补丁管理
补丁期限
| 严重程度 | CVSS | 期限 | 超期升级 |
|---|---|---|---|
| 关键 | >= 9.0 | 48小时 | 立即报告ISB + 管理层 |
| 高 | 7.0-8.9 | 7天 | 5天后报告ISB |
| 中 | 4.0-6.9 | 30天 | 月度报告 |
| 低 | < 4.0 | 下一个发布周期 | 季度报告 |
补丁流程
标准流程(中/低)
- 通过扫描或CVE监控识别漏洞
- 评估和优先级排序
- 在预发布环境中测试补丁
- 在期限内部署到生产环境
- 验证:扫描确认已修复
紧急流程(关键/高)
- IT运维 + ISB立即评估
- 如补丁暂时不可用,实施临时方案(如WAF规则、网络隔离)
- 测试补丁(缩短测试阶段,必要时并行进行)
- 紧急部署(允许在常规维护窗口外进行)
- 验证和记录
例外处理
当补丁无法在期限内完成时:
| 步骤 | 描述 |
|---|---|
| 理由说明 | 记录原因(技术不兼容、不可用) |
| 补偿措施 | 临时方案、网络隔离、加强监控 |
| 审批 | 需ISB审批,关键系统需管理层审批 |
| 时效限制 | 定义最长例外期限,设置到期提醒 |
补丁跟踪
| 指标 | 衡量标准 | 目标 |
|---|---|---|
| 补丁合规率 | 在期限内完成补丁的漏洞比例 | >= 95% |
| 平均修补时间 (MTTP) | 从CVE公布到补丁部署的平均时间 | 关键: < 48h,高: < 7d |
| 未修复的关键漏洞 | 未修补的CVSS >= 9.0漏洞数量 | 0 |
| 例外数量 | 当前有效的补丁例外数量 | 尽量减少 |