随着信息化在企业的逐渐推广,IT技术在企业信息系统中的应用日趋广泛,同时企业的业务也更加信赖企业信息系统,于是如何保证好企业的信息系统就成为IT运维管理所面临的核心问题。
信息系统的基础构成是PC机,保障PC机的安全运转成为企业网络安全的关键,随着病毒和漏洞的结合,CodeRed、Nimda、SQLSlammer、Blaster等蠕虫对全球的网络甚至经济都造成了严重的影响。之所以这些蠕虫造成这么大的危害,是因为利用了操作系统或者应用程序的漏洞,而消除漏洞的根本办法就是安装补丁。
解决好补丁问题相当于给企业网络安全上了一道防火墙,但在一个大中型企业中,PC机数目众多,应用软件复杂,补丁的安装不是一件容易的事情。如何有效安装补丁,管理好补丁就成为企业IT运维管理的重要课题。
目前企业管理比较流行的补丁管理流程是,现状分析、补丁跟踪、补丁分析、部署安装、疑难处理、补丁检查六个环节,同时由于补丁管理是一个长期、周而复始的工作,因此这六个工作又形成一个环状的流程,其中既有事件驱动工作,也有例行工作。该流程考虑了补丁工作的及时性、严密性和持续性,同时兼顾了补丁对业务的影响,在大型企事业中运作结果较好,下面我们着重分析其中的几个环节。
现状分析,要在一个企业中做好补丁管理工作,首先需要分析信息资产、IT系统环境、IT网络环境和信息资产重要等级,以便下一步有针对性地跟踪企业所需要的补丁和要采取的措施。
IT环境,和系统管理员和网络管理员讨论,确定企业安全策略中当前所使用的操作系统类型和版本、应用软件类型和版本、网络设备类型和版本、以及相应的补丁版本,以前没有打的补丁,原因以及补救办法。
测试补丁,虽然软件产商在发布补丁前已经对补丁进行了测试,但是测试永远是不充分的,从实际经验来看,目前软件产商为了解决安全问题,都会尽量压制测试补丁时间,而且每个企业都有自己的特殊应用环境,因此补丁往往不稳定,会造成很多未知问题。因此我们必须根据企业的实际应用环境进行补丁测试,以判断该补丁在企业环境下的兼容状况。
补丁测试关键要考虑测试的广泛性、针对性,即能在针对企业的实际情况下尽量充分地测试。测试环境最好能有企业的各种应用,特别是一些关键应用,以便判断该补丁对关键应用的影响。
测试补丁首先要从安全可靠的地方获取补丁软件,推荐是从软件产商网站上下载,如果补丁支持校验,必须进行安全校验,以验证补丁的可靠性,防止补丁被恶意用户篡改。比如sun公司从2002年5月份开始就提供了数字签名的补丁。
如果在测试中发现问题,就要做详细的分析,以判断发生问题的原因,并做及时解决。如果不能解决则需要记录下发生该问题的环境,并进行重复验证,如果确实是该环境和补丁发生冲突,则立即反馈给厂商。
提交变更后,组织评审小组(包括安全专家、系统管理员)就变更的必要性、风险和补丁推行计划等问题进行评审。评审通过后,由系统管理员和业务代表根据各系统业务的实际情况协商变更时间,确定每个系统的变更计划。确定变更计划后,每个系统管理员各自提交变更请求进行系统变更,同时记录变更过程中提交的问题。
补丁检查,为了确认补丁安装情况,需要对安装的系统进行检查。如果采用了工具,则可以通过工具进行全网检查,也可以通过漏洞扫描工具进行检查,否则可以通过自己编写脚本或者人工抽查。根据我们的经验,由于服务器都是有管理员进行统一管理,所以补丁的安装情况比较好,对于桌面系统,由于是用户自己进行维护,所以经常存在很多补丁没有打的情况,从而导致企业内部千疮百孔,蠕虫滋生。
这样补丁管理的一个周期基本完成,但是在实际过程中,因为蠕虫爆发,就需要加快一些流程,同时配合防病毒技术人员、网络管理员一起进行处理。
以上为补丁管理的基本流程,企业在流程指导下进行了补丁的安装,为企业网络增强了安全性,确保企业信息系统的安全稳定。但同时在补丁管理方面企业同样很容易因为对补丁的不了解和企业安全意识的不到位产生一些误区,让企业安全存在一定的隐患。
北京广通信达科技有限公司的资深IT运维专家张海俊概括了补丁管理的几大误区如下:
1、全部补丁第一时间打全。这种想法是不对的,补丁视重要性来安装就好了,针对一些比较重要的系统补丁,比如影响系统运行的IE的重要补丁,还应该专门安排测试,测试补丁的稳定性,对系统及应用的影响。而且这种测试不可能交由某些服务厂商来做,毕竟每个企业或组织都有自己专门的应用。
2、只管操作系统补丁,不注意其他系统补丁。目前很多系统管理员或补丁管理系统都是聚焦在windows操作系统补丁上,其他的如Office、数据库等系统补丁基本不管,其实应用软件和数据库漏洞也比较多,比如当年的SQL Slammer就是利用了SQL Server的漏洞,短时间内令70%以上的网络瘫痪;另外,别的系统的补丁也很重要,比如unix,linux。
3、补丁管理技术比较全面,但管理制度不健全。主要表现在过分依赖补丁管理系统,管理制度没有完善。
通过上述的描述,介绍了一个补丁管理的基本流程,其中的具体步骤和内容可以根据企业的实际情况进行更改,以最有效对补丁进行管理。
总之要比较好的进行补丁管理,需要:良好、规范的流程,有效的运营机制;具有一定技术水平的补丁管理人员、安全人员、系统管理员、桌面支持人员、防病毒人员和网络管理员之间良好的沟通与合作;具有方便高效的管理工具和技术。
补丁管理涉及到业务、流程、管理和技术,可以放入企业IT运维的整体框架中,作为安全管理的日常一部分,和其他安全运营、监控相结合,共同提高企业整体的安全水平。