IST补丁管理标准
- 标准声明
- 范围
- 安全评级
- 标准
- 服务器
- 端点
- 网络基础设施和其他网络连接设备
- 程序
- 调度与部署
- 安装与验证
- 关键更新
- 强制重启豁免
1.0标准声明
新泽西理工学院信息服务 & 技术(IST)部门致力于确保一个安全的计算环境,并认识到需要预防和管理IT漏洞. 一个受损的设备威胁到网络的完整性和所有连接到它的计算机.
威尼斯人娱乐城 IST负责确保保密, 完整性, 数据的可用性以及存储在其系统中的客户数据的可用性. IST部门试图提供针对网络安全威胁的适当保护, 比如病毒, 恶意软件, ransomware, 网络钓鱼, 以及可能对系统或其在系统上委托的数据的安全性产生不利影响的凭据. 本标准的有效实施将限制该范围内系统的常见网络安全威胁的暴露和影响.
为了对抗这种威胁,IST实施了一个补丁和漏洞管理流程. 此过程包括由自动化工具和IST成员执行的连续漏洞扫描和评估. 补丁和漏洞管理是一种安全实践,旨在主动防止利用组织中存在的IT漏洞.
主动管理漏洞将减少或消除利用漏洞的可能性,并且比在利用漏洞之后进行响应所需的时间和精力要少得多.
本文档描述了威尼斯人娱乐城维护可靠、安全IT服务的要求, 这包括但不限于操作系统, 应用程序, 固件, 并在所有大学拥有和管理的端点设备上安装安全补丁, 服务器和网络设备. 目标是确保所有大学拥有的设备都被主动管理并打上适当的安全更新补丁.
2.0范围
本标准适用于工作站, 拥有的服务器和任何网络设备, 使用, 由威尼斯人娱乐城和任何供应商管理, 承包商, 和大学做生意的伙伴. 这包括内部部署和云服务中使用的所有系统和应用程序,这些系统和应用程序包含由威尼斯人娱乐城拥有或管理的数据,而无论位置如何. 范围还包括但不限于, 由IST部署给教职员工的任何笔记本电脑或工作站. 这不包括任何可能连接到大学计算机网络的个人(BYOD)设备. BYOD设备将遵循可接受和负责任的使用政策(ARUP)中规定的指导方针。. BYOD设备应该遵循软件更新的最佳实践. 对于可能对我校信息资产和资源造成危害的设备,我校保留阻止其接入网络的权利.
3.0安全等级
威尼斯人娱乐城 风险 |
描述 |
CVSS V3 分数范围* |
定义 |
安全的影响 |
至关重要的 |
该评级是针对那些不需要用户交互就能轻易被攻击者利用并导致系统危害(任意代码执行)的漏洞. 这些是需要立即修复的漏洞类型. |
9.0 - 10.0 |
利用是直接的,通常会导致系统级的危害. 建议立即制定行动计划并进行修补 |
失去中央情报局(保密), 完整性, 和可用性)可能对组织或与组织相关的个人产生最严重的不利影响.g.、员工、客户). |
高 |
可能危及资源的机密性、完整性或可用性的缺陷. 这些是允许本地用户获得特权的漏洞类型, 允许未经身份验证的远程用户查看本应受身份验证保护的资源, 允许经过身份验证的远程用户执行任意代码, 或者允许远程用户导致拒绝服务. |
7.0 - 8.9 |
利用更困难,但可能会导致特权升高,并可能导致数据丢失或停机. 建议尽快制定行动计划并打补丁. |
失去中央情报局(保密), 完整性, 和可用性)可能会对组织或与组织相关的个人产生灾难性的不利影响.g.、员工、客户). |
温和的 |
此评级是针对那些可能更难利用但仍可能导致某些机密性妥协的漏洞, 完整性, 或者资源的可用性, 在某些情况下. 这些类型的漏洞可能具有至关重要的或高级别,但根据对漏洞的技术评估,不太容易被利用, 或者影响不可能的构型. |
4.0 - 6.9 |
漏洞是存在的,但不是可利用的,或者需要采取社会工程等额外步骤. 建议在高优先级问题得到解决后,形成行动计划和补丁. |
失去中央情报局(保密), 完整性, 和可用性)可能对组织或与组织相关的个人产生严重的不利影响.g.、员工、客户). |
低 |
此评级用于对安全产生影响的所有其他问题. 这些类型的漏洞被认为需要不太可能的环境才能被利用, 或者一个成功的攻击会造成最小后果的地方. |
0.1 - 3.9 |
漏洞是不可利用的,但会减少组织的攻击面. 建议在下一个维护窗口形成行动计划和补丁. |
失去中央情报局(保密), 完整性, 和可用性)可能只对组织或与组织有关的个人产生有限的不利影响.g.、员工、客户). |
|
||||
*CVSS V3 -共同漏洞评分系统(CVSS)是评估计算机系统安全漏洞的严重性的一个自由和开放的工业标准. CVSS试图给漏洞分配严重性分数, 允许响应人员根据威胁优先考虑响应和资源. 分数是根据一个公式计算的,该公式依赖于几个近似漏洞利用的容易程度和影响的指标. 得分范围从0到10,10代表最严重. (en.维基百科.org) |
4.0标准
4.1台服务器
所有包含威尼斯人娱乐城信息资源的服务器将在其操作系统和应用程序上安装最新的安全补丁. 服务器必须符合IST认可的最低安全标准. 这些最低安全标准定义了默认的操作系统级别, 服务包, 热修复补丁, 和补丁级别,以确保大学资产和驻留在系统上的数据的安全. 在系统投入生产之前,系统所有者有责任对其系统执行漏洞扫描,以确保它们满足安全和补丁级别的要求.
