如果说层出不穷的特洛伊木马、蠕虫和病毒让我们学到了什么,那就是:对网络安全来说,软件补丁与病毒更新一样重要。臭名昭著的"冲击波"蠕虫和最近的Scob木马只是原本只要及时打上 相应的软件补丁就很容易避免攻击的两个例子。
现有的许多第三方解决方案通常可以分成两大类:独立的补丁管理实用程序和集成到较庞大的企业管理系统当中的补丁管理功能。它们各自有优缺点,如果IT管理员能够明白每种解决方案的利弊,就能选出适合自身环境、预算以及整体管理方法的补丁管理方案。
补丁管理实用程序
现在许多独立软件厂商提供补丁管理实用程序,包括BigFix、Shavlik Technologies、PatchLink和微软。由于补丁管理解决方案市场不断壮大,这类实用程序大多数集成了丰富功能。不过,由于实用程序产品的发展脱离于较全面的管理框架,所以它们仅仅是单点方案(point solution),缺乏与综合管理系统真正集成的性能。
这种解决方案的一个例子就是微软的软件更新服务(SUS),SUS利用了支持Windows 2000 Service Pack 2及更高版本的内置的自动更新服务。该产品是因特网信息服务器(IIS)的免费附件,但不提供与管理技术相集成的性能。
单一体系结构的SUS基本上是原先供企业使用而进行打包的微软Web服务的产物。在下一个重大升级版:Windows Update Services当中,SUS终于得到了一些改进。不过,大部分改进是在扩大补丁覆盖对象和改进补丁方面,而不是在基本体系结构方面。
实用程序的缺点就是会带来多余的管理活动,如果为处理不同管理任务而实施了多个单点方案,更是如此。譬如说,单点方案实施独特的管理控制台和报告系统,有许多把服务分发至工作站,各自对网络通信都有自己的需求。与功能齐全的企业管理系统相比,单点方案的好处就是实施起来比较快,并且购买价比较低。不过,这种短期得益有可能换来不可预知的长期成本。
企业管理系统
如今补丁管理已被认为是系统管理厂商再也不能忽视的一个长期问题。虽然起初添加补丁管理特性的企业管理产品寥寥无几,但现在大多数都包括了这项特性。添加补丁管理似乎是很自然的功能扩展,因为企业管理产品都包括了软件部署和报告功能。不过这些产品迟迟未见改动、仍处于转变期。
譬如说,微软最近提供了名为SUS Feature Pack(与SUS产品无关)的系统管理服务(SMS)附件。SUS Feature Pack把免费的HFNetCheck和Office Update Tool扫描实用程序跟SMS报告和软件部署功能集成起来。虽然目前这个混合系统肯定不是最好,但确实为SMS顾客提供了集成化功能。
再举一个例子,最近被BMC收购的Marimba向Shavlik购买了用于Windows平台的补丁元数据(即需要哪些补丁、如何安装补丁的信息)的许可证。这种信息与Marimba的高级软件打包和部署功能集成在一起。
诸如此类的企业管理系统有一个缺点:产品极其庞大,规划、基础设施和许可方面一般需要大笔投资。虽然补丁管理已成为其中的一个重要部分,但采购系统级方案一般取决于更全面的考虑因素,实施所需时间比单点方案长得多。另外,这些产品往往需要专门技能;这种技能很难找到,而且耗资不菲。不过企业管理系统的最大优势也在于集成。如果这类系统已经部署到位,那么使用集成的补丁管理功能也许是解决补丁管理问题的诱人方案。
内置系统
内置系统,譬如Windows 2000及以后版本平台上的Group Policy,能提供企业管理系统的全面集成功能,又不需要高昂费用。它们还能充分利用集成在这些较新的操作系统里面的管理功能,从而提供稳健功能。缺点在于,它们依靠较新操作系统的这种支持。不过,如果你用的是比较新的平台,或者不久将迁移到新平台,这种选择也许集两者之众长。
在活动目录(Active Directory)网络(约占如今市场的50%)上,有许多内置管理技术由第三方Group Policy插件紧密结合,提供强大的集成功能,价格却类似单点方案。因为Group Policy是活动目录管理必不可少的一部分,所以这种解决方案还可以降低培训费用、不需要部署专利服务、并可以利用通用的规划和报告基础设施。
平台支持
要考虑的另一个必要因素就是对各种操作系统、补丁和补丁语言的支持。有些补丁系统支持多个系统,譬如Linux、HP-UX、AIX、Solaris和Windows,另一些产品却只支持这些平台中的一小部分。
对于语言的支持也有差异,有的支持单一语言,有的支持所有语言。即使微软自己在打补丁的时候也是依据所用技术的不同,分别支持部分语言和全部语言。
最后,有些系统不支持部署非微软补丁或者不在补丁管理厂商发布的元数据之内的补丁。至少,你要确保解决方案能够满足这些方面的需求。