补丁安全管理规定

第一章 总则

第一条 为加强XXX信息系统安全补丁的跟踪、分析、测试、分发和检查流程，落实主机、网络设备、数据库系统补丁安全管理工作，降低信息系统安全漏洞带来的安全风险，提高信息系统的抗攻击能力，特制定本细则。

第二条 本实施细则适用于XXX信息系统主机、网络设备、数据库系统、应用软件的补丁安全管理。

第二章 职责与权限

第三条 安全管理员职责：

(一) 负责跟踪下列信息，并直接获取可信任安全补丁程序

或将安全补丁获取地址发布至系统管理员，数据库管理员，网络管理员：

1. 安全组织如CNCERT发布相关预警信息 2. 厂商、服务商发布的相关安全公告 3. 本部门发布的安全预警等安全公告类信息。 (二) 负责对补丁加载情况定期审查、验证并归档。 第四条 系统管理员职责：

(一) 通过安全管理员获取补丁的安装程序或发布地址，下

载补丁安装程序。

(二) 负责补丁测试、加载、验证并填写相关报告、表单。 (三) 对补丁的影响进行评估，对风险进行控制。 第五条 数据库管理员职责：

(一) 通过安全管理员获取补丁的安装程序或发布地址，下

载补丁安装程序。

(二) 负责补丁测试、加载、验证并填写相关报告、表单。 (三) 对补丁的影响进行评估，对风险进行控制。 第六条 网络管理员职责：

(一) 通过安全管理员获取补丁或IOS文件的安装程序或发

布地址，下载补丁安装程序。

(二) 负责补丁或者IOS文件的测试、加载、验证并填写相

关报告、表单。

(三) 对补丁的影响进行评估，对风险进行控制。

第三章 补丁安全管理原则

第七条 及时性原则：对于必要的安全补丁的发布和安装流程，必须及时准确，把安全漏洞所造成的对信息系统的潜在威胁降到最低；

第 严密性原则：补丁的测试和分发流程都需要严密的计划，在保障安全行的同时不影响生产和应用系统的正常运行；

第九条 持续性原则：补丁管理工作是一个长期持续性的工作，安全管理人员应时刻跟踪厂商的补丁公告和安全公司的安全公告。

第十条 适应性原则：分场景执行安全补丁管理要求。

第四章 补丁安全管理细则

第十一条 安全管理员需区分信息资产、IT系统环境、IT网络环境的重要等级，以便有针对性地跟踪所需要的系统补丁和需要采取的措施。

第十二条 安全管理员应每月定期跟踪补丁的最新信息。信息的来源分为以下几类：

(一) 软件厂商：软件厂商是补丁的主要来源，每一次安全

补丁的发布，产商都会发布通告；

(二) 安全机构：官方安全机构会对一些影响特别大的安全

事件进行通告；

(三) 安全组织和安全公司：这是研究安全的主要力量，公

告的特点是发布快速、内容详细、方案全面，并且可知是否已经或者可以被利用。 第十三条 安全漏洞的威胁等级分类为： 威胁等级 紧急 定义 利用漏洞可以远程获取管理员权限 严重 中等 攻击程序和病毒结合，形成蠕虫 获取普通用户访问权限/提升权限/远程拒绝服务 低等

信息泄漏、本地拒绝服务 第十四条 安全管理员应分析安全漏洞的威胁等级，针对于不同的安全漏洞，对应的修补时间和修补方式要求如下： 威胁等级 紧急 允许修补的时间 2天 修补方式 用非补丁方式修补，如用防火墙或者功能等方式，同时增加监控 严重 中等 低等

针对Windows操作系统，各系统管理员应关注以下四类补丁程序，其安装时间要求如下： 序号 1 2 3 补丁类别 安全修补程序 安全更新 更新汇总 安装时间 参照对应漏洞的严重等级 参照最严重漏洞的严重等级 系统重新安装后或者阶段性安装 5-10天 10－30天 30－90天 补丁方式修补 使用程序、补丁方式 补丁方式 4

Service Pack 系统重新安装后或者阶段性安装 第十五条 各系统管理员、网络管理员、数据库管理员应掌握各应用系统及网络环境：确定各系统当前所使用的系统类型和版本，以前没有打的补丁，原因以及补救办法。

