ERP软件教程

解析：钢铁企业信息化如何走出安全困境？

钢铁行业是我国最重要的传统工业之一，其行业本身的特性迫使该行业的公司不断地与业内的其它公司和其它行业的替代产品进行竞争。 ...

钢铁行业是我国最重要的传统工业之一，其行业本身的特性迫使该行业的公司不断地与业内的其它公司和其它行业的替代产品进行竞争。

因此，厂商必须通过不断地开发新产品、提高生产效率、提高产品质量来应对瞬息万变的市场。同时，企业还必须满足制造高质量产品、准时交货、保持最低成本等方面的要求。因此钢铁企业的改造迫切需要得到IT技术的大力支持。

据统计，我国钢年产量200万吨以上的20家企业百分之百实现了信息化;钢年产量100万吨以上的47家企业和钢年产量50万吨以上的58家企业中，也有绝大多数实现了信息化。

但是，就我国钢铁企业目前的现状来看，两级分化比较严重:一部分企业的设备较先进、设备自动化水平较高。如宝钢、首钢、攀钢等几个大型钢厂和发展较快的一些中型钢厂，它们基本实现了主要生产过程的自动控制、处理和数据采集、erp系统视频教程和企业资源系统管理;另一部分企业由于建厂早、设备自动化水平低、资金薄弱，在实现信息化建设方面显得心有余有力不足，只能在企业管理方面引入一些简单的计算机辅助系统，帮助企业实现计算机辅助订单管理、库存管理和财务管理。对于后者，只有加强基础信息化建设，协助他们通过信息化改造找到创新的突破口，早日走出困境。

现状:漏洞管理面临的挑战

随着钢铁企业信息化程度的提高以Internet/Intranet应用的普及，这些企业的IT系统所面临的安全威胁也日益严重:病毒、黑客、补丁管理日益困扰着企业的技术部门或专门的IT部门，影响着员工的生产力和企业收入。怎样才能进行有效的安全告警、日志、内容、补丁的有效管理?让企业的IT人员从每天疲于做"救火队员"的角色中摆脱出来，以全面的IT管理科学有效地实现钢铁企业信息化建设.

解决IT系统安全问题正在日趋困难和复杂，新的安全漏洞、新的攻击手段层出不穷;同时，我们对于安全问题的认识和解决手段仍停留在单一的技术手段层面，缺乏从企业用户的业务角度和管理角度去考虑整体安全策略，这使得我们只能被动地等待安全问题的出现，然后再想办法解决，而不是主动地寻找任何可能出现的安全漏洞，并提前做出防范措施,降低安全风险。显然，我们还缺乏一种面向未来的、统一的整体安全管理策略，来应对各种新的安全问题，在充满危险的未知领域里免于损失。

根据美国CERT/CC的调查结果，计算机突发事件和漏洞数量正在不断增长，平均来说，每天公布的漏洞数量在40个以上，随着发现漏洞数量的增长，系统受到攻击的可能性以及相关费用也在不断增加。

软件的缺陷或漏洞随时都可能造成系统崩溃或者入侵，所以，一旦发现漏洞，人们通常的第一反应是--赶快打补丁。但是，几乎每天都有新的软件缺陷、漏洞被发现，伴随着无数相应的补丁或者临时解决办法，安装如此多的漏洞和补丁是需要占用大量资源的。另外，仓促推出的补丁有时未必安全，相反，或许还会引入稳定性、性能等方面的隐患。

