基于ITIL的补丁管理

日期: 2008-04-14 作者:梁林 来源:TechTarget中国

  ITIL并不能直接指导企业IT架构的日常维护和补丁升级操作,但ITIL涵盖了范围更为宽广的变更、分发和配置管理,从而使利用ITIL的思想和原则对企业的补丁管理流程进行规范成为可能。


  企业在对IT架构实施补丁升级的过程中,会遇到相当多的问题。冗余低效的补丁分发方案、补丁记录缺失、高风险的补丁实施和没有制定有效的补丁撤销策略等是其中影响最大的问题。这些问题的存在,不但明显降低了企业IT部门的工作效率,还消耗了大量企业用于IT设施的预算,最为严重的是,还影响企业顺利开展业务,对高价值数据的安全造成了非常大的威胁。


  企业要提高IT架构的效率、安全性和对业务的贡献率,就必须首先解决在实施补丁升级过程中的诸多问题。这些问题的解决都指向一点:制定并实施理想的补丁管理策略。这点是目前绝大多数的企业都十分缺乏的实践。那么企业应该如何做?


基于ITIL思想的理想补丁管理策略示意图


  企业要制定理想的补丁管理策略,就需要先明确实施这个策略要实现什么目的,以及目的的达成能够给企业带来什么现实的好处。了解目标所在之后,企业下一步需要做的就是,制定一个符合自己业务和IT环境现状的理想补丁管理策略。但对大部分缺乏标准化流程制定经验的企业来说,这并非易事。幸好,我们有ITIL(IT基础设施库)可以参考,它包含着如何管理IT基础设施的流程描述。它以流程为导向,以客户为中心,通过整合IT服务与企业业务,提高企业的IT服务提供和服务支持的能力和水平。ITIL可引导组织高效和有效地使用技术,让既有的信息化资源发挥更大的效能。基于ITIL思想的补丁管理策略包括4个重要阶段:配置管理、风险评估、变更管理和补丁发布管理。


  重要阶段1:配置管理


  对企业现有IT环境的详细了解是补丁升级成功的第一步。如果企业在实行补丁升级操作前不了解企业IT环境的实际情况,企业将无法了解漏洞的存在和危害、补丁程序的影响和风险,也就无法对接下去的补丁升级活动进行计划。企业可以通过配置管理来收集IT环境的相关数据。


  企业要根据IT架构的配置情况实施配置管理,可以使用数据库或文档记录的方式。一般情况下,企业只须关注系统的标识、技术特征和业务角色三个要素即可。


  配置数据一般可直接从企业新设备的采购或更新时的登记表中获取,但要注意的是,配置信息应该随着系统的变更而及时更新,否则就毫无价值。对于内部网络庞大、设备数量众多的企业,建议采用数据库的方式来维护配置管理信息,以增强配置管理信息的使用效率并降低维护难度。


  重要阶段2:风险评估


  企业在进行补丁升级操作之前,还需要获知当前最新的补丁程序信息,同时还要知道企业IT架构有哪些系统是需要进行补丁升级操作的。因此,企业可以在风险评估这一阶段对存在漏洞的系统进行调查,并获取补丁程序的信息。风险评估的一般步骤如下:1.获取漏洞信息和厂商发布的补丁信息;2.评估漏洞和补丁对现有系统及应用程序的影响;3.查找并记录现有系统和应用程序中存在的漏洞,并记录所有的处置决定;4.将漏洞情况告知系统的所有人;5.提交变更请求。


  企业可以很方便地从相关厂商或各大安全站点上获取最新的漏洞和补丁信息。这些漏洞信息中通常包括受影响系统、漏洞描述和威胁等。企业的IT部门需要将这些信息记录下来,并作为补丁程序使用决定的依据之一。有漏洞信息公开时,对应的厂商尚未提供补丁程序,企业的IT部门也应该根据该漏洞的危害及影响,从其他方面对防御这个漏洞进行准备,如隔离或关闭受影响系统等。


  由于厂商往往会针对不同的软件产品和版本发布多个补丁程序,因此企业可以使用自动化的补丁分发工具,获取并分类这些种类繁多的补丁程序。将自动化的补丁分发工具和阶段1使用到的配置管理数据库结合使用,能够帮助企业IT部门做出更准确的判断。


  重要阶段3:变更管理


  在收到IT部门提出的变更请求后,企业指定的变更管理人就需要对变更请求进行审核和批准。这个阶段通常包括对变更请求的审核,评估变更可能带来的影响、成本和风险,批准已经评估的变更以及跟踪变更的实施效果等步骤。变更管理阶段还和下面要提到的补丁发布管理阶段有相当多的互动。


