安全漏洞管理流程：你必須知道的幾個要素

文/吳海燕

安全漏洞管理流程：你必須知道的幾個要素

文/吳海燕

高校信息安全管理是當(dāng)前高校信息化工作的重點和難點。經(jīng)過十余年的發(fā)展，各高校都基本完成了信息化建設(shè)的“原始積累”，擁有了相當(dāng)數(shù)量的基礎(chǔ)設(shè)施、信息系統(tǒng)和數(shù)據(jù)。長期的重建設(shè)發(fā)展，輕運維安全，使得高校在信息安全管理方面基礎(chǔ)薄弱。面對當(dāng)前嚴(yán)峻的安全形勢，面對來自國家相關(guān)部門的安全工作要求，往往感到挑戰(zhàn)與壓力巨大。令人欣慰的是，經(jīng)過短暫的迷茫后，很多高校已經(jīng)逐步理順了信息安全管理的相關(guān)工作，信息安全管理不再是一項“不出事時看不見”的工作，變得具體而實在，有著扎扎實實的工作內(nèi)容、實實在在的人員隊伍、有條不紊的工作節(jié)奏。在各項信息安全管理的具體工作中，漏洞管理是一項比較有分量的工作。

高校信息安全漏洞管理流程分析

漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)，是受限制的計算機(jī)、組件、應(yīng)用程序或其他聯(lián)機(jī)資源無意中留下的不受保護(hù)的入口點。自上世紀(jì)90年代起被關(guān)注以來，信息安全漏洞數(shù)量、種類一直在不斷發(fā)展，安全漏洞報告平臺的類型也在不斷豐富，特別是進(jìn)入“互聯(lián)網(wǎng)+”后，除了傳統(tǒng)的如CNVD這樣的以通報成熟軟硬件系統(tǒng)漏洞為主的平臺外，還出現(xiàn)了像“補(bǔ)天”這樣的以通報企事業(yè)單位信息系統(tǒng)安全漏洞為主的、所謂銜接“白帽子”與企業(yè)的安全漏洞平臺。對于高校來說，漏洞的來源更加多樣，種類更加豐富，在無形中增加了漏洞管理工作的難度，要求高校必須形成規(guī)范、閉環(huán)的安全漏洞管理流程，流程中應(yīng)包括漏洞發(fā)現(xiàn)、漏洞處置、漏洞整改、整改結(jié)果驗證等環(huán)節(jié)。

漏洞發(fā)現(xiàn)

應(yīng)有專門的安全管理員負(fù)責(zé)漏洞的跟蹤工作，跟蹤的安全漏洞平臺既應(yīng)包括國家信息安全漏洞平臺這樣的官方平臺，也應(yīng)包括像360補(bǔ)天、教育行業(yè)安全漏洞信息平臺這樣的民間平臺。管理員通過定期查看或者獲得推送的方式獲取漏洞的最新信息，從中篩選與學(xué)校信息系統(tǒng)網(wǎng)站相關(guān)的漏洞信息，并對漏洞信息進(jìn)行驗證，排除誤報。來自教育部、公安部門的安全通告、風(fēng)險提示單等也應(yīng)納入此體系，漏洞信息應(yīng)經(jīng)過驗證后進(jìn)行后續(xù)流程。

漏洞處置

安全管理員對漏洞的危險等級進(jìn)行評估，確定漏洞的危險等級，對不同等級的漏洞采取不同的處置措施：

對于高危安全漏洞，應(yīng)立刻采取斷網(wǎng)措施，并根據(jù)信息系統(tǒng)的登記備案信息，將漏洞分發(fā)給信息系統(tǒng)的責(zé)任單位進(jìn)行整改，信息系統(tǒng)責(zé)任部門完成安全整改后由學(xué)校的技術(shù)部門進(jìn)行整改結(jié)果檢測，通過檢測后信息系統(tǒng)恢復(fù)運行。

