还剩6页未读,继续阅读
文本内容:
补丁安全管理规定第一章总则第一条为加强XXX信息系统安全补丁的跟踪、分析、测试、分发和检查流程,落实主机、网络设备、数据库系统补丁安全管理工作,降低信息系统安全漏洞带来的安全风险,提高信息系统的抗攻击能力,特制定本细则第二条本实施细则适用于XXX信息系统主机、网络设备、数据库系统、应用软件的补丁安全管理第二章职责与权限第三条安全管理员职责
(一)负责跟踪下列信息,并直接获取可信任安全补丁程序或将安全补丁获取地址发布至系统管理员,数据库管理员,网络管理员
1.安全组织如CNCERT发布相关预警信息
2.厂商、服务商发布的相关安全公告
3.本部门发布的安全预警等安全公告类信息
(二)负责对补丁加载情况定期审查、验证并归档第四条系统管理员职责
(一)通过安全管理员获取补丁的安装程序或发布地址,下载补丁安装程序
(二)负责补丁测试、加载、验证并填写相关报告、表单
(三)对补丁的影响进行评估,对风险进行控制第五条数据库管理员职责
(一)通过安全管理员获取补丁的安装程序或发布地址,下载补丁安装程序
(二)负责补丁测试、加载、验证并填写相关报告、表单
(三)对补丁的影响进行评估,对风险进行控制第六条网络管理员职责
(一)通过安全管理员获取补丁或IOS文件的安装程序或发布地址,下载补丁安装程序
(二)负责补丁或者IOS文件的测试、加载、验证并填写相关报告、表单
(三)对补丁的影响进行评估,对风险进行控制第三章补丁安全管理原则第七条及时性原则对于必要的安全补丁的发布和安装流程,必须及时准确,把安全漏洞所造成的对信息系统的潜在威胁降到最低;第八条严密性原则补丁的测试和分发流程都需要严密的计划,在保障安全行的同时不影响生产和应用系统的正常运行;第九条持续性原则补丁管理工作是一个长期持续性的工作,安全管理人员应时刻跟踪厂商的补丁公告和安全公司的安全公告第十条适应性原则分场景执行安全补丁管理要求第四章补丁安全管理细则第十一条安全管理员需区分信息资产、IT系统环境、IT网络环境的重要等级,以便有针对性地跟踪所需要的系统补丁和需要采取的措施第十二条安全管理员应每月定期跟踪补丁的最新信息信息的来源分为以下几类
(一)软件厂商软件厂商是补丁的主要来源,每一次安全补丁的发布,产商都会发布通告;
(二)安全机构官方安全机构会对一些影响特别大的安全事件进行通告;
(三)安全组织和安全公司这是研究安全的主要力量,公告的特点是发布快速、内容详细、方案全面,并且可知是否已经或者可以被利用第十三条安全漏洞的威胁等级分类为威胁等级定义紧急利用漏洞可以远程获取管理员权限严重攻击程序和病毒结合,形成蠕虫中等获取普通用户访问权限/提升权限/远程拒低等信息泄漏、本地拒绝服务绝服务第十四条安全管理员应分析安全漏洞的威胁等级,针对于不同的安全漏洞,对应的修补时间和修补方式要求如下:威胁等级允许修补的时间修补方式紧急2天用非补丁方式修补,如用防火墙或者限制功能等方式,同时增加监控严重5-10天补丁方式修补中等10-30天限制使用程序、补丁方式低等30-90天补丁方式针对Windows操作系统,各系统管理员应关注以下四类补丁程序,其安装时间要求如下:序号补丁类别安装时间1安全修补程序参照对应漏洞的严重等级2安全更新参照最严重漏洞的严重等级3更新汇总系统重新安装后或者阶段性安装4Service