文档介绍:该【补丁安全管理规定 】是由【世界末末日】上传分享,文档一共【8】页,该文档可以免费在线阅读,需要了解更多关于【补丁安全管理规定 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。补丁安全治理规定第一章总则第一条为加强XXX信息系统安全补丁的跟踪、分析、测试、分发和检查流程,落实主机、网络设备、数据库系统补丁安全治理工作,降低信息系统安全漏洞带来的安全风险,提高信息系统的抗攻击力量,特制定本细则。其次条本实施细则适用于XXX信息系统主机、网络设备、数据库系统、应用软件的补丁安全治理。其次章职责与权限第三条 安全治理员职责:(一)负责跟踪以下信息,并直接猎取可信任安全补丁程序或将安全补丁猎取地址公布至系统治理员,数据库治理员,网络治理员:CERT公布相关预警信息厂商、效劳商公布的相关安全公告本部门公布的安全预警等安全公告类信息。(二)负责对补丁加载状况定期审查、验证并归档。第四条 系统治理员职责:(一)通过安全治理员猎取补丁的安装程序或公布地址,下载补丁安装程序。(二)负责补丁测试、加载、验证并填写相关报告、表单。(三)对补丁的影响进展评估,对风险进展掌握。第五条 数据库治理员职责:(一)通过安全治理员猎取补丁的安装程序或公布地址,下载补丁安装程序。(二)负责补丁测试、加载、验证并填写相关报告、表单。(三)对补丁的影响进展评估,对风险进展掌握。第六条 网络治理员职责:(一)通过安全治理员猎取补丁或IOS文件的安装程序或公布地址,下载补丁安装程序。(二)负责补丁或者IOS文件的测试、加载、验证并填写相关报告、表单。(三)对补丁的影响进展评估,对风险进展掌握。第三章补丁安全治理原则第七条准时性原则:对于必要的安全补丁的公布和安装流程,必需准时准确,把安全漏洞所造成的对信息系统的潜在威逼降到最低;第八条严密性原则:补丁的测试和分发流程都需要严密的打算,在保障安全行的同时不影响生产和应用系统的正常运行;第九条持续性原则:补丁治理工作是一个长期持续性的工作,安全治理人员应时刻跟踪厂商的补丁公告和安全公司的安全公告。第十条适应性原则:分场景执行安全补丁治理要求。第四章补丁安全治理细则第十一条安全治理员需区分信息资产、IT系统环境、IT网络环境的重要等级,以便有针对性地跟踪所需要的系统补丁和需要实行的措施。第十二条安全治理员应每月定期跟踪补丁的最信息。信息的来源分为以下几类:(一)软件厂商:软件厂商是补丁的主要来源,每一次安全补丁的公布,产商都会公布通告;(二)安全机构:官方安全机构会对一些影响特别大的安全大事进展通告;(三)安全组织和安全公司:这是争论安全的主要力气,公告的特点是公布快速、内容具体、方案全面,并且可知是否已经或者可以被利用。第十三条安全漏洞的威逼等级分类为:威逼等级定义紧急利用漏洞可以远程猎取治理员权限严峻攻击程序和病毒结合,形成蠕虫中等猎取一般用户访问权限/提升权限/远程拒绝效劳低等信息泄漏、本地拒绝效劳第十四条安全治理员应分析安全漏洞的威逼等级,针对于不同的安全漏洞,对应的修补时间和修补方式要求如下:威逼等级允许修补的时间修补方式紧急2天用非补丁方式修补,如用防火墙或者限制功能等方式,同时增加监控严峻5-10天补丁方式修补中等10-30天限制使用程序、补丁方式低等30-90天补丁方式针对Windows操作系统,各系统治理员应关注以下四类补丁程序,其安装时间要求如下:序号补丁类别安装时间1安全修补程序参照对应漏洞的严峻等级2安全更参照最严峻漏洞的严峻等级3更汇总系统重安装后或者阶段性安装4ServicePack系统重安装后或者阶段性安装第十五条各系统治理员、网络治理员、数据库治理员应把握各应用系统及网络环境:确定各系统当前所使用的系统类型和版本,以前没有打的补丁,缘由以及补救方法。