因此，厂商必须通过不断地开发新产品、提高生产效率、提高产品质量来应对瞬息万变的市场。同时，企业还必须满足制造高质量产品、准时交货、保持最低成本等方面的要求。因此钢铁企业的改造迫切需要得到IT技术的大力支持。

　　据统计，我国钢年产量200万吨以上的20家企业百分之百实现了信息化;钢年产量100万吨以上的47家企业和钢年产量50万吨以上的58家企业中，也有绝大多数实现了信息化。

　　但是，就我国钢铁企业目前的现状来看，两级分化比较严重:一部分企业的设备较先进、设备自动化水平较高。如宝钢、首钢、攀钢等几个大型钢厂和发展较快的一些中型钢厂，它们基本实现了主要生产过程的自动控制、处理和数据采集、ERP和企业资源系统管理;另一部分企业由于建厂早、设备自动化水平低、资金薄弱，在实现信息化建设方面显得心有余有力不足，只能在企业管理方面引入一些简单的计算机辅助系统，帮助企业实现计算机辅助订单管理、库存管理和财务管理。对于后者，只有加强基础信息化建设，协助他们通过信息化改造找到创新的突破口，早日走出困境。

　　现状:漏洞管理面临的挑战

　　随着钢铁企业信息化程度的提高以Internet/Intranet应用的普及，这些企业的IT系统所面临的安全威胁也日益严重:病毒、黑客、补丁管理日益困扰着企业的技术部门或专门的IT部门，影响着员工的生产力和企业收入。怎样才能进行有效的安全告警、日志、内容、补丁的有效管理?让企业的IT人员从每天疲于做"救火队员"的角色中摆脱出来，以全面的IT管理科学有效地实现钢铁企业信息化建设.

　　解决IT系统安全问题正在日趋困难和复杂，新的安全漏洞、新的攻击手段层出不穷;同时，我们对于安全问题的认识和解决手段仍停留在单一的技术手段层面，缺乏从企业用户的业务角度和管理角度去考虑整体安全策略，这使得我们只能被动地等待安全问题的出现，然后再想办法解决，而不是主动地寻找任何可能出现的安全漏洞，并提前做出防范措施,降低安全风险。显然，我们还缺乏一种面向未来的、统一的整体安全管理策略，来应对各种新的安全问题，在充满危险的未知领域里免于损失。

　　根据美国CERT/CC的调查结果，计算机突发事件和漏洞数量正在不断增长，平均来说，每天公布的漏洞数量在40个以上，随着发现漏洞数量的增长，系统受到攻击的可能性以及相关费用也在不断增加。

　　软件的缺陷或漏洞随时都可能造成系统崩溃或者入侵，所以，一旦发现漏洞，人们通常的第一反应是--赶快打补丁。但是，几乎每天都有新的软件缺陷、漏洞被发现，伴随着无数相应的补丁或者临时解决办法，安装如此多的漏洞和补丁是需要占用大量资源的。另外，仓促推出的补丁有时未必安全，相反，或许还会引入稳定性、性能等方面的隐患。

　　我们先来看一组数字:根据Meta Group的报道，2002年全年共发现和公布了4192个漏洞。同时，实际统计表明，平均一个系统管理员全年共花费1920个工时，将4个补丁打到120台服务器上，即在一个服务器上打一个补丁的平均时间大约为4小时，其中包括备份安装测试等环节。假设该名系统管理员具有良好的技能训练，可以在20分钟内阅读研究完一个漏洞及其补丁解决方案，那么，4192个漏洞总共需要172个人天。再假设其中只有10%的漏洞适用于自己的网络环境，这样413个漏洞，每个相应的补丁部署在10台服务器上，共需要2065个人天(即同样配置的服务器数量为10个左右)。我们可以看到，这两个人天数字加在一起，差不多是10个全职安全管理员一年的工作量，这里还没有考虑对厂家发表的补丁进行测试和验证的过程，也没有考虑打补丁失败造成的二次资源消耗。可以看到，补丁和漏洞管理已经成为一个很大的资源漏斗，占用大量的系统管理员资源。

