修補程式的管理.pdfVIP

修補程式的管理 2008 年 2 月 © 香港特別行政區政府 這份文件的內容為香港特別行政區政府的財產，未經香港特別行政區政府的明文 批准，不得轉載全部或部份文件內容。 免責聲明：政府盡力確保本文資料準確，但不明示或隱含保證資料準確無誤。對於因使用本文資 料而引致或與之有關的任何錯誤或遺漏，香港特別行政區政府概不承擔任何法律責任。 目錄 摘要 2 I. 趨勢和零日攻擊 （Zero-day attack ） 3 II. 修補程式管理的部署 4 做好準備 4 確認保安漏洞和獲取修補程式（Patch ） 5 評估風險和安排優先次序 6 測試修補程式 7 部署和核實修補程式 7 修補程式的分發和應用工具 7 III. 修補程式管理之管治 9 安全考慮 9 選擇修補程式管理系統解決方案的標準 10 修補程式的管理 第 1 頁 摘要 根據美國電腦保安事故協調中心（CERT/CC ）的資料，每年被發現和報導的軟件保安漏 1 洞多達數千個 。靈活及有效的保安修補程式管理程序已成為維護所有資訊系統安全的 一個關鍵要素。由於被發現的軟件保安漏洞及需要的更新和修補越來越多，系統管理員 必須有系統地控制及管理修補程式。本文提供了一些核心原則和方法 ，作為建立一個有 效率的修補程式管理項目的參考。 1 /stats/vulnerability_remediation.html 修補程式的管理 第 2 頁 I. 趨勢和零日攻擊 （Zero-day attack ） 根據美國電腦保安事故協調中心 （CERT/CC ）的統計數據，每年登載的軟件保安漏洞數 2 量從 1996 年的345 個增加到2006 年的8064 個 。換言之，可識別的軟件保安漏洞在過 去的 10 年已經增加了20 倍以上。 再者，攻擊者現在能夠在更短的時間內，利用新發現的保安漏洞去攻擊目標。由發現軟 件保安漏洞到其相應攻擊出現的時間持續減短。此外，在軟件供應商發放相對應的修補 程式前 ，可利用這些新保安漏洞而進行入侵的工具卻有增加的趨勢。這種情況普遍被稱 為零日攻擊 。 極大部份被報導的保安事故，都是由少數系統和應用程式的保安漏洞被成功入侵而造成 3 的 。為了避免這些已知問題或保安漏洞遭到攻擊，各機構應該確保所有資訊系統管理 員，已把從軟件供應商獲得的最新保安修補程式更新到系統裡 ，亦應定期檢查和更新修 補程式、作業系統和應用程式 ，以保護機構內的資訊系統。修補程式的管理程序應該是 及時且有效的。為了達到此目的，我們應有系統地控制及管理修補程式。 2 /stats/vulnerability_remdiation.html 3 /publications/nistpubs/800-61/sp800-61.pdf 修補程式的管理 第 3 頁 II. 修補程式管理的部署 成功的修補程式管理需要一個強韌和有系統的程序，這個程序，也就是修補程式管理的 的生命周期，包含了一些關鍵的步驟：做好準備、確認保安漏洞和獲取修補程式、評估 風險和安排優先次序、測試修補程式 ，部署和核實修補程式。 做好準備 準備的程序建議如下： 1. 編製及備存一份整個機構（pan-organisational ）的硬件和軟件清單