ITIL并不能直接指導(dǎo)企業(yè)IT架構(gòu)的日常維護(hù)和補丁升級操作,但I(xiàn)TIL涵蓋了范圍更為寬廣的變更、分發(fā)和配置管理,從而使利用ITIL的思想和原則對企業(yè)的補丁管理流程進(jìn)行規(guī)范成為可能。
企業(yè)在對IT架構(gòu)實施補丁升級的過程中,會遇到相當(dāng)多的問題。冗余低效的補丁分發(fā)方案、補丁記錄缺失、高風(fēng)險的補丁實施和沒有制定有效的補丁撤銷策略等是其中影響最大的問題。這些問題的存在,不但明顯降低了企業(yè)IT部門的工作效率,還消耗了大量企業(yè)用于IT設(shè)施的預(yù)算,最為嚴(yán)重的是,還影響企業(yè)順利開展業(yè)務(wù),對高價值數(shù)據(jù)的安全造成了非常大的威脅。
企業(yè)要提高IT架構(gòu)的效率、安全性和對業(yè)務(wù)的貢獻(xiàn)率,就必須首先解決在實施補丁升級過程中的諸多問題。這些問題的解決都指向一點:制定并實施理想的補丁管理策略。這點是目前絕大多數(shù)的企業(yè)都十分缺乏的實踐。那么企業(yè)應(yīng)該如何做?
企業(yè)要制定理想的補丁管理策略,就需要先明確實施這個策略要實現(xiàn)什么目的,以及目的的達(dá)成能夠給企業(yè)帶來什么現(xiàn)實的好處。了解目標(biāo)所在之后,企業(yè)下一步需要做的就是,制定一個符合自己業(yè)務(wù)和IT環(huán)境現(xiàn)狀的理想補丁管理策略。但對大部分缺乏標(biāo)準(zhǔn)化流程制定經(jīng)驗的企業(yè)來說,這并非易事。幸好,我們有ITIL (IT基礎(chǔ)設(shè)施庫)可以參考,它包含著如何管理IT基礎(chǔ)設(shè)施的流程描述。它以流程為導(dǎo)向,以客戶為中心,通過整合IT服務(wù)與企業(yè)業(yè)務(wù),提高企業(yè)的IT服務(wù)提供和服務(wù)支持的能力和水平。ITIL可引導(dǎo)組織高效和有效地使用技術(shù),讓既有的信息化資源發(fā)揮更大的效能。基于ITIL思想的補丁管理策略包括4個重要階段:配置管理、風(fēng)險評估、變更管理和補丁發(fā)布管理。
重要階段1:配置管理
對企業(yè)現(xiàn)有IT環(huán)境的詳細(xì)了解是補丁升級成功的第一步。如果企業(yè)在實行補丁升級操作前不了解企業(yè)IT環(huán)境的實際情況,企業(yè)將無法了解漏洞的存在和危害、補丁程序的影響和風(fēng)險,也就無法對接下去的補丁升級活動進(jìn)行計劃。企業(yè)可以通過配置管理來收集IT環(huán)境的相關(guān)數(shù)據(jù)。
企業(yè)要根據(jù)IT架構(gòu)的配置情況實施配置管理,可以使用數(shù)據(jù)庫或文檔記錄的方式。一般情況下,企業(yè)只須關(guān)注系統(tǒng)的標(biāo)識、技術(shù)特征和業(yè)務(wù)角色三個要素即可。
配置數(shù)據(jù)一般可直接從企業(yè)新設(shè)備的采購或更新時的登記表中獲取,但要注意的是,配置信息應(yīng)該隨著系統(tǒng)的變更而及時更新,否則就毫無價值。對于內(nèi)部網(wǎng)絡(luò)龐大、設(shè)備數(shù)量眾多的企業(yè),建議采用數(shù)據(jù)庫的方式來維護(hù)配置管理信息,以增強配置管理信息的使用效率并降低維護(hù)難度。
重要階段2:風(fēng)險評估
企業(yè)在進(jìn)行補丁升級操作之前,還需要獲知當(dāng)前最新的補丁程序信息,同時還要知道企業(yè)IT架構(gòu)中有哪些系統(tǒng)是需要進(jìn)行補丁升級操作的。因此,企業(yè)可以在風(fēng)險評估這一階段對存在漏洞的系統(tǒng)進(jìn)行調(diào)查,并獲取補丁程序的信息。風(fēng)險評估的一般步驟如下:1.獲取漏洞信息和廠商發(fā)布的補丁信息;2.評估漏洞和補丁對現(xiàn)有系統(tǒng)及應(yīng)用程序的影響;3.查找并記錄現(xiàn)有系統(tǒng)和應(yīng)用程序中存在的漏洞,并記錄所有的處置決定;4.將漏洞情況告知系統(tǒng)的所有人;5.提交變更請求。
企業(yè)可以很方便地從相關(guān)廠商或各大安全站點上獲取最新的漏洞和補丁信息。這些漏洞信息中通常包括受影響系統(tǒng)、漏洞描述和威脅等。企業(yè)的IT部門需要將這些信息記錄下來,并作為補丁程序使用決定的依據(jù)之一。有漏洞信息公開時,對應(yīng)的廠商尚未提供補丁程序,企業(yè)的IT部門也應(yīng)該根據(jù)該漏洞的危害及影響,從其他方面對防御這個漏洞進(jìn)行準(zhǔn)備,如隔離或關(guān)閉受影響系統(tǒng)等。
由于廠商往往會針對不同的軟件產(chǎn)品和版本發(fā)布多個補丁程序,因此企業(yè)可以使用自動化的補丁分發(fā)工具,獲取并分類這些種類繁多的補丁程序。將自動化的補丁分發(fā)工具和階段1使用到的配置管理數(shù)據(jù)庫結(jié)合使用,能夠幫助企業(yè)IT部門做出更準(zhǔn)確的判斷。
