安全補丁更新流程

安全補丁更新流程

ID:26355465

大?。?15.26 KB

頁數(shù):8頁

時間:2018-11-26

安全補丁更新流程_第1頁
安全補丁更新流程_第2頁
安全補丁更新流程_第3頁
安全補丁更新流程_第4頁
安全補丁更新流程_第5頁
資源描述:

《安全補丁更新流程》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。

1、城建宏信有限公司信息管理部安全補丁更新工作指導(dǎo)書修訂記錄版本編號版本日期修訂者說明V1.02015-04-20曹宏濤初稿V1.12015-07-20區(qū)維青變更補丁管理流程目錄說明4目標(biāo)41.1.范圍41.2.流程運行的前提和時機5第2章流程詳細說明52.1.安全補丁管理流程52.1.1.補丁的分類62.1.2.安全補丁評估72.1.3.安全補丁測試72.1.4.安全補丁部署72.1.5.安全補丁回退8第3章相關(guān)文件8目的未及時進行安全補丁更新的系統(tǒng)或軟件很容易遭受的攻擊,并導(dǎo)致未授權(quán)訪問、系統(tǒng)拒絕服務(wù),進而導(dǎo)致信息泄露、業(yè)務(wù)中斷等重大安全事故的發(fā)

2、生。然而,補丁的更新不當(dāng)甚至可能帶來比網(wǎng)絡(luò)攻擊更大的安全事故。因此保障各類補丁及時、安全、穩(wěn)妥地更新安裝是保障信息系統(tǒng)安全的重要手段。補丁經(jīng)常會由于以下三種原因而進行發(fā)布:1)修補應(yīng)用程序或操作系統(tǒng)的漏洞。許多黑客通過緩沖區(qū)溢出對應(yīng)用程序和操作系統(tǒng)進行網(wǎng)絡(luò)攻擊。通過補丁的安裝能夠?qū)@類漏洞進行很好的修補。補丁也常常會由于修正系統(tǒng)的功能問題進行發(fā)布。2)改變功能或更新特征庫等從而對新的安全威脅進行檢測。3)修改軟件的配置使它更加的安全。目標(biāo)遵照變更流程文檔進行安全補丁更新能夠降低系統(tǒng)的安全隱患發(fā)生的可能。安全補丁更新流程文檔提供了對變更流程中補丁更

3、新所涉及的步驟進行說明,使系統(tǒng)安全管理專員能夠更好地依照變更流程的規(guī)定對各種補丁進行更新操作,并保證其有效性、穩(wěn)定性和安全性。但是安全補丁更新流程文檔并不會說明指定的補丁是怎樣對漏洞進行修補從而降低安全風(fēng)險的。本流程的目標(biāo)是:l規(guī)范不同操作系統(tǒng)、應(yīng)用程序、硬件設(shè)備系統(tǒng)的補丁定期檢查。l確認(rèn)補丁安裝的需求和申請的步驟。l提供補丁更新流程在變更流程中所涉及的各項細化表格。l規(guī)定各安全相關(guān)職員在補丁更新中的職責(zé)。1.1.范圍下面表格說明了哪些城建宏信內(nèi)部操作系統(tǒng)、應(yīng)用軟件、硬件設(shè)備的升級更新屬于安全補丁管理的范圍,哪些不是。表格1:安全補丁管理范圍包括

4、不包括個人PC操作系統(tǒng)病毒庫的自動升級生產(chǎn)環(huán)境主機系統(tǒng)(含虛擬機環(huán)境)病毒庫的自動升級開發(fā)及測試主機系統(tǒng)(含虛擬機環(huán)境)IDS特征庫的自動升級1.1.前提和時機為了各類安全補丁的更新能夠順利和有效實施,需要如下前提條件:1)由安全管理員發(fā)現(xiàn)或被告知的內(nèi)部系統(tǒng)中確認(rèn)存在的操作系統(tǒng)、應(yīng)用軟件或硬件系統(tǒng)發(fā)布的補丁,并確定能夠通過已有的安全途徑獲得相關(guān)的補丁。2)由系統(tǒng)或軟件安全相關(guān)引發(fā)的配置更改或功能調(diào)整,經(jīng)安全管理員確認(rèn)能夠在現(xiàn)有環(huán)境中進行實施的。3)由產(chǎn)商自動下發(fā)的安全相關(guān)特征數(shù)據(jù)庫的升級,經(jīng)安全管理員確認(rèn)能夠通過已有安全途徑獲得相關(guān)數(shù)據(jù)的。補丁更

