2.8-补丁分发管理

2.8-补丁分发管理-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
目录
一. 补丁分发管理 (1)
1.1补丁分发系统管理体系构架 (1)
1.1.1 补丁管理系统建设具体目标 (1)
1.1.2 补丁管理系统功能 (1)
1.1.3 补丁管理系统特点 (2)
1.2安全补丁管理制度 (3)
1.2.1 系统入网的安全补丁管理制度 (3)
1.2.2 日常的安全补丁管理制度 (3)
1.2.3 安全补丁管理流程 (5)
1.2.4 安全补丁的审计与考核 (7)
一. 补丁分发管理
1.1 补丁分发系统管理体系构架
客户端补丁管理和监控问题则是目前西藏移动网络面临的主要问题，因此，需要建设一套有效的补丁管理系统，利用有效技术手段来及时、持续、稳定的对网络客户端进行有效的补丁监控。

1.1.1 补丁管理系统建设具体目标
1) 建立有效的补丁管理体系解决客户端补丁自动安装问题；
2) 建立的补丁管理体系不得妨碍现有的网络正常运行；
3) 从网络资源占用情况出发，建立的补丁管理体系应是级联的，并且具有一定的可扩展功
能；
4) 建立的补丁管理系统应使网络管理员可以即时的、方便的查看网络客户端补丁情况，并
可强制对需要安装补丁的客户端进行补丁加固；
5) 建立的补丁管理系统应可以进行自动补丁测试；
1.1.2 补丁管理系统功能
补丁管理系统可监控网络补丁状况，其具体功能如下：
1) 补丁安装检测、自动分发补丁
网络管理人员通过补丁管理模块全面检测网络系统终端补丁的安装状况，并通过此模块，对没有安装补丁的设备进行远程补丁安装。

◆补丁检测：客户端检测程序将在系统中实时运行，检测补丁安装状况，并上报给补丁
管理中心。

◆补丁推送安装：当系统监视到有客户端未打补丁时，可对漏打的补丁进行推送式的安
装。

同时，通过推送安装，也可以为客户端安装应用软件。

◆系统补丁报表：监控程序将网络客户端补丁信息上报管理中心后写入数据库，在
web管理平台可进行补丁报表察看，统计网络客户端补丁安装状况。

2) 补丁策略制定
包括补丁应用策略制定、补丁文件分发任务制定。

◆补丁策略制定：规定网络客户端补丁下载方式、时间，指定分发范围、补丁是否经过
测试；用户定义新补丁提示信息、安装方式等。

◆补丁文件任务制定：针对特定的一个补丁或多个补丁，对指定计算机或者计算机网络
进行补丁自动分发安装。

◆补丁中心将网络客户端分类，设置测试类客户端，补丁在测试类机器上经过严格测试
后，在正式对其他类网络机器进行分发。

3) 用户自定义任务分发操作
补丁管理模块除了提供补丁分发之外，还提供对网络终端的其他任务定义支持。

任务分发支持文件分发、消息通知、用户可自行定义不同任务，并将不同任务分发给特定对象；任务分发支持网络中已经注册的网络用户，没有注册用户在注册后将会接受到任务。

文件分发：分发可执行文件到注册客户端，并执行一些应用软件，对全网络用户进行分发安装，如杀毒软件等。

◆消息通知：在任务定义平台中定义各种消息，分发到网络终端，实现消息通知。

◆补丁分发：检测到网络中没有打补丁终端，进行补丁远程分发，安装执行。

◆任务分发支持当前所有windows操作系统：windows95、windows98、
windowsNT、windows2000、windows2003、windowsXP等以及Linux/unix系统
扩展。

4) 设备入网阻断
补丁管理模块提供对跨网段、跨路由的终端远程阻断功能，对于网络中存在的不安全计算机（包括感染病毒的计算机、未按照规定安装杀毒软件或及时打补丁的计算机等），安全人员可以在补丁管理中心的web管理平台进行阻断，能够立即实现对网络终端的入网控制。

1.1.3 补丁管理系统特点
◆客户端快速安装技术
◆互联网专用补丁下载系统
◆基于策略的补丁分发
◆补丁库分类
◆补丁安装审计
◆客户端网页查询补丁安装信息
◆系统数据传输通讯端口定制
1.2 安全补丁管理制度
1.2.1 系统入网的安全补丁管理制度
◆保证系统中的设备在安装上线前，合理设置安全策略，拥有最新的安全补丁，且无重
大安全漏洞，后门或者病毒感染；
◆具有现网应用系统的实验环境，以便进行安全补丁的测试工作；
◆在规定时间内完成安全补丁的兼容性测试工作，当安全补丁与应用系统存在冲突时，
及时提供相应的解决方案或建议，并在规定时间内对系统进行升级改造；
◆具备安全补丁装载的现场支持服务，当安全补丁安装失败时，对失败原因进行分析、
测试，并提供相应的分析报告；
◆设备入网运行后，每半年对应用系统进行一次集中的安全补丁的维护工作。

