盧緒平（中原油田采油六廠，山東 東明 274515）

1 補(bǔ)丁管理

1.1 在桌面應(yīng)用系統(tǒng)應(yīng)用過(guò)程中，操作人員經(jīng)常會(huì)：裝完操作系統(tǒng)之后，電腦再?zèng)]有打過(guò)操作系統(tǒng)的補(bǔ)丁；數(shù)據(jù)庫(kù)管理系統(tǒng)、各種應(yīng)用程序從不打補(bǔ)丁升級(jí)，用戶(hù)缺乏升級(jí)意識(shí)。

1.2 我們?cè)谘a(bǔ)丁管理工作中采用的管理辦法是：在BES控制臺(tái)中，打開(kāi)Fixlet選項(xiàng)卡下查看到由安全級(jí)別定義的補(bǔ)丁信息；由安全級(jí)別判斷補(bǔ)丁的嚴(yán)重程度，如果定義為Critical(嚴(yán)重)的補(bǔ)丁，須盡快修補(bǔ)；定義為嚴(yán)重性的補(bǔ)丁，我廠BigFix管理員在執(zhí)行動(dòng)作前，要向項(xiàng)目主管上報(bào)，提出申請(qǐng)，修復(fù)的動(dòng)作是否批準(zhǔn)；我廠項(xiàng)目主管同意執(zhí)行打補(bǔ)丁動(dòng)作后，BigFix管理員要判定該補(bǔ)丁是否需要進(jìn)行系統(tǒng)兼容性等的測(cè)試；如該補(bǔ)丁不需要進(jìn)行測(cè)試，則直接將該補(bǔ)丁發(fā)送到我廠客戶(hù)端終端機(jī)，進(jìn)行小規(guī)模部署；如該補(bǔ)丁需要進(jìn)行測(cè)試，則在測(cè)試環(huán)境里終端機(jī)上進(jìn)行兼容性、可靠性測(cè)試。

2 資產(chǎn)管理

在BES控制臺(tái)管理中，資產(chǎn)管理選項(xiàng)可以幫助管理員了解網(wǎng)絡(luò)中還有多少計(jì)算機(jī)未安裝BES客戶(hù)端即有多少不受管理員管理的設(shè)備，方便管理員對(duì)本網(wǎng)絡(luò)資產(chǎn)的數(shù)據(jù)掌握。

3 軟件分發(fā)

3.1 在BES應(yīng)用管理過(guò)程中，軟件分發(fā)中存在的問(wèn)題有：在廠局域網(wǎng)內(nèi)，同步部署計(jì)算機(jī)的常用軟件及ERP軟件的工作非常繁瑣，而且容易遺漏部分設(shè)備，對(duì)企業(yè)IT資產(chǎn)的管理效率低下；在我廠局域網(wǎng)內(nèi)某些即時(shí)通知無(wú)法迅速批量送達(dá)，并且員工容易因疏忽而忘記查收。

3.2 解決辦法及措施：BES的軟件分發(fā)功能可以完美的解決動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中繁雜的應(yīng)用軟件及文件的部署和分發(fā)問(wèn)題。為了統(tǒng)一部署網(wǎng)內(nèi)計(jì)算機(jī)的軟件配置，實(shí)現(xiàn)自動(dòng)而靈活的軟件分發(fā)功能，使用BES的軟件。

3.3 分發(fā)向?qū)?shí)現(xiàn)以下功能：對(duì)多臺(tái)桌面計(jì)算機(jī)的各種應(yīng)用軟件的批量分發(fā)，包括Office、ERP客戶(hù)端軟件等一些大型應(yīng)用軟件；支持對(duì)在線(xiàn)/非在線(xiàn)桌面計(jì)算機(jī)的策略分發(fā)功能，實(shí)現(xiàn)對(duì)在線(xiàn)的計(jì)算機(jī)短時(shí)間內(nèi)分發(fā)完成；對(duì)于非在線(xiàn)的計(jì)算機(jī)，可根據(jù)所定義的分發(fā)策略，自動(dòng)完成軟件安裝。具有多種網(wǎng)絡(luò)優(yōu)化技術(shù)，支持帶寬調(diào)整功能。

3.4 軟件分發(fā)管理工作主要做法：項(xiàng)目主管接到廠分發(fā)軟件或下發(fā)通知的任務(wù)，下達(dá)給BigFix管理員，并提供相應(yīng)安裝文件或通知資料；BigFix管理員判斷執(zhí)行軟件分發(fā)或下發(fā)通知；確定任務(wù)是軟件分發(fā)，需要繼續(xù)判斷軟件是否滿(mǎn)足分發(fā)條件，如：是否可以執(zhí)行靜默安裝，是否需要對(duì)軟件制定配置策略等；如果軟件直接滿(mǎn)足分發(fā)條件還需要判斷是否進(jìn)行分發(fā)前的測(cè)試；如果不滿(mǎn)足分發(fā)條件，BigFix管理員需要與項(xiàng)目主管溝通，制定配置策略，對(duì)軟件進(jìn)行重新打包，然后再判斷是否需要進(jìn)行測(cè)試。

