關于計算機系統安全補丁管理問題的探討

王 剛 魏 峰

(陜西省漢中市郵政局，陜西 漢中 723000)

經過10年大規模的工程建設，目前郵政信息網絡系統已經成為各項業務發展的基礎支撐平臺，已投入運行的應用系統有儲蓄、電子匯兌、報刊發行、郵資票品、電子化支局、郵區中心局生產作業、電視會議、速遞站點、綜合服務平臺、基金保險、身份證核查、代收煙草款、代售機票、量收管理系統、人力資源管理、財務管理、OA辦公等系統。因為業務管理的需要，各類系統中WINDOWS平臺的計算機日益增多，由于日常操作中存在一些違規操作行為，導致病毒和黑客的侵襲，而病毒和黑客主要是利用操作系統的漏洞進入計算機，一旦這些病毒通過終端設備進入網絡，探測到計算機系統的漏洞［1］，就可能進一步攻擊破壞整個網絡系統，這樣將會給整個網絡的運行帶來極大的安全隱患。因此，為了使郵政信息網絡系統處于安全穩定的運行狀態，需要利用系統軟件和應用軟件的補丁程序不斷完善安全防范機制，避免病毒和黑客的侵擾［2-3］。這就引出了一個給系統漏洞打補丁的工作，也就是補丁管理。補丁分為系統補丁和應用軟件補丁，系統補丁又分為WINDOWS平臺、UNIX平臺、LINUX平臺等。本文探討的是安全方面的問題，主要涉及最容易被病毒攻擊的WINDOWS平臺的系統安全補丁管理。

1 補丁管理的重要性

通過了解計算機病毒入侵原理，就能知道為什么補丁管理對系統安全及網絡安全的重要性。病毒是“編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。其主要特征有：(1)寄生性，計算機病毒寄生在其它程序中，當執行這個程序時就起破壞作用，而在未啟動這個程序之前，它是不易被人發覺的。(2)傳染性，一旦病毒被復制或產生變種，它就搜尋符合傳染條件的程序存儲介質，再將代碼插入其中，達到自我繁殖的目的。(3)潛伏性，一個編制精巧的計算機病毒程序，進入系統不會馬上發作，可以長時間隱藏在合法文件中，并對其它系統進行傳染。(4)破壞性，計算機中毒后，會導致正常程序無法運行，并把系統中的文件刪除或破壞。計算機病毒一旦發現系統的漏洞，即以迅雷不及掩耳之勢進入系統，開始肆無忌憚的破壞。這里的關鍵詞是漏洞，它是病毒入侵的管道，但只要我們及時給軟件打上補丁，就能防止病毒的入侵。雖然防范病毒的辦法有很多，防火墻、IDS、殺毒軟件及打補丁等。但打補丁這種方式是投支最少，因為補丁軟件是免費的，同時也是最有效的防范措施，當然，因為補丁數量太多，也可能比較麻煩。

由于郵政信息網近年來發展迅速，大家對網絡系統安全的重要性已經有了較高的認識。目前網絡系統安全管理工作也有很多關于病毒防范工作的考核指標，但對于及時給系統漏洞打補丁這一問題的重要性，卻沒有引起足夠的認識。主要原因有幾點：

(1)病毒的傳播機制。以前的網絡病毒傳播主要是依靠附件或者瀏覽網頁來傳播，屬于一種傳播被動的方式，傳播范圍和速度非常有限。而近年來主要的病毒傳播是通過系統的漏洞主動進行傳播，沖擊波，震蕩波等屬于典型的例子。這樣一來，即使用戶沒有打開不明來源的附件，如果沒有安裝系統的重要安全補丁，也會中毒。