Pack系统重新安装后或者阶段性安装第十五条各系统管理员、网络管理员、数据库管理员应掌握各应用系统及网络环境确定各系统当前所使用的系统类型和版本,以前没有打的补丁,原因以及补救办法第十六条各系统管理员、网络管理员、数据库管理员应确保从安全可靠的地方获取补丁程序,推荐直接从厂商网站上下载,如果补丁支持校验,必须进行安全校验,以验证补丁的可靠性,防止补丁被恶意用户篡改第十七条严禁未经测试直接在生产系统上加载补丁第十八条补丁测试的过程要考虑测试的广泛性和针对性,即在实际情况下尽量充分地测试第十九条补丁测试的方式有两种测试环境测试和现网测试;测试环境测试必须进行,测试环境需要与现网环境尽可能一致,并考虑差异性带来的风险;条件允许的情况下(如有测试环境或备机)可以现网测试补丁测试的内容包括补丁安装测试、补丁兼容性测试和补丁回退测试
(一)安装测试主要测试补丁安装过程是否正确无误,补丁安装后系统是否正常启动
(二)补丁兼容性测试主要测试补丁安装后是否对应用系统带来影响,业务是否可以正常运行
(三)补丁回退测试主要包括补丁卸载测试、系统还原测试第二十条补丁测试的工作可由系统集成商负责实施,所属管理员负责协调,必须对补丁的现场测试和现网测试限定时间,测试完成后需要编写详细的测试报告,给出明确的测试结论第二十一条为确保系统集成商及时配合补丁的测试和安装工作,需要通过合同的方式,明确集成商的安全补丁测试和安装责任,约束条款至少应包括实验室测试环境的搭建,在规定时间内完成补丁测试,补丁的安装,补丁安装失败时的测试与分析,补丁与应用冲突时的系统改造和升级工作第二十二条完成补丁测试后,所属管理员如果未发现问题,则要根据漏洞威胁的紧急程度,与管理员制定补丁分发计划,根据实际情况在所属系统中分批安装第二十三条分发补丁的优先次序为
(一)办公网环境的计算机优先安装;
(二)生产网中资产价值大、威胁等级高的系统优先安装;
(三)对于具有多台服务器并行的负载均衡系统,并行的服务器组应分批多次分发和安装系统补丁第二十四条安全管理员应根据最新的补丁通告信息,指导和组织各部门进行安全补丁的安装工作第二十五条如无特殊原因,办公网环境、各部门的计算机应优先安装系统安全补丁安全管理员应督促本职责范围内计算机安全补丁的安装工作第二十六条各系统管理员、网络管理员、数据库管理员确定生产环境所属系统的补丁分发顺序后,应上报安全管理员审批,由其通知其它相关影响部门在审批通过后,组织相关人员按计划执行补丁安装第二十七条对重要的业务系统安装系统安全补丁,系统管理员应事先做好系统和数据的备份工作,以便在补丁安装失败后可以尽快恢复系统第二十八条补丁的安装操作过程必须详细记录,核心业务系统的补丁加载必须要求厂商工程师现场支持第二十九条终端操作系统安全补丁要随出随打;第三十条服务器安全补丁要随应用软件升级一同安装;第三十一条定期打补丁的周期不得多于6个月在没打补丁期间,要采取临时替代措施第三十二条对补丁安装过程中出现且能解决的问题,尽快进行总结,以便为解决同类问题提供借鉴第三十三条对于一些不能解决的补丁安装问题,需采用应急方案,使用备份系统或者卸载补丁,同时需确定一个临时的解决办法消除漏洞的潜在威胁,并尽快向补丁厂商寻求技术支持第三十四条完成系统补丁的安装变更后,系统管理员需对安装的系统进行检查,及时确认补丁的安装情况,向安全管理员提交《系统安全补丁安装记录》第三十五条各系统管理员、网络管理员、数据库管理员可以通过适当的工具软件,检查全网的补丁安装情况,并对未正常安装的补丁的计算机进行通报,以便及时处理第五章附则第三十六条本制度由信息安全部制定,并负责解释和修订由信息安全工作组讨论通过,发布执行第三十七条本制度自发布之日起生效。