你的企业是否有自动补丁管理工具的潜在需求?-阿里云开发者社区

开发者社区> 云栖大讲堂> 正文

你的企业是否有自动补丁管理工具的潜在需求?

简介:
+关注继续查看

大多数软件由软件供应商定期更新(例如微软所谓的周二补丁日)或者在需要修复软件时进行更新。在本文中,我们将探讨自动补丁管理工具的适用场景。

对于软件漏洞来说,是否修复并不是问题,毕竟企业必须保持其计算机软件更新了相应的补丁。事实上,对于上市公司,定期修复软件可能是法律要求,例如萨班斯-奥克斯利法案(SOX)、美国民事诉讼法(FRCP)和健康保险流通与责任法案(HIPAA)等。很多这些政府法规包含实质的经济处罚,甚至还会对不遵守法规要求的上市公司的CEO和CFO进行刑事指控。

在世界上大多数国家,还有类似的金融、医疗和企业法规,因此,补丁管理应该是每个企业的优先事项。然而,是否应该部署自动补丁管理受若干因素影响,有些取决于特定的企业,有些则涉及到IT整体职能。

修复过程

根据企业规模的不同,以及企业对IT预期和/或赋予IT的职责的不同,补丁管理可能被认为是信息技术专业人员的主要工作。在大多数企业,IT负责计算基础设施,包括服务器、负载均衡器、存储阵列、设备、网络设备等。显然,IT必须始终负责对这些基础设施服务器和设备进行即时修复。IT应该确保创建一个沙盒环境,在新补丁发布时对补丁进行测试,再分发到服务器和其他设备。

除了保持基础设施打补丁和及时更新,IT还必须制定和分发修复过程以保持最终用户计算机的更新。下面是最终用户部署补丁管理的两种流程:

1. 针对全体员工定义和分发书面流程,以保持其台式机或笔记本电脑保持更新,以及其本地安装的应用。

2. 部署自动补丁管理系统,让IT严格控制什么时候发布哪些补丁。

如果企业信任员工可以确保其自己的计算机保持更新,最好偶尔保存用户代表性样本,以确保他们遵守企业补丁管理政策。要注意的是,如果涉及到政府和公司合规要求,让员工管理自己的操作系统和应用修复可能让企业面临法律责任。在企业分析是使用自合规还是自动工具进行补丁管理时,应该要考虑如果其修复工作未能遵守政府和合规要求而涉及的潜在财务影响。

另外,如果企业有软件库存工具(例如微软System Center Configuration Manager或赛门铁克端点管理),那么,底层库存基础设施已经部署到位,则可执行对软件许可证和补丁水平的定期审计。当库存审计表明最终用户应用过时,补丁管理软件可用来确保遵守补丁指南或要求。

虽然部署全面的补丁管理基础设施需要巨大的成本,但对于处在严格监管行业的企业来说,自动补丁管理的好处可能远远超过成本。下面让我们来看看自动补丁管理的潜在用例。

用例1

自动补丁管理过程的第一个企业用例通常适合员工总人数加上服务器总数约为50的企业。在这些企业,IT不能冒风险依靠员工通过手动修复来保持其操作系统和本地安装应用的更新。

此外,手动修复服务器是非常耗时的过程。快速成本效益分析表明,IT没有办法花时间为服务器和其他基础设施设备手动安装补丁,因为他们的基础设施环境有超过10到15台服务器或其他可修复设备。

企业还应该对修复最终用户计算机进行类似的成本效益分析。很多企业利用库存软件来生成报告,以展示最终用户计算机和服务器安装了哪些操作系统和应用,以及所有已安装软件的版本和修复水平。这些报告还可以帮助小型IT部门监控最终用户保持其修复水平的情况。

除了规模较大的企业,自动补丁管理工具也非常适合小型企业,因为这些企业无法依靠最终用户修复补丁,这很容易让公司面临恶意软件威胁和潜在的法律方面的后果。

用例2

自动补丁管理的第二个企业用例非常适用于受联邦法规和法案(例如SOX、FRCP和HIPAA)监管的上市公司。在这种情况下,持续的补丁管理可能是法定要求,如果违反这些规定,CEO和CFO可能面临刑事和民事处罚。

除了满足监管要求,修复可能是企业必要的流程,以保护企业免受潜在的法律诉讼,这些诉讼可能来自客户、供应商以及因企业网络中修复相关问题而遭受财务损失的其他人。如果企业未能保持其计算机和其他设备安装最新推荐的补丁,企业可能面临来自客户、合作伙伴和其他相关方的法律诉讼。例如,如果恶意软件通过已经发布补丁的漏洞进入企业的IT基础设施,并且,如果恶意软件导致个人身份信息(PII)意外或有目的泄露,那么,企业可能面临巨大而持续的民事责任。

企业在考虑自动补丁管理工具的成本外,还需要注意的是当上市公司没有可核实、可重复自动补丁管理流程而可能带来的风险。根据企业特定运营环境和政府合规要求的不同,当修复相关的事故给企业利益相关者造成损害时,企业可能要花费大量的时间、金钱,并且,客户信誉都会岌岌可危。这就是说,与防止企业因缺乏补丁管理受到的法律和监管行动的成本相比,部署自动补丁管理工具的成本通常相对更少。


原文发布时间为:2015-10-10

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。






版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
疫情之下,中小企业数字化转型之路正在被“激活”?数字化工具的应用或成关键
疫情发生后,企业数字化转型的需求日益强烈。阿里云2020上云采购季,一亿补贴助力企业复工复产:定制建站爆品买一年送一年;企业邮箱、OA、ERP等办公必备最低5折;营销刚需小程序、域名、友盟75折......让企业以最大程度的优惠获取到优质的...
504 0
【我的Android进阶之旅】推荐一款视频转换GIF图片格式的转换工具(Video to GIF)
一、背景 最近想把一些Android Demo的运行效果图获取下来,但是一直使用真机进行调试,在电脑上不好截取一段gif动画。而之前使用模拟器的时候可以使用 GifCam 工具进行屏幕动画截取。
1707 0
五大免费企业网络入侵检测工具(IDS)
Snort一直都是网络入侵检测(IDS)和入侵防御工具(IPS)的领导者,并且,随着开源社区的持续发展,为其母公司Sourcefire(多年来,Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Snort,同时仍然免费提供功能有限的免费版本Snort)持续不断的支持,Snort很可能会继续保持其领导地位。
1592 0
疫情之下,中小企业数字化转型之路正在被“激活”?数字化工具的应用或成关键
疫情发生后,企业数字化转型的需求日益强烈。阿里云2020上云采购季,一亿补贴助力企业复工复产:定制建站爆品买一年送一年;企业邮箱、OA、ERP等办公必备最低5折;营销刚需小程序、域名、友盟75折......让企业以最大程度的优惠获取到优质的企业应用产品。
531 0
MongoDB管理工具曝远程代码执行漏洞
本文讲的是MongoDB管理工具曝远程代码执行漏洞,MongoDB,IT界主流非关系型数据库(NoSQL)平台之一,是基于表的关系型数据库的流行替代物。
1396 0
如何让智能客服成为企业的生产力工具?
2021年10月21日,阿里巴巴达摩院“新一代企业智能服务论坛”在杭州圆满举行。达摩院产品创新中心阿里云智能客服业务总经理王巍巍分享了阿里云智能客服最新进展,包括全渠道全场覆盖的云上产品矩阵,从智能服务向智能营销场景延伸的解决方案,国内首创的智能策略中心;号召客户和生态伙伴共同探讨智能服务行业未来发展动向。
13838 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3918
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载