第一章 总则
第一条 为保证重庆师范大学(以下简称“学校”)校园网及信息系统的正常运行,防止各类病毒、黑客和其他非法软件对校园网及信息系统构成威胁,依据《网络安全法》、《计算机信息系统安全保护条例》和《信息系统安全等级保护基本要求》,结合学校工作实际,特制定本办法。
第二条 本办法规范了学校防病毒软件的使用管理和信息系统安全漏洞的发现、评估及处理过程。
第三条 本办法是为了建立健全学校的安全管理体系,尽早发现安全漏洞,及时消除安全隐患,加快安全处理响应时间,加强学校信息安全保障能力,提高校园网的整体安全水平,保证业务系统的正常运行,最大限度的减少、降低损失。
第四条 本办法适用于运行在校园网内的所有网络设备、安全设备、服务器主机、应用系统、数据库和中间件等软硬件设施。
第五条 信息系统防病毒及漏洞监测管理应遵循以下原则:
(一)分级原则:应根据对业务影响程度,进行分级,并对不同级别的病毒影响或安全漏洞执行不同的处置要求;
(二)及时性原则:信息技术中心应及时将发现的漏洞情况告知相关单位,各单位应及时升级病毒库、系统补丁和软件补丁,消除漏洞和隐患;
(三)安全风险最小化原则:在处理病毒和漏洞信息时应以风险最小化为原则;
(四)保密性原则:对于未修复前的安全漏洞,必须严格控制评估报告发送范围,对评估报告中敏感的信息进行屏蔽。
第二章 职责与权限
第六条 信息技术中心
(一)制定信息系统防病毒的整体安全规划和安全策略;
(二)信息系统安全漏洞的监控、预警和风险评估;
(三)对发现的漏洞提供解决方案;
(四)督查各单位对信息系统存在的漏洞进行整改;
(五)漏洞修复的验证工作;
(六)向学校网络安全和信息化委员会办公室(以下简称网信办)定期汇报各系统的漏洞(防病毒)整改或防范工作情况。
第七条 其他二级单位
(一)建立本单位接入校园网的主机、信息系统、数据库等信息资产台账;
(二)负责本单位信息系统的防病毒软件以及安全防护软件安装;
(三)及时更新系统补丁;
(四)根据安全漏洞报告及加固建议制定详细的加固方案;
(五)督促运维公司修复应用系统或网络设备存在的安全漏洞;
(六)完成整改后5个工作日内以书面形式将信息系统安全隐患整改报告报送至信息技术中心,报送内容和格式见附件1。
第三章 防病毒管理
第八条 Windows服务器必须安装学校统一购买的企业版防病毒软件,不得随意修改防病毒软件权限和关闭防病毒软件。
第九条 Linux服务器建议安装学校统一购买的企业版防病毒软件。
第十条 其他具有操作系统的设备根据实际情况安装防病毒软件或安全防护软件。
第十一条 各类设备需启用自动升级病毒库功能,按要求自动升级病毒库;使用人员需定期检查防护软件的升级情况。
第十二条 确保防病毒软件有效运行,启用防病毒软件自动日志功能,记录杀毒日志,定期进行病毒扫描和查杀。
第十三条 发现不可清除的病毒和异常情况,须及时向信息技术中心报告,信息技术中心网络安全管理员在接到各单位安全管理报告后应对计算机病毒进行分析和研判,对影响面较大的还应向网信办进行专题汇报,并制定具体防护措施。
第十四条 对因病毒引起的主机或信息系统瘫痪,程序或数据被严重破坏等重大事件应按照学校信息技术安全事件报告与处置流程进行处理。
第四章 漏洞检测与整改
第十五条 学校信息安全漏洞的获知渠道
(一)软硬件厂商和国际、国内知名安全组织的安全通告;
(二)信息技术中心组织的渗透测试报告及安全评审意见;
(三)使用安全漏洞评估工具扫描得出的结果;
(四)学校合作的安全服务提供商的漏洞通知。
第十六条 漏洞危害分级标准
充分考虑信息安全漏洞的利用难易程度以及对业务的影响情况,依据CVE、CNVD或CNNVD标准进行漏洞评级定义。在量化安全漏洞中,对每个威胁进行评分,并根据如下模型计算风险值。
风险等级 |
分值 |
评价说明 |
超危 |
sqrt(atan(超危漏洞总数)/pi())*75 |
可以直接被利用的漏洞,且利用难度较低。被攻击之后可能对信息系统或主机及网络设备的正常运行造成严重影响,或对用户财产及个人信息造成重大损失。 |
高危 |
sqrt(atan(高危漏洞总数)/pi())*60 |
被利用之后,造成的影响较大,但直接利用难度较高的漏洞,或本身无法直接攻击,但能为进一步攻击造成极大便利的漏洞。 |
中危 |
每类型3分 |
利用难度极高,或满足严格条件才能实现攻击的漏洞。或漏洞本身无法被直接攻击,但能为进一步攻击起较大帮助作用的漏洞。 |
低危 |
每类型2分 |
无法直接实现攻击,但提供的信息可能让攻击者更容易找到其他安全漏洞。 |
其他 |
每类型1分 |
本身对网络及信息系统的安全没有直接影响,提供的信息可能为攻击者提供少量帮助,或可用于其他手段的攻击。 |
综合得分为
,漏洞风险评估分类如下:
紧急 |
高风险 |
中风险 |
低风险 |
低风险以下 |
≥80 |
60(含)-80 |
20(含)-60 |
5(含)-20 |
≤5 |
第十七条 评估范围和周期
(一)信息技术中心应定期对各类信息系统进行安全漏洞评估。
(二)评估范围包括校园网内所有联网的网络设备、安全设备、服务器主机、应用系统、数据库和中间件等软硬件设施。
(三)操作系统的安全评估周期为每季度一次,并对存在漏洞的主机出具漏洞评估风险报告。
(四)应用系统按照以下规则进行评估:
(1)对接入互联网且存在高危及以上漏洞的应用系统,原则上每周应进行一次安全扫描,连续两周无高危漏洞的按(2)执行;
(2)对接入互联网无高危及以上漏洞的应用系统,原则上每月应进行一次安全扫描;
(3)对仅接入校园网的应用系统,每季度应进行一次安全扫描。
第十八条 隐患整改时效性
根据信息系统部署的区域以及漏洞风险评估分类,信息系统隐患的整改时效性有一定的差异。具体处理时效要求如下表,低风险及以下风险级别不做强制性要求。
风险级别 |
整改时间 |
开放区域 |
整改强制性 |
备注 |
紧急 |
1个日历日内 |
互联网 |
是 |
|
1个日历日内 |
校园网 |
是 |
|
高风险 |
3个日历日内 |
互联网 |
是 |
|
3个日历日内 |
校园网 |
是 |
|
中风险 |
15个日历日内 |
互联网 |
是 |
|
20个日历日内 |
校园网 |
否 |
根据风险评估 |
低风险 |
建议15日历日内 |
互联网/校园网 |
否 |
|
低风险以下 |
建议30日历日内 |
互联网/校园网 |
否 |
|
第十九条 例外处理
因特殊原因,不能按照规定的时效性要求完成隐患整改的,可向信息技术中心申请延期,并填写信息系统延期整改申请表,内容和格式见附件2。
第五章 附则
第二十条 本办法由信息化建设与管理办公室制定,并负责解释和修订。
第二十一条 本办法自发布之日起执行。
第二十二条 本办法未尽事宜,依照法律法规和上级文件要求确立的原则处理。
第六章 附件
附件1《信息系统安全隐患整改报告》
附件2《信息系统延期整改申请表》
当前位置: