鋼鐵行業(yè)是我國(guó)最重要的傳統(tǒng)工業(yè)之一,其行業(yè)本身的特性迫使該行業(yè)的公司不斷地與業(yè)內(nèi)的其它公司和其它行業(yè)的替代產(chǎn)品進(jìn)行競(jìng)爭(zhēng)。 因此,廠商必須通過(guò)不斷地開(kāi)發(fā)新產(chǎn)品、提高生產(chǎn)效率、提高產(chǎn)品質(zhì)量來(lái)應(yīng)對(duì)瞬息萬(wàn)變的市場(chǎng)。同時(shí),企業(yè)還必須滿足制造高質(zhì)量產(chǎn)品、準(zhǔn)時(shí)交貨、保持最低成本等方面的要求。因此鋼鐵企業(yè)的改造迫切需要得到IT技術(shù)的大力支持。 據(jù)統(tǒng)計(jì),我國(guó)鋼年產(chǎn)量200萬(wàn)噸以上的20家企業(yè)百分之百實(shí)現(xiàn)了信息化;鋼年產(chǎn)量100萬(wàn)噸以上的47家企業(yè)和鋼年產(chǎn)量50萬(wàn)噸以上的58家企業(yè)中,也有絕大多數(shù)實(shí)現(xiàn)了信息化。 但是,就我國(guó)鋼鐵企業(yè)目前的現(xiàn)狀來(lái)看,兩級(jí)分化比較嚴(yán)重:一部分企業(yè)的設(shè)備較先進(jìn)、設(shè)備自動(dòng)化水平較高。如寶鋼、首鋼、攀鋼等幾個(gè)大型鋼廠和發(fā)展較快的一些中型鋼廠,它們基本實(shí)現(xiàn)了主要生產(chǎn)過(guò)程的自動(dòng)控制、處理和數(shù)據(jù)采集、ERP和企業(yè)資源系統(tǒng)管理;另一部分企業(yè)由于建廠早、設(shè)備自動(dòng)化水平低、資金薄弱,在實(shí)現(xiàn)信息化建設(shè)方面顯得心有余有力不足,只能在企業(yè)管理方面引入一些簡(jiǎn)單的計(jì)算機(jī)輔助系統(tǒng),幫助企業(yè)實(shí)現(xiàn)計(jì)算機(jī)輔助訂單管理、庫(kù)存管理和財(cái)務(wù)管理。對(duì)于后者,只有加強(qiáng)基礎(chǔ)信息化建設(shè),協(xié)助他們通過(guò)信息化改造找到創(chuàng)新的突破口,早日走出困境。 現(xiàn)狀:漏洞管理面臨的挑戰(zhàn) 隨著鋼鐵企業(yè)信息化程度的提高以Internet/Intranet應(yīng)用的普及,這些企業(yè)的IT系統(tǒng)所面臨的安全威脅也日益嚴(yán)重:病毒、黑客、補(bǔ)丁管理日益困擾著企業(yè)的技術(shù)部門或?qū)iT的IT部門,影響著員工的生產(chǎn)力和企業(yè)收入。怎樣才能進(jìn)行有效的安全告警、日志、內(nèi)容、補(bǔ)丁的有效管理?讓企業(yè)的IT人員從每天疲于做"救火隊(duì)員"的角色中擺脫出來(lái),以全面的IT管理科學(xué)有效地實(shí)現(xiàn)鋼鐵企業(yè)信息化建設(shè). 解決IT系統(tǒng)安全問(wèn)題正在日趨困難和復(fù)雜,新的安全漏洞、新的攻擊手段層出不窮;同時(shí),我們對(duì)于安全問(wèn)題的認(rèn)識(shí)和解決手段仍停留在單一的技術(shù)手段層面,缺乏從企業(yè)用戶的業(yè)務(wù)角度和管理角度去考慮整體安全策略,這使得我們只能被動(dòng)地等待安全問(wèn)題的出現(xiàn),然后再想辦法解決,而不是主動(dòng)地尋找任何可能出現(xiàn)的安全漏洞,并提前做出防范措施,降低安全風(fēng)險(xiǎn)。