監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢(xún)管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買(mǎi)價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

解析:鋼鐵企業(yè)信息化如何走出安全困境?

申請(qǐng)免費(fèi)試用、咨詢(xún)電話:400-8352-114

鋼鐵行業(yè)是我國(guó)最重要的傳統(tǒng)工業(yè)之一,其行業(yè)本身的特性迫使該行業(yè)的公司不斷地與業(yè)內(nèi)的其它公司和其它行業(yè)的替代產(chǎn)品進(jìn)行競(jìng)爭(zhēng)。 ...

鋼鐵行業(yè)是我國(guó)最重要的傳統(tǒng)工業(yè)之一,其行業(yè)本身的特性迫使該行業(yè)的公司不斷地與業(yè)內(nèi)的其它公司和其它行業(yè)的替代產(chǎn)品進(jìn)行競(jìng)爭(zhēng)。

因此,廠商必須通過(guò)不斷地開(kāi)發(fā)新產(chǎn)品、提高生產(chǎn)效率、提高產(chǎn)品質(zhì)量來(lái)應(yīng)對(duì)瞬息萬(wàn)變的市場(chǎng)。同時(shí),企業(yè)還必須滿足制造高質(zhì)量產(chǎn)品、準(zhǔn)時(shí)交貨、保持最低成本等方面的要求。因此鋼鐵企業(yè)的改造迫切需要得到IT技術(shù)的大力支持。

據(jù)統(tǒng)計(jì),我國(guó)鋼年產(chǎn)量200萬(wàn)噸以上的20家企業(yè)百分之百實(shí)現(xiàn)了信息化;鋼年產(chǎn)量100萬(wàn)噸以上的47家企業(yè)和鋼年產(chǎn)量50萬(wàn)噸以上的58家企業(yè)中,也有絕大多數(shù)實(shí)現(xiàn)了信息化。

但是,就我國(guó)鋼鐵企業(yè)目前的現(xiàn)狀來(lái)看,兩級(jí)分化比較嚴(yán)重:一部分企業(yè)的設(shè)備較先進(jìn)、設(shè)備自動(dòng)化水平較高。如寶鋼、首鋼、攀鋼等幾個(gè)大型鋼廠和發(fā)展較快的一些中型鋼廠,它們基本實(shí)現(xiàn)了主要生產(chǎn)過(guò)程的自動(dòng)控制、處理和數(shù)據(jù)采集、erp系統(tǒng)視頻教程和企業(yè)資源系統(tǒng)管理;另一部分企業(yè)由于建廠早、設(shè)備自動(dòng)化水平低、資金薄弱,在實(shí)現(xiàn)信息化建設(shè)方面顯得心有余有力不足,只能在企業(yè)管理方面引入一些簡(jiǎn)單的計(jì)算機(jī)輔助系統(tǒng),幫助企業(yè)實(shí)現(xiàn)計(jì)算機(jī)輔助訂單管理、庫(kù)存管理和財(cái)務(wù)管理。對(duì)于后者,只有加強(qiáng)基礎(chǔ)信息化建設(shè),協(xié)助他們通過(guò)信息化改造找到創(chuàng)新的突破口,早日走出困境。

現(xiàn)狀:漏洞管理面臨的挑戰(zhàn)

隨著鋼鐵企業(yè)信息化程度的提高以Internet/Intranet應(yīng)用的普及,這些企業(yè)的IT系統(tǒng)所面臨的安全威脅也日益嚴(yán)重:病毒、黑客、補(bǔ)丁管理日益困擾著企業(yè)的技術(shù)部門(mén)或?qū)iT(mén)的IT部門(mén),影響著員工的生產(chǎn)力和企業(yè)收入。怎樣才能進(jìn)行有效的安全告警、日志、內(nèi)容、補(bǔ)丁的有效管理?讓企業(yè)的IT人員從每天疲于做"救火隊(duì)員"的角色中擺脫出來(lái),以全面的IT管理科學(xué)有效地實(shí)現(xiàn)鋼鐵企業(yè)信息化建設(shè).

