鋼鐵行業(yè)是我國(guó)最重要的傳統(tǒng)工業(yè)之一，其行業(yè)本身的特性迫使該行業(yè)的公司不斷地與業(yè)內(nèi)的其它公司和其它行業(yè)的替代產(chǎn)品進(jìn)行競(jìng)爭(zhēng)。

　　因此，廠商必須通過不斷地開發(fā)新產(chǎn)品、提高生產(chǎn)效率、提高產(chǎn)品質(zhì)量來應(yīng)對(duì)瞬息萬變的市場(chǎng)。同時(shí)，企業(yè)還必須滿足制造高質(zhì)量產(chǎn)品、準(zhǔn)時(shí)交貨、保持最低成本等方面的要求。因此鋼鐵企業(yè)的改造迫切需要得到IT技術(shù)的大力支持。

　　據(jù)統(tǒng)計(jì)，我國(guó)鋼年產(chǎn)量200萬噸以上的20家企業(yè)百分之百實(shí)現(xiàn)了信息化;鋼年產(chǎn)量100萬噸以上的47家企業(yè)和鋼年產(chǎn)量50萬噸以上的58家企業(yè)中，也有絕大多數(shù)實(shí)現(xiàn)了信息化。

　　但是，就我國(guó)鋼鐵企業(yè)目前的現(xiàn)狀來看，兩級(jí)分化比較嚴(yán)重:一部分企業(yè)的設(shè)備較先進(jìn)、設(shè)備自動(dòng)化水平較高。如寶鋼、首鋼、攀鋼等幾個(gè)大型鋼廠和發(fā)展較快的一些中型鋼廠，它們基本實(shí)現(xiàn)了主要生產(chǎn)過程的自動(dòng)控制、處理和數(shù)據(jù)采集、ERP和企業(yè)資源系統(tǒng)管理;另一部分企業(yè)由于建廠早、設(shè)備自動(dòng)化水平低、資金薄弱，在實(shí)現(xiàn)信息化建設(shè)方面顯得心有余有力不足，只能在企業(yè)管理方面引入一些簡(jiǎn)單的計(jì)算機(jī)輔助系統(tǒng)，幫助企業(yè)實(shí)現(xiàn)計(jì)算機(jī)輔助訂單管理、庫(kù)存管理和財(cái)務(wù)管理。對(duì)于后者，只有加強(qiáng)基礎(chǔ)信息化建設(shè)，協(xié)助他們通過信息化改造找到創(chuàng)新的突破口，早日走出困境。

　　現(xiàn)狀:漏洞管理面臨的挑戰(zhàn)

　　隨著鋼鐵企業(yè)信息化程度的提高以Internet/Intranet應(yīng)用的普及，這些企業(yè)的IT系統(tǒng)所面臨的安全威脅也日益嚴(yán)重:病毒、黑客、補(bǔ)丁管理日益困擾著企業(yè)的技術(shù)部門或?qū)ｉT的IT部門，影響著員工的生產(chǎn)力和企業(yè)收入。怎樣才能進(jìn)行有效的安全告警、日志、內(nèi)容、補(bǔ)丁的有效管理?讓企業(yè)的IT人員從每天疲于做"救火隊(duì)員"的角色中擺脫出來，以全面的IT管理科學(xué)有效地實(shí)現(xiàn)鋼鐵企業(yè)信息化建設(shè).

　　解決IT系統(tǒng)安全問題正在日趨困難和復(fù)雜，新的安全漏洞、新的攻擊手段層出不窮;同時(shí)，我們對(duì)于安全問題的認(rèn)識(shí)和解決手段仍停留在單一的技術(shù)手段層面，缺乏從企業(yè)用戶的業(yè)務(wù)角度和管理角度去考慮整體安全策略，這使得我們只能被動(dòng)地等待安全問題的出現(xiàn)，然后再想辦法解決，而不是主動(dòng)地尋找任何可能出現(xiàn)的安全漏洞，并提前做出防范措施,降低安全風(fēng)險(xiǎn)。顯然，我們還缺乏一種面向未來的、統(tǒng)一的整體安全管理策略，來應(yīng)對(duì)各種新的安全問題，在充滿危險(xiǎn)的未知領(lǐng)域里免于損失。

