第一條 為加強學(xué)校網(wǎng)絡(luò)信息技術(shù)安全保障能力,規(guī)范信息技術(shù)安全漏洞整改流程,降低網(wǎng)絡(luò)安全風(fēng)險,維護正常工作秩序和營造健康的網(wǎng)絡(luò)環(huán)境,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《教育部辦公廳關(guān)于啟動信息系統(tǒng)安全監(jiān)測的通知》(教技廳函〔2016〕32號)、教育部《信息技術(shù)安全事件報告與處置流程》(教技廳函〔2014〕75號)以及《黑龍江職業(yè)學(xué)院網(wǎng)絡(luò)與信息安全管理辦法》等法律及文件精神,結(jié)合學(xué)校實際情況,制定本流程。
第二條 網(wǎng)絡(luò)安全漏洞的定義。根據(jù)《信息安全技術(shù)安全漏洞等級劃分指南》(GB/T 30279-2013,以下簡稱《指南》,摘錄部分見附件1),本流程中所稱的網(wǎng)絡(luò)安全漏洞(以下簡稱安全漏洞)是指計算機信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置運行等過程中,有意或無意產(chǎn)生的缺陷。這些缺陷以不同形式存在于計算機信息系統(tǒng)的各個層次和環(huán)節(jié)之中,一旦被惡意主體所利用,會對計算機信息系統(tǒng)的安全造成損害,從而影響計算機信息系統(tǒng)的正常運行。
第三條 適用范圍。本流程適用于學(xué)校各類網(wǎng)站、信息系統(tǒng)(包含承載其運行的服務(wù)器操作系統(tǒng)、中間件軟件和數(shù)據(jù)庫管理系統(tǒng)等)以及網(wǎng)絡(luò)交換機、網(wǎng)絡(luò)路由器、服務(wù)器、網(wǎng)絡(luò)打印機、視頻監(jiān)控、大屏發(fā)布等其他計算機信息系統(tǒng)(以下均統(tǒng)稱為信息系統(tǒng))安全漏洞的發(fā)現(xiàn)、處置與整改。
第四條 責(zé)任體系。根據(jù)《網(wǎng)絡(luò)安全法》第二十五條要求,網(wǎng)絡(luò)運營者應(yīng)當及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險。
教務(wù)處(信息化中心)負責(zé)學(xué)校各類網(wǎng)絡(luò)安全漏洞的通知、應(yīng)急處置和整改督促等。
教務(wù)處(信息化中心)負責(zé)學(xué)校核心數(shù)據(jù)中心內(nèi)的虛擬服務(wù)器的操作系統(tǒng)、中間件系統(tǒng)和數(shù)據(jù)庫系統(tǒng)級別網(wǎng)絡(luò)安全漏洞技術(shù)處置,負責(zé)學(xué)校網(wǎng)站群平臺的操作系統(tǒng)及平臺級網(wǎng)絡(luò)安全漏洞的處置,校內(nèi)其他各系統(tǒng)網(wǎng)絡(luò)安全漏洞的掃描和技術(shù)支持。
各部門負責(zé)本部門所管理的各類信息系統(tǒng)的網(wǎng)絡(luò)安全漏洞自查、堵塞整改、復(fù)查復(fù)測和處置情況報告等。
第五條 網(wǎng)絡(luò)安全漏洞等級劃分。根據(jù)《指南》,網(wǎng)絡(luò)安全漏洞等級劃分要素包括訪問路徑、利用復(fù)雜程度和影響程度三方面。根據(jù)危害程度從低至高,將網(wǎng)絡(luò)安全漏洞劃分為四個等級,依次為低危、中危、高危和超危。
根據(jù)相關(guān)機構(gòu)或相關(guān)安全軟件有明確定義安全等級的漏洞按照其標準確定等級;沒有明確級別的,教務(wù)處(信息化中心)負責(zé)對網(wǎng)絡(luò)安全漏洞的危險等級進行評估,確定漏洞的危害等級。對不同等級的網(wǎng)絡(luò)安全漏洞,將采取不同的處置措施。
第六條 網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)。學(xué)校網(wǎng)絡(luò)安全漏洞主要包含:(1)上級有關(guān)部門或其他機構(gòu)通報的網(wǎng)絡(luò)安全漏洞;(2)學(xué)校通過網(wǎng)絡(luò)安全掃描發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞;(3)信息系統(tǒng)管理員自己發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞。
第七條 超危與高危網(wǎng)絡(luò)安全漏洞的處置。對于超危和高危網(wǎng)絡(luò)安全漏洞,教務(wù)處(信息化中心)應(yīng)立刻采取斷網(wǎng)措施,根據(jù)信息系統(tǒng)的登記備案信息,向信息系統(tǒng)責(zé)任部門發(fā)出《黑龍江職業(yè)學(xué)院網(wǎng)絡(luò)安全漏洞整改通知》(以下簡稱整改通知)。
第八條 中危與低危網(wǎng)絡(luò)安全漏洞的處置。對于中危和低危網(wǎng)絡(luò)安全漏洞,教務(wù)處(信息化中心)電話通知責(zé)任部門進行整改,限定十個工作日內(nèi)完成整改。部門整改完成后向教務(wù)處(信息化中心)提出重新掃描申請,教務(wù)處(信息化中心)對整改結(jié)果進行檢查,確認部門是否已完成整改。對于未按期完成整改的部門,采取斷網(wǎng)措施,同時向責(zé)任部門發(fā)出整改通知。
第九條 網(wǎng)絡(luò)安全漏洞整改。信息系統(tǒng)責(zé)任部門收到整改通知后,由部門直接責(zé)任人完成整改。整改完成后,填寫《黑龍江職業(yè)學(xué)院網(wǎng)絡(luò)安全漏洞整改報告》(以下簡稱整改報告)。整改報告的主要內(nèi)容包括:信息系統(tǒng)基本信息、漏洞說明、整改情況說明、整改結(jié)果及部門審核,具體內(nèi)容和格式見附件2。整改報告由本部門第一責(zé)任人審核,簽字并加蓋公章后報送教務(wù)處(信息化中心)。
第十條 整改落實機制。各部門收到整改通知后,要認真做好整改工作,堅持做到查清網(wǎng)絡(luò)安全漏洞原因、按時整改,盡力杜絕類似網(wǎng)絡(luò)安全漏洞再次發(fā)生。
第十一條 整改結(jié)果驗證。責(zé)任部門提交整改報告后,教務(wù)處(信息化中心)對信息系統(tǒng)進行整改結(jié)果檢測,確認整改完成后才能開放網(wǎng)絡(luò)連接。
第十二條 人事變更報告。為保障聯(lián)絡(luò)通暢,各部門第一責(zé)任人、直接責(zé)任人聯(lián)絡(luò)方式等發(fā)生變更的,應(yīng)及時向教務(wù)處(信息化中心)報備。
第十三條 責(zé)任追究。各部門應(yīng)按照流程及時地完成網(wǎng)絡(luò)安全漏洞整改。如有接到整改通知后不整改或整改不力等情況的,教務(wù)處(信息化中心)將進行通報。情節(jié)嚴重的,根據(jù)《黑龍江職業(yè)學(xué)院(黑龍江省經(jīng)濟管理干部學(xué)院)網(wǎng)絡(luò)安全責(zé)任追究制度(暫行)》問責(zé)處理。
第十四條 本流程自發(fā)布之日起實施。
第十五條 本流程由黑龍江職業(yè)學(xué)院(黑龍江省經(jīng)濟管理干部學(xué)院)網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室負責(zé)解釋。
