返回
安全系统补丁更新流程

安全系统补丁更新流程

ID:40064531

大小:189.27 KB

页数:9页

时间:2019-07-18

安全系统补丁更新流程_第1页
安全系统补丁更新流程_第2页
安全系统补丁更新流程_第3页
安全系统补丁更新流程_第4页
安全系统补丁更新流程_第5页
资源描述:

《安全系统补丁更新流程》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、远东宏信有限公司安全补丁更新流程第9页,共9页修订记录版本编号版本日期修订者说明V1.02015-04-20曹宏涛初稿第9页,共9页目录第1章介绍41.1.基本概念41.2.用途和目标41.3.范围41.4.流程运行的前提和时机5第2章流程详细说明62.1.流程关系图62.2.流程总图(包含总图说明表格)62.2.1.补丁的分类72.2.2.安全补丁风险与影响评估82.2.3.补丁的审批82.2.4.安全补丁的开发测试与确认82.2.5.补丁的实施92.2.6.补丁回退92.3.流程质量控制92.3.1.评估与改

2、进流程92.3.2.升级上报管理10第3章流程角色和职责11第9页,共9页第1章介绍1.1.基本概念未及时进行安全补丁更新的系统或软件很容易遭受的攻击,并导致未授权访问、系统拒绝服务,进而导致信息泄露、业务中断等重大安全事故的发生。然而,补丁的更新不当甚至可能带来比网络攻击更大的安全事故。因此保障各类补丁及时、安全、稳妥地更新安装是保障信息系统安全的重要手段。补丁经常会由于以下三种原因而进行发布:1)修补应用程序或操作系统的漏洞。许多黑客通过缓冲区溢出对应用程序和操作系统进行网络攻击。通过补丁的安装能够对这类漏洞

3、进行很好的修补。补丁也常常会由于修正系统的功能问题进行发布。2)改变功能或更新特征库等从而对新的安全威胁进行检测。3)修改软件的配置使它更加的安全。1.2.用途和目标遵照变更流程文档进行安全补丁更新能够降低系统的安全隐患发生的可能。安全补丁更新流程文档提供了对变更流程中补丁更新所涉及的步骤进行说明,使系统安全管理专员能够更好地依照变更流程的规定对各种补丁进行更新操作,并保证其有效性、稳定性和安全性。但是安全补丁更新流程文档并不会说明指定的补丁是怎样对漏洞进行修补从而降低安全风险的。本流程的目标是:l规范不同操作系

4、统、应用程序、硬件设备系统的补丁定期检查。l确认补丁安装的需求和申请的步骤。l提供补丁更新流程在变更流程中所涉及的各项细化表格。l规定各安全相关职员在补丁更新中的职责。1.3.范围下面表格说明了哪些远东宏信内部操作系统、应用软件、硬件设备的升级更新第9页,共9页属于安全补丁管理的范围,哪些不是。表格1:安全补丁管理范围包括不包括个人主机操作系统病毒库的自动升级生产主机系统病毒库的自动升级非生产主机系统IDS特征库的自动升级1.1.流程运行的前提和时机为了各类安全补丁的更新能够顺利和有效实施,需要如下前提条件:1)

5、由安全管理员发现或被告知的内部系统中确认存在的操作系统、应用软件或硬件系统发布的补丁,并确定能够通过已有的安全途径获得相关的补丁。2)由系统或软件安全相关引发的配置更改或功能调整,经安全管理员确认能够在现有环境中进行实施的。3)由产商自动下发的安全相关特征数据库的升级,经安全管理员确认能够通过已有安全途径获得相关数据的。实施补丁更新的时机:在申请、批准和测试管理流程之后,根据系统所属的类别可以选择在远东宏信范围内分步分区实施或集中实施。第9页,共9页第1章流程详细说明1.1.流程总图(包含总图说明表格)图示1:补

6、丁安全管理总图表格2:补丁管理总图说明表格编号管理活动描述输入/触发条件输出1.1补丁的登记和分类·登记需要安装补丁的变更系统·对补丁的可能影响范围进行评估发现需要安装的补丁补丁安装请求补丁的请求记录与评估1.2安全补丁风险与影响评估·判断与分析补丁对于生产环境与业务的风险和影响。已接受的补丁请求补丁审批1.3补丁的审批·召开补丁管理会议,讨论和回顾补丁安装细节,审批或驳回补丁,为补丁的开发、测试和实施分配资源,并知会系统安全专员。已完成评估正等待批准的补丁安装补丁的时间、日程安排第9页,共9页1.4安全补丁的开

7、发测试与确认·计划、开发、测试补丁、记录测试结果,并确认变更所需要的各因素符合要求。变更的时间和日程安排协调变更实施1.5补丁的实施·在系统环境中实施补丁准备好的补丁安装流程验证补丁安装完成并结束,若实施失败跳至1.61.6补丁回退·执行补丁回退计划补丁安装失败恢复补丁安装失败对业务环境的影响1.1.1.补丁的分类安全补丁更新管理的目的是有效的审批和控制对于补丁的变更,从而减少对于业务和用户的影响,以达到较高的安全和实施性。安全管理员发现规定范围内系统、应用程序或硬件有新补丁发布应向运维组长进行报告。同时运维组长

8、在确认补丁后应责成相关安全负责人对补丁进行等级划分。l补丁等级划分由于不同系统的补丁所牵涉的机器数量、业务流程、影响大小都有所不同,因此针对不同系统的补丁,安全管理员应首先确定其属于哪一类变更请求。从而可以正确地进入相应的变更申请流程。1.1.2.安全补丁风险与影响评估第9页,共9页根据不同的补丁等级,安全运维组长、安全运维专员与相关安装补丁系统的安全责任人组成评估小组对

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。