如何形成一种标准化漏洞管理体系
看了大家在论坛里的提问,大致是预防和处理安全漏洞等,安全漏洞让所有人深恶痛绝。在遇到漏洞打补丁,升级版本的问题上,挑战着攻城狮和维护人员的耐心,经常出现进退两难、左右不是。想到这里,咱们论坛里的高人是否可以给出一个标准化流程,遇到这样的问题,大家照着流程走,解放全世界。期待中……
2同行回答
的确。安全漏洞摆在那里。不处理不行,但是升级补丁有风险,升级程序可能有BUG,确实是进退两难
结合我们自身的情况发表一点自己的看法吧。
其实安全规范并没有错。漏洞也确实应该去做。这本没有什么好犹豫的。如今为什么运维人员都对这种本该做的事望而却步。我想原因不外乎几点。
1,行政,管理制度问题,没有人去为可能出现的风险担责。工程师往小了说维护的只是几台设备而已,但往大了说。维护的可能是整个企业的信息命脉。大家都清楚这上面的数据,业务一旦出现问题后果是怎样的。这样大的责任。不是,也不应该完全有运维工程师来承担。
2,缺乏完善,坚固的系统架构,因为系统的容灾,备份能力不足,在没有安全保障的情况下。更新补丁。升级程序无外乎在没有安全带的情况下从高空绳索中走过。相比这种事情大家做过一次便再也不会去冒第二次险了。
3,权衡利弊,以目前的情况分析。维持现状的安全性要高于修补漏洞的安全性。这也是让很多工程师维持现状的原因。
想要形成好的规范。定期修补漏洞,补丁,首先就要有完善的备份,容灾手段,让你的错误可以有其他弥补手段,其次要有高层领导的支持,不能出了问题就由干活的人背黑锅。至于标准化。不仅仅是一套升级补丁的流程,还包括各个方面。申报的备件是否即使购买。申请修改的系统结构是否得到支持,是否有良好的后备技术支持,领导对于安全的重视程度。这些都会决定这安全流程的实施效果。
- 说的好,安全漏洞本该是要做的 ,只是一个字,怕!所以如您所说的标准化才是大家想要的,也是我发贴的初衷!感谢交流