第十六条 各系统管理员、网络管理员、数据库管理员应确保从安全可靠的地方获取补丁程序，推荐直接从厂商网站上下载，如果补丁支持校验，必须进行安全校验，以验证补丁的可靠性，防止补丁被恶意用户篡改。

第十七条 严禁未经测试直接在生产系统上加载补丁。 第十 补丁测试的过程要考虑测试的广泛性和针对性，即在实际情况下尽量充分地测试。

第十九条 补丁测试的方式有两种：测试环境测试和现网测试；测试环境测试必须进行，测试环境需要与现网环境尽可能一致，并考虑差异性带来的风险；条件允许的情况下（如有测试环境或备机）可以现网测试。

补丁测试的内容包括补丁安装测试、补丁兼容性测试和补丁回退测试：

(一) 安装测试主要测试补丁安装过程是否正确无误，补丁

安装后系统是否正常启动。

(二) 补丁兼容性测试主要测试补丁安装后是否对应用系统

带来影响，业务是否可以正常运行。

(三) 补丁回退测试主要包括补丁卸载测试、系统还原测

试。

第二十条 补丁测试的工作可由系统集成商负责实施，所属管理员负责协调，必须对补丁的现场测试和现网测试限定时间，测试完成后需要编写详细的测试报告，给出明确的测试结论。

第二十一条 为确保系统集成商及时配合补丁的测试和安装工作，需要通过合同的方式，明确集成商的安全补丁测试和安装责任，约束条款至少应包括：实验室测试环境的搭建，在规定时间内完成补丁测试，补丁的安装，补丁安装失败时的测试与分析，补丁与应用冲突时的系统改造和升级工作。

第二十二条 完成补丁测试后，所属管理员如果未发现问题，则要根据漏洞威胁的紧急程度，与管理员制定补丁分发计划，根据实际情况在所属系统中分批安装。

第二十三条 分发补丁的优先次序为： (一) 办公网环境的计算机优先安装；

(二) 生产网中资产价值大、威胁等级高的系统优先安装； (三) 对于具有多台服务器并行的负载均衡系统，并行的服

务器组应分批多次分发和安装系统补丁。

第二十四条 安全管理员应根据最新的补丁通告信息，指导和组织各部门进行安全补丁的安装工作。

第二十五条 如无特殊原因，办公网环境、各部门的计算机应优先安装系统安全补丁安全管理员应督促本职责范围内计算机安全补丁的安装工作。

第二十六条 各系统管理员、网络管理员、数据库管理员确定生产环境所属系统的补丁分发顺序后，应上报安全管理员审批，由其通知其它相关影响部门。在审批通过后，组织相关人员按计划执行补丁安装。

第二十七条 对重要的业务系统安装系统安全补丁，系统管理员应事先做好系统和数据的备份工作，以便在补丁安装失败后可以尽快恢复系统。

第二十 补丁的安装操作过程必须详细记录，核心业务系统的补丁加载必须要求厂商工程师现场支持。

第二十九条 终端操作系统安全补丁要随出随打； 第三十条 服务器安全补丁要随应用软件升级一同安装； 第三十一条 定期打补丁的周期不得多于6个月。在没打补丁期间，要采取临时替代措施。

第三十二条 对补丁安装过程中出现且能解决的问题，尽快进行总结，以便为解决同类问题提供借鉴。

第三十三条 对于一些不能解决的补丁安装问题，需采用应急方案，使用备份系统或者卸载补丁，同时需确定一个临时的解决办法消除漏洞的潜在威胁，并尽快向补丁厂商寻求技术支持。

第三十四条 完成系统补丁的安装变更后，系统管理员需对安装的系统进行检查，及时确认补丁的安装情况，向安全管理员提交《系统安全补丁安装记录》。

第三十五条 各系统管理员、网络管理员、数据库管理员可以通过适当的工具软件，检查全网的补丁安装情况，并对未正常安装的补丁的计算机进行通报，以便及时处理。

第五章 附则

第三十六条 本制度由信息安全部制定，并负责解释和修订。由信息安全工作组讨论通过，发布执行。

第三十七条 本制度自发布之日起生效。