近年来，补丁管理已经成为最令IT人员头疼的问题。甚至仅仅是部门级别的补丁管理，都可能成为IT人员的艰巨挑战。如果是一家分散在各地的企业，补丁管理工作变得绝对让人感到畏惧。

　　补丁中的漏网之鱼

　　以美国国税局（IRS）的情况为例。IRS的办公网络与其税务处理系统隔离，办公网络连接着全美400家办事处（包括夏威夷和波多黎各）的10万台工作站。此外，一些雇员在家上班，而另一些雇员则在企业现场或远程办公中心。可以想象，为这种复杂的环境保持最新的补丁升级并不是件容易的事情。

　　IRS企业系统管理计划经理Allan Roberts说：“我们进行了一些检查，发现实际上我们的多数工作站打上了大多数补丁。但是当你有一个拥有10万台工作站的环境，如果你每台工作站平均漏掉一到三个补丁，漏打补丁的数字就会迅速增加。”

　　事实上，Roberts估计在IRS整个网络上漏打补丁的总数接近100万。并不是所有漏打的补丁都是致命补丁。但是，如果其中很小一部分是可利用的安全漏洞，情况会变得很严重。Roberts说：“一旦我们开始掌握情况，我们感到形势很紧急。”

　　解决IRS补丁管理灾难的答案，就是将现有方案和内部开发的解决方案进行组合。IRS利用IBM Tivoli配置管理器自动在其办公网络中分发补丁包，但仅靠该软件并不能保证补丁周期的完整。

　　Roberts说：“我们一直使用Tivoli，并且在使用它时取得了巨大成功，但是让它在我们的环境中按我们的操作方式运行，也要付出巨额的支持费用。”

　　IRS工作站标准计划经理Tina Walters说，任何现有的软件系统大都缺少强有力的系统支持，换句话说，没有经过定制就不能满足IRS的需要。

　　特殊需求中的新架构

　　Walters说：“当你看一看我们的环境，就会发现它是那么复杂，那么庞大。一般当我们出去寻找满足我们某个需要的厂商产品时，我们必须修改和优化产品来满足我们的需要，而有时需要更多的资源来维护和管理这种产品。”事实上，Walters承认，由于其管理规定、规则比较特殊，导致了其需求的特殊性。
　　
　　目前为止，Walters和她的团队通过定制解决方案填补了这个空白。定制解决方案由脚本构成，这些脚本可以自动定期审计工作站当前修补过的补丁，并将结果与保存在一台内部Web服务器上的可用补丁主清单比较。

　　Walters说：“一旦系统发现首选配置与安装在工作站上的补丁之间的差别，系统可以触发其它脚本自动下载和安装缺失的补丁。换句话说，补丁全部是以电子方式分发的。人员不必亲自跑到工作站去安装补丁。”

　　IRS现在十分接近于实现其雄心勃勃的补丁维护目标。Roberts说，该系统并不完美，但是如果一台工作站在一段时间内失去与IRS网络的连接，这并不意味着它没有进行关键的软件安全更新。

　　Roberts表示：“上一次我们进行检查时，我们通过了100万个核心安全补丁中的四分之三，而目前这个数字仍在增加。因此对我们来说，减少我们网络上的安全漏洞是个非常成功的故事。”

【责任编辑 林洪技】