網(wǎng)絡(luò)安全等級保護(hù)基本要求安全計算環(huán)境之入侵防范測評項下的測評控制點(diǎn)要求“應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修復(fù)漏洞”，修復(fù)漏洞的程序，我們基本上可以稱之為補(bǔ)丁?！?/p>

　　在《網(wǎng)絡(luò)安全等級保護(hù)高風(fēng)險判定指引》 TISEAA 001-2020中明確應(yīng)用系統(tǒng)存在可被利用的高危漏洞為高風(fēng)險項，其適用范圍是第二級以上系統(tǒng)，在這個設(shè)計應(yīng)用系統(tǒng)所使用的環(huán)境、框架、組件或業(yè)務(wù)功能等。當(dāng)然，修補(bǔ)漏洞需要連接的互聯(lián)網(wǎng)，其漏洞不修復(fù)遠(yuǎn)程攻擊風(fēng)險也高，但是內(nèi)網(wǎng)系統(tǒng)則可以根據(jù)具體情況分析，酌情判定風(fēng)險等級。所以，在判定高危風(fēng)險過程中，也是需要綜合分析，既不要過度解讀，也不要太過機(jī)械，但是這個度掌握需要較全面的知識做支撐。

　　什么是補(bǔ)丁？

　　補(bǔ)丁是軟件和操作系統(tǒng)（OS）更新，用于解決程序或產(chǎn)品中的安全漏洞。軟件供應(yīng)商可能會選擇發(fā)布更新來修復(fù)性能錯誤，以及提供增強(qiáng)的安全功能。

　　如何找出需要安裝的軟件更新？

　　當(dāng)軟件更新可用時，供應(yīng)商通常會將它們放在他們的網(wǎng)站上供用戶下載。盡快安裝更新以保護(hù)我們的的計算機(jī)、電話或其他數(shù)字設(shè)備免受利用系統(tǒng)漏洞的攻擊者的侵害。攻擊者可能會在更新可用后數(shù)月甚至數(shù)年針對漏洞進(jìn)行攻擊。一些軟件會自動檢查更新，許多供應(yīng)商為用戶提供自動接收更新的選項。如果它們不可用，請定期檢查供應(yīng)商的網(wǎng)站以獲取更新。

　　確保我們只從受信任的供應(yīng)商網(wǎng)站下載軟件更新。

　　不要相信電子郵件中的鏈接——攻擊者使用電子郵件將用戶引導(dǎo)至托管偽裝成合法更新的惡意文件的網(wǎng)站。用戶還應(yīng)該警惕聲稱附加了軟件更新文件的電子郵件——這些附件可能包含惡意軟件。

　　如果可能，僅應(yīng)用來自受信任網(wǎng)絡(luò)位置（例如，家庭、工作）的自動更新。避免在連接到不受信任的網(wǎng)絡(luò)（例如，機(jī)場、酒店、咖啡店）時更新軟件（自動或手動）。如果必須通過不受信任的網(wǎng)絡(luò)安裝更新，請使用與受信任網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)連接并應(yīng)用更新。

　　手動更新和自動更新有什么區(qū)別？

　　用戶可以手動安裝更新或選擇讓他們的軟件程序自動更新。

　　手動更新需要用戶或管理員訪問供應(yīng)商的網(wǎng)站以下載和安裝軟件文件。

　　在安裝或配置軟件時，自動更新需要用戶或管理員的同意。一旦我們同意自動更新，軟件更新就會自動“推送”（或安裝）到我們的系統(tǒng)。

　　什么是報廢軟件？

　　有時，供應(yīng)商會停止對軟件程序的支持或?yàn)槠浒l(fā)布軟件更新（也稱為生命周期終止[EOL]軟件）。繼續(xù)使用EOL軟件會給我們的系統(tǒng)帶來相應(yīng)的風(fēng)險，從而允許攻擊者利用安全漏洞。使用不受支持的軟件還會導(dǎo)致軟件兼容性問題以及降低系統(tǒng)性能和生產(chǎn)力。

　　建議用戶和管理員停用所有 EOL 產(chǎn)品。

　　軟件更新的最佳實(shí)踐

　　盡可能啟用自動軟件更新。這將確保盡快安裝軟件更新。

　　不要使用不受支持的EOL軟件。

　　始終直接訪問供應(yīng)商網(wǎng)站，而不是點(diǎn)擊廣告或電子郵件鏈接。

　　在使用不受信任的網(wǎng)絡(luò)時避免軟件更新。

　　新漏洞不斷出現(xiàn)，但針對利用修補(bǔ)漏洞的攻擊者的最佳防御方法很簡單：使我們的軟件保持最新。這是我們可以采取的最有效的措施來保護(hù)我們的計算機(jī)、電話和其他數(shù)字設(shè)備。