顯然,我們還缺乏一種面向未來(lái)的、統(tǒng)一的整體安全管理策略,來(lái)應(yīng)對(duì)各種新的安全問(wèn)題,在充滿危險(xiǎn)的未知領(lǐng)域里免于損失。 根據(jù)美國(guó)CERT/CC的調(diào)查結(jié)果,計(jì)算機(jī)突發(fā)事件和漏洞數(shù)量正在不斷增長(zhǎng),平均來(lái)說(shuō),每天公布的漏洞數(shù)量在40個(gè)以上,隨著發(fā)現(xiàn)漏洞數(shù)量的增長(zhǎng),系統(tǒng)受到攻擊的可能性以及相關(guān)費(fèi)用也在不斷增加。 軟件的缺陷或漏洞隨時(shí)都可能造成系統(tǒng)崩潰或者入侵,所以,一旦發(fā)現(xiàn)漏洞,人們通常的第一反應(yīng)是--趕快打補(bǔ)丁。但是,幾乎每天都有新的軟件缺陷、漏洞被發(fā)現(xiàn),伴隨著無(wú)數(shù)相應(yīng)的補(bǔ)丁或者臨時(shí)解決辦法,安裝如此多的漏洞和補(bǔ)丁是需要占用大量資源的。另外,倉(cāng)促推出的補(bǔ)丁有時(shí)未必安全,相反,或許還會(huì)引入穩(wěn)定性、性能等方面的隱患。 我們先來(lái)看一組數(shù)字:根據(jù)Meta Group的報(bào)道,2002年全年共發(fā)現(xiàn)和公布了4192個(gè)漏洞。同時(shí),實(shí)際統(tǒng)計(jì)表明,平均一個(gè)系統(tǒng)管理員全年共花費(fèi)1920個(gè)工時(shí),將4個(gè)補(bǔ)丁打到120臺(tái)服務(wù)器上,即在一個(gè)服務(wù)器上打一個(gè)補(bǔ)丁的平均時(shí)間大約為4小時(shí),其中包括備份安裝測(cè)試等環(huán)節(jié)。假設(shè)該名系統(tǒng)管理員具有良好的技能訓(xùn)練,可以在20分鐘內(nèi)閱讀研究完一個(gè)漏洞及其補(bǔ)丁解決方案,那么,4192個(gè)漏洞總共需要172個(gè)人天。再假設(shè)其中只有10%的漏洞適用于自己的網(wǎng)絡(luò)環(huán)境,這樣413個(gè)漏洞,每個(gè)相應(yīng)的補(bǔ)丁部署在10臺(tái)服務(wù)器上,共需要2065個(gè)人天(即同樣配置的服務(wù)器數(shù)量為10個(gè)左右)。我們可以看到,這兩個(gè)人天數(shù)字加在一起,差不多是10個(gè)全職安全管理員一年的工作量,這里還沒(méi)有考慮對(duì)廠家發(fā)表的補(bǔ)丁進(jìn)行測(cè)試和驗(yàn)證的過(guò)程,也沒(méi)有考慮打補(bǔ)丁失敗造成的二次資源消耗?梢钥吹剑a(bǔ)丁和漏洞管理已經(jīng)成為一個(gè)很大的資源漏斗,占用大量的系統(tǒng)管理員資源。 在現(xiàn)實(shí)中,企業(yè)要想實(shí)現(xiàn)一個(gè)全面的漏洞管理解決方案的確相當(dāng)困難,不但費(fèi)用昂貴,而且費(fèi)時(shí)費(fèi)力,實(shí)施復(fù)雜。通常,鋼鐵企業(yè)由于信息化進(jìn)程都是循序漸進(jìn)的,因此IT架構(gòu)十分復(fù)雜:在硬件方面,使用多個(gè)廠商的服務(wù)器及終端,軟件方面,具有多種操作平臺(tái),如Windows 2000、Windows NT、Red Hat Linux、Oracle、Microsoft IIS和SQL等。由于這種IT資源獨(dú)立而且異構(gòu)的狀況,必須找到一種集成的工具以控制漏洞管理的所有步驟。 