- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
案例分享:高校信息系统漏洞风险降低策略,包括:信息系统漏洞分类与危害、信息系统漏泄的闭环管理探索、信息系统漏洞治理实践等,适合进行项目方案编制及信息安全技术培训。
案例分享:高校信息系统漏洞风险降低策略
导语
信息系统的漏洞就像蚁穴一样,是高校网络安全的威胁和隐患。
高校信息化经过多年发展,建成了大量的信息系统,成为信息化管理的核心资产,也是网络安全工作重点保护的对象,但这些信息系统的网络安全现状不容乐观。
首先,高校的信息系统由各业务部门自行建设和维护,缺乏网络安全规划且开发不规范,多存在安全漏洞。
其次,高校信息系统知名度高、访问量大,存放有师生、教学、管理、科研等重要数据,很多系统面向互联网开放,是黑客攻击的重点对象。
第三,高校受教育部和地方监管,存在任务重、网络安全检查压力大的情况,而上级主管部门的工作核心都是以挖掘信息系统漏洞为重点和抓手。
最后,高校信息化部门任务重压力大,网络安全工作人员多数配备不足,部分学校网络安全工作是人员兼职,信息系统的漏洞问题得不到及时解决。
一、信息系统漏洞分类与危害
漏洞也称为脆弱性,是信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的可被威胁利用的缺陷,这些缺陷存在于件应用、软件模块、驱动甚至硬件设备等各个层次和环节之中。
漏洞按照危害程度分为严重、高危、中危、低危4种级别;按照漏洞被人掌握的情况,又可以分为已知漏洞、未知漏洞和0day等几种类型;CNNVD将信息安全漏洞划分为配置错误、代码问题、信息泄露、输入验证、缓冲区错误、跨站脚本、路径遍历、SQL注入等26种类型。
在网络安全领域,漏洞是一种重要战略资源。漏洞是黑客们攻击的武器,一旦被利用就可能导致信息系统被攻击、信息泄露、数据被篡改、信息泄露或系统不能正常使用等情况。网络安全对抗时,如果能找到更多的系统漏洞,可降低攻击威胁或延缓黑客进攻的时间。
漏泄的危害很大,除了网络安全合规要求之外,如果被外部发现就可能被上级通报,不及时处理或处理不当,会被利用导致信息安全技术事件,影响学校声誉。
二、信息系统漏泄的闭环管理探索
按照漏泄处理的过程,我们把信息系统的漏洞管理分为6个环节,分别是漏洞发现、评估、对漏洞所在信息系统采取管控措施、通知整改、漏洞整改、漏洞复查和处置,称之为信息系统漏洞的闭环管理,如图1所示。
图1 信息系统漏洞处理环节
6个环节都有不同的工作重点和处理细节,下面分别加以介绍。
1、?漏洞发现
发现信息系统安全漏泄是漏洞管理很重要的一环。漏洞发现有主动自行发现和校外发现。自行发现有上线前安全检查 、定期安全巡检 、定向渗透测试等;漏洞另一个重要来源是第三方发现报送,同济大学目前接收的有教育行业漏洞报告平台、补天、其他安全厂商收集通报等;第三个来源是上级主管部门通报。
充分利用外部力量和自行主动发现漏洞是网络安全工作重点,2019年发现的漏洞达200多个,学校漏洞主动发现占比80%左右,平均接近1/3左右的信息系统存在漏洞,网络安全隐患突出。
2、漏洞评估
评估目的是保证漏泄的真实性、权威性,这个工作分为三个步骤。
首先评估真实性是指确认漏洞属于学校单位管理,并且要验证漏洞真实存在,确保不是误报,评估时尽量截图取证,后期发送整改通知时提供;
其次要评估漏洞的危害程度,量化漏洞威胁的可能性及其对业务的影响;
第三,根据漏洞危害程序决定是否上报学校领导、是否需要向上级主管部门汇报。
漏洞验证是一个费时费力、具有挑战性的工作。漏洞数量增多以后,我们召集学校里有漏洞验证能力的同学组成漏洞验证小组,建立稳定的漏洞验证队伍;有些比较复杂、难以处理的漏洞,请求网络安全能力厂商协助验证,确保发现的漏洞真实存在。
3、?管控措施
漏洞是网络安全管理风险之一,确认后需要采取相应的安全措施来降低或规避。学校目前对应的措施有关闭信息系统校外访问、停止域名解析、停止接入校园网等。
网络安全管理的成败取决于两个因素——技术和管理,技术是信息安全的构筑材料,管理才是真正的粘合剂和催化剂。学校在制定相关的网络安全文件时,要确定网络安全责任制的机构、人员,授权漏洞处置的合法性,从制度上加以保障。
4、?通知整改
由于邮件具有可以转发、抄送、不可抵赖等特性,学校信息系统整改主要采用邮件通知方式;部分紧急、严重的漏泄,及时电话通知。
邮件通知分为邮件接收人、主题、正文、附件四个部分。
邮件接收人是信息系统的信息安全员和单位网络安全负责人,同时抄送学校网信办与信息办相关领导和运维人员。
邮件主题以“网络信息安全整改通知书_XX部门_XX域名(或IP)_日期”命名,方便检索或收到回复时知道该邮件的大致信息。
邮件正文内容已固定模板,内容包括存在漏洞的信息系统域名、IP、系统管理员,漏洞名称、被采取的管控措施、整改周期等。
附件有漏洞扫描报告、渗透测试报告、漏洞截图及空白的《信息系统网络安全漏洞核查表》等。
整改完成后,被整改部门须提交《信息系统网络安全漏洞核查表》反馈材料。
5、?漏洞整改
对近几年整改
您可能关注的文档
- 网络安全要从“事后补救”到“事前防控”.docx
- 网络安全10大变革,你准备好了吗?.docx
- 不能掉以轻心,上半年发布的网络安全政策学起来!.docx
- 2020年国家网络安全宣传周有哪些亮点和看点.docx
- 人脸识别争议场景调研:受访者最反感商场追踪顾客.docx
- 遗留IT系统如何走出网络安全困境?.docx
- 科普:数据脱敏、加密、假名化、去标识化与匿名化的区分.docx
- 如何建设教育信息化评价指标体系?.docx
- 从IOC的一些真相谈对其的评价标准.docx
- 97% 的网络安全公司在暗网上泄露了数据.docx
- 第12课 我们小点儿声 课件 二年级道德与法治上册(部编版).ppt
- 11.2我从哪里来(教学课件)二年级道德与法治下册(统编版).ppt
- 第10课 我们不乱扔 课件 二年级道德与法治上册(部编版).ppt
- 1.3过好我们的课余生活 课件五年级道德与法治上册(部编版).ppt
- 第四单元《法律保护我们健康成长》大单元整体学程设计道德与法治六年级上册统编版.pdf
- 第十一课:多姿多彩的民间艺术(分层练习)四年级道法下册 部编版.pdf
- 第八课:大家的“朋友”(分层练习)三年级道法下册 部编版.pdf
- 第5课 我爱我们班 课件 二年级道德与法治上册(部编版).ppt
- 第二单元 我们是公民 大单元整体学程设计道德与法治六年级上册统编版.pdf
- 人教部编版二年级语文下册第五单元单元教学课件.ppt
文档评论(0)