ITIL并不能直接指導(dǎo)企業(yè)IT架構(gòu)的日常維護(hù)和補(bǔ)丁升級(jí)操作,但I(xiàn)TIL涵蓋了范圍更為寬廣的變更、分發(fā)和配置管理,從而使利用ITIL的思想和原則對(duì)企業(yè)的補(bǔ)丁管理流程進(jìn)行規(guī)范成為可能。
企業(yè)在對(duì)IT架構(gòu)實(shí)施補(bǔ)丁升級(jí)的過(guò)程中,會(huì)遇到相當(dāng)多的問(wèn)題。冗余低效的補(bǔ)丁分發(fā)方案、補(bǔ)丁記錄缺失、高風(fēng)險(xiǎn)的補(bǔ)丁實(shí)施和沒有制定有效的補(bǔ)丁撤銷策略等是其中影響最大的問(wèn)題。這些問(wèn)題的存在,不但明顯降低了企業(yè)IT部門的工作效率,還消耗了大量企業(yè)用于IT設(shè)施的預(yù)算,最為嚴(yán)重的是,還影響企業(yè)順利開展業(yè)務(wù),對(duì)高價(jià)值數(shù)據(jù)的安全造成了非常大的威脅。
企業(yè)要提高IT架構(gòu)的效率、安全性和對(duì)業(yè)務(wù)的貢獻(xiàn)率,就必須首先解決在實(shí)施補(bǔ)丁升級(jí)過(guò)程中的諸多問(wèn)題。這些問(wèn)題的解決都指向一點(diǎn):制定并實(shí)施理想的補(bǔ)丁管理策略。這點(diǎn)是目前絕大多數(shù)的企業(yè)都十分缺乏的實(shí)踐。那么企業(yè)應(yīng)該如何做?
企業(yè)要制定理想的補(bǔ)丁管理策略,就需要先明確實(shí)施這個(gè)策略要實(shí)現(xiàn)什么目的,以及目的的達(dá)成能夠給企業(yè)帶來(lái)什么現(xiàn)實(shí)的好處。了解目標(biāo)所在之后,企業(yè)下一步需要做的就是,制定一個(gè)符合自己業(yè)務(wù)和IT環(huán)境現(xiàn)狀的理想補(bǔ)丁管理策略。但對(duì)大部分缺乏標(biāo)準(zhǔn)化流程制定經(jīng)驗(yàn)的企業(yè)來(lái)說(shuō),這并非易事。幸好,我們有ITIL (IT基礎(chǔ)設(shè)施庫(kù))可以參考,它包含著如何管理IT基礎(chǔ)設(shè)施的流程描述。它以流程為導(dǎo)向,以客戶為中心,通過(guò)整合IT服務(wù)與企業(yè)業(yè)務(wù),提高企業(yè)的IT服務(wù)提供和服務(wù)支持的能力和水平。ITIL可引導(dǎo)組織高效和有效地使用技術(shù),讓既有的信息化資源發(fā)揮更大的效能。基于ITIL思想的補(bǔ)丁管理策略包括4個(gè)重要階段:配置管理、風(fēng)險(xiǎn)評(píng)估、變更管理和補(bǔ)丁發(fā)布管理。
重要階段1:配置管理
對(duì)企業(yè)現(xiàn)有IT環(huán)境的詳細(xì)了解是補(bǔ)丁升級(jí)成功的第一步。如果企業(yè)在實(shí)行補(bǔ)丁升級(jí)操作前不了解企業(yè)IT環(huán)境的實(shí)際情況,企業(yè)將無(wú)法了解漏洞的存在和危害、補(bǔ)丁程序的影響和風(fēng)險(xiǎn),也就無(wú)法對(duì)接下去的補(bǔ)丁升級(jí)活動(dòng)進(jìn)行計(jì)劃。企業(yè)可以通過(guò)配置管理來(lái)收集IT環(huán)境的相關(guān)數(shù)據(jù)。
企業(yè)要根據(jù)IT架構(gòu)的配置情況實(shí)施配置管理,可以使用數(shù)據(jù)庫(kù)或文檔記錄的方式。一般情況下,企業(yè)只須關(guān)注系統(tǒng)的標(biāo)識(shí)、技術(shù)特征和業(yè)務(wù)角色三個(gè)要素即可。
配置數(shù)據(jù)一般可直接從企業(yè)新設(shè)備的采購(gòu)或更新時(shí)的登記表中獲取,但要注意的是,配置信息應(yīng)該隨著系統(tǒng)的變更而及時(shí)更新,否則就毫無(wú)價(jià)值。對(duì)于內(nèi)部網(wǎng)絡(luò)龐大、設(shè)備數(shù)量眾多的企業(yè),建議采用數(shù)據(jù)庫(kù)的方式來(lái)維護(hù)配置管理信息,以增強(qiáng)配置管理信息的使用效率并降低維護(hù)難度。
重要階段2:風(fēng)險(xiǎn)評(píng)估
企業(yè)在進(jìn)行補(bǔ)丁升級(jí)操作之前,還需要獲知當(dāng)前最新的補(bǔ)丁程序信息,同時(shí)還要知道企業(yè)IT架構(gòu)中有哪些系統(tǒng)是需要進(jìn)行補(bǔ)丁升級(jí)操作的。因此,企業(yè)可以在風(fēng)險(xiǎn)評(píng)估這一階段對(duì)存在漏洞的系統(tǒng)進(jìn)行調(diào)查,并獲取補(bǔ)丁程序的信息。風(fēng)險(xiǎn)評(píng)估的一般步驟如下:1.獲取漏洞信息和廠商發(fā)布的補(bǔ)丁信息;2.評(píng)估漏洞和補(bǔ)丁對(duì)現(xiàn)有系統(tǒng)及應(yīng)用程序的影響;3.查找并記錄現(xiàn)有系統(tǒng)和應(yīng)用程序中存在的漏洞,并記錄所有的處置決定;4.將漏洞情況告知系統(tǒng)的所有人;5.提交變更請(qǐng)求。
企業(yè)可以很方便地從相關(guān)廠商或各大安全站點(diǎn)上獲取最新的漏洞和補(bǔ)丁信息。這些漏洞信息中通常包括受影響系統(tǒng)、漏洞描述和威脅等。企業(yè)的IT部門需要將這些信息記錄下來(lái),并作為補(bǔ)丁程序使用決定的依據(jù)之一。有漏洞信息公開時(shí),對(duì)應(yīng)的廠商尚未提供補(bǔ)丁程序,企業(yè)的IT部門也應(yīng)該根據(jù)該漏洞的危害及影響,從其他方面對(duì)防御這個(gè)漏洞進(jìn)行準(zhǔn)備,如隔離或關(guān)閉受影響系統(tǒng)等。
由于廠商往往會(huì)針對(duì)不同的軟件產(chǎn)品和版本發(fā)布多個(gè)補(bǔ)丁程序,因此企業(yè)可以使用自動(dòng)化的補(bǔ)丁分發(fā)工具,獲取并分類這些種類繁多的補(bǔ)丁程序。將自動(dòng)化的補(bǔ)丁分發(fā)工具和階段1使用到的配置管理數(shù)據(jù)庫(kù)結(jié)合使用,能夠幫助企業(yè)IT部門做出更準(zhǔn)確的判斷。
