3단계 - 평가 및 계획
업데이트 날짜: 2007년 6월 1일
이 페이지에서
모듈 정보
목표
적용 범위
모듈 사용법
개요
적절한 대응을 결정합니다.
릴리스 계획
릴리스 만들기
수락 테스트
요약
배포 단계로 이동
모듈 정보
이 모듈에서는 4단계 업데이트 관리 프로세스 중 세 번째 "평가 및 계획" 단계에 대해 설명합니다. 평가 및 계획 단계는 업데이트 배포 여부 및 배포하는 데 필요한 사항을 결정하고 실제 업무 환경과 유사한 환경에서 소프트웨어 업데이트를 테스트하여 중요한 업무 시스템 및 응용 프로그램이 손상되지 않는지 확인하는 작업입니다.
이 모듈의 목적은 업데이트 관리 프로세스 중 평가 및 계획 단계의 원칙을 설명하고 Microsoft WSUS(Windows Server Update Service) 및 Microsoft SMS(Systems Management Server)를 통해 평가 및 계획을 수행할 수 있는 작업 유형을 소개하는 것입니다.
참고: SMS의 차기 릴리스인 Beta 2, System Center Configuration Manager 2007은 현재 https://www.microsoft.com/technet/sms/2007/evaluate/download.mspx에서 다운로드할 수 있습니다. Configuration Manager 2007은 단순화, 구성, 배포 및 보안에 주력하였으며 시스템 배포, 작업 자동화, 규정 준수 관리, 정책 기반 보안 관리를 획기적으로 단순화하여 비즈니스 대응력을 높였습니다.
평가 및 계획 프로세스가 없으면 업데이트를 배포할지 여부를 결정할 수 있는 명확한 기준 집합이 없고 업데이트를 배포하는 데 필요한 사항을 알 수 없으며 테스트를 거치고 신뢰할 수 있는 릴리스 소프트웨어를 만들기 위한 적절한 절차도 없을 것입니다.
목표
이 모듈을 사용하여 다음을 수행할 수 있습니다.
실제로 업데이트 배포가 필요한지 여부를 결정합니다.
소프트웨어 업데이트의 릴리스를 계획합니다.
릴리스를 만듭니다.
릴리스 수락 테스트를 수행합니다.
적용 범위
이 모듈은 모든 Microsoft 제품 및 기술에 적용됩니다.
모듈 사용법
이 모듈에서는 WSUS 및 SMS를 사용하여 평가 및 계획을 수행하는 데 필요한 기본 작업을 설명하지만 더 자세한 내용은 아래 나열된 기술 라이브러리에 나와 있습니다.
이 모듈을 최대한 활용하려면 다음을 수행해야 합니다.
"업데이트 관리 프로세스" 모듈의 서론 부분을 읽습니다. 4단계 업데이트 관리 프로세스의 모든 단계에 대한 개요를 알 수 있으며 Microsoft Windows 운영 체제 환경에서 업데이트 관리를 지원하는 데 사용할 수 있는 도구를 설명합니다.
더 자세한 내용은 WSUS 및 SMS 기술 라이브러리를 참조하십시오. 해당 라이브러리는 다음 위치에서 찾을 수 있습니다.
개요
평가 및 계획 단계는 그림 1에 표시된 업데이트 관리 프로세스의 세 번째 단계입니다.
.gif)
그림 1 업데이트 관리 프로세스
이 세 번째 단계에서는 배포가 승인된 상태에서 소프트웨어 업데이트를 평가하고 업무 환경에 배포하기 위한 계획을 세웁니다.
평가 및 계획 단계의 시작은 업무 환경에서 관련성 있음으로 확인된 소프트웨어 업데이트의 RFC(변경 요청)입니다.
평가 및 계획 단계의 마지막에는 변경 요청을 긴급으로 분류할지 여부를 결정하고 해당 요청을 검토 및 승인하고 승인된 변경 내용을 업무 환경에 배포하는 데 필요한 작업을 결정해야 합니다. 또한 실제 업무 환경과 유사한 환경에서 소프트웨어 업데이트를 테스트하여 중요한 업무 시스템 및 응용 프로그램이 손상되지 않는지 확인해야 합니다.
이 모듈에서는 다음과 같은 평가 및 계획에 필요한 주요 요구 사항에 중점을 둡니다.
적절한 대응을 결정합니다.
