公司安全补丁管理办法(V2.0)

中国移动通信集团西藏有限公司网络部网络与信息安全办公室编制中国移动通信集团西藏有限公司安全补丁加载管理办法（V2.0）版本号V2.0日期2010年05月 本文档版权属中国移动通信集团西藏有限公司所有。未经中国移动西藏公司书面许可， 任何单位和/或个人不得以任何形式摘抄、复制本文档的全部或任意部分，并不得以任何形式传播。一、文档信息1.1 文档版本核实使用本文档前，文档使用者有责任核实当前版本的有效性。1.2 修改记录对本文档所有修改都应按修改时间顺序记录。表1-1 文档修改记录版本日期修改内容修改人1.02007年08月新建宁芝2.02010年05月修订了组织与智能、安全补丁管理要求等宁芝1.3 文档批准您本人或您本人指定的代表的签字表明您已经批准了本文档内容。它也表明您已经仔细地阅读、审查和考虑到了本文档对您的部门的影响以及它是否符合公司的指导方向。1.4 批准签字表1-2 批准签字批准人职务批准日期杨世毛网络部总经理2007年11月1.5 分发网络部、集团客户部、客户服务部各地市分公司二、目的 为规范中国移动西藏公司各系统软件安全补丁加载管理流程、明确相关要求，特制定本管理办法。三、适用范围本制度由区公司网络部网络与信息安全办公室制定和维护，区公司相关部门及各地市分公司均须遵照执行。四、中国移动西藏公司安全补丁加载管理办法第一章 总则第1条 第1条为规范中国移动西藏公司的安全补丁安装管理工作，及时准确地加载各类安全补丁，修补安全漏洞，消除安全隐患，确保通信网络的稳定可靠运行，特制定本管理办法。第2条 第2条本办法用于指导西藏公司整体的安全补丁管理工作。区公司相关部门及各地市分公司应在本办法的指导下，结合各自实际情况制定相应的实施细则，并落实到具体工作中。第3条 第3条本办法每年复审一次，其它时候也可以根据需要进行修订并发布。第二章适用范围第4条 第4条本办法为西藏公司的基础通信网络、业务系统、支撑系统及企业信息化系统中各类服务器、主机、网络设备的安全补丁安装管理提供依据。第三章组织与职责安全补丁的管理包括安全补丁的确定、许可、装载计划的制定、实施的组织；组织进行安全补丁与应用软件的兼容性测试；协调解决有关安全补丁的各种问题；建立安全补丁管理文档资料等各项工作。第5条 第5条区公司网络与信息安全办公室作为二级安全补丁管理部门网络部，负责统一指导组织公司的安全补丁管理工作，包括各类业务系统、支撑系统、企业信息化系统等。主要职责包括：1、负责在总部的指导下，制定公司的安全补丁管理办法，监督、指导区公司各部门及各地市分公司的安全补丁安装管理工作，并进行定期或不定期的检查与考核；2、根据总部对于安全补丁加载情况的要求，建立区内的安全补丁运行情况、装载计划、安全补丁功能清单等文档资料，汇总公司现网在运行操作系统、数据库、网络设备、中间件、应用软件等安全补丁加载情况，并按照要求向总部报告。3、对于不涉及新系统入网或软件版本更新的系统在距离上次补丁加载后，按照普通安全补丁的管理时限要求，及时向总部发起安全补丁测试申请，通过认证后组织安全补丁加载实施。4、2、收集、汇总可能影响网络正常运行的漏洞及其它安全信息，及时转发有限公司及其它安全机构、软件公司发布的安全预警信息；3、统一管理区公司所管范围内各类系统的安全补丁测试、认证和审计工作；配合总部进行设备软件的安全补丁兼容性测试工作。测试完成后进行相应的总结，并提交安全补丁兼容性测试反馈表或测试报告。5、收集、汇总可能影响网络正常运行的漏洞及其它安全信息，及时转发有限公司及其它安全机构、软件公司发布的安全预警信息；64、负责网络部主管系统的安全补丁加载工作。 第6条 第6条区公司相关部门及各地市分公司负责本部门范围内各系统的安全补丁具体加载工作，其主要职责包括：1、贯彻执行区公司网络部发布的安全补丁管理办法，并结合本部门或分公司实际情况，制定相应的实施细则；2、针对区公司网络部发布的安全预警信息进行处理，并及时反馈处理结果及其它相关信息；3、负责本部门或分公司范围内的安全补丁加载工作。