《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 網(wǎng)絡(luò)安全知識(shí)之了解補(bǔ)丁和軟件更新

網(wǎng)絡(luò)安全知識(shí)之了解補(bǔ)丁和軟件更新

2021-11-19
來源:祺印說信安
關(guān)鍵詞: 補(bǔ)丁 軟件更新

網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求安全計(jì)算環(huán)境之入侵防范測(cè)評(píng)項(xiàng)下的測(cè)評(píng)控制點(diǎn)要求“應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞,并在經(jīng)過充分測(cè)試評(píng)估后,及時(shí)修復(fù)漏洞”,修復(fù)漏洞的程序,我們基本上可以稱之為補(bǔ)丁。 

  在《網(wǎng)絡(luò)安全等級(jí)保護(hù)高風(fēng)險(xiǎn)判定指引》 TISEAA 001-2020中明確應(yīng)用系統(tǒng)存在可被利用的高危漏洞為高風(fēng)險(xiǎn)項(xiàng),其適用范圍是第二級(jí)以上系統(tǒng),在這個(gè)設(shè)計(jì)應(yīng)用系統(tǒng)所使用的環(huán)境、框架、組件或業(yè)務(wù)功能等。當(dāng)然,修補(bǔ)漏洞需要連接的互聯(lián)網(wǎng),其漏洞不修復(fù)遠(yuǎn)程攻擊風(fēng)險(xiǎn)也高,但是內(nèi)網(wǎng)系統(tǒng)則可以根據(jù)具體情況分析,酌情判定風(fēng)險(xiǎn)等級(jí)。所以,在判定高危風(fēng)險(xiǎn)過程中,也是需要綜合分析,既不要過度解讀,也不要太過機(jī)械,但是這個(gè)度掌握需要較全面的知識(shí)做支撐。

  什么是補(bǔ)丁?

  補(bǔ)丁是軟件和操作系統(tǒng)(OS)更新,用于解決程序或產(chǎn)品中的安全漏洞。軟件供應(yīng)商可能會(huì)選擇發(fā)布更新來修復(fù)性能錯(cuò)誤,以及提供增強(qiáng)的安全功能。

  如何找出需要安裝的軟件更新?

  當(dāng)軟件更新可用時(shí),供應(yīng)商通常會(huì)將它們放在他們的網(wǎng)站上供用戶下載。盡快安裝更新以保護(hù)我們的的計(jì)算機(jī)、電話或其他數(shù)字設(shè)備免受利用系統(tǒng)漏洞的攻擊者的侵害。攻擊者可能會(huì)在更新可用后數(shù)月甚至數(shù)年針對(duì)漏洞進(jìn)行攻擊。一些軟件會(huì)自動(dòng)檢查更新,許多供應(yīng)商為用戶提供自動(dòng)接收更新的選項(xiàng)。如果它們不可用,請(qǐng)定期檢查供應(yīng)商的網(wǎng)站以獲取更新。

  確保我們只從受信任的供應(yīng)商網(wǎng)站下載軟件更新。

  不要相信電子郵件中的鏈接——攻擊者使用電子郵件將用戶引導(dǎo)至托管偽裝成合法更新的惡意文件的網(wǎng)站。用戶還應(yīng)該警惕聲稱附加了軟件更新文件的電子郵件——這些附件可能包含惡意軟件。

  如果可能,僅應(yīng)用來自受信任網(wǎng)絡(luò)位置(例如,家庭、工作)的自動(dòng)更新。避免在連接到不受信任的網(wǎng)絡(luò)(例如,機(jī)場(chǎng)、酒店、咖啡店)時(shí)更新軟件(自動(dòng)或手動(dòng))。如果必須通過不受信任的網(wǎng)絡(luò)安裝更新,請(qǐng)使用與受信任網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)連接并應(yīng)用更新。

  手動(dòng)更新和自動(dòng)更新有什么區(qū)別?

  用戶可以手動(dòng)安裝更新或選擇讓他們的軟件程序自動(dòng)更新。

  手動(dòng)更新需要用戶或管理員訪問供應(yīng)商的網(wǎng)站以下載和安裝軟件文件。

  在安裝或配置軟件時(shí),自動(dòng)更新需要用戶或管理員的同意。一旦我們同意自動(dòng)更新,軟件更新就會(huì)自動(dòng)“推送”(或安裝)到我們的系統(tǒng)。

  什么是報(bào)廢軟件?

  有時(shí),供應(yīng)商會(huì)停止對(duì)軟件程序的支持或?yàn)槠浒l(fā)布軟件更新(也稱為生命周期終止[EOL]軟件)。繼續(xù)使用EOL軟件會(huì)給我們的系統(tǒng)帶來相應(yīng)的風(fēng)險(xiǎn),從而允許攻擊者利用安全漏洞。使用不受支持的軟件還會(huì)導(dǎo)致軟件兼容性問題以及降低系統(tǒng)性能和生產(chǎn)力。

  建議用戶和管理員停用所有 EOL 產(chǎn)品。

  軟件更新的最佳實(shí)踐

  盡可能啟用自動(dòng)軟件更新。這將確保盡快安裝軟件更新。

  不要使用不受支持的EOL軟件。

  始終直接訪問供應(yīng)商網(wǎng)站,而不是點(diǎn)擊廣告或電子郵件鏈接。

  在使用不受信任的網(wǎng)絡(luò)時(shí)避免軟件更新。

  新漏洞不斷出現(xiàn),但針對(duì)利用修補(bǔ)漏洞的攻擊者的最佳防御方法很簡(jiǎn)單:使我們的軟件保持最新。這是我們可以采取的最有效的措施來保護(hù)我們的計(jì)算機(jī)、電話和其他數(shù)字設(shè)備。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。