WINDOWS補(bǔ)丁管理實(shí)施細(xì)則

1、windoWST管理實(shí)施細(xì)則i目的規(guī)范補(bǔ)丁管理流程，減少安全漏洞，使計(jì)算機(jī)免予遭受利用漏洞的各種惡意攻擊，盡最大限度的保證計(jì)算機(jī)安全、穩(wěn)定的運(yùn)行。2范圍適用于XXXXXX公司及其分公司等分支機(jī)構(gòu)。以下簡(jiǎn)稱(chēng)公司。本文檔補(bǔ)丁是指微軟WINDOWS乍系統(tǒng)補(bǔ)丁。3定義3.1術(shù)語(yǔ)定義漏洞定義緩沖區(qū)溢出：程序中未經(jīng)檢查的緩沖區(qū)，可以用新數(shù)據(jù)覆蓋程序代碼。如果新的可執(zhí)行代碼覆蓋了程序代碼，結(jié)果就會(huì)如攻擊者指示的那樣更改程序的操作。1. 權(quán)限提高：某些環(huán)境下允許用戶(hù)或攻擊者獲得更高的權(quán)限。2. 驗(yàn)證缺陷：允許錯(cuò)誤數(shù)據(jù)產(chǎn)生不可預(yù)料的結(jié)果。補(bǔ)丁定義安全修補(bǔ)程序(Securitypatch):為特定產(chǎn)品廣泛發(fā)布的修

2、補(bǔ)程序，針對(duì)的是某一個(gè)安全漏洞。安全修補(bǔ)程序通常描述為有一定的嚴(yán)重度，實(shí)際上就是此安全修補(bǔ)程序針對(duì)的漏洞的MSRC嚴(yán)重程度等級(jí)。1. 重要更新(Criticalupdate):為特定問(wèn)題廣泛發(fā)布的修補(bǔ)程序，針對(duì)的是重的、與安全無(wú)關(guān)的缺陷。2. 更新(Update):為特定問(wèn)題廣泛發(fā)布的修補(bǔ)程序，針對(duì)的是不重要的、與安全無(wú)關(guān)的缺陷。4修補(bǔ)程序(Hotfix):由一個(gè)或多個(gè)文件組成的單個(gè)程序包，用來(lái)解決產(chǎn)品中的問(wèn)題。修補(bǔ)程序針對(duì)的是特定的客戶(hù)環(huán)境，僅通過(guò)與Microsoft的支持關(guān)系才可用。如果沒(méi)有Microsoft的書(shū)面合法許可，就不能在客戶(hù)組織外部分發(fā)。在過(guò)去，術(shù)語(yǔ)QFE(快速修補(bǔ)工程更新)、

3、補(bǔ)丁和更新都用作修補(bǔ)程序的同義詞。5. 更新匯總(UpdateRollup):安全修補(bǔ)程序、重要更新、更新和修補(bǔ)程序的集合，可以作為累積更新進(jìn)行發(fā)布，或定位于單個(gè)產(chǎn)品組件，如MicrosoftInternetInformationServices(IIS)或MicrosoftInternetExplorer。這是為了更容易地部署多個(gè)軟件更新。6. ServicePack:從產(chǎn)品發(fā)布至今，累積的一系列修補(bǔ)程序、安全修補(bǔ)程序、重要更新和更新，包括許多已經(jīng)解決，但還沒(méi)有通過(guò)任何其他軟件更新使之可用的問(wèn)題。ServicePack也可能包含少量客戶(hù)需求的設(shè)計(jì)更改或功能。Microsoft在分發(fā)和測(cè)試Se

