安全補丁更新工作指導(dǎo)書

城建宏信信息治理部安全補丁更工作指導(dǎo)書修訂記錄版本編號版本日期修訂者說明V1.02022-04-20曹宏濤初稿V1.12022-07-20區(qū)維青變更補丁治理流程歸口部門歸口部門信息治理部文件名稱安全補丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/01.0目的為標準城建宏信安全補丁更操作，并保證其有效性、穩(wěn)定性和安全性。2.0范圍本工作指導(dǎo)書適用于城建宏信及下屬全資平臺公司。3.0背景手段。補丁常常會由于以下三種緣由而進展公布：1、修補應(yīng)用程序或操作系統(tǒng)的漏洞。很多黑客通過緩沖區(qū)溢出對應(yīng)用程好的修補。補丁也常常會由于修正系統(tǒng)的功能問題進展公布。2、轉(zhuǎn)變功能或更特征庫等從而對的安全威逼進展檢測。3修改軟件的配置使它更加的安全。目標遵照安全補丁變更工作指導(dǎo)書進展安全補丁更能夠降低系統(tǒng)的安全隱的規(guī)定對各種補丁進展更操作，并保證其有效性、穩(wěn)定性和安全性。但是安全補丁更流程文檔并不會說明指定的補丁是怎樣對漏洞進展修補從而降低安全風(fēng)險的。本流程的目標是：標準不同操作系統(tǒng)、軟件產(chǎn)品、網(wǎng)絡(luò)設(shè)備系統(tǒng)的安全補丁定期檢查。確認安全補丁安裝的評估步驟。明確安全補丁更流程中所涉及的各項細化表格工具。歸口部門歸口部門信息治理部文件名稱安全補丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/0規(guī)定各安全相關(guān)職員在補丁更中的職責(zé)。定義更的范圍和對象。包括不包括個人PC包括不包括個人PC操作系統(tǒng)病毒庫的自動升級生產(chǎn)環(huán)境主機系統(tǒng)〔含虛擬機環(huán)境〕病毒庫的自動升級開發(fā)及測試主機系統(tǒng)〔含虛擬機環(huán)境〕IDS特征庫的自動升級為了各類安全補丁的更能夠順當(dāng)和有效實施，需要如下前提條件：關(guān)的補丁。認能夠在現(xiàn)有環(huán)境中進展實施的。夠通過已有安全途徑獲得相關(guān)數(shù)據(jù)的。的類別可以選擇在城建宏信范圍內(nèi)分步分區(qū)實施或集中實施。流程安全補丁治理流程歸口部門信息治理部歸口部門信息治理部文件名稱安全補丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/0安全補丁治理流程圖安全補丁治理流程圖是安全補丁登記安全補丁評估安全補丁測試安全補丁部署是否成功完畢否變更回退序號活動名稱角色職責(zé)/活動說明輸出表單工具1安全補丁登記設(shè)登記需要安裝覺察需要安全補丁管安補丁的變更系統(tǒng)安裝的補理記錄表責(zé)對補丁的可能丁人影響范圍進展評補丁安裝2安全補丁評估設(shè)估進展補丁評懇求記錄安裝補丁安全補丁管部審，推斷與分析理記錄表門總監(jiān)補丁對于生產(chǎn)環(huán)源安排計境與業(yè)務(wù)的風(fēng)險劃和影響制定補丁測試打算和安排相關(guān)資源，并知會相3安全補丁測試關(guān)系統(tǒng)治理員補丁測試、記安全補丁安全補丁測錄測試結(jié)果，并測試報告試報告確認變更所需要人的各因素符合要4安全補丁部署求。配置補丁部署安全補丁安全補丁管策略并在系統(tǒng)環(huán)部署理記錄表境中實施歸口部門歸口部門信息治理部文件名稱安全補丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/0人5安全補丁回滾基施全人礎(chǔ)部負設(shè)安責(zé)人工實施補丁回滾影響評估結(jié)論表格2：安全補丁治理流程說明安全補丁登記對于業(yè)務(wù)和用戶的影響，以到達較高的安全和實施性。安全負責(zé)人對補丁進展等級劃分。補丁類別推斷標準處理要求緊急安全補丁緊急安全補丁對應(yīng)的漏洞可導(dǎo)致遠程運行任意代必需依據(jù)要求碼或死鎖受漏洞效勞，且攻擊代碼易于開發(fā)；對準時分發(fā)部署應(yīng)的病毒可導(dǎo)致遠程掌握被感染系統(tǒng)或嚴峻消耗系統(tǒng)資源，且病毒已大規(guī)模傳播或具有大規(guī)模傳播的趨勢。補丁類別推斷標準處理要求緊急安全補丁緊急安全補丁對應(yīng)的漏洞可導(dǎo)致遠程運行任意代必需依據(jù)要求碼或死鎖受漏洞效勞，且攻擊代碼易于開發(fā)；對準時分發(fā)部署應(yīng)的病毒可導(dǎo)致遠程掌握被感染系統(tǒng)或嚴峻消耗系統(tǒng)資源，且病毒已大規(guī)模傳播或具有大規(guī)模傳播的趨勢。一般安全補丁除緊急、重要安全補丁以外的全部安全補丁依據(jù)補丁分發(fā)策略統(tǒng)一分發(fā)部署〔每個月第三周〕安全補丁評估歸口部門歸口部門信息治理部文件名稱安全補丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/0員以及該數(shù)據(jù)庫所承載的應(yīng)用的歸口治理部門的部門負責(zé)人組成評估小組進展風(fēng)險和影響評估。以確定該補丁是否能夠被加載。安全補丁測試的安裝與否進展推斷。確認。安全補丁部署全治理員負責(zé)配置并由對部署結(jié)果進展核查。定的系統(tǒng)供給商的官方網(wǎng)站上進展下載。一天以郵件形式通知相關(guān)部門。安全補丁回滾假設(shè)補丁實施不成功，則需要進展安全補丁回退。員進展回退實施工作。員都了解了補丁的回退工作并知曉其回退后可能帶來的安全問題。7.0 相關(guān)文件《安全補丁治理記錄表》《安全補丁測試報告》8.0附件歸口部門歸口部門信息治理部文件名稱安全補丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/0《安全補丁治理記錄表》《安全補丁測試報告》9.0 附則本標準自公告公布之日起生效。歸口部門歸口部門信息治理部文件名稱安全補丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/0安全補丁治理記錄表緊急安全補丁公布日期：緊急安全補丁公布日期：