1、17网络通信与安全Network Communication&Security电子技术与软件工程Electronic Technology&Software Engineering1 补丁管理的基本流程企业信息化时代的到来,促使 IT 技术成了企业信息系统应用管理工作中的常客,这也导致各企业在业务经营方面对企业信息系统的依赖度更高。PC 机是信息系统的基础构成,它的作用主要是保证 PC 机能够安全运转成企业网络,另外,病毒和漏洞相互结合的同时,诸如 CoderRed、SALSlammer、Blaster、Nimda 等蠕虫严重威胁到了全球网络安全。而导致出现这种情况的主要原因在于应用了操作系统
2、及应用程序漏洞,与此同时,安装补丁是最终能够消除漏洞的根本办法。只要能很好地解决补丁问题,基本也就等同于给企业网络安装了一道防火墙,然而对于一家稍具规模的大中型企业来说,由于 PC 机的使用数量多且具体应用到的软件复杂性高的缘故,安装补丁的过程并没有那么容易。那么怎样才能保证补丁安装的有效性,以及如何管理好补丁,也成了各企业在 IT 维管工作中需要面临的首要问题1。当前在企业管理工作中,甚为流行的企业管理补丁流程为,现状分析补丁跟踪补丁分析部署安装疑难处理补丁检查六步,补丁管理的运行周期长且循环往复,所以这六个环节又会促成一个环状的流程,这其中既包含了事件驱动工作,也包含例行工作。在此环节综合
3、虑及补丁工作本身的积极性、持续性、严密性,且又虑及补丁可能影响到业务之处,一般在大规模的企事业单位中营运效果往往也比较好,具体情况如下:现状分析,在此环节若要在某企业中做好其所对应的补丁管理工作,第一步要先分析信息资产、IT 系统环境和信息资产重要等级及 IT 网络环境,目的就是为了方便下个环节可以针对企业所对应的补丁找到合理的措施。IT 环境,与系统管理员及网络管理员进行讨论,最终明确于企业安全策略当中目前用到的操作系统类型或版本,应用软件的类型及版本,网络设备的类型或版本,同时也包括对应的补丁版本,以及从未打的补丁出现的原因和补丁的补救方法。测试补丁,即便软件开发商发布补丁之前就已经测试过
4、了补丁,但这样的测试往往不够充分,结合实际看来,时下一些软件开发商为克服一些安全问题,基本都会尽最大限度地压制补丁的测试时间,且由于不同企业均具备隶属于自身的特殊性应用环境,所以一般补丁又欠缺稳定性,容易诱发各种未知的问题。对此要求我们一定要结合企业实时应用环境做好补丁测试工作,目的是为了测试补丁处于特定企业环境下的兼容状况2。测试补丁需要重点考虑到测试环节的广泛性、针对性,这样不仅可以确保在结合实况的条件下充分测试。尽量保证测试环境包含企业各种应用,尤其部分核心应用,便于正确分析出该应用对补丁造成的影响。进行补丁测试时首先要获取到安全、可靠的补丁软件,一般来说,推荐由软件开发商网站获取,倘使
5、在补丁支持校验的条件下,同样需要对其进行安全校验,目的是为了校验补丁的可靠性,避免一些用户恶意篡改补丁。例如,sun 企业就在 2002 年 5 月份打出了数字签名的补丁。假如测试环节出现了问题,则必须要认真分析,找到问题发生的具体原因,还要及时解决问题。如果在无法解决问题的状况下则一定要认真记录问题发生的环境,重复验证之后,经确认假如着实是测试环节出了问题,则需要及时给厂商反馈。企业内网计算机终端软件补丁管理系统的研究与设计蓝海燕(浙江安远检测技术有限公司 浙江省金华市 321000)摘要:本文概述了企业内网计算机终端软件补丁管理的基本流程,分析了企业内网计算机终端软件补丁管理存在的三个问题
6、,分别是补丁方案冗余低效,补丁记录缺失,补丁的实施风险高。最后结合实践探讨了关于企业内网计算机终端软件补丁管理的应用设计方案,patch Manager Plus 可以提供所有的功能用于修补漏洞,ManageEngine 的补丁管理解决以及使用补丁管理软件的最佳实践,以供参考。关键词:企业内网;计算机终端软件;测试补丁18网络通信与安全Network Communication&Security电子技术与软件工程Electronic Technology&Software Engineering待提交变更之后,需要组织领导评审小组(由安全专家、系统管理员组成的组评小组)正确评审具体变更的必要性