4、rvicePack時(shí)比任何其他軟件更新更廣泛。7. 集成的ServicePack(integratedservicepack):與ServicePack組合在一個(gè)程序包中。8. 功能包(Featurepack):產(chǎn)品發(fā)布的新功能，可以用來(lái)添加功能。通常在下一次發(fā)布時(shí)集成到產(chǎn)品中。3.2人員和職責(zé)定義補(bǔ)丁管理員：補(bǔ)丁收集，補(bǔ)丁檢查，服務(wù)器操作系統(tǒng)級(jí)別補(bǔ)丁測(cè)試。2信息安全工程師：整個(gè)補(bǔ)丁流程的OWNERW蹤和監(jiān)視整個(gè)補(bǔ)丁管理流程的執(zhí)行情況。3信息安全主管：審核和檢查補(bǔ)丁測(cè)試報(bào)告，負(fù)責(zé)審批流程的審核工IT總監(jiān)：審核和檢查補(bǔ)丁測(cè)試報(bào)告，負(fù)責(zé)審批流程的審核工作。3. IT基礎(chǔ)架構(gòu)部：負(fù)責(zé)測(cè)試環(huán)境的搭建，

5、WINDOWS臺(tái)補(bǔ)丁安裝，負(fù)責(zé)平臺(tái)級(jí)以及數(shù)據(jù)庫(kù)/中間件/WEBSERVER測(cè)試。4. 操作系統(tǒng)管理員：WINDOWS臺(tái)補(bǔ)丁安裝，負(fù)責(zé)平臺(tái)級(jí)以及數(shù)據(jù)庫(kù)/中間件/WEBSERVER的測(cè)試。5. 應(yīng)用系統(tǒng)管理員：負(fù)責(zé)WINDOWS補(bǔ)丁安裝后的應(yīng)用系統(tǒng)測(cè)試工作。4流程4.1補(bǔ)丁收集1. 補(bǔ)丁管理員獲取的補(bǔ)丁信息必須遵循是最新且合法的；可以通過(guò)微軟的補(bǔ)丁發(fā)布通告（每月第二個(gè)星期星期二）；2. 趨勢(shì)科技每周/每月/每季威脅預(yù)警；國(guó)家互聯(lián)網(wǎng)應(yīng)急中心安全通告。3. 補(bǔ)丁管理員在提出補(bǔ)丁更新通知時(shí)，必須要進(jìn)行補(bǔ)丁分析，進(jìn)而確定補(bǔ)丁的嚴(yán)重等級(jí)。4.2補(bǔ)丁測(cè)試補(bǔ)丁測(cè)試環(huán)境要最大限度地模擬目標(biāo)平臺(tái)。此環(huán)境由操作系統(tǒng)管

6、理員和應(yīng)用系統(tǒng)管理員準(zhǔn)備。但要確保測(cè)試環(huán)境與正式生產(chǎn)環(huán)境的一致性、可用性。4. 了解安全補(bǔ)丁中的文件、功能函數(shù)和操作。為確保所有的用戶(hù)組（比如服務(wù)器管理員組）都充分地理解安裝補(bǔ)丁所造成的影響，負(fù)責(zé)補(bǔ)丁管理的人員應(yīng)了解以下問(wèn)題：需要了解信息詳細(xì)信息補(bǔ)解決的問(wèn)題受影響的系統(tǒng)受影響的文件是否需要重啟系統(tǒng)是否需要重啟應(yīng)用是否能進(jìn)行卸載安裝失敗的回退方案以上問(wèn)題及其解答，與所計(jì)劃發(fā)布的補(bǔ)丁的細(xì)節(jié)應(yīng)記錄在案。這將為組織留下了安裝補(bǔ)丁的原因、時(shí)間、地點(diǎn)的審記記錄。8.進(jìn)行相關(guān)的安全性測(cè)試后要出具詳細(xì)的測(cè)試記錄和測(cè)試報(bào)告4.3補(bǔ)丁發(fā)布9. 發(fā)布過(guò)程中由操作系統(tǒng)管理員先進(jìn)行補(bǔ)丁安裝，并進(jìn)行數(shù)據(jù)庫(kù)、中間件、WEB

