补丁安全管理规定
第一章  总则
第一条 为加强XXX信息系统安全补丁的跟踪、分析、测试、分发和检查流程,落实主机、网络设备、数据库系统补丁安全管理工作,降低信息系统安全漏洞带来的安全风险,提高信息系统的抗攻击能力,特制定本细则。
第二条 本实施细则适用于XXX信息系统主机、网络设备、数据库系统、应用软件的补丁安全管理。
第二章  职责与权限
第三条 安全管理员职责:
(一)负责跟踪下列信息,并直接获取可信任安全补丁程序或将安全补丁获取地址发布至系统管理员,数据库管理员,网络管理员:
1.安全组织如CNCERT发布相关预警信息
2.厂商、服务商发布的相关安全公告
3.本部门发布的安全预警等安全公告类信息。
(二)负责对补丁加载情况定期审查、验证并归档。
第四条 系统管理员职责:
海德堡大学世界排名(一)通过安全管理员获取补丁的安装程序或发布地址,下载补丁安装程序。
(二)负责补丁测试、加载、验证并填写相关报告、表单。
(三)对补丁的影响进行评估,对风险进行控制。
第五条 数据库管理员职责:
(一)通过安全管理员获取补丁的安装程序或发布地址,下载补丁安装程序。
(二)负责补丁测试、加载、验证并填写相关报告、表单。
(三)对补丁的影响进行评估,对风险进行控制。
第六条 网络管理员职责:
(一)通过安全管理员获取补丁或IOS文件的安装程序或发布地址,下载补丁安装程序。
(二)负责补丁或者IOS文件的测试、加载、验证并填写相关报告、表单。
(三)对补丁的影响进行评估,对风险进行控制。工行转账手续费
第三章  补丁安全管理原则
第七条 及时性原则:对于必要的安全补丁的发布和安装流程,必须及时准确,把安全漏洞所造成的对信息系统的潜在威胁降到最低;
第八条 严密性原则:补丁的测试和分发流程都需要严密的计划,在保障安全行的同时不影响生产和应用系统的正常运行;
第九条 持续性原则:补丁管理工作是一个长期持续性的工作,安全管理人员应时刻跟踪厂商的补丁公告和安全公司的安全公告。
第十条 适应性原则:分场景执行安全补丁管理要求。
第四章  补丁安全管理细则
第十一条 安全管理员需区分信息资产、IT系统环境、IT网络环境的重要等级,以便有针对性地跟踪所需要的系统补丁和需要采取的措施。
第十二条 安全管理员应每月定期跟踪补丁的最新信息。信息的来源分为以下几类:
(一)软件厂商:软件厂商是补丁的主要来源,每一次安全补丁的发布,产商都会发布通告;
(二)安全机构:官方安全机构会对一些影响特别大的安全事件进行通告;
(三)安全组织和安全公司:这是研究安全的主要力量,公告的特点是发布快速、内容详细、方案全面,并且可知是否已经或者可以被利用。
第十三条 安全漏洞的威胁等级分类为:
威胁等级
定义
紧急
利用漏洞可以远程获取管理员权限
严重
攻击程序和病毒结合,形成蠕虫
中等
获取普通用户访问权限/提升权限/远程拒绝服务
低等
信息泄漏、本地拒绝服务
第十四条 安全管理员应分析安全漏洞的威胁等级,针对于不同的安全漏洞,对应的修补时间和修补方式要求如下:
威胁等级
允许修补的时间
修补方式
紧急
2天
用非补丁方式修补,如用防火墙或者限制功能等方式,同时增加监控
严重千艺
5-10天
补丁方式修补
中等
10-30天
限制使用程序、补丁方式
低等
30-90天
补丁方式
针对Windows操作系统,各系统管理员应关注以下四类补丁程序,其安装时间要求如下:
张卫平肖战回应近期争议
序号
补丁类别
安装时间
1
安全修补程序
参照对应漏洞的严重等级
2
安全更新
参照最严重漏洞的严重等级
3
经济补偿金如何计算
更新汇总
系统重新安装后或者阶段性安装
4
Service Pack
系统重新安装后或者阶段性安装
第十五条 各系统管理员、网络管理员、数据库管理员应掌握各应用系统及网络环境:确定各系统当前所使用的系统类型和版本,以前没有打的补丁,原因以及补救办法。
第十六条 各系统管理员、网络管理员、数据库管理员应确保从安全可靠的地方获取补丁程序,推荐直接从厂商网站上下载,如果补丁支持校验,必须进行安全校验,以验证补丁的可靠性,防止补丁被恶意用户篡改。
第十七条 严禁未经测试直接在生产系统上加载补丁。
第十八条 补丁测试的过程要考虑测试的广泛性和针对性,即在实际情况下尽量充分地测试。
第十九条 补丁测试的方式有两种:测试环境测试和现网测试;测试环境测试必须进行,测试环境需要与现网环境尽可能一致,并考虑差异性带来的风险;条件允许的情况下(如有测试环境或备机)可以现网测试。