  厂商一般是定期发布补丁程序。如果遇到比较紧急的漏洞爆发情况,厂商通常还会发布紧急的补丁升级程序。因此,企业对补丁程序的变更管理操作,也可以分成两个不同的流程。


  其一是标准的变更管理流程,通常用于处理标准的定期补丁升级。变更管理人可以处理IT部门的变更请求,评估变更可能带来的影响、成本和风险,批准已经评估的变更,并跟踪变更的实施效果。


  另外一个是紧急的变更管理流程,这个流程用于处置紧急的补丁升级。在紧急情况下,变更管理人只负责审核和批准IT部门的变更请求,直接跳过了变更评估阶段。


  无论是在标准还是紧急的变更管理流程中,齐全的文档记录非常重要,这对企业实施紧急变更管理流程尤其重要。只有这样,企业才能跟踪补丁更新的实施效果,在补丁更新出现问题时也能够及时按照文档的记录进行修正。


  重要阶段4:发布管理


  发布管理阶段的目的就是尽可能地减小新补丁程序对当前业务和现有IT架构的不利影响,并指导下属部门进行补丁程序的更新操作。补丁发布管理阶段的实施者通常是企业的IT部门或安全部门,它们需要按照企业的当前业务和现有IT环境,架设测试用的环境,同时按照一般用户的补丁更新行为使用新补丁程序。在整个过程中,企业的IT部门要全程记录补丁程序的测试过程和结果,还要为实施补丁升级操作的用户提供详细的技术指导。如果在补丁测试的阶段出现问题,IT部门还应该将问题发生的原因和过程记入文档,并通报相关的管理部门。


  企业IT部门测试完成补丁程序后,由管理层批准才能发布补丁程序和相应的操作文档。在此之后,IT部门还应该对补丁程序的使用情况进行跟踪,并及时解决用户在实施补丁升级时遇到的问题。


  总之,制定并实施基于ITIL的理想补丁管理策略,可以保证企业能够以标准化的流程评估、发布和应用补丁程序,并及时解决在进行补丁升级时可能遇到的问题,同时,大大降低补丁程序可能对企业业务持续和高价值数据造成的影响,提高了企业IT架构对企业业务的贡献率。


  实施基于ITIL的补丁管理策略的好处


  补丁升级的流程更具可重复性、可执行性,同时也更为有效。按照业务的需求降低补丁升级的风险。


  将企业IT应用中常见的“哪里出问题就去哪里救火”的处置思想改进为更为有计划和准备的处置方法。


  在一个不断改变的环境中依然能够保证足够的安全性,企业还能定时回顾并改进流程本身。帮助企业满足类似SOX、HIPPA等外部法律法规的要求,并支持审计。


  企业实施补丁管理策略的目的


  提供一个统一的补丁升级流程,忽视设备或平台间的差异:制定和实施一个统一的补丁管理流程,对企业的好处是显而易见的,企业可以根据业务的发展灵活地调整该补丁升级流程,增强它保障业务的能力。此外,统一的补丁管理流程能够使企业IT架构的补丁升级行为更为规范,企业IT部门进行补丁升级操作时也更有把握。


  对信息资产、漏洞情况和补丁程序信息的掌握:企业可以基于对这些关键信息的掌握做出更为准确的补丁升级决定,所有相关的操作人员也能够根据这些信息灵活地实施补丁升级操作清晰定义的流程化操作:标准化的流程能够提高企业IT部门进行补丁升级操作的效率和准确率。


  提升企业对IT架构的信心:IT架构作为企业处理业务的核心支柱,它的可用性对企业业务的影响巨大。理想的补丁管理策略能够提升IT架构的可用性,从而增强企业对IT架构的信心。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

梁林
梁林

相关推荐

  • Stuxnet多年之后:Windows Shell漏洞仍然肆虐

    Stuxnet利用的Windows Shell漏洞是需要企业仔细评估的漏洞之一。自被公开以来,Windows Shell漏洞已经包含在很多漏洞利用工具包中,并被很多攻击者利用,尽管微软在2010年发布了补丁,但这个问题仍然没有得到解决。

  • 微软6月补丁日发布更多面向Windows XP的补丁

    微软在2017年6月份周二的补丁发布日提供了全新的Windows XP修复程序,以确保系统免受泄漏的NSA网络武器(如勒索软件WannaCry)的威胁。

  • 从WannaCry事件吸取教训:补丁管理需自动化

    更新升级软件是企业IT管理员的一项份内职责。为了提高打补丁的效率,符合合规要求,企业常需要购买补丁管理工具。补丁管理工具可实现更新的自动化,有助于保护企业基础架构和终端设备免受可能的安全威胁,并支持在线修复软件bug及增强功能……

  • 微软改良“周二补丁日”,新的‘安全更新指南’毁誉参半

    微软在2017年4月份周二补丁日发布中,正式放弃了原有的为安全专业人士所熟悉的安全公告格式,而支持新的“安全更新指南”,不过,该变化的进行也并非一帆风顺。