WINDOWS補丁管理實施細則

1、WINDOWS 補丁管理實施細則1 目的 規(guī)范補丁管理流程，減少安全漏洞，使計算機免予遭受利用漏洞的各種惡意 攻擊，盡最大限度的保證計算機安全、穩(wěn)定的運行。2 范圍適用于 XXXXXXX 公司及其分公司等分支機構。以下簡稱公司。本文檔補丁是指微軟 WINDOWS 操作系統(tǒng)補丁。3 定義3.1 術語定義1. 緩沖區(qū)溢出：程序中未經(jīng)檢查的緩沖區(qū)，可以用新數(shù)據(jù)覆蓋程序代 碼。如果新的可執(zhí)行代碼覆蓋了程序代碼，結果就會如攻擊者指示的 那樣更改程序的操作。2. 權限提高：某些環(huán)境下允許用戶或攻擊者獲得更高的權限。3. 驗證缺陷：允許錯誤數(shù)據(jù)產(chǎn)生不可預料的結果。3.1.2 補丁定義1. 安全修補程序 (S

2、ecurity patch)： 為特定產(chǎn)品廣泛發(fā)布的修補程序，針 對的是某一個安全漏洞。安全修補程序通常描述為有一定的嚴重度， 實際上就是此安全修補 程序針對的漏洞的 MSRC 嚴重程度等級。2. 重要更新(Critical update):為特定問題廣泛發(fā)布的修補程序，針對的 是重的、與安全無關的缺陷。3. 更新(Update)：為特定問題廣泛發(fā)布的修補程序，針對的是不重要 的、與安全無 關的缺陷。4. 修補程序 (Hotfix ) ：由一個或多個文件組成的單個程序包，用來解決 產(chǎn)品中的問題。 修補程序針對的是特定的客戶環(huán)境，僅通過與Microsoft 的支持 關系才可用。如果沒有 Micr

3、osoft 的書面合法許可， 就不能在客戶組織外部分發(fā)。在過去，術語 QFE (快速修補工程更 新)、補 丁和更新都用作修補程序的同義詞。5. 更新匯總(Update Rollup)：安全修補程序、重要更新、更新和修補程 序的集合，可以作為累積更新進行發(fā)布，或定位于單個產(chǎn)品組件，如 Microsoft Internet Information Services (IIS) 或 Microsoft Internet Explorer。 這是為了更容易地部署多個軟件更新。6. Service Pack：從產(chǎn)品發(fā)布至今，累積的一系列修補程序、安全修補 程序、重要更新和更新，包括許多已經(jīng)解決，但還沒有

4、通過任何其他 軟件更新使之可用的問題。Service Pack也可能包含少量客戶需求的設 計更改或功能。Microsoft在分發(fā)和測試Service Pack時比任何其他軟 件更新更廣泛。7. 集成的 Service Pack (integrated service pack：)與 Service Pack組合在 一個程序包中。8. 功能包(Feature pack)：產(chǎn)品發(fā)布的新功能，可以用來添加功能。通 常在下一次發(fā)布時集 成到產(chǎn)品中。3.2 人員和職責定義1. 補丁管理員：補丁收集，補丁檢查，服務器操作系統(tǒng)級別補丁測試。2信息安全工程師：整個補丁流程的 OWNER，跟蹤和監(jiān)視整個補丁管

5、理流程的執(zhí)行情況。3. 信息安全主管：審核和檢查補丁測試報告，負責審批流程的審核工 作。4. IT總監(jiān)：審核和檢查補丁測試報告，負責審批流程的審核工作。5. IT基礎架構部：負責測試環(huán)境的搭建， WINDOWS平臺補丁安裝，負責平臺級以及數(shù)據(jù)庫/中間件/WEBSERVER級的測試。6.操作系統(tǒng)管理員：WINDOWS平臺補丁安裝，負責平臺級以及數(shù)據(jù)庫/中間件/WEBSERVER級的測試。7. 應用系統(tǒng)管理員：負責 WINDOWS平臺補丁安裝后的應用系統(tǒng)測試工4流程4.1補丁收集1. 補丁管理員獲取的補丁信息必須遵循是最新且合法的；2. 可以通過微軟的補丁發(fā)布通告（每月第二個星期星期二）；3. 趨

6、勢科技每周/每月/每季威脅預警；4. 國家互聯(lián)網(wǎng)應急中心安全通告。5. 補丁管理員在提出補丁更新通知時，必須要進行補丁分析，進而確 定補丁的嚴重等級。4.2補丁測試6. 補丁測試環(huán)境要最大限度地模擬目標平臺。此環(huán)境由操作系統(tǒng)管理 員和應用系統(tǒng)管理員準備。但要確保測試環(huán)境與正式生產(chǎn)環(huán)境的一 致性、可用性。7. 了解安全補丁中的文件、功能函數(shù)和操作。為確保所有的用戶組（比如服務器管理員組）都充分地理解安裝補丁所造成的影響，負 責補丁管理的人員應了解以下問題：需要了解信息詳細信息補丁解決的問題受影響的系統(tǒng)受影響的文件是否需要重啟系統(tǒng)是否需要重啟應用是否能進行卸載安裝失敗的回退方案以上問題及其解答，與

