高校信息安全管理是当前高校信息化工作的重点和难点。经过十余年的发展，各高校都基本完成了信息化建设的“原始积累”，拥有了相当数量的基础设施、信息系统和数据。长期的重建设发展，轻运维安全，使得高校在信息安全管理方面基础薄弱。面对当前严峻的安全形势，面对来自国家相关部门的安全工作要求，往往感到挑战与压力巨大。令人欣慰的是，经过短暂的迷茫后，很多高校已经逐步理顺了信息安全管理的相关工作，信息安全管理不再是一项“不出事时看不见”的工作，变得具体而实在，有着扎扎实实的工作内容、实实在在的人员队伍、有条不紊的工作节奏。在各项信息安全管理的具体工作中，漏洞管理是一项比较有分量的工作。

　　高校信息安全漏洞管理流程分析

　　漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统，是受限制的计算机、组件、应用程序或其他联机资源无意中留下的不受保护的入口点。自上世纪90年代起被关注以来，信息安全漏洞数量、种类一直在不断发展，安全漏洞报告平台的类型也在不断丰富，特别是进入“互联网+”后，除了传统的如CNVD这样的以通报成熟软硬件系统漏洞为主的平台外，还出现了像“补天”这样的以通报企事业单位信息系统安全漏洞为主的、所谓衔接“白帽子”与企业的安全漏洞平台。对于高校来说，漏洞的来源更加多样，种类更加丰富，在无形中增加了漏洞管理工作的难度，要求高校必须形成规范、闭环的安全漏洞管理流程，流程中应包括漏洞发现、漏洞处置、漏洞整改、整改结果验证等环节。

　　漏洞发现

　　应有专门的安全管理员负责漏洞的跟踪工作，跟踪的安全漏洞平台既应包括国家信息安全漏洞平台这样的官方平台，也应包括像360补天、教育行业安全漏洞信息平台这样的民间平台。管理员通过定期查看或者获得推送的方式获取漏洞的最新信息，从中筛选与学校信息系统网站相关的漏洞信息，并对漏洞信息进行验证，排除误报。来自教育部、公安部门的安全通告、风险提示单等也应纳入此体系，漏洞信息应经过验证后进行后续流程。漏洞处置

　　安全管理员对漏洞的危险等级进行评估，确定漏洞的危险等级，对不同等级的漏洞采取不同的处置措施：

　　对于高危安全漏洞，应立刻采取断网措施，并根据信息系统的登记备案信息，将漏洞分发给信息系统的责任单位进行整改，信息系统责任部门完成安全整改后由学校的技术部门进行整改结果检测，通过检测后信息系统恢复运行。对于中、低危安全漏洞，采取限期整改处置措施（中、低危漏洞期限不同），并通知信息系统责任单位进行安全整改，逾期未完成整改的系统采取断网的处置措施，信息系统责任部门完成安全整改后由学校的技术部门进行整改结果检测，通过检测后信息系统恢复运行。

　　安全漏洞危险等级划分

　　对漏洞进行分级分类是漏洞处置环节的关键操作，《信息安全技术安全漏洞等级划分指南》（GB/T30279-2013）规定了信息系统安全漏洞的等级划分要素和危害等级程度，给出了安全漏洞等级划分方法。该标准中安全漏洞等级划分要素包括访问路径、利用复杂度和影响程度三个方面。访问路径的赋值包括本地、邻接和远程，通常可被远程利用的漏洞危害程度高于可被邻接利用的漏洞，可被本地利用的漏洞次之。利用复杂度的赋值包括简单和复杂，通常利用复杂度简单的漏洞危害程度高。建议高校参照此标准，结合学校的特点制订本地化的安全漏洞分级标准，据此标准开展漏洞处置工作。例如可将高校的安全漏洞划分为高危、中危、低危三个等级。

　　高危漏洞是指可远程利用并能直接获取系统权限（服务器端权限、客户端权限）或者能够导致严重级别的信息泄漏（泄漏大量用户信息或学校机密信息）的漏洞，包括但不仅限于：命令注入、远程命令执行、上传获取WebShell、SQL注入、缓冲区溢出、绕过认证直接访问管理后台、核心业务非授权访问、核心业务后台弱密码等。

　　中危漏洞是指能直接盗取用户身份信息或者能够导致普通级别的信息泄漏的漏洞，包括但不限于存储型XSS漏洞、客户端明文密码存储等。

　　低危漏洞是指能够导致轻微信息泄露的安全漏洞，包括但不仅限于反射型XSS（包括反射型DOM-XSS）、JSONHijacking、CSRF、路径信息泄露、SVN信息泄露、phpinfo等。

　　根据安全漏洞平台的数据统计，安全漏洞数量、种类都呈上升趋势，安全漏洞管理是当前高校信息安全管理日常工作的必选动作，本文分析了高校安全漏洞管理的流程，并对安全漏洞的等级划分提出了建议。本文提出的漏洞处理流程还比较粗略，还有很多细节问题有待进一步研讨，如漏洞管理流程与高校其他安全管理流程（如信息资产登记备案、安全检测）之间的接口，如漏洞管理中的自动化推送和信息化支持技术等内容。希望本文能够抛砖引玉，引发高校及业界同行的共同思考，优化漏洞管理相关工作，提升高校信息安全管理的水平。

　　（作者单位为清华大学）