企业IT管理任务日益繁重的今天,对软件补丁更新进行集中管理,把补丁管理纳入企业的安全体系已经成为IT应用部门尤其是拥有大型计算机网络的银行的迫切要求。建立一套软件补丁分发体系可以大大提高银行网络管理的自动化程度,确保系统的安全和用户支持的自动化,提高管理效率。自动化管理流程还可以避免人工操作带来的风险,使银行IT资产得到更好的保护,形成硬性有效的内部控制。
一、系统需求
工商银行现行的软件补丁管理是在软件厂商发布补丁之后,经内部开发单位测试,各级行系统管理、生产管理、生产运行等多个部门确认、组织、通知、发布等后实现的。这种管理方式侧重于技术行政管理,实施和验证工作往往被忽略。
Windows平台的计算机设备持续增长,而补丁管理手段落后、技术维护力量匮乏。如何对数量众多的客户端进行全面、及时、准确地补丁更新并维护网络安全是科技部门迫切需要解决的问题,原有的人工打补丁的方式已经显得不合时宜了。
目前工商银行办公网内部客户端的补丁更新采用分散、多途径实现方式。一种方式是厂商发布补丁后,管理员将补丁放到内部网的一台文档共享机上,用户通过IP直接访问方式自行完成补丁的安装;另一种方式是管理员将补丁放到LotusNotes平台指定应用数据库中,通过自动复制机制转发到各级分行,用户直接访问数据库进行补丁安装。另外,被授权使用外网的用户计算机也可以直接访问厂商的网站进行下载更新。由于缺乏统一的、自动化的管理,技术部门无法确定更新结果。
近年来,在降低成本和业务管理模式转变的大背景下,银行办公客户端同时需要用来进行业务操作和业务管理,办公环境客户端同时也作为生产环境客户端。这就对计算机的安全保障、管理效率提出了更高要求。
随着数据大集中的全面竣工、计算机网络等基础设施的升级完善,工商银行内部应用系统日趋复杂,迫切需要建立一套高效的管理严密的软件补丁分发体系。
二、系统目标
软件补丁分发体系管理系统设计目标:根据已有硬件条件和网络环境合理利用资源,将Windows平台的办公网客户端纳入统一的补丁管理,尽可能减少人工操作,降低管理成本,实现系统使用效益的最大化。系统应具备如下特征:①全面性。内部网络办公平台的计算机全部加入软件补丁分发管理体系,确保企业内部网所有客户端及时打上补丁,避免漏洞攻击。②及时性。确保新发布补丁在规定时间内以最快的速度通过补丁分发系统实现自动分发。③严密性。补丁分发系统推广前,应严格测试内部生产系统和应用环境,制定严密的补丁部署计划和应急方案,避免可能出现的因补丁分发系统上线导致内部重要系统无法正常运作的情况。④持续性。确保补丁分发系统的连续运行,对软件厂商补丁公告、安全公司安全公告的及时跟踪,补丁的自动同步。
三、系统设计
软件补丁分发体系设计选择了微软的SystemsManagementServer2003技术产品,采取分布式SMS管理方案。经过一年多的努力,构建了以数据中心(上海)为中心,辐射全行的三级软件补丁分发体系。软件补丁分发体系与工商银行Intranet建设_目录服务体系紧密集成,部分功能的实现依托于Intranet建设_目录服务体系。
1.网络拓扑结构
网络拓扑结构如图1所示。
(1)数据中心(上海)办公网区设置SMS主站点服务器,与AD域控制器连接,完成全行的补丁包制作,通过在SMS服务器上制定策略,可以将补丁分发到各分行的SMS服务器站点上。
(2)在数据中心(上海)的DMZ区内设置一台内部的SUS(SystemUpdateServices)服务器,外接Internet,实现与微软升级服务器自动补丁同步,与数据中心(上海)的SMS服务器主站点进行补丁同步。
(3)在一级分行建本部SMS站点服务器,与该分行的AD域控制器结合在一起,可以接收数据中心下发的全行性补丁,向辖内二级分行转发全行性补丁;同时也可以根据一级行的需要自行制作补丁,提供给本部环境客户端。
(4)二级分行接收一级分行下发的补丁,为最终客户端分发补丁,软件补丁分发的范围可以覆盖到县级行办公网络。也可以根据二级分行的需要自行制作补丁,下发辖内客户端。
(5)最终客户端(使用Windows操作平台)亦是SMS客户端,可以自动接收软件补丁。其范围包括数据中心和数据中心内部办公用户、一级分行(本部)办公用户、二级分行本部以及辖内所有办公用户。
2.系统配置要求
(1)硬/软件配置
根据标准化硬件/软件原则,服务器硬件配置类型分为3类。
A类:单CPUXEON800MHz或以上,内存1GB,硬盘可用空间约100GB,1MBofL2Cache,网卡100M/1000M;
