制定必要的補丁管理手續和職責是一件很有技巧的工作,所以你不妨采取下述這些示例策略,應該可以符合你公司的需要。
補丁管理不當常常是禍害公司網絡的罪魁禍首。
因為總是有系統補丁、系統更新、安全補丁要應用。不幸的是,你并不總是有充足的時間來評估它們,在攻擊者肆虐的時候也很少有足夠的時間來分發補丁以修補系統的安全漏洞。
了解了現在的安全狀況,補丁管理顯然勢在必行。因此我們說事先制定一個補丁管理策略,確定必要的步驟和職責,是很好的一個主意。
通常,我會討論補丁管理策略的一個部件,并仔細檢查這樣的一個策略需要注意的地方,但是這次我想來點不一樣的。不是討論一個策略應該涉及的潛在審核,而是來看一個示例策略,你可以用它來適應自己公司的需要。
下面是一個公司補丁管理策略的示例,我們就叫它“XYZ網絡公司”。如果你的公司還不曾制定過補丁管理策略,你可以用這個示例作為你的起點。
目標
作為公司信息部門的負責人,為公司的軟件、職員、生意伙伴和承包商提供一個安全的網絡環境是你的職責所在。作為這個目標的一部分,公司應該執行一個策略,以確保公司網絡上的所有計算機設備(包括服務器,桌面計算機以及打印機等等)裝有正確的病毒防護軟件,最新的病毒庫,以及打上了最新的系統補丁和安全補丁。
網絡管理員職責
網絡管理員(Network Operations ,簡稱NetOps)部門對補丁管理的綜合部署,運行以及過程負責。保護網絡安全是每個用戶都義不容辭的工作,而網絡管理員則是確保全部已知和合理的防御措施就位的專門部門,他們在維持網絡正常工作的同時,減少網絡的安全弱點。具體的職責包括下述這些任務:
1.監控
網絡管理員負責監控安全郵件列表、查看供貨商的告示和網站,以及查找特定網站上的新補丁發布信息。監控還包括(而不限于)以下這些:
掃描公司網絡,確認是否存在已知的安全漏洞。
確認并向公司的信息主管、安全主管報告所發現的安全漏洞、缺陷
監控CERT,告示以及所有公司網絡所涉及的軟硬件供應商的網站
2.檢查與評估
一旦有新的補丁發布,網絡管理員將在發布后的4小時內下載并檢查該補丁。管理員將根據下述標準對該補丁進行分類:
緊急-會對公司網絡造成重大威脅
危險-涉及安全漏洞
正常-正常的補丁發布
無用-對公司的網絡沒有作用
不管面向什么平臺以及是否危險,所有的補丁發布必須遵循一個指定的過程,整個補丁的部署過程包括風險評估,測試,計劃安裝時間,正式安裝,確認安裝。
3.風險評估與測試
在部署之前,網絡管理員要對一個補丁在公司的網絡上實施所產生的效果進行評估。同時,網絡管理員部門要評估與該補丁相關的各平臺可能會受到的影響(比如,服務器,桌面計算機,打印機等等)。
如果管理員將某個補丁標記為“緊急”,表明部門認為公司網絡即將面臨嚴重的威脅。因此,在沒有部署補丁之前,等待補丁測試期間,公司網絡將承受巨大風險。
無論補丁是否被認定為“危險”級別,都必須在部署前,先進行對相關平臺的影響測試。對于“危險”的補丁,網絡管理員會加快測試的進程。管理員的部門必須在補丁部署之前,完成在所有平臺上的評定(比如,Windows,Unix,等等)。
4.告示及時間表
網絡管理部門領導必須在正式部署前審定具體的時間表。不考慮補丁本身是否屬于“危險”級別,每個補丁在發布之前必須生成一個技術更改請求(request for technical change,簡稱RTC),并得到批準。公司的信息安全主管將決定何時需要向公司職員發布告示。
5.部署
網絡管理員將在補丁發布后8小時內部署“緊急”級別的補丁。鑒于網絡所面臨的重大風險,可能一個“緊急”的補丁還在測試當中就被發布了。在所有情況下,部門必須對補丁進行測試(無論是在補丁發布前測試或是一邊部署一邊測試),并進行相關的記錄,以備審核和效果追蹤。
下面是一個示例的時間安排,關于如何發布重要的補丁:
補丁可用,當日 (假設周一)
測試補丁,不超過補丁可用后1天。 (則為周二)
批準補丁,不超過補丁可用后3天。 (則為周四)
發布補丁,不超過補丁可用后5天。 (則為周六)
當需要部署“緊急”的補丁時,網絡管理員將從緊急狀態RTC以及公司處獲得批準。而非緊急的補丁,則按照預先安排的“定期預防性維護”時間表進行部署。每個補丁都應當有批準的RTC。對于新網絡設備,每個平臺都須嚴格遵守事先規定的進程,確保安裝了所有最新的補丁。
6.審核,評估以及驗證
發布完畢所有的補丁之后,網絡管理人員將確認補丁是否成功安裝,以及沒有產生副作用。
用戶責任以及實踐
這是每個用戶的責任——無論是公司的部門還是個人——必須確保審慎負責的使用計算機和網絡資源。
最后的想法
雖然這個策略很簡單,但是它道出了一個策略應該涉及的所有細節——具體,何人,何故,何時,以及如何做。一旦你制定了你的補丁管理策略,不要讓它成為一紙空文,確保整個公司都會遵循它。
