ITIL并不能直接指导企业IT架构的日常维护和补丁升级操作,但ITIL涵盖了范围更为宽广的变更、分发和配置管理,从而使利用ITIL的思想和原则对企业的补丁管理流程进行规范成为可能。
企业在对IT架构实施补丁升级的过程中,会遇到相当多的问题。冗余低效的补丁分发方案、补丁记录缺失、高风险的补丁实施和没有制定有效的补丁撤销策略等是其中影响最大的问题。这些问题的存在,不但明显降低了企业IT部门的工作效率,还消耗了大量企业用于IT设施的预算,最为严重的是,还影响企业顺利开展业务,对高价值数据的安全造成了非常大的威胁。
企业要提高IT架构的效率、安全性和对业务的贡献率,就必须首先解决在实施补丁升级过程中的诸多问题。这些问题的解决都指向一点:制定并实施理想的补丁管理策略。这点是目前绝大多数的企业都十分缺乏的实践。那么企业应该如何做?
企业要制定理想的补丁管理策略,就需要先明确实施这个策略要实现什么目的,以及目的的达成能够给企业带来什么现实的好处。了解目标所在之后,企业下一步需要做的就是,制定一个符合自己业务和IT环境现状的理想补丁管理策略。但对大部分缺乏标准化流程制定经验的企业来说,这并非易事。幸好,我们有ITIL (IT基础设施库)可以参考,它包含着如何管理IT基础设施的流程描述。它以流程为导向,以客户为中心,通过整合IT服务与企业业务,提高企业的IT服务提供和服务支持的能力和水平。ITIL可引导组织高效和有效地使用技术,让既有的信息化资源发挥更大的效能。基于ITIL思想的补丁管理策略包括4个重要阶段:配置管理、风险评估、变更管理和补丁发布管理。
重要阶段1:配置管理
对企业现有IT环境的详细了解是补丁升级成功的第一步。如果企业在实行补丁升级操作前不了解企业IT环境的实际情况,企业将无法了解漏洞的存在和危害、补丁程序的影响和风险,也就无法对接下去的补丁升级活动进行计划。企业可以通过配置管理来收集IT环境的相关数据。
企业要根据IT架构的配置情况实施配置管理,可以使用数据库或文档记录的方式。一般情况下,企业只须关注系统的标识、技术特征和业务角色三个要素即可。
配置数据一般可直接从企业新设备的采购或更新时的登记表中获取,但要注意的是,配置信息应该随着系统的变更而及时更新,否则就毫无价值。对于内部网络庞大、设备数量众多的企业,建议采用数据库的方式来维护配置管理信息,以增强配置管理信息的使用效率并降低维护难度。
重要阶段2:风险评估
企业在进行补丁升级操作之前,还需要获知当前最新的补丁程序信息,同时还要知道企业IT架构中有哪些系统是需要进行补丁升级操作的。因此,企业可以在风险评估这一阶段对存在漏洞的系统进行调查,并获取补丁程序的信息。风险评估的一般步骤如下:1.获取漏洞信息和厂商发布的补丁信息;2.评估漏洞和补丁对现有系统及应用程序的影响;3.查找并记录现有系统和应用程序中存在的漏洞,并记录所有的处置决定;4.将漏洞情况告知系统的所有人;5.提交变更请求。
企业可以很方便地从相关厂商或各大安全站点上获取最新的漏洞和补丁信息。这些漏洞信息中通常包括受影响系统、漏洞描述和威胁等。企业的IT部门需要将这些信息记录下来,并作为补丁程序使用决定的依据之一。有漏洞信息公开时,对应的厂商尚未提供补丁程序,企业的IT部门也应该根据该漏洞的危害及影响,从其他方面对防御这个漏洞进行准备,如隔离或关闭受影响系统等。
由于厂商往往会针对不同的软件产品和版本发布多个补丁程序,因此企业可以使用自动化的补丁分发工具,获取并分类这些种类繁多的补丁程序。将自动化的补丁分发工具和阶段1使用到的配置管理数据库结合使用,能够帮助企业IT部门做出更准确的判断。