为加强学校网络信息安全工作,及时通报和处置网络信息安全漏洞及事件,及时进行关键网络安全时期的安全警示,协调相关力量做好应急响应处理,降低安全漏洞带来的损失与影响,维护正常工作秩序和营造健康的网络环境,根据国家有关法律法规,以及相关标准文件,结合学校实际,制定本办法。
第一条 本办法依据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例(国务院147号令)》及《湖北省教育厅 湖北省公安厅关于加强全省教育行业网络与信息安全工作的指导意见》等文件制定,适用于湖北民族大学网络安全通报与处置流程,包括网络安全漏洞通报与处置及网络安全关键时期的网络安全预警。
第二条 本办法所提及网络安全漏洞包括各监管机构监测到的学校网络信息安全漏洞,包括湖北省教育厅信息发展中心、恩施州公安局网络安全部门及学校自有网络安全监测平台定期检测等方式监测到的网络信息安全漏洞。
第三条 本办法规定学校网络信息安全管理部门为信息化建设与管理中心,各信息系统使用部门为信息系统责任部门,须在信息系统建成一周内向信息化建设与管理中心备案本单位信息系统情况,并根据本部门情况指定信息系统安全分管领导及具体管理人员,报信息化建设与管理中心,如遇人员调整,须及时向信息化建设与管理中心更新相关人员信息。
第四条 本办法规定了网络安全关键时期的网络安全预警流程,流程中包括预警签收、制订应急方案、审核方案等环节;
1、在网络安全关键时期,由信息安全管理部门拟定安全警示通知,经信息安全管理部门领导审批后,发往各信息系统责任部门信息安全分管领导群组。
2、各信息系统责任部门安全分管领导收到警示通知后,及时转发各单位信息系统管理人员,由信息系统管理人员制定网络安全关键时期网络安全应急预案及值班安排,并由分管领导审批意见后提交信息安全管理部门。
3、信息安全管理部门收到各单位应急预案后,进行方案审核,审核通过,则反馈相应单位要求按方案实行网络安全关键时期网络安全管理,如不符合安全管理要求,则返回该单位重新修改方案后重新提交,直至符合要求为止。
第五条 根据《信息安全技术安全漏洞等级划分指南》(GB/T30279-2013)中给出的安全漏洞等级划分方法。按照访问路径、利用复杂度及影响程度等因素将网络安全漏洞划分为高危、中危、低危三个等级。
高危漏洞是指可远程利用并能直接获取系统权限或者能够导致严重级别的信息泄漏(泄漏大量用户信息或学校机密信息)的漏洞,包括但不仅限于:命令注入、远程命令执行、上传获取WebShell、SQL注入、缓冲区溢出、核心业务非授权访问等。
中危漏洞是指能直接盗取用户身份信息或者能够导致普通级别的信息泄漏的漏洞,包括但不限于存储型XSS漏洞、客户端明文密码存储等。
低危漏洞是指能够导致轻微信息泄露的安全漏洞,包括但不仅限于反射型XSS(包括反射型DOM-XSS)、JSONHijacking、CSRF、路径信息泄露、SVN信息泄露、phpinfo等。
第六条 网络安全漏洞管理流程,流程中包括漏洞签收、漏洞处置、漏洞整改、整改结果验证等环节。
(一)高危安全漏洞
1、信息安全管理部门在接收到上级监管部门下发的高危安全漏洞提醒后,第一时间拟定网络安全漏洞通知,经信息安全管理部门领导审批后,将漏洞通报给信息系统责任部门管理人员进行整改。
2、信息系统责任部门安全管理人员收到通报后,第一时间签收,并立即下线信息系统,进行线下安全漏洞处置,处置完成后,提交该单位网络安全分管领导审批。
3、各单位网络安全分管领导审批后,返回信息安全管理部门审核漏洞处理情况,通过检测后方可恢复信息系统运行,如若检测结果为未修复,则返回信息系统责任部门继续完成修复,直至修复完成为止。
(二)中危安全漏洞
1、信息安全管理部门在接收到上级监管部门下发的中危安全漏洞提醒后,第一时间拟定网络安全漏洞通知,经信息安全管理部门领导审批后,将漏洞通报给信息系统责任部门管理人员进行整改。
2、信息系统责任部门安全管理人员收到通报后,第一时间签收,并在签收一日内将安全漏洞处置完成,提交该单位网络安全分管领导审批。
3、各单位网络安全分管领导审批后,返回信息安全管理部门审核漏洞处理情况,通过检测后将漏洞信息归档,如若检测结果为未修复,则返回信息系统责任部门继续完成修复,直至修复完成为止。
4、如逾期未完成整改的,信息化建设与管理中心将对系统采取断网的处置措施,信息系统责任部门完成安全整改并通过检测后信息系统恢复运行。
(三)低危安全漏洞
1、信息安全管理部门在接收到上级监管部门下发的中危安全漏洞提醒后,第一时间拟定网络安全漏洞通知,经信息安全管理部门领导审批后,将漏洞通报给信息系统责任部门管理人员进行整改。
2、信息系统责任部门安全管理人员收到通报后,第一时间签收,并在签收三日内将安全漏洞处置完成,提交该单位网络安全分管领导审批。
3、各单位网络安全分管领导审批后,返回信息安全管理部门审核漏洞处理情况,通过检测后将漏洞信息归档,如若检测结果为未修复,则返回信息系统责任部门继续完成修复,直至修复完成为止。
4、如逾期未完成整改的,信息化建设与管理中心将对系统采取断网的处置措施,信息系统责任部门完成安全整改并通过检测后信息系统恢复运行。
第七条 人事变更报告。各信息系统责任部门的网络信息安全工作主管领导、联络员、联络方式发生变更的,应及时报送信息化建设与管理中心。
第八条 相关配套机制。建立值守制度,在网络安全关键时期设立24小时值班电话。各信息系统责任部门应根据实际建立本单位值守制度,建立健全本单位安全事件应急处置机制,制定安全事件应急预案,定期组织应急演练,做到安全事件早发现、早报告、早控制、早解决。
第九条 问责制度。各信息系统责任部门应按照流程及时、妥善处置安全预警及漏洞通报。如有处置和整改不力等情况,学校将对相关单位根据各项法律法规进行相应的处罚。
本办法自发布之日起施行。