Ясно одно: «заплатки» и уязвимости существуют, и никуда от них не деться. По мере того как системы обрастают функциональностью, вместе с этим они становятся все сложнее и сложнее в исполнении. Разве можно избежать ошибок, когда исходный код программы невообразимо велик, а над ее созданием трудятся сотни программистов? Производители программного обеспечения торопятся опубликовать найденные ошибки и выпустить соответствующие обновления своих программ. Пользователи хотят, чтобы эти обновления не заставляли себя долго ждать. Все это приводит к появлению некачественных обновлений, которые или не в полной мере исправляют ошибки, или прячут эти ошибки за новой функциональностью. Никогда нельзя быть уверенным в надежности предлагаемого обновления. Но можно в той или иной мере оградить себя от неприятных последствий, руководствуясь принципами безопасной работы с обновлениями и «заплатками». Я говорю об испытательных стендах, проверках подлинности программных обновлений и о создании коммуникаций как с производителями, так и с сотрудниками вашей компании. Имел место случай, когда системные администраторы одной транснациональной финансовой корпорации решили поменять всю инфраструктуру межсетевого экранирования. Приоритетом являлась стабильность, поэтому за основу была принята немного устаревшая, но надежная система. Однако в процессе общего тестирования выяснилось, что эта система имеет ошибку, угрожающую всему предприятию. Администрация столкнулась с дилеммой: прекратить внесение изменений в инфраструктуру и заняться исправлением найденной ошибки или продолжить мероприятия и заняться исправлениями уже после внесения изменений. Еще до того, как закончился один цикл внесения изменений, заговорили о необходимости старта нового цикла! Оценив все риски, компания пришла к заключению: закончить цикл изменения инфраструктуры, и только после этого исправить ошибку в системах экранирования. Это решение оказалось правильным, и в немалой степени благодаря тому, что администрация верно оценила уровень потенциальной угрозы и сделала все необходимое для того, чтобы установить, в чем заключалась ошибка и каким образом ее можно устранить.
Бесконечный процесс внесения изменений
минута на чтение
Похожие записи:
Для управления процессом внесения изменений необходимо располагать соответствующей инструкцией, где будут описаны методика тестирования обновлений и правила, которых надо придерживаться при общей проверке системы, до того, как обновление будет установлено на р...
Концепция информационной безопасности подразумевает трехступенчатый процесс оценки, пересмотра и внесения изменений в систему (рис. 1.1). Эта бесконечная переоценка есть не что иное, как приспособление системы к постоянно изменяющейся среде виртуального мира. ...
Внесение изменений в действующие системы само по себе не представляет угрозы. Решением является создание испытательного стенда, который бы зеркально отображал рабочую систему. Именно на этом стенде нужно проверять изменение, прежде чем затрагивать функциональн...