建立企业补丁管理策略,从此告别手工打补丁!
 
制定必要的补丁管理手续和职责是一件很有技巧的工作,所以你不妨采取下述这些示例策略,应该可以符合你公司的需要。
补丁管理不当常常是祸害公司网络的罪魁祸首。因为总是有系统补丁、系统更新、安全补丁要应用。不幸的是,你并不总是有充足的时间来评估它们,在攻击者肆虐的时候也很少有足够的时间来分发补丁以修补系统的安全漏洞。
了解了现在的安全状况,补丁管理显然势在必行。因此我们说事先制定一个补丁管理策略,确定必要的步骤和职责,是很好的一个主意。
通常,我会讨论补丁管理策略的一个部件,并仔细检查这样的一个策略需要注意的地方,但是这次我想来点不一样的。不是讨论一个策略应该涉及的潜在审核,而是来看一个示例策略,你可以用它来适应自己公司的需要。
下面是一个公司补丁管理策略的示例,我们就叫它“XYZ网络公司”。如果你的公司还不曾制定过补丁管理策略,你可以用这个示例作为你的起点。
目标
作为公司信息部门的负责人,为公司的软件、职员、生意伙伴和承包商提供一个安全的网络环境是你的职责所在。作为这个目标的一部分,公司应该执行一个策略,以确保公司网络上的所有计算机设备(包括服务器,桌面计算机以及打印机等等)装有正确的病毒防护软件,最新的病毒库,以及打上了最新的系统补丁和安全补丁。
网络管理员职责
网络管理员(Network Operations ,简称NetOps)部门对补丁管理的综合部署,运行以及过程负责。保护网络安全是每个用户都义不容辞的工作,而网络管理员则是确保全部已知和合理的防御措施就位的专门部门,他们在维持网络正常工作的同时,减少网络的安全弱点。具体的职责包括下述这些任务:
1.监控
网络管理员负责监控安全邮件列表、查看供货商的告示和网站,以及查找特定网站上的新补丁发布信息。监控还包括(而不限于)以下这些:
  • 扫描公司网络,确认是否存在已知的安全漏洞。
  • 确认并向公司的信息主管、安全主管报告所发现的安全漏洞、缺陷
  • 监控CERT,告示以及所有公司网络所涉及的软硬件供应商的网站
    2.检查与评估
    一旦有新的补丁发布,网络管理员将在发布后的4小时内下载并检查该补丁。管理员将根据下述标准对该补丁进行分类:
  • 紧急-会对公司网络造成重大威胁
  • 危险-涉及安全漏洞
  • 正常-正常的补丁发布
  • 无用-对公司的网络没有作用
    不管面向什么平台以及是否危险,所有的补丁发布必须遵循一个指定的过程,整个补丁的部署过程包括风险评估,测试,计划安装时间,正式安装,确认安装。
    3.风险评估与测试
    在部署之前,网络管理员要对一个补丁在公司的网络上实施所产生的效果进行评估。同时,网络管理员部门要评估与该补丁相关的各平台可能会受到的影响(比如,服务器,桌面计算机,打印机等等)。
    如果管理员将某个补丁标记为“紧急”,表明部门认为公司网络即将面临严重的威胁。因此,在没有部署补丁之前,等待补丁测试期间,公司网络将承受巨大风险。
    无论补丁是否被认定为“危险”级别,都必须在部署前,先进行对相关平台的影响测试。对于“危险”的补丁,网络管理员会加快测试的进程。管理员的部门必须在补丁部署之前,完成在所有平台上的评定(比如,Windows,Unix,等等)。
    4.告示及时间表
    网络管理部门领导必须在正式部署前审定具体的时间表。不考虑补丁本身是否属于“危险”级别,每个补丁在发布之前必须生成一个技术更改请求(request for technical change,简称RTC),并得到批准。公司的信息安全主管将决定何时需要向公司职员发布告示。
    5.部署
    网络管理员将在补丁发布后8小时内部署“紧急”级别的补丁。鉴于网络所面临的重大风险,可能一个“紧急”的补丁还在测试当中就被发布了。在所有情况下,部门必须对补丁进行测试(无论是在补丁发布前测试或是一边部署一边测试),并进行相关的记录,以备审核和效果追踪。
    下面是一个示例的时间安排,关于如何发布重要的补丁:
  • 补丁可用,当日 (假设周一)
  • 测试补丁,不超过补丁可用后1天。 (则为周二)
  • 批准补丁,不超过补丁可用后3天。 (则为周四)
  • 发布补丁,不超过补丁可用后5天。 (则为周六)
    当需要部署“紧急”的补丁时,网络管理员将从紧急状态RTC以及公司处获得批准。而非紧急的补丁,则按照预先安排的“定期预防性维护”时间表进行部署。每个补丁都应当有批准的RTC。对于新网络设备,每个平台都须严格遵守事先规定的进程,确保安装了所有最新的补丁。
    6.审核,评估以及验证
    发布完毕所有的补丁之后,网络管理人员将确认补丁是否成功安装,以及没有产生副作用。
    用户责任以及实践
    这是每个用户的责任——无论是公司的部门还是个人——必须确保审慎负责的使用计算机和网络资源。
    最后的想法
    虽然这个策略很简单,但是它道出了一个策略应该涉及的所有细节——具体,何人,何故,何时,以及如何做。一旦你制定了你的补丁管理策略,不要让它成为一纸空文,确保整个公司都会遵循它。
  •