4 漏洞管理

為消除計(jì)算機(jī)漏洞，保證系統(tǒng)正常運(yùn)作，對(duì)漏洞修補(bǔ)必須有一個(gè)完善的管理方案。大規(guī)模部署前的小規(guī)模測(cè)試是整個(gè)流程中最關(guān)鍵的步驟，盡管很多補(bǔ)丁都已經(jīng)過(guò)測(cè)試，但是不同的環(huán)境仍可能出現(xiàn)新的情況。

4.1 注冊(cè)表漏洞：從Windows 98開(kāi)始，Microsoft在Windows中引入了注冊(cè)表的概念，注冊(cè)表是Windows的核心數(shù)據(jù)庫(kù)，表中存放著各種參數(shù)，直接控制著Windows的啟動(dòng)、硬件驅(qū)動(dòng)程序的裝載以及一些Windows應(yīng)用程序運(yùn)行的正常與否，注冊(cè)表是Windows系統(tǒng)中保存系統(tǒng)軟件和應(yīng)用軟件配置的數(shù)據(jù)庫(kù)，而隨著Windows功能越來(lái)越豐富，注冊(cè)表里的配置項(xiàng)目也越來(lái)越多，很多配置都可以自定義設(shè)置，因此漏洞也會(huì)隨之增多。

4.2 系統(tǒng)安全策略漏洞：以下是普遍遵循的安全標(biāo)準(zhǔn)和策略：安裝標(biāo)準(zhǔn)；網(wǎng)絡(luò)和域標(biāo)準(zhǔn)；端口開(kāi)放標(biāo)準(zhǔn)；加密文件系統(tǒng)的標(biāo)準(zhǔn)；補(bǔ)丁更新標(biāo)準(zhǔn)；管理帳戶(hù)標(biāo)準(zhǔn)；強(qiáng)密碼標(biāo)準(zhǔn)；系統(tǒng)配置策略不遵循安全標(biāo)準(zhǔn)便會(huì)產(chǎn)生漏洞。操作員利用bigfix超強(qiáng)資產(chǎn)管理能力靈活選擇少量機(jī)器進(jìn)行測(cè)試，并將測(cè)試結(jié)構(gòu)上報(bào)給管理員，管理員得到上級(jí)主管批準(zhǔn)后向操作員分配修補(bǔ)任務(wù)。

4.3 測(cè)試內(nèi)容：系統(tǒng)版本是否合適；是否會(huì)與已有的網(wǎng)絡(luò)配置策略沖突；是否影響系統(tǒng)穩(wěn)定；取消某個(gè)共享是否導(dǎo)致同名服務(wù)不可用；檢查補(bǔ)丁版本是否合適；版本太低的主程序打上高版本補(bǔ)丁后可能永久不可用。先對(duì)非生產(chǎn)線(xiàn)機(jī)器修補(bǔ)，再對(duì)生產(chǎn)線(xiàn)機(jī)器修補(bǔ)。

4.4 具體修補(bǔ)步驟是：以修補(bǔ)sans top漏洞為例，操作員在Bigfix中依次點(diǎn)擊“所有fixlet---bysite--sans top vulnerabili?ties”在右側(cè)列表中找到要修補(bǔ)的漏洞并雙擊。

4.5 漏洞檢查周期：我們一般是7天，對(duì)于象沖擊波等嚴(yán)重漏洞須第一時(shí)間采取措施。

4.6 生成報(bào)表：利用bes的BESWebReportsServer.exe工具生成報(bào)表，我們一般是7天。

漏洞修補(bǔ)情況匯總：每隔30天根據(jù)生成的報(bào)表對(duì)上月漏洞修補(bǔ)情況做個(gè)分析并匯總。

5 用戶(hù)管理

在客戶(hù)端部署過(guò)程中，我們對(duì)計(jì)算機(jī)用戶(hù)進(jìn)行了實(shí)名登記，當(dāng)通過(guò)其他系統(tǒng)、工具發(fā)現(xiàn)異常計(jì)算機(jī)時(shí)，可以通過(guò)本系統(tǒng)很快定位并聯(lián)系到計(jì)算機(jī)用戶(hù)，提高了我們處理問(wèn)題的效率。

[1]王自國(guó).中原油田信息化之路[J].數(shù)字化工.2005(Z1).

[2]李琳.油田信息化之路[J].統(tǒng)計(jì)與決策.2003(01).

[3]王立新.中原油田信息化建設(shè)方略[J].煤炭經(jīng)濟(jì)研究.2004(11).