安全补丁更新流程精编版.docxVIP

……………………………………………………………最新资料推荐………………………………………………… PAGE PAGE 2 ……………………………………………………………最新资料推荐………………………………………………… 城建宏信有限公司 信息管理部 安全补丁更新工作指导书 修订记录 版 本 编 号 版 本 日 期 修 订 者 说 明 V1.0 2015-04-20 曹宏涛 初稿 V1.1 2015-07-20 区维青 变更补丁管理流程 目 录 TOC \o 1-3 \h \z \u 说明 4 目标 4 1.1. 范围 4 1.2. 流程运行的前提和时机 5 第2章 流程详细说明 5 2.1. 安全补丁管理流程 5 2.1.1. 补丁的分类 6 2.1.2. 安全补丁评估 7 2.1.3. 安全补丁测试 7 2.1.4. 安全补丁部署 7 2.1.5. 安全补丁回退 8 第3章 相关文件 8  目的 未及时进行安全补丁更新的系统或软件很容易遭受的攻击，并导致未授权访问、系统拒绝服务，进而导致信息泄露、业务中断等重大安全事故的发生。然而，补丁的更新不当甚至可能带来比网络攻击更大的安全事故。因此保障各类补丁及时、安全、稳妥地更新安装是保障信息系统安全的重要手段。 补丁经常会由于以下三种原因而进行发布： 修补应用程序或操作系统的漏洞。许多黑客通过缓冲区溢出对应用程序和操作系统进行网络攻击。通过补丁的安装能够对这类漏洞进行很好的修补。补丁也常常会由于修正系统的功能问题进行发布。 改变功能或更新特征库等从而对新的安全威胁进行检测。 修改软件的配置使它更加的安全。 目标 遵照变更流程文档进行安全补丁更新能够降低系统的安全隐患发生的可能。安全补丁更新流程文档提供了对变更流程中补丁更新所涉及的步骤进行说明，使系统安全管理专员能够更好地依照变更流程的规定对各种补丁进行更新操作，并保证其有效性、稳定性和安全性。 但是安全补丁更新流程文档并不会说明指定的补丁是怎样对漏洞进行修补从而降低安全风险的。 本流程的目标是： 规范不同操作系统、应用程序、硬件设备系统的补丁定期检查。 确认补丁安装的需求和申请的步骤。 提供补丁更新流程在变更流程中所涉及的各项细化表格。 规定各安全相关职员在补丁更新中的职责。 范围 下面表格说明了哪些城建宏信内部操作系统、应用软件、硬件设备的升级更新属于安全补丁管理的范围，哪些不是。 表格1：安全补丁管理范围 包括 不包括 个人PC操作系统 病毒库的自动升级 生产环境主机系统（含虚拟机环境） 病毒库的自动升级 开发及测试主机系统（含虚拟机环境） IDS特征库的自动升级 前提和时机 为了各类安全补丁的更新能够顺利和有效实施，需要如下前提条件： 由安全管理员发现或被告知的内部系统中确认存在的操作系统、应用软件或硬件系统发布的补丁，并确定能够通过已有的安全途径获得相关的补丁。 由系统或软件安全相关引发的配置更改或功能调整，经安全管理员确认能够在现有环境中进行实施的。 由产商自动下发的安全相关特征数据库的升级，经安全管理员确认能够通过已有安全途径获得相关数据的。 补丁更新部署的时机：在申请、批准和测试管理流程之后，根据系统所属的类别可以选择在城建宏信范围内分步分区实施或集中实施。 流程详细说明 安全补丁管理流程 图示1：安全补丁管理流程图 表格2：安全补丁管理流程说明 序号 活动名称 角色 职责/活动说明 输出 表单工具 1 安全补丁登记 基础设施部安全负责人 ? 登记需要安装补丁的变更系统? 对补丁的可能影响范围进行评估 发现需要安装的补丁补丁安装请求记录 安全补丁管理记录表 2 安全补丁评估 基础设施部部门总监 ? 进行补丁评审，判断与分析补丁对于生产环境与业务的风险和影响? 制定补丁测试计划和分配相关资源，并知会相关系统管理员 安装补丁的时间、资源安排计划 安全补丁管理记录表 3 安全补丁测试 基础设施部安全负责人 ? 补丁测试、记录测试结果，并确认变更所需要的各因素符合要求。 安全补丁测试报告 安全补丁测试报告 4 安全补丁部署 基础设施部安全负责人 ? 配置补丁部署策略并在系统环境中实施 安全补丁部署 安全补丁管理记录表 5 安全补丁回滚 基础设施部安全负责人 ? 在系统环境中人工实施补丁回滚 影响评估结论 补丁的分类 安全补丁更新管理的目的是有效的审批和控制对于补丁的变更，从而减少对于业务和用户的影响，以达到较高的安全和实施性。 安全管理员发现规定范围内系统、应用程序或硬件有新补丁发布应向基础设施部负责人进行报告。同时基础设施部负责人在确认补丁后应责成相关安全负责人对补丁进行等级划分。 由于不同系统的补丁所牵涉的机器数量、业务流程