WINDOWS補丁管理實施細則

1、 windoWST管理實施細則 i目的 規(guī)范補丁管理流程，減少安全漏洞，使計算機免予遭受利用漏洞的各種惡意 攻擊，盡最大限度的保證計算機安全、穩(wěn)定的運行。 2范圍 適用于XXXXXX公司及其分公司等分支機構(gòu)。以下簡稱公司。 本文檔補丁是指微軟WINDOWS乍系統(tǒng)補丁。 3定義 3.1術(shù)語定義 3.1.1漏洞定義 1. 緩沖區(qū)溢出：程序中未經(jīng)檢查的緩沖區(qū)，可以用新數(shù)據(jù)覆蓋程序代 碼。如果新的可執(zhí)行代碼覆蓋了程序代碼，結(jié)果就會如攻擊者指示的 那樣更改程序的操作。 2. 權(quán)限提高：某些環(huán)境下允許用戶或攻擊者獲得更高的權(quán)限。 3. 驗證缺陷：允許錯誤數(shù)據(jù)產(chǎn)生不可預(yù)料的結(jié)果。 3.1.2補丁定義 1.

2、安全修補程序(Security patch):為特定產(chǎn)品廣泛發(fā)布的修補程 序，針對的是某一個安全漏洞。安全修補程序通常描述為有一定的嚴 重度，實際上就是此安全修補程序針對的漏洞的MSRC嚴重程度等 級。 2. 重要更新(Critical update):為特定問題廣泛發(fā)布的修補程序，針 對的是重的、與安全無關(guān)的缺陷。 3. 更新(Update):為特定問題廣泛發(fā)布的修補程序，針對的是不重要 的、與安全無關(guān)的缺陷。 4修補程序(Hotfix ):由一個或多個文件組成的單個程序包，用來解 決產(chǎn)品中的問題。修補程序針對的是特定的客戶環(huán)境，僅通過與 Microsoft的支持關(guān)系才可用。如果沒有Micr

3、osoft的書面合法許 可，就不能在客 戶組織外部分發(fā)。在過去，術(shù)語 QFE (快速修補工 程更新)、補 丁和更新都用作修補程序的同義詞。 5. 更新匯總(Update Rollup):安全修補程序、重要更新、更新和修補 程序的集合，可以作為累積更新進行發(fā)布，或定位于單個產(chǎn)品組件， 如 Microsoft Internet Information Services (IIS)或 Microsoft In ternet Explorer 。 這是為了更容易地部署多個軟件更 新。 6. Service Pack :從產(chǎn)品發(fā)布至今，累積的一系列修補程序、安全修 補程序、重要更新和更新，包括許多已經(jīng)解

4、決，但還沒有通過任何其 他軟件更新使之可用的問題。Service Pack也可能包含少量客戶需 求的設(shè)計更改或功能。Microsoft 在分發(fā)和測試Service Pack 時比 任何其他軟件更新更廣泛。 7. 集成的 Service Pack (integrated service pack ):與 Service Pack組合在一個程序包中。 8. 功能包(Feature pack):產(chǎn)品發(fā)布的新功能，可以用來添加功能。 通常在下一次發(fā)布時集 成到產(chǎn)品中。 3.2人員和職責(zé)定義 1. 補丁管理員：補丁收集，補丁檢查，服務(wù)器操作系統(tǒng)級別補丁測試。 2信息安全工程師：整個補丁流程的OWNERW

5、蹤和監(jiān)視整個補丁管理 流程的執(zhí)行情況。 3信息安全主管：審核和檢查補丁測試報告，負責(zé)審批流程的審核工 4. IT總監(jiān)：審核和檢查補丁測試報告，負責(zé)審批流程的審核工作。 5. IT基礎(chǔ)架構(gòu)部：負責(zé)測試環(huán)境的搭建， WINDOWS臺補丁安裝，負責(zé) 平臺級以及數(shù)據(jù)庫/中間件/WEBSERVER測試。 6. 操作系統(tǒng)管理員：WINDOWS臺補丁安裝，負責(zé)平臺級以及數(shù)據(jù)庫/中 間件/WEBSERVER的測試。 7. 應(yīng)用系統(tǒng)管理員：負責(zé) WINDOWS補丁安裝后的應(yīng)用系統(tǒng)測試工 作。 4流程 4.1補丁收集 1. 補丁管理員獲取的補丁信息必須遵循是最新且合法的； 2. 可以通過微軟的補丁發(fā)布通告（每月第

