您所在位置：网站首页 > IT计算机/网络 > 网络安全安全信息等级保护-信息系统补丁安全管理制度

安全信息等级保护-信息系统补丁安全管理制度

6页

卖家[上传人]：小**

文档编号：321490102

上传时间：2022-07-03

文档格式：DOCX

文档大小：20.64KB

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

9.9 金贝

/ 6 举报版权申诉马上下载

文本预览

下载提示

常见问题

1、信息系统补丁安全管理制度第一章总则第一条为加强*服务系统安全补丁的跟踪、分析、测试、分发和检查流程，落实主机、网络设备、数据库系统补丁安全管理工作，降低信息系统安全漏洞带来的安全风险，提高信息系统的抗攻击能力，特制定本细则。第二条本实施细则适用于*公司信息系统主机、网络设备、数据库系统、应用软件的补丁安全管理。第二章职责与权限第三条企业信息化部工作职责：(一) 负责跟踪下列信息，并直接获取可信任安全补丁程序或将安全补丁获取地址发布至信息安全工作小组：1. 安全组织如CNCERT发布相关预警信息；2. 厂商、服务商发布的相关安全公告；3. 其他安全公告类信息。(二) 负责对补丁加载情况定期审查、验证并归档。第四条系统建设和运维部工作职责：(一) 通过信息安全工作小组获取主机、应用、数据库等的补丁的安装程序或发布地址，下载补丁安装程序。(二) 负责补丁测试、加载、验证并填写相关报告、表单。(三) 对补丁的影响进行评估，对风险进行控制。第三章补丁安全管理原则第五条及时性原则：对于必要的安全补丁的发布和安装流程，必须及时准确，把安全漏洞所造成的对信息系统的潜在威胁降到最低；第六

2、条严密性原则：补丁的测试和分发流程都需要严密的计划，在保障安全行的同时不影响生产和应用系统的正常运行；第七条持续性原则：补丁管理工作是一个长期持续性的工作，企业信息化部应时刻跟踪厂商的补丁公告和安全公司的安全公告。第八条适应性原则：分场景执行安全补丁管理要求。第四章补丁安全管理细则第九条需区分信息资产、IT系统环境、IT网络环境的重要等级，以便有针对性地跟踪所需要的系统补丁和需要采取的措施。第十条应每月定期跟踪补丁的最新信息。信息的来源分为以下几类：(一) 软件厂商：软件厂商是补丁的主要来源，每一次安全补丁的发布，产商都会发布通告；(二) 安全机构：官方安全机构会对一些影响特别大的安全事件进行通告；(三) 安全组织和安全公司：这是研究安全的主要力量，公告的特点是发布快速、内容详细、方案全面，并且可知是否已经或者可以被利用。第十一条安全漏洞的威胁等级分类为：威胁等级定义紧急利用漏洞可以远程获取管理员权限严重攻击程序和病毒结合，形成蠕虫中等获取普通用户访问权限/提升权限/远程拒绝服务低等信息泄漏、本地拒绝服务第十二条应分析安全漏洞的威胁等级，针对于不同的安全漏洞，对应的修

3、补时间和修补方式要求如下：威胁等级允许修补的时间修补方式紧急2天用非补丁方式修补，如用防火墙或者限制功能等方式，同时增加监控严重5-10天补丁方式修补中等1030天限制使用程序、补丁方式低等3090天补丁方式针对Windows操作系统，各系统管理员应关注以下四类补丁程序，其安装时间要求如下：序号补丁类别安装时间1安全修补程序参照对应漏洞的严重等级2安全更新参照最严重漏洞的严重等级3更新汇总系统重新安装后或者阶段性安装4Service Pack系统重新安装后或者阶段性安装第十三条应确保从安全可靠的地方获取补丁程序，推荐直接从厂商网站上下载，如果补丁支持校验，必须进行安全校验，以验证补丁的可靠性，防止补丁被恶意用户篡改。第十四条严禁未经测试直接在生产系统上加载补丁。第十五条补丁测试的过程要考虑测试的广泛性和针对性，即在实际情况下尽量充分地测试。第十六条补丁测试的方式有两种：测试环境测试和现网测试；测试环境测试必须进行，测试环境需要与现网环境尽可能一致，并考虑差异性带来的风险；条件允许的情况下（如有测试环境或备机）可以现网测试。补丁测试的内容包括补丁安装测试、补丁兼容性测试和补丁回退

4、测试：(一) 安装测试主要测试补丁安装过程是否正确无误，补丁安装后系统是否正常启动。(二) 补丁兼容性测试主要测试补丁安装后是否对应用系统带来影响，业务是否可以正常运行。(三) 补丁回退测试主要包括补丁卸载测试、系统还原测试。第十七条完成补丁测试后，如果未发现问题，则要根据漏洞威胁的紧急程度，上报信息安全领导小组，制定补丁分发计划，根据实际情况指挥信息安全工作小组中分批安装。第十八条分发补丁的优先次序为：(一) 办公网环境的计算机优先安装；(二) 生产网中资产价值大、威胁等级高的系统优先安装；(三) 对于具有多台服务器并行的负载均衡系统，并行的服务器组应分批多次分发和安装系统补丁。第十九条企业信息化部应根据最新的补丁通告信息，指导和组织各部门进行安全补丁的安装工作。第二十条如无特殊原因，办公网环境、各部门的计算机应优先安装系统安全补丁，企业信息化部应督促办公区计算机安全补丁的安装工作。第二十一条对重要的业务系统安装系统安全补丁，应事先做好系统和数据的备份工作，以便在补丁安装失败后可以尽快恢复系统。第二十二条补丁的安装操作过程必须详细记录，核心业务系统的补丁加载必须要求厂商工程师现场支持。第二十三条终端操作系统安全补丁要随出随打，及时更新；第二十四条服务器安全补丁要随应用软件升级一同安装；第二十五条定期打补丁的周期不得多于6个月。在没打补丁期间，要采取临时替代措施。第二十六条对补丁安装过程中出现且能解决的问题，尽快进行总结，以便为解决同类问题提供借鉴。第二十七条对于一些不能解决的补丁安装问题，需采用应急方案，使用备份系统或者卸载补丁，同时需确定一个临时的解决办法消除漏洞的潜在威胁，并尽快向补丁厂商寻求技术支持。第二十八条完成系统补丁的安装变更后，需对安装的系统进行检查，及时确认补丁的安装情况，向企业信息化部提交系统安全补丁安装记录。第二十九条企业信息化部可以通过适当的工具软件，检查全网的补丁安装情况，并对未正常安装的补丁的计算机进行通报，以便及时处理。第五章附则第三十条本制度的解释权归企业信息化部。

《安全信息等级保护-信息系统补丁安全管理制度》由会员小**分享，可在线阅读，更多相关《安全信息等级保护-信息系统补丁安全管理制度》请在金锄头文库上搜索。

点击阅读更多内容

TA的资源