凡事難得盡善盡美，軟件程序更是如此。安全廠商發(fā)布的眾多軟件和固件中不可避免地會(huì)存在各種安全漏洞和功能缺陷。但如果企業(yè)用戶能夠采取合適的策略和機(jī)制，就可以解決這些缺陷可能造成的安全問題。企業(yè)如果采取正確有效的補(bǔ)丁管理策略，不僅可確保業(yè)務(wù)軟件和底層基礎(chǔ)架構(gòu)沒有錯(cuò)誤和漏洞，還可以通過這種循序漸進(jìn)的策略降低大型的網(wǎng)絡(luò)威脅風(fēng)險(xiǎn)，補(bǔ)丁管理策略實(shí)施過程中完備的記錄結(jié)果，也有助于企業(yè)進(jìn)行后續(xù)的回顧管理和安全審核。

　　為什么需要補(bǔ)丁管理策略？

　　補(bǔ)丁管理策略是一份IT安全管理方案，概述了對(duì)企業(yè)網(wǎng)絡(luò)軟硬件定期維護(hù)的流程和方法；同時(shí)也是一套框架，可幫助企業(yè)安全團(tuán)隊(duì)識(shí)別和采用所需的各種系統(tǒng)更新和應(yīng)用軟件，明確補(bǔ)丁代碼的來源，并了解哪些設(shè)備需要更新、為何更新，同時(shí)掌握記錄更新的具體過程以供將來參考。企業(yè)環(huán)境中的補(bǔ)丁管理策略涵蓋眾多的IT/OT資產(chǎn)、系統(tǒng)和應(yīng)用軟件，具體如下：

　　設(shè)備端點(diǎn)操作系統(tǒng)

　　服務(wù)器操作系統(tǒng)

　　物聯(lián)網(wǎng)固件

　　運(yùn)營軟件

　　虛擬化平臺(tái)

　　網(wǎng)絡(luò)和設(shè)備外設(shè)

　　網(wǎng)絡(luò)部件

　　應(yīng)用軟件

　　數(shù)據(jù)庫

　　存儲(chǔ)平臺(tái)

　　統(tǒng)一通信系統(tǒng)

　　IT管理和監(jiān)控工具等

　　采用補(bǔ)丁管理策略，在企業(yè)內(nèi)的各種IT/OT系統(tǒng)上為軟件和固件打補(bǔ)丁后，可以為這些系統(tǒng)軟件增加新的功能特性，修復(fù)無意中造成系統(tǒng)性能和可操作性問題的代碼，還可以修補(bǔ)潛在的可被攻擊者篡改利用的各種信息安全漏洞。此外，缺少適當(dāng)?shù)难a(bǔ)丁會(huì)帶來眾多網(wǎng)絡(luò)安全問題，包括數(shù)據(jù)盜竊、丟失以及DDoS攻擊等。

　　補(bǔ)丁管理策略需要哪些環(huán)節(jié)？

　　有效的補(bǔ)丁管理策略應(yīng)明確企業(yè)中的哪些系統(tǒng)需要打補(bǔ)丁、為何打補(bǔ)丁、怎么打補(bǔ)丁。與這些系統(tǒng)相關(guān)的所有工作人員在打補(bǔ)丁的過程中要嚴(yán)格遵循制定好的補(bǔ)丁管理策略，否則會(huì)出現(xiàn)許多問題，從而影響IT/OT系統(tǒng)的可用性。

　　圖1. 完整的補(bǔ)丁管理策略流程

　　為IT/OT系統(tǒng)打補(bǔ)丁是一個(gè)生命周期管理過程，該流程的速度取決于相關(guān)系統(tǒng)本身以及該補(bǔ)丁對(duì)公司業(yè)務(wù)的潛在影響。該補(bǔ)丁在系統(tǒng)性能、可用性或安全方面的影響越大，打補(bǔ)丁的速度就必須越快，補(bǔ)丁管理策略大體包括以下幾個(gè)環(huán)節(jié)：

　　識(shí)別系統(tǒng)：在執(zhí)行策略方案前，企業(yè)首先要清點(diǎn)整個(gè)企業(yè)網(wǎng)絡(luò)，以識(shí)別可以打補(bǔ)丁且應(yīng)該打補(bǔ)丁的所有技術(shù)組件，并對(duì)這些系統(tǒng)和應(yīng)用軟件進(jìn)行分類。