6、二個星期星期二）； 3. 趨勢科技每周/每月/每季威脅預(yù)警； 4. 國家互聯(lián)網(wǎng)應(yīng)急中心安全通告。 5. 補丁管理員在提出補丁更新通知時，必須要進行補丁分析，進而確 定補丁的嚴重等級。 4.2補丁測試 6. 補丁測試環(huán)境要最大限度地模擬目標平臺。此環(huán)境由操作系統(tǒng)管理 員和應(yīng)用系統(tǒng)管理員準備。但要確保測試環(huán)境與正式生產(chǎn)環(huán)境的一 致性、可用性。 7. 了解安全補丁中的文件、功能函數(shù)和操作。為確保所有的用戶組 （比如服務(wù)器管理員組）都充分地理解安裝補丁所造成的影響，負 責(zé)補丁管理的人員應(yīng)了解以下問題： 需要了解信息 詳細信息 補解決的問題 受影響的系統(tǒng) 受影響的文件 是否需要重啟系統(tǒng) 是否需要重啟應(yīng)用

7、 是否能進行卸載 安裝失敗的回退方案 以上問題及其解答，與所計劃發(fā)布的補丁的細節(jié)應(yīng)記錄在案。這將為 組織留下了安裝補丁的原因、時間、地點的審記記錄。 8.進行相關(guān)的安全性測試后要出具詳細的測試記錄和測試報告 4.3補丁發(fā)布 9. 發(fā)布過程中由操作系統(tǒng)管理員先進行補丁安裝，并進行數(shù)據(jù)庫、中 間件、WEBSERV的測試，安裝完成后，由應(yīng)用系統(tǒng)管理員進行應(yīng)用 系統(tǒng)的測試。 10. 系統(tǒng)管理員要根據(jù)補丁級別記錄制定補丁分發(fā)計劃，分批安裝， 遵循原則是優(yōu)先級高的補丁、資產(chǎn)價值大的系統(tǒng)優(yōu)先安裝，確定順 序后，組織相關(guān)人員進行補丁安裝。 11. 補丁發(fā)布過程中疑難問題的解決一定要有詳細的記錄，做到及時 與領(lǐng)

8、導(dǎo)通報和反饋 4.4補丁檢查 12.補丁安裝完成以后要通過補丁管理工具進行檢查，形成補丁清單 列表，總結(jié)出公司內(nèi)部系統(tǒng)目前的補丁安裝情況 4.5補丁更新管理規(guī)范 1.補丁管理員對補丁測試報告等文檔中描述內(nèi)容必須真實準確。 2. 操作系統(tǒng)管理員和應(yīng)用系統(tǒng)管理員對補丁測試報告等文檔中描述內(nèi) 容必須真實準確。 3. 補丁管理員、操作系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員對于補丁更新所有 工作要整理維護形成工作性的文檔，以便存檔。 4. 補丁管理員要做到良好的補丁信息收集，每周至少一次關(guān)注微軟安 全響應(yīng)中心和趨勢安全威脅預(yù)警。 5. 桌面端補丁測試環(huán)境的搭建由補丁管理員根據(jù)最新的標準 SO環(huán)境完 成。服務(wù)器端補丁

9、測試環(huán)境中系統(tǒng)環(huán)境搭建由補丁管理員完成，帶 有應(yīng)用的系統(tǒng)測試環(huán)境由IT基礎(chǔ)架構(gòu)提供，操作系統(tǒng)管理員和應(yīng)用 系統(tǒng)管理員共同完成測試。 6. 補丁測試要按照補丁測試流程圖進行安全性、兼容性、穩(wěn)定性測 試。補丁測試報告要詳盡真實。 7. 補丁測試完成后，補丁管理員要對信息安全工程師提出補丁安裝申 請，信息安全工程師向信息安全主管匯報，信息安全主管向IT總監(jiān) 匯報，然后補丁安裝命令下達到IT基礎(chǔ)架構(gòu)部，IT基礎(chǔ)架構(gòu)對補丁 進行判斷，如果為危急補丁，則直接安裝；如果為常規(guī)補丁剛進入 常規(guī)補丁安裝流程。 8. 補丁管理工具包括但是不限于WSUSkBox、GPO其他工具等。操作 系統(tǒng)管理員對補丁管理工具一定

