安全補(bǔ)丁更新流程

1、安全補(bǔ)丁更新流程Company Document number ： WTUT-WT88Y-W8BBGB-BWYTT-19998遠(yuǎn)東宏信有限公司安全補(bǔ)丁更新流程修訂記錄版本編號(hào)版本日期修訂者說(shuō)明2015-04-20曹宏濤初稿第1章介幺1.1 .基本概念未及時(shí)進(jìn)行安全補(bǔ)丁更新的系統(tǒng)或軟件很容易遭受的攻擊，并導(dǎo)致未授權(quán)訪問(wèn)、系統(tǒng)拒 絕服務(wù)，進(jìn)而導(dǎo)致信息泄露、業(yè)務(wù)中斷等重大安全事故的發(fā)生。然而，補(bǔ)丁的更新不當(dāng)甚至 可能帶來(lái)比網(wǎng)絡(luò)攻擊更大的安全事故c因此保障各類(lèi)補(bǔ)丁及時(shí)、安全、穩(wěn)妥地更新安裝是保 障信息系統(tǒng)安全的重要手段。補(bǔ)丁經(jīng)常會(huì)由于以下三種原因而進(jìn)行發(fā)布:I）修補(bǔ)應(yīng)用程序或操作系統(tǒng)的漏洞。許多黑客通

2、過(guò)緩沖區(qū)溢出對(duì)應(yīng)用程序和操作系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊。通過(guò)補(bǔ)丁的安裝能夠?qū)@類(lèi)漏洞進(jìn)行很好的修補(bǔ)。補(bǔ)丁也常常會(huì)由 于修正系統(tǒng)的功能問(wèn)題進(jìn)行發(fā)布。2）改變功能或更新特征庫(kù)等從而對(duì)新的安全威脅進(jìn)行檢測(cè)。3）修改軟件的配置使它更加的安全。1.2 ,用途和目標(biāo)遵照變更流程文檔進(jìn)行安全補(bǔ)丁更新能夠降低系統(tǒng)的安全隱患發(fā)生的可能。安全補(bǔ)丁更 新流程文檔提供了對(duì)變更流程中補(bǔ)丁更新所涉及的步驟進(jìn)行說(shuō)明，使系統(tǒng)安全管理專(zhuān)員能夠 更好地依照變更流程的規(guī)定對(duì)各種補(bǔ)丁進(jìn)行更新操作，并保證其有效性、穩(wěn)定性和安全性。但是安全補(bǔ)丁更新流程文檔并不會(huì)說(shuō)明指定的補(bǔ)丁是怎樣對(duì)漏洞進(jìn)行修補(bǔ)從而降低安全 風(fēng)險(xiǎn)的。本流程的目標(biāo)是： 規(guī)范不同操作

3、系統(tǒng)、應(yīng)用程序、硬件設(shè)備系統(tǒng)的補(bǔ)丁定期檢查。 確認(rèn)補(bǔ)丁安裝的需求和申請(qǐng)的步驟。 提供補(bǔ)丁更新流程在變更流程中所涉及的各項(xiàng)細(xì)化表格C 規(guī)定各安全相關(guān)職員在補(bǔ)丁更新中的職責(zé)。13范圍下面表格說(shuō)明了哪些遠(yuǎn)東宏信內(nèi)部操作系統(tǒng)、應(yīng)用軟件、硬件設(shè)備的升級(jí)更新屬于安全 補(bǔ)丁管理的范圍，哪些不是。表格1 ：安全補(bǔ)丁管理范圍包括不包括個(gè)人主機(jī)操作系統(tǒng)病毒庫(kù)的自動(dòng)升級(jí)生產(chǎn)主機(jī)系統(tǒng)病毒庫(kù)的自動(dòng)升級(jí)非生產(chǎn)主機(jī)系統(tǒng)IDS特征庫(kù)的自動(dòng)升級(jí)1.4 ,流程運(yùn)行的前提和時(shí)機(jī)為了各類(lèi)安全補(bǔ)丁的更新能夠順利和有效實(shí)施，需要如下前提條件：D由安全管理員發(fā)現(xiàn)或被告知的內(nèi)部系統(tǒng)中確認(rèn)存在的操作系統(tǒng)、應(yīng)用軟件或硬件系 統(tǒng)發(fā)布的補(bǔ)丁，并確定

