基於ITIL的補丁管理

文章同時發表在：

[url]

itil並不能直接指導企業it架構的日常維護和補丁公升級操作，但itil涵蓋了範圍更為寬廣的變更、分發和配置管理，從而使利用itil的思想和原則對企業的補丁管理流程進行規範成為可能。

企業在對it架構實施補丁公升級的過程中，會遇到相當多的問題。冗餘低效的補丁分發方案、補丁記錄缺失、高風險的補丁實施和沒有制定有效的補丁撤銷策略等是其中影響最大的問題。這些問題的存在，不但明顯降低了企業it部門的工作效率，還消耗了大量企業用於it設施的預算，最為嚴重的是，還影響企業順利開展業務，對**值資料的安全造成了非常大的威脅。

企業要提高it架構的效率、安全性和對業務的貢獻率，就必須首先解決在實施補丁公升級過程中的諸多問題。這些問題的解決都指向一點：制定並實施理想的補丁管理策略。這點是目前絕大多數的企業都十分缺乏的實踐。那麼企業應該如何做？

企業要制定理想的補丁管理策略，就需要先明確實施這個策略要實現什麼目的，以及目的的達成能夠給企業帶來什麼現實的好處。了解目標所在之後，企業下一步需要做的就是，制定乙個符合自己業務和it環境現狀的理想補丁管理策略。但對大部分缺乏標準化流程制定經驗的企業來說，這並非易事。幸好，我們有itil（it基礎設施庫）可以參考，它包含著如何管理it基礎設施的流程描述。它以流程為導向，以客戶為中心，通過整合it服務與企業業務，提高企業的it服務提供和服務支援的能力和水平。itil可引導組織高效和有效地使用技術，讓既有的資訊化資源發揮更大的效能。基於itil思想的補丁管理策略包括4個重要階段：配置管理、風險評估、變更管理和補丁發布管理。

重要階段１：配置管理對企業現有it環境的詳細了解是補丁公升級成功的第一步。如果企業在實行補丁公升級操作前不了解企業it環境的實際情況，企業將無法了解漏洞的存在和危害、補丁程式的影響和風險，也就無法對接下去的補丁公升級活動進行計畫。企業可以通過配置管理來收集it環境的相關資料。

企業要根據it架構的配置情況實施配置管理，可以使用資料庫或文件記錄的方式。一般情況下，企業只須關注系統的標識、技術特徵和業務角色三個要素即可。

配置資料一般可直接從企業新裝置的採購或更新時的登記表中獲取，但要注意的是，配置資訊應該隨著系統的變更而及時更新，否則就毫無價值。對於內部網路龐大、裝置數量眾多的企業，建議採用資料庫的方式來維護配置管理資訊，以增強配置管理資訊的使用效率並降低維護難度。

重要階段２：風險評估企業在進行補丁公升級操作之前，還需要獲知當前最新的補丁程式資訊，同時還要知道企業it架構中有哪些系統是需要進行補丁公升級操作的。因此，企業可以在風險評估這一階段對存在漏洞的系統進行調查，並獲取補丁程式的資訊。風險評估的一般步驟如下：1.獲取漏洞資訊和廠商發布的補丁資訊；2.評估漏洞和補丁對現有系統及應用程式的影響；3.查詢並記錄現有系統和應用程式中存在的漏洞，並記錄所有的處置決定；4.將漏洞情況告知系統的所有人；5.提交變更請求。

企業可以很方便地從相關廠商或各大安全站點上獲取最新的漏洞和補丁資訊。這些漏洞資訊中通常包括受影響系統、漏洞描述和威脅等。企業的it部門需要將這些資訊記錄下來，並作為補丁程式使用決定的依據之一。有漏洞資訊公開時，對應的廠商尚未提供補丁程式，企業的it部門也應該根據該漏洞的危害及影響，從其他方面對防禦這個漏洞進行準備，如隔離或關閉受影響系統等。

由於廠商往往會針對不同的軟體產品和版本發布多個補丁程式，因此企業可以使用自動化的補丁分發工具，獲取並分類這些種類繁多的補丁程式。將自動化的補丁分發工具和階段1使用到的配置管理資料庫結合使用，能夠幫助企業it部門做出更準確的判斷。

