圖1 補(bǔ)丁管理功能的實(shí)現(xiàn)示意圖　

圖2 該信息網(wǎng)的補(bǔ)丁分發(fā)管理系統(tǒng)

某部是國(guó)家重要的職能部門，它的日常業(yè)務(wù)繁多而重要，而且大多數(shù)業(yè)務(wù)需要使用它的信息網(wǎng)進(jìn)行，因此保障信息網(wǎng)的正常運(yùn)轉(zhuǎn)就非常重要。該部的信息網(wǎng)是物理隔離網(wǎng)絡(luò)，覆蓋全國(guó)各地，由部、省、市三級(jí)網(wǎng)絡(luò)組成。部級(jí)信息中心的主路由交換設(shè)備連接全國(guó)30多個(gè)省級(jí)單位網(wǎng)絡(luò)(包括某部北京城域網(wǎng)網(wǎng)絡(luò))。在建設(shè)補(bǔ)丁三級(jí)聯(lián)管理體系之前還沒有采用域的方式管理，但信息網(wǎng)已經(jīng)安裝了硬件防火墻系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、入侵檢測(cè)等多種安全監(jiān)控設(shè)備，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自外部網(wǎng)絡(luò)和局域網(wǎng)的安全威脅大大減少。此時(shí)，來自網(wǎng)絡(luò)內(nèi)部的安全漏洞威脅，才是網(wǎng)絡(luò)管理人員所需要面對(duì)的挑戰(zhàn)。

某信息網(wǎng)的大部分使用者為業(yè)務(wù)人員，他們不熟悉計(jì)算機(jī)系統(tǒng)，對(duì)操作系統(tǒng)的漏洞進(jìn)行補(bǔ)丁修復(fù)的意識(shí)也比較淡薄，這就造成某信息網(wǎng)中終端計(jì)算機(jī)的系統(tǒng)漏洞不能及時(shí)地修補(bǔ)，甚至長(zhǎng)期不補(bǔ)。連在某信息網(wǎng)上的計(jì)算機(jī)大約有數(shù)10萬臺(tái)，但是大部分使用人員對(duì)于IT不熟悉，所有打補(bǔ)丁的工作就得全部由技術(shù)部門的人員來做。隨著微軟補(bǔ)丁的發(fā)布越來越頻繁，傳統(tǒng)的手工補(bǔ)丁安裝已經(jīng)遠(yuǎn)遠(yuǎn)不能適應(yīng)大規(guī)模網(wǎng)絡(luò)管理需要，技術(shù)人員的工作量非常大，工作負(fù)擔(dān)也非常繁重。從以前的情況來看，讓少數(shù)幾個(gè)技術(shù)人員負(fù)責(zé)打補(bǔ)丁還存在不少弊病，比如進(jìn)度緩慢，出現(xiàn)漏打補(bǔ)丁等現(xiàn)象。#p#

前期準(zhǔn)備不可少

面對(duì)這樣的困境，如何才能夠解決呢?

首先，要解決外網(wǎng)補(bǔ)丁導(dǎo)入和補(bǔ)丁源統(tǒng)一的問題。某信息網(wǎng)是物理隔離的網(wǎng)絡(luò)，從外網(wǎng)向物理隔離的內(nèi)網(wǎng)導(dǎo)入補(bǔ)丁非常麻煩。若網(wǎng)絡(luò)每個(gè)終端都從外網(wǎng)下載補(bǔ)丁會(huì)消耗過量的網(wǎng)絡(luò)資源，而且用戶隨意下載的補(bǔ)丁來源不統(tǒng)一、不可靠，存在網(wǎng)絡(luò)安全隱患。北信源公司的補(bǔ)丁分發(fā)管理系統(tǒng)利用一個(gè)專門的補(bǔ)丁下載服務(wù)器統(tǒng)一下載補(bǔ)丁，先由部級(jí)的補(bǔ)丁下載服務(wù)器從外網(wǎng)中自動(dòng)獲得并更新補(bǔ)丁索引列表。這個(gè)補(bǔ)丁索引列表在制作前已經(jīng)進(jìn)行過測(cè)試，它排除掉了部分可能導(dǎo)致系統(tǒng)癱瘓或有其他問題的補(bǔ)丁。根據(jù)這個(gè)索引列表，補(bǔ)丁下載服務(wù)器利用增量式補(bǔ)丁自動(dòng)分離技術(shù)，將補(bǔ)丁導(dǎo)入內(nèi)網(wǎng)，而且只導(dǎo)入以前沒有導(dǎo)入過的補(bǔ)丁。補(bǔ)丁導(dǎo)入內(nèi)網(wǎng)后，補(bǔ)丁分析器自動(dòng)將補(bǔ)丁分類存入內(nèi)網(wǎng)補(bǔ)丁庫。這樣就確保了補(bǔ)丁來源的安全性與可靠性。