7、、补丁推行计划以及风险等。待通过评审之后,再交由管理员或者业务代表按照不同系统的业务实况商议决定变更的时间,最终明确各系统的变更计划。待全权明确变更计划之后,需要交由各系统管理员提交各自的变更请求,最重完成系统变更,此间要将变更过程中提交的问题记录下来3。补丁检查,为明确实际补丁安装的实况,要求对安装系统要进行全面检查。假如此过程用到了工具,则可用工具完成全网检查,或者采取漏洞扫描的方式同样可以完成检查。另外自行编写脚本或采取人工抽查的方式也可以。按照以往的经验总结,鉴于服务器大都是由管理员统一进行管理的,故补丁安装状况较好。而由于桌面系统大都是用户自行维护的。因此时常会遇到各种补丁未打的状况
8、,致使企业内部问题不断凸显,蠕虫滋生。待结束此补丁管理周期之后,实际工作由于蠕虫爆发的缘故,往往需要增加一些流程,并且配合防病毒技术人员以及网络管理人员一并处理。前述即为企业内网补丁管理的基本流程。2 企业内网计算机终端软件补丁管理存在的问题2.1 补丁方案冗余低效此为大多数企业都要面临的问题,对于企业而言,其通常在 IT 架构中储存了大批量源自各厂商的业务系统或软件产品。且在持续发展业务及外部法律条例的过程中,相继也会部署一系列新的解决方案。针对此类源于各个厂商的业务系统,很多企业都会采取许多套不同的补丁分发方案。比如,对于某中等规模制造企业而言,已经部署了基于 Red Hat Linux
9、操作系统的许多台应用服务器,且该服务器同样是运行在 Java 技术 ERP 系统之上的,于企业内网应用到了 Microsoft 活动目录及 Windows 操作系统,另外又部署了一套网络版本的 Symanter 防病毒软件在设计部门的客户端。所以,为保证可以将补丁程序及时分发至此业务系统上,一般要求企业 IT 部门要制定多套补丁升级方案:Red Hat Linux 服务器借助由Red Hat 供给的 RHN 实现补丁升级服务,然后 ERP 系统又会以开发商现场维护的手段完成实时的补丁升级服务,再者设计部门客户端 CAD 系统又借助补丁离线升级的手段,除此之外,该企业 IT 部门又于内网中架设了
10、一台 Microsoft WSUS 服务器用于完成所有 Windows系统的补丁分发工作,不仅如此,内网还运行着一台Symantec 防病毒管理升级服务器。如前所述,该企业在运行过程中同时采取了多套补丁分发方案,虽然足以达到现有的 IT 补丁升级需求,但在许多套方案同时运行的过程中,恰恰难以将其整合成为一个统一的企业补丁管理流程,这就使得企业无法有效提升当前现有的补丁分发方案。就在更多企业相继加入企业 IT 架构的同时,同时应用多套补丁分发方案,除了会进一步提高当前补丁分发环境的复杂性和维护难度系数以外,同样在持续抬高企业用于 IT 架构维护及补丁管理的开支,从而加重企业 IT 部门的负担。假
11、如企业可以结合安全策略方面重制定一个崭新的、更全面的且更加便于操作的统一性补丁管理策略,则如果将多套补丁分发方案合并起来,往往更有助于减小或者消除某些弊端4。2.2 补丁记录缺失如果企业 IT 部门在采取手工或是自动化的补丁分发工具,在业务系统上安装了补丁程序以后,大都不会记录下是否安装成功的信息。即便当前大多数 Womdows操作系统自动化补丁分发方案多数都具备了带有补丁安装结果的记录功能,但综合整体企业来讲,大部分企业IT 架构当中的业务系统及软件产品补丁安装记录基本都为零,仅部分比较核心的服务器及软件产品对少量补丁程序安装做了记录。事实上,对于企业 IT 部门来说,经常会遇到诸如以下案例
