初识安全漏洞防治SOP

SOP=流程+标准。

安全漏洞防治SOP=安全漏洞防治（工作流程+工作标准）。安全漏洞防治SOP是流程化走向标准化的过程中自然产物，也是下一步自动化的基础。

（参见安全漏洞防治：流程化->标准化->自动化->智能化。）

先举个例子。

天天富公司有个会计，不太懂IT。

因为财务系统运行在CentOS 7上，openssl有个漏洞。如果不补，可能导致一系列严重的后果。

这个会计用的办公电脑是Windows 10，微软官方将于2025年10月14日停止技术支持，不再修补Windows 10发布的新漏洞，甚至不公布新漏洞。

小王是公司的安全经理，他的职责是要避免重大风险。

小王该怎么办呢？

作为经验丰富的安全负责人，你早就掌握了这种场景下的“套路”。

现在小王来向你取经，你也很想帮他。怎么帮？

我给出的参考答案是SOP。

“有人说，凡是你会做三遍以上的事情，都值得你写一个SOP，也就是标准作业程序。”

不知你是否赞同这个观点。

我个人非常赞同，只是做得还不够到位。

再举个例子。

天天富公司收到监管通报log4j的漏洞，需要排查全公司所有应用系统是否使用带漏洞的log4j版本，然后逐个处置。

作为安全技术专家，你很头疼这种事。小王也一样。

怎么办呢？

我给出的参考答案还是SOP。

1. 排查log4j漏洞的SOP

2. 评估log4j漏洞影响的SOP

3. 处置log4j漏洞的SOP

4. 再加一个“组织IT团队排查log4j漏洞的工作流程”。

你可能注意到了，前三个是SOP，第四个是流程。

这是我遵循的一个惯例：SOP主要用于单人操作；而流程主要用于多人多团队协作。

针对一个应用系统，排查log4j漏洞，评估log4j漏洞的影响，处置log4j漏洞，基本上都可以做到单人操作。

针对全公司的应用系统排查、评估、处置，就需要IT团队内部多人配合。在这个过程中，可能还需要业务部门参与，需要上级领导做决定。

本文针对上面这两项工作，各给了一个例子供参考。

前面那个例子中，小王与会计沟通协调可以参考的SOP会是什么样呢？咱们下一篇文章继续探讨。

• 附件1：《排查、评估、处置log4j漏洞的SOP》

• 附件2：《IT团队协作排查、评估、处置特定漏洞的工作流程》