盧緒平(中原油田采油六廠,山東 東明 274515)
1.1 在桌面應(yīng)用系統(tǒng)應(yīng)用過(guò)程中,操作人員經(jīng)常會(huì):裝完操作系統(tǒng)之后,電腦再?zèng)]有打過(guò)操作系統(tǒng)的補(bǔ)丁;數(shù)據(jù)庫(kù)管理系統(tǒng)、各種應(yīng)用程序從不打補(bǔ)丁升級(jí),用戶(hù)缺乏升級(jí)意識(shí)。
1.2 我們?cè)谘a(bǔ)丁管理工作中采用的管理辦法是:在BES控制臺(tái)中,打開(kāi)Fixlet選項(xiàng)卡下查看到由安全級(jí)別定義的補(bǔ)丁信息;由安全級(jí)別判斷補(bǔ)丁的嚴(yán)重程度,如果定義為Critical(嚴(yán)重)的補(bǔ)丁,須盡快修補(bǔ);定義為嚴(yán)重性的補(bǔ)丁,我廠BigFix管理員在執(zhí)行動(dòng)作前,要向項(xiàng)目主管上報(bào),提出申請(qǐng),修復(fù)的動(dòng)作是否批準(zhǔn);我廠項(xiàng)目主管同意執(zhí)行打補(bǔ)丁動(dòng)作后,BigFix管理員要判定該補(bǔ)丁是否需要進(jìn)行系統(tǒng)兼容性等的測(cè)試;如該補(bǔ)丁不需要進(jìn)行測(cè)試,則直接將該補(bǔ)丁發(fā)送到我廠客戶(hù)端終端機(jī),進(jìn)行小規(guī)模部署;如該補(bǔ)丁需要進(jìn)行測(cè)試,則在測(cè)試環(huán)境里終端機(jī)上進(jìn)行兼容性、可靠性測(cè)試。
在BES控制臺(tái)管理中,資產(chǎn)管理選項(xiàng)可以幫助管理員了解網(wǎng)絡(luò)中還有多少計(jì)算機(jī)未安裝BES客戶(hù)端即有多少不受管理員管理的設(shè)備,方便管理員對(duì)本網(wǎng)絡(luò)資產(chǎn)的數(shù)據(jù)掌握。
3.1 在BES應(yīng)用管理過(guò)程中,軟件分發(fā)中存在的問(wèn)題有:在廠局域網(wǎng)內(nèi),同步部署計(jì)算機(jī)的常用軟件及ERP軟件的工作非常繁瑣,而且容易遺漏部分設(shè)備,對(duì)企業(yè)IT資產(chǎn)的管理效率低下;在我廠局域網(wǎng)內(nèi)某些即時(shí)通知無(wú)法迅速批量送達(dá),并且員工容易因疏忽而忘記查收。
3.2 解決辦法及措施:BES的軟件分發(fā)功能可以完美的解決動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中繁雜的應(yīng)用軟件及文件的部署和分發(fā)問(wèn)題。為了統(tǒng)一部署網(wǎng)內(nèi)計(jì)算機(jī)的軟件配置,實(shí)現(xiàn)自動(dòng)而靈活的軟件分發(fā)功能,使用BES的軟件。
3.3 分發(fā)向?qū)?shí)現(xiàn)以下功能:對(duì)多臺(tái)桌面計(jì)算機(jī)的各種應(yīng)用軟件的批量分發(fā),包括Office、ERP客戶(hù)端軟件等一些大型應(yīng)用軟件;支持對(duì)在線(xiàn)/非在線(xiàn)桌面計(jì)算機(jī)的策略分發(fā)功能,實(shí)現(xiàn)對(duì)在線(xiàn)的計(jì)算機(jī)短時(shí)間內(nèi)分發(fā)完成;對(duì)于非在線(xiàn)的計(jì)算機(jī),可根據(jù)所定義的分發(fā)策略,自動(dòng)完成軟件安裝。具有多種網(wǎng)絡(luò)優(yōu)化技術(shù),支持帶寬調(diào)整功能。
3.4 軟件分發(fā)管理工作主要做法:項(xiàng)目主管接到廠分發(fā)軟件或下發(fā)通知的任務(wù),下達(dá)給BigFix管理員,并提供相應(yīng)安裝文件或通知資料;BigFix管理員判斷執(zhí)行軟件分發(fā)或下發(fā)通知;確定任務(wù)是軟件分發(fā),需要繼續(xù)判斷軟件是否滿(mǎn)足分發(fā)條件,如:是否可以執(zhí)行靜默安裝,是否需要對(duì)軟件制定配置策略等;如果軟件直接滿(mǎn)足分發(fā)條件還需要判斷是否進(jìn)行分發(fā)前的測(cè)試;如果不滿(mǎn)足分發(fā)條件,BigFix管理員需要與項(xiàng)目主管溝通,制定配置策略,對(duì)軟件進(jìn)行重新打包,然后再判斷是否需要進(jìn)行測(cè)試。