(2)對安全不夠重視。無論是普通員工，還是管理層，甚至安全管理人員，對補丁不是很了解，當然就談不上補丁的有效管理了。

(3)人員技能的缺乏以及市場上缺少合適中小企業的自動化補丁部署方案。一些管理員沒有掌握相應的自動化補丁技能，當時的市場也缺少合適中小企業的自動化補丁部署方案。

(4)預算不足。沒有足夠的經費來購買補丁部署方案，以及安排專門的安全管理人員來負責安全問題。

(5)從補丁發布到針對該漏洞病毒的出現時間間隔較長。一些管理員因此產生僥幸心理，認為這么長時間沒有打補丁，沒有出現問題，以后大概也不會有事的。

(6)沒有完善的補丁部署流程。安裝補丁沒有嚴格的部署流程，想起來才會去安裝一下補丁，或者未經測試就安裝補丁，甚至用錯誤的方法安裝補丁。

然而隨著郵政信息網的不斷發展，量收管理、后臺業務管理、業務稽查、公司業務、信貸業務、網上銀行等新系統陸續上線運行，郵政信息網內 WINDOWS平臺計算機日益增多。WINDOWS系統漏洞為病毒入侵提供了便利的條件，系統由于打補丁不及時或未打過補丁造成的安全隱患逐漸增多，網絡安全隱患問題日益嚴重。從2010開始，郵政集團公司和省公司組織開展了多次信息網安全檢查活動，在銀監會組織的銀行業安全檢查大綱中，都要求對生產網內計算機系統及時進行補丁升級。這反映了系統補丁管理已經得到集團公司、省郵政公司和銀監會的重視，補丁管理工作顯得日益重要，在數次全國范圍內的網絡病毒大規模沖擊下，對軟件補丁更新進行集中管理，把補丁管理納入企業的安全體系已經成為保證企業計算機網絡安全的迫切要求。

2 補丁管理的現狀

很多人都可能覺得打補丁是一件很容易的工作，只要從軟件廠商的網站下載相應的補丁文件，然后按照說明進行安裝就可以了。但是在郵政信息網內，計算機數目眾多，軟件應用復雜，打補丁就不是一件容易的事情了。如何有效地打補丁，是目前網絡系統安全管理人員所面臨的一個重要任務［4］。

目前郵政信息網內存在兩大生產網：金融網和綜合網，兩大生產網內運行著16個子系統，另外還有與互聯網連接的OA辦公網。辦公網內的計算機都是微軟公司WINDOWS操作系統，可以通過系統自帶的“自動更新”功能進行更新，現在還有360安全衛士及瑞星卡卡助手等第三方的軟件支持對系統掃描漏洞，并自動下載安裝補丁，只是速度較慢，并且每臺計算機都需要重復下載。由于金融網和綜合網與互聯網進行了物理隔離，無法直接從互聯網下載補丁，只能通過手工方式，將重要的補丁通過互聯網計算機下載后，用U盤復制到每臺生產網計算機，對其進行手工升級。由于生產網內計算機數量多、分布廣，而微軟的各種系統安全補丁幾乎每周都會有新的發布，此外生產網內計算機用戶一般不具有為系統打補丁的主動意識，很多用戶也不知道需要安裝哪些補丁，甚至更有部分用戶無法獨立安裝操作系統補丁，所以對郵政信息網這種具有計算機客戶端較多的網絡，單靠管理員手工對計算機系統進行及時地補丁升級是不現實的。因此生產網內系統安全補丁更新不及時的計算機經常存在不同程度的安全漏洞，成為網絡安全的隱患。

在最短的時間內安裝補丁將會極大地保護網絡和其所承載的機密，同時也可以使用戶免受蠕蟲病毒的侵襲。但隨著黑客技術的不斷變化和發展，留給網絡管理員的有效工作時間將會越來越少，對于計算機設備眾多的郵政信息網，繁重的手工補丁安裝方式已經遠遠不能適應大規模網絡管理的需求，必須依靠新的技術手段來實現對操作系統的補丁安裝。因此，如何利用有效技術手段來及時、持續、穩定的對計算機進行補丁安裝，是安全管理人員急需解決的重要問題。