措施:引入自動(dòng)化的補(bǔ)丁和漏洞管理工具 任何一名企業(yè)管理者對(duì)這些系統(tǒng)的安全隱患和所承受的巨大的資源消耗視而不見(jiàn),因此必須找到更有效的解決途徑,以填補(bǔ)這個(gè)巨大的"漏斗",這些解決途徑可以包括以下措施: 引入知識(shí)共享或者外部知識(shí)庫(kù)(專業(yè)服務(wù)),減少漏洞和補(bǔ)丁學(xué)習(xí)過(guò)程消耗;建立有效的補(bǔ)丁管理流程和備份回卷計(jì)劃;引入自動(dòng)化的補(bǔ)丁和漏洞管理工具,加速部署過(guò)程。 ●補(bǔ)丁的風(fēng)險(xiǎn)成本 事實(shí)上,打補(bǔ)丁對(duì)于任何一個(gè)企業(yè)來(lái)說(shuō),代價(jià)是非常昂貴的。這種成本包含有收集、了解、測(cè)試、部署、備份恢復(fù)以及風(fēng)險(xiǎn)等成本。但是,不打補(bǔ)丁的"成本"是數(shù)據(jù)失密、丟失、篡改、拒絕服務(wù)、系統(tǒng)恢復(fù)以及其它無(wú)形損失等。 ●尋找打補(bǔ)丁最佳時(shí)機(jī) 通常認(rèn)為,對(duì)于發(fā)現(xiàn)的漏洞和補(bǔ)丁應(yīng)該盡快安裝部署。但是,按照美國(guó)USENIX組織發(fā)表的一個(gè)針對(duì)CVE漏洞和補(bǔ)丁的研究數(shù)字表明,大概有18%左右的補(bǔ)丁會(huì)稍后進(jìn)行重新發(fā)布,即出現(xiàn)了所謂的補(bǔ)丁的補(bǔ)丁,即意味著,在第一時(shí)間安裝上的補(bǔ)丁,有18%的可能會(huì)帶來(lái)新的缺陷或安全漏洞。隨著時(shí)間的推移,補(bǔ)丁本身的安全性和穩(wěn)定性會(huì)上升,由此造成的損失風(fēng)險(xiǎn)相應(yīng)降低。 ●自動(dòng)化打補(bǔ)丁降低部署成本 我們知道,降低部署成本、減小補(bǔ)丁失敗成本,可以提高補(bǔ)丁管理決定的安全防御強(qiáng)度。降低部署成本的有效辦法就是"自動(dòng)化",建立覆蓋全網(wǎng)的自動(dòng)化補(bǔ)丁知識(shí)庫(kù)和管理系統(tǒng),集中收集、建立、分發(fā)補(bǔ)丁包。這樣的自動(dòng)化系統(tǒng)可以帶來(lái)下面所列的明顯收益:將整個(gè)補(bǔ)丁分發(fā)過(guò)程的時(shí)間窗口減小到極低;將每服務(wù)器/每補(bǔ)丁數(shù)小時(shí)的工時(shí)成本降到很低,即分發(fā)安裝費(fèi)用降到接近零,只剩下制作軟件分發(fā)包、檢查測(cè)試補(bǔ)丁安裝結(jié)果的"工時(shí)"成本;保證全網(wǎng)在補(bǔ)丁配置管理方面的一致性。另外,減小補(bǔ)丁失敗成本的辦法是對(duì)補(bǔ)丁進(jìn)行有效測(cè)試,具體做法可以是購(gòu)買專業(yè)廠家的服務(wù),也可以建立自己的安全實(shí)驗(yàn)室。這樣的投資對(duì)于分布式的大企業(yè)來(lái)說(shuō),具有非常高的投資回報(bào)率。 補(bǔ)丁本身的特點(diǎn),注定了補(bǔ)丁管理不可能有很好的預(yù)見(jiàn)性。但是作為管理者,在流程和手段上,卻不能不預(yù)見(jiàn)到補(bǔ)丁管理的特性和意義,及其實(shí)施中的具體問(wèn)題。所有的補(bǔ)丁分發(fā)與管理工具只是幫助加速或者自動(dòng)化相應(yīng)的策略和過(guò)程,提高效率和質(zhì)量而已,但是不可能改變邏輯。如果補(bǔ)丁管理流程本身是混亂的,那么自動(dòng)化的后果也肯定是混亂的。 