公司安全补丁管理办法(V2.0)

～1～中国移动通信集团西藏有限公司网络部网络与信息安全办公室编制中国移动通信集团西藏有限公司安全补丁管理办法（V2.0）版本号V2.0日期2010年05月本文档版权属中国移动通信集团西藏有限公司所有。未经中国移动西藏公司书面许可，任何单位和/或个人不得以任何形式摘抄、复制本文档的全部或任意部分，并不得以任何形式传播。～2～一、文档信息1.1文档版本核实使用本文档前，文档使用者有责任核实当前版本的有效性。1.2修改记录对本文档所有修改都应按修改时间顺序记录。表1-1文档修改记录版本日期修改内容修改人1.02007年08月新建宁芝2.02010年05月修订了组织与智能、安全补丁管理要求等宁芝1.3文档批准您本人或您本人指定的代表的签字表明您已经批准了本文档内容。它也表明您已经仔细地阅读、审查和考虑到了本文档对您的部门的影响以及它是否符合公司的指导方向。1.4批准签字表1-2批准签字批准人职务批准日期杨世毛网络部总经理2007年11月1.5分发网络部、集团客户部、客户服务部各地市分公司～3～二、目的为规范中国移动西藏公司各系统安全补丁管理流程、明确相关要求，特制定本管理办法。三、适用范围本制度由区公司网络部网络与信息安全办公室制定和维护，区公司相关部门及各地市分公司均须遵照执行。四、中国移动西藏公司安全补丁管理办法第一章总则第1条为规范中国移动西藏公司的安全补丁管理工作，及时准确地加载各类安全补丁，修补安全漏洞，消除安全隐患，确保通信网络的稳定可靠运行，特制定本管理办法。第2条本办法用于指导西藏公司整体的安全补丁管理工作。区公司相关部门及各地市分公司应在本办法的指导下，结合各自实际情况制定相应的实施细则，并落实到具体工作中。第3条本办法每年复审一次，其它时候也可以根据需要进行修订并发布。第二章适用范围第4条本办法为西藏公司的基础通信网络、业务系统、支撑系统及企业信息化系统中各类服务器、主机、网络设备的安全补丁安装管理提供依据。～4～第三章组织与职责第5条安全补丁的管理包括安全补丁的确定、许可、装载计划的制定、实施的组织；组织进行安全补丁与应用软件的兼容性测试；协调解决有关安全补丁的各种问题；建立安全补丁管理文档资料等各项工作。第6条区公司网络与信息安全办公室作为二级安全补丁管理部门，负责统一组织公司的安全补丁管理工作，主要职责包括：1、负责在总部的指导下，制定公司的安全补丁管理办法，监督、指导区公司各部门及各地市分公司的安全补丁安装管理工作，并进行定期或不定期的检查与考核；2、根据总部对于安全补丁加载情况的要求，建立区内的安全补丁运行情况、装载计划、安全补丁功能清单等文档资料，汇总公司现网在运行操作系统、数据库、网络设备、中间件、应用软件等安全补丁加载情况，并按照要求向总部报告。3、对于不涉及新系统入网或软件版本更新的系统在距离上次补丁加载后，按照普通安全补丁的管理时限要求，及时向总部发起安全补丁测试申请，通过认证后组织安全补丁加载实施。4、配合总部进行设备软件的安全补丁兼容性测试工作。测试完成后进行相应的总结，并提交安全补丁兼容性测试反馈表或测试报告。5、收集、汇总可能影响网络正常运行的漏洞及其它安全信息，及时转发有限公司及其它安全机构、软件公司发布的安全预警信息；6、负责网络部主管系统的安全补丁加载工作。第7条区公司相关部门及各地市分公司负责本部门范围内各系统的安全补丁具体加载工作，其主要职责包括：1、贯彻执行区公司网络部发布的安全补丁管理办法，并结合本部门或分公司实际情况，制定相应的实施细则；2、针对区公司网络部发布的安全预警信息进行处理，并及时反馈处理结果及其它相关信息；3、负责本部门或分公司范围内的安全补丁加载工作。～5～第8条安全补丁安装管理涉及安全管理员、系统管理员。安全管理员负责安全补丁加载的组织、测试和审批，系统管理员负责安全补丁加载的实施。第9条安全管理员职责：1、贯彻执行上级领导单位或部门有关安全补丁管理方面的规程、标准和各项规定，定期或不定期检查落实情况；2、牵头制定安全补丁的加载计划、进行测试并组织实施，保证设备补丁的统一性；3、加强补丁技术资料、文档的管理工作，定期检查，做到正确、清晰、完整。第10条系统管理员职责：1、对新入网的系统进行安全检查，确保设备入网时已安装了相应的最新安全补丁；2、根据安全补丁测试、认证结果，在规定时间内完成补丁的加载工作；3、维护安全补丁信息库，定期对所管系统的补丁信息进行核查，并及时更新补丁信息库；4、配合安全管理员实施对系统和设备的安全检查工作。第四章安全补丁管理要求及实施第11条安全补丁加载管理分为普通安全补丁管理和紧急安全补丁管理，针对普通补丁安全管理，每季度为一管理周期，紧急安全补丁管理由总部统一或区公司网络与信息安全办公室根据紧急程度和潜在风险威胁等情况确定具体时间要求。第12条安全普通补丁的加载要求信息，于每季度初通过指定平台发布；安全紧急补丁的加载要求信息则不定期在指定平台发布。第13条安全补丁管理流程包括由新系统入网或软件版本更新触发的安全补丁管理流程，和由安全补丁管理周期触发的安全补丁管理流程。～6～第14条根据系统组网分布情况，将安全补丁管理的系统对象分为，全网单节点和多节点，单节点系统是指全网只在某一地点，或者对外提供一类功能的系统，存在主备独立系统的不做为单节点系统，其他均为多节点系统。针对单节点系统，由区公司网络与信息安全办公室做为安全补丁的主要管理和实施组织方。第15条新系统入网或软件版本更新触发类的安全补丁管理：应该在进行业务、系统软件测试同时进行安全补丁加载的兼容性测试，由相关设备厂家，按照安全补丁加载要求信息，同步进行实验室测试，并在FOA测试通过，确保兼容所要求加载的全部安全补丁后，才能获得入网许可证；之后，由网络与信息安全办公室在得到总部的许可后，在区内组织实施安全补丁加载和相关后续管理工作。第16条不涉及新系统入网或软件版本更新的系统，在距离上次安全补丁加载后，满3个月即满一个安全补丁管理周期时，触发安全补丁管理：由网络与信息安全办公室汇总本区内相关情况，按照最新的安全普通补丁加载要求信息，向总部申请组织安全补丁加载测试，必要时配合总部进行安全补丁的测试。第17条设备软件的兼容性版本的提出、实验室测试与审查1.未经总部颁发的入网许可并且尚未掌握相关情况的设备软件，由总部要求设备提供商提供安全补丁兼容性的实验室测试报告。2.实验室测试报告内容包括安全补丁实验室测试情况报表，安全补丁兼容性测试环境的说明，设备软件测试环境中所加载的安全补丁列表，安全补丁兼容性测试验收手册等。第18条安全补丁FOA现场测兼容性测试1.现场测试的组织：对于单节点设备的安全补丁FOA测试或受总部委托，由网络与信息安全办公室统一组织进行现网安全补丁兼容性验收测试，并报总部备案。2.现场测试的准备：网络与信息安全办公室负责组织安全补丁兼容性测试小组（原则上应包括该专业或相近专业的安全专家、系统维护人员，必要时可申请集团支援）；确定测试地点、测试时间、测试内容、设备软件装载步骤、安全补丁装载步骤、紧急异常情况处理办法等，并认真了解现场测试局的情况。～7～3.现场测试：由兼容性测试小组完成安全补丁装载达成兼容性测试环境（在入网测试的情况下，还需完成新设备软件的加载），随后进行测试手册的每个测试项目，均需认真填写实际测试结果、测试时间、测试人签字及补充说明等。4.测试报告：测试报告由设备提供商在验收测试手册中提供样稿（主要内容为在所要求安全补丁全部加载的情况下，系统软硬件是否兼容，各项功能是否正常的测试验证步骤），经安全补丁兼容性测试小组根据需要进行修改补充后作为测试手册，根据实际测试情况进行填报，形成正式的测试报告。第19条安全补丁兼容性测试的反馈在测试完毕、观察期结束后，兼容性测试小组应根据测试情况填写安全补丁兼容性测试反馈单，并在工单要求的时限内反馈至总部。对于设备软件兼容性测试不成功，或测试完毕后在观察阶段产生异常现象的，仍需要在规定的时限内进行反馈，并注明原因。