安全管理实务之一：补丁管理

　　 俗话说，三分技术、七分管理，这个道理同样适用于企业网的安全建设。眼下，越来越多的用户已经认识到安全管理的重要性，但是安全管理应该从何入手，管理哪些方面，这是让许多用户挠头的事情。为了让更多用户了解安全管理的内容，在接下来的四期里，网络安全栏目将推出安全管理实务系列报道，分别介绍补丁管理、事件管理、漏洞管理以及身份管理。本期推出系列报道的第一部分。 　　

　　 安全管理实务之一 　　

　　 补丁管理 　　

　　 边一 　　

　　 补丁管理(Patch management)是目前用户面临的最棘手和费用最高的问题之一。不过，借助正确的方法，人们还是可以解决它。人们认识到补丁管理的重要性是从Windows开始的。Windows的漏洞让企业的IT管理人员应接不暇，占据了大量的人力、物力和财力。尽管如此，由于修补不得力，Windows漏洞还是给许多用户造成了巨大损失。同样的问题涉及所有的操作系统和应用程序。对于用户来说，给系统打补丁需要花费大量的时间和资源，涉及的费用非常巨大。Aberdeen Group估计美国企业用在补丁管理上的费用每年为20亿美元。 　　

　　 用户面临的难题在于如何找到合适的补丁软件包。一些用户通过使用补丁跟踪工具来管理Windows补丁，这样所花费的时间、人力以及所遭受的挫折都会下降几个数量级，原来可能需要占用两位系统管理员一天时间的修补任务现在只需一位管理员在30分钟内完成。在补丁管理工具出现之前，许多网管员是用大脑中的记忆和直觉匆忙修补系统漏洞的。可是，急剧增加的网络复杂性和越来越多的补丁数量已经使这种方法无能为力。专家提醒人们，用户在补丁管理上花的时间越多，放在安全性上的注意力就会越少。 　　

　　 随着各种补丁管理产品和服务的推出，越来越多的系统化方法可供人们采用。不过当人们在调查补丁包的重要程度、确定补丁任务的轻重缓急以及落实部署补丁包时，都应该遵循以下事实：补丁管理是变化与风险管理的子集，理解这点至关重要。 　　

　　 风险与变化 　　

　　 在建立补丁管理计划之前，人们必须确定企业对补丁风险的承受程度。例如，当安全性与业务系统息息相关时，人们需要在厂商每一次发布补丁程序时关闭生产系统，并且需要等到下载、测试和部署补丁程序之后才能启动系统。在实际中，这是比较极端的措施。其意义在于，用户必须将补丁管理作为企业风险管理的一个组成部分来看待。 　　

　　 对于系统经常变化的用户来说，补丁管理只是其日常管理的一项任务，必须权衡好补丁管理所占用的成本。如果某位用户在其Windows系统上测试一个补丁包花费了四天时间，这意味着时间成本过高。经过分析管理过程，这位用户可以将时间减少到一天，理想的目标是减少到三到四个小时。80%以上的企业的IT设备故障是由服务器配置不正确造成的，基于这一点，人们可以将多数精力倾斜于服务器的补丁管理。 　　

　　 清点IT资产 　

　　 做好补丁管理的关键在于用户编制好自己的IT基础设施清单。毫无疑问，这是一项艰巨的任务，尤其是对于大型企业来说。然而，这是必须完成的任务。因为如果用户不为自己的系统资源制订清单，就不可能知道哪些系统需要修补以及补丁能够弥补哪些问题。　　

　　 用户的IT资产清单包括： 　

　　 构成IT环境的系统； 　　

　　 系统的操作系统和应用程序，包括具体版本； 　　

　　 系统已经安装了哪些补丁； 　　

　　 系统的所有权和联系人信息(在大型和分布范围很广的公司中非常重要); 　　

　　 系统所面临的任何已知但未发生的威胁和系统中存在的安全漏洞。 　　

　　 一旦得到上述数据，用户应当经常更新它，使之能够为企业的CIO、安全管理员和系统管理员提供信息。分析人士建议，一旦清点企业基础设施的任务完成后，用户应当在每个季度轮流重新盘点各部门的IT资产。这样做是为了掌握新情况，发现新问题。 　　

　　 鉴别与测试 　　

　　 在摸清IT基础设施后，人们可以开始制定补丁管理政策或改进已有的政策。第一步是更好地评估和鉴别补丁通告。一种办法是依靠公司内部的专家进行评估。例如，当某位用户收到用于Windows、Unix和IBM AS/400系统的补丁升级包时，这位用户就需要与公司内部的专家就服务器相关的补丁包交换意见，或与PC小组人员就客户机补丁包交换意见，专家将决定是否需要这个补丁包，如果需要的话，有多急迫。另一种办法是保持冷静。在仔细考虑厂商和机构(如CERT和Sans.org)发布的综合建议之前，用户最好不要采取任何措施，因为这类组织一般发布的是广泛建议，缺乏针对性。 　　

　　 今年8月份，一条有关许多厂商的SNMP应用中存在安全漏洞的新闻在四处传播，使得许多企业用户急急忙忙地修补自己的系统。最初人们以为所有的Windows系统都需要Microsoft发布的这个补丁，但是仔细阅读补丁公告后，人们发现这个补丁只是运行SNMP的机器所需要的，这就将存在安全漏洞的机器的数量减少到5%。这一事件提醒人们最好是先仔细研究补丁包，然后再决定是否采用。这样可以为用户大量节省用于打修补的时间和费用。 　

　　 一旦用户决定进行修补，就必须进行测试。专家建议用户首先在一个专门的试验室中试验补丁包，如果试验成功并且没有问题，用户可以将补丁部署到最不重要的１０％的服务器上。这样做的好处是，如果失败的话，恢复起来会比较容易。尽管承认这种10%的做法不错，但是迫于时间和实际工作压力，一些用户必须将经过有限测试的补丁直接部署到生产环境中。于是，专家建议这部分用户将补丁测试环境建立在专用网络上，如果补丁包在测试环境中取得成功，没有造成问题，就可以被部署到生产环境中。还有一些用户喜欢先由公司的开发人员运行补丁包后，再将补丁包安装在企业网络中。将重要的补丁包放到开发环境中测试可以确保其稳定性，接着补丁包进入质量保证阶段，然后再进入生产环境，这种谨慎作法是合情合理的。 　　

　　 补丁管理是一个刚刚起步的新鲜事物，它造成的安全问题与它解决的安全问题一样多。这是因为厂商开发迅速的解决方案有可能造成新的安全漏洞。这是人们必须对补丁程序慎重起见的原因。 　　

　　 几款补丁管理工具 　　

　　 进行补丁管理，用户有两种途径可以采用：一是购买补丁管理服务；二是利用补丁管理工具。目前，许多IT厂商都推出了针对用户补丁管理的服务，还有一些厂商推出了补丁管理工具。补丁管理工具可以降低补丁管理工作的复杂性和时间成本。目前国外市场上流行的管理工具有BigFix企业套件、Configuresoft企业配置管理程序(ECM)、安全升级管理程序(SUM)、PatchLink Update、HFNetChkLT、HFNetChkPro以及EnterpriseInspe-ctor。相信不久的将来，中国市场上也会出现越来越多的补丁管理工具。（本文选自美国《Network World》）