陕西开放大学(陕西工商职业学院)漏洞扫描系统运行安全管理制度
第一章 总则
第一条 为保障学校网络与信息安全,维持学校各应用系统稳定运行,特制订本制度;
第二条 本制度适用于学校各部门、二级学院信息系统的所有漏洞扫描和相关设备的管理和运行。
第二章 人员职责
第三条 漏洞扫描系统管理员的确认
漏洞扫描系统管理员经信息化建设中心研究,从规划建设科管理人员中选择担任。
第四条 漏洞扫描系统管理员职责如下:
(一)恪守职业道德,严守学校秘密,熟悉有关信息系统安全的重要部署和应用环节。
(二)负责漏洞扫描系统的管理、更新;
(三)负责对校园网上线应用系统(包括服务器、系统软件、应用软件和专用网络设备)的首次、周期性和紧急的漏洞扫描;
(四)负责查找修补漏洞的补丁程序,及时打补丁堵塞漏洞;
(五)密切注意最新漏洞的发生、发展情况,关注和追踪国家权威机构公布的漏洞疫情;
(六)遵守漏洞扫描设备各项管理规范。
第三章 用户管理
第五条 只有漏洞扫描系统管理员才具有修改漏洞扫描配置、分析和扫描的权限。
第六条 为用户级和特权级模式设置口令。不能使用默认口令,不能缺省口令,确保用户级和特权级口令不同。
第七条 漏洞扫描设备口令及密码设置需遵守《陕西开放大学信息系统密码管理规定》
第四章 设备管理
第八条 漏洞扫描设备的部署环境应满足相应的国家标准和规范,其网络拓扑和扫描范围的更改变动需经信息化建设中心研究后进行,以保证漏洞扫描设备准确发挥效应。
第九条 漏洞扫描设备工作时会对相应网络造成一定程度的影响,应避免在网络运行高峰期进行扫描,如有特殊情况应通知有关应用系统管理员。
第十条 漏洞扫描设备的规则设置、更改的授权、审批依据《漏洞扫描设备配置变更审批表》(参见附表1)进行。漏洞扫描设备的规则设置、更改,应该得到信息化建设中心负责人的批准,由系统管理员具体负责实施。
第十一条 对扫描结果的分析和安全漏洞的修补。由信息化建设中心负责运行维护的系统漏洞扫描后,发现系统漏洞,必须及时找到修补漏洞的补丁程序,及时下载打补丁,堵塞漏洞。经批准上线的其他应用系统,需及时告知其系统管理人员,签发漏洞告知书,并限定漏洞堵塞期限。
第十二条 根据《陕西开放大学(陕西工商职业学院)应用系统上线管理规范》要求,系统管理员对上线应用系统的软硬件设备以及专用网络设备实施首次漏洞扫描。并填写
第十三条 漏洞扫描设备定期检测和维护要求(周期实施)。系统管理员的在线应用系统的软硬件以及专用网络设备实施周期性漏洞扫描,并填写《漏洞扫描记录单》
第十四条 漏洞扫描设备配置操作规程要求如下:
记录网络环境,定义漏洞扫描网络接口;
定义漏洞扫描的IP地址范围;
定义漏洞扫描的安全级别和扫描选项;
安装、升级最新的漏洞库;
定义管理员清单和管理权限;
测试漏洞扫描设备的性能和做好网管数据库。
第十五条 漏洞扫描发现的安全时间处理和报告要求。
一旦获悉国家权威机构公布的漏洞疫情,并确认他们存在严重的危害性,即使学校当前尚未出现受到侵扰的迹象,也不许采取预防措施,紧急更新库,通告学校各应用系统管理员。
第五章 附则
第十六条 本制度由信息化建设中心负责解释;
第十七条 本规定自颁布之日起施行
