前两天,一位朋友问系统漏洞补丁管理的问题:“单位通过桌面管理推送系统补丁的时候,时不时出现各种异常,比如蓝屏和不断重启。领导让我们在更新补丁前先测试一遍,可是终端操作系统没有统一,设备又特别多,工作量太大了,有什么好思路吗?”
我反问了他一句:“时不时出现蓝屏和不断重启,你们尝试了其他办法吗?”
他说,因为蓝屏和不断重启的问题,他们打补丁不是简单推送,而是采取了以下步骤:
- 首先重点放在高危和通报的漏洞上,这些漏洞直接批量推送到普通终端进行更新。
- 其次服务器单独成组,通知业务人员做好备份,再分不同类型处理修复高危漏洞。其中:
- 非重要服务器,按照不同操作系统,测试后再批量更新补丁。
- 重要的生产服务器,逐台测试,接着再逐台更新补丁。
他们的方法让我想到,虽然信息安全工作一直强调体系化的管理思维,可是很多管理人员问题仍然习惯于用单一技术来解决问题,忽略了管理的重要性,很容易陷入“唯技术论”的怪圈。
从信息安全的角度来说,一个补丁是否是必要的,取决于补丁背后的漏洞对系统的影响,以及网络环境可能遭受的威胁两方面因素。安全与否和更新补丁并没有绝对的因果关系,哪些补丁要打、哪些不需要打应该是根据风险评估来决定。
最简单的方法是根据需求划分不同的安全域,针对不同的安全级别进行分级管理。例如:
- 内网服务器的风险级别稍低,补丁修复的宽容度可以高一些,允许部分蓝屏或反复重启的服务器带漏洞运行。同时采取安全措施降低威胁程度,比如,只开放指定IP和端口的访问授权、针对性的做好隔离和管控措施、登记备案等。
- 边界服务服务器的风险级别较高,必须要严格对待,不能修复漏洞的无论如何也不允许上线。
通过这种清晰化的管理边界和分级,既避免了“一刀切”的问题,也更有针对性,容易得到领导和业务部门的接受和认可。
我更想说的是:信息安全工作没有“银弹”,用最小的投入来最大限度的降低安全风险、达到合理预期,同时还得到领导和业务部门支持和认可,这才是信息安全工作存在的意义。
网友评论