12、状况:虽然企业内网已经提前部署了一套自动化的补丁分发方案 Microsoft WSUS,但只要一遇到发布一些定期或临时性的补丁程序时,便会有该补丁分发方案自动由 Microsoft 补丁发布站点补丁,经分类之后便能够朝企业内网所对应的软件系统推送相应的补丁程序。一般来说,此补丁流程自部署环节伊始最佳,一直持续性平稳运行,并未出现大碍。某日,企业 IT 部门接到许多来自其余部门用户求助电话,其内容基本都倾向于自身系统在完成最新补丁的自动安装之后,便相继出现了系统反应慢、持续性重启、开机无法登入系统等问题。为此,部门用一段时间给用户现场做技术支持,但问题19网络通信与安全Network Commu
13、nication&Security电子技术与软件工程Electronic Technology&Software Engineering依然未得到解决,直至最后于 WSUS 服务器上禁止使用其补丁的自动分发功能,且在对用户系统产生影响的基础上,将已经安装升级的补丁程序进行了卸载。后来发现,此原因是于两个月前由于某补丁程序出现软件冲突最终未完成安装所致,但当前的补丁程序则要求要在之前补丁系统支持的基础上进行安装,因此现有的补丁程序反复性安装之前补丁程序,用户系统也在这时终止响应。很明显,假如企业内网 It 部门能灵活掌握 IT 架构中的系统补丁安装程序装配结果,则基本就可以避免前面案例中出现的问
14、题。2.3 补丁的实施风险高对于企业来说,在采取手工或自动化的补丁分发方案时,一般都没有提前测试补丁程序当前的 IT 架构兼容性,所以,在一些核心系统上面安装补丁程序的过程风险性恰恰都很高。于电商企业而言,IT 架构中最关键的组成内容当属用户和交易数据后台数据库系统的储存,然而此数据库系统服务延时与停机却很大程度上影响到了本企业的业务以及商业信誉。假如在这时此数据库生产系统开发商推出新的补丁程序,则企业 IT 部门是否需要升级该数据库系统?这个问题对于 IT 部门来说,听起来比较有难度假如及时安装补丁程序,则大概率上可能遭遇软件兼容性问题,最终延长此数据库系统的服务时间,也可能导致停机或丢失很
15、多价值较高的数据;但如果不及时安装补丁程序,又或是禁止安装补丁程序,即便后期企业业务能够持续开展,也会因为受到恶意软件及非法用户使用威胁而带来补丁程序补漏漏洞侵入风险。所以,经过一番权衡利弊之后,一般企业 IT 部门都会提前安装补丁程序,但是显然,此必然会抬高企业在面对业务高价值数据或补丁安装程序时的风险。企业 IT 部门分发或安装补丁程序前若能了解既有的补丁程序及当前的 IT 架构兼容性状况,则往核心业务系统上装配补丁程序必然就能排除高风险。然而,或因不同企业 IT 架构的构成或是 IT 部门技术能力存在差异性,因此如果要求企业自行架设测试补丁环境程序往往没有任何现实性可言,此对于企业来说或
16、者也可以于小规模生产环境中尝试使用补丁程序,或者是委托第三方机构提前测试评估补丁程序的兼容性,以便于更好地把握核心系统上使用新的补丁程序,同时尽可能地降低并消除新的补丁程序及业务数据带来的风险。3 企业内网计算机终端软件补丁管理应用设计方案一般不同的管理软件其功能也都不同,而且鉴于各个企业差异化的需求集,对于大部分组织来说均渴望在补丁管理软件当中找到一些共同特性。此要求于各主设备操作系统上使用补丁,其包含 Windows、Linux 及Max。3.1 Patch Manager Plus提供Windows 修补程序管理:Windows 自动化修补程序可以有效降低安全风险,并于短时间内完成漏洞修复。Mac 补丁管理:自一个控制台出发往各个 Mac 端点完成补丁的部署与管理。Linux 补丁管理:根据 Linux 关联安全补丁的需求于特定时间内完成补丁的部署。远程补丁管理:对自家至办公室的远程补丁进行实时管理。可以对台式机、笔记本、漫游用户、服务器等异构端点用户的软件进行修补。可以修补第三方应用程序。具备自动化的补丁管理功能,既省时又省钱。供给修补程序状态具体信息动态报告。具备交互、使用便