产品中心

本文摘自CISSP官方学习指南第八版

在安全环境下部署系统是一个良好开端。不过，让系统保持相同的安全级别也非常重要。变更管理可减少因未经授权修改导致的意外中断。

变更管理的主要目标是保证变更不会导致意外中断。变更管理流程确保相应人员在变更实施前对变更进行审核和批准，确保有人对变更进行测试和记录。

未经授权变更可能直接影响CIA三元组中的A，即可用性。变更管理流程使得各方IT专家有机会在技术人员实施更改前审查提出的更改，考虑变更可能带来的意外副作用。在生产环境实施变更前，变更管理流程使管理员有时间在受控环境中检查变更。

1.0 安全影响分析

变更管理流程帮助员工执行安全影响分析。在生产环境中实施变更之前，专家会评估变更，从而识别所有的安全影响。

变更管理控制提供一种流程，实现控制、记录、跟踪和审计所有系统变更。这涵盖对系统任何方面的变更，包括硬件和软件配置。组织需要在所有系统的生命周期中实施变更管理流程。

变更管理流程的常见步骤如下：

请求变更。审核变更。 - 组织内专家会审核变更。批准/拒绝变更测试变更安排并实施变更记录变更

可能存在需要实施紧急变更的情况。这种情况下，管理员仍需要记录变更。这么做使确保变更审核委员可以审查变更，以便发现潜在问题。此外，记录紧急变更可确保受影响的系统在需要重建时能够包含新的配置。

在执行更改管理流程时，会为系统的所有变更创建文档。

变更管理控制是ISO通用标准中一些安全保障要求（Security Assurance Requirement，SAR）的强制性内容。

2.0 版本控制

版本控制通常指软件配置管理所使用的版本控制。

3.0 配置文档

配置文档明确了系统的当前配置。它明确了哪些人负责系统，明确了系统的目的，并列举了基线之后的所有变更。

补丁管理和漏洞减少

补丁管理和漏洞管理过程协同工作，帮助保护组织防御新出现的威胁。

1.0 系统管理

补丁和漏洞管理不仅适用于工作站和服务器，也适用于运行操作系统的所有计算设备。诸如路由器、交换机、防火墙、打印机等网络基础设施设备。

2.0 补丁管理

补丁是纠正程序缺陷及漏洞或提高现有软件性能的所有代码类型的总称。在安全方面，管理员主要关注修复系统漏洞的安全补丁。

有效的补丁管理程序可以确保系统的当前补丁更新至最新。有效的补丁管理计划包含常见步骤：

评估补丁：当供应商公布或发布补丁时，管理员会对补丁进行评估，确定其是否适用于自己维护的系统。测试补丁：管理员应尽可能在隔离的非生产系统上测试补丁，确定补丁是否导致任何不必要的副作用。最糟糕的情况是安装补丁之后系统将无法再启动。审批补丁：管理员测试补丁，并确认补丁时安全的，接下来便批准补丁的部署。通常变更管理流程会作为审批流程的一部分。部署补丁：经过测试和审批，管理员可以着手部署补丁。验证补丁已完成部署：部署补丁后，管理员会定期测试和审计系统，确保系统已保持更新状态。

3.0 漏洞管理

漏洞管理是指定期识别漏洞、评估漏洞并采取措施减轻相关的风险。消除风险时不可能的。同样，也不可能消灭所有漏洞。

漏洞扫描

漏洞扫描器时测试系统和网络是否存在已知安全问题的软件工具。

漏洞评估

漏洞评估通常包含漏洞扫描的结果，但漏洞评估会做更多工作。

漏洞评估通常作为风险分析或风险评估的一部分执行，识别系统再某个时间点的漏洞。

4.0 常见的漏洞和风险

漏洞通常使用“通用漏洞和批露”（CVE）字典来标识。