本文摘自CISSP官方學(xué)習(xí)指南第八版

在安全環(huán)境下部署系統(tǒng)是一個良好開端。不過，讓系統(tǒng)保持相同的安全級別也非常重要。變更管理可減少因未經(jīng)授權(quán)修改導(dǎo)致的意外中斷。

變更管理的主要目標(biāo)是保證變更不會導(dǎo)致意外中斷。變更管理流程確保相應(yīng)人員在變更實(shí)施前對變更進(jìn)行審核和批準(zhǔn)，確保有人對變更進(jìn)行測試和記錄。

未經(jīng)授權(quán)變更可能直接影響CIA三元組中的A，即可用性。變更管理流程使得各方IT專家有機(jī)會在技術(shù)人員實(shí)施更改前審查提出的更改，考慮變更可能帶來的意外副作用。在生產(chǎn)環(huán)境實(shí)施變更前，變更管理流程使管理員有時間在受控環(huán)境中檢查變更。

1.0 安全影響分析

變更管理流程幫助員工執(zhí)行安全影響分析。在生產(chǎn)環(huán)境中實(shí)施變更之前，專家會評估變更，從而識別所有的安全影響。

變更管理控制提供一種流程，實(shí)現(xiàn)控制、記錄、跟蹤和審計所有系統(tǒng)變更。這涵蓋對系統(tǒng)任何方面的變更，包括硬件和軟件配置。組織需要在所有系統(tǒng)的生命周期中實(shí)施變更管理流程。

變更管理流程的常見步驟如下：

請求變更。審核變更。 - 組織內(nèi)專家會審核變更。批準(zhǔn)/拒絕變更測試變更安排并實(shí)施變更記錄變更

可能存在需要實(shí)施緊急變更的情況。這種情況下，管理員仍需要記錄變更。這么做使確保變更審核委員可以審查變更，以便發(fā)現(xiàn)潛在問題。此外，記錄緊急變更可確保受影響的系統(tǒng)在需要重建時能夠包含新的配置。

在執(zhí)行更改管理流程時，會為系統(tǒng)的所有變更創(chuàng)建文檔。

變更管理控制是ISO通用標(biāo)準(zhǔn)中一些安全保障要求（Security Assurance Requirement，SAR）的強(qiáng)制性內(nèi)容。

2.0 版本控制

版本控制通常指軟件配置管理所使用的版本控制。

3.0 配置文檔

配置文檔明確了系統(tǒng)的當(dāng)前配置。它明確了哪些人負(fù)責(zé)系統(tǒng)，明確了系統(tǒng)的目的，并列舉了基線之后的所有變更。

補(bǔ)丁管理和漏洞減少

補(bǔ)丁管理和漏洞管理過程協(xié)同工作，幫助保護(hù)組織防御新出現(xiàn)的威脅。

1.0 系統(tǒng)管理

補(bǔ)丁和漏洞管理不僅適用于工作站和服務(wù)器，也適用于運(yùn)行操作系統(tǒng)的所有計算設(shè)備。諸如路由器、交換機(jī)、防火墻、打印機(jī)等網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備。

2.0 補(bǔ)丁管理

補(bǔ)丁是糾正程序缺陷及漏洞或提高現(xiàn)有軟件性能的所有代碼類型的總稱。在安全方面，管理員主要關(guān)注修復(fù)系統(tǒng)漏洞的安全補(bǔ)丁。

有效的補(bǔ)丁管理程序可以確保系統(tǒng)的當(dāng)前補(bǔ)丁更新至最新。有效的補(bǔ)丁管理計劃包含常見步驟：

評估補(bǔ)丁：當(dāng)供應(yīng)商公布或發(fā)布補(bǔ)丁時，管理員會對補(bǔ)丁進(jìn)行評估，確定其是否適用于自己維護(hù)的系統(tǒng)。測試補(bǔ)丁：管理員應(yīng)盡可能在隔離的非生產(chǎn)系統(tǒng)上測試補(bǔ)丁，確定補(bǔ)丁是否導(dǎo)致任何不必要的副作用。最糟糕的情況是安裝補(bǔ)丁之后系統(tǒng)將無法再啟動。審批補(bǔ)?。汗芾韱T測試補(bǔ)丁，并確認(rèn)補(bǔ)丁時安全的，接下來便批準(zhǔn)補(bǔ)丁的部署。通常變更管理流程會作為審批流程的一部分。部署補(bǔ)?。航?jīng)過測試和審批，管理員可以著手部署補(bǔ)丁。驗(yàn)證補(bǔ)丁已完成部署：部署補(bǔ)丁后，管理員會定期測試和審計系統(tǒng)，確保系統(tǒng)已保持更新狀態(tài)。

3.0 漏洞管理

漏洞管理是指定期識別漏洞、評估漏洞并采取措施減輕相關(guān)的風(fēng)險。消除風(fēng)險時不可能的。同樣，也不可能消滅所有漏洞。

漏洞掃描

漏洞掃描器時測試系統(tǒng)和網(wǎng)絡(luò)是否存在已知安全問題的軟件工具。

漏洞評估

漏洞評估通常包含漏洞掃描的結(jié)果，但漏洞評估會做更多工作。

漏洞評估通常作為風(fēng)險分析或風(fēng)險評估的一部分執(zhí)行，識別系統(tǒng)再某個時間點(diǎn)的漏洞。

4.0 常見的漏洞和風(fēng)險

漏洞通常使用“通用漏洞和批露”（CVE）字典來標(biāo)識。