7、所計劃發(fā)布的補丁的細節(jié)應記錄在案。這將為組織留下了安裝補丁的原因、時間、地點的審記記錄8.進行相關的安全性測試后要出具詳細的測試記錄和測試報告4.3補丁發(fā)布9. 發(fā)布過程中由操作系統(tǒng)管理員先進行補丁安裝，并進行數(shù)據(jù)庫、中 間件、WEBSERVER的測試，安裝完成后，由應用系統(tǒng)管理員進行 應用系統(tǒng)的測試。10. 系統(tǒng)管理員要根據(jù)補丁級別記錄制定補丁分發(fā)計劃，分批安裝，遵循原則是優(yōu)先級高的補丁、資產(chǎn)價值大的系統(tǒng)優(yōu)先安裝，確定順序后，組織相關人員進行補丁安裝。11. 補丁發(fā)布過程中疑難問題的解決一定要有詳細的記錄，做到及時 與領導通報和反饋。在在在在在在在在在在在 在在在在在在在 在在在在在在在在在

8、千在在4.4補丁檢查12. 補丁安裝完成以后要通過補丁管理工具進行檢查，形成補丁清單 列表，總結出公司內部系統(tǒng)目前的補丁安裝情況。4.5補丁更新管理規(guī)范1.補丁管理員對補丁測試報告等文檔中描述內容必須真實準確。2. 操作系統(tǒng)管理員和應用系統(tǒng)管理員對補丁測試報告等文檔中描述內 容必須真實準確。3. 補丁管理員、操作系統(tǒng)管理員、應用系統(tǒng)管理員對于補丁更新所有 工作要整理維護形成工作性的文檔，以便存檔。4. 補丁管理員要做到良好的補丁信息收集，每周至少一次關注微軟安 全響應中心和趨勢安全威脅預警。5. 桌面端補丁測試環(huán)境的搭建由補丁管理員根據(jù)最新的標準SOE環(huán)境完成。服務器端補丁測試環(huán)境中系統(tǒng)環(huán)境搭

9、建由補丁管理員完成，帶 有應用的系統(tǒng)測試環(huán)境由IT基礎架構提供，操作系統(tǒng)管理員和應用 系統(tǒng)管理員共同完成測試。6. 補丁測試要按照補丁測試流程圖進行安全性、兼容性、穩(wěn)定性測 試。補丁測試報告要詳盡真實。7. 補丁測試完成后，補丁管理員要對信息安全工程師提出補丁安裝申請，信息安全工程師向信息安全主管匯報，信息安全主管向IT總監(jiān)匯報，然后補丁安裝命令下達到IT基礎架構部，IT基礎架構對補丁進 行判斷，如果為危急補丁，則直接安裝；如果為常規(guī)補丁剛進入常 規(guī)補丁安裝流程。8. 補丁管理工具包括但是不限于WSUS、kBox、GPO、其他工具等。 操作系統(tǒng)管理員對補丁管理工具一定要運用熟練，確保補丁安裝順

10、 利高效進行。9. 補丁發(fā)布時參照 “補丁評級表 ”根據(jù)優(yōu)先級進行安裝，并根據(jù) “安裝率 參考值 ”制定出合理的補丁發(fā)布計劃。補丁管理員記錄補丁發(fā)布階段 發(fā)布情況。10. 操作系統(tǒng)管理員和應用系統(tǒng)管理員對于服務器平臺的補丁發(fā)布一 定要制定完善的應急計劃，包括系統(tǒng)備份、應用切換、補丁發(fā)布時 間控制、補丁卸載和回退。沒有應急計劃，不可以直接進行補丁安11. 對于大規(guī)模的補丁發(fā)布，系統(tǒng)管理員和補丁管理員應提前告知操 作系統(tǒng)廠商和應用系統(tǒng)廠商，以備應急情況下的廠商支持。12. 補丁發(fā)布完成后，由系統(tǒng)管理員利用補丁管理工具進行補丁檢 查，觀察系統(tǒng)的運行狀況，同時統(tǒng)計補丁安裝清單。13. 系統(tǒng)管理員根據(jù)補

11、丁安裝清單，對比 “補丁評級表 ”中的“安裝率參 考值”。針對未完成安裝的機器提出應對措施。包括手動上門安裝， 機器環(huán)境檢查等。5附錄5.1流程圖的 程 流 B.補丁管理員通等集 發(fā)HTW 側MI命 M岳途P系硏報 礎試4師程工 全安息信T111.、不艮 g扌 衛(wèi)試4科艮廠4全安管 息主 信仃告 邛報 靜試IT+記 登 備V I * A藍a總-一.V-、不艮 Hu L7J 理試 曰寸、1h記登1備-彳_ 亠Si 鼻員理管統(tǒng)系作操常蓼WC丁中中據(jù)恆-TfP員理 管統(tǒng)系用應1r7又 扌 呼補-r 二( J一 nowner,跟蹤整個補丁管理流程的執(zhí)行情況）補丁測試階段、補丁發(fā)布階段、補丁檢查階段X*

12、4*: .補丁檢查11Vkit1i卜丁測得到補丁測告二試報告二安裝結果反饋|V1d1I1I1A!l!VI1h!lr1iI.危急補丁IIi!rVift11rV1 1 !V it1IK1rfi*補丁安裝補丁安裝11 111 |1! !5.2補丁評級表（公式 安裝率參考值”=安裝補丁的在線客戶端數(shù)量/在線客戶端總數(shù)*100%）優(yōu)先級表示優(yōu)先 級的顏色標準推薦操作最遲操作響應時間安裝率 參考值響應時間安裝率 參考值1危急 (Emergency)易受攻擊，攻擊已岀現(xiàn)，其他組織 正在受到該問題的影響6-12小時之內95%12-18小間之內100%2關鍵(Critical)易受攻擊，但未發(fā)現(xiàn)漏洞利用48小時之內95%1周之內100%3緊急(Urgen