公司安全補(bǔ)丁管理辦法規(guī)定(V2.0)

1、PAGE13中國(guó)移動(dòng)通信集團(tuán)西藏有限公司網(wǎng)絡(luò)部網(wǎng)絡(luò)與信息安全辦公室編制中國(guó)移動(dòng)通信集團(tuán)西藏有限公司安全補(bǔ)丁管理辦法（）版本號(hào)日期2010年05月 本文檔版權(quán)屬中國(guó)移動(dòng)通信集團(tuán)西藏有限公司所有。未經(jīng)中國(guó)移動(dòng)西藏公司書面許可， 任何單位和/或個(gè)人不得以任何形式摘抄、復(fù)制本文檔的全部或任意部分，并不得以任何形式傳播。一、文檔信息 文檔版本核實(shí)使用本文檔前，文檔使用者有責(zé)任核實(shí)當(dāng)前版本的有效性。 修改記錄對(duì)本文檔所有修改都應(yīng)按修改時(shí)間順序記錄。表1-1 文檔修改記錄日期修改內(nèi)容修改人2007年08月新建寧芝2010年05月修訂了組織與智能、安全補(bǔ)丁管理要求等寧芝 文檔批準(zhǔn)您本人或您本人指定的代表的簽字

2、表明您已經(jīng)批準(zhǔn)了本文檔內(nèi)容。它也表明您已經(jīng)仔細(xì)地閱讀、審查和考慮到了本文檔對(duì)您的部門的影響以及它是否符合公司的指導(dǎo)方向。 批準(zhǔn)簽字表1-2 批準(zhǔn)簽字批準(zhǔn)人職務(wù)批準(zhǔn)日期楊世毛網(wǎng)絡(luò)部總經(jīng)理2007年11月 分發(fā)網(wǎng)絡(luò)部、集團(tuán)客戶部、客戶服務(wù)部各地市分公司二、目的 為規(guī)范中國(guó)移動(dòng)西藏公司各系統(tǒng)安全補(bǔ)丁管理流程、明確相關(guān)要求，特制定本管理辦法。三、適用范圍本制度由區(qū)公司網(wǎng)絡(luò)部網(wǎng)絡(luò)與信息安全辦公室制定和維護(hù)，區(qū)公司相關(guān)部門及各地市分公司均須遵照?qǐng)?zhí)行。四、中國(guó)移動(dòng)西藏公司安全補(bǔ)丁管理辦法總則為規(guī)范中國(guó)移動(dòng)西藏公司的安全補(bǔ)丁管理工作，及時(shí)準(zhǔn)確地加載各類安全補(bǔ)丁，修補(bǔ)安全漏洞，消除安全隱患，確保通信網(wǎng)絡(luò)的穩(wěn)定可

3、靠運(yùn)行，特制定本管理辦法。本辦法用于指導(dǎo)西藏公司整體的安全補(bǔ)丁管理工作。區(qū)公司相關(guān)部門及各地市分公司應(yīng)在本辦法的指導(dǎo)下，結(jié)合各自實(shí)際情況制定相應(yīng)的實(shí)施細(xì)則，并落實(shí)到具體工作中。本辦法每年復(fù)審一次，其它時(shí)候也可以根據(jù)需要進(jìn)行修訂并發(fā)布。第二章適用范圍本辦法為西藏公司的基礎(chǔ)通信網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、支撐系統(tǒng)及企業(yè)信息化系統(tǒng)中各類服務(wù)器、主機(jī)、網(wǎng)絡(luò)設(shè)備的安全補(bǔ)丁安裝管理提供依據(jù)。第三章組織與職責(zé)安全補(bǔ)丁的管理包括安全補(bǔ)丁的確定、許可、裝載計(jì)劃的制定、實(shí)施的組織；組織進(jìn)行安全補(bǔ)丁與應(yīng)用軟件的兼容性測(cè)試；協(xié)調(diào)解決有關(guān)安全補(bǔ)丁的各種問(wèn)題；建立安全補(bǔ)丁管理文檔資料等各項(xiàng)工作。區(qū)公司網(wǎng)絡(luò)與信息安全辦公室作為二級(jí)安全