◆在系统割接入网时，系统管理员应对系统的安全情况进行审核，如审核中发现严重的
安全问题，系统集成商必须对系统进行整改。

◆在系统验收时，系统集成商必须提供相应的安全信息文档，以此作为系统验收的重要
依据之一。

1.2.2 日常的安全补丁管理制度
1. 为保证重要的安全补丁得到优先处理，尽快修补高风险漏洞，必须对安全补丁的级别
进行划分。

安全补丁的分级标准和安全预警的分级标准相对应，具体的分级标准意
及处理要求如下：
2. 为确保全网安全补丁的一致性，一但确定安全补丁需要加载，与外网相连或不连的系
统、已通过关闭端口或加强访问控制策略进行防范的系统也必须进行安全补丁的加载。

3. 当应用系统与安全补丁确实存在冲突时，安全补丁可以暂时不用加载，但必须满足以
下要求：
◆对于省公司要求加载的安全补丁，必须向省公司申请并得到批准；
◆应有后续的解决措施，如通过临时关闭端口或加强访问控制策略进行安全保护，并责
成系统集成商升级系统以解决系统与安全补丁的冲突等；
◆应有相应的期限，暂时不用加载不等于不用加载，只是适当延长了补丁的加载期限以
解决补丁加载中的问题。

4. 省公司应定期对省内各应用系统进行安全扫描，及时发现系统中存在的安全漏洞，并
加载相应的安全补丁，消除系统安全隐患，确保系统安全运行。

1.2.3 安全补丁管理流程
1.2.3.1 安全补丁管理主流程
1) 全网安全预警信息发布
省公司网络部对收集到的安全漏洞信息、病毒信息进行汇总、审核，确定安全预警信息的级别，并在全网进行发布。

2) 安全预警信息省内发布
省公司将收到的预警信息在全省范围内进行发布，如果预警信息的级别为“紧急”，则必须进行相应安全补丁的加载，否则结合省内的实际情况有选择地进行加载。

3) 获取相应安全补丁
各省公司安全管理员在获取安全补丁后通知系统管理员进行安全补丁的加载。

安全补丁应通过正式渠道获取，如有限公司统一提供或从原厂商网站获得。

4) 安全补丁测试
系统管理员在收到安全管理员的安全补丁加载通知后，应通知相关系统集成商对安全补丁进行测试。

原则上所有安全补丁在加载前必须经过严格的测试，安全补丁的测试由系统集成商负责完成，系统管理员应督促其尽快完成安全补丁的测试工作，并提交相应的安全补丁测试反馈表。

5) 安全补丁加载
从安全预警到补丁加载会有一个安全保护空白区，应做好这一时间段内的安全防护工作。

安全补丁的加载应有计划地、分批地进行，资产价值大、威胁等级高的系统应优先进行安全补丁的加载。

6) 安全补丁归档
安全补丁的相关文档应建立安全补丁管理信息库统一进行管理，安全补丁管理信息库负责管理各系统的补丁清单、补丁实体及相关文档说明，以便系统一旦需要重装时，可以按清单进行历次安全补丁的加载。

1.2.3.2 安全补丁加载子流程
1) 制定安全补丁加载计划
加载安全补丁时应充分考虑该项工作可能对整个系统安全性带来的影响，为防止在加载过程中出现遗漏或异常情况，安全管理员应根据安全补丁的测试情况，组织相关系统管理员明确制定出安全补丁的加载计划。

加载计划应包含加载的时间、范围、方案、回退计划以及其他重要事项。

2) 安全补丁加载计划审批
安全补丁加载计划应得到上级主管部门的审核批准后才能实施。

3) 加载安全补丁
根据安全补丁加载计划进行具体的实施，如果安全补丁加载成功，则对安全补丁的有效性、业务的可用性的检查，否则，根据安全补丁加载计划中的回退计划进行回退。

4) 实施结果反馈
安全补丁加载完成后应对加载情况进行汇总，并填写安全补丁加载情况反馈表，及时反馈上级主管部门，由上级主管部门对省内的安全补丁加载情况进行汇总后上报省公司。

1.2.4 安全补丁的审计与考核
1) 为贯彻和落实安全补丁管理的各项要求，应定期或不定期对安全补丁补丁管理
工作的落实情况的审计与考核。

省公司审计与考订省内安全补丁管理工作落实
情况。

2) 安全补丁管理的审计与考核包括但不限于以下内容：
◆是否制定了相应的安全补丁管理实施细则；
◆是否对安全补丁加载缺失原因进行了记录和上报；
◆是否有未按要求加载安全补丁而造成安全事件的情况发生；
3) 安全补丁的相关文档是否完备。