　　收集補(bǔ)丁信息：清點(diǎn)補(bǔ)丁策略涵蓋的IT系統(tǒng)有助于確定何時(shí)需要對(duì)補(bǔ)丁進(jìn)行更新、在何處查找和下載補(bǔ)丁。這個(gè)環(huán)節(jié)會(huì)包含許多子流程和工具，比如使用安全漏洞掃描、計(jì)劃的補(bǔ)丁管理審計(jì)、廠商補(bǔ)丁通知公告，以及分析錯(cuò)誤、功能或漏洞帶來的影響。

　　確定補(bǔ)丁優(yōu)先級(jí)：收集信息后，應(yīng)先根據(jù)企業(yè)面臨的風(fēng)險(xiǎn)反饋報(bào)告，確定軟件和固件補(bǔ)丁的優(yōu)先級(jí)，并安排部署時(shí)間。比如說，旨在修復(fù)嚴(yán)重漏洞的補(bǔ)丁具有更高的優(yōu)先級(jí)，需要比修復(fù)非嚴(yán)重漏洞或改進(jìn)功能的補(bǔ)丁更快地部署。

　　請(qǐng)求和批準(zhǔn)補(bǔ)?。贺?fù)責(zé)打補(bǔ)丁的人員在實(shí)施打補(bǔ)丁的工作流程時(shí)需要按環(huán)節(jié)更新軟件請(qǐng)求維護(hù)窗口，這個(gè)環(huán)節(jié)需要嚴(yán)格遵循具體的部署要求。

　　部署補(bǔ)?。翰渴鹧a(bǔ)丁的工作將在指定的維護(hù)窗口時(shí)間內(nèi)，逐步完成補(bǔ)丁請(qǐng)求和批準(zhǔn)環(huán)節(jié)中概述的軟件更新。

　　監(jiān)控補(bǔ)丁結(jié)果：無論補(bǔ)丁大小，補(bǔ)丁完成后都必須及時(shí)監(jiān)控更新后的系統(tǒng)和應(yīng)用軟件，以驗(yàn)證補(bǔ)丁是否修復(fù)了特定問題，或者是否存在意外的負(fù)面影響，以免危害業(yè)務(wù)運(yùn)營。一旦出現(xiàn)了嚴(yán)重的負(fù)面問題，就需要將執(zhí)行補(bǔ)丁請(qǐng)求和批準(zhǔn)環(huán)節(jié)中概述的回滾步驟，以恢復(fù)更改。

　　記載補(bǔ)丁結(jié)果：無論補(bǔ)丁是否成功，都要將這些流程完整地記入系統(tǒng)更新日志，并附上有關(guān)補(bǔ)丁安裝結(jié)果的信息，以及該補(bǔ)丁所涉及的所有建議或注意事項(xiàng)，這些信息有助于簡(jiǎn)化將來的系統(tǒng)更新。

　　圖2.衡量企業(yè)補(bǔ)丁管理策略整體成效的關(guān)鍵績(jī)效指標(biāo)

　　制定補(bǔ)丁管理策略的正確步驟

　　企業(yè)在制定補(bǔ)丁管理策略時(shí)，應(yīng)采取以下步驟：

　　1. 制定對(duì)軟件和系統(tǒng)設(shè)備進(jìn)行識(shí)別、分類的流程方案；

　　2. 確定為各類別軟件、設(shè)備打補(bǔ)丁的負(fù)責(zé)人；

　　3. 記載如何使用工具、流程和外部資源，以查找相關(guān)漏洞、錯(cuò)誤和功能更新；

　　4. 制定一份補(bǔ)丁更改請(qǐng)求模板以及批準(zhǔn)流程和回滾程序；

　　5. 擬定各系統(tǒng)進(jìn)行補(bǔ)丁工作的生命周期時(shí)間表，為保證各業(yè)務(wù)的正常進(jìn)行和企業(yè)的網(wǎng)絡(luò)安全，必須按照時(shí)間表迅速的進(jìn)行補(bǔ)丁部署；

　　6. 制定一套監(jiān)測(cè)流程，以監(jiān)控補(bǔ)丁結(jié)果以及哪些負(fù)面影響會(huì)觸發(fā)回滾；

　　7. 制定補(bǔ)丁結(jié)果文檔模板，以便在每個(gè)補(bǔ)丁維護(hù)窗口后使用。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<