解決IT系統(tǒng)安全問(wèn)題正在日趨困難和復(fù)雜,新的安全漏洞、新的攻擊手段層出不窮;同時(shí),我們對(duì)于安全問(wèn)題的認(rèn)識(shí)和解決手段仍停留在單一的技術(shù)手段層面,缺乏從企業(yè)用戶的業(yè)務(wù)角度和管理角度去考慮整體安全策略,這使得我們只能被動(dòng)地等待安全問(wèn)題的出現(xiàn),然后再想辦法解決,而不是主動(dòng)地尋找任何可能出現(xiàn)的安全漏洞,并提前做出防范措施,降低安全風(fēng)險(xiǎn)。顯然,我們還缺乏一種面向未來(lái)的、統(tǒng)一的整體安全管理策略,來(lái)應(yīng)對(duì)各種新的安全問(wèn)題,在充滿危險(xiǎn)的未知領(lǐng)域里免于損失。

根據(jù)美國(guó)CERT/CC的調(diào)查結(jié)果,計(jì)算機(jī)突發(fā)事件和漏洞數(shù)量正在不斷增長(zhǎng),平均來(lái)說(shuō),每天公布的漏洞數(shù)量在40個(gè)以上,隨著發(fā)現(xiàn)漏洞數(shù)量的增長(zhǎng),系統(tǒng)受到攻擊的可能性以及相關(guān)費(fèi)用也在不斷增加。

軟件的缺陷或漏洞隨時(shí)都可能造成系統(tǒng)崩潰或者入侵,所以,一旦發(fā)現(xiàn)漏洞,人們通常的第一反應(yīng)是--趕快打補(bǔ)丁。但是,幾乎每天都有新的軟件缺陷、漏洞被發(fā)現(xiàn),伴隨著無(wú)數(shù)相應(yīng)的補(bǔ)丁或者臨時(shí)解決辦法,安裝如此多的漏洞和補(bǔ)丁是需要占用大量資源的。另外,倉(cāng)促推出的補(bǔ)丁有時(shí)未必安全,相反,或許還會(huì)引入穩(wěn)定性、性能等方面的隱患。

我們先來(lái)看一組數(shù)字:根據(jù)Meta Group的報(bào)道,2002年全年共發(fā)現(xiàn)和公布了4192個(gè)漏洞。同時(shí),實(shí)際統(tǒng)計(jì)表明,平均一個(gè)系統(tǒng)管理員全年共花費(fèi)1920個(gè)工時(shí),將4個(gè)補(bǔ)丁打到120臺(tái)服務(wù)器上,即在一個(gè)服務(wù)器上打一個(gè)補(bǔ)丁的平均時(shí)間大約為4小時(shí),其中包括備份安裝測(cè)試等環(huán)節(jié)。假設(shè)該名系統(tǒng)管理員具有良好的技能訓(xùn)練,可以在20分鐘內(nèi)閱讀研究完一個(gè)漏洞及其補(bǔ)丁解決方案,那么,4192個(gè)漏洞總共需要172個(gè)人天。再假設(shè)其中只有10%的漏洞適用于自己的網(wǎng)絡(luò)環(huán)境,這樣413個(gè)漏洞,每個(gè)相應(yīng)的補(bǔ)丁部署在10臺(tái)服務(wù)器上,共需要2065個(gè)人天(即同樣配置的服務(wù)器數(shù)量為10個(gè)左右)。我們可以看到,這兩個(gè)人天數(shù)字加在一起,差不多是10個(gè)全職安全管理員一年的工作量,這里還沒(méi)有考慮對(duì)廠家發(fā)表的補(bǔ)丁進(jìn)行測(cè)試和驗(yàn)證的過(guò)程,也沒(méi)有考慮打補(bǔ)丁失敗造成的二次資源消耗??梢钥吹?,補(bǔ)丁和漏洞管理已經(jīng)成為一個(gè)很大的資源漏斗,占用大量的系統(tǒng)管理員資源。

在現(xiàn)實(shí)中,企業(yè)要想實(shí)現(xiàn)一個(gè)全面的漏洞管理解決方案的確相當(dāng)困難,不但費(fèi)用昂貴,而且費(fèi)時(shí)費(fèi)力,實(shí)施復(fù)雜。通常,鋼鐵企業(yè)由于信息化進(jìn)程都是循序漸進(jìn)的,因此IT架構(gòu)十分復(fù)雜:在硬件方面,使用多個(gè)廠商的服務(wù)器及終端,軟件方面,具有多種操作平臺(tái),如Windows 2000、Windows NT、Red Hat Linux、Oracle、Microsoft IIS和SQL等。由于這種IT資源獨(dú)立而且異構(gòu)的狀況,必須找到一種集成的工具以控制漏洞管理的所有步驟。

措施:引入自動(dòng)化的補(bǔ)丁和漏洞管理工具

任何一名企業(yè)管理者對(duì)這些系統(tǒng)的安全隱患和所承受的巨大的資源消耗視而不見(jiàn),因此必須找到更有效的解決途徑,以填補(bǔ)這個(gè)巨大的"漏斗",這些解決途徑可以包括以下措施:

引入知識(shí)共享或者外部知識(shí)庫(kù)(專(zhuān)業(yè)服務(wù)),減少漏洞和補(bǔ)丁學(xué)習(xí)過(guò)程消耗;建立有效的補(bǔ)丁管理流程和備份回卷計(jì)劃;引入自動(dòng)化的補(bǔ)丁和漏洞管理工具,加速部署過(guò)程。

●補(bǔ)丁的風(fēng)險(xiǎn)成本

事實(shí)上,打補(bǔ)丁對(duì)于任何一個(gè)企業(yè)來(lái)說(shuō),代價(jià)是非常昂貴的。這種成本包含有收集、了解、測(cè)試、部署、備份恢復(fù)以及風(fēng)險(xiǎn)等成本。但是,不打補(bǔ)丁的"成本"是數(shù)據(jù)失密、丟失、篡改、拒絕服務(wù)、系統(tǒng)恢復(fù)以及其它無(wú)形損失等。

●尋找打補(bǔ)丁最佳時(shí)機(jī)

通常認(rèn)為,對(duì)于發(fā)現(xiàn)的漏洞和補(bǔ)丁應(yīng)該盡快安裝部署。但是,按照美國(guó)USENIX組織發(fā)表的一個(gè)針對(duì)CVE漏洞和補(bǔ)丁的研究數(shù)字表明,大概有18%左右的補(bǔ)丁會(huì)稍后進(jìn)行重新發(fā)布,即出現(xiàn)了所謂的補(bǔ)丁的補(bǔ)丁,即意味著,在第一時(shí)間安裝上的補(bǔ)丁,有18%的可能會(huì)帶來(lái)新的缺陷或安全漏洞。隨著時(shí)間的推移,補(bǔ)丁本身的安全性和穩(wěn)定性會(huì)上升,由此造成的損失風(fēng)險(xiǎn)相應(yīng)降低。

●自動(dòng)化打補(bǔ)丁降低部署成本

我們知道,降低部署成本、減小補(bǔ)丁失敗成本,可以提高補(bǔ)丁管理決定的安全防御強(qiáng)度。降低部署成本的有效辦法就是"自動(dòng)化",建立覆蓋全網(wǎng)的自動(dòng)化補(bǔ)丁知識(shí)庫(kù)和管理系統(tǒng),集中收集、建立、分發(fā)補(bǔ)丁包。這樣的自動(dòng)化系統(tǒng)可以帶來(lái)下面所列的明顯收益:將整個(gè)補(bǔ)丁分發(fā)過(guò)程的時(shí)間窗口減小到極低;將每服務(wù)器/每補(bǔ)丁數(shù)小時(shí)的工時(shí)成本降到很低,即分發(fā)安裝費(fèi)用降到接近零,只剩下制作軟件分發(fā)包、檢查測(cè)試補(bǔ)丁安裝結(jié)果的"工時(shí)"成本;保證全網(wǎng)在補(bǔ)丁配置管理方面的一致性。另外,減小補(bǔ)丁失敗成本的辦法是對(duì)補(bǔ)丁進(jìn)行有效測(cè)試,具體做法可以是購(gòu)買(mǎi)專(zhuān)業(yè)廠家的服務(wù),也可以建立自己的安全實(shí)驗(yàn)室。這樣的投資對(duì)于分布式的大企業(yè)來(lái)說(shuō),具有非常高的投資回報(bào)率。

補(bǔ)丁本身的特點(diǎn),注定了補(bǔ)丁管理不可能有很好的預(yù)見(jiàn)性。但是作為管理者,在流程和手段上,卻不能不預(yù)見(jiàn)到補(bǔ)丁管理的特性和意義,及其實(shí)施中的具體問(wèn)題。所有的補(bǔ)丁分發(fā)與管理工具只是幫助加速或者自動(dòng)化相應(yīng)的策略和過(guò)程,提高效率和質(zhì)量而已,但是不可能改變邏輯。如果補(bǔ)丁管理流程本身是混亂的,那么自動(dòng)化的后果也肯定是混亂的。

發(fā)布:2007-04-22 12:12    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:

泛普ERP軟件教程其他應(yīng)用

協(xié)同辦公 行政管理 人力資源 績(jī)效考核 薪酬管理 營(yíng)銷(xiāo)管理 銷(xiāo)售管理 采購(gòu)管理 庫(kù)存管理 供應(yīng)鏈設(shè)置 生產(chǎn)管理 質(zhì)檢管理 供應(yīng)商管理 財(cái)務(wù)管理 門(mén)店配送 門(mén)店管理 系統(tǒng)管理 手機(jī)APP 智能開(kāi)發(fā)平臺(tái) ERP軟件教程 ERP系統(tǒng)操作 ERP系統(tǒng)教程