4、補(bǔ)丁管理部門，負(fù)責(zé)統(tǒng)一組織公司的安全補(bǔ)丁管理工作，主要職責(zé)包括：1、負(fù)責(zé)在總部的指導(dǎo)下，制定公司的安全補(bǔ)丁管理辦法，監(jiān)督、指導(dǎo)區(qū)公司各部門及各地市分公司的安全補(bǔ)丁安裝管理工作，并進(jìn)行定期或不定期的檢查與考核；2、根據(jù)總部對(duì)于安全補(bǔ)丁加載情況的要求，建立區(qū)內(nèi)的安全補(bǔ)丁運(yùn)行情況、裝載計(jì)劃、安全補(bǔ)丁功能清單等文檔資料，匯總公司現(xiàn)網(wǎng)在運(yùn)行操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、中間件、應(yīng)用軟件等安全補(bǔ)丁加載情況，并按照要求向總部報(bào)告。3、對(duì)于不涉及新系統(tǒng)入網(wǎng)或軟件版本更新的系統(tǒng)在距離上次補(bǔ)丁加載后，按照普通安全補(bǔ)丁的管理時(shí)限要求，及時(shí)向總部發(fā)起安全補(bǔ)丁測(cè)試申請(qǐng)，通過(guò)認(rèn)證后組織安全補(bǔ)丁加載實(shí)施。4、配合總部進(jìn)行設(shè)備

5、軟件的安全補(bǔ)丁兼容性測(cè)試工作。測(cè)試完成后進(jìn)行相應(yīng)的總結(jié)，并提交安全補(bǔ)丁兼容性測(cè)試反饋表或測(cè)試報(bào)告。5、收集、匯總可能影響網(wǎng)絡(luò)正常運(yùn)行的漏洞及其它安全信息，及時(shí)轉(zhuǎn)發(fā)有限公司及其它安全機(jī)構(gòu)、軟件公司發(fā)布的安全預(yù)警信息；6、負(fù)責(zé)網(wǎng)絡(luò)部主管系統(tǒng)的安全補(bǔ)丁加載工作。 區(qū)公司相關(guān)部門及各地市分公司負(fù)責(zé)本部門范圍內(nèi)各系統(tǒng)的安全補(bǔ)丁具體加載工作，其主要職責(zé)包括：1、貫徹執(zhí)行區(qū)公司網(wǎng)絡(luò)部發(fā)布的安全補(bǔ)丁管理辦法，并結(jié)合本部門或分公司實(shí)際情況，制定相應(yīng)的實(shí)施細(xì)則；2、針對(duì)區(qū)公司網(wǎng)絡(luò)部發(fā)布的安全預(yù)警信息進(jìn)行處理，并及時(shí)反饋處理結(jié)果及其它相關(guān)信息；3、負(fù)責(zé)本部門或分公司范圍內(nèi)的安全補(bǔ)丁加載工作。安全補(bǔ)丁安裝管理涉及安全

6、管理員、系統(tǒng)管理員。安全管理員負(fù)責(zé)安全補(bǔ)丁加載的組織、測(cè)試和審批，系統(tǒng)管理員負(fù)責(zé)安全補(bǔ)丁加載的實(shí)施。安全管理員職責(zé)：1、貫徹執(zhí)行上級(jí)領(lǐng)導(dǎo)單位或部門有關(guān)安全補(bǔ)丁管理方面的規(guī)程、標(biāo)準(zhǔn)和各項(xiàng)規(guī)定，定期或不定期檢查落實(shí)情況；2、牽頭制定安全補(bǔ)丁的加載計(jì)劃、進(jìn)行測(cè)試并組織實(shí)施，保證設(shè)備補(bǔ)丁的統(tǒng)一性；3、加強(qiáng)補(bǔ)丁技術(shù)資料、文檔的管理工作，定期檢查，做到正確、清晰、完整。系統(tǒng)管理員職責(zé)：1、對(duì)新入網(wǎng)的系統(tǒng)進(jìn)行安全檢查，確保設(shè)備入網(wǎng)時(shí)已安裝了相應(yīng)的最新安全補(bǔ)??；2、根據(jù)安全補(bǔ)丁測(cè)試、認(rèn)證結(jié)果，在規(guī)定時(shí)間內(nèi)完成補(bǔ)丁的加載工作；3、維護(hù)安全補(bǔ)丁信息庫(kù)，定期對(duì)所管系統(tǒng)的補(bǔ)丁信息進(jìn)行核查，并及時(shí)更新補(bǔ)丁信息庫(kù)；4、配