　　根據(jù)美國(guó)CERT/CC的調(diào)查結(jié)果，計(jì)算機(jī)突發(fā)事件和漏洞數(shù)量正在不斷增長(zhǎng)，平均來說，每天公布的漏洞數(shù)量在40個(gè)以上，隨著發(fā)現(xiàn)漏洞數(shù)量的增長(zhǎng)，系統(tǒng)受到攻擊的可能性以及相關(guān)費(fèi)用也在不斷增加。

　　軟件的缺陷或漏洞隨時(shí)都可能造成系統(tǒng)崩潰或者入侵，所以，一旦發(fā)現(xiàn)漏洞，人們通常的第一反應(yīng)是--趕快打補(bǔ)丁。但是，幾乎每天都有新的軟件缺陷、漏洞被發(fā)現(xiàn)，伴隨著無數(shù)相應(yīng)的補(bǔ)丁或者臨時(shí)解決辦法，安裝如此多的漏洞和補(bǔ)丁是需要占用大量資源的。另外，倉(cāng)促推出的補(bǔ)丁有時(shí)未必安全，相反，或許還會(huì)引入穩(wěn)定性、性能等方面的隱患。

　　我們先來看一組數(shù)字:根據(jù)Meta Group的報(bào)道，2002年全年共發(fā)現(xiàn)和公布了4192個(gè)漏洞。同時(shí)，實(shí)際統(tǒng)計(jì)表明，平均一個(gè)系統(tǒng)管理員全年共花費(fèi)1920個(gè)工時(shí)，將4個(gè)補(bǔ)丁打到120臺(tái)服務(wù)器上，即在一個(gè)服務(wù)器上打一個(gè)補(bǔ)丁的平均時(shí)間大約為4小時(shí)，其中包括備份安裝測(cè)試等環(huán)節(jié)。假設(shè)該名系統(tǒng)管理員具有良好的技能訓(xùn)練，可以在20分鐘內(nèi)閱讀研究完一個(gè)漏洞及其補(bǔ)丁解決方案，那么，4192個(gè)漏洞總共需要172個(gè)人天。再假設(shè)其中只有10%的漏洞適用于自己的網(wǎng)絡(luò)環(huán)境，這樣413個(gè)漏洞，每個(gè)相應(yīng)的補(bǔ)丁部署在10臺(tái)服務(wù)器上，共需要2065個(gè)人天(即同樣配置的服務(wù)器數(shù)量為10個(gè)左右)。我們可以看到，這兩個(gè)人天數(shù)字加在一起，差不多是10個(gè)全職安全管理員一年的工作量，這里還沒有考慮對(duì)廠家發(fā)表的補(bǔ)丁進(jìn)行測(cè)試和驗(yàn)證的過程，也沒有考慮打補(bǔ)丁失敗造成的二次資源消耗。可以看到，補(bǔ)丁和漏洞管理已經(jīng)成為一個(gè)很大的資源漏斗，占用大量的系統(tǒng)管理員資源。

　　在現(xiàn)實(shí)中，企業(yè)要想實(shí)現(xiàn)一個(gè)全面的漏洞管理解決方案的確相當(dāng)困難，不但費(fèi)用昂貴，而且費(fèi)時(shí)費(fèi)力，實(shí)施復(fù)雜。通常，鋼鐵企業(yè)由于信息化進(jìn)程都是循序漸進(jìn)的，因此IT架構(gòu)十分復(fù)雜:在硬件方面，使用多個(gè)廠商的服務(wù)器及終端，軟件方面，具有多種操作平臺(tái)，如Windows 2000、Windows NT、Red Hat Linux、Oracle、Microsoft IIS和SQL等。由于這種IT資源獨(dú)立而且異構(gòu)的狀況，必須找到一種集成的工具以控制漏洞管理的所有步驟。

