中国石化安全补丁管理方法
安全补丁管理方法 V
1、0xx 年月日文档控制拟制 : 审核 : 标准化 : 读者：
版本控制版本提交日期相关组织和人员版本描述 V
1、0全文结束》》-01-01 SEI
1、0
目录 1 目的、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2 范围、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

3 术语、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

4 补丁跟进和通告、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

5 补丁获取、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

6 补丁测试、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、
、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

7 补丁加载、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

8 补丁验证、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

9 补丁归档、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

10 监督和检查、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

11 附则、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

11、 1 文档信息、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

11、 2 其他信息、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

1 目的中国石化各种计算机系统由信息系统管理部负责管理。

为保证所有计算机系统（包括主机服务器、存储、网络设备、通信设备、个人计算机、系统软件、应用软件等）的正常运行，需要及时更新计算机系统的补丁，特制定本管理办法、
2 范围本办法适用范围为中国石化所有计算机系统。

3 术语
1、系统管理员：指的是各公司包括主机系统管理员、网络管理员、通信管理员、数据库和其它应用管理员在内的所有系统管理人员。

2、安全补丁信息：包括漏洞信息、安全等级、补丁来源、下载及加载办法等信息。

4 补丁跟进和通告
第一条系统管理员负责跟进各产品的安全漏洞信息和产品厂商发布的安全补丁信息。

第二条安全补丁根据其对应漏洞的严重程度分为三个级别：紧急补丁、重要补丁和一般补丁；紧急补丁必须在5 天内完成加载，重要补丁必须在10 天内完成加载，一般补丁要求1 个月内完整加载。

第三条总部和各分公司系统管理员分别经总部信息系统管理部或分公司信息管理部门主管领导批准后采用公告和邮件形式向相关的业务系统管理员和下属单位的信息系统管理部门通告安全补丁信息。

5 补丁获取
第四条系统管理员负责从正式渠道获取安全补丁，正式渠道包括集团公司下发的、产品厂商提供的或从产品厂商网站下载的安全补丁。

第五条系统管理员负责对安全补丁进行完整性校验，确保获取的安全补
丁软件未被修改和可用。

6 补丁测试
第六条补丁加载之前必须经过严格的测试，严禁未经测试直接在生产系统上加载补丁。

加载经上级信息系统管理部门测试后下发的补丁可以不做测试。

第七条补丁测试的方式有两种：实验机测试和现网测试。

实验机测试必须进行，实验机配置环境需要与现网环境尽可能一致，并考虑差异性带来的风险；条件允许的情况下（如有测试设备或备机）可以进行现网测试。

第八条补丁测试的内容包括安装测试、功能性测试、兼容性测试和回退测试：
(一 )
安装测试主要测试补丁安装过程是否正确无误，补丁安装后系统是否正常运行。

(二
)
功能性测试主要测试补丁是否对安全漏洞进行了修补。

(三
)
兼容性测试主要测试补丁加载后是否对应用系统带来影响，业务是否可以正常运行。

(四
)
回退测试主要包括补丁卸载测试、系统还原测试。

第九条补丁测试的工作由系统集成商或系统管理员负责实施。

必须对补丁的现场测试和现网测试限定时间，测试完成后需要编写详细的
测试报告，给出明确的测试结论。

第条系统管理员需要把补丁测试报告提交部门主管领导进行审核，审核通过后可以进行补丁加载和发布。

第一条为确保系统集成商及时配合补丁的测试和安装工作，需要通过合同的方式，明确集成商的安全补丁测试和安装责任，约束条款至少应包括：实验机测试环境的构建，在规定时间内完成补丁测试，补丁加载，补丁加载失败时的测试与分析，补丁与应用冲突时的系统改造和升级等工作。

7 补丁加载
第二条从安全漏洞发布到补丁加载前，公司系统管理员根据需要给出应急措施建议，例如通过加强访问控制、临时关闭服务、加强安全审计等应急措施来加强网络安全，各相关业务系统根据建议采取适当的防护措施，并加强对系统的监控，及时发现和报告安全事件。

第三条补丁加载前，必须向主管领导提交安全补丁测试报告、安全补丁安装计划和实施方案、安全补丁回退实施方案，经审批通过后按计划执行，审批的周期应限制在2 个工作日内，并尽量缩短。

第四条在补丁安装前，必须做好数据备份工作，确保任何的操作都可回退，在到达回退时间补丁加载没有完成时，启动回退操作，保证业务的正常运行。

第五条补丁加载必须安排在业务比较空闲的时间进行，对补丁加载的操作过程必须详细记录。

同时必须维护已成功加载设备、未加载设备及加载失败的设备清单。

第六条核心业务主机的补丁加载建议要求厂商工程师现场支持。

8 补丁验证
第七条补丁安装完成后，业务系统管理员必需查看系统信息，确保安全补丁已经成功加载。

第八条必须对加载补丁后的系统按照计划和验证方案进行严格的测试验证，确保补丁加载后不影响系统的性能，确保各项业务操作正常。

第九条补丁加载后的一周内，系统管理员必须加强对系统性能和事件进行密切的监控，填写每天的运行监控报告。

9 补丁归档
第二条补丁加载验证结束后，系统管理员必须编写补丁安装报告、补丁验证测试报告，并进行归档。

第二一条系统管理员负责对安全补丁软件进行归档，以备系统重装时需要。

10 监督和检查
第二二条信息系统管理部门主管领导负责对各部门补丁管理的执行情况进行考核，考核的内容包括补丁加载情况、补丁版本信息的准确性和相关文档的质量。

第二三条可通过安全漏洞扫描和现场人工抽查进行审计和检查，考核的方式可通过部门内部的自查和公司信息系统管理部门组织的巡检进行。

11 附则
11、1 文档信息
第二四条本办法由公司信息系统管理部门制定，并负责解释和修订。

由公司信息安全工作组讨论通过，发布执行。

第二五条本办法自发布之日起执行。

11、2 其他信息。