补丁管理 江湖告急(4)

　　榜样的力量是无穷的。

　　就像前文提到的，生产系统与办公系统紧密相连的企业，通常会比较重视补丁管理等与系统安全密切相关的问题。从1997年就开始重视系统安全的联想公司，现在因为整个公司上了ERP，每天网上交易额过亿，因此对系统安全问题更为关注。就补丁管理问题，联想信息化发展副总经理于奋飞简单地概括成六个字：意识、系统、管理。

　　所谓意识，代表的是公司从上到下对系统安全问题的重视，同时也意味着良好的安全习惯。为了使全体员工养成良好的安全习惯，联想公司作了明确规定，凡是不按照规定及时打补丁造成损失的，公司会对责任人进行相应的惩罚。惩罚分为5级，最严厉的一级是开除，甚至交送公安机关处理。因此，每一次系统需要统一安装某个系统补丁时，全公司上至杨元庆，下至司机，都会及时为自己的终端打上补丁。

　　在严格的制度下，网络管理部门要做的将是系统的安排工作。就补丁管理来看，联想设定了几个必要的步骤。一是从适当的途径获取补丁，联想一般会通过三个途径获得补丁：1）到公开的站点获取；2）微软会定期通知；3）针对各种软件产品，在售后服务合同中明确提出对方必须在出台相关软件补丁时，及时通知联想。二是对补丁进行分类、测试，明确哪些补丁必须打，哪些补丁仅仅是某个部门必须打。“就微软系统的补丁来说，截止到今天，今年已经公布了30几个，ERP产品这四五年来公布的补丁也有100多个，我们不可能所有的补丁都打，也没有必要，事实上，在100多个ERP补丁中，我们只采用了十几个”，于奋飞说。就微软系统补丁来说，主要分为两大类：安全补丁和性能补丁。安全补丁又分几个等级：危机、重要、高、中、低。于奋飞说：“我们会从根据厂商对补丁的说明，从中挑选出对系统安全重要的补丁最先进行测试。”对大多数企业来说，应用往往是在不同的系统平台上开发的，有可能出现新打的补丁与应用不兼容的情况。因此，联想搭建了一个小的网络环境，将各种企业正在使用的应用软件加载上去，对实际网络进行模拟。然后，用1～2天的时间检查补丁程序是否会带来系统问题。确定没有后，就可以将补丁程序自动或者通过E-mail分发下去。三是按照制定好的计划分发。目前，联想是通过自动分发工具，将补丁分发到相应的个人手中。四是执行和检查。但凡制度，执行是关键。在审查这个环节，联想一方面要求每个员工自查，另一方面通过软件进行监控，如果到时间还没有打上补丁，就会将这台机器从网络中剔除。在这样的规定下，10000多人的公司，每次都能保证98%以上的完成率。