案例分享：高校信息系统漏洞风险降低策略.docxVIP

案例分享：高校信息系统漏洞风险降低策略 导语 信息系统的漏洞就像蚁穴一样，是高校网络安全的威胁和隐患。 高校信息化经过多年发展，建成了大量的信息系统，成为信息化管理的核心资产，也是网络安全工作重点保护的对象，但这些信息系统的网络安全现状不容乐观。 首先，高校的信息系统由各业务部门自行建设和维护，缺乏网络安全规划且开发不规范，多存在安全漏洞。 其次，高校信息系统知名度高、访问量大，存放有师生、教学、管理、科研等重要数据，很多系统面向互联网开放，是黑客攻击的重点对象。 第三，高校受教育部和地方监管，存在任务重、网络安全检查压力大的情况，而上级主管部门的工作核心都是以挖掘信息系统漏洞为重点和抓手。 最后，高校信息化部门任务重压力大，网络安全工作人员多数配备不足，部分学校网络安全工作是人员兼职，信息系统的漏洞问题得不到及时解决。 一、信息系统漏洞分类与危害 漏洞也称为脆弱性，是信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的可被威胁利用的缺陷，这些缺陷存在于件应用、软件模块、驱动甚至硬件设备等各个层次和环节之中。 漏洞按照危害程度分为严重、高危、中危、低危4种级别；按照漏洞被人掌握的情况，又可以分为已知漏洞、未知漏洞和0day等几种类型；CNNVD将信息安全漏洞划分为配置错误、代码问题、信息泄露、输入验证、缓冲区错误、跨站脚本、路径遍历、SQL注入等26种类型。 在网络安全领域，漏洞是一种重要战略资源。漏洞是黑客们攻击的武器，一旦被利用就可能导致信息系统被攻击、信息泄露、数据被篡改、信息泄露或系统不能正常使用等情况。网络安全对抗时，如果能找到更多的系统漏洞，可降低攻击威胁或延缓黑客进攻的时间。 漏泄的危害很大，除了网络安全合规要求之外，如果被外部发现就可能被上级通报，不及时处理或处理不当，会被利用导致信息安全技术事件，影响学校声誉。 二、信息系统漏泄的闭环管理探索 按照漏泄处理的过程，我们把信息系统的漏洞管理分为6个环节，分别是漏洞发现、评估、对漏洞所在信息系统采取管控措施、通知整改、漏洞整改、漏洞复查和处置，称之为信息系统漏洞的闭环管理，如图1所示。 图1 信息系统漏洞处理环节 6个环节都有不同的工作重点和处理细节，下面分别加以介绍。 1、?漏洞发现 发现信息系统安全漏泄是漏洞管理很重要的一环。漏洞发现有主动自行发现和校外发现。自行发现有上线前安全检查 、定期安全巡检 、定向渗透测试等；漏洞另一个重要来源是第三方发现报送，同济大学目前接收的有教育行业漏洞报告平台、补天、其他安全厂商收集通报等；第三个来源是上级主管部门通报。 充分利用外部力量和自行主动发现漏洞是网络安全工作重点，2019年发现的漏洞达200多个，学校漏洞主动发现占比80%左右，平均接近1/3左右的信息系统存在漏洞，网络安全隐患突出。 2、漏洞评估 评估目的是保证漏泄的真实性、权威性，这个工作分为三个步骤。 首先评估真实性是指确认漏洞属于学校单位管理，并且要验证漏洞真实存在，确保不是误报，评估时尽量截图取证，后期发送整改通知时提供； 其次要评估漏洞的危害程度，量化漏洞威胁的可能性及其对业务的影响； 第三，根据漏洞危害程序决定是否上报学校领导、是否需要向上级主管部门汇报。 漏洞验证是一个费时费力、具有挑战性的工作。漏洞数量增多以后，我们召集学校里有漏洞验证能力的同学组成漏洞验证小组，建立稳定的漏洞验证队伍；有些比较复杂、难以处理的漏洞，请求网络安全能力厂商协助验证，确保发现的漏洞真实存在。 3、?管控措施 漏洞是网络安全管理风险之一，确认后需要采取相应的安全措施来降低或规避。学校目前对应的措施有关闭信息系统校外访问、停止域名解析、停止接入校园网等。 网络安全管理的成败取决于两个因素——技术和管理，技术是信息安全的构筑材料，管理才是真正的粘合剂和催化剂。学校在制定相关的网络安全文件时，要确定网络安全责任制的机构、人员，授权漏洞处置的合法性，从制度上加以保障。 4、?通知整改 由于邮件具有可以转发、抄送、不可抵赖等特性，学校信息系统整改主要采用邮件通知方式；部分紧急、严重的漏泄，及时电话通知。 邮件通知分为邮件接收人、主题、正文、附件四个部分。 邮件接收人是信息系统的信息安全员和单位网络安全负责人，同时抄送学校网信办与信息办相关领导和运维人员。 邮件主题以“网络信息安全整改通知书_XX部门_XX域名（或IP）_日期”命名，方便检索或收到回复时知道该邮件的大致信息。 邮件正文内容已固定模板，内容包括存在漏洞的信息系统域名、IP、系统管理员，漏洞名称、被采取的管控措施、整改周期等。 附件有漏洞扫描报告、渗透测试报告、漏洞截图及空白的《信息系统网络安全漏洞核查表》等。 整改完成后，被整改部门须提交《信息系统网络安全漏洞核查表》反馈材料。 5、?漏洞整改 对近几年整改