鋼鐵行業(yè)是我國最重要的傳統(tǒng)工業(yè)之一,其行業(yè)本身的特性迫使該行業(yè)的公司不斷地與業(yè)內(nèi)的其它公司和其它行業(yè)的替代產(chǎn)品進行競爭。 因此,廠商必須通過不斷地開發(fā)新產(chǎn)品、提高生產(chǎn)效率、提高產(chǎn)品質量來應對瞬息萬變的市場。同時,企業(yè)還必須滿足制造高質量產(chǎn)品、準時交貨、保持最低成本等方面的要求。因此鋼鐵企業(yè)的改造迫切需要得到IT技術的大力支持。 據(jù)統(tǒng)計,我國鋼年產(chǎn)量200萬噸以上的20家企業(yè)百分之百實現(xiàn)了信息化;鋼年產(chǎn)量100萬噸以上的47家企業(yè)和鋼年產(chǎn)量50萬噸以上的58家企業(yè)中,也有絕大多數(shù)實現(xiàn)了信息化。 但是,就我國鋼鐵企業(yè)目前的現(xiàn)狀來看,兩級分化比較嚴重:一部分企業(yè)的設備較先進、設備自動化水平較高。如寶鋼、首鋼、攀鋼等幾個大型鋼廠和發(fā)展較快的一些中型鋼廠,它們基本實現(xiàn)了主要生產(chǎn)過程的自動控制、處理和數(shù)據(jù)采集、ERP和企業(yè)資源系統(tǒng)管理;另一部分企業(yè)由于建廠早、設備自動化水平低、資金薄弱,在實現(xiàn)信息化建設方面顯得心有余有力不足,只能在企業(yè)管理方面引入一些簡單的計算機輔助系統(tǒng),幫助企業(yè)實現(xiàn)計算機輔助訂單管理、庫存管理和財務管理。對于后者,只有加強基礎信息化建設,協(xié)助他們通過信息化改造找到創(chuàng)新的突破口,早日走出困境。 現(xiàn)狀:漏洞管理面臨的挑戰(zhàn) 隨著鋼鐵企業(yè)信息化程度的提高以Internet/Intranet應用的普及,這些企業(yè)的IT系統(tǒng)所面臨的安全威脅也日益嚴重:病毒、黑客、補丁管理日益困擾著企業(yè)的技術部門或專門的IT部門,影響著員工的生產(chǎn)力和企業(yè)收入。怎樣才能進行有效的安全告警、日志、內(nèi)容、補丁的有效管理?讓企業(yè)的IT人員從每天疲于做"救火隊員"的角色中擺脫出來,以全面的IT管理科學有效地實現(xiàn)鋼鐵企業(yè)信息化建設. 解決IT系統(tǒng)安全問題正在日趨困難和復雜,新的安全漏洞、新的攻擊手段層出不窮;同時,我們對于安全問題的認識和解決手段仍停留在單一的技術手段層面,缺乏從企業(yè)用戶的業(yè)務角度和管理角度去考慮整體安全策略,這使得我們只能被動地等待安全問題的出現(xiàn),然后再想辦法解決,而不是主動地尋找任何可能出現(xiàn)的安全漏洞,并提前做出防范措施,降低安全風險。顯然,我們還缺乏一種面向未來的、統(tǒng)一的整體安全管理策略,來應對各種新的安全問題,在充滿危險的未知領域里免于損失。 根據(jù)美國CERT/CC的調(diào)查結果,計算機突發(fā)事件和漏洞數(shù)量正在不斷增長,平均來說,每天公布的漏洞數(shù)量在40個以上,隨著發(fā)現(xiàn)漏洞數(shù)量的增長,系統(tǒng)受到攻擊的可能性以及相關費用也在不斷增加。 軟件的缺陷或漏洞隨時都可能造成系統(tǒng)崩潰或者入侵,所以,一旦發(fā)現(xiàn)漏洞,人們通常的第一反應是--趕快打補丁。但是,幾乎每天都有新的軟件缺陷、漏洞被發(fā)現(xiàn),伴隨著無數(shù)相應的補丁或者臨時解決辦法,安裝如此多的漏洞和補丁是需要占用大量資源的。另外,倉促推出的補丁有時未必安全,相反,或許還會引入穩(wěn)定性、性能等方面的隱患。 我們先來看一組數(shù)字:根據(jù)Meta Group的報道,2002年全年共發(fā)現(xiàn)和公布了4192個漏洞。同時,實際統(tǒng)計表明,平均一個系統(tǒng)管理員全年共花費1920個工時,將4個補丁打到120臺服務器上,即在一個服務器上打一個補丁的平均時間大約為4小時,其中包括備份安裝測試等環(huán)節(jié)。假設該名系統(tǒng)管理員具有良好的技能訓練,可以在20分鐘內(nèi)閱讀研究完一個漏洞及其補丁解決方案,那么,4192個漏洞總共需要172個人天。