對于中、低危安全漏洞，采取限期整改處置措施（中、低危漏洞期限不同），并通知信息系統(tǒng)責(zé)任單位進(jìn)行安全整改，逾期未完成整改的系統(tǒng)采取斷網(wǎng)的處置措施，信息系統(tǒng)責(zé)任部門完成安全整改后由學(xué)校的技術(shù)部門進(jìn)行整改結(jié)果檢測，通過檢測后信息系統(tǒng)恢復(fù)運行。

安全漏洞危險等級劃分

對漏洞進(jìn)行分級分類是漏洞處置環(huán)節(jié)的關(guān)鍵操作，《信息安全技術(shù)安全漏洞等級劃分指南》 (GB/T 30279-2013)規(guī)定了信息系統(tǒng)安全漏洞的等級劃分要素和危害等級程度，給出了安全漏洞等級劃分方法。該標(biāo)準(zhǔn)中安全漏洞等級劃分要素包括訪問路徑、利用復(fù)雜度和影響程度三個方面。訪問路徑的賦值包括本地、鄰接和遠(yuǎn)程，通常可被遠(yuǎn)程利用的漏洞危害程度高于可被鄰接利用的漏洞，可被本地利用的漏洞次之。利用復(fù)雜度的賦值包括簡單和復(fù)雜，通常利用復(fù)雜度簡單的漏洞危害程度高。建議高校參照此標(biāo)準(zhǔn)，結(jié)合學(xué)校的特點制訂本地化的安全漏洞分級標(biāo)準(zhǔn)，據(jù)此標(biāo)準(zhǔn)開展漏洞處置工作。例如可將高校的安全漏洞劃分為高危、中危、低危三個等級。

高危漏洞是指可遠(yuǎn)程利用并能直接獲取系統(tǒng)權(quán)限（服務(wù)器端權(quán)限、客戶端權(quán)限）或者能夠?qū)е聡?yán)重級別的信息泄漏（泄漏大量用戶信息或?qū)W校機(jī)密信息）的漏洞，包括但不僅限于：命令注入、遠(yuǎn)程命令執(zhí)行、上傳獲取WebShell、SQL 注入、緩沖區(qū)溢出、繞過認(rèn)證直接訪問管理后臺、核心業(yè)務(wù)非授權(quán)訪問、核心業(yè)務(wù)后臺弱密碼等。

中危漏洞是指能直接盜取用戶身份信息或者能夠?qū)е缕胀墑e的信息泄漏的漏洞，包括但不限于存儲型 XSS 漏洞、客戶端明文密碼存儲等。

低危漏洞是指能夠?qū)е螺p微信息泄露的安全漏洞，包括但不僅限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、CSRF、路徑信息泄露、SVN信息泄露、phpinfo等。

根據(jù)安全漏洞平臺的數(shù)據(jù)統(tǒng)計，安全漏洞數(shù)量、種類都呈上升趨勢，安全漏洞管理是當(dāng)前高校信息安全管理日常工作的必選動作，本文分析了高校安全漏洞管理的流程，并對安全漏洞的等級劃分提出了建議。本文提出的漏洞處理流程還比較粗略，還有很多細(xì)節(jié)問題有待進(jìn)一步研討，如漏洞管理流程與高校其他安全管理流程（如信息資產(chǎn)登記備案、安全檢測）之間的接口，如漏洞管理中的自動化推送和信息化支持技術(shù)等內(nèi)容。希望本文能夠拋磚引玉，引發(fā)高校及業(yè)界同行的共同思考，優(yōu)化漏洞管理相關(guān)工作，提升高校信息安全管理的水平。