為消除計(jì)算機(jī)漏洞,保證系統(tǒng)正常運(yùn)作,對(duì)漏洞修補(bǔ)必須有一個(gè)完善的管理方案。大規(guī)模部署前的小規(guī)模測(cè)試是整個(gè)流程中最關(guān)鍵的步驟,盡管很多補(bǔ)丁都已經(jīng)過(guò)測(cè)試,但是不同的環(huán)境仍可能出現(xiàn)新的情況。
4.1 注冊(cè)表漏洞:從Windows 98開(kāi)始,Microsoft在Windows中引入了注冊(cè)表的概念,注冊(cè)表是Windows的核心數(shù)據(jù)庫(kù),表中存放著各種參數(shù),直接控制著Windows的啟動(dòng)、硬件驅(qū)動(dòng)程序的裝載以及一些Windows應(yīng)用程序運(yùn)行的正常與否,注冊(cè)表是Windows系統(tǒng)中保存系統(tǒng)軟件和應(yīng)用軟件配置的數(shù)據(jù)庫(kù),而隨著Windows功能越來(lái)越豐富,注冊(cè)表里的配置項(xiàng)目也越來(lái)越多,很多配置都可以自定義設(shè)置,因此漏洞也會(huì)隨之增多。
4.2 系統(tǒng)安全策略漏洞:以下是普遍遵循的安全標(biāo)準(zhǔn)和策略:安裝標(biāo)準(zhǔn);網(wǎng)絡(luò)和域標(biāo)準(zhǔn);端口開(kāi)放標(biāo)準(zhǔn);加密文件系統(tǒng)的標(biāo)準(zhǔn);補(bǔ)丁更新標(biāo)準(zhǔn);管理帳戶(hù)標(biāo)準(zhǔn);強(qiáng)密碼標(biāo)準(zhǔn);系統(tǒng)配置策略不遵循安全標(biāo)準(zhǔn)便會(huì)產(chǎn)生漏洞。操作員利用bigfix超強(qiáng)資產(chǎn)管理能力靈活選擇少量機(jī)器進(jìn)行測(cè)試,并將測(cè)試結(jié)構(gòu)上報(bào)給管理員,管理員得到上級(jí)主管批準(zhǔn)后向操作員分配修補(bǔ)任務(wù)。
4.3 測(cè)試內(nèi)容:系統(tǒng)版本是否合適;是否會(huì)與已有的網(wǎng)絡(luò)配置策略沖突;是否影響系統(tǒng)穩(wěn)定;取消某個(gè)共享是否導(dǎo)致同名服務(wù)不可用;檢查補(bǔ)丁版本是否合適;版本太低的主程序打上高版本補(bǔ)丁后可能永久不可用。先對(duì)非生產(chǎn)線(xiàn)機(jī)器修補(bǔ),再對(duì)生產(chǎn)線(xiàn)機(jī)器修補(bǔ)。
4.4 具體修補(bǔ)步驟是:以修補(bǔ)sans top漏洞為例,操作員在Bigfix中依次點(diǎn)擊“所有fixlet---bysite--sans top vulnerabili?ties”在右側(cè)列表中找到要修補(bǔ)的漏洞并雙擊。
4.5 漏洞檢查周期:我們一般是7天,對(duì)于象沖擊波等嚴(yán)重漏洞須第一時(shí)間采取措施。
4.6 生成報(bào)表:利用bes的BESWebReportsServer.exe工具生成報(bào)表,我們一般是7天。
漏洞修補(bǔ)情況匯總:每隔30天根據(jù)生成的報(bào)表對(duì)上月漏洞修補(bǔ)情況做個(gè)分析并匯總。
在客戶(hù)端部署過(guò)程中,我們對(duì)計(jì)算機(jī)用戶(hù)進(jìn)行了實(shí)名登記,當(dāng)通過(guò)其他系統(tǒng)、工具發(fā)現(xiàn)異常計(jì)算機(jī)時(shí),可以通過(guò)本系統(tǒng)很快定位并聯(lián)系到計(jì)算機(jī)用戶(hù),提高了我們處理問(wèn)題的效率。
[1]王自國(guó).中原油田信息化之路[J].數(shù)字化工.2005(Z1).
[2]李琳.油田信息化之路[J].統(tǒng)計(jì)與決策.2003(01).
[3]王立新.中原油田信息化建設(shè)方略[J].煤炭經(jīng)濟(jì)研究.2004(11).