第7条明确岗位责任，区公司相关部门、各地市分公司需视设备数量设立专门或兼职的安全管理岗，负责安全补丁管理方面的相关工作。第7条 第8条安全补丁安装管理涉及安全管理员、系统管理员。安全管理员负责安全补丁加载的组织、测试和审批，系统管理员负责安全补丁加载的实施。第8条 第9条安全管理员职责：1、贯彻执行上级领导单位或部门有关安全补丁管理方面的规程、标准和各项规定，组织制定相应的实施细则，定期或不定期检查落实情况；2、牵头制定安全补丁的加载计划、进行测试、认证并组织实施，保证设备补丁的统一性；3、加强补丁技术资料、文档的管理工作，定期检查，做到正确、清晰、完整。第9条 第10条系统管理员职责： 1、对新入网的系统进行安全检查，确保设备入网时已安装了相应的最新安全补丁；2、根据安全补丁测试、认证结果，在规定时间内完成补丁的加载工作；3、维护安全补丁信息库，定期对所管系统的补丁信息进行核查，并及时更新补丁信息库；4、配合安全管理员实施对系统和设备的安全检查工作。第四章安全补丁管理要求及实施管理制度第10条 安全补丁加载管理分为普通安全补丁管理和紧急安全补丁管理，针对普通补丁安全管理，每季度为一管理周期，紧急安全补丁管理由总部统一或区公司网络与信息安全办公室根据紧急程度和潜在风险威胁等情况确定具体时间要求。第11条 安全普通补丁的加载要求信息，于每季度初通过指定平台发布；安全紧急补丁的加载要求信息则不定期在指定平台发布。 第12条 安全补丁管理流程包括由新系统入网或软件版本更新触发的安全补丁管理流程，和由安全补丁管理周期触发的安全补丁管理流程。第13条 根据系统组网分布情况，将安全补丁管理的系统对象分为，全网单节点和多节点，单节点系统是指全网只在某一地点，或者对外提供一类功能的系统，存在主备独立系统的不做为单节点系统，其他均为多节点系统。针对单节点系统，由区公司网络与信息安全办公室做为安全补丁的主要管理和实施组织方。第14条 新系统入网或软件版本更新触发类的安全补丁管理： 应该在进行业务、系统软件测试同时进行安全补丁加载的兼容性测试，由相关设备厂家，按照安全补丁加载要求信息，同步进行实验室测试，并在FOA测试通过，确保兼容所要求加载的全部安全补丁后，才能获得入网许可证；之后，由网络与信息安全办公室在得到总部的许可后，在区内组织实施安全补丁加载和相关后续管理工作。第15条 不涉及新系统入网或软件版本更新的系统，在距离上次安全补丁加载后，满3个月即满一个安全补丁管理周期时，触发安全补丁管理： 由网络与信息安全办公室汇总本区内相关情况，按照最新的安全普通补丁加载要求信息，向总部申请组织安全补丁加载测试，必要时配合总部进行安全补丁的测试。第1条 设备软件的兼容性版本的提出、实验室测试与审查1.未经总部颁发的入网许可并且尚未掌握相关情况的设备软件，由总部要求设备提供商提供安全补丁兼容性的实验室测试报告。2.实验室测试报告内容包括安全补丁实验室测试情况报表，安全补丁兼容性测试环境的说明，设备软件测试环境中所加载的安全补丁列表，安全补丁兼容性测试验收手册等。第2条 安全补丁FOA现场测兼容性测试1.现场测试的组织：对于单节点设备的安全补丁FOA测试或受总部委托，由网络与信息安全办公室统一组织进行现网安全补丁兼容性验收测试，并报总部备案。2.现场测试的准备：网络与信息安全办公室负责组织安全补丁兼容性测试小组（原则上应包括该专业或相近专业的安全专家、系统维护人员，必要时可申请集团支援）；确定测试地点、测试时间、测试内容、设备软件装载步骤、安全补丁装载步骤、紧急异常情况处理办法等，并认真了解现场测试局的情况。3.现场测试：由兼容性测试小组完成安全补丁装载达成兼容性测试环境（在入网测试的情况下，还需完成新设备软件的加载），随后进行测试手册的每个测试项目，均需认真填写实际测试结果、测试时间、测试人签字及补充说明等。4.