每个部门对其控制下的设备和系统负责. 董事必须通过订阅适当的邮件列表来确保其员工了解补丁发布, 由供应商直接通知, 漏洞扫描的结果, 定时补丁扫描, 或者其他通知.
- 认识到关键类别的补丁通常会快速发布,并简化质量控制, IST必须在应用这些补丁之前验证影响. 关键漏洞的修补通常是一个非常动态的情况,供应商会多次召回和重新发布补丁.
- 对于所有关键和高严重性评级, 修复倒计时计时器从补丁或缓解的公开发布日期开始. 中等到低级别严重性等级修复倒计时计时器从上次计划的漏洞或补丁扫描日期开始.
严重性评级 |
补救时间 |
至关重要的 |
尽快(通常在24小时内),在公开发布后不超过5个日历天. |
高 |
尽快,不超过公开发布后的30个日历天 |
温和的 |
不超过60天 |
低 |
不超过90天 |
在投入生产之前,所有补丁都应该在开发和/或测试系统上进行测试, 在可能的情况下, 或经首席信息官(CIO)或其指定人员批准.
在补丁不能遵循上述时间表的情况下, 必须制作一份文件,解释为什么必须推迟补丁. 任何要延迟超过预定时间的补丁,必须得到资讯科技总监或其受让人的批准. 所有延迟的补丁必须由网络安全工作组(CWG)审核。.
4.两个端点
所有大学拥有的端点都必须在供应商发布后30天内安装关键操作系统和关键应用程序补丁. 台式机和笔记本电脑必须启用自动更新操作系统补丁. 这应该是所有工作站的默认配置. 对标准的任何例外都必须记录并提交CWG审查,并由CIO或其委派人员批准.
4.3网络基础设施及其他网络附属设备
所有网络基础设施和网络附属设备将按照供应商推荐的系统和关键应用程序的代码更新进行维护(如果适用)。. 当漏洞被披露并由制造商提供时,将应用更新. 如果由于潜在的网络停机而无法及时完成更新,则将启用其他安全缓解措施.
4.关键业务系统和企业应用
所有关键业务系统和企业应用程序(i.e. 埃卢西亚旗、帆布等.)将使用供应商推荐的代码更新来维护其系统和关键应用程序,包括内部部署和包含威尼斯人娱乐城拥有或管理的数据的云服务. 当漏洞被披露和供应商发布更新时,将应用更新. 如果不能及时完成更新或补丁以降低风险,则将实施其他安全控制和补救措施. 任何例外情况都必须记录在案,并转交给CWG审查,并由CIO或其委派人员批准.
5.0程序
5.1调度与部署
适用的补丁将在部署到校园之前由IST进行测试和验证. 一次验证, IST将按照补丁周期和计划维护窗口安排和部署经过验证的补丁. 如果一项服务或应用程序在很长一段时间内不可用,将向校园合作伙伴申请适当的批准, 并将按照威尼斯人娱乐城的指导方针与校园进行沟通.
5.2安装与验证
软件供应商定期发布安全补丁. 要成功安装许多安全补丁,需要重新启动系统. 直到重新启动, 计算机仍然容易受到已安装补丁的攻击. IST了解不合时宜的重新启动可能对用户工作效率造成的影响. 为了给大学社区提供尽可能多的灵活性, 安全更新 基于Windows的端点 (台式机、笔记本电脑)将使用“可选-强制性”方法进行部署.
可选-强制方法将允许用户在截止日期到来之前方便地安装预定的更新. 将向用户提供 十(10)个工作日 为已部署的补丁选择安装时间. 截止日期过后, 更新将自动安装,并可能根据更新的要求强制重启计算机. 强烈建议用户尽快安装更新,以确保端点受到保护,并且重新启动不会中断工作. 当更新可用时,系统托盘中将出现通知. 该消息将继续每天出现,直到安装更新,并随着截止日期的临近而更频繁地出现
5.3重大更新
有时软件供应商会发布一个非常关键的安全补丁. IST将加快验证过程. 需要紧急更改请求并应尽快应用的关键补丁. 一旦验证,用户将拥有一个 (1)工作日 安装并重新启动机器以应用补丁. 截止日期过后, 更新将自动安装,并可能根据更新的要求强制重新启动计算机. 如果系统发生带外紧急更新部署,IST将与校园通信,从而强制重新启动.
5.4定期维护窗口
维护窗口是一个定期安排的时间框架,在此期间,除了更改限制期间,可能会发生计划中断和生产更改, i.e. 学业安排及行政事务等. 定义循环维护窗口的目的是通过向涉众提供所提供服务的可预测中断期来设置期望.
为预先批准的停机时间保留一个维护窗口,受影响的校园合作伙伴将在计划之前得到通知. 这并不意味着所有受影响的系统或服务在此期间将始终处于关闭状态. 在需要的时候使用,并得到适当的批准和校园沟通.
所有计划中断的优先级高于定义为“关键”的服务影响级别, 高, 温和的, 和低. 除紧急情况和计划外停机外,任何IST服务中断都将遵循相应的流程. 以下是为管理资讯科技系统和服务在整个补丁周期内的补丁而定义的定期维护窗口:
节奏 |
持续时间 |
日期/时间 |
影响 |
生产 |
|||
每天 |
1小时 |
每天——早上5点到6点 |
低-无(分钟) |
每周 |
4个小时 |
周六晚上11点至周日凌晨3点 |
中度(1-4小时) |
每月 |
8小时 |
这个月的最后一个周六晚上11点-周日早上7点 |
高(最多8小时) |
非生产(面向用户) |
|||
每天 |
2小时 |
每天——晚上7点到9点 |
低 |
每月 |
8小时 |
每月第二个星期二上午9点至下午5点 |
温和的 |