補(bǔ)丁管理相關(guān)策略和流程的設(shè)計(jì)需要充分考慮以下相關(guān)的重要流程環(huán)節(jié),包括: ●企業(yè)的安全策略:漏洞或者缺陷是對(duì)安全的威脅,安全策略應(yīng)該覆蓋針對(duì)漏洞和補(bǔ)丁的相應(yīng)策略,補(bǔ)丁和漏洞管理流程則應(yīng)該與上述策略相適應(yīng)。 ●變更和發(fā)布管理:補(bǔ)丁的制作、測(cè)試、批準(zhǔn)和部署應(yīng)該納入標(biāo)準(zhǔn)的變更和發(fā)布流程。如果當(dāng)前尚沒(méi)有完整的變更和發(fā)布流程,則在補(bǔ)丁管理流程中應(yīng)該明確定義補(bǔ)丁的優(yōu)先級(jí)或者分類、制作、測(cè)試、批準(zhǔn)和部署以及驗(yàn)證等相關(guān)職位、職責(zé)和時(shí)間。 ●配置管理:按照ITIL的最佳實(shí)踐,完整一致的中心配置管理數(shù)據(jù)庫(kù)(CMDB)是保持高水平IT服務(wù)管理的保障。定義補(bǔ)丁和漏洞相關(guān)的配置管理?xiàng)l目,并通過(guò)流程保證及時(shí)正確地更新。 ●資產(chǎn)管理:如果已經(jīng)具備了資產(chǎn)管理體系和流程,補(bǔ)丁和漏洞應(yīng)該與具體的資產(chǎn)和相關(guān)業(yè)務(wù)優(yōu)先級(jí)對(duì)應(yīng)起來(lái),正確設(shè)計(jì)不同關(guān)鍵性資產(chǎn)的特定流程。 ●備份恢復(fù)和業(yè)務(wù)連續(xù)性管理:補(bǔ)丁部署的前后都會(huì)與企業(yè)的備份恢復(fù)以及業(yè)務(wù)連續(xù)性管理有關(guān),需要充分參考、在必要時(shí)修改更新備份恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃。 ●緊急響應(yīng):所有的補(bǔ)丁管理流程必須設(shè)計(jì)相應(yīng)的緊急響應(yīng)流程。從前面的數(shù)字,我們知道,即使是官方正式發(fā)表的補(bǔ)丁,也有相當(dāng)?shù)母怕蕰?huì)出現(xiàn)自身新的缺陷或漏洞,與企業(yè)系統(tǒng)的應(yīng)用關(guān)聯(lián)在一起,補(bǔ)丁的漏洞是絕對(duì)不可忽略的。流程中必須保證這樣的恢復(fù)和緊急響應(yīng)環(huán)節(jié)。 從上面的措施可以看出,管理層應(yīng)該綜合考慮相關(guān)的各個(gè)方面,充分借鑒在IT服務(wù)管理或者ITIL(信息技術(shù)基礎(chǔ)架構(gòu)庫(kù))方面的實(shí)踐經(jīng)驗(yàn),或者借助于外部的專業(yè)服務(wù),設(shè)計(jì)與整體IT基礎(chǔ)設(shè)施管理系統(tǒng)相匹配的補(bǔ)丁管理策略和操作流程。同時(shí),在應(yīng)用前面的自動(dòng)化補(bǔ)丁管理系統(tǒng)之前,應(yīng)該充分調(diào)查研究具體的IT環(huán)境和整個(gè)補(bǔ)丁生命周期的各種問(wèn)題,設(shè)計(jì)較為周密的補(bǔ)丁管理策略和流程,至少應(yīng)該明確定義補(bǔ)丁管理的使用范圍、補(bǔ)丁優(yōu)先級(jí)、補(bǔ)丁分發(fā)包的制作和測(cè)試、批準(zhǔn)與分發(fā)安裝、安裝后測(cè)試、備份恢復(fù)計(jì)劃等。 