資源描述:
《補(bǔ)丁分析及測試》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫���。
1�、補(bǔ)丁分析及管理補(bǔ)丁測試概念相關(guān)工作補(bǔ)丁分析補(bǔ)丁測試補(bǔ)丁管理?當(dāng)系統(tǒng)發(fā)布后,可能發(fā)現(xiàn)有些程序中存在軟件錯(cuò)誤��、安全漏洞以及兼容性等問題��。補(bǔ)丁是系統(tǒng)發(fā)布后用來修訂應(yīng)用程序中存在的軟件錯(cuò)誤����、安全漏洞以及兼容性等問題和缺陷的一些應(yīng)用程序集合。補(bǔ)丁的作用包括修補(bǔ)安全漏洞�����、修復(fù)軟件錯(cuò)誤���、增強(qiáng)系統(tǒng)兼容性、提升系統(tǒng)的可用性和性能等����。?IBM補(bǔ)丁測試調(diào)研?微軟補(bǔ)丁測試調(diào)研?Oracle補(bǔ)丁測試調(diào)研?華為補(bǔ)丁測試調(diào)研?中石化安全補(bǔ)丁管理調(diào)研?海南電網(wǎng)補(bǔ)丁管理?補(bǔ)丁類型:安全漏洞補(bǔ)丁、硬件兼容性補(bǔ)丁�、功能補(bǔ)丁、安全策略補(bǔ)丁等?補(bǔ)丁測試范圍:根據(jù)系統(tǒng)所在環(huán)境而定�����,包括操作系統(tǒng)、數(shù)據(jù)庫��、補(bǔ)丁功能等?補(bǔ)
2����、丁更新可能需要重啟服務(wù)器或者服務(wù)?系統(tǒng)恢復(fù):大部分采用系統(tǒng)自帶的備份和恢復(fù)工具?補(bǔ)丁分類:安全修補(bǔ)程序、重要更新����、更新、修補(bǔ)程序�、更新匯總、服務(wù)包���、功能包?補(bǔ)丁管理流程:評(píng)估環(huán)境��、辨別新補(bǔ)丁�����、評(píng)價(jià)和計(jì)劃部署��、部署補(bǔ)丁?風(fēng)險(xiǎn)管理:掃描環(huán)境�、評(píng)估漏洞風(fēng)險(xiǎn)、建立優(yōu)先級(jí)��、決定打補(bǔ)丁日期?無補(bǔ)丁分析工具?PSU補(bǔ)丁經(jīng)過oracle兼容性測試后發(fā)布����,其他補(bǔ)丁未經(jīng)過測試,不會(huì)針對(duì)具體應(yīng)用測試?Oracle補(bǔ)丁主要關(guān)注日志�����、性能等方面?如果升級(jí)失敗�,10g之后可以利用數(shù)據(jù)庫還原點(diǎn)特性回退數(shù)據(jù)庫?補(bǔ)丁分析需要人工干預(yù),無相關(guān)工具����,需要應(yīng)用開發(fā)人員參與分析?補(bǔ)丁測試屬于輕量級(jí)測試�����,流程與方法與
3��、普通測試類似?打補(bǔ)丁需要選擇合適時(shí)機(jī)����,現(xiàn)在小范圍打補(bǔ)丁����,沒有問題之后再擴(kuò)展到大范圍?中國石化集團(tuán)公司針對(duì)安全補(bǔ)丁制定了相關(guān)的管理辦法����。主要從補(bǔ)丁跟進(jìn)和通告、補(bǔ)丁獲取�、補(bǔ)丁測試、補(bǔ)丁加載�、補(bǔ)丁驗(yàn)證、補(bǔ)丁歸檔�����、監(jiān)督和檢查等方面規(guī)定了補(bǔ)丁的管理辦法?海南電網(wǎng)補(bǔ)丁管理辦法從職責(zé)分工����、安裝流程、管理流程等方面進(jìn)行規(guī)定?職責(zé)分工明確了不同角色����、管理人員的職責(zé)和工作內(nèi)容?安裝流程規(guī)定了補(bǔ)丁的安裝過程?管理流程規(guī)定了補(bǔ)丁發(fā)布、評(píng)估��、測試�、安裝���、維護(hù)、歸檔等各部分工作?補(bǔ)丁獲取渠道?補(bǔ)丁官方網(wǎng)站?官方安全機(jī)構(gòu)?安全組織和安全公司?補(bǔ)丁的獲取渠道雖然不同����,但應(yīng)該由公司從官方認(rèn)可的渠道統(tǒng)一進(jìn)行獲
