安全补丁更新流程优质资料.doc
《安全补丁更新流程优质资料.doc》由会员分享,可在线阅读,更多相关《安全补丁更新流程优质资料.doc(30页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、安全补丁更新流程优质资料(可以直接使用,可编辑 优质资料,欢迎下载)远东宏信安全补丁更新流程修订记录版本编号版本日期修订者说明V1.02021-04-20 曹宏涛初稿目 录第1章介绍41.1.基本概念41.2.用途和目标41.3.范围41.4.流程运行的前提和时机5第2章流程详细说明62.1.流程关系图62.2.流程总图(包含总图说明表格)62.2.1.补丁的分类72.2.2.安全补丁风险与影响评估82.2.3.补丁的审批82.2.4.安全补丁的开发测试与确认82.2.5.补丁的实施92.2.6.补丁回退92.3.流程质量控制92.3.1.评估与改进流程92.3.2.升级上报管理10第3章流程
2、角色和职责11第1章 介绍1.1. 基本概念未及时进行安全补丁更新的系统或软件很容易遭受的攻击,并导致未授权访问、系统拒绝服务,进而导致信息泄露、业务中断等重大安全事故的发生。然而,补丁的更新不当甚至可能带来比网络攻击更大的安全事故。因此保障各类补丁及时、安全、稳妥地更新安装是保障信息系统安全的重要手段。补丁经常会由于以下三种原因而进行发布:1) 修补应用程序或操作系统的漏洞。许多黑客通过缓冲区溢出对应用程序和操作系统进行网络攻击。通过补丁的安装能够对这类漏洞进行很好的修补。补丁也常常会由于修正系统的功能问题进行发布。2) 改变功能或更新特征库等从而对新的安全威胁进行检测。3) 修改软件的配置
3、使它更加的安全。1.2. 用途和目标遵照变更流程文档进行安全补丁更新能够降低系统的安全隐患发生的可能。安全补丁更新流程文档提供了对变更流程中补丁更新所涉及的步骤进行说明,使系统安全管理专员能够更好地依照变更流程的规定对各种补丁进行更新操作,并保证其有效性、稳定性和安全性。但是安全补丁更新流程文档并不会说明指定的补丁是怎样对漏洞进行修补从而降低安全风险的。本流程的目标是:l 规范不同操作系统、应用程序、硬件设备系统的补丁定期检查。l 确认补丁安装的需求和申请的步骤。l 提供补丁更新流程在变更流程中所涉及的各项细化表格。l 规定各安全相关职员在补丁更新中的职责。1.3. 范围下面表格说明了哪些远东
4、宏信内部操作系统、应用软件、硬件设备的升级更新属于安全补丁管理的范围,哪些不是。表格1:安全补丁管理范围包括不包括个人主机操作系统病毒库的自动升级生产主机系统病毒库的自动升级非生产主机系统IDS特征库的自动升级1.4. 流程运行的前提和时机为了各类安全补丁的更新能够顺利和有效实施,需要如下前提条件:1) 由安全管理员发现或被告知的内部系统中确认存在的操作系统、应用软件或硬件系统发布的补丁,并确定能够通过已有的安全途径获得相关的补丁。2) 由系统或软件安全相关引发的配置更改或功能调整,经安全管理员确认能够在现有环境中进行实施的。3) 由产商自动下发的安全相关特征数据库的升级,经安全管理员确认能够
5、通过已有安全途径获得相关数据的。实施补丁更新的时机:在申请、批准和测试管理流程之后,根据系统所属的类别可以选择在远东宏信范围内分步分区实施或集中实施。第2章 流程详细说明2.1. 流程总图(包含总图说明表格)图示1:补丁安全管理总图表格2:补丁管理总图说明表格编号管理活动描述输入/触发条件输出1.1补丁的登记和分类 登记需要安装补丁的变更系统 对补丁的可能影响范围进行评估发现需要安装的补丁补丁安装请求补丁的请求记录与评估1.2安全补丁风险与影响评估 判断与分析补丁对于生产环境与业务的风险和影响。已接受的补丁请求补丁审批1.3补丁的审批 召开补丁管理会议,讨论和回顾补丁安装细节,审批或驳回补丁,
6、为补丁的开发、测试和实施分配资源,并知会系统安全专员。已完成评估正等待批准的补丁安装补丁的时间、日程安排1.4安全补丁的开发测试与确认 计划、开发、测试补丁、记录测试结果,并确认变更所需要的各因素符合要求。变更的时间和日程安排协调变更实施1.5补丁的实施 在系统环境中实施补丁准备好的补丁安装流程验证补丁安装完成并结束,若实施失败跳至1.61.6补丁回退 执行补丁回退计划补丁安装失败恢复补丁安装失败对业务环境的影响2.1.1. 补丁的分类安全补丁更新管理的目的是有效的审批和控制对于补丁的变更,从而减少对于业务和用户的影响,以达到较高的安全和实施性。安全管理员发现规定范围内系统、应用程序或硬件有新
