第一节 补丁跟进和通告
第一条 系统管理员负责跟进各产品的安全漏洞信息和产品厂商发布的安全补丁信息。
第二条 安全补丁根据其对应漏洞的严重程度分为三个级别:紧急补丁、重要补丁和一般补丁;紧急补丁必须在规定的时间内完成加载,重要补丁须在计划的时间内完成加载,还有一般补丁的加载。
第三条 我行科技部成员需在领导和管理员的批准后进行加载补丁信息,并向有关人员公布。
第二节 补丁获取
第四条 系统管理员负责从正式渠道获取安全补丁,正式渠道包括集团公司下发的、产品厂商提供的或产品厂商网站下载的安全补丁。
第五条 系统管理员负责对安全补丁进行完整性校验,确保获取的安全补丁软件未被修改和安全可用。
第三节 补丁测试
第六节 补丁加载之前必须经过严格的测试,严禁未经测试直接在生产系统上加载补丁。加载经商机信息系统管理部门测试后下发的补丁可以不做测试。
第七节 补丁测试的方式有两种:实验机测试和现网测试。实验机测试必须进行,实验机配置环境需要与现网环境尽可能一致,并考虑差异性带来的风险;条件允许的情况下(如有测试设备或备机)可
以进行现网测试。
1. 补丁测试的内容包括安装测试、功能性测试、兼容性测试和回退测试。
a.安装测试主要测试补丁安装过程是否正确无误,补丁安装后系 统是否正常运行。
b.功能性测试主要测试补丁手否对安全漏洞进行了修补。
c.兼容性测试主要测试补丁加载后是否对应用系统带来影响,业务是否可以正常运行。
d.回退测试主要包括补丁卸载测试、系统还原测试。
2. 补丁测试的工作由系统集成商或系统管理员负责实施。必须对补丁的现场测试和现网测试限定时间,测试完成后需要编写测试报告,给出明确的测试结论。
3. 系统管理员需要把《补丁测试报告》提交部门主管领导进行审核,审核通过后可以进行补丁加载和使用。
4. 为确保系统集成商及时配合补丁的测试和安装工作,需要通过合同的方式,明确集成商的安全补丁测试和安装负责,约束条款至少应包括:实验机测试环境的构建,在规定时间内完成补丁测试,补丁加载,补丁加载失败时的测试与分析,补丁与应用冲突时的系统改造和升级等工作。
第四节 补丁加载
第八节 从安全漏洞发布到补丁加载前,公司系统管理员根据需要给出应急措施建议,例如通过加强访问控制、临时关闭服务、加强
安全审计等应急措施来加强网络安全,各相关业务系统根据建议采取适当的防护措施,并加强对系统的监控,及时发现和报告安全事件。 1. 补丁加载前,必须向主管领导提交安全补丁测试报告、安装计划和实施方案等,经审批通过后按计划执行,审批的周期应在规定的时间内完成。
2. 在补丁安装前,必须做好数据备份工作,确保任何的操作都可回退,在到达回退时间补丁加载没有完成时,启动回退操作,保证业务的正常运行。
3. 补丁加载必须安排在业务比较空闲的时间进行,对补丁加载的操作过程必须详细记录。同时必须维护已成功加载设备、未加载设备及加载失败的设备清单。
4. 核心业务主机的补丁加载建议要求厂商工程师现场支持。
第五节 补丁验证
第九条 补丁安装完成后,业务系统管理员必须查看系统信息,确保安全补丁已经成功加载。
第十条 必须对加载补丁后的系统按照计划和验证方案进行严格的测试验证,确保补丁加载后不影响系统的性能,确保各项业务操作正常。
第十一条 补丁加载后的一周内,系统管理员必须加强对系统性能和事件进行密切的监控,并写出验证结果。
第六节 补丁归档
第十二条 补丁加载验证结束后,系统管理员必须编写补丁安装
报告、补丁验证测试报告,并进行归档。
第十三条 系统管理员负责对安全补丁软件进行归档,一备系统重装时需要。
第七节 监督和检查
第十四条 信息系统管理部门主管领导负责对各部门补丁管理的执行情况进行考核,考核的内容包括补丁加载情况、补丁版本信息的准确性和相关文档的质量。
第十五条 可通过安全漏洞扫描和现场人工抽查进行审计和检查,考核的方式可通过科技部内部的自查和我行管理部门组织的巡检进行。
因篇幅问题不能全部显示,请点此查看更多更全内容