（責(zé)編：王左利）

（作者單位為清華大學(xué)）

CERNET黑龍江用戶網(wǎng)絡(luò)空間安全工作組成立

近日，為進(jìn)一步推動高校信息化建設(shè)的協(xié)調(diào)發(fā)展，提高黑龍江地區(qū)高等院校網(wǎng)絡(luò)安全水平，CERNET黑龍江用戶網(wǎng)絡(luò)空間安全工作組在哈爾濱正式成立。首任工作組組長由哈爾濱工業(yè)大學(xué)網(wǎng)絡(luò)與信息中心主任謝大綱擔(dān)任，該工作組的成立，是黑龍江高等教育信息化和網(wǎng)絡(luò)空間安全建設(shè)的重要舉措，將為黑龍江省高校提供一個高校行業(yè)內(nèi)部網(wǎng)絡(luò)安全和信息安全建設(shè)的公共溝通交流平臺，為黑龍江教育行業(yè)網(wǎng)絡(luò)安全建設(shè)提供必要的支撐。

據(jù)悉，“CERNET黑龍江用戶網(wǎng)絡(luò)空間安全工作組”的成立，是黑龍江省公安廳、教育廳、哈爾濱市信息中心和省內(nèi)部分高校網(wǎng)絡(luò)中心共同努力的結(jié)果。工作組的主要工作包括：圍繞網(wǎng)絡(luò)空間安全，指導(dǎo)高校網(wǎng)絡(luò)和信息安全工作方向，解讀教育部和行業(yè)內(nèi)相關(guān)政策和規(guī)定；依托CERNET平臺加強(qiáng)技術(shù)合作，邀請業(yè)內(nèi)專家針對高校安全建設(shè)需求進(jìn)行專題報告，共享先進(jìn)技術(shù)理念；協(xié)調(diào)各高校之間的網(wǎng)絡(luò)安全部規(guī)劃與部署，在兄弟院校之間進(jìn)行經(jīng)驗分享，共同提升全省高校網(wǎng)絡(luò)安全管理水平；吸收和引進(jìn)社會力量，廣泛聯(lián)系行業(yè)主要廠商，介紹網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品的最新趨勢，以高校教學(xué)科研應(yīng)用為基礎(chǔ)，聚合產(chǎn)學(xué)研用各方，推動黑龍江省網(wǎng)絡(luò)空間安全全面發(fā)展。

（供稿：哈爾濱工業(yè)大學(xué)網(wǎng)絡(luò)與信息中心董永蘋）

銳捷網(wǎng)絡(luò)發(fā)布智慧云課堂解決方案

本刊訊 近日，銳捷網(wǎng)絡(luò)在京舉辦新品發(fā)布會，正式推出“智慧云課堂”解決方案。該方案將學(xué)生課桌和智慧學(xué)習(xí)終端有機(jī)結(jié)合，配合豐富的教學(xué)互動管理軟件，將信息技術(shù)與現(xiàn)代教育場景深度融合，以“課堂用、經(jīng)常用、普遍用”為目標(biāo)，打造面向未來的全新教學(xué)課堂。

銳捷智慧云課堂方案包括由智慧學(xué)習(xí)終端RG-SmartRain100、智慧手寫組件RG-RainPen、智慧一體化桌椅RG-RainDesk組成的硬件環(huán)境，以及教學(xué)互動軟件RG-ClassManager Air（覆蓋教室教師端、學(xué)生端和辦公室Web端）組成。

在硬件架構(gòu)上，整套設(shè)備采用了一鍵升降設(shè)計，教師可以統(tǒng)一控制，5 秒即可開啟教學(xué)環(huán)境。與此同時，學(xué)生不僅可以通過智慧終端觀看教師展示，還可通過智慧手寫組件在普通紙張上實現(xiàn)真實書寫，并在0.2毫秒內(nèi)傳輸?shù)街腔蹖W(xué)習(xí)終端中，真正做到不改變學(xué)生書寫習(xí)慣。

為了實現(xiàn)“課堂用、經(jīng)常用、普遍用”的智慧教育建設(shè)目標(biāo)，除了高科技的硬件產(chǎn)品，銳捷智慧云課堂還配備了“一看就會用”的教學(xué)互動軟件RG-ClassManager Air，集備課、分組教學(xué)、隨堂測試、翻轉(zhuǎn)課堂、學(xué)情分析、學(xué)生激勵于一體。