测试报告：测试报告由设备提供商在验收测试手册中提供样稿（主要内容为在所要求安全补丁全部加载的情况下，系统软硬件是否兼容，各项功能是否正常的测试验证步骤），经安全补丁兼容性测试小组根据需要进行修改补充后作为测试手册，根据实际测试情况进行填报，形成正式的测试报告。第3条 安全补丁兼容性测试的反馈第4条 在测试完毕、观察期结束后，兼容性测试小组应根据测试情况填写安全补丁兼容性测试反馈单，并在工单要求的时限内反馈至总部。 对于设备软件兼容性测试不成功，或测试完毕后在观察阶段产生异常现象的，仍需要在规定的时限内进行反馈，并注明原因。第5条 设备软件的入网许可全网系统设备软件入网许可证明的审批和发布都由总部负责，在接到总部的入网许可后，在网络与信息安全办公室的统一组织下方可进行安全补丁的加载实施。第16条 第11条在与设备厂家、系统集成商签订合同时，应明确系统集成商其对系统安全的责任，具体要求包括：1、保证系统中的设备在上线入网前，设置了合理的安全策略，加载了最新的安全补丁，符合有限公司下发的设备功能基线及设备配置基线要求；2、在合同有效期内，尽可能保留现网应用系统的实验环境，以便进行安全补丁的测试工作；3、在规定时间内配合完成安全补丁的测试工作，当补丁与应用系统存在冲突时，及时提供相应的解决方案或建议，并在规定时间内对系统进行升级改造；4、提供安全补丁加载的现场支持服务，当安全补丁安装失败时，对失败原因进行分析、测试，并提供相应的分析报告；第12条在系统割接入网时，系统管理员应对系统的安全情况进行审核，如审核中发现严重的安全问题，必须要求系统集成商对系统进行整改。第13条在系统验收时，系统集成商必须提供相应的安全信息文档，作为系统验收的重要依据之一。第17条 第14条对补丁进行分级管理，保证级别高的补丁得到优先处理以尽快修补高风险的漏洞。补丁的分级标准和安全预警的分级标准相对应，其意义及处理要求如下：级别判断标准处理要求紧急该补丁对应的漏洞可能导致远程运行任意代码，且攻击代码易于开发；对应的病毒可导致远程控制被感染系统或严重消耗系统资源，且病毒已大规模传播或具有大规模传播的趋势。必须按要求及时加载。重要该补丁对应的漏洞可导致远程运行任意代码，攻击代码不易于开发；对应的病毒可导致远程控制被感染系统或严重消耗系统资源，且病毒尚未呈现已大规模传播的趋势。在进行完测试不会对应用系统造成影响或已有加载先例的情况下进行加载，否则需上报上一级管理部门进行处理。中级该补丁对应的漏洞可导致本地越权运行任意代码或死锁受漏洞影响的服务；对应的病毒可通过WWW，电子邮件等服务传播。在保证不影响到应用系统的情况下进行加载，否则不进行加载。一般除紧急、重要、中级补丁以外的所有补丁。在保证不影响到应用系统的情况下进行加载，否则不进行加载。第五章 安全补丁的备份及文档管理第6条 安全补丁信息的文档管理由网络与信息安全办公室负责安全补丁文档的统一收集管理，主要包括以下内容：(1) 全区每月安全补丁的状态及变更情况。（附表1）(2) 全区使用设备软件和安全补丁的测试报告、入网许可证和安全补丁兼容性列表（附表2）等相关材料。(3) 全区安全补丁的装载计划（附表3）。(4) 全区安全补丁运行情况。其它相关资料。第15条 为确保全网补丁的一致性，一但确定补丁需要加载，与外网相连或不连的系统、已通过关闭端口或加强访问控制策略进行防范的系统也必须进行补丁的安装。第16条 当应用系统与补丁确实存在冲突时，补丁可以暂时不用加载，但必须满足以下要求：1、 对于要求必须加载的补丁，必须向区公司网络部申请并得到批准；2、 应有后续的解决措施，如通过临时关闭端口或加强访问控制策略进行安全保护，并责成系统集成商升级系统以解决系统与补丁的冲突等；3、 应有相应的期限，暂时不用加载不等于不用加载，只是适当延长了补丁加载期限以解决补丁加载中的问题。第17条 相关部门应每月至少对应用系统进行一次安全扫描，及时发现系统中存在的安全漏洞并加载相应的补丁，消除安全隐患，确保系统安全运行。 