7、补丁发布应向运维组长进行报告。同时运维组长在确认补丁后应责成相关安全负责人对补丁进行等级划分。l 补丁等级划分由于不同系统的补丁所牵涉的机器数量、业务流程、影响大小都有所不同,因此针对不同系统的补丁,安全管理员应首先确定其属于哪一类变更请求。从而可以正确地进入相应的变更申请流程。2.1.2. 安全补丁风险与影响评估根据不同的补丁等级,安全运维组长、安全运维专员与相关安装补丁系统的安全责任人组成评估小组对补丁的风险和影响进行定性评估。安全负责人包括网络安全专员、系统安全专员、数据库安全专员、应用系统安全专员等安全技术人员以及补丁安装的设备或应用的部门经理。如为数据库安装补丁则需要安全运维组长、安
8、全运维专员、数据库安全专员以及该数据库所承载的应用服务的部门经理组成评估小组进行风险和影响评估。以确定该补丁是否能够被加载。2.1.3. 补丁的审批经过补丁的风险和影响评估后,安全运维组长和补丁相关应用系统部门经理可以根据补丁的评估结果对补丁进行审批。审批的输入主要是2.2.2评估过程所生成的评估报告。经会议讨论后对补丁的安装与否进行判断。结果为驳回申请或授权补丁安装。对已授权安装的补丁安全运维组长和补丁相关应用系统部门经理还应对补丁安装所需资源进行准备,同时通知相关责任人审批的结果。2.1.4. 安全补丁的开发测试与确认通过审批的补丁交由相应的安全负责人和相关应用系统部门主管进行开发测试。测
9、试包括测试资源确认、测试方案设计、测试记录、测试结果输出、测试结果分析、测试改进以及最终接受补丁版本。2.1.5. 补丁的实施通过测试的补丁进行补丁实施流程。补丁的实施由安全运维专员监督并由对应安全负责人进行安装。补丁的下载需要通过公司规定的安全途径,如系统软件文件服务器或从指定的系统供应商的官方网站上进行下载。补丁的安装时间由安全运维组长和相关应用服务部门经理进行确定。2.1.6. 补丁回退若补丁实施不成功,则需要进行补丁回退流程。安全运维组长和相关应用服务部门经理需要授权补丁的回退工作并由相应的安全专员进行回退实施工作。回退成功后,安全运维组长需要对各相关部门进行通知,以确保所有相关人员都
10、了解了补丁的回退工作并知晓其回退后可能带来的安全问题。研发期间安全性更新报告管理规范(试行)第一章 总则第一条 为规范研发期间安全性更新报告(以下简称DSUR)的撰写与管理,根据药品注册管理办法相关要求,制定本管理规范。第二条 DSUR的主要目的是药品注册申请人(以下简称申请人,也包括申办者)对报告周期内收集到的与药物(无论上市与否)相关的安全性信息进行全面深入的年度回顾和评估。第二章基本原则第三条 申请人应按照国际人用药品注册技术协调会(以下简称ICH)E2F研发期间安全性更新报告(以下简称E2F指导原则)的要求准备、撰写和提交DSUR。申请人可以委托第三方(如合同研究组织)进行DSUR的准
11、备、撰写和提交工作,但申请人仍对DSUR的内容、质量和提交时间承担主体责任。对于共同开发等涉及多方情况的,申请人应按ICH E2F指导原则“各方的责任”一节对DSUR准备与提交的责任进行划分。第四条 申请人在准备DSUR时,需要包含与所有剂型和规格、所有适应症以及研究中接受研究药物的患者人群相关的数据(化学药和生物制品应按照相同活性成分,中药按照相同处方进行准备)。如果相关信息无法获得(如申请人尚未获得数据),申请人应在DSUR的前言部分予以解释说明。第五条 申请人获准开展药物 (包括中药、化学药及生物制品 )临床试验后均应向国家药品监督管理局药品审评中心(以下简称药品审评中心)提交DSUR。
12、第六条 DSUR原则上应将药物临床试验在境内或者全球首次获得临床试验许可日期(即“国际研发诞生日”,以下简称DIBD)的月和日,作为年度报告周期的起始日期。首次提交应在境内临床试验获准开展后第一个DIBD后两个月内完成,后续提交也应以DIBD为基准。第七条 DSUR应持续提交至该药物境内最后一个上市许可申请提交,或者在境内不再继续进行研发时为止。最后一次提交时应附说明文件,说明该次提交为在境内的最后一份DSUR,并说明申请人是否还在其他国家或者地区继续进行临床试验。第八条 当药物在境内外获得了上市许可,如申请人需要,可以在全球首个获得上市批准日期(即“国际诞生日”,以下简称IBD)的基础上准备
13、和提交DSUR。调整后的首次提交,报告周期不应超过一年。第三章撰写要求第九条 申请人在提交DSUR时,应包括以下文件:1. DSUR全文及附件;2. 报告周期内申请人认为不影响受试者安全的药物临床试验方案变更或者临床方面的新发现、非临床或者药学的变化或者新发现的支持性资料。申请人还应视情况(如最后一次提交DSUR),随DSUR提交必要的说明性文件。第十条 申请人应严格按照ICH E2F指导原则要求,逐章节完整撰写DSUR及附件。对于无进展/无发现的章节或者附件,应在相应项下进行说明,不可省略。申请人在组织撰写DSUR时,应在“区域特有信息”一节中,将报告周期内,结合相关法规、技术指南等要求,对
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全补丁 更新 流程 优质 资料
限制150内