建立补丁策略从此告别手工打补丁(2)

　　3.风险评估与测试

　　在部署之前，网络管理员要对一个补丁在公司的网络上实施所产生的效果进行评估。同时，网络管理员部门要评估与该补丁相关的各平台可能会受到的影响（比如，服务器，桌面计算机，打印机等等）。

　　如果管理员将某个补丁标记为“紧急”，表明部门认为公司网络即将面临严重的威胁。因此，在没有部署补丁之前，等待补丁测试期间，公司网络将承受巨大风险。

　　无论补丁是否被认定为“危险”级别，都必须在部署前，先进行对相关平台的影响测试。对于“危险”的补丁，网络管理员会加快测试的进程。管理员的部门必须在补丁部署之前，完成在所有平台上的评定（比如，Windows，Unix，等等）。

　　4.告示及时间表

　　网络管理部门领导必须在正式部署前审定具体的时间表。不考虑补丁本身是否属于“危险”级别，每个补丁在发布之前必须生成一个技术更改请求（request for technical change，简称RTC），并得到批准。公司的信息安全主管将决定何时需要向公司职员发布告示。

　　5.部署

　　网络管理员将在补丁发布后8小时内部署“紧急”级别的补丁。鉴于网络所面临的重大风险，可能一个“紧急”的补丁还在测试当中就被发布了。在所有情况下，部门必须对补丁进行测试（无论是在补丁发布前测试或是一边部署一边测试），并进行相关的记录，以备审核和效果追踪。

　　下面是一个示例的时间安排，关于如何发布重要的补丁：

　　补丁可用，当日 （假设周一）

　　测试补丁，不超过补丁可用后1天。 （则为周二）

　　批准补丁，不超过补丁可用后3天。 （则为周四）

　　发布补丁，不超过补丁可用后5天。 （则为周六）

　　当需要部署“紧急”的补丁时，网络管理员将从紧急状态RTC以及公司处获得批准。而非紧急的补丁，则按照预先安排的“定期预防性维护”时间表进行部署。每个补丁都应当有批准的RTC。对于新网络设备，每个平台都须严格遵守事先规定的进程，确保安装了所有最新的补丁。

　　6.审核，评估以及验证

　　发布完毕所有的补丁之后，网络管理人员将确认补丁是否成功安装，以及没有产生副作用。

　　用户责任以及实践

　　这是每个用户的责任——无论是公司的部门还是个人——必须确保审慎负责的使用计算机和网络资源。

　　最后的想法

　　虽然这个策略很简单，但是它道出了一个策略应该涉及的所有细节——具体，何人，何故，何时，以及如何做。一旦你制定了你的补丁管理策略，不要让它成为一纸空文，确保整个公司都会遵循它。