制定必要的補丁管理手續(xù)和職責(zé)是一件很有技巧的工作，所以你不妨采取下述這些示例策略，應(yīng)該可以符合你公司的需要。

補丁管理不當(dāng)常常是禍害公司網(wǎng)絡(luò)的罪魁禍?zhǔn)住?nbsp; 
 
 
  
因為總是有系統(tǒng)補丁、系統(tǒng)更新、安全補丁要應(yīng)用。不幸的是，你并不總是有充足的時間來評估它們，在攻擊者肆虐的時候也很少有足夠的時間來分發(fā)補丁以修補系統(tǒng)的安全漏洞。

了解了現(xiàn)在的安全狀況，補丁管理顯然勢在必行。因此我們說事先制定一個補丁管理策略，確定必要的步驟和職責(zé)，是很好的一個主意。

通常，我會討論補丁管理策略的一個部件，并仔細檢查這樣的一個策略需要注意的地方，但是這次我想來點不一樣的。不是討論一個策略應(yīng)該涉及的潛在審核，而是來看一個示例策略，你可以用它來適應(yīng)自己公司的需要。

下面是一個公司補丁管理策略的示例，我們就叫它“XYZ網(wǎng)絡(luò)公司”。如果你的公司還不曾制定過補丁管理策略，你可以用這個示例作為你的起點。

目標(biāo)

作為公司信息部門的負責(zé)人，為公司的軟件、職員、生意伙伴和承包商提供一個安全的網(wǎng)絡(luò)環(huán)境是你的職責(zé)所在。作為這個目標(biāo)的一部分，公司應(yīng)該執(zhí)行一個策略，以確保公司網(wǎng)絡(luò)上的所有計算機設(shè)備（包括服務(wù)器，桌面計算機以及打印機等等）裝有正確的病毒防護軟件，最新的病毒庫，以及打上了最新的系統(tǒng)補丁和安全補丁。

網(wǎng)絡(luò)管理員職責(zé)

網(wǎng)絡(luò)管理員（Network Operations ，簡稱NetOps）部門對補丁管理的綜合部署，運行以及過程負責(zé)。保護網(wǎng)絡(luò)安全是每個用戶都義不容辭的工作，而網(wǎng)絡(luò)管理員則是確保全部已知和合理的防御措施就位的專門部門，他們在維持網(wǎng)絡(luò)正常工作的同時，減少網(wǎng)絡(luò)的安全弱點。具體的職責(zé)包括下述這些任務(wù)：

1.監(jiān)控

網(wǎng)絡(luò)管理員負責(zé)監(jiān)控安全郵件列表、查看供貨商的告示和網(wǎng)站，以及查找特定網(wǎng)站上的新補丁發(fā)布信息。監(jiān)控還包括（而不限于）以下這些：

掃描公司網(wǎng)絡(luò)，確認是否存在已知的安全漏洞。

確認并向公司的信息主管、安全主管報告所發(fā)現(xiàn)的安全漏洞、缺陷

監(jiān)控CERT，告示以及所有公司網(wǎng)絡(luò)所涉及的軟硬件供應(yīng)商的網(wǎng)站

2.檢查與評估

一旦有新的補丁發(fā)布，網(wǎng)絡(luò)管理員將在發(fā)布后的4小時內(nèi)下載并檢查該補丁。管理員將根據(jù)下述標(biāo)準(zhǔn)對該補丁進行分類:

緊急-會對公司網(wǎng)絡(luò)造成重大威脅

危險-涉及安全漏洞

正常-正常的補丁發(fā)布

無用-對公司的網(wǎng)絡(luò)沒有作用

不管面向什么平臺以及是否危險，所有的補丁發(fā)布必須遵循一個指定的過程，整個補丁的部署過程包括風(fēng)險評估，測試，計劃安裝時間，正式安裝，確認安裝。

3.風(fēng)險評估與測試

在部署之前，網(wǎng)絡(luò)管理員要對一個補丁在公司的網(wǎng)絡(luò)上實施所產(chǎn)生的效果進行評估。同時，網(wǎng)絡(luò)管理員部門要評估與該補丁相關(guān)的各平臺可能會受到的影響（比如，服務(wù)器，桌面計算機，打印機等等）。

如果管理員將某個補丁標(biāo)記為“緊急”，表明部門認為公司網(wǎng)絡(luò)即將面臨嚴(yán)重的威脅。因此，在沒有部署補丁之前，等待補丁測試期間，公司網(wǎng)絡(luò)將承受巨大風(fēng)險。

無論補丁是否被認定為“危險”級別，都必須在部署前，先進行對相關(guān)平臺的影響測試。對于“危險”的補丁，網(wǎng)絡(luò)管理員會加快測試的進程。管理員的部門必須在補丁部署之前，完成在所有平臺上的評定（比如，Windows，Unix，等等）。

4.告示及時間表

網(wǎng)絡(luò)管理部門領(lǐng)導(dǎo)必須在正式部署前審定具體的時間表。不考慮補丁本身是否屬于“危險”級別，每個補丁在發(fā)布之前必須生成一個技術(shù)更改請求（request for technical change，簡稱RTC），并得到批準(zhǔn)。公司的信息安全主管將決定何時需要向公司職員發(fā)布告示。

5.部署

網(wǎng)絡(luò)管理員將在補丁發(fā)布后8小時內(nèi)部署“緊急”級別的補丁。鑒于網(wǎng)絡(luò)所面臨的重大風(fēng)險，可能一個“緊急”的補丁還在測試當(dāng)中就被發(fā)布了。在所有情況下，部門必須對補丁進行測試（無論是在補丁發(fā)布前測試或是一邊部署一邊測試），并進行相關(guān)的記錄，以備審核和效果追蹤。

下面是一個示例的時間安排，關(guān)于如何發(fā)布重要的補丁：

補丁可用，當(dāng)日 （假設(shè)周一）

測試補丁，不超過補丁可用后1天。 （則為周二）

批準(zhǔn)補丁，不超過補丁可用后3天。 （則為周四）

發(fā)布補丁，不超過補丁可用后5天。 （則為周六）

當(dāng)需要部署“緊急”的補丁時，網(wǎng)絡(luò)管理員將從緊急狀態(tài)RTC以及公司處獲得批準(zhǔn)。而非緊急的補丁，則按照預(yù)先安排的“定期預(yù)防性維護”時間表進行部署。每個補丁都應(yīng)當(dāng)有批準(zhǔn)的RTC。對于新網(wǎng)絡(luò)設(shè)備，每個平臺都須嚴(yán)格遵守事先規(guī)定的進程，確保安裝了所有最新的補丁。

6.審核，評估以及驗證

發(fā)布完畢所有的補丁之后，網(wǎng)絡(luò)管理人員將確認補丁是否成功安裝，以及沒有產(chǎn)生副作用。

用戶責(zé)任以及實踐

這是每個用戶的責(zé)任——無論是公司的部門還是個人——必須確保審慎負責(zé)的使用計算機和網(wǎng)絡(luò)資源。

最后的想法

雖然這個策略很簡單，但是它道出了一個策略應(yīng)該涉及的所有細節(jié)——具體，何人，何故，何時，以及如何做。一旦你制定了你的補丁管理策略，不要讓它成為一紙空文，確保整個公司都會遵循它。