《网络安全隐患整改情况反馈表》。

（2）修补方式包括：及时更新厂商官方提供的漏洞修复补丁；正确配置相关应用、系统和口令等策略；开发人员修正代码中的安全漏洞或功能缺陷。

（3）系统管理人员在安装厂商发布的操作系统及应用软件补丁时，应保证补丁的有效性和安全性，并在安装之前进行测试，避免因更新补丁而对产品或系统带来影响或新的安全风险。

（4）在无法安装补丁或更新版本的情况下，各部门应共同协商安全漏洞的解决措施。

5、结果验证

由教信中心对修复结果进行测试和检查、确保漏洞成功修复。

6、漏洞的跟踪

（1）教信中心应建立漏洞跟踪机制，对曾经出现的漏洞进行归档，并定期统计漏洞的修补情况，以便确切地找出信息系统的短板，为安全策略的制定提供依据。

（2）教信中心应定期对安全漏洞的管理情况、安全漏洞的解决措施和实施效果进行检查和审计，包括预防措施是否落实到位，漏洞是否得到有效预防，已发现的漏洞是否得到有效处置，漏洞处理过程是否符合及时处理和安全风险最小化原则等。

第七条 如因特殊原因，系统管理人员或厂商不能按照规定的时效要求完成漏洞修复的，可申请延期； 不能进行修复的漏洞，需采取可实行的补救措施，上报网络与信息安全工作领导小组审批。

第八条 各部门应按照流程及时完成漏洞整改，如有接到整改通知后不整改或整改不力等情况，网络与信息安全工作领导小组办公室将进行通报，情节严重的按有关规定处理。

第四章 附 则

第九条 本流程由网络与信息安全工作领导小组办公室和教育信息与网络中心负责解释。

第十条 本流程自发布之日起施行。