補(bǔ)丁安全導(dǎo)入內(nèi)網(wǎng)的分發(fā)也存在問題。某信息網(wǎng)的終端數(shù)量龐大，為了使所下載的補(bǔ)丁具有可行性，在進(jìn)行全網(wǎng)分發(fā)前，先選定少量終端進(jìn)行真實(shí)環(huán)境局域網(wǎng)的補(bǔ)丁測(cè)試，通過測(cè)試的補(bǔ)丁才分發(fā)給全網(wǎng)終端。

其次，該信息網(wǎng)是三級(jí)管理網(wǎng)絡(luò)，與之相配的補(bǔ)丁分發(fā)管理系統(tǒng)也必須支持三級(jí)聯(lián)管理，可以實(shí)現(xiàn)部、省、市三級(jí)網(wǎng)絡(luò)終端補(bǔ)丁的自動(dòng)分發(fā)和統(tǒng)一管理。北信源公司補(bǔ)丁分發(fā)管理系統(tǒng)從部級(jí)信息中心統(tǒng)一更新維護(hù)部級(jí)管理系統(tǒng)及補(bǔ)丁庫，自動(dòng)將最新補(bǔ)丁及時(shí)地、強(qiáng)制性地分發(fā)至省級(jí)管理系統(tǒng)，再由省級(jí)管理系統(tǒng)自動(dòng)分發(fā)到市級(jí)管理系統(tǒng)。在分發(fā)過程中，網(wǎng)絡(luò)管理人員通過中央管理控制平臺(tái)設(shè)定補(bǔ)丁安裝策略，設(shè)定補(bǔ)丁安裝策略的分配對(duì)象。補(bǔ)丁安裝主動(dòng)權(quán)首先掌握在客戶端手中?？蛻舳送ㄟ^管理器獲取并刷新補(bǔ)丁，利用微軟安全基準(zhǔn)分析器分析出自己本身已安裝的補(bǔ)丁情況。根據(jù)補(bǔ)丁策略和當(dāng)前補(bǔ)丁情況，客戶端決定是否下載并安裝新的補(bǔ)丁。對(duì)于必須安裝的補(bǔ)丁，網(wǎng)絡(luò)管理人員可以通過策略強(qiáng)制客戶端安裝，否則就阻斷其正常聯(lián)網(wǎng)。

為了方便對(duì)整個(gè)網(wǎng)絡(luò)補(bǔ)丁安裝情況的監(jiān)控，各級(jí)管理系統(tǒng)還詳細(xì)記錄下補(bǔ)丁的分發(fā)、接收及修補(bǔ)等情況，查詢、統(tǒng)計(jì)漏洞情況和補(bǔ)丁修補(bǔ)狀況，并且自動(dòng)向上級(jí)管理系統(tǒng)上報(bào)相關(guān)的信息。這樣網(wǎng)絡(luò)管理人員的工作量大大減少了，補(bǔ)丁安裝的效率也大大提高了。

萬臺(tái)終端的分發(fā)難題

以上問題順利解決后，所有客戶端都可以統(tǒng)一安裝安全可靠的補(bǔ)丁。但是新的問題又出來了。那就是，某信息網(wǎng)一個(gè)市級(jí)管理節(jié)點(diǎn)往往管理著數(shù)千甚至上萬臺(tái)計(jì)算機(jī)，若所有的客戶端都從同一臺(tái)服務(wù)器上下載補(bǔ)丁，網(wǎng)絡(luò)負(fù)載就會(huì)過重，嚴(yán)重時(shí)還會(huì)造成網(wǎng)絡(luò)阻塞，影響網(wǎng)絡(luò)正常的運(yùn)行。北信源公司的補(bǔ)丁分發(fā)管理系統(tǒng)采用流量控制技術(shù)解決了這個(gè)問題。系統(tǒng)利用客戶端轉(zhuǎn)發(fā)代理，實(shí)現(xiàn)補(bǔ)丁的順利分發(fā)。補(bǔ)丁分發(fā)時(shí)，部分客戶端先通過補(bǔ)丁分發(fā)系統(tǒng)下載服務(wù)器中的補(bǔ)丁，這些客戶端可以稱為代理。其他的計(jì)算機(jī)則通過這些代理進(jìn)行相應(yīng)的補(bǔ)丁下載。下載時(shí)客戶端可自動(dòng)搜索臨近的IP地址，選擇擁有此補(bǔ)丁文件并且下載速度最快的客戶端作為代理進(jìn)行補(bǔ)丁下載。這樣就提高了網(wǎng)絡(luò)的利用率，提高了補(bǔ)丁的分發(fā)效率。補(bǔ)丁管理功能的實(shí)現(xiàn)如圖1所示。