第五章补丁加载流程第18条 补丁加载主流程1、 安全预警信息发布 区公司网络部在收到有限公司或其他安全机构、软件公司发布的预警信息后，在全区范围内进行发布。如果预警信息级别为“紧急”，则必须进行相应补丁的加载；若级别为“重要”， 原则上也需进行补丁加载，若发现可能会与系统发生冲突需报至区公司网络部进行处理；若级别为“中级”或“一般”，在保证不影响到应用系统的情况下进行加载，否则不进行加载。2、 获取相应的补丁 各部门、分公司安全管理员在获取补丁后通知系统管理员进行补丁的加载。补丁的获得应通过正式渠道，例如有限公司统一提供或从软件厂商网站获得。3、 补丁测试系统管理员在收到安全管理员的补丁加载通知后，应通知相关系统集成商对补丁进行测试。原则上所有的补丁在加载前必须经过严格的测试，补丁的测试由系统集成商负责完成，系统管理员应督促其尽快完成补丁的测试工作，并提交相应的补丁测试反馈表（见附件一）。4、 补丁加载补丁的加载应有计划、分批进行，资产价值大、威胁等级高的系统应优先进行补丁的加载。特别要做好从安全预警信息发布到补丁加载前一段时间内的安全防护工作。5、 补丁归档补丁的相关文档应建立补丁管理信息库统一进行管理，补丁管理信息库负责管理各系统的补丁清单、补丁实体及相关文档说明，以便系统一旦需要重装时，可以按清单进行历次安装补丁的加载。第19条 补丁加载子流程加载是否成功制定补丁加载计划开始补丁加载计划审批补丁加载回退补丁验证 实施结果反馈结束1、 制定补丁加载计划加载补丁时应充分考虑该项工作可能对整个系统运行带来的影响，为防止在加载过程中出现遗漏或异常情况，安全管理员应根据补丁的测试情况组织相关系统管理员、厂商工程师明确制定补丁的加载计划（请见附件二）。2、 补丁加载计划审批 补丁加载计划应得到上级主管部门的审核批准后才能实施。3、 加载补丁根据补丁加载计划进行具体的实施，如果补丁加载成功，则对补丁的有效性、业务的可用性的检查，否则根据补丁加载计划中的回退计划进行回退。4、 实施结果反馈 补丁加载完成后应对加载情况进行汇总，并填写补丁加载情况反馈表（见附件三），及时反馈上级主管部门。第六章安全补丁管理的审计与考核第18条 第20条 为贯彻落实安全补丁管理的各项要求，网络与信息安全办公室应定期或不定期对安全补丁管理工作的落实情况进行审计与考核。第19条 第21条 安全补丁管理的审核包括但不限于以下内容：1、 1、是否按要求组织实施安全补丁加载工作。制定了相应的补丁管理实施细则；是否对补丁加载缺失原因进行了纪录和上报；2、 2、是否有未按要求加载安全补丁而造成安全事件的情况发生。3、 3、是否按时提供安全补丁的相关文档资料。；补丁的相关文档是否完备。第七章附则第20条 第22 条本办法由中国移动西藏公司网络部负责解释和修改。第21条第22条 第23条本办法自发布之日起施行。附表1： 各省（自治区、直辖市）安全补丁装载情况上报上报要求：1、 该内容以 EXCEL 表的形式进行反馈；2、 反馈时间：每季度第一个月底前上报上季度安全补丁情况；3、 反馈途径：以电子邮件的形式反馈。4、 EXCEL文件格式要求如下： 文件名称：SSYYYYQX_secutirypatch.xls（SS为本省的简称，YYYY为年份，QX为季度（X1，2，3，4），具体上报要求参见如下文件：专业系统主设备厂家终端安全补丁装载情况服务器安全补丁装载情况未达标原因说明及达标计划终端总数本季度发布的安全补丁兼容数本季度之前发布的安全补丁兼容数安全补丁兼容性不达标数终端服务器总数本季度发布的安全补丁兼容数本季度之前发布的安全补丁兼容数安全补丁兼容性不达标数附表2：中国移动通信网XX系统和软件安全补丁兼容性列表（中国移动填写）系统名称系统版本操作系统操作系统版本数据库数据库版本应用系统应用系统版本设备供应商ASB ER MT NK NT SE 华为 中兴 其它请注明： 设备归属专业交换 智能网/彩铃 短信 GPRS 网管 传输IP承载网/CMNET WAP网关 MISC 彩信其它请注明： 通过兼容性测试的安全补丁列表中国移动本季度（X