7、合安全管理員實(shí)施對(duì)系統(tǒng)和設(shè)備的安全檢查工作。第四章安全補(bǔ)丁管理要求及實(shí)施安全補(bǔ)丁加載管理分為普通安全補(bǔ)丁管理和緊急安全補(bǔ)丁管理，針對(duì)普通補(bǔ)丁安全管理，每季度為一管理周期，緊急安全補(bǔ)丁管理由總部統(tǒng)一或區(qū)公司網(wǎng)絡(luò)與信息安全辦公室根據(jù)緊急程度和潛在風(fēng)險(xiǎn)威脅等情況確定具體時(shí)間要求。安全普通補(bǔ)丁的加載要求信息，于每季度初通過(guò)指定平臺(tái)發(fā)布；安全緊急補(bǔ)丁的加載要求信息則不定期在指定平臺(tái)發(fā)布。 安全補(bǔ)丁管理流程包括由新系統(tǒng)入網(wǎng)或軟件版本更新觸發(fā)的安全補(bǔ)丁管理流程，和由安全補(bǔ)丁管理周期觸發(fā)的安全補(bǔ)丁管理流程。根據(jù)系統(tǒng)組網(wǎng)分布情況，將安全補(bǔ)丁管理的系統(tǒng)對(duì)象分為，全網(wǎng)單節(jié)點(diǎn)和多節(jié)點(diǎn)，單節(jié)點(diǎn)系統(tǒng)是指全網(wǎng)只在某一地點(diǎn)，

8、或者對(duì)外提供一類功能的系統(tǒng)，存在主備獨(dú)立系統(tǒng)的不做為單節(jié)點(diǎn)系統(tǒng)，其他均為多節(jié)點(diǎn)系統(tǒng)。針對(duì)單節(jié)點(diǎn)系統(tǒng)，由區(qū)公司網(wǎng)絡(luò)與信息安全辦公室做為安全補(bǔ)丁的主要管理和實(shí)施組織方。新系統(tǒng)入網(wǎng)或軟件版本更新觸發(fā)類的安全補(bǔ)丁管理： 應(yīng)該在進(jìn)行業(yè)務(wù)、系統(tǒng)軟件測(cè)試同時(shí)進(jìn)行安全補(bǔ)丁加載的兼容性測(cè)試，由相關(guān)設(shè)備廠家，按照安全補(bǔ)丁加載要求信息，同步進(jìn)行實(shí)驗(yàn)室測(cè)試，并在FOA測(cè)試通過(guò)，確保兼容所要求加載的全部安全補(bǔ)丁后，才能獲得入網(wǎng)許可證；之后，由網(wǎng)絡(luò)與信息安全辦公室在得到總部的許可后，在區(qū)內(nèi)組織實(shí)施安全補(bǔ)丁加載和相關(guān)后續(xù)管理工作。 不涉及新系統(tǒng)入網(wǎng)或軟件版本更新的系統(tǒng)，在距離上次安全補(bǔ)丁加載后，滿3個(gè)月即滿一個(gè)安全補(bǔ)丁管理

9、周期時(shí)，觸發(fā)安全補(bǔ)丁管理： 由網(wǎng)絡(luò)與信息安全辦公室匯總本區(qū)內(nèi)相關(guān)情況，按照最新的安全普通補(bǔ)丁加載要求信息，向總部申請(qǐng)組織安全補(bǔ)丁加載測(cè)試，必要時(shí)配合總部進(jìn)行安全補(bǔ)丁的測(cè)試。設(shè)備軟件的兼容性版本的提出、實(shí)驗(yàn)室測(cè)試與審查1.未經(jīng)總部頒發(fā)的入網(wǎng)許可并且尚未掌握相關(guān)情況的設(shè)備軟件，由總部要求設(shè)備提供商提供安全補(bǔ)丁兼容性的實(shí)驗(yàn)室測(cè)試報(bào)告。2.實(shí)驗(yàn)室測(cè)試報(bào)告內(nèi)容包括安全補(bǔ)丁實(shí)驗(yàn)室測(cè)試情況報(bào)表，安全補(bǔ)丁兼容性測(cè)試環(huán)境的說(shuō)明，設(shè)備軟件測(cè)試環(huán)境中所加載的安全補(bǔ)丁列表，安全補(bǔ)丁兼容性測(cè)試驗(yàn)收手冊(cè)等。安全補(bǔ)丁FOA現(xiàn)場(chǎng)測(cè)兼容性測(cè)試1.現(xiàn)場(chǎng)測(cè)試的組織：對(duì)于單節(jié)點(diǎn)設(shè)備的安全補(bǔ)丁FOA測(cè)試或受總部委托，由網(wǎng)絡(luò)與信息安全辦