10、要運用熟練，確保補丁安裝順利高 效進行。 9. 補丁發(fā)布時參照“補丁評級表”根據(jù)優(yōu)先級進行安裝，并根據(jù)“安 裝率參考值”制定出合理的補丁發(fā)布計劃。補丁管理員記錄補丁發(fā) 布階段發(fā)布情況。 10. 操作系統(tǒng)管理員和應(yīng)用系統(tǒng)管理員對于服務(wù)器平臺的補丁發(fā)布一 定要制定完善的應(yīng)急計劃，包括系統(tǒng)備份、應(yīng)用切換、補丁發(fā)布時 間控制、補丁卸載和回退。沒有應(yīng)急計劃，不可以直接進行補丁安 11. 對于大規(guī)模的補丁發(fā)布，系統(tǒng)管理員和補丁管理員應(yīng)提前告知操 作系統(tǒng)廠商和應(yīng)用系統(tǒng)廠商，以備應(yīng)急情況下的廠商支持。 12. 補丁發(fā)布完成后，由系統(tǒng)管理員利用補丁管理工具進行補丁檢 查，觀察系統(tǒng)的運行狀況，同時統(tǒng)計補丁安裝清單

11、。 13. 系統(tǒng)管理員根據(jù)補丁安裝清單，對比“補丁評級表”中的“安裝 率參考值”。針對未完成安裝的機器提出應(yīng)對措施。包括手動上門 安裝，機器環(huán)境檢查等。 5附錄 5.1流程圖 補 丁 管 理 員 通過微軟補丁發(fā)布通 告、趨勢威脅預(yù)警等 途徑進行補下收集 微軟服務(wù)器操作 系統(tǒng)環(huán)境搭建 輸出補丁測 進行相關(guān) 補丁測試 U試報告一 L 補丁檢查 師程工 全安息信 得到補丁測 試報告一備案登記 得到補丁測 試報告二 得到補丁測 試報告三 安裝結(jié)果反饋 全 安管 息主 信 得到補測 試報告一 服務(wù)器補丁管理流程圖（信息安全工程師作為整個補丁管理流程的 owner,跟蹤整個補丁管理流程的執(zhí)行情況） 補丁收

12、集階段 補丁測試階段 補丁發(fā)布階段 補丁檢查階段 得到補丁測 試報告一 卜備案登記 監(jiān)fl rp 立口 構(gòu)架礎(chǔ)*TI 員理管統(tǒng)系作操 平臺級、數(shù)據(jù)庫、中 間件、WebServe等 補丁測試 補丁測試報 卜 告二 補丁安裝 補丁安裝 員理 管統(tǒng)系用應(yīng) f11 針對應(yīng)用系統(tǒng) 補丁測試報 的補丁測試 5.2補丁評級表 （公式“安裝率參考值”=已安裝補丁的在線客戶端數(shù)量/在線客戶端總數(shù)*100%） 優(yōu)先級 表示優(yōu)先 級的顏色 標準 推薦操作 最遲操作 響應(yīng)時間 安裝率 參考值 響應(yīng)時間 安裝率 參考值 1危急 (Emergency) 易受攻擊，攻擊已岀現(xiàn)，其他組織 正在受到該問題的影響 6-12小時之內(nèi) 95% 12-18小間之內(nèi) 100% 2關(guān)鍵 (Critical) 易受攻擊，但未發(fā)現(xiàn)漏洞利用 48小時之內(nèi) 95% 1周之內(nèi) 100% 3緊急 (Urgent) 已岀現(xiàn)攻擊技術(shù)，但難以實施 1周之內(nèi) 95