补丁安全管理规定
第一章 总则
第二条 本实施细则适用于XXX信息系统主机、网络设备、数据库系统、应用软件的补丁安全管理。
第二章 职责与权限
第三条 安全管理员职责:
1.安全组织如CNCERT发布相关预警信息
2.厂商、服务商发布的相关安全公告
3.本部门发布的安全预警等安全公告类信息。
(二)负责对补丁加载情况定期审查、验证并归档。
第四条 系统管理员职责:
海德堡大学世界排名(一)通过安全管理员获取补丁的安装程序或发布地址,下载补丁安装程序。
(二)负责补丁测试、加载、验证并填写相关报告、表单。
(三)对补丁的影响进行评估,对风险进行控制。
第五条 数据库管理员职责:
(一)通过安全管理员获取补丁的安装程序或发布地址,下载补丁安装程序。
(二)负责补丁测试、加载、验证并填写相关报告、表单。
(三)对补丁的影响进行评估,对风险进行控制。
第六条 网络管理员职责:
(一)通过安全管理员获取补丁或IOS文件的安装程序或发布地址,下载补丁安装程序。
(二)负责补丁或者IOS文件的测试、加载、验证并填写相关报告、表单。
(三)对补丁的影响进行评估,对风险进行控制。工行转账手续费
第三章 补丁安全管理原则
第七条 及时性原则:对于必要的安全补丁的发布和安装流程,必须及时准确,把安全漏洞所造成的对信息系统的潜在威胁降到最低;
第八条 严密性原则:补丁的测试和分发流程都需要严密的计划,在保障安全行的同时不影响生产和应用系统的正常运行;
第九条 持续性原则:补丁管理工作是一个长期持续性的工作,安全管理人员应时刻跟踪厂商的补丁公告和安全公司的安全公告。
第十条 适应性原则:分场景执行安全补丁管理要求。
第四章 补丁安全管理细则
第十一条 安全管理员需区分信息资产、IT系统环境、IT网络环境的重要等级,以便有针对性地跟踪所需要的系统补丁和需要采取的措施。
第十二条 安全管理员应每月定期跟踪补丁的最新信息。信息的来源分为以下几类:
(一)软件厂商:软件厂商是补丁的主要来源,每一次安全补丁的发布,产商都会发布通告;
(二)安全机构:官方安全机构会对一些影响特别大的安全事件进行通告;
(三)安全组织和安全公司:这是研究安全的主要力量,公告的特点是发布快速、内容详细、方案全面,并且可知是否已经或者可以被利用。
第十三条 安全漏洞的威胁等级分类为:
威胁等级 | 定义 |
紧急 | 利用漏洞可以远程获取管理员权限 |
严重 | 攻击程序和病毒结合,形成蠕虫 |
中等 | 获取普通用户访问权限/提升权限/远程拒绝服务 |
低等 | 信息泄漏、本地拒绝服务 |
第十四条 安全管理员应分析安全漏洞的威胁等级,针对于不同的安全漏洞,对应的修补时间和修补方式要求如下:
威胁等级 | 允许修补的时间 | 修补方式 |
紧急 | 2天 | 用非补丁方式修补,如用防火墙或者限制功能等方式,同时增加监控 |
严重千艺 | 5-10天 | 补丁方式修补 |
中等 | 10-30天 | 限制使用程序、补丁方式 |
低等 | 30-90天 | 补丁方式 |
针对Windows操作系统,各系统管理员应关注以下四类补丁程序,其安装时间要求如下:
序号 | 补丁类别 | 张卫平安装时间 |
1 | 安全修补程序 | 参照对应漏洞的严重等级 |
2 | 安全更新 | 参照最严重漏洞的严重等级 |
3 经济补偿金如何计算 | 更新汇总 | 系统重新安装后或者阶段性安装 |
4 | Service Pack | 系统重新安装后或者阶段性安装 | 肖战回应近期争议
第十五条 各系统管理员、网络管理员、数据库管理员应掌握各应用系统及网络环境:确定各系统当前所使用的系统类型和版本,以前没有打的补丁,原因以及补救办法。
第十六条 各系统管理员、网络管理员、数据库管理员应确保从安全可靠的地方获取补丁程序,推荐直接从厂商网站上下载,如果补丁支持校验,必须进行安全校验,以验证补丁的可靠性,防止补丁被恶意用户篡改。
第十七条 严禁未经测试直接在生产系统上加载补丁。
第十八条 补丁测试的过程要考虑测试的广泛性和针对性,即在实际情况下尽量充分地测试。
第十九条 补丁测试的方式有两种:测试环境测试和现网测试;测试环境测试必须进行,测试环境需要与现网环境尽可能一致,并考虑差异性带来的风险;条件允许的情况下(如有测试环境或备机)可以现网测试。
发布评论