第20条设备软件的入网许可全网系统设备软件入网许可证明的审批和发布都由总部负责，在接到总部的入网许可后，在网络与信息安全办公室的统一组织下方可进行安全补丁的加载实施。第21条在与设备厂家、系统集成商签订合同时，应明确其对系统安全的责任，具体要求包括：1、保证系统中的设备在上线入网前，设置了合理的安全策略，加载了最新的安全补丁，符合有限公司下发的《设备功能基线》及《设备配置基线》要求；2、在合同有效期内，尽可能保留现网应用系统的实验环境，以便进行安全补丁的测试工作；3、在规定时间内配合完成安全补丁的测试工作，当补丁与应用系统存在冲突时，及时提供相应的解决方案或建议，并在规定时间内对系统进行升级改造；4、提供安全补丁加载的现场支持服务，当安全补丁安装失败时，对失败原因进行分析、测试，并提供相应的分析报告；～8～第五章安全补丁的备份及文档管理第22条安全补丁信息的文档管理由网络与信息安全办公室负责安全补丁文档的统一收集管理，主要包括以下内容：(1)全区每月安全补丁的状态及变更情况。（附表1）(2)全区使用设备软件和安全补丁的测试报告、入网许可证和安全补丁兼容性列表（附表2）等相关材料。(3)全区安全补丁的装载计划（附表3）。(4)全区安全补丁运行情况。(5)其它相关资料。第六章安全补丁管理的审计与考核第23条为贯彻落实安全补丁管理的各项要求，网络与信息安全办公室应定期或不定期对安全补丁管理工作的落实情况进行审计与考核。第24条安全补丁管理的审核包括但不限于以下内容：1、是否按要求组织实施安全补丁加载工作。2、是否有未按要求加载安全补丁而造成安全事件的情况发生。3、是否按时提供安全补丁的相关文档资料。第七章附则第25条本办法由中国移动西藏公司网络部负责解释和修改。第26条本办法自发布之日起施行。～9～附表1：各省（自治区、直辖市）安全补丁装载情况上报上报要求：1、该内容以EXCEL表的形式进行反馈；2、反馈时间：每季度第一个月底前上报上季度安全补丁情况；3、反馈途径：以电子邮件的形式反馈。4、EXCEL文件格式要求如下：文件名称：SSYYYYQX_secutirypatch.xls（SS为本省的简称，YYYY为年份，QX为季度（X＝1，2，3，4）），具体上报要求参见如下文件：专业系统主设备厂家终端安全补丁装载情况服务器安全补丁装载情况未达标原因说明及达标计划终端总数本季度发布的安全补丁兼容数本季度之前发布的安全补丁兼容数安全补丁兼容性不达标数终端服务器总数本季度发布的安全补丁兼容数本季度之前发布的安全补丁兼容数安全补丁兼容性不达标数～10～附表2：中国移动通信网XX系统和软件安全补丁兼容性列表（中国移动填写）系统名称系统版本操作系统操作系统版本数据库数据库版本应用系统应用系统版本设备供应商□ASB□ER□MT□NK□NT□SE□华为□中兴□其它请注明：设备归属专业□交换□智能网/彩铃□短信□GPRS□网管□传输□IP承载网/CMNET□WAP网关□MISC□彩信□其它请注明：通过兼容性测试的安全补丁列表中国移动本季度（XXXX年X季度）之前发布的安全补丁列表□通过□未通过□部分通过该批次中尚不兼容的安全补丁列表…………………□普通补丁□紧急补丁…………………□普通补丁□紧急补丁…………………中国移动本季度（XXXX年X季度）之前发布的安全补丁列表□通过□未通过□部分通过该批次中尚不兼容的安全补丁列表…………………□普通补丁□紧急补丁…………………□普通补丁□紧急补丁…………………其他注意事项：测试单位：联系人：联系电话：电子邮箱：盖章：中国移动通信有限公司网络部签批：核稿：注：相关系统和软件入网时，已通过兼容性测试的安全补丁必须与系统和软件同时安装，或单独安装。尚不兼容的安全补丁不得安装。注：中国移动通信网安全补丁入网许可仅在中国移动通信网内有效，不作为其它运营者安全补丁入网许可参考使用。～11～附件三：安全补丁加载计划系统名称：集成商：联系人：联系电话：Email：部门补丁加载时间补丁加载