B类?双CPUXEON1.4GHz或以上,内存2GB,硬盘可用空间约100GB,2MBofL2Cache,网卡100M/1000M;
C类:4CPUXEON2.0GHz或以上,内存4GB,硬盘可用空间约100GB,2MBofL2Cache,网卡100M/1000M。
各级SMS站点服务器的硬件配置要求由本级SMS站点管理的用户数量决定。数据中心SMS主站点服务器配备C类设备;一级分行本部SMS站点服务器大于2000用户数配备C类设备,小于2000用户数配备B类设备;二级分行SMS站点服务器视用户数配备B类或A类设备。
软件配置要求:操作系统中文Windows2003EnterpriseServer+最新的SP+后续的rollupfix;应用为SMS2003;数据库为SQLServer2000。
(2)系统参数配置
SMS服务器的系统参数配置主要包括磁盘划分、目录划分和操作系统特定组件的安装三部分。SMS服务器需要进行单独站点和站点的层级配置。
四、软件补丁分发流程设计
软件补丁分发执行之前,首先需要及时掌握最新补丁程序与修复程序信息;其次要准确评估安装补丁对整个系统造成的影响,掌握软件补丁修改的内容;再次要在实施之后评估补丁程序是否安装成功,在出现问题的情形下,还必须能够对运行环境进行尽快的恢复。
项目管理部门负责总体计划安排及资源调配。在软件厂商公布新补丁之后,对全行补丁的下发做总体安排。
开发单位则需对新发布的补丁进行测试和评估,担负全行技术任务,监控执行情况与部署进度。
数据中心收到发布补丁通知之后,对评估过的补丁制定全行补丁分发策略,制作全行性的补丁包,通过SMS主站点将补丁包同步到全行SMS服务器分发点上,并通知一级分行;数据中心还应该在全行SMS主站点上查看全行报表,跟踪与统计全行的补丁分发和安装的情况。
一级分行收到数据中心关于分发补丁的通知之后,再次对补丁程序进行评估,以保证补丁程序不会对本分行的生产办公环境产生影响,例如确保安装补丁后应用程序无法正常运行的情况不会出现。在补丁顺利通过评估之后,通知下属二级分行分发补丁并完成本部客户端的补丁分发工作;若评估发现补丁可能对生产环境造成影响,则通知数据中心协调开发部门,共同寻找相应的调整方案。一级分行负责单独制作符合本级行需要的非全行性补丁包下发本部客户端。一级分行负责在本级行SMS站点上查看报表,跟踪和统计本分行(包括一级分行和下属二级分行)的补丁分发和安装情况。
二级分行收到上级分行关于分发补丁的通知之后,对补丁程序进行必要的评估,以保证补丁程序不会对本行的办公生产环境产生影响,补丁顺利通过评估之后,对本行SMS站点内的客户端下发补丁,进行补丁的自动安装。若评估发现补丁可能对生产环境有影响,则通知上级行,共同寻找相应的调整方案。二级分行还可以单独制作符合本级行需要的非全行性补丁包下发最终客户端。二级分行负责在本级行SMS站点上查看报表,跟踪和统计本行的补丁分发和安装情况。
最终客户端在加入域的同时安装了SMS代理(根据用户端系统类别分别安装LegacyClient和AdvancedClient),客户端信息已经被收集并提交给SMS服务器,无须干涉就可以接受服务器分发的补丁程序,执行打补丁命令,之后自动向服务器报告安装成功或是失败。以一级分行为例?实施分发过程如下?
以SMS管理员身份登录本行SMS服务器站点?在SiteDataBase中Package池查看数据中心制作的补丁包是否复制到本行,若成功复制下来,建立Advertisements?开始向客户端发送补丁包。建立Advertisements需要考虑补丁包的规范化命名和下发优先级别,补丁包名称是否和补丁程序名称一致、补丁包分发的时间点、分发周期,考虑尽量避开网络高峰时段,最大限度减轻网络压力。确定分发对象事先要建立对应的Collection池(Collection定义分类对象),并且需要根据本行各部门客户端数量、不同操作系统的数量来确定是以计算机来分发还是以部门来分发等等,补丁分发完毕后,在SMS服务器的SiteDataBase-Reporting池中,运行报告结果,显示SoftwareUpdate-DistributionStatus查看分发结果。
数据中心、各级分行在每次完成软件补丁下发后汇总上报执行报表,通报执行情况,对报表进行综合分析,要重点进行补丁失败的原因分析,以便进行流程的优化和实施方案的改进。
软件补丁分发可以说是一项系统化的工作,无论是计划阶段的环境分析,还是管理流程中补丁跟踪、分析、部署、验证,每个环节都非常重要,软件补丁分发的实施效果关系企业的整体安全,实施过程中需要协调多方资源,特别需要最终用户的关注和支持。