再假設其中只有10%的漏洞適用于自己的網(wǎng)絡環(huán)境,這樣413個漏洞,每個相應的補丁部署在10臺服務器上,共需要2065個人天(即同樣配置的服務器數(shù)量為10個左右)。我們可以看到,這兩個人天數(shù)字加在一起,差不多是10個全職安全管理員一年的工作量,這里還沒有考慮對廠家發(fā)表的補丁進行測試和驗證的過程,也沒有考慮打補丁失敗造成的二次資源消耗。可以看到,補丁和漏洞管理已經(jīng)成為一個很大的資源漏斗,占用大量的系統(tǒng)管理員資源。 在現(xiàn)實中,企業(yè)要想實現(xiàn)一個全面的漏洞管理解決方案的確相當困難,不但費用昂貴,而且費時費力,實施復雜。通常,鋼鐵企業(yè)由于信息化進程都是循序漸進的,因此IT架構十分復雜:在硬件方面,使用多個廠商的服務器及終端,軟件方面,具有多種操作平臺,如Windows 2000、Windows NT、Red Hat Linux、Oracle、Microsoft IIS和SQL等。由于這種IT資源獨立而且異構的狀況,必須找到一種集成的工具以控制漏洞管理的所有步驟。 措施:引入自動化的補丁和漏洞管理工具 任何一名企業(yè)管理者對這些系統(tǒng)的安全隱患和所承受的巨大的資源消耗視而不見,因此必須找到更有效的解決途徑,以填補這個巨大的"漏斗",這些解決途徑可以包括以下措施: 引入知識共享或者外部知識庫(專業(yè)服務),減少漏洞和補丁學習過程消耗;建立有效的補丁管理流程和備份回卷計劃;引入自動化的補丁和漏洞管理工具,加速部署過程。 ●補丁的風險成本 事實上,打補丁對于任何一個企業(yè)來說,代價是非常昂貴的。這種成本包含有收集、了解、測試、部署、備份恢復以及風險等成本。但是,不打補丁的"成本"是數(shù)據(jù)失密、丟失、篡改、拒絕服務、系統(tǒng)恢復以及其它無形損失等。 ●尋找打補丁最佳時機 通常認為,對于發(fā)現(xiàn)的漏洞和補丁應該盡快安裝部署。但是,按照美國USENIX組織發(fā)表的一個針對CVE漏洞和補丁的研究數(shù)字表明,大概有18%左右的補丁會稍后進行重新發(fā)布,即出現(xiàn)了所謂的補丁的補丁,即意味著,在第一時間安裝上的補丁,有18%的可能會帶來新的缺陷或安全漏洞。隨著時間的推移,補丁本身的安全性和穩(wěn)定性會上升,由此造成的損失風險相應降低。 ●自動化打補丁降低部署成本 我們知道,降低部署成本、減小補丁失敗成本,可以提高補丁管理決定的安全防御強度。降低部署成本的有效辦法就是"自動化",建立覆蓋全網(wǎng)的自動化補丁知識庫和管理系統(tǒng),集中收集、建立、分發(fā)補丁包。這樣的自動化系統(tǒng)可以帶來下面所列的明顯收益:將整個補丁分發(fā)過程的時間窗口減小到極低;將每服務器/每補丁數(shù)小時的工時成本降到很低,即分發(fā)安裝費用降到接近零,只剩下制作軟件分發(fā)包、檢查測試補丁安裝結果的"工時"成本;保證全網(wǎng)在補丁配置管理方面的一致性。另外,減小補丁失敗成本的辦法是對補丁進行有效測試,具體做法可以是購買專業(yè)廠家的服務,也可以建立自己的安全實驗室。這樣的投資對于分布式的大企業(yè)來說,具有非常高的投資回報率。 補丁本身的特點,注定了補丁管理不可能有很好的預見性。但是作為管理者,在流程和手段上,卻不能不預見到補丁管理的特性和意義,及其實施中的具體問題。所有的補丁分發(fā)與管理工具只是幫助加速或者自動化相應的策略和過程,提高效率和質量而已,但是不可能改變邏輯。如果補丁管理流程本身是混亂的,那么自動化的后果也肯定是混亂的。 補丁管理相關策略和流程的設計需要充分考慮以下相關的重要流程環(huán)節(jié),包括: ●企業(yè)的安全策略:漏洞或者缺陷是對安全的威脅,安全策略應該覆蓋針對漏洞和補丁的相應策略,補丁和漏洞管理流程則應該與上述策略相適應。 ●變更和發(fā)布管理:補丁的制作、測試、批準和部署應該納入標準的變更和發(fā)布流程。如果當前尚沒有完整的變更和發(fā)布流程,則在補丁管理流程中應該明確定義補丁的優(yōu)先級或者分類、制作、測試、批準和部署以及驗證等相關職位、職責和時間。 ●配置管理:按照ITIL的最佳實踐,完整一致的中心配置管理數(shù)據(jù)庫(CMDB)是保持高水平IT服務管理的保障。定義補丁和漏洞相關的配置管理條目,并通過流程保證及時正確地更新。 ●資產(chǎn)管理:如果已經(jīng)具備了資產(chǎn)管理體系和流程,補丁和漏洞應該與具體的資產(chǎn)和相關業(yè)務優(yōu)先級對應起來,正確設計不同關鍵性資產(chǎn)的特定流程。 ●備份恢復和業(yè)務連續(xù)性管理:補丁部署的前后都會與企業(yè)的備份恢復以及業(yè)務連續(xù)性管理有關,需要充分參考、在必要時修改更新備份恢復和業(yè)務連續(xù)性計劃。 ●緊急響應:所有的補丁管理流程必須設計相應的緊急響應流程。從前面的數(shù)字,我們知道,即使是官方正式發(fā)表的補丁,也有相當?shù)母怕蕰霈F(xiàn)自身新的缺陷或漏洞,與企業(yè)系統(tǒng)的應用關聯(lián)在一起,補丁的漏洞是絕對不可忽略的。流程中必須保證這樣的恢復和緊急響應環(huán)節(jié)。 從上面的措施可以看出,管理層應該綜合考慮相關的各個方面,充分借鑒在IT服務管理或者ITIL(信息技術基礎架構庫)方面的實踐經(jīng)驗,或者借助于外部的專業(yè)服務,設計與整體IT基礎設施管理系統(tǒng)相匹配的補丁管理策略和操作流程。同時,在應用前面的自動化補丁管理系統(tǒng)之前,應該充分調(diào)查研究具體的IT環(huán)境和整個補丁生命周期的各種問題,設計較為周密的補丁管理策略和流程,至少應該明確定義補丁管理的使用范圍、補丁優(yōu)先級、補丁分發(fā)包的制作和測試、批準與分發(fā)安裝、安裝后測試、備份恢復計劃等。 方案:實現(xiàn)安全智能的漏洞管理 實施真正的安全管理解決方案可賦予信息技術部門下列能力: ●在基本不需或者無需管理員干預的情況下,自動處理多種安全事件,從而減少事件管理的成本和復雜程度。 ●通過集中的、基于Web或者角色的門戶全面指揮和管理整個企業(yè)的安全環(huán)境。 ●通過減少嚴重事件所帶來的風險,改善整個安全狀況。 CA公司洞悉當前企業(yè)全面管理安全的需求,推出了創(chuàng)新的eTrust整體安全管理解決方案。它可以分為三套解決方案,即eTrust身份識別管理、eTrust訪問管理和eTrust威脅管理,并通過eTrust安全總控中心,為企業(yè)提供了集成的、門戶化的、可視的安全管理功能,從而協(xié)助企業(yè)實現(xiàn)整體安全控制。 eTrust Vulnerability Manager(以下簡稱eVM)是一個革命性的漏洞管理工具,是CA公司去年推出的新產(chǎn)品。屬于eTrust威脅管理解決方案,為企業(yè)提供了消除網(wǎng)絡所面臨的最大威脅之一--漏洞所必需的工具和安全智能。eVM可以幫助企業(yè)確定哪些漏洞將影響哪些資產(chǎn),所有這些步驟都是自動執(zhí)行的,并且還為管理者提供一份實時的關鍵性業(yè)務資產(chǎn)的風險評估。eVM可以讓IT管理人員集中于處理可能對企業(yè)關鍵性業(yè)務資產(chǎn)造成影響的高風險漏洞,并提供一份基于資產(chǎn)的漏洞報告。通過工作歷史記錄,管理者可以檢驗已經(jīng)解決問題的修復并記錄某個任務的完成情況。此外,eVM還可以生成匯總報告,并對它們的風險狀況進行量化,隨著新的漏洞的發(fā)現(xiàn)和公布,這些新的漏洞也將在基于風險的任務列表中動態(tài)出現(xiàn)。 我國鋼鐵企業(yè)的信息化建設發(fā)展相當迅速,國家也給予了極大的重視。因此,處在各個層次上的鋼鐵企業(yè)都應該在信息化建設過程中,從自身的需求實際出發(fā),在企業(yè)如火如荼進行信息化的同時,不能忘記對IT系統(tǒng)漏洞的管理。漏洞管理是當前IT系統(tǒng)管理中越來越繁雜的內(nèi)容,補丁全部不打,安全風險太大;什么補丁都打,一方面成本很高,另外補丁本身帶來的風險也不可忽略。因此CA建議:部署自動化的漏洞管理工具可以大幅減小漏洞收集和補丁部署成本,從而在相同投入情況下,提高補丁管理帶來的安全強度。漏洞管理必須建立相應的流程,該流程應充分參考借鑒ITIL的最佳實踐,融入到整體的IT基礎設施管理體系中去。另外就是借鑒同行業(yè)或者其他行業(yè)中領先企業(yè)的寶貴經(jīng)驗,避免走彎路,領導層重視與企業(yè)員工努力并舉,真正"煉"出一副"百毒不侵"的信息系統(tǒng)。