7、SERV的測(cè)試，安裝完成后，由應(yīng)用系統(tǒng)管理員進(jìn)行應(yīng)用系統(tǒng)的測(cè)試。10. 系統(tǒng)管理員要根據(jù)補(bǔ)丁級(jí)別記錄制定補(bǔ)丁分發(fā)計(jì)劃，分批安裝，遵循原則是優(yōu)先級(jí)高的補(bǔ)丁、資產(chǎn)價(jià)值大的系統(tǒng)優(yōu)先安裝，確定順序后，組織相關(guān)人員進(jìn)行補(bǔ)丁安裝。11. 補(bǔ)丁發(fā)布過(guò)程中疑難問(wèn)題的解決一定要有詳細(xì)的記錄，做到及時(shí)與領(lǐng)導(dǎo)通報(bào)和反饋在在在在在在在在在在在在在在在在在在在在在在在在在在在在在奉在在YA4.4補(bǔ)丁檢查12. 補(bǔ)丁安裝完成以后要通過(guò)補(bǔ)丁管理工具進(jìn)行檢查，形成補(bǔ)丁清單列表，總結(jié)出公司內(nèi)部系統(tǒng)目前的補(bǔ)丁安裝情況。4.5補(bǔ)丁更新管理規(guī)范1.補(bǔ)丁管理員對(duì)補(bǔ)丁測(cè)試報(bào)告等文檔中描述內(nèi)容必須真實(shí)準(zhǔn)確。1. 操作系統(tǒng)管理員和應(yīng)用系統(tǒng)管

8、理員對(duì)補(bǔ)丁測(cè)試報(bào)告等文檔中描述內(nèi)容必須真實(shí)準(zhǔn)確。2. 補(bǔ)丁管理員、操作系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員對(duì)于補(bǔ)丁更新所有工作要整理維護(hù)形成工作性的文檔，以便存檔。3. 補(bǔ)丁管理員要做到良好的補(bǔ)丁信息收集，每周至少一次關(guān)注微軟安全響應(yīng)中心和趨勢(shì)安全威脅預(yù)警。4. 桌面端補(bǔ)丁測(cè)試環(huán)境的搭建由補(bǔ)丁管理員根據(jù)最新的標(biāo)準(zhǔn)SO環(huán)境完成。服務(wù)器端補(bǔ)丁測(cè)試環(huán)境中系統(tǒng)環(huán)境搭建由補(bǔ)丁管理員完成，帶有應(yīng)用的系統(tǒng)測(cè)試環(huán)境由IT基礎(chǔ)架構(gòu)提供，操作系統(tǒng)管理員和應(yīng)用系統(tǒng)管理員共同完成測(cè)試。5. 補(bǔ)丁測(cè)試要按照補(bǔ)丁測(cè)試流程圖進(jìn)行安全性、兼容性、穩(wěn)定性測(cè)試。補(bǔ)丁測(cè)試報(bào)告要詳盡真實(shí)。6. 補(bǔ)丁測(cè)試完成后，補(bǔ)丁管理員要對(duì)信息安全工程師提出

9、補(bǔ)丁安裝申請(qǐng)，信息安全工程師向信息安全主管匯報(bào)，信息安全主管向IT總監(jiān)匯報(bào)，然后補(bǔ)丁安裝命令下達(dá)到IT基礎(chǔ)架構(gòu)部，IT基礎(chǔ)架構(gòu)對(duì)補(bǔ)丁進(jìn)行判斷，如果為危急補(bǔ)丁，則直接安裝；如果為常規(guī)補(bǔ)丁剛進(jìn)入常規(guī)補(bǔ)丁安裝流程。7. 補(bǔ)丁管理工具包括但是不限于WSUSkBox、GPO其他工具等。操作系統(tǒng)管理員對(duì)補(bǔ)丁管理工具一定要運(yùn)用熟練，確保補(bǔ)丁安裝順利高效進(jìn)行。8. 補(bǔ)丁發(fā)布時(shí)參照“補(bǔ)丁評(píng)級(jí)表”根據(jù)優(yōu)先級(jí)進(jìn)行安裝，并根據(jù)“安裝率參考值”制定出合理的補(bǔ)丁發(fā)布計(jì)劃。補(bǔ)丁管理員記錄補(bǔ)丁發(fā)布階段發(fā)布情況。9. 操作系統(tǒng)管理員和應(yīng)用系統(tǒng)管理員對(duì)于服務(wù)器平臺(tái)的補(bǔ)丁發(fā)布一定要制定完善的應(yīng)急計(jì)劃，包括系統(tǒng)備份、應(yīng)用切換、補(bǔ)丁發(fā)