소프트웨어 업데이트의 릴리스를 계획합니다.
릴리스를 만듭니다.
릴리스 수락 테스트를 수행합니다.
적절한 대응을 결정합니다.
RFC는 업무 환경에 필요한 변경 종류(소프트웨어 업데이트 배포, 취약점를 줄이는 대책 적용 또는 둘 다)를 결정하고 필요한 변경 내용을 설명하여 다른 사람들이 이에 대한 조치를 취할 수 있도록 합니다.
평가 및 계획의 첫 번째 단계는 RFC를 검토하고 소프트웨어 취약점 또는 위협에 가장 적절한 대응 방법을 결정하는 것입니다. 이 작업은 다음을 포함합니다.
요청 우선 순위 지정 및 분류
소프트웨어 업데이트 배포를 위한 인증 획득
소프트웨어 업데이트에 대한 요청 우선 순위 지정 및 분류
소프트웨어 업데이트 요청을 인증하기 전에 우선 순위를 결정하고 분류해야 합니다. 우선 순위 및 분류는 변경 초기자가 처음 지정하고 RFC에 포함되지만 변경 요청을 인증하기 전에 이러한 지정 내용을 검토하여 동의 또는 변경해야 합니다.
소프트웨어 업데이트 우선 순위 지정
우선 순위 수준이 특히 중요한 이유는 소프트웨어 업데이트가 변경 프로세스를 얼마나 빨리 거치는지 결정하기 때문입니다. 다음 사항을 고려하여 소프트웨어 업데이트의 우선 순위 수준을 결정할 수 있습니다.
중요한 업무 자산으로 어떤 것이 있습니까? 소프트웨어 업데이트를 설치하기 전에 이러한 자산이 잠재적 보안 위반 또는 시스템 불안정성에 노출될 가능성이 있습니까? 고부가 자산에 업데이트하는 경우 또는 업데이트하지 않는 경우 미치는 영향에 따라 변경 요청의 우선 순위를 지정해야 합니다.
소프트웨어 업데이트가 과거 공격자들의 공격 목표였던 LOB(기간 업무) 응용 프로그램 등 중요한 업무 서비스를 실행하는 시스템에 적용됩니까? 이는 변경 요청의 우선 순위를 올릴 수 있는 충분한 이유가 됩니다.
특정 취약점에 노출될 가능성을 최소화하는 대책을 배포했습니까? 이 작업을 수행한 경우 변경 요청의 우선 순위가 낮아질 수는 있지만, 소프트웨어 업데이트를 배포하여 취약점을 제거할 수 있습니다.
현재 어떤 취약점이 업무 환경에 위협이 됩니까? 많은 보안 공지 및 관련 소프트웨어 업데이트가 업무 환경의 일부 컴퓨터에만 적용될 수 있습니다. 취약점의 위협 수준이 낮으면 요청 우선 순위도 낮아질 수 있습니다.
다음 표를 보면 다른 요청과 비교하여 해당 요청의 우선 순위를 평가할 수 있습니다. 표 1은 우선 순위 수준과 권장 시간대 및 최소 권장 시간대의 매핑을 보여 줍니다.
표 1: 업데이트 우선 순위 및 권장 배포 시간대
| 우선 순위 | 권장 시간대 | 최소 권장 시간대 |
|---|---|---|
| 긴급 | 24시간 내 | 2주 내 |
| 높음 | 1개월 내 | 2개월 내 |
| 보통 | 사용 가능성에 따라 이 취약점의 수정 프로그램이 포함된 새 서비스 팩 또는 업데이트 롤업을 4개월 내에 배포합니다. | 소프트웨어 업데이트를 6개월 내에 배포합니다. |
| 낮음 | 사용 가능성에 따라 이 취약점의 수정 프로그램이 포함된 새 서비스 팩 또는 업데이트 롤업을 1년 내에 배포합니다. | 소프트웨어 업데이트를 1년 내에 배포하거나 전혀 배포하지 않을 수 있습니다. |
| 환경/조직 요소 | 우선 순위 조정 |
|---|---|
| 적용되는 고가 또는 고노출 자산 | 수준 올리기 |
| 이전에 공격자의 목표가 된 경험이 있는 자산 | 수준 올리기 |
| 위협을 최소화하는 대책 등 적절한 완화 요소 | 수준 낮추기 |
| 적용되는 저가 또는 저노출 자산 | 수준 낮추기 |