凡事難得盡善盡美，軟件程序更是如此。安全廠商發(fā)布的眾多軟件和固件中不可避免地會存在各種安全漏洞和功能缺陷。但如果企業(yè)用戶能夠采取合適的策略和機制，就可以解決這些缺陷可能造成的安全問題。企業(yè)如果采取正確有效的補丁管理策略，不僅可確保業(yè)務(wù)軟件和底層基礎(chǔ)架構(gòu)沒有錯誤和漏洞，還可以通過這種循序漸進的策略降低大型的網(wǎng)絡(luò)威脅風險，補丁管理策略實施過程中完備的記錄結(jié)果，也有助于企業(yè)進行后續(xù)的回顧管理和安全審核。

　　為什么需要補丁管理策略？

　　補丁管理策略是一份IT安全管理方案，概述了對企業(yè)網(wǎng)絡(luò)軟硬件定期維護的流程和方法；同時也是一套框架，可幫助企業(yè)安全團隊識別和采用所需的各種系統(tǒng)更新和應(yīng)用軟件，明確補丁代碼的來源，并了解哪些設(shè)備需要更新、為何更新，同時掌握記錄更新的具體過程以供將來參考。企業(yè)環(huán)境中的補丁管理策略涵蓋眾多的IT/OT資產(chǎn)、系統(tǒng)和應(yīng)用軟件，具體如下：

　　設(shè)備端點操作系統(tǒng)

　　服務(wù)器操作系統(tǒng)

　　物聯(lián)網(wǎng)固件

　　運營軟件

　　虛擬化平臺

　　網(wǎng)絡(luò)和設(shè)備外設(shè)

　　網(wǎng)絡(luò)部件

　　應(yīng)用軟件

　　數(shù)據(jù)庫

　　存儲平臺

　　統(tǒng)一通信系統(tǒng)

　　IT管理和監(jiān)控工具等

　　采用補丁管理策略，在企業(yè)內(nèi)的各種IT/OT系統(tǒng)上為軟件和固件打補丁后，可以為這些系統(tǒng)軟件增加新的功能特性，修復(fù)無意中造成系統(tǒng)性能和可操作性問題的代碼，還可以修補潛在的可被攻擊者篡改利用的各種信息安全漏洞。此外，缺少適當?shù)难a丁會帶來眾多網(wǎng)絡(luò)安全問題，包括數(shù)據(jù)盜竊、丟失以及DDoS攻擊等。

　　補丁管理策略需要哪些環(huán)節(jié)？

　　有效的補丁管理策略應(yīng)明確企業(yè)中的哪些系統(tǒng)需要打補丁、為何打補丁、怎么打補丁。與這些系統(tǒng)相關(guān)的所有工作人員在打補丁的過程中要嚴格遵循制定好的補丁管理策略，否則會出現(xiàn)許多問題，從而影響IT/OT系統(tǒng)的可用性。

　　圖1. 完整的補丁管理策略流程

　　為IT/OT系統(tǒng)打補丁是一個生命周期管理過程，該流程的速度取決于相關(guān)系統(tǒng)本身以及該補丁對公司業(yè)務(wù)的潛在影響。該補丁在系統(tǒng)性能、可用性或安全方面的影響越大，打補丁的速度就必須越快，補丁管理策略大體包括以下幾個環(huán)節(jié)：

　　識別系統(tǒng)：在執(zhí)行策略方案前，企業(yè)首先要清點整個企業(yè)網(wǎng)絡(luò)，以識別可以打補丁且應(yīng)該打補丁的所有技術(shù)組件，并對這些系統(tǒng)和應(yīng)用軟件進行分類。

　　收集補丁信息：清點補丁策略涵蓋的IT系統(tǒng)有助于確定何時需要對補丁進行更新、在何處查找和下載補丁。這個環(huán)節(jié)會包含許多子流程和工具，比如使用安全漏洞掃描、計劃的補丁管理審計、廠商補丁通知公告，以及分析錯誤、功能或漏洞帶來的影響。

　　確定補丁優(yōu)先級：收集信息后，應(yīng)先根據(jù)企業(yè)面臨的風險反饋報告，確定軟件和固件補丁的優(yōu)先級，并安排部署時間。比如說，旨在修復(fù)嚴重漏洞的補丁具有更高的優(yōu)先級，需要比修復(fù)非嚴重漏洞或改進功能的補丁更快地部署。

　　請求和批準補?。贺撠煷蜓a丁的人員在實施打補丁的工作流程時需要按環(huán)節(jié)更新軟件請求維護窗口，這個環(huán)節(jié)需要嚴格遵循具體的部署要求。

　　部署補?。翰渴鹧a丁的工作將在指定的維護窗口時間內(nèi)，逐步完成補丁請求和批準環(huán)節(jié)中概述的軟件更新。

　　監(jiān)控補丁結(jié)果：無論補丁大小，補丁完成后都必須及時監(jiān)控更新后的系統(tǒng)和應(yīng)用軟件，以驗證補丁是否修復(fù)了特定問題，或者是否存在意外的負面影響，以免危害業(yè)務(wù)運營。一旦出現(xiàn)了嚴重的負面問題，就需要將執(zhí)行補丁請求和批準環(huán)節(jié)中概述的回滾步驟，以恢復(fù)更改。

　　記載補丁結(jié)果：無論補丁是否成功，都要將這些流程完整地記入系統(tǒng)更新日志，并附上有關(guān)補丁安裝結(jié)果的信息，以及該補丁所涉及的所有建議或注意事項，這些信息有助于簡化將來的系統(tǒng)更新。

　　圖2.衡量企業(yè)補丁管理策略整體成效的關(guān)鍵績效指標

　　制定補丁管理策略的正確步驟

　　企業(yè)在制定補丁管理策略時，應(yīng)采取以下步驟：

　　1. 制定對軟件和系統(tǒng)設(shè)備進行識別、分類的流程方案；

　　2. 確定為各類別軟件、設(shè)備打補丁的負責人；

　　3. 記載如何使用工具、流程和外部資源，以查找相關(guān)漏洞、錯誤和功能更新；

　　4. 制定一份補丁更改請求模板以及批準流程和回滾程序；

　　5. 擬定各系統(tǒng)進行補丁工作的生命周期時間表，為保證各業(yè)務(wù)的正常進行和企業(yè)的網(wǎng)絡(luò)安全，必須按照時間表迅速的進行補丁部署；

　　6. 制定一套監(jiān)測流程，以監(jiān)控補丁結(jié)果以及哪些負面影響會觸發(fā)回滾；

　　7. 制定補丁結(jié)果文檔模板，以便在每個補丁維護窗口后使用。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<