在該信息網(wǎng)補(bǔ)丁分發(fā)管理系統(tǒng)中(如圖2所示)，該部信息中心的中心節(jié)點(diǎn)(一級(jí)管理節(jié)點(diǎn))，其下屬的各省某廳為該系統(tǒng)的二級(jí)管理節(jié)點(diǎn)，各市某局為系統(tǒng)的三級(jí)管理節(jié)點(diǎn)。各級(jí)管理節(jié)點(diǎn)進(jìn)行級(jí)聯(lián)。下級(jí)管理節(jié)點(diǎn)的補(bǔ)丁庫從上級(jí)管理節(jié)點(diǎn)下載導(dǎo)入補(bǔ)丁。下級(jí)節(jié)點(diǎn)所存儲(chǔ)的重要信息(如報(bào)警信息、重要狀態(tài)信息、統(tǒng)計(jì)信息)經(jīng)過整理后匯總上報(bào)到上級(jí)管理節(jié)點(diǎn)。上級(jí)管理節(jié)點(diǎn)能通過授權(quán)進(jìn)入下級(jí)管理節(jié)點(diǎn)，以查詢所需信息。該部通過公開招標(biāo)統(tǒng)一購(gòu)買了北信源公司服務(wù)器端軟件500套和不限量安裝的客戶端軟件。這些軟件配發(fā)到全國(guó)各地各二級(jí)、三級(jí)管理節(jié)點(diǎn)進(jìn)行安裝運(yùn)行。

2007年12月的統(tǒng)計(jì)數(shù)據(jù)顯示，通過補(bǔ)丁分發(fā)管理系統(tǒng)分發(fā)安裝的補(bǔ)丁達(dá)數(shù)百萬個(gè)，全部微軟補(bǔ)丁均安裝的計(jì)算機(jī)數(shù)占到設(shè)備總數(shù)的95%。這是以前依靠手工安裝補(bǔ)丁所無法實(shí)現(xiàn)的。此外，通過補(bǔ)丁分發(fā)管理系統(tǒng)還統(tǒng)計(jì)出全國(guó)的漏洞(按危險(xiǎn)等級(jí)分級(jí))分布情況，該部的相關(guān)負(fù)責(zé)人員可以根據(jù)需要察看各個(gè)地市的補(bǔ)丁安裝情況，并采用配套的督促措施進(jìn)行強(qiáng)制性補(bǔ)丁安裝。補(bǔ)丁分發(fā)管理系統(tǒng)提高了整個(gè)網(wǎng)絡(luò)的工作效率和管理效益，增強(qiáng)了網(wǎng)絡(luò)的安全性，幫助該信息網(wǎng)跳出了網(wǎng)絡(luò)威脅的十面埋伏。

案例啟示：流程對(duì)補(bǔ)丁管理很重要

補(bǔ)丁管理的流程就像消防隊(duì)在處理火災(zāi)之前所進(jìn)行的標(biāo)準(zhǔn)化的演練程序，消防隊(duì)不能等到火災(zāi)發(fā)生之后才開始制定演練程序，補(bǔ)丁管理對(duì)企業(yè)的IT系統(tǒng)來說也是一樣。在微軟公司報(bào)告存在漏洞后僅26天，沖擊波(Blaster)就出現(xiàn)了。如果企業(yè)不未雨綢繆，IT系統(tǒng)也許在下一秒就會(huì)因?yàn)橐粋€(gè)小小的漏洞而癱瘓。

International Network Services公司高級(jí)網(wǎng)絡(luò)系統(tǒng)顧問Felicia Nicastro說：“人們希望拿到一種能夠解決所有補(bǔ)丁問題的工具，但我們認(rèn)為，真正能夠解決補(bǔ)丁問題的是流程，而不是工具?！蓖ǔＦ髽I(yè)在IT系統(tǒng)的維護(hù)方面所犯的最大錯(cuò)誤就是忽略流程的重要性，如沒有指派專門的小組或個(gè)人負(fù)責(zé)補(bǔ)丁管理活動(dòng)，進(jìn)行新補(bǔ)丁的監(jiān)視、詳細(xì)的評(píng)估、部署和驗(yàn)證等。

企業(yè)應(yīng)該制定詳細(xì)的補(bǔ)丁管理流程，在開始階段要監(jiān)視每一件詳細(xì)目錄中新的漏洞和可用的補(bǔ)丁。一旦發(fā)現(xiàn)漏洞并確認(rèn)其威脅等級(jí)，就馬上由事先成立的IT系統(tǒng)維護(hù)小組利用已經(jīng)建立的推進(jìn)流程開始補(bǔ)丁的實(shí)施工作。在此過程中，企業(yè)還應(yīng)當(dāng)建立一個(gè)行動(dòng)過程安排和執(zhí)行時(shí)間表，其中包括實(shí)驗(yàn)室測(cè)試等內(nèi)容。經(jīng)過測(cè)試后，還應(yīng)當(dāng)進(jìn)行補(bǔ)丁分配、實(shí)施、特例處理、跟蹤和報(bào)告等工作。

【編輯推薦】

1. 中小企業(yè)局域網(wǎng)網(wǎng)絡(luò)管理方案
2. 網(wǎng)絡(luò)管理必殺技虛擬局域網(wǎng)技術(shù)解析