第一条 为加强学校网络信息技术安全保障能力,规范信息技术安全漏洞整改流程,降低网络安全风险,维护正常工作秩序和营造健康的网络环境,根据《中华人民共和国网络安全法》《教育部办公厅关于启动信息系统安全监测的通知》(教技厅函〔2016〕32号)、教育部《信息技术安全事件报告与处置流程》(教技厅函〔2014〕75号)以及《BETVLCTOR伟德国际官网平台网络与信息安全管理办法》等法律及文件精神,结合学校实际情况,制定本流程。
第二条 网络安全漏洞的定义。根据《信息安全技术安全漏洞等级划分指南》(GB/T 30279-2013,以下简称《指南》,摘录部分见附件1),本流程中所称的网络安全漏洞(以下简称安全漏洞)是指计算机信息系统在需求、设计、实现、配置运行等过程中,有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行。
第三条 适用范围。本流程适用于学校各类网站、信息系统(包含承载其运行的服务器操作系统、中间件软件和数据库管理系统等)以及网络交换机、网络路由器、服务器、网络打印机、视频监控、大屏发布等其他计算机信息系统(以下均统称为信息系统)安全漏洞的发现、处置与整改。
第四条 责任体系。根据《网络安全法》第二十五条要求,网络运营者应当及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。
教务处(信息化中心)负责学校各类网络安全漏洞的通知、应急处置和整改督促等。
教务处(信息化中心)负责学校核心数据中心内的虚拟服务器的操作系统、中间件系统和数据库系统级别网络安全漏洞技术处置,负责学校网站群平台的操作系统及平台级网络安全漏洞的处置,校内其他各系统网络安全漏洞的扫描和技术支持。
各部门负责本部门所管理的各类信息系统的网络安全漏洞自查、堵塞整改、复查复测和处置情况报告等。
第五条 网络安全漏洞等级划分。根据《指南》,网络安全漏洞等级划分要素包括访问路径、利用复杂程度和影响程度三方面。根据危害程度从低至高,将网络安全漏洞划分为四个等级,依次为低危、中危、高危和超危。
根据相关机构或相关安全软件有明确定义安全等级的漏洞按照其标准确定等级;没有明确级别的,教务处(信息化中心)负责对网络安全漏洞的危险等级进行评估,确定漏洞的危害等级。对不同等级的网络安全漏洞,将采取不同的处置措施。
第六条 网络安全漏洞发现。学校网络安全漏洞主要包含:(1)上级有关部门或其他机构通报的网络安全漏洞;(2)学校通过网络安全扫描发现的网络安全漏洞;(3)信息系统管理员自己发现的网络安全漏洞。
第七条 超危与高危网络安全漏洞的处置。对于超危和高危网络安全漏洞,教务处(信息化中心)应立刻采取断网措施,根据信息系统的登记备案信息,向信息系统责任部门发出《BETVLCTOR伟德国际官网平台网络安全漏洞整改通知》(以下简称整改通知)。
第八条 中危与低危网络安全漏洞的处置。对于中危和低危网络安全漏洞,教务处(信息化中心)电话通知责任部门进行整改,限定十个工作日内完成整改。部门整改完成后向教务处(信息化中心)提出重新扫描申请,教务处(信息化中心)对整改结果进行检查,确认部门是否已完成整改。对于未按期完成整改的部门,采取断网措施,同时向责任部门发出整改通知。
第九条 网络安全漏洞整改。信息系统责任部门收到整改通知后,由部门直接责任人完成整改。整改完成后,填写《BETVLCTOR伟德国际官网平台网络安全漏洞整改报告》(以下简称整改报告)。整改报告的主要内容包括:信息系统基本信息、漏洞说明、整改情况说明、整改结果及部门审核,具体内容和格式见附件2。整改报告由本部门第一责任人审核,签字并加盖公章后报送教务处(信息化中心)。
第十条 整改落实机制。各部门收到整改通知后,要认真做好整改工作,坚持做到查清网络安全漏洞原因、按时整改,尽力杜绝类似网络安全漏洞再次发生。
第十一条 整改结果验证。责任部门提交整改报告后,教务处(信息化中心)对信息系统进行整改结果检测,确认整改完成后才能开放网络连接。
第十二条 人事变更报告。为保障联络通畅,各部门第一责任人、直接责任人联络方式等发生变更的,应及时向教务处(信息化中心)报备。
第十三条 责任追究。各部门应按照流程及时地完成网络安全漏洞整改。如有接到整改通知后不整改或整改不力等情况的,教务处(信息化中心)将进行通报。情节严重的,根据《BETVLCTOR伟德国际官网平台(黑龙江省经济管理干部学院)网络安全责任追究制度(暂行)》问责处理。
第十四条 本流程自发布之日起实施。
第十五条 本流程由BETVLCTOR伟德国际官网平台(黑龙江省经济管理干部学院)网络安全与信息化工作领导小组办公室负责解释。