方案:實(shí)現(xiàn)安全智能的漏洞管理 實(shí)施真正的安全管理解決方案可賦予信息技術(shù)部門下列能力: ●在基本不需或者無(wú)需管理員干預(yù)的情況下,自動(dòng)處理多種安全事件,從而減少事件管理的成本和復(fù)雜程度。 ●通過(guò)集中的、基于Web或者角色的門戶全面指揮和管理整個(gè)企業(yè)的安全環(huán)境。 ●通過(guò)減少嚴(yán)重事件所帶來(lái)的風(fēng)險(xiǎn),改善整個(gè)安全狀況。 CA公司洞悉當(dāng)前企業(yè)全面管理安全的需求,推出了創(chuàng)新的eTrust整體安全管理解決方案。它可以分為三套解決方案,即eTrust身份識(shí)別管理、eTrust訪問(wèn)管理和eTrust威脅管理,并通過(guò)eTrust安全總控中心,為企業(yè)提供了集成的、門戶化的、可視的安全管理功能,從而協(xié)助企業(yè)實(shí)現(xiàn)整體安全控制。 eTrust Vulnerability Manager(以下簡(jiǎn)稱eVM)是一個(gè)革命性的漏洞管理工具,是CA公司去年推出的新產(chǎn)品。屬于eTrust威脅管理解決方案,為企業(yè)提供了消除網(wǎng)絡(luò)所面臨的最大威脅之一--漏洞所必需的工具和安全智能。eVM可以幫助企業(yè)確定哪些漏洞將影響哪些資產(chǎn),所有這些步驟都是自動(dòng)執(zhí)行的,并且還為管理者提供一份實(shí)時(shí)的關(guān)鍵性業(yè)務(wù)資產(chǎn)的風(fēng)險(xiǎn)評(píng)估。eVM可以讓IT管理人員集中于處理可能對(duì)企業(yè)關(guān)鍵性業(yè)務(wù)資產(chǎn)造成影響的高風(fēng)險(xiǎn)漏洞,并提供一份基于資產(chǎn)的漏洞報(bào)告。通過(guò)工作歷史記錄,管理者可以檢驗(yàn)已經(jīng)解決問(wèn)題的修復(fù)并記錄某個(gè)任務(wù)的完成情況。此外,eVM還可以生成匯總報(bào)告,并對(duì)它們的風(fēng)險(xiǎn)狀況進(jìn)行量化,隨著新的漏洞的發(fā)現(xiàn)和公布,這些新的漏洞也將在基于風(fēng)險(xiǎn)的任務(wù)列表中動(dòng)態(tài)出現(xiàn)。 我國(guó)鋼鐵企業(yè)的信息化建設(shè)發(fā)展相當(dāng)迅速,國(guó)家也給予了極大的重視。因此,處在各個(gè)層次上的鋼鐵企業(yè)都應(yīng)該在信息化建設(shè)過(guò)程中,從自身的需求實(shí)際出發(fā),在企業(yè)如火如荼進(jìn)行信息化的同時(shí),不能忘記對(duì)IT系統(tǒng)漏洞的管理。漏洞管理是當(dāng)前IT系統(tǒng)管理中越來(lái)越繁雜的內(nèi)容,補(bǔ)丁全部不打,安全風(fēng)險(xiǎn)太大;什么補(bǔ)丁都打,一方面成本很高,另外補(bǔ)丁本身帶來(lái)的風(fēng)險(xiǎn)也不可忽略。因此CA建議:部署自動(dòng)化的漏洞管理工具可以大幅減小漏洞收集和補(bǔ)丁部署成本,從而在相同投入情況下,提高補(bǔ)丁管理帶來(lái)的安全強(qiáng)度。漏洞管理必須建立相應(yīng)的流程,該流程應(yīng)充分參考借鑒ITIL的最佳實(shí)踐,融入到整體的IT基礎(chǔ)設(shè)施管理體系中去。另外就是借鑒同行業(yè)或者其他行業(yè)中領(lǐng)先企業(yè)的寶貴經(jīng)驗(yàn),避免走彎路,領(lǐng)導(dǎo)層重視與企業(yè)員工努力并舉,真正"煉"出一副"百毒不侵"的信息系統(tǒng)。