5、新部署的時機:在申請、批準(zhǔn)和測試管理流程之后,根據(jù)系統(tǒng)所屬的類別可以選擇在城建宏信范圍內(nèi)分步分區(qū)實施或集中實施。第2章流程詳細說明2.1.安全補丁管理流程圖示1:安全補丁管理流程圖表格2:安全補丁管理流程說明序號活動名稱角色職責(zé)/活動說明輸出表單工具1安全補丁登記基礎(chǔ)設(shè)施部安全負責(zé)人?登記需要安裝補丁的變更系統(tǒng)?對補丁的可能影響范圍進行評估發(fā)現(xiàn)需要安裝的補丁補丁安裝請求記錄安全補丁管理記錄表2安全補丁評估基礎(chǔ)設(shè)施部部門總監(jiān)?進行補丁評審,判斷與分析補丁對于生產(chǎn)環(huán)境與業(yè)務(wù)的風(fēng)險和影響?制定補丁測試計劃和分配相關(guān)資源,并知會相關(guān)系統(tǒng)管理員安裝補丁的時

6、間、資源安排計劃安全補丁管理記錄表3安全補丁測試基礎(chǔ)設(shè)施部安全負責(zé)人?補丁測試、記錄測試結(jié)果,并確認(rèn)變更所需要的各因素符合要求。安全補丁測試報告安全補丁測試報告4安全補丁部署基礎(chǔ)設(shè)施部安全負責(zé)人?配置補丁部署策略并在系統(tǒng)環(huán)境中實施安全補丁部署安全補丁管理記錄表5安全補丁回滾基礎(chǔ)設(shè)施部安全負責(zé)人?在系統(tǒng)環(huán)境中人工實施補丁回滾影響評估結(jié)論1.1.1.補丁的分類安全補丁更新管理的目的是有效的審批和控制對于補丁的變更,從而減少對于業(yè)務(wù)和用戶的影響,以達到較高的安全和實施性。安全管理員發(fā)現(xiàn)規(guī)定范圍內(nèi)系統(tǒng)、應(yīng)用程序或硬件有新補丁發(fā)布應(yīng)向基礎(chǔ)設(shè)施部負責(zé)人進行報

7、告。同時基礎(chǔ)設(shè)施部負責(zé)人在確認(rèn)補丁后應(yīng)責(zé)成相關(guān)安全負責(zé)人對補丁進行等級劃分。由于不同系統(tǒng)的補丁所牽涉的機器數(shù)量、業(yè)務(wù)流程、影響大小都有所不同,補丁分為緊急安全補丁和普通安全補丁2種類別。因此針對不同系統(tǒng)的補丁,安全管理員應(yīng)首先確定其屬于哪一類變更請求。從而可以正確地進入相應(yīng)的變更申請流程。補丁類別判斷標(biāo)準(zhǔn)處理要求緊急安全補丁緊急安全補丁對應(yīng)的漏洞可導(dǎo)致遠程運行任意代碼或死鎖受漏洞服務(wù),且攻擊代碼易于開發(fā);對應(yīng)的病毒可導(dǎo)致遠程控制被感染系統(tǒng)或嚴(yán)重消耗系統(tǒng)資源,且病毒已大規(guī)模傳播或具有大規(guī)模傳播的趨勢。必須按照要求及時分發(fā)部署普通安全補丁除緊急、重要

8、安全補丁以外的所有安全補丁按照補丁分發(fā)策略統(tǒng)一分發(fā)部署(每個月第三周)1.1.1.安全補丁評估根據(jù)不同的補丁等級,基礎(chǔ)設(shè)施部門將組成包含

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。