我们先来看一组数字:根据Meta Group的报道，2002年全年共发现和公布了4192个漏洞。同时，实际统计表明，平均一个系统管理员全年共花费1920个工时，将4个补丁打到120台服务器上，即在一个服务器上打一个补丁的平均时间大约为4小时，其中包括备份安装测试等环节。假设该名系统管理员具有良好的技能训练，可以在20分钟内阅读研究完一个漏洞及其补丁解决方案，那么，4192个漏洞总共需要172个人天。再假设其中只有10%的漏洞适用于自己的网络环境，这样413个漏洞，每个相应的补丁部署在10台服务器上，共需要2065个人天(即同样配置的服务器数量为10个左右)。我们可以看到，这两个人天数字加在一起，差不多是10个全职安全管理员一年的工作量，这里还没有考虑对厂家发表的补丁进行测试和验证的过程，也没有考虑打补丁失败造成的二次资源消耗。可以看到，补丁和漏洞管理已经成为一个很大的资源漏斗，占用大量的系统管理员资源。

在现实中，企业要想实现一个全面的漏洞管理解决方案的确相当困难，不但费用昂贵，而且费时费力，实施复杂。通常，钢铁企业由于信息化进程都是循序渐进的，因此IT架构十分复杂:在硬件方面，使用多个厂商的服务器及终端，软件方面，具有多种操作平台，如Windows 2000、Windows NT、Red Hat Linux、Oracle、Microsoft IIS和SQL等。由于这种IT资源独立而且异构的状况，必须找到一种集成的工具以控制漏洞管理的所有步骤。

措施:引入自动化的补丁和漏洞管理工具

任何一名企业管理者对这些系统的安全隐患和所承受的巨大的资源消耗视而不见，因此必须找到更有效的解决途径，以填补这个巨大的"漏斗"，这些解决途径可以包括以下措施:

引入知识共享或者外部知识库(专业服务)，减少漏洞和补丁学习过程消耗;建立有效的补丁管理流程和备份回卷计划;引入自动化的补丁和漏洞管理工具，加速部署过程。

●补丁的风险成本

事实上，打补丁对于任何一个企业来说，代价是非常昂贵的。这种成本包含有收集、了解、测试、部署、备份恢复以及风险等成本。但是，不打补丁的"成本"是数据失密、丢失、篡改、拒绝服务、系统恢复以及其它无形损失等。

●寻找打补丁最佳时机

通常认为，对于发现的漏洞和补丁应该尽快安装部署。但是，按照美国USENIX组织发表的一个针对CVE漏洞和补丁的研究数字表明，大概有18%左右的补丁会稍后进行重新发布，即出现了所谓的补丁的补丁，即意味着，在第一时间安装上的补丁，有18%的可能会带来新的缺陷或安全漏洞。随着时间的推移，补丁本身的安全性和稳定性会上升，由此造成的损失风险相应降低。

●自动化打补丁降低部署成本

我们知道，降低部署成本、减小补丁失败成本，可以提高补丁管理决定的安全防御强度。降低部署成本的有效办法就是"自动化"，建立覆盖全网的自动化补丁知识库和管理系统，集中收集、建立、分发补丁包。这样的自动化系统可以带来下面所列的明显收益:将整个补丁分发过程的时间窗口减小到极低;将每服务器/每补丁数小时的工时成本降到很低，即分发安装费用降到接近零，只剩下制作软件分发包、检查测试补丁安装结果的"工时"成本;保证全网在补丁配置管理方面的一致性。另外，减小补丁失败成本的办法是对补丁进行有效测试，具体做法可以是购买专业厂家的服务，也可以建立自己的安全实验室。这样的投资对于分布式的大企业来说，具有非常高的投资回报率。

补丁本身的特点，注定了补丁管理不可能有很好的预见性。但是作为管理者，在流程和手段上，却不能不预见到补丁管理的特性和意义，及其实施中的具体问题。所有的补丁分发与管理工具只是帮助加速或者自动化相应的策略和过程，提高效率和质量而已，但是不可能改变逻辑。如果补丁管理流程本身是混乱的，那么自动化的后果也肯定是混乱的。

发布：2007-04-22 12:12 编辑：泛普软件 · xiaona [打印此页] [关闭]

解析：钢铁企业信息化如何走出安全困境？

泛普ERP软件教程其他应用