10、公室統(tǒng)一組織進(jìn)行現(xiàn)網(wǎng)安全補(bǔ)丁兼容性驗(yàn)收測(cè)試，并報(bào)總部備案。2.現(xiàn)場(chǎng)測(cè)試的準(zhǔn)備：網(wǎng)絡(luò)與信息安全辦公室負(fù)責(zé)組織安全補(bǔ)丁兼容性測(cè)試小組（原則上應(yīng)包括該專業(yè)或相近專業(yè)的安全專家、系統(tǒng)維護(hù)人員，必要時(shí)可申請(qǐng)集團(tuán)支援）；確定測(cè)試地點(diǎn)、測(cè)試時(shí)間、測(cè)試內(nèi)容、設(shè)備軟件裝載步驟、安全補(bǔ)丁裝載步驟、緊急異常情況處理辦法等，并認(rèn)真了解現(xiàn)場(chǎng)測(cè)試局的情況。3.現(xiàn)場(chǎng)測(cè)試：由兼容性測(cè)試小組完成安全補(bǔ)丁裝載達(dá)成兼容性測(cè)試環(huán)境（在入網(wǎng)測(cè)試的情況下，還需完成新設(shè)備軟件的加載），隨后進(jìn)行測(cè)試手冊(cè)的每個(gè)測(cè)試項(xiàng)目，均需認(rèn)真填寫實(shí)際測(cè)試結(jié)果、測(cè)試時(shí)間、測(cè)試人簽字及補(bǔ)充說(shuō)明等。4.測(cè)試報(bào)告：測(cè)試報(bào)告由設(shè)備提供商在驗(yàn)收測(cè)試手冊(cè)中提供樣稿（主要

11、內(nèi)容為在所要求安全補(bǔ)丁全部加載的情況下，系統(tǒng)軟硬件是否兼容，各項(xiàng)功能是否正常的測(cè)試驗(yàn)證步驟），經(jīng)安全補(bǔ)丁兼容性測(cè)試小組根據(jù)需要進(jìn)行修改補(bǔ)充后作為測(cè)試手冊(cè)，根據(jù)實(shí)際測(cè)試情況進(jìn)行填報(bào)，形成正式的測(cè)試報(bào)告。安全補(bǔ)丁兼容性測(cè)試的反饋 在測(cè)試完畢、觀察期結(jié)束后，兼容性測(cè)試小組應(yīng)根據(jù)測(cè)試情況填寫安全補(bǔ)丁兼容性測(cè)試反饋單，并在工單要求的時(shí)限內(nèi)反饋至總部。 對(duì)于設(shè)備軟件兼容性測(cè)試不成功，或測(cè)試完畢后在觀察階段產(chǎn)生異常現(xiàn)象的，仍需要在規(guī)定的時(shí)限內(nèi)進(jìn)行反饋，并注明原因。設(shè)備軟件的入網(wǎng)許可全網(wǎng)系統(tǒng)設(shè)備軟件入網(wǎng)許可證明的審批和發(fā)布都由總部負(fù)責(zé)，在接到總部的入網(wǎng)許可后，在網(wǎng)絡(luò)與信息安全辦公室的統(tǒng)一組織下方可進(jìn)行安全補(bǔ)丁

12、的加載實(shí)施。在與設(shè)備廠家、系統(tǒng)集成商簽訂合同時(shí)，應(yīng)明確其對(duì)系統(tǒng)安全的責(zé)任，具體要求包括：1、保證系統(tǒng)中的設(shè)備在上線入網(wǎng)前，設(shè)置了合理的安全策略，加載了最新的安全補(bǔ)丁，符合有限公司下發(fā)的設(shè)備功能基線及設(shè)備配置基線要求；2、在合同有效期內(nèi)，盡可能保留現(xiàn)網(wǎng)應(yīng)用系統(tǒng)的實(shí)驗(yàn)環(huán)境，以便進(jìn)行安全補(bǔ)丁的測(cè)試工作；3、在規(guī)定時(shí)間內(nèi)配合完成安全補(bǔ)丁的測(cè)試工作，當(dāng)補(bǔ)丁與應(yīng)用系統(tǒng)存在沖突時(shí)，及時(shí)提供相應(yīng)的解決方案或建議，并在規(guī)定時(shí)間內(nèi)對(duì)系統(tǒng)進(jìn)行升級(jí)改造；4、提供安全補(bǔ)丁加載的現(xiàn)場(chǎng)支持服務(wù)，當(dāng)安全補(bǔ)丁安裝失敗時(shí)，對(duì)失敗原因進(jìn)行分析、測(cè)試，并提供相應(yīng)的分析報(bào)告；第五章 安全補(bǔ)丁的備份及文檔管理安全補(bǔ)丁信息的文檔管理由網(wǎng)絡(luò)