　　措施:引入自動(dòng)化的補(bǔ)丁和漏洞管理工具

　　任何一名企業(yè)管理者對(duì)這些系統(tǒng)的安全隱患和所承受的巨大的資源消耗視而不見，因此必須找到更有效的解決途徑，以填補(bǔ)這個(gè)巨大的"漏斗"，這些解決途徑可以包括以下措施:

　　引入知識(shí)共享或者外部知識(shí)庫(kù)(專業(yè)服務(wù))，減少漏洞和補(bǔ)丁學(xué)習(xí)過程消耗;建立有效的補(bǔ)丁管理流程和備份回卷計(jì)劃;引入自動(dòng)化的補(bǔ)丁和漏洞管理工具，加速部署過程。

　　●補(bǔ)丁的風(fēng)險(xiǎn)成本

　　事實(shí)上，打補(bǔ)丁對(duì)于任何一個(gè)企業(yè)來說，代價(jià)是非常昂貴的。這種成本包含有收集、了解、測(cè)試、部署、備份恢復(fù)以及風(fēng)險(xiǎn)等成本。但是，不打補(bǔ)丁的"成本"是數(shù)據(jù)失密、丟失、篡改、拒絕服務(wù)、系統(tǒng)恢復(fù)以及其它無形損失等。

　　●尋找打補(bǔ)丁最佳時(shí)機(jī)

　　通常認(rèn)為，對(duì)于發(fā)現(xiàn)的漏洞和補(bǔ)丁應(yīng)該盡快安裝部署。但是，按照美國(guó)USENIX組織發(fā)表的一個(gè)針對(duì)CVE漏洞和補(bǔ)丁的研究數(shù)字表明，大概有18%左右的補(bǔ)丁會(huì)稍后進(jìn)行重新發(fā)布，即出現(xiàn)了所謂的補(bǔ)丁的補(bǔ)丁，即意味著，在第一時(shí)間安裝上的補(bǔ)丁，有18%的可能會(huì)帶來新的缺陷或安全漏洞。隨著時(shí)間的推移，補(bǔ)丁本身的安全性和穩(wěn)定性會(huì)上升，由此造成的損失風(fēng)險(xiǎn)相應(yīng)降低。

　　●自動(dòng)化打補(bǔ)丁降低部署成本

　　我們知道，降低部署成本、減小補(bǔ)丁失敗成本，可以提高補(bǔ)丁管理決定的安全防御強(qiáng)度。降低部署成本的有效辦法就是"自動(dòng)化"，建立覆蓋全網(wǎng)的自動(dòng)化補(bǔ)丁知識(shí)庫(kù)和管理系統(tǒng)，集中收集、建立、分發(fā)補(bǔ)丁包。這樣的自動(dòng)化系統(tǒng)可以帶來下面所列的明顯收益:將整個(gè)補(bǔ)丁分發(fā)過程的時(shí)間窗口減小到極低;將每服務(wù)器/每補(bǔ)丁數(shù)小時(shí)的工時(shí)成本降到很低，即分發(fā)安裝費(fèi)用降到接近零，只剩下制作軟件分發(fā)包、檢查測(cè)試補(bǔ)丁安裝結(jié)果的"工時(shí)"成本;保證全網(wǎng)在補(bǔ)丁配置管理方面的一致性。另外，減小補(bǔ)丁失敗成本的辦法是對(duì)補(bǔ)丁進(jìn)行有效測(cè)試，具體做法可以是購(gòu)買專業(yè)廠家的服務(wù)，也可以建立自己的安全實(shí)驗(yàn)室。這樣的投資對(duì)于分布式的大企業(yè)來說，具有非常高的投資回報(bào)率。

　　補(bǔ)丁本身的特點(diǎn)，注定了補(bǔ)丁管理不可能有很好的預(yù)見性。但是作為管理者，在流程和手段上，卻不能不預(yù)見到補(bǔ)丁管理的特性和意義，及其實(shí)施中的具體問題。所有的補(bǔ)丁分發(fā)與管理工具只是幫助加速或者自動(dòng)化相應(yīng)的策略和過程，提高效率和質(zhì)量而已，但是不可能改變邏輯。如果補(bǔ)丁管理流程本身是混亂的，那么自動(dòng)化的后果也肯定是混亂的。

