安全補丁管理分步指南

補丁管理已經困擾企業很多年了，而且還將被繼續討論。隨著技術的進步和攻擊者對漏洞攻擊方法的開發，電腦安全的管理在維護業務架構的完整性上越來越重要了。作為一種提前的主動行為，安全補丁管理是保護企業電腦架構的防禦前線。

補丁管理是使電腦和現有的軟體產品開發的更新保持一致的人、程式和技術。安全補丁管理是關注減少安全漏洞的補丁管理。它不是對嚴重緊急事故作為反應的防禦程式。

已經發生了這種事件，但是安全補丁管理應該首先是保持環境安全可靠的主動程式。作為一種函式過程，安全補丁管理確保所有驗證軟體採用了更新，並由此評估環境中的漏洞以及減少電腦被攻擊的風險。

這篇指南解釋了如何成功的配置安全補丁，包括安全補丁測試階段、實際補丁部署階段和配置後的檢查階段。

如何準備安全補丁測試

為確保成功地對安全補丁進行測試，企業乙個組織應首先完成以下驟：

1.了解安全補丁中的檔案、功能函式和操作。為確保所有的使用者組（比如伺服器組，應用組和桌面組）都充分地理解安裝補丁所造成的影響，負責補丁管理的人員應回答以下問題：

補丁解決什麼問題？

會影響哪些系統會造成什麼影響？

會影響對哪些檔案有影響？

應用補丁的系統是否需要重啟？

應用補丁的軟體是否需要重新執行？

這一補訂本是否有解除安裝功能？

如果安裝或是解除安裝補丁的過程失敗，如何保恢復系統？

這些問題及其解答，與所計畫部署的補丁的細節應記錄在案。這將為組織留下了安裝補丁的原因、時間、地點的審記記錄。

2.根據嚴重性對補丁進行評級和優先順序排序。表1顯式了如何依據標準則對補丁進行評級，並為每個級別提供了推薦的應對時間和最遲的應對時間。

一些組織偏向於用顏色而不是用數字進行標記,。因而,每個等級對應的顏色也列在每一行中。當補丁發布乙個補丁後，可用這個表確定它的等優先順序。

當然，如果組織環境中已經存在被攻擊的系統了有了乙個與它的環境相符的等級系統時，也不需用這個表就不適用了。

表1 補丁的評級標準

3.在組織中啟動變更控制過程或是流程程式。變更控制程式過程是一組有記錄的步驟，以確保所有的變更在安裝在系統或和裝置上之前都必須通過驗證。

每個組織都應在事先準備好乙個其中的所有使用者組都遵守的有文件記錄的變更控制流程。變更管理確保系統的修**生在可控環境中。在收到發布的補丁後即有可能啟動變更控制過程的情況下，在測試補丁和準備部署補丁之前完成變更控制過程非常重要。

根據補丁的嚴重等級，啟動不同的變更控制過程的執行是依據於補丁的嚴重等級。比如，如果補丁的嚴重性等級為危急(emergency)或是「紅色」，應實施與其對應版本的快速的變更控制過程以確保在所要求需的允許時間內完成補丁的安裝。

在乙個變更控制系統中維護的補丁資訊提供了所需的審計記錄。當乙個補丁通過正在這一流程中時，它也提供了報告這一補丁狀態的方法。當完成這些步驟後，就可以進入測試階段了。

安全補丁的測試和部署

為測試安全補丁建立與產品環境完全一致的複製環境非常困難，因而測試階段問題最多。這些問題可以是由經費、環境中的多種多種的作業系統或應用程式引起的。

測試安全補丁

根據安全補丁所要修補的漏洞和補丁中軟體功能的不同，它可以影響到系統的很多不同的部分。因而，部署補丁的過程需要包含測試，且每個計畫部署的補丁都要進行測試。測試的目標是確保部署補丁後，系統的操作和應用不受影響，且業務不受干擾。

為達到這一目標，在部署之前至少必須滿足以下的前提條件，且滿足之後將其記錄下來：

測試環境可以最大程度地模擬目標平台

補丁軟體成功地傳輸到目標測試平台上

補丁軟體安裝在目標（測試）平台上，且沒有明顯問題

目標（測試）平台上以往的功能性操作在安裝補丁之後照常執行

如果出現問題，補丁可以成功刪除

如果沒有滿足任何乙個條件，在部署補丁之前都要對易受攻擊的系統進行額外的測試。可能需要進行多次重複工作，以確保成功的部署補丁，並降低對受影響的系統帶來負面影響的風險。