13、與信息安全辦公室負(fù)責(zé)安全補(bǔ)丁文檔的統(tǒng)一收集管理，主要包括以下內(nèi)容：全區(qū)每月安全補(bǔ)丁的狀態(tài)及變更情況。（附表1）全區(qū)使用設(shè)備軟件和安全補(bǔ)丁的測(cè)試報(bào)告、入網(wǎng)許可證和安全補(bǔ)丁兼容性列表（附表2）等相關(guān)材料。全區(qū)安全補(bǔ)丁的裝載計(jì)劃（附表3）。全區(qū)安全補(bǔ)丁運(yùn)行情況。其它相關(guān)資料。第六章安全補(bǔ)丁管理的審計(jì)與考核為貫徹落實(shí)安全補(bǔ)丁管理的各項(xiàng)要求，網(wǎng)絡(luò)與信息安全辦公室應(yīng)定期或不定期對(duì)安全補(bǔ)丁管理工作的落實(shí)情況進(jìn)行審計(jì)與考核。安全補(bǔ)丁管理的審核包括但不限于以下內(nèi)容：1、是否按要求組織實(shí)施安全補(bǔ)丁加載工作。2、是否有未按要求加載安全補(bǔ)丁而造成安全事件的情況發(fā)生。3、是否按時(shí)提供安全補(bǔ)丁的相關(guān)文檔資料。第七章附則本

14、辦法由中國(guó)移動(dòng)西藏公司網(wǎng)絡(luò)部負(fù)責(zé)解釋和修改。本辦法自發(fā)布之日起施行。附表1： 各?。ㄗ灾螀^(qū)、直轄市）安全補(bǔ)丁裝載情況上報(bào)上報(bào)要求：該內(nèi)容以 EXCEL 表的形式進(jìn)行反饋；反饋時(shí)間：每季度第一個(gè)月底前上報(bào)上季度安全補(bǔ)丁情況；反饋途徑：以電子郵件的形式反饋。EXCEL文件格式要求如下：文件名稱：（SS為本省的簡(jiǎn)稱，YYYY為年份，QX為季度（X1，2，3，4），具體上報(bào)要求參見(jiàn)如下文件：專業(yè)系統(tǒng)主設(shè)備廠家終端安全補(bǔ)丁裝載情況服務(wù)器安全補(bǔ)丁裝載情況未達(dá)標(biāo)原因說(shuō)明及達(dá)標(biāo)計(jì)劃終端總數(shù)本季度發(fā)布的安全補(bǔ)丁兼容數(shù)本季度之前發(fā)布的安全補(bǔ)丁兼容數(shù)安全補(bǔ)丁兼容性不達(dá)標(biāo)數(shù)終端服務(wù)器總數(shù)本季度發(fā)布的安全補(bǔ)丁兼容數(shù)本季

15、度之前發(fā)布的安全補(bǔ)丁兼容數(shù)安全補(bǔ)丁兼容性不達(dá)標(biāo)數(shù)附表2：中國(guó)移動(dòng)通信網(wǎng)XX系統(tǒng)和軟件安全補(bǔ)丁兼容性列表（中國(guó)移動(dòng)填寫）系統(tǒng)名稱系統(tǒng)版本操作系統(tǒng)操作系統(tǒng)版本數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)版本應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)版本設(shè)備供應(yīng)商ASB ER MT NK NT SE 華為 中興 其它請(qǐng)注明： 設(shè)備歸屬專業(yè)交換 智能網(wǎng)/彩鈴 短信 GPRS 網(wǎng)管 傳輸IP承載網(wǎng)/CMNET WAP網(wǎng)關(guān) MISC 彩信其它請(qǐng)注明： 通過(guò)兼容性測(cè)試的安全補(bǔ)丁列表中國(guó)移動(dòng)本季度（XXXX年X季度）之前發(fā)布的安全補(bǔ)丁列表通過(guò) 未通過(guò) 部分通過(guò)該批次中尚不兼容的安全補(bǔ)丁列表普通補(bǔ)丁 緊急補(bǔ)丁普通補(bǔ)丁 緊急補(bǔ)丁中國(guó)移動(dòng)本季度（XXXX年X季度）之前發(fā)布的安全補(bǔ)丁列表通過(guò) 未通過(guò) 部分通過(guò)該批次中尚不兼容的安全補(bǔ)丁列表普通補(bǔ)丁 緊急補(bǔ)