　　補(bǔ)丁管理相關(guān)策略和流程的設(shè)計(jì)需要充分考慮以下相關(guān)的重要流程環(huán)節(jié)，包括:

　　●企業(yè)的安全策略:漏洞或者缺陷是對(duì)安全的威脅，安全策略應(yīng)該覆蓋針對(duì)漏洞和補(bǔ)丁的相應(yīng)策略，補(bǔ)丁和漏洞管理流程則應(yīng)該與上述策略相適應(yīng)。

　　●變更和發(fā)布管理:補(bǔ)丁的制作、測(cè)試、批準(zhǔn)和部署應(yīng)該納入標(biāo)準(zhǔn)的變更和發(fā)布流程。如果當(dāng)前尚沒有完整的變更和發(fā)布流程，則在補(bǔ)丁管理流程中應(yīng)該明確定義補(bǔ)丁的優(yōu)先級(jí)或者分類、制作、測(cè)試、批準(zhǔn)和部署以及驗(yàn)證等相關(guān)職位、職責(zé)和時(shí)間。

　　●配置管理:按照ITIL的最佳實(shí)踐，完整一致的中心配置管理數(shù)據(jù)庫(kù)(CMDB)是保持高水平IT服務(wù)管理的保障。定義補(bǔ)丁和漏洞相關(guān)的配置管理?xiàng)l目，并通過流程保證及時(shí)正確地更新。

　　●資產(chǎn)管理:如果已經(jīng)具備了資產(chǎn)管理體系和流程，補(bǔ)丁和漏洞應(yīng)該與具體的資產(chǎn)和相關(guān)業(yè)務(wù)優(yōu)先級(jí)對(duì)應(yīng)起來，正確設(shè)計(jì)不同關(guān)鍵性資產(chǎn)的特定流程。

　　●備份恢復(fù)和業(yè)務(wù)連續(xù)性管理:補(bǔ)丁部署的前后都會(huì)與企業(yè)的備份恢復(fù)以及業(yè)務(wù)連續(xù)性管理有關(guān)，需要充分參考、在必要時(shí)修改更新備份恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃。

　　●緊急響應(yīng):所有的補(bǔ)丁管理流程必須設(shè)計(jì)相應(yīng)的緊急響應(yīng)流程。從前面的數(shù)字，我們知道，即使是官方正式發(fā)表的補(bǔ)丁，也有相當(dāng)?shù)母怕蕰?huì)出現(xiàn)自身新的缺陷或漏洞，與企業(yè)系統(tǒng)的應(yīng)用關(guān)聯(lián)在一起，補(bǔ)丁的漏洞是絕對(duì)不可忽略的。流程中必須保證這樣的恢復(fù)和緊急響應(yīng)環(huán)節(jié)。

　　從上面的措施可以看出，管理層應(yīng)該綜合考慮相關(guān)的各個(gè)方面，充分借鑒在IT服務(wù)管理或者ITIL(信息技術(shù)基礎(chǔ)架構(gòu)庫(kù))方面的實(shí)踐經(jīng)驗(yàn)，或者借助于外部的專業(yè)服務(wù)，設(shè)計(jì)與整體IT基礎(chǔ)設(shè)施管理系統(tǒng)相匹配的補(bǔ)丁管理策略和操作流程。同時(shí)，在應(yīng)用前面的自動(dòng)化補(bǔ)丁管理系統(tǒng)之前，應(yīng)該充分調(diào)查研究具體的IT環(huán)境和整個(gè)補(bǔ)丁生命周期的各種問題，設(shè)計(jì)較為周密的補(bǔ)丁管理策略和流程，至少應(yīng)該明確定義補(bǔ)丁管理的使用范圍、補(bǔ)丁優(yōu)先級(jí)、補(bǔ)丁分發(fā)包的制作和測(cè)試、批準(zhǔn)與分發(fā)安裝、安裝后測(cè)試、備份恢復(fù)計(jì)劃等。