部署安全補丁

安全補丁成功通過測試之後，就可以進入實際的部署階段了。部署補丁必須以這樣一種方式進行，這一方式必保證部署過程可重複，具有連貫性，可追蹤狀態，有錯誤記錄。這一過程通常由補丁管理工具實現。

現有很多種可選的補丁管理工具，組織應選用最適合其環境的工具。補丁管理工具的管理員、伺服器管理員或是桌面使用者組，依據他們在補丁管理流程中所規定的角色和責任進行補丁的部署。每個人在補丁管理中的角色和責任，在部置補丁之前應事先定義好。

一些測試條件受限的組織，在將補丁部署到整個系統之前，先將補丁應用到乙個pilot使用者組做為試點。如果使用這一方案，補丁程式需要在做為試點的這些系統上執行足夠長的時間以確保沒有出現任何問題。只有經過了預先規定的考查時間，且這些部署了補丁的試點系統執行良好，顯示補丁成功部署之後，補丁在其他裝置或是節點上的全面部署才能提到流程中來。

這一試點方案也適用於受影響的伺服器。不同的是，應首先在非關鍵的伺服器上打補丁，並試執行。同樣，只有經過了預先規定的考查時間之後，才可以在所有受影響的伺服器上安裝補丁，其中包括最關鍵的那些伺服器。

當所有的系統中都安裝了補丁之後，對補丁管理工具負有責任的個人或是使用者組需要向他們的團隊報告補丁部署的狀態。

安全補丁的審定和核查

這一系列文章的最後一部分解釋如何完成安全補丁管理過程的核查和檢查回顧階段。這兩個階段與安裝補丁的測試和部署階段同樣重要；當然核查和回顧檢查主要是由流程驅動的，而不是補丁。

核查補丁的實施

軟體安裝的複雜性迫使將部署過程和核查過程分離開。部署階段，根據安全補丁管理工具的反饋資訊判斷成功和失敗。核查階段涉及到檢查相關檔案、軟體版本和登錄檔資訊與已經起作用的補丁是否相符。

補丁的核查必須使用檢查補丁特定功能的方法。核查過程主要由工具執行，除非工具無法完成相關任務，那時就需要手動由人工進行檢查。

用於部署補丁的補丁管理工具需要具有監測已安裝補丁的系統的功能。它也要檢查安全補丁是否已正確地安裝在系統中，如果工具完不成這樣的任務，這個組織需要設計手動一種人工的方法或是乙個子程式過程完成這一任務。補丁管理工具需要記錄哪些系統已安裝補丁，哪些沒有。

如果乙個系統檔案或是應用程式的檔案被改動，並導致該系統又變得易受攻擊，補丁管理工具應標記出這一系統並再一次在該系統上重新安裝補丁。

回檢查顧補丁狀態

變更控制過程，可以是乙個工具、乙份報表或是乙個表單，在每一步完成之後都應更新。同樣，需要生成乙個報告記錄每乙個補丁的狀態。這些報告可以是基於web的，並且由補丁管理工具驅動，或是出自於組織中使用的變更控制系統。

這一報告用於回顧階段，並且應傳送到相關的人員手中，比如補丁管理團隊、it人員等。

做為報告的一部分，補丁管理團隊需要收到以下資訊：

成功安裝補丁的系統數目

補丁安裝失敗或是補丁安裝沒有完全成功的系統數目

失敗原因的總結及後續措施

有關重啟系統的報告

沒有參與整個安裝補丁過程的系統數目，這一資訊通常以異常報告的形式提供

介紹這些系統沒有安裝補丁原因的總結

補丁有效性的報告

補丁管理過程需要生成關鍵效能指標（key performance indicators，kpis）。kpis使組織可以衡量補丁管理的成功程度並評估結果。補丁管理的kpis包括：

補丁管理團隊或是補丁管理的負責人，需要經常的分析這些報告，並且使用報告中的資料和kpis回答以下的問題：

這一過程的有效性如何？

失敗率是不是較高，原因何在？

可以對補丁管理過程的哪些環節進行改進？

定期地將這些資訊用於改進補丁管理過程，以確保這一過程的準確性、有效性和保障組織財產安全的能力。完成整個過程的這一最後階段確保這一組織的補丁管理具有主動性。

安全補丁管理分步指南

資訊保安管理體系審核指南

電梯使用安全管理制度指南

小煤礦安全生產基礎管理實施指南

安全補丁管理分步指南

資訊保安管理體系審核指南

電梯使用安全管理制度指南

小煤礦安全生產基礎管理實施指南

相關推薦