　　在现实中，企业要想实现一个全面的漏洞管理解决方案的确相当困难，不但费用昂贵，而且费时费力，实施复杂。通常，钢铁企业由于信息化进程都是循序渐进的，因此IT架构十分复杂:在硬件方面，使用多个厂商的服务器及终端，软件方面，具有多种操作平台，如Windows 2000、Windows NT、Red Hat Linux、Oracle、Microsoft IIS和SQL等。由于这种IT资源独立而且异构的状况，必须找到一种集成的工具以控制漏洞管理的所有步骤。

　　措施:引入自动化的补丁和漏洞管理工具

　　任何一名企业管理者对这些系统的安全隐患和所承受的巨大的资源消耗视而不见，因此必须找到更有效的解决途径，以填补这个巨大的"漏斗"，这些解决途径可以包括以下措施:

　　引入知识共享或者外部知识库(专业服务)，减少漏洞和补丁学习过程消耗;建立有效的补丁管理流程和备份回卷计划;引入自动化的补丁和漏洞管理工具，加速部署过程。

　　●补丁的风险成本

　　事实上，打补丁对于任何一个企业来说，代价是非常昂贵的。这种成本包含有收集、了解、测试、部署、备份恢复以及风险等成本。但是，不打补丁的"成本"是数据失密、丢失、篡改、拒绝服务、系统恢复以及其它无形损失等。

　　●寻找打补丁最佳时机

　　通常认为，对于发现的漏洞和补丁应该尽快安装部署。但是，按照美国USENIX组织发表的一个针对CVE漏洞和补丁的研究数字表明，大概有18%左右的补丁会稍后进行重新发布，即出现了所谓的补丁的补丁，即意味着，在第一时间安装上的补丁，有18%的可能会带来新的缺陷或安全漏洞。随着时间的推移，补丁本身的安全性和稳定性会上升，由此造成的损失风险相应降低。

　　●自动化打补丁降低部署成本

　　我们知道，降低部署成本、减小补丁失败成本，可以提高补丁管理决定的安全防御强度。降低部署成本的有效办法就是"自动化"，建立覆盖全网的自动化补丁知识库和管理系统，集中收集、建立、分发补丁包。这样的自动化系统可以带来下面所列的明显收益:将整个补丁分发过程的时间窗口减小到极低;将每服务器/每补丁数小时的工时成本降到很低，即分发安装费用降到接近零，只剩下制作软件分发包、检查测试补丁安装结果的"工时"成本;保证全网在补丁配置管理方面的一致性。另外，减小补丁失败成本的办法是对补丁进行有效测试，具体做法可以是购买专业厂家的服务，也可以建立自己的安全实验室。这样的投资对于分布式的大企业来说，具有非常高的投资回报率。

　　补丁本身的特点，注定了补丁管理不可能有很好的预见性。但是作为管理者，在流程和手段上，却不能不预见到补丁管理的特性和意义，及其实施中的具体问题。所有的补丁分发与管理工具只是帮助加速或者自动化相应的策略和过程，提高效率和质量而已，但是不可能改变逻辑。如果补丁管理流程本身是混乱的，那么自动化的后果也肯定是混乱的。

　　补丁管理相关策略和流程的设计需要充分考虑以下相关的重要流程环节，包括:

　　●企业的安全策略:漏洞或者缺陷是对安全的威胁，安全策略应该覆盖针对漏洞和补丁的相应策略，补丁和漏洞管理流程则应该与上述策略相适应。

　　●变更和发布管理:补丁的制作、测试、批准和部署应该纳入标准的变更和发布流程。如果当前尚没有完整的变更和发布流程，则在补丁管理流程中应该明确定义补丁的优先级或者分类、制作、测试、批准和部署以及验证等相关职位、职责和时间。

　　●配置管理:按照ITIL的最佳实践，完整一致的中心配置管理数据库(CMDB)是保持高水平IT服务管理的保障。定义补丁和漏洞相关的配置管理条目，并通过流程保证及时正确地更新。

