文/吴海燕

安全漏洞管理流程：你必须知道的几个要素

文/吴海燕

高校信息安全管理是当前高校信息化工作的重点和难点。经过十余年的发展，各高校都基本完成了信息化建设的“原始积累”，拥有了相当数量的基础设施、信息系统和数据。长期的重建设发展，轻运维安全，使得高校在信息安全管理方面基础薄弱。面对当前严峻的安全形势，面对来自国家相关部门的安全工作要求，往往感到挑战与压力巨大。令人欣慰的是，经过短暂的迷茫后，很多高校已经逐步理顺了信息安全管理的相关工作，信息安全管理不再是一项“不出事时看不见”的工作，变得具体而实在，有着扎扎实实的工作内容、实实在在的人员队伍、有条不紊的工作节奏。在各项信息安全管理的具体工作中，漏洞管理是一项比较有分量的工作。

高校信息安全漏洞管理流程分析

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统，是受限制的计算机、组件、应用程序或其他联机资源无意中留下的不受保护的入口点。自上世纪90年代起被关注以来，信息安全漏洞数量、种类一直在不断发展，安全漏洞报告平台的类型也在不断丰富，特别是进入“互联网+”后，除了传统的如CNVD这样的以通报成熟软硬件系统漏洞为主的平台外，还出现了像“补天”这样的以通报企事业单位信息系统安全漏洞为主的、所谓衔接“白帽子”与企业的安全漏洞平台。对于高校来说，漏洞的来源更加多样，种类更加丰富，在无形中增加了漏洞管理工作的难度，要求高校必须形成规范、闭环的安全漏洞管理流程，流程中应包括漏洞发现、漏洞处置、漏洞整改、整改结果验证等环节。

漏洞发现

应有专门的安全管理员负责漏洞的跟踪工作，跟踪的安全漏洞平台既应包括国家信息安全漏洞平台这样的官方平台，也应包括像360补天、教育行业安全漏洞信息平台这样的民间平台。管理员通过定期查看或者获得推送的方式获取漏洞的最新信息，从中筛选与学校信息系统网站相关的漏洞信息，并对漏洞信息进行验证，排除误报。来自教育部、公安部门的安全通告、风险提示单等也应纳入此体系，漏洞信息应经过验证后进行后续流程。

漏洞处置

安全管理员对漏洞的危险等级进行评估，确定漏洞的危险等级，对不同等级的漏洞采取不同的处置措施：

对于高危安全漏洞，应立刻采取断网措施，并根据信息系统的登记备案信息，将漏洞分发给信息系统的责任单位进行整改，信息系统责任部门完成安全整改后由学校的技术部门进行整改结果检测，通过检测后信息系统恢复运行。

对于中、低危安全漏洞，采取限期整改处置措施（中、低危漏洞期限不同），并通知信息系统责任单位进行安全整改，逾期未完成整改的系统采取断网的处置措施，信息系统责任部门完成安全整改后由学校的技术部门进行整改结果检测，通过检测后信息系统恢复运行。

安全漏洞危险等级划分

对漏洞进行分级分类是漏洞处置环节的关键操作，《信息安全技术安全漏洞等级划分指南》 (GB/T 30279-2013)规定了信息系统安全漏洞的等级划分要素和危害等级程度，给出了安全漏洞等级划分方法。该标准中安全漏洞等级划分要素包括访问路径、利用复杂度和影响程度三个方面。访问路径的赋值包括本地、邻接和远程，通常可被远程利用的漏洞危害程度高于可被邻接利用的漏洞，可被本地利用的漏洞次之。利用复杂度的赋值包括简单和复杂，通常利用复杂度简单的漏洞危害程度高。建议高校参照此标准，结合学校的特点制订本地化的安全漏洞分级标准，据此标准开展漏洞处置工作。例如可将高校的安全漏洞划分为高危、中危、低危三个等级。

