《软件和补丁升级管理制度》由会员分享,可在线阅读,更多相关《软件和补丁升级管理制度(4页珍藏版)》请在金锄头文库上搜索。
1、软件和补丁升级管理制度密级:文档编号:软件和补丁升级管理制度 中国电信云南公司运行维护部 二O年八月文档信息件等)的正常 运行,需要及时更新计算机系统的软件补丁,特制定本制度 第 2 条适用范围:适用于云南电信运营维护部所辖范围系统第 2 章跟进和更新第 3 条系统管理员负责跟进各产品的安全漏洞信息和产品厂商发 布的安全更新补丁信息。第 4 条安全补丁根据其对应漏洞的严重程度分为三个级别:紧急 补丁、重要补丁和一般补丁;紧急补丁必须在15 天内完成加载,重要 补丁必须在 30 天内完成加载,一般补丁要求3 个月内完整加载。第 5 条系统管理员分别经主管领导批准后采用公告和邮件形式向 相关的业务
2、系统管理员和分公司的信息系统管理部门通告安全补丁信 息。第 3 章获取第 6 条系统管理员负责从正式渠道获取软件及安全补丁,正式渠 道包括集团公司下发的、产品厂商提供的或从产品厂商网站下载的安 全补丁。第 7 条系统管理员负责对安全补丁进行完整性校验,确保获取的 安全补丁软件未被修改和可用。第 4 章测试第 8 条软件及补丁升级加载之前必须经过严格的测试,严禁未经 测试直接在生产系统上加载。加载经上级信息系统管理部门测试后下 发的补丁可以不做测试。第 9 条补丁测试的方式有两种:实验机测试和现网测试。实验机 测试必须进行,实验机配置环境需要与现网环境尽可能一致,并考虑 差异性带来的风险;条件允
3、许的情况下(如有测试设备或备机)可以进行现 网测试。第 10 条补丁测试的内容包括安装测试、功能性测试、兼容性测试 和回退测试:(一)安装测试主要测试补丁安装过程是否正确无误,补丁安装后系是否正常运行。(二)功能性测试主要测试补丁是否对安全漏洞进行了修补。(三)兼容性测试主要测试补丁加载后是否对应用系统带来影响,业 务是否可以正常运行。(四)回退测试主要包括补丁卸载测试、系统还原测试。第 11 条补丁测试的工作由系统集成商或系统管理员负责实施。必 须对补丁的现场测试和现网测试限定时间,测试完成后需要编写详细 的测试报告,给出明确的测试结论。第 12 条系统管理员需要把补丁测试报告提交部门主管领
4、导进 行审核,审核通过后可以进行补丁加载和发布。第 13 条为确保系统集成商及时配合补丁的测试和安装工作,需要 通过合同的方式,明确集成商的安全补丁测试和安装责任,约束条款 至少应包括:实验机测试环境的构建,在规定时间内完成补丁测试,补丁加载, 补丁加载失败时的测试与分析,补丁与应用冲突时的系统改造和升 级等工作。第 5 章安装第 14 条软件补丁安装前,系统管理员根据需要给出应急措施建议, 例如通过加强访问控制、临时关闭服务、加强安全审计等应急措施来 加强网络安全,各相关业务系统根据建议采取适当的防护措施,并加强对 系统的监控,及时发现和报告安全事件。第 15 条补丁加载前,必须向主管领导提
5、交安全补丁测试报告、 安全补丁安装计划和实施方案、安全补丁回退实施方案,经审批通过后按计划执行,审批的周期应限制在2 个工作日内,并尽量缩短。 第 16 条在补丁安装前,必须做好数据备份工作,确保任何的操作 都可回退,在到达回退时间补丁加载没有完成时,启动回退操作,保 证业务的正常运行。第 17 条补丁加载必须安排在业务比较空闲的时间进行,对补丁加 载的操作过程必须详细记录。同时必须维护已成功加载设备、未加载 设备及加载失败的设备清单。第 18 条核心业务主机的补丁加载建议要求厂商工程师现场支持。第 6 章验证第 19 条补丁安装完成后,业务系统管理员必需查看系统信息,确 保安全补丁已经成功加载。第 20 条必须对加载补丁后的系统按照计划和验证方案进行严格的 测试验证,确保补丁加载后不影响系统的性能,确保各项业务操作正 常。第 21 条补丁加载后的一周内,系统管理员必须加强对系统性能和 事件进行密切的监控。
