監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

解析:鋼鐵企業(yè)信息化如何走出安全困境?

申請免費(fèi)試用、咨詢電話:400-8352-114

鋼鐵行業(yè)是我國最重要的傳統(tǒng)工業(yè)之一,其行業(yè)本身的特性迫使該行業(yè)的公司不斷地與業(yè)內(nèi)的其它公司和其它行業(yè)的替代產(chǎn)品進(jìn)行競爭。 ...

鋼鐵行業(yè)是我國最重要的傳統(tǒng)工業(yè)之一,其行業(yè)本身的特性迫使該行業(yè)的公司不斷地與業(yè)內(nèi)的其它公司和其它行業(yè)的替代產(chǎn)品進(jìn)行競爭。

因此,廠商必須通過不斷地開發(fā)新產(chǎn)品、提高生產(chǎn)效率、提高產(chǎn)品質(zhì)量來應(yīng)對瞬息萬變的市場。同時,企業(yè)還必須滿足制造高質(zhì)量產(chǎn)品、準(zhǔn)時交貨、保持最低成本等方面的要求。因此鋼鐵企業(yè)的改造迫切需要得到IT技術(shù)的大力支持。

據(jù)統(tǒng)計(jì),我國鋼年產(chǎn)量200萬噸以上的20家企業(yè)百分之百實(shí)現(xiàn)了信息化;鋼年產(chǎn)量100萬噸以上的47家企業(yè)和鋼年產(chǎn)量50萬噸以上的58家企業(yè)中,也有絕大多數(shù)實(shí)現(xiàn)了信息化。

但是,就我國鋼鐵企業(yè)目前的現(xiàn)狀來看,兩級分化比較嚴(yán)重:一部分企業(yè)的設(shè)備較先進(jìn)、設(shè)備自動化水平較高。如寶鋼、首鋼、攀鋼等幾個大型鋼廠和發(fā)展較快的一些中型鋼廠,它們基本實(shí)現(xiàn)了主要生產(chǎn)過程的自動控制、處理和數(shù)據(jù)采集、erp系統(tǒng)視頻教程和企業(yè)資源系統(tǒng)管理;另一部分企業(yè)由于建廠早、設(shè)備自動化水平低、資金薄弱,在實(shí)現(xiàn)信息化建設(shè)方面顯得心有余有力不足,只能在企業(yè)管理方面引入一些簡單的計(jì)算機(jī)輔助系統(tǒng),幫助企業(yè)實(shí)現(xiàn)計(jì)算機(jī)輔助訂單管理、庫存管理和財(cái)務(wù)管理。對于后者,只有加強(qiáng)基礎(chǔ)信息化建設(shè),協(xié)助他們通過信息化改造找到創(chuàng)新的突破口,早日走出困境。

現(xiàn)狀:漏洞管理面臨的挑戰(zhàn)

隨著鋼鐵企業(yè)信息化程度的提高以Internet/Intranet應(yīng)用的普及,這些企業(yè)的IT系統(tǒng)所面臨的安全威脅也日益嚴(yán)重:病毒、黑客、補(bǔ)丁管理日益困擾著企業(yè)的技術(shù)部門或?qū)iT的IT部門,影響著員工的生產(chǎn)力和企業(yè)收入。怎樣才能進(jìn)行有效的安全告警、日志、內(nèi)容、補(bǔ)丁的有效管理?讓企業(yè)的IT人員從每天疲于做"救火隊(duì)員"的角色中擺脫出來,以全面的IT管理科學(xué)有效地實(shí)現(xiàn)鋼鐵企業(yè)信息化建設(shè).