重要階段３：變更管理在收到it部門提出的變更請求後，企業指定的變更管理人就需要對變更請求進行審核和批准。這個階段通常包括對變更請求的審核，評估變更可能帶來的影響、成本和風險，批准已經評估的變更以及跟蹤變更的實施效果等步驟。變更管理階段還和下面要提到的補丁發布管理階段有相當多的互動。

廠商一般是定期發布補丁程式。如果遇到比較緊急的漏洞爆發情況，廠商通常還會發布緊急的補丁公升級程式。因此，企業對補丁程式的變更管理操作，也可以分成兩個不同的流程。

其一是標準的變更管理流程，通常用於處理標準的定期補丁公升級。變更管理人可以處理it部門的變更請求，評估變更可能帶來的影響、成本和風險，批准已經評估的變更，並跟蹤變更的實施效果。

另外乙個是緊急的變更管理流程，這個流程用於處置緊急的補丁公升級。在緊急情況下，變更管理人只負責審核和批准it部門的變更請求，直接跳過了變更評估階段。

無論是在標準還是緊急的變更管理流程中，齊全的文件記錄非常重要，這對企業實施緊急變更管理流程尤其重要。只有這樣，企業才能跟蹤補丁更新的實施效果，在補丁更新出現問題時也能夠及時按照文件的記錄進行修正。

重要階段４：發布管理發布管理階段的目的就是盡可能地減小新補丁程式對當前業務和現有it架構的不利影響，並指導下屬部門進行補丁程式的更新操作。補丁發布管理階段的實施者通常是企業的it部門或安全部門，它們需要按照企業的當前業務和現有it環境，架設測試用的環境，同時按照一般使用者的補丁更新行為使用新補丁程式。在整個過程中，企業的it部門要全程記錄補丁程式的測試過程和結果，還要為實施補丁公升級操作的使用者提供詳細的技術指導。如果在補丁測試的階段出現問題，it部門還應該將問題發生的原因和過程記入文件，並通報相關的管理部門。

企業it部門測試完成補丁程式後，由管理層批准才能發布補丁程式和相應的操作文件。在此之後，it部門還應該對補丁程式的使用情況進行跟蹤，並及時解決使用者在實施補丁公升級時遇到的問題。

總之，制定並實施基於itil的理想補丁管理策略，可以保證企業能夠以標準化的流程評估、發布和應用補丁程式，並及時解決在進行補丁公升級時可能遇到的問題，同時，大大降低補丁程式可能對企業業務持續和**值資料造成的影響，提高了企業it架構對企業業務的貢獻率。

實施基於itil的補丁管理策略的好處補丁公升級的流程更具可重複性、可執行性，同時也更為有效。

按照業務的需求降低補丁公升級的風險。

將企業ｉｔ應用中常見的「**出問題就去**救火」的處置思想改進為更為有計畫和準備的處置方法。

在乙個不斷改變的環境中依然能夠保證足夠的安全性，企業還能定時回顧並改進流程本身。

幫助企業滿足類似ｓｏｘ、ｈｉｐｐａ等外部法律法規的要求，並支援審計。

企業實施補丁管理策略的目的提供乙個統一的補丁公升級流程，忽視裝置或平台間的差異：制定和實施乙個統一的補丁管理流程，對企業的好處是顯而易見的，企業可以根據業務的發展靈活地調整該補丁公升級流程，增強它保障業務的能力。此外，統一的補丁管理流程能夠使企業ｉｔ架構的補丁公升級行為更為規範，企業ｉｔ部門進行補丁公升級操作時也更有把握。

對資訊資產、漏洞情況和補丁程式資訊的掌握：企業可以基於對這些關鍵資訊的掌握做出更為準確的補丁公升級決定，所有相關的操作人員也能夠根據這些資訊靈活地實施補丁公升級操作

清晰定義的流程化操作：標準化的流程能夠提高企業ｉｔ部門進行補丁公升級操作的效率和準確率。

提公升企業對ｉｔ架構的信心：ｉｔ架構作為企業處理業務的核心支柱，它的可用性對企業業務的影響巨大。理想的補丁管理策略能夠提公升ｉｔ架構的可用性，從而增強企業對ｉｔ架構的信心。

基於ITIL的補丁管理

基於ITIL的補丁管理

ITIL管理系列之文件管理

ITIL 事件管理和問題管理的區別

基於ITIL的補丁管理

基於ITIL的補丁管理

ITIL管理系列之文件管理

ITIL 事件管理和問題管理的區別

相關推薦