安全補(bǔ)丁更新工作指導(dǎo)書

城建宏信信息治理部安全補(bǔ)丁更工作指導(dǎo)書修訂記錄版本編號版本日期修訂者說明V1.02022-04-20曹宏濤初稿V1.12022-07-20區(qū)維青變更補(bǔ)丁治理流程歸口部門歸口部門信息治理部文件名稱安全補(bǔ)丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/01.0目的為標(biāo)準(zhǔn)城建宏信安全補(bǔ)丁更操作，并保證其有效性、穩(wěn)定性和安全性。2.0范圍本工作指導(dǎo)書適用于城建宏信及下屬全資平臺(tái)公司。3.0背景手段。補(bǔ)丁常常會(huì)由于以下三種緣由而進(jìn)展公布：1、修補(bǔ)應(yīng)用程序或操作系統(tǒng)的漏洞。很多黑客通過緩沖區(qū)溢出對應(yīng)用程好的修補(bǔ)。補(bǔ)丁也常常會(huì)由于修正系統(tǒng)的功能問題進(jìn)展公布。2、轉(zhuǎn)變功能或更特征庫等從而對的安全威逼進(jìn)展檢測。3修改軟件的配置使它更加的安全。目標(biāo)遵照安全補(bǔ)丁變更工作指導(dǎo)書進(jìn)展安全補(bǔ)丁更能夠降低系統(tǒng)的安全隱的規(guī)定對各種補(bǔ)丁進(jìn)展更操作，并保證其有效性、穩(wěn)定性和安全性。但是安全補(bǔ)丁更流程文檔并不會(huì)說明指定的補(bǔ)丁是怎樣對漏洞進(jìn)展修補(bǔ)從而降低安全風(fēng)險(xiǎn)的。本流程的目標(biāo)是：標(biāo)準(zhǔn)不同操作系統(tǒng)、軟件產(chǎn)品、網(wǎng)絡(luò)設(shè)備系統(tǒng)的安全補(bǔ)丁定期檢查。確認(rèn)安全補(bǔ)丁安裝的評估步驟。明確安全補(bǔ)丁更流程中所涉及的各項(xiàng)細(xì)化表格工具。歸口部門歸口部門信息治理部文件名稱安全補(bǔ)丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/0規(guī)定各安全相關(guān)職員在補(bǔ)丁更中的職責(zé)。定義更的范圍和對象。包括不包括個(gè)人PC包括不包括個(gè)人PC操作系統(tǒng)病毒庫的自動(dòng)升級生產(chǎn)環(huán)境主機(jī)系統(tǒng)〔含虛擬機(jī)環(huán)境〕病毒庫的自動(dòng)升級開發(fā)及測試主機(jī)系統(tǒng)〔含虛擬機(jī)環(huán)境〕IDS特征庫的自動(dòng)升級為了各類安全補(bǔ)丁的更能夠順當(dāng)和有效實(shí)施，需要如下前提條件：關(guān)的補(bǔ)丁。認(rèn)能夠在現(xiàn)有環(huán)境中進(jìn)展實(shí)施的。夠通過已有安全途徑獲得相關(guān)數(shù)據(jù)的。的類別可以選擇在城建宏信范圍內(nèi)分步分區(qū)實(shí)施或集中實(shí)施。流程安全補(bǔ)丁治理流程歸口部門信息治理部歸口部門信息治理部文件名稱安全補(bǔ)丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/0安全補(bǔ)丁治理流程圖安全補(bǔ)丁治理流程圖是安全補(bǔ)丁登記安全補(bǔ)丁評估安全補(bǔ)丁測試安全補(bǔ)丁部署是否成功完畢否變更回退序號活動(dòng)名稱角色職責(zé)/活動(dòng)說明輸出表單工具1安全補(bǔ)丁登記設(shè)登記需要安裝覺察需要安全補(bǔ)丁管安補(bǔ)丁的變更系統(tǒng)安裝的補(bǔ)理記錄表責(zé)對補(bǔ)丁的可能丁人影響范圍進(jìn)展評補(bǔ)丁安裝2安全補(bǔ)丁評估設(shè)估進(jìn)展補(bǔ)丁評懇求記錄安裝補(bǔ)丁安全補(bǔ)丁管部審，推斷與分析理記錄表門總監(jiān)補(bǔ)丁對于生產(chǎn)環(huán)源安排計(jì)境與業(yè)務(wù)的風(fēng)險(xiǎn)劃和影響制定補(bǔ)丁測試打算和安排相關(guān)資源，并知會(huì)相3安全補(bǔ)丁測試關(guān)系統(tǒng)治理員補(bǔ)丁測試、記安全補(bǔ)丁安全補(bǔ)丁測錄測試結(jié)果，并測試報(bào)告試報(bào)告確認(rèn)變更所需要人的各因素符合要4安全補(bǔ)丁部署求。