　　方案:實(shí)現(xiàn)安全智能的漏洞管理

　　實(shí)施真正的安全管理解決方案可賦予信息技術(shù)部門下列能力:

　　●在基本不需或者無需管理員干預(yù)的情況下，自動(dòng)處理多種安全事件，從而減少事件管理的成本和復(fù)雜程度。

　　●通過集中的、基于Web或者角色的門戶全面指揮和管理整個(gè)企業(yè)的安全環(huán)境。

　　●通過減少嚴(yán)重事件所帶來的風(fēng)險(xiǎn)，改善整個(gè)安全狀況。

　　CA公司洞悉當(dāng)前企業(yè)全面管理安全的需求，推出了創(chuàng)新的eTrust整體安全管理解決方案。它可以分為三套解決方案，即eTrust身份識(shí)別管理、eTrust訪問管理和eTrust威脅管理，并通過eTrust安全總控中心，為企業(yè)提供了集成的、門戶化的、可視的安全管理功能，從而協(xié)助企業(yè)實(shí)現(xiàn)整體安全控制。

　　eTrust Vulnerability Manager(以下簡(jiǎn)稱eVM)是一個(gè)革命性的漏洞管理工具，是CA公司去年推出的新產(chǎn)品。屬于eTrust威脅管理解決方案,為企業(yè)提供了消除網(wǎng)絡(luò)所面臨的最大威脅之一--漏洞所必需的工具和安全智能。eVM可以幫助企業(yè)確定哪些漏洞將影響哪些資產(chǎn)，所有這些步驟都是自動(dòng)執(zhí)行的，并且還為管理者提供一份實(shí)時(shí)的關(guān)鍵性業(yè)務(wù)資產(chǎn)的風(fēng)險(xiǎn)評(píng)估。eVM可以讓IT管理人員集中于處理可能對(duì)企業(yè)關(guān)鍵性業(yè)務(wù)資產(chǎn)造成影響的高風(fēng)險(xiǎn)漏洞，并提供一份基于資產(chǎn)的漏洞報(bào)告。通過工作歷史記錄，管理者可以檢驗(yàn)已經(jīng)解決問題的修復(fù)并記錄某個(gè)任務(wù)的完成情況。此外，eVM還可以生成匯總報(bào)告，并對(duì)它們的風(fēng)險(xiǎn)狀況進(jìn)行量化，隨著新的漏洞的發(fā)現(xiàn)和公布，這些新的漏洞也將在基于風(fēng)險(xiǎn)的任務(wù)列表中動(dòng)態(tài)出現(xiàn)。

　　我國(guó)鋼鐵企業(yè)的信息化建設(shè)發(fā)展相當(dāng)迅速，國(guó)家也給予了極大的重視。因此，處在各個(gè)層次上的鋼鐵企業(yè)都應(yīng)該在信息化建設(shè)過程中，從自身的需求實(shí)際出發(fā)，在企業(yè)如火如荼進(jìn)行信息化的同時(shí)，不能忘記對(duì)IT系統(tǒng)漏洞的管理。漏洞管理是當(dāng)前IT系統(tǒng)管理中越來越繁雜的內(nèi)容，補(bǔ)丁全部不打，安全風(fēng)險(xiǎn)太大;什么補(bǔ)丁都打，一方面成本很高，另外補(bǔ)丁本身帶來的風(fēng)險(xiǎn)也不可忽略。因此CA建議:部署自動(dòng)化的漏洞管理工具可以大幅減小漏洞收集和補(bǔ)丁部署成本，從而在相同投入情況下，提高補(bǔ)丁管理帶來的安全強(qiáng)度。漏洞管理必須建立相應(yīng)的流程，該流程應(yīng)充分參考借鑒ITIL的最佳實(shí)踐，融入到整體的IT基礎(chǔ)設(shè)施管理體系中去。另外就是借鑒同行業(yè)或者其他行業(yè)中領(lǐng)先企業(yè)的寶貴經(jīng)驗(yàn)，避免走彎路，領(lǐng)導(dǎo)層重視與企業(yè)員工努力并舉，真正"煉"出一副"百毒不侵"的信息系統(tǒng)。