213.信息化部硬件升级管理规程.docVIP

江苏联通业务支撑系统部 【安装及升级安全管理规程】 Document No. 撰写： 孙旺 完成日期： 2009-11-16 审校： 完成日期： 批准： 日 期： 文档修改记录 (记录文档首稿与列次修改的时间) 日期 版本 作者 备注 2009-11-16 V1.0 孙旺 初稿。 2009-11-28 V1.0 李寅 整理格式。 运维规范业务支撑系统部江苏联通业务支撑系统部 运维规范 业务支撑系统部 江苏联通业务支撑系统部 PAGE 3 / NUMPAGES 8 PAGE 3 / NUMPAGES 8 前言 于2009年2月编写此文档 目的 为了规范业务支撑系统软件安装及升级，特编写此文档。 适用范围 本文档用于管理业务支撑系统所有服务器的软件安装及升级 定义、术语和说明 相关角色和职责 软件安全管理员 相关的职责 a）安装并维护软件 b）在需要时对软件进行升级 相关的绩效考核指标 无 与各角色职责相关的文档模板和表格 无 系统管理员 相关的职责 a）协助软件管理员进行软件安装 相关的绩效考核指标 无 相关的文档模板和表格 无 相关管理制度 软件安装安全管理 1 所有新的应用系统软件或者软件增强部分功能必须在用户需求说明中详细定义，并提交给应用系统管理员审核。 2 所有的应用软件包必须与中国联通首选并且认证过的计算机系统平台保持兼容。 3 遵守法规，软件必须附带包括各种条款的最终用户授权协议, 禁止在各类服务器设备、终端上安装盗版软件和非认可软件,软件及LICENSE应有清晰的记录。 4 安装新软件和升级软件在实施前必须搭建测试环境进行功能、性能和兼容性测试。测试前应提供测试方案，测试后提供详细的测试报告。 5 对于非规定范围内的软件安装前应由系统维护人员进行评估和记录，并履行审批手续后，方可允许软件进入系统使用。 主机设备安装安全管理 1 每个操作系统必须要有系统加固手册，信息安全工作组应对每一平台(如Linux, Solaris, Windows, HPUX, AIX等)的加固方式进行评估。系统的加固手册应至少包括如下内容： a. 关闭不必要的服务； b. 对系统中的密码设置需要有如下限制，主要包括：密码长度不能少于8位;应该有数字﹑字母和特殊字母三种组成;密码的有效期最长为三个月；个人用户密码输入错误5次以上，用户账号应该被锁定； c. 系统管理员可以锁定账号和为用户账号进行解锁； d. 系统安装运行所需要的PATCH的列表； e. 禁用不必要的用户和用户组； f. 系统配置和配置程序应加强设置访问和修改权限。例如在Unix系统上/etc/* 访问和修改权限的设置和在 Windows 系统上可修改有关 Password Policy 的 Registry 权限。 g. 开启或安装必要的日志审计功能，对于系统配置的修改需要应留下审计日志及审计日志的保留时限。 操作系统的安全管理还包括下面内容 a. 主机设备初始安装后应该根据数据库或者应用系统的要求安装相应的补丁程序。系统管理员在接受到安全管理员的安全通告后，应根据软件安全规程中的要求进行补丁升级； b. 主机设备上线运行前或新应用系统上线前，系统管理员需要对操作系统进行加固； c. 严格禁止使用在线运行的服务器进行浏览网页或下载操作； d. 在线运行的服务器禁止任何未正式批准的变更操作，包括安装不相关的软件、修改配置、增加用户等。所有变更操作必须经系统管理员批准并进行变更记录。有重大影响的变更需要得到相关部门领导批准，并及时通知所有用户； e. 对于无法进行上述加固的系统，系统管理员应考虑采用其他补救措施以降低该风险发生的可能性及影响，由信息安全工作组对采取的补救措施作出分析和审批，并对系统作风险评估，风险评估的报告应交由系统管理责任人确认。 f. 对于无法加固的系统，至少每半年进行一次系统的安全检查，并将检查结果记录到系统安全检查记录表中,并由系统管理责任人进行审核（安全检查记录表可参见附录四）； g. 信息安全工作组每年根据业务发展和安全要求，审核和更新系统加固手册 软件升级管理 补丁、升级检查： 安全管理员应定期检查系统或相关安全软件的补丁或升级文件的更新情况； 安全管理员要根据厂商的补丁公告和安全公告的紧急程度以及对系统的影响上报给信息安全工作组。 补丁、升级文件下载： 安全管理员及时向系统管理员通告补丁或升级信息； 系统管理员根据通告自行下载； 所有补丁或升级文件的下载应从原厂商的技术支持网站下载或原厂商提供的光盘文件中获得，以保障补丁或升级文件的可靠性。 补丁、升级文件安装 系统管理员安排补丁或升级文件的测试，以防止补丁或升级文件与现有业务或应用系统的冲突，应综合考虑安装补丁对系统安全和运行效率的影响； 补丁安装升级工作需系统