　　●资产管理:如果已经具备了资产管理体系和流程，补丁和漏洞应该与具体的资产和相关业务优先级对应起来，正确设计不同关键性资产的特定流程。

　　●备份恢复和业务连续性管理:补丁部署的前后都会与企业的备份恢复以及业务连续性管理有关，需要充分参考、在必要时修改更新备份恢复和业务连续性计划。

　　●紧急响应:所有的补丁管理流程必须设计相应的紧急响应流程。从前面的数字，我们知道，即使是官方正式发表的补丁，也有相当的概率会出现自身新的缺陷或漏洞，与企业系统的应用关联在一起，补丁的漏洞是绝对不可忽略的。流程中必须保证这样的恢复和紧急响应环节。

　　从上面的措施可以看出，管理层应该综合考虑相关的各个方面，充分借鉴在IT服务管理或者ITIL(信息技术基础架构库)方面的实践经验，或者借助于外部的专业服务，设计与整体IT基础设施管理系统相匹配的补丁管理策略和操作流程。同时，在应用前面的自动化补丁管理系统之前，应该充分调查研究具体的IT环境和整个补丁生命周期的各种问题，设计较为周密的补丁管理策略和流程，至少应该明确定义补丁管理的使用范围、补丁优先级、补丁分发包的制作和测试、批准与分发安装、安装后测试、备份恢复计划等。

　　方案:实现安全智能的漏洞管理

　　实施真正的安全管理解决方案可赋予信息技术部门下列能力:

　　●在基本不需或者无需管理员干预的情况下，自动处理多种安全事件，从而减少事件管理的成本和复杂程度。

　　●通过集中的、基于Web或者角色的门户全面指挥和管理整个企业的安全环境。

　　●通过减少严重事件所带来的风险，改善整个安全状况。

　　CA公司洞悉当前企业全面管理安全的需求，推出了创新的eTrust整体安全管理解决方案。它可以分为三套解决方案，即eTrust身份识别管理、eTrust访问管理和eTrust威胁管理，并通过eTrust安全总控中心，为企业提供了集成的、门户化的、可视的安全管理功能，从而协助企业实现整体安全控制。

　　eTrust Vulnerability Manager(以下简称eVM)是一个革命性的漏洞管理工具，是CA公司去年推出的新产品。属于eTrust威胁管理解决方案,为企业提供了消除网络所面临的最大威胁之一--漏洞所必需的工具和安全智能。eVM可以帮助企业确定哪些漏洞将影响哪些资产，所有这些步骤都是自动执行的，并且还为管理者提供一份实时的关键性业务资产的风险评估。eVM可以让IT管理人员集中于处理可能对企业关键性业务资产造成影响的高风险漏洞，并提供一份基于资产的漏洞报告。通过工作历史记录，管理者可以检验已经解决问题的修复并记录某个任务的完成情况。此外，eVM还可以生成汇总报告，并对它们的风险状况进行量化，随着新的漏洞的发现和公布，这些新的漏洞也将在基于风险的任务列表中动态出现。

　　我国钢铁企业的信息化建设发展相当迅速，国家也给予了极大的重视。因此，处在各个层次上的钢铁企业都应该在信息化建设过程中，从自身的需求实际出发，在企业如火如荼进行信息化的同时，不能忘记对IT系统漏洞的管理。漏洞管理是当前IT系统管理中越来越繁杂的内容，补丁全部不打，安全风险太大;什么补丁都打，一方面成本很高，另外补丁本身带来的风险也不可忽略。因此CA建议:部署自动化的漏洞管理工具可以大幅减小漏洞收集和补丁部署成本，从而在相同投入情况下，提高补丁管理带来的安全强度。漏洞管理必须建立相应的流程，该流程应充分参考借鉴ITIL的最佳实践，融入到整体的IT基础设施管理体系中去。另外就是借鉴同行业或者其他行业中领先企业的宝贵经验，避免走弯路，领导层重视与企业员工努力并举，真正"炼"出一副"百毒不侵"的信息系统。