4、取下載����,保證來源可靠及版本一致,在公司范圍內(nèi)未經(jīng)許可��,不能由個(gè)人私自下載安裝���。?補(bǔ)丁分析內(nèi)容?功能分析?重要性分析?影響范圍分析?更新必要性分析?風(fēng)險(xiǎn)分析?增加功能?一種是在原有的系統(tǒng)之上增加了新的功能�����,該新的功能不影響原有功能的使用,也不影響服務(wù)器操作系統(tǒng)����、網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)用的支持;另一種是對(duì)原有功能缺陷的彌補(bǔ)?增強(qiáng)安全性?安全補(bǔ)丁主要為了彌補(bǔ)漏洞���、防范攻擊����、提高安全等級(jí)而進(jìn)行的更新?提高可靠性?為彌補(bǔ)系統(tǒng)在穩(wěn)定性、可靠性方面的缺陷�����,或者進(jìn)一步提高系統(tǒng)的穩(wěn)定性�、可靠性而更新的補(bǔ)丁?提升性能?為優(yōu)化系統(tǒng)性能而更新的補(bǔ)丁?增強(qiáng)兼容性?為支持新的硬件設(shè)備而更新的補(bǔ)丁?補(bǔ)丁重要性分為
5、5級(jí)����,級(jí)別越高表示該補(bǔ)丁越重要?第5級(jí):該補(bǔ)丁彌補(bǔ)了系統(tǒng)重要功能缺陷、可靠性缺陷����、性能缺陷、安全漏洞等?第4級(jí):該補(bǔ)丁支持新的硬件設(shè)備?第3級(jí):該補(bǔ)丁增強(qiáng)了系統(tǒng)兼容性?第2級(jí):該補(bǔ)丁增強(qiáng)了系統(tǒng)某個(gè)非核心功能�,或者優(yōu)化了非核心性能等?第1級(jí):該補(bǔ)丁增強(qiáng)了系統(tǒng)的易用性、改進(jìn)了客戶體驗(yàn)等?補(bǔ)丁除了對(duì)操作系統(tǒng)���、網(wǎng)絡(luò)設(shè)備本身的有所改變之外�����,對(duì)其上的應(yīng)用平臺(tái)�����、運(yùn)行軟件也可能產(chǎn)生影響�����。其影響范圍與補(bǔ)丁功能��、重要性都有一定的關(guān)系�����。一般說來���,重要級(jí)別越高的補(bǔ)丁對(duì)操作系統(tǒng)���、網(wǎng)絡(luò)設(shè)備本身的影響越大,與該補(bǔ)丁相關(guān)的模塊有可能受到影響���,因此測試時(shí)也包含對(duì)這部分相關(guān)模塊的測試���。?不打補(bǔ)丁的情況下,漏洞
6�、或者缺陷發(fā)生的可能性是否存在,例如物理隔離的網(wǎng)絡(luò)���,安全攻擊的風(fēng)險(xiǎn)就很少����;若果該補(bǔ)丁是Internet環(huán)境下安全漏洞補(bǔ)丁�����,則在內(nèi)網(wǎng)環(huán)境下不需要打��;如果沒CA����,根證書更新補(bǔ)丁則不用打;如果無.net環(huán)境�����,則相關(guān)補(bǔ)丁均不需要打?不打補(bǔ)丁情況下��,缺陷會(huì)發(fā)生,但已有其他應(yīng)對(duì)措施?不打補(bǔ)丁情況下��,缺陷會(huì)發(fā)生��,但損失可接受?補(bǔ)丁程序本身存在缺陷����。補(bǔ)丁是一個(gè)軟件程序,雖然經(jīng)過測試也不能保證其完全沒有缺陷����。所以更新補(bǔ)丁有可能引入新的缺陷?補(bǔ)丁與其他應(yīng)用存在兼容性問題。更新的補(bǔ)丁可能導(dǎo)致其他應(yīng)用不可用���,或者其他應(yīng)用的功能受到影響?補(bǔ)丁本身無問題����,但是部署時(shí)需要變更系統(tǒng)配置����。變更系統(tǒng)配置可能對(duì)系
7、統(tǒng)本身運(yùn)行產(chǎn)生影響����,如功能�����、性能、安全性等?補(bǔ)丁本身無問題���,更新補(bǔ)丁的操作方法有誤�����。補(bǔ)丁更新要嚴(yán)格遵循廠商上提供的更新說明�����,錯(cuò)誤的操作會(huì)導(dǎo)致更新失敗或者影響系統(tǒng)運(yùn)行?補(bǔ)丁更新失敗后無法恢復(fù)到原來版本?補(bǔ)丁功能分析?補(bǔ)丁功能和重要性可以通過補(bǔ)丁的描述��、所解決的問題等級(jí)以及安全工具掃描的結(jié)果等方式來獲取����。?一般說來�,補(bǔ)丁功能分析包括補(bǔ)丁名稱、版本號(hào)���、該補(bǔ)丁解決的問題(修補(bǔ)的漏洞)�����、與該補(bǔ)丁相關(guān)的補(bǔ)丁名稱���、更新該補(bǔ)丁的前提條件(如補(bǔ)丁適用系統(tǒng)的版本號(hào)�、該補(bǔ)丁更新前需要更新的補(bǔ)丁等)��、更新該補(bǔ)丁是否需要停止服務(wù)���、重啟服務(wù)等