第十六条各系统治理员、网络治理员、数据库治理员应确保从安全牢靠的地方猎取补丁程序,推举直接从厂商网站上下载,假设补丁支持校验,必需进展安全校验,以验证补丁的牢靠性,防止补丁被恶意用户篡改。第十七条严禁未经测试直接在生产系统上加载补丁。第十八条补丁测试的过程要考虑测试的广泛性和针对性,即在实际状况下尽量充分地测试。第十九条补丁测试的方式有两种:测试环境测试和现网测试;测试环境测试必需进展,测试环境需要与现网环境尽可能全都,并考虑差异性带来的风险;条件允许的状况下〔如有测试环境或备机〕可以现网测试。补丁测试的内容包括补丁安装测试、补丁兼容性测试和补丁回退测试:(一)安装测试主要测试补丁安装过程是否正确无误,补丁安装后系统是否正常启动。(二)补丁兼容性测试主要测试补丁安装后是否对应用系统带来影响,业务是否可以正常运行。(三)补丁回退测试主要包括补丁卸载测试、系统复原测试。其次十条补丁测试的工作可由系统集成商负责实施,所属治理员负责协调,必需对补丁的现场测试和现网测试限定时间,测试完成后需要编写具体的测试报告,给出明确的测试结论。其次十一条 为确保系统集成商准时协作补丁的测试和安装工作,需要通过合同的方式,明确集成商的安全补丁测试和安装责任,约束条款至少应包括:试验室测试环境的搭建,在规定时间内完成补丁测试,补丁的安装,补丁安装失败时的测试与分析,补丁与应用冲突时的系统改造和升级工作。其次十二条 完成补丁测试后,所属治理员假设未觉察问题,则要依据漏洞威逼的紧急程度,与治理员制定补丁分发打算,依据实际状况在所属系统中分批安装。其次十三条 分发补丁的优先次序为:(一)办公网环境的计算机优先安装;(二)生产网中资产价值大、威逼等级高的系统优先安装;(三)对于具有多台效劳器并行的负载均衡系统,并行的效劳器组应分批屡次分发和安装系统补丁。其次十四条 安全治理员应依据最的补丁通告信息,指导和组织各部门进展安全补丁的安装工作。其次十五条 如无特别缘由,办公网环境、各部门的计算机应优先安装系统安全补丁安全治理员应催促本职责范围内计算机安全补丁的安装工作。其次十六条 各系统治理员、网络治理员、数据库治理员确定生产环境所属系统的补丁分发挨次后,应上报安全治理员审批,由其通知其它相关影响部门。在审批通过后,组织相关人员按打算执行补丁安装。其次十七条 对重要的业务系统安装系统安全补丁,系统治理员应事先做好系统和数据的备份工作,以便在补丁安装失败后可以尽快恢复系统。其次十八条 补丁的安装操作过程必需具体记录,核心业务系统的补丁加载必需要求厂商工程师现场支持。其次十九条 终端操作系统安全补丁要随出随打;第三十条效劳器安全补丁要随应用软件升级一同安装;第三十一条 定期打补丁的周期不得多于6个月。在没打补丁期间,要实行临时替代措施。第三十二条 对补丁安装过程中消灭且能解决的问题,尽快进展总结,以便为解决同类问题供给借鉴。第三十三条 对于一些不能解决的补丁安装问题,需承受应急方案,使用备份系统或者卸载补丁,同时需确定一个临时的解决方法消退漏洞的潜在威逼,并尽快向补丁厂商寻求技术支持。第三十四条 完成系统补丁的安装变更后,系统治理员需对安装的系统进展检查,准时确认补丁的安装状况,向安全治理员提交《系统安全补丁安装记录》。第三十五条 各系统治理员、网络治理员、数据库治理员可以通过适当的工具软件,检查全网的补丁安装状况,并对未正常安装的补丁的计算机进展通报,以便准时处理。第五章附则第三十六条 本制度由信息安全部制定,并负责解释和修订。由信息安全工作组争论通过,公布执行。第三十七条 本制度自公布之日起生效。