4、能夠通過(guò)已有的安全途徑獲得相關(guān)的補(bǔ)丁。2）由系統(tǒng)或軟件安全相關(guān)引發(fā)的配置更改或功能調(diào)整，經(jīng)安全管理員確認(rèn)能夠在現(xiàn)有 環(huán)境中進(jìn)行實(shí)施的。3）由產(chǎn)商自動(dòng)下發(fā)的安全相關(guān)特征數(shù)據(jù)庫(kù)的升級(jí)，經(jīng)安全管理員確認(rèn)能夠通過(guò)已有安 全途徑獲得相關(guān)數(shù)據(jù)的。實(shí)施補(bǔ)丁更新的時(shí)機(jī)：在申請(qǐng)、批準(zhǔn)和測(cè)試管理流程之后，根據(jù)系統(tǒng)所屬的類(lèi)別可以選 擇在遠(yuǎn)東宏信范圍內(nèi)分步分區(qū)實(shí)施或集中實(shí)施。第2章流程詳細(xì)說(shuō)明2.1 .流程總圖（包含總圖說(shuō)明表格）圖示1 ：補(bǔ)丁安全管理總圖表格2：補(bǔ)丁管理總圖說(shuō)明表格編號(hào)管理活動(dòng)描述輸入/觸發(fā)條件輸出補(bǔ)丁的登記和分類(lèi)登記需要安裝補(bǔ)丁的變更系統(tǒng)對(duì)補(bǔ)丁的可能影響范圍進(jìn)行評(píng)估發(fā)現(xiàn)需要安裝 的補(bǔ)丁補(bǔ)丁安裝請(qǐng)求

5、的記評(píng) 丁求與 補(bǔ)請(qǐng)錄估安全補(bǔ)丁風(fēng)險(xiǎn)與影 響評(píng)估判斷與分析補(bǔ)丁對(duì)于生產(chǎn)環(huán)境 與業(yè)務(wù)的風(fēng)險(xiǎn)和影響。已接受的補(bǔ)丁 請(qǐng)求補(bǔ)丁審 批補(bǔ)丁的審批召開(kāi)補(bǔ)丁管理會(huì)議，討論和回 顧補(bǔ)丁安裝細(xì)節(jié)，審批或駁回 補(bǔ)丁，為補(bǔ)丁的開(kāi)發(fā)、測(cè)試和已完成評(píng)估正 等待批準(zhǔn)的補(bǔ) 丁安裝補(bǔ) 丁的時(shí) 間、曰 程安排編號(hào)管理活動(dòng)描述輸入/觸發(fā)條件輸出實(shí)施分配資源，并知會(huì)系統(tǒng)安 全專(zhuān)員。安全補(bǔ)丁的開(kāi)發(fā)測(cè) 試與確認(rèn)計(jì)劃、開(kāi)發(fā)、測(cè)試補(bǔ)丁、記錄 測(cè)試結(jié)果，并確認(rèn)變更所需要 的各因素符合要求。變更的時(shí)間和 日程安排協(xié)調(diào)變 更實(shí)施補(bǔ)丁的實(shí)施在系統(tǒng)環(huán)境中實(shí)施補(bǔ)丁準(zhǔn)備好的補(bǔ)丁 安裝流程補(bǔ)裝并，施跳 證安成束實(shí)敗 驗(yàn)丁完結(jié)若失至補(bǔ)丁回退執(zhí)行補(bǔ)丁回退計(jì)劃

6、補(bǔ)丁安裝失敗補(bǔ)裝對(duì)環(huán)影 復(fù)安敗務(wù)的 恢丁失業(yè)境響2.1.1. 補(bǔ)丁的分類(lèi)安全補(bǔ)丁更新管理的目的是有效的審批和控制對(duì)于補(bǔ)丁的變更，從而減少對(duì)于業(yè)務(wù)和用 戶(hù)的影響，以達(dá)到較高的安全和實(shí)施性。安全管理員發(fā)現(xiàn)規(guī)定范圍內(nèi)系統(tǒng)、應(yīng)用程序或硬件有新補(bǔ)丁發(fā)布應(yīng)向運(yùn)維組長(zhǎng)進(jìn)行報(bào) 告。同時(shí)運(yùn)維組長(zhǎng)在確認(rèn)補(bǔ)丁后應(yīng)責(zé)成相關(guān)安全負(fù)責(zé)人對(duì)補(bǔ)丁進(jìn)行等級(jí)劃分。補(bǔ)丁等級(jí)劃分由于不同系統(tǒng)的補(bǔ)丁所牽涉的機(jī)器數(shù)量、業(yè)務(wù)流程、影響大小都有所不同，因此針對(duì)不 同系統(tǒng)的補(bǔ)丁，安全管理員應(yīng)首先確定其屬于哪一類(lèi)變更請(qǐng)求。從而可以正確地進(jìn)入相應(yīng)的 變更申請(qǐng)流程。2.1.2.安全補(bǔ)丁風(fēng)險(xiǎn)與影響評(píng)估根據(jù)不同的補(bǔ)丁等級(jí)，安全運(yùn)維組長(zhǎng)、安全運(yùn)維專(zhuān)員與相