高危漏洞是指可远程利用并能直接获取系统权限（服务器端权限、客户端权限）或者能够导致严重级别的信息泄漏（泄漏大量用户信息或学校机密信息）的漏洞，包括但不仅限于：命令注入、远程命令执行、上传获取WebShell、SQL 注入、缓冲区溢出、绕过认证直接访问管理后台、核心业务非授权访问、核心业务后台弱密码等。

中危漏洞是指能直接盗取用户身份信息或者能够导致普通级别的信息泄漏的漏洞，包括但不限于存储型 XSS 漏洞、客户端明文密码存储等。

低危漏洞是指能够导致轻微信息泄露的安全漏洞，包括但不仅限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、CSRF、路径信息泄露、SVN信息泄露、phpinfo等。

根据安全漏洞平台的数据统计，安全漏洞数量、种类都呈上升趋势，安全漏洞管理是当前高校信息安全管理日常工作的必选动作，本文分析了高校安全漏洞管理的流程，并对安全漏洞的等级划分提出了建议。本文提出的漏洞处理流程还比较粗略，还有很多细节问题有待进一步研讨，如漏洞管理流程与高校其他安全管理流程（如信息资产登记备案、安全检测）之间的接口，如漏洞管理中的自动化推送和信息化支持技术等内容。希望本文能够抛砖引玉，引发高校及业界同行的共同思考，优化漏洞管理相关工作，提升高校信息安全管理的水平。

（责编：王左利）

（作者单位为清华大学）

CERNET黑龙江用户网络空间安全工作组成立

近日，为进一步推动高校信息化建设的协调发展，提高黑龙江地区高等院校网络安全水平，CERNET黑龙江用户网络空间安全工作组在哈尔滨正式成立。首任工作组组长由哈尔滨工业大学网络与信息中心主任谢大纲担任，该工作组的成立，是黑龙江高等教育信息化和网络空间安全建设的重要举措，将为黑龙江省高校提供一个高校行业内部网络安全和信息安全建设的公共沟通交流平台，为黑龙江教育行业网络安全建设提供必要的支撑。

据悉，“CERNET黑龙江用户网络空间安全工作组”的成立，是黑龙江省公安厅、教育厅、哈尔滨市信息中心和省内部分高校网络中心共同努力的结果。工作组的主要工作包括：围绕网络空间安全，指导高校网络和信息安全工作方向，解读教育部和行业内相关政策和规定；依托CERNET平台加强技术合作，邀请业内专家针对高校安全建设需求进行专题报告，共享先进技术理念；协调各高校之间的网络安全部规划与部署，在兄弟院校之间进行经验分享，共同提升全省高校网络安全管理水平；吸收和引进社会力量，广泛联系行业主要厂商，介绍网络安全技术与产品的最新趋势，以高校教学科研应用为基础，聚合产学研用各方，推动黑龙江省网络空间安全全面发展。

（供稿：哈尔滨工业大学网络与信息中心董永苹）

锐捷网络发布智慧云课堂解决方案

本刊讯 近日，锐捷网络在京举办新品发布会，正式推出“智慧云课堂”解决方案。该方案将学生课桌和智慧学习终端有机结合，配合丰富的教学互动管理软件，将信息技术与现代教育场景深度融合，以“课堂用、经常用、普遍用”为目标，打造面向未来的全新教学课堂。

锐捷智慧云课堂方案包括由智慧学习终端RG-SmartRain100、智慧手写组件RG-RainPen、智慧一体化桌椅RG-RainDesk组成的硬件环境，以及教学互动软件RG-ClassManager Air（覆盖教室教师端、学生端和办公室Web端）组成。

在硬件架构上，整套设备采用了一键升降设计，教师可以统一控制，5 秒即可开启教学环境。与此同时，学生不仅可以通过智慧终端观看教师展示，还可通过智慧手写组件在普通纸张上实现真实书写，并在0.2毫秒内传输到智慧学习终端中，真正做到不改变学生书写习惯。

为了实现“课堂用、经常用、普遍用”的智慧教育建设目标，除了高科技的硬件产品，锐捷智慧云课堂还配备了“一看就会用”的教学互动软件RG-ClassManager Air，集备课、分组教学、随堂测试、翻转课堂、学情分析、学生激励于一体。