解決IT系統(tǒng)安全問題正在日趨困難和復(fù)雜,新的安全漏洞、新的攻擊手段層出不窮;同時,我們對于安全問題的認(rèn)識和解決手段仍停留在單一的技術(shù)手段層面,缺乏從企業(yè)用戶的業(yè)務(wù)角度和管理角度去考慮整體安全策略,這使得我們只能被動地等待安全問題的出現(xiàn),然后再想辦法解決,而不是主動地尋找任何可能出現(xiàn)的安全漏洞,并提前做出防范措施,降低安全風(fēng)險(xiǎn)。顯然,我們還缺乏一種面向未來的、統(tǒng)一的整體安全管理策略,來應(yīng)對各種新的安全問題,在充滿危險(xiǎn)的未知領(lǐng)域里免于損失。

根據(jù)美國CERT/CC的調(diào)查結(jié)果,計(jì)算機(jī)突發(fā)事件和漏洞數(shù)量正在不斷增長,平均來說,每天公布的漏洞數(shù)量在40個以上,隨著發(fā)現(xiàn)漏洞數(shù)量的增長,系統(tǒng)受到攻擊的可能性以及相關(guān)費(fèi)用也在不斷增加。

軟件的缺陷或漏洞隨時都可能造成系統(tǒng)崩潰或者入侵,所以,一旦發(fā)現(xiàn)漏洞,人們通常的第一反應(yīng)是--趕快打補(bǔ)丁。但是,幾乎每天都有新的軟件缺陷、漏洞被發(fā)現(xiàn),伴隨著無數(shù)相應(yīng)的補(bǔ)丁或者臨時解決辦法,安裝如此多的漏洞和補(bǔ)丁是需要占用大量資源的。另外,倉促推出的補(bǔ)丁有時未必安全,相反,或許還會引入穩(wěn)定性、性能等方面的隱患。

我們先來看一組數(shù)字:根據(jù)Meta Group的報(bào)道,2002年全年共發(fā)現(xiàn)和公布了4192個漏洞。同時,實(shí)際統(tǒng)計(jì)表明,平均一個系統(tǒng)管理員全年共花費(fèi)1920個工時,將4個補(bǔ)丁打到120臺服務(wù)器上,即在一個服務(wù)器上打一個補(bǔ)丁的平均時間大約為4小時,其中包括備份安裝測試等環(huán)節(jié)。假設(shè)該名系統(tǒng)管理員具有良好的技能訓(xùn)練,可以在20分鐘內(nèi)閱讀研究完一個漏洞及其補(bǔ)丁解決方案,那么,4192個漏洞總共需要172個人天。再假設(shè)其中只有10%的漏洞適用于自己的網(wǎng)絡(luò)環(huán)境,這樣413個漏洞,每個相應(yīng)的補(bǔ)丁部署在10臺服務(wù)器上,共需要2065個人天(即同樣配置的服務(wù)器數(shù)量為10個左右)。我們可以看到,這兩個人天數(shù)字加在一起,差不多是10個全職安全管理員一年的工作量,這里還沒有考慮對廠家發(fā)表的補(bǔ)丁進(jìn)行測試和驗(yàn)證的過程,也沒有考慮打補(bǔ)丁失敗造成的二次資源消耗。可以看到,補(bǔ)丁和漏洞管理已經(jīng)成為一個很大的資源漏斗,占用大量的系統(tǒng)管理員資源。

在現(xiàn)實(shí)中,企業(yè)要想實(shí)現(xiàn)一個全面的漏洞管理解決方案的確相當(dāng)困難,不但費(fèi)用昂貴,而且費(fèi)時費(fèi)力,實(shí)施復(fù)雜。通常,鋼鐵企業(yè)由于信息化進(jìn)程都是循序漸進(jìn)的,因此IT架構(gòu)十分復(fù)雜:在硬件方面,使用多個廠商的服務(wù)器及終端,軟件方面,具有多種操作平臺,如Windows 2000、Windows NT、Red Hat Linux、Oracle、Microsoft IIS和SQL等。由于這種IT資源獨(dú)立而且異構(gòu)的狀況,必須找到一種集成的工具以控制漏洞管理的所有步驟。

措施:引入自動化的補(bǔ)丁和漏洞管理工具

任何一名企業(yè)管理者對這些系統(tǒng)的安全隱患和所承受的巨大的資源消耗視而不見,因此必須找到更有效的解決途徑,以填補(bǔ)這個巨大的"漏斗",這些解決途徑可以包括以下措施:

引入知識共享或者外部知識庫(專業(yè)服務(wù)),減少漏洞和補(bǔ)丁學(xué)習(xí)過程消耗;建立有效的補(bǔ)丁管理流程和備份回卷計(jì)劃;引入自動化的補(bǔ)丁和漏洞管理工具,加速部署過程。

●補(bǔ)丁的風(fēng)險(xiǎn)成本

事實(shí)上,打補(bǔ)丁對于任何一個企業(yè)來說,代價是非常昂貴的。這種成本包含有收集、了解、測試、部署、備份恢復(fù)以及風(fēng)險(xiǎn)等成本。但是,不打補(bǔ)丁的"成本"是數(shù)據(jù)失密、丟失、篡改、拒絕服務(wù)、系統(tǒng)恢復(fù)以及其它無形損失等。

●尋找打補(bǔ)丁最佳時機(jī)

通常認(rèn)為,對于發(fā)現(xiàn)的漏洞和補(bǔ)丁應(yīng)該盡快安裝部署。但是,按照美國USENIX組織發(fā)表的一個針對CVE漏洞和補(bǔ)丁的研究數(shù)字表明,大概有18%左右的補(bǔ)丁會稍后進(jìn)行重新發(fā)布,即出現(xiàn)了所謂的補(bǔ)丁的補(bǔ)丁,即意味著,在第一時間安裝上的補(bǔ)丁,有18%的可能會帶來新的缺陷或安全漏洞。隨著時間的推移,補(bǔ)丁本身的安全性和穩(wěn)定性會上升,由此造成的損失風(fēng)險(xiǎn)相應(yīng)降低。

●自動化打補(bǔ)丁降低部署成本

我們知道,降低部署成本、減小補(bǔ)丁失敗成本,可以提高補(bǔ)丁管理決定的安全防御強(qiáng)度。降低部署成本的有效辦法就是"自動化",建立覆蓋全網(wǎng)的自動化補(bǔ)丁知識庫和管理系統(tǒng),集中收集、建立、分發(fā)補(bǔ)丁包。這樣的自動化系統(tǒng)可以帶來下面所列的明顯收益:將整個補(bǔ)丁分發(fā)過程的時間窗口減小到極低;將每服務(wù)器/每補(bǔ)丁數(shù)小時的工時成本降到很低,即分發(fā)安裝費(fèi)用降到接近零,只剩下制作軟件分發(fā)包、檢查測試補(bǔ)丁安裝結(jié)果的"工時"成本;保證全網(wǎng)在補(bǔ)丁配置管理方面的一致性。另外,減小補(bǔ)丁失敗成本的辦法是對補(bǔ)丁進(jìn)行有效測試,具體做法可以是購買專業(yè)廠家的服務(wù),也可以建立自己的安全實(shí)驗(yàn)室。這樣的投資對于分布式的大企業(yè)來說,具有非常高的投資回報(bào)率。

補(bǔ)丁本身的特點(diǎn),注定了補(bǔ)丁管理不可能有很好的預(yù)見性。但是作為管理者,在流程和手段上,卻不能不預(yù)見到補(bǔ)丁管理的特性和意義,及其實(shí)施中的具體問題。所有的補(bǔ)丁分發(fā)與管理工具只是幫助加速或者自動化相應(yīng)的策略和過程,提高效率和質(zhì)量而已,但是不可能改變邏輯。如果補(bǔ)丁管理流程本身是混亂的,那么自動化的后果也肯定是混亂的。

發(fā)布:2007-04-22 12:12    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普ERP軟件教程其他應(yīng)用

協(xié)同辦公 行政管理 人力資源 績效考核 薪酬管理 營銷管理 銷售管理 采購管理 庫存管理 供應(yīng)鏈設(shè)置 生產(chǎn)管理 質(zhì)檢管理 供應(yīng)商管理 財(cái)務(wù)管理 門店配送 門店管理 系統(tǒng)管理 手機(jī)APP 智能開發(fā)平臺 ERP軟件教程 ERP系統(tǒng)操作 ERP系統(tǒng)教程