如何選擇自動(dòng)補(bǔ)丁管理策略？

申請免費(fèi)試用、咨詢電話：400-8352-114

如果說層出不窮的特洛伊木馬、蠕蟲和病毒讓我們學(xué)到了什么，那就是：對網(wǎng)絡(luò)安全來說，軟件補(bǔ)丁與病毒更新一樣重要。臭名昭著的"沖擊波"蠕蟲和最近的Scob木馬只是原本只要及時(shí)打上相應(yīng)的軟件補(bǔ)丁就很容易避免攻擊的兩個(gè)例子。

現(xiàn)有的許多第三方解決方案通?？梢苑殖蓛纱箢悾邯?dú)立的補(bǔ)丁管理實(shí)用程序和集成到較龐大的企業(yè)管理系統(tǒng)當(dāng)中的補(bǔ)丁管理功能。它們各自有優(yōu)缺點(diǎn)，如果IT管理員能夠明白每種解決方案的利弊，就能選出適合自身環(huán)境、預(yù)算以及整體管理方法的補(bǔ)丁管理方案。

補(bǔ)丁管理實(shí)用程序

現(xiàn)在許多獨(dú)立軟件廠商提供補(bǔ)丁管理實(shí)用程序，包括BigFix、Shavlik Technologies、PatchLink和微軟。由于補(bǔ)丁管理解決方案市場不斷壯大，這類實(shí)用程序大多數(shù)集成了豐富功能。不過，由于實(shí)用程序產(chǎn)品的發(fā)展脫離于較全面的管理框架，所以它們僅僅是單點(diǎn)方案（point solution），缺乏與綜合管理系統(tǒng)真正集成的性能。
這種解決方案的一個(gè)例子就是微軟的軟件更新服務(wù)（SUS），SUS利用了支持Windows 2000 Service Pack 2及更高版本的內(nèi)置的自動(dòng)更新服務(wù)。該產(chǎn)品是因特網(wǎng)信息服務(wù)器（IIS）的免費(fèi)附件，但不提供與管理技術(shù)相集成的性能。

單一體系結(jié)構(gòu)的SUS基本上是原先供企業(yè)使用而進(jìn)行打包的微軟Web服務(wù)的產(chǎn)物。在下一個(gè)重大升級版：Windows Update Services當(dāng)中，SUS終于得到了一些改進(jìn)。不過，大部分改進(jìn)是在擴(kuò)大補(bǔ)丁覆蓋對象和改進(jìn)補(bǔ)丁方面，而不是在基本體系結(jié)構(gòu)方面。

實(shí)用程序的缺點(diǎn)就是會(huì)帶來多余的管理活動(dòng)，如果為處理不同管理任務(wù)而實(shí)施了多個(gè)單點(diǎn)方案，更是如此。譬如說，單點(diǎn)方案實(shí)施獨(dú)特的管理控制臺和報(bào)告系統(tǒng)，有許多把服務(wù)分發(fā)至工作站，各自對網(wǎng)絡(luò)通信都有自己的需求。與功能齊全的企業(yè)管理系統(tǒng)相比，單點(diǎn)方案的好處就是實(shí)施起來比較快，并且購買價(jià)比較低。不過，這種短期得益有可能換來不可預(yù)知的長期成本。

企業(yè)管理系統(tǒng)

如今補(bǔ)丁管理已被認(rèn)為是系統(tǒng)管理廠商再也不能忽視的一個(gè)長期問題。雖然起初添加補(bǔ)丁管理特性的企業(yè)管理產(chǎn)品寥寥無幾，但現(xiàn)在大多數(shù)都包括了這項(xiàng)特性。添加補(bǔ)丁管理似乎是很自然的功能擴(kuò)展，因?yàn)槠髽I(yè)管理產(chǎn)品都包括了軟件部署和報(bào)告功能。不過這些產(chǎn)品遲遲未見改動(dòng)、仍處于轉(zhuǎn)變期。

譬如說，微軟最近提供了名為SUS Feature Pack（與SUS產(chǎn)品無關(guān)）的系統(tǒng)管理服務(wù)（SMS）附件。SUS Feature Pack把免費(fèi)的HFNetCheck和Office Update Tool掃描實(shí)用程序跟SMS報(bào)告和軟件部署功能集成起來。雖然目前這個(gè)混合系統(tǒng)肯定不是最好，但確實(shí)為SMS顧客提供了集成化功能。

再舉一個(gè)例子，最近被BMC收購的Marimba向Shavlik購買了用于Windows平臺的補(bǔ)丁元數(shù)據(jù)（即需要哪些補(bǔ)丁、如何安裝補(bǔ)丁的信息）的許可證。這種信息與Marimba的高級軟件打包和部署功能集成在一起。

諸如此類的企業(yè)管理系統(tǒng)有一個(gè)缺點(diǎn)：產(chǎn)品極其龐大，規(guī)劃、基礎(chǔ)設(shè)施和許可方面一般需要大筆投資。雖然補(bǔ)丁管理已成為其中的一個(gè)重要部分，但采購系統(tǒng)級方案一般取決于更全面的考慮因素，實(shí)施所需時(shí)間比單點(diǎn)方案長得多。另外，這些產(chǎn)品往往需要專門技能；這種技能很難找到，而且耗資不菲。不過企業(yè)管理系統(tǒng)的最大優(yōu)勢也在于集成。如果這類系統(tǒng)已經(jīng)部署到位，那么使用集成的補(bǔ)丁管理功能也許是解決補(bǔ)丁管理問題的誘人方案。

內(nèi)置系統(tǒng)

內(nèi)置系統(tǒng)，譬如Windows 2000及以后版本平臺上的Group Policy，能提供企業(yè)管理系統(tǒng)的全面集成功能，又不需要高昂費(fèi)用。它們還能充分利用集成在這些較新的操作系統(tǒng)里面的管理功能，從而提供穩(wěn)健功能。缺點(diǎn)在于，它們依靠較新操作系統(tǒng)的這種支持。不過，如果你用的是比較新的平臺，或者不久將遷移到新平臺，這種選擇也許集兩者之眾長。

在活動(dòng)目錄（Active Directory）網(wǎng)絡(luò)（約占如今市場的50%）上，有許多內(nèi)置管理技術(shù)由第三方Group Policy插件緊密結(jié)合，提供強(qiáng)大的集成功能，價(jià)格卻類似單點(diǎn)方案。因?yàn)镚roup Policy是活動(dòng)目錄管理必不可少的一部分，所以這種解決方案還可以降低培訓(xùn)費(fèi)用、不需要部署專利服務(wù)、并可以利用通用的規(guī)劃和報(bào)告基礎(chǔ)設(shè)施。

平臺支持

要考慮的另一個(gè)必要因素就是對各種操作系統(tǒng)、補(bǔ)丁和補(bǔ)丁語言的支持。有些補(bǔ)丁系統(tǒng)支持多個(gè)系統(tǒng)，譬如Linux、HP-UX、AIX、Solaris和Windows，另一些產(chǎn)品卻只支持這些平臺中的一小部分。
對于語言的支持也有差異，有的支持單一語言，有的支持所有語言。即使微軟自己在打補(bǔ)丁的時(shí)候也是依據(jù)所用技術(shù)的不同，分別支持部分語言和全部語言。

最后，有些系統(tǒng)不支持部署非微軟補(bǔ)丁或者不在補(bǔ)丁管理廠商發(fā)布的元數(shù)據(jù)之內(nèi)的補(bǔ)丁。至少，你要確保解決方案能夠滿足這些方面的需求。

來源：CCW