补丁管理需重视测试和回退方案
译自:2016年4月【英国】www.computerweekly.com
编译:工业和信息化部国际经济技术合作中心 李肖
网络系统错综复杂的今天,过时软件和任何IT基础设施都可能给企业带来业务风险,虽然补丁管理在上述风险管控中能起到不少作用,但仍有不少企业,尤其是IT部门,对上述风险谈虎色变。
鉴于网络系统自身具有复杂性和随意性较强的特点,攻击者普遍选择使用“最易渗透原则”,即在系统中最薄弱的地方进行攻击,也就是已知的未被修补的漏洞,而补丁的出现就是为了修补薄弱的环节。
不过,补丁管理不当也常常成为祸害公司网络的罪魁祸首。任何网络系统总有系统补丁、系统更新、安全补丁要需要应用。但不幸的是,你并不总是有充足的时间来评估它们,在攻击者肆虐的时候也很少有足够的时间来分发补丁以修补系统的安全漏洞。本文将为企业有效实施补丁管理提供一些思考。
首先,不管面向什么平台以及是否危险,所有补丁发布必须遵循一个指定过程,整个补丁的部署过程包括风险评估,测试,计划安装时间,正式安装,确认安装。
反复测试
需要注意的是,补丁修复过程也可能带来比未修补之前更多的问题,这使得测试环节至关重要。测试的意义在于,尽量降低打补丁时因管理不善或其他因素带来的任何负面影响的可能性。
另一方面,一旦某个补丁被确定使用,在该操作执行之前,应先在测试系统上运行,确认无误后方可在企业内部大范围铺展。对于不具备足够资源和硬件设施的小微企业,可能不具备精心制作和维护一个完备测试环境的条件,此时可将该补丁部署至一个临时系统,并确保该系统不参与关键业务开展,反复试验后,确保该实验系统未发生不良情况,方可进行大范围操作。同时,该测试结果需在硬件、软件和任何其他系统中有效记录,并获得系统所有权者的批准和认可。
在任何情况下,技术管理部门都须对补丁进行测试(无论是在补丁发布前测试或是一边部署一边测试),并进行相关的记录,以备审核和效果追踪。
最后,必须要强调一点,如果补丁管理策略中不存在测试环节,补丁的加载可能会使系统比风险修复前更为危险。
变更管理和回退管理
推出补丁之前,请确保你具备一个有效的变更管理流程,并保证该变更管理切实有效。与测试环节道理相同,未准备变更管理和适当的回退计划可能带来灾难性后果,补丁一旦出现问题,该影响可能比之前每个预部署阶段都更具挑战性。
另外,打补丁之前,企业必须备份所有重要系统,并针对回退计划的每个步骤和环节,执行回滚彩排。 在网络环境错综复杂的今天,安全漏洞和攻击似乎从一开始就存在,补丁管理可能是一个永无止境的循环。因此,有效的补丁管理策略至关重要。不过,严格执行上述措施,将使该周期将成为一个有序且完善的管理过程。与严格的测试安排相结合,更是对可用资源保护的最好回报。虽然部署全面的补丁管理基础设施需要巨大的成本,但对于处在严格监管行业的企业,补丁管理的好处可能远远超过成本。
对于用户,无论是部门还是个人,必须确保审慎负责地使用计算机和网络资源。因为,对于企业来说,一台客户端存在漏洞,对于整个网络来说都是致命的。任何一个客户端在没有系统更新的情况下,都可能在浏览网页过程中被植入木马。由于内网客户端之间相互频繁的访问,交叉感染将成恐怖的连锁反应,这就有可能造成整个安全防御体系的彻底崩溃。
对于管理员,首先要确保公司网络上所有计算机设备(包括服务器、桌面计算机以及打印机等等)装有正确的病毒防护软件,最新的病毒库,以及打上了最新的系统补丁和安全补丁。其次,厂商发布的漏洞修补信息后,依据这些信息的紧急程度技术发布通知、通告,或提供本地下载。最后,不要恐惧补丁的绝对数量,也不要厌烦补丁管理过程,好的策略和习惯将使整个过程有条不紊,让你“赢在比赛之前”。
- 相关文章
- 2024/04/10工业和信息化部国际经济技术合作中心(中国国际贸易促进委员会电子信息行业分会)2024年度部门预算
- 2018/12/28俄罗斯2018年互联网经济盘点
- 2018/05/18数字经济为中国与中东欧16+1机制开辟新合作领域
- 2018/05/18普京颁布新五月命令, 第四任期经济政策向去原材料化倾斜
- 2018/05/08英国政府发布网络安全出口战略
- 最新文章
- 2024/04/10工业和信息化部国际经济技术合作中心(中国国际贸易促进委员会电子信息行业分会)2024年度部门预算
- 2023/11/072023工业绿色发展成果展圆满落幕
- 2023/11/07中国企业强势回归2023中东电力展
- 2023/11/07中英职业技能与教育交流研讨会在常州武进成功举办
- 2023/05/12中国企业亮相俄罗斯国际电子元器件展