7、關(guān)安裝補(bǔ)丁系統(tǒng)的安全責(zé)任人 組成評(píng)估小組對(duì)補(bǔ)丁的風(fēng)險(xiǎn)和影響進(jìn)行定性評(píng)估。安全負(fù)責(zé)人包括網(wǎng)絡(luò)安全專(zhuān)員、系統(tǒng)安全 專(zhuān)員、數(shù)據(jù)庫(kù)安全專(zhuān)員、應(yīng)用系統(tǒng)安全專(zhuān)員等安全技術(shù)人員以及補(bǔ)丁安裝的設(shè)備或應(yīng)用的部 門(mén)經(jīng)理。如為數(shù)據(jù)庫(kù)安裝補(bǔ)丁則需要安全運(yùn)維組長(zhǎng)、安全運(yùn)維專(zhuān)員、數(shù)據(jù)庫(kù)安全專(zhuān)員以及該 數(shù)據(jù)庫(kù)所承載的應(yīng)用服務(wù)的部門(mén)經(jīng)理組成評(píng)估小組進(jìn)行風(fēng)險(xiǎn)和影響評(píng)估。以確定該補(bǔ)丁是否 能夠被加載。2.1.3. 補(bǔ)丁的審批經(jīng)過(guò)補(bǔ)丁的風(fēng)險(xiǎn)和影響評(píng)估后，安全運(yùn)維組長(zhǎng)和補(bǔ)丁相關(guān)應(yīng)用系統(tǒng)部門(mén)經(jīng)理可以根據(jù)補(bǔ) 丁的評(píng)估結(jié)果對(duì)補(bǔ)丁進(jìn)行審批。對(duì)已授權(quán)安裝的補(bǔ)丁安全運(yùn)維組長(zhǎng)和補(bǔ)丁相關(guān)應(yīng)用系統(tǒng)部門(mén)經(jīng)理還應(yīng)對(duì)補(bǔ)丁安裝所需資 源進(jìn)行準(zhǔn)備，同時(shí)通知相關(guān)責(zé)任人審批的結(jié)果。2.1.4. 安全補(bǔ)丁的開(kāi)發(fā)測(cè)試與確認(rèn)通過(guò)審批的補(bǔ)丁交由相應(yīng)的安全負(fù)責(zé)人和相關(guān)應(yīng)用系統(tǒng)部門(mén)主管進(jìn)行開(kāi)發(fā)測(cè)試。測(cè)試包 括測(cè)試資源確認(rèn)、測(cè)試方案設(shè)計(jì)、測(cè)試記錄、測(cè)試結(jié)果輸出、測(cè)試結(jié)果分析、測(cè)試改進(jìn)以及 最終接受補(bǔ)丁版本C2.1.5. 補(bǔ)丁的實(shí)施通過(guò)測(cè)試的補(bǔ)丁進(jìn)行補(bǔ)丁實(shí)施流程。補(bǔ)丁的實(shí)施由安全運(yùn)維專(zhuān)員監(jiān)督并由對(duì)應(yīng)安全負(fù)責(zé) 人進(jìn)行安裝。補(bǔ)丁的下載需要通過(guò)公司規(guī)定的安全途徑，如系統(tǒng)軟件文件服務(wù)器或從指定的系統(tǒng)供應(yīng) 商的官方網(wǎng)站上進(jìn)行下載。補(bǔ)丁的安裝時(shí)間由安全運(yùn)維組長(zhǎng)和相關(guān)應(yīng)用服務(wù)部門(mén)經(jīng)理進(jìn)行確定。2.1.6. 補(bǔ)丁回退若補(bǔ)丁實(shí)施不成