关于系统漏洞补丁管理的一点看法

前两天，一位朋友问系统漏洞补丁管理的问题：“单位通过桌面管理推送系统补丁的时候，时不时出现各种异常，比如蓝屏和不断重启。领导让我们在更新补丁前先测试一遍，可是终端操作系统没有统一，设备又特别多，工作量太大了，有什么好思路吗？”

我反问了他一句：“时不时出现蓝屏和不断重启，你们尝试了其他办法吗？”

他说，因为蓝屏和不断重启的问题，他们打补丁不是简单推送，而是采取了以下步骤：

• 首先重点放在高危和通报的漏洞上，这些漏洞直接批量推送到普通终端进行更新。
• 其次服务器单独成组，通知业务人员做好备份，再分不同类型处理修复高危漏洞。其中：
  • 非重要服务器，按照不同操作系统，测试后再批量更新补丁。
  • 重要的生产服务器，逐台测试，接着再逐台更新补丁。

他们的方法让我想到，虽然信息安全工作一直强调体系化的管理思维，可是很多管理人员问题仍然习惯于用单一技术来解决问题，忽略了管理的重要性，很容易陷入“唯技术论”的怪圈。

从信息安全的角度来说，一个补丁是否是必要的，取决于补丁背后的漏洞对系统的影响，以及网络环境可能遭受的威胁两方面因素。安全与否和更新补丁并没有绝对的因果关系，哪些补丁要打、哪些不需要打应该是根据风险评估来决定。

最简单的方法是根据需求划分不同的安全域，针对不同的安全级别进行分级管理。例如：

• 内网服务器的风险级别稍低，补丁修复的宽容度可以高一些，允许部分蓝屏或反复重启的服务器带漏洞运行。同时采取安全措施降低威胁程度，比如，只开放指定IP和端口的访问授权、针对性的做好隔离和管控措施、登记备案等。
• 边界服务服务器的风险级别较高，必须要严格对待，不能修复漏洞的无论如何也不允许上线。

通过这种清晰化的管理边界和分级，既避免了“一刀切”的问题，也更有针对性，容易得到领导和业务部门的接受和认可。

我更想说的是：信息安全工作没有“银弹”，用最小的投入来最大限度的降低安全风险、达到合理预期，同时还得到领导和业务部门支持和认可，这才是信息安全工作存在的意义。