本文檔介紹了修復系統軟件漏洞的最佳實踐方法。
在安騎士的系統軟件漏洞功能發現您服務器上的漏洞后,您可參考以下方法對您服務器上的漏洞進行修復,保證漏洞修復工作的有效性和可靠性。
[backcolor=transparent]說明: 本方法適用于服務器上的各類操作系統、網絡設備、數據庫、中間件的漏洞修復工作。
系統軟件漏洞修復方法
不同于普通客戶端上的漏洞修復,服務器上的系統軟件漏洞修復應由具有一定專業知識的人員進行操作。漏洞修復工作的負責人應遵循以下的修復流程:
開始漏洞修復前
修復人員應對目標服務器系統進行資產確認,并通過安騎士對目標服務器系統上的系統漏洞進行確認。關于安騎士對系統軟件漏洞的各項參數說明,請參考系統軟件漏洞各參數說明。
修復人員在對目標服務器的系統漏洞確認后,確定需要修復的系統漏洞列表。并不是所有被發現的系統軟件漏洞都需要第一時間進行修復,請根據實際業務情況、服務器的使用情況、及漏洞修復可能造成的影響判定漏洞是否需要進行修復。
修復人員在模擬測試環境中部署待修復漏洞的相關補丁,從兼容性和安全性方面進行測試,并在測試完成后形成補丁漏洞修復測試報告。漏洞修復測試報告應包含補丁漏洞修復情況、漏洞修復的時長、補丁本身的兼容性、及漏洞修復可能造成的影響。
為了防止出現不可預料的后果,在正式開始漏洞修復前,修復人員應使用備份恢復系統對待修復的業務服務器系統進行備份。例如,通過ECS的快照功能對目標 ECS 實例進行備份。
漏洞修復操作中
在目標服務器部署修復漏洞的相關補丁及進行修復操作時,應至少有兩名修復人員在場(一人負責操作,一人負責記錄),盡量防止可能出現的誤操作。
修復人員按照待修復的系統漏洞列表,逐項進行升級、修復操作。
漏洞修復完成后
修復人員對目標服務器系統上的漏洞修復進行驗證,確保漏洞已修復且目標服務器沒有出現任何異常情況。
修復人員對整個漏洞修復過程進行記錄,形成最終漏洞修復報告,并將相關文檔進行歸檔。
系統軟件漏洞補丁修復風險規避措施
為了防止在系統軟件漏洞修復過程中出現異常情況、防止漏洞修復對目標服務器系統造成損害,保證目標服務器系統在漏洞修復過程中及漏洞修復后出現異常情況下能及時的恢復與運轉,確保目標服務器系統的正常運行、并將異常情況發生的可能性降到最低點,在漏洞修復過程中應采取以下風險規避措施:
[backcolor=transparent]制定漏洞修復方案
漏洞修復負責人應對修復對象(目標服務器)運行的操作系統和應用系統進行調研,并制定合理的漏洞修復方案。漏洞修復方案應通過可行性論證,并得到實際環境的測試驗證支持。漏洞修復實施工作應嚴格按照漏洞修復方案所確定的內容和步驟進行,確保每一個操作步驟都對目標業務服務器系統沒有損害。
[backcolor=transparent]使用模擬測試環境
通過使用模擬測試環境,對漏洞補丁修復方案進行驗證,證明制定的漏洞補丁修復方案對待修復的在線業務系統沒有損害。
[backcolor=transparent]注意: 模擬測試環境要求系統環境(操作系統、數據庫系統)與在線業務系統完全一致,應用系統也與在線業務系統的版本一致,數據建議采用在線業務系統最近一次的全備份數據。
[backcolor=transparent]進行系統備份
對整個業務系統進行完全備份,包括系統、應用軟件和數據。備份完成后,應對系統備份的數據進行有效性恢復驗證。通過系統備份,當發生系統環境異常或數據丟失時,可以及時對系統進行恢復,確保業務穩定。建議使用 ECS 的快照功能對業務系統進行快速、高效的備份。