10、布時(shí)間控制、補(bǔ)丁卸載和回退。沒(méi)有應(yīng)急計(jì)劃，不可以直接進(jìn)行補(bǔ)丁安對(duì)于大規(guī)模的補(bǔ)丁發(fā)布，系統(tǒng)管理員和補(bǔ)丁管理員應(yīng)提前告知操作系統(tǒng)廠(chǎng)商和應(yīng)用系統(tǒng)廠(chǎng)商，以備應(yīng)急情況下的廠(chǎng)商支持。10. 補(bǔ)丁發(fā)布完成后，由系統(tǒng)管理員利用補(bǔ)丁管理工具進(jìn)行補(bǔ)丁檢查，觀(guān)察系統(tǒng)的運(yùn)行狀況，同時(shí)統(tǒng)計(jì)補(bǔ)丁安裝清單。11. 系統(tǒng)管理員根據(jù)補(bǔ)丁安裝清單，對(duì)比“補(bǔ)丁評(píng)級(jí)表”中的“安裝率參考值”。針對(duì)未完成安裝的機(jī)器提出應(yīng)對(duì)措施。包括手動(dòng)上門(mén)安裝，機(jī)器環(huán)境檢查等。5附錄5.1流程圖服務(wù)器補(bǔ)丁管理流程圖（信息安全工程師作為整個(gè)補(bǔ)丁管理流程的owner,跟蹤整個(gè)補(bǔ)丁管理流程的執(zhí)行情況）補(bǔ)丁收集階段補(bǔ)丁測(cè)試階段補(bǔ)丁發(fā)布階段補(bǔ)丁檢查階段補(bǔ)丁管理員

11、通過(guò)微軟補(bǔ)丁發(fā)布通告、趨勢(shì)威脅預(yù)警等途徑進(jìn)行補(bǔ)下收集微軟服務(wù)器操作系統(tǒng)環(huán)境搭建進(jìn)行相關(guān)補(bǔ)丁測(cè)試輸出補(bǔ)丁測(cè)豐試報(bào)告一補(bǔ)丁檢查師程工全安息信'得到補(bǔ)丁測(cè)試報(bào)告一備案登記得到補(bǔ)丁測(cè)試報(bào)告二得到補(bǔ)丁測(cè)試報(bào)告三安裝結(jié)果反饋全安管息主信111得到補(bǔ)測(cè)試報(bào)告一T備案登記得到補(bǔ)丁測(cè)試報(bào)告一卜備案登記立口構(gòu)架礎(chǔ)*TI得到補(bǔ)丁測(cè)試報(bào)告一危急補(bǔ)員理管統(tǒng)系作操平臺(tái)級(jí)、數(shù)據(jù)庫(kù)、中間件、WebServe等補(bǔ)丁測(cè)試補(bǔ)丁測(cè)試報(bào)告二補(bǔ)丁安裝補(bǔ)丁安裝員理管統(tǒng)系用應(yīng)針對(duì)應(yīng)用系統(tǒng)的補(bǔ)丁測(cè)試補(bǔ)丁測(cè)試報(bào)+告三5.2補(bǔ)丁評(píng)級(jí)表（公式“安裝率參考值”=已安裝補(bǔ)丁的在線(xiàn)客戶(hù)端數(shù)量/在線(xiàn)客戶(hù)端總數(shù)*100%）優(yōu)先級(jí)表示優(yōu)先級(jí)的顏色標(biāo)準(zhǔn)推薦操作最遲操作響應(yīng)時(shí)間安裝率參考值響應(yīng)時(shí)間安裝率參考值1危急(Emergency)易受攻擊，攻擊已岀現(xiàn)，其他組織正在受到該問(wèn)題的影響6-12小時(shí)之內(nèi)95%12-18小間之內(nèi)100%2關(guān)鍵(Critical)易受攻擊，但未發(fā)現(xiàn)漏洞利用48小時(shí)之內(nèi)95%1周之內(nèi)100%3緊急(Urgent)已岀現(xiàn)