配置補(bǔ)丁部署安全補(bǔ)丁安全補(bǔ)丁管策略并在系統(tǒng)環(huán)部署理記錄表境中實(shí)施歸口部門歸口部門信息治理部文件名稱安全補(bǔ)丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/0人5安全補(bǔ)丁回滾基施全人礎(chǔ)部負(fù)設(shè)安責(zé)人工實(shí)施補(bǔ)丁回滾影響評估結(jié)論表格2：安全補(bǔ)丁治理流程說明安全補(bǔ)丁登記對于業(yè)務(wù)和用戶的影響，以到達(dá)較高的安全和實(shí)施性。安全負(fù)責(zé)人對補(bǔ)丁進(jìn)展等級劃分。補(bǔ)丁類別推斷標(biāo)準(zhǔn)處理要求緊急安全補(bǔ)丁緊急安全補(bǔ)丁對應(yīng)的漏洞可導(dǎo)致遠(yuǎn)程運(yùn)行任意代必需依據(jù)要求碼或死鎖受漏洞效勞，且攻擊代碼易于開發(fā)；對準(zhǔn)時(shí)分發(fā)部署應(yīng)的病毒可導(dǎo)致遠(yuǎn)程掌握被感染系統(tǒng)或嚴(yán)峻消耗系統(tǒng)資源，且病毒已大規(guī)模傳播或具有大規(guī)模傳播的趨勢。補(bǔ)丁類別推斷標(biāo)準(zhǔn)處理要求緊急安全補(bǔ)丁緊急安全補(bǔ)丁對應(yīng)的漏洞可導(dǎo)致遠(yuǎn)程運(yùn)行任意代必需依據(jù)要求碼或死鎖受漏洞效勞，且攻擊代碼易于開發(fā)；對準(zhǔn)時(shí)分發(fā)部署應(yīng)的病毒可導(dǎo)致遠(yuǎn)程掌握被感染系統(tǒng)或嚴(yán)峻消耗系統(tǒng)資源，且病毒已大規(guī)模傳播或具有大規(guī)模傳播的趨勢。一般安全補(bǔ)丁除緊急、重要安全補(bǔ)丁以外的全部安全補(bǔ)丁依據(jù)補(bǔ)丁分發(fā)策略統(tǒng)一分發(fā)部署〔每個(gè)月第三周〕安全補(bǔ)丁評估歸口部門歸口部門信息治理部文件名稱安全補(bǔ)丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/0員以及該數(shù)據(jù)庫所承載的應(yīng)用的歸口治理部門的部門負(fù)責(zé)人組成評估小組進(jìn)展風(fēng)險(xiǎn)和影響評估。以確定該補(bǔ)丁是否能夠被加載。安全補(bǔ)丁測試的安裝與否進(jìn)展推斷。確認(rèn)。安全補(bǔ)丁部署全治理員負(fù)責(zé)配置并由對部署結(jié)果進(jìn)展核查。定的系統(tǒng)供給商的官方網(wǎng)站上進(jìn)展下載。一天以郵件形式通知相關(guān)部門。安全補(bǔ)丁回滾假設(shè)補(bǔ)丁實(shí)施不成功，則需要進(jìn)展安全補(bǔ)丁回退。員進(jìn)展回退實(shí)施工作。員都了解了補(bǔ)丁的回退工作并知曉其回退后可能帶來的安全問題。7.0 相關(guān)文件《安全補(bǔ)丁治理記錄表》《安全補(bǔ)丁測試報(bào)告》8.0附件歸口部門歸口部門信息治理部文件名稱安全補(bǔ)丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/0《安全補(bǔ)丁治理記錄表》《安全補(bǔ)丁測試報(bào)告》9.0 附則本標(biāo)準(zhǔn)自公告公布之日起生效。歸口部門歸口部門信息治理部文件名稱安全補(bǔ)丁更工作指導(dǎo)書文件編號IFELC/QD/DXX-XX版本A/0安全補(bǔ)丁治理記錄表緊急安全補(bǔ)丁公布日期：緊急安全補(bǔ)丁公布日期：