3 實現補丁管理的自動化

對于系統漏洞和及時安裝補丁程序的問題，經過仔細分析與研究，擬定了技術實現方案。通過WSUS(Windows Server Update Services)安全管理員可以建立一個內部的UPDATE服務器，讓內部的計算機直接到這臺UPDATE服務器上下載補丁，使得更新補丁時間大大縮短，提高了安全性。另外對于沒有連到Internet的計算機只要在企業內網中可以訪問這臺UPDATE服務器也可以隨時安裝最新的補丁，有效的防止了漏洞型病毒在內網的傳播。微軟公司提供的WSUS，實際上已成為補丁管理的免費標準解決方案。其它第三方的補丁管理軟件也都是基于WSUS上二次開發的收費解決方案，結合郵政信息網的具體情況，安全管理員可以只考慮生產網內部計算機補丁管理問題［5］，因此，采用在生產網中部署WSUS服務器來解決生產網計算機安全補丁管理問題，是科學合理的技術方案。

WSUS是微軟公司繼SUS(Software Update Service)之后推出的替代SUS的網絡化補丁分發方案產品，可以在微軟網站上去下載。WSUS具有的主要特點：(1)支持對更多微軟產品進行更新，除了 Windows，還有所有微軟出品的 Office、Exchange、SQL等產品的補丁和更新包都可以通過WSUS發布，而SUS只支持Windows系統。(2)支持更多的語言包括中文。(3)使用2.0版的后臺智能傳輸服務，比SUS更好的利用了網絡帶寬。(4)對客戶機的管理更加強大，可以對不同客戶機分配不同的用戶組，對不同組分配不同的下載規則。(5)在設置和管理上比SUS更加簡單直觀。

3.1 WSUS的配置

由于WSUS采用C/S模式，客戶端已被包含在各個WINDOWS操作系統上。我們只需要從微軟網站上下載的是WSUS服務器端。因此我局在生產網內安裝了一臺裝有WINDOWS2007系統的服務器，安裝了IIS服務，并部署了WSUS服務端，由于默認情況下計算機系統都是通過微軟官方的UPDATE服務器下載補丁的。因此，需要對客戶端的計算機進行設置，將升級地址手動修改為已經建立的WSUS服務器的地址。通過配置，將客戶端和服務器端關聯起來，就可以自動下載補丁了［6］。

WSUS的配置工作是區分域與工作組環境的，在域的前提下，可以通過設置域的組策略來實現自動配置域內計算機客戶端信息，比較簡單。但由于生產網內計算機沒有使用域，因此我們沒有辦法使用這種方式來自動配置各臺計算機的客戶端信息。只能在工作組的環境里，使用管理員權限對計算機的客戶端逐臺單機配置。

3.2 系統注冊表的修改

對單個計算機機的配置也可以用單機的組策略配置來實現，也可以采用修改注冊表的方式來實現。因為單個計算機的組策略配置后只對單機有效，逐臺配置組策略反而麻煩，配置可以采用直接修改注冊表信息的方式來實現。

注冊表的修改項包括：

這上面只是簡單的列舉了些重要的注冊表項。這基本是從組策略里摘出來的，加粗字體的3項是最重要的內容，其中UseWUServer項的值為1，告訴計算機系統升級將使用WSUS服務器來進行，不再與微軟公司的補丁更新服務器進行。WUServer、WUStatusServer2的值要寫上生產網WSUS服務器的IP地址，告訴計算機系統升級將通過這個服務器來進行。

使用修改注冊表的配置方式，可以形成一

個注冊表文件，內容如下：

然后將上面的文件放在生產網內服務器上要求大家下載運行，自動對計算機注冊表進行配置更新。

在客戶端啟動了更新設置后，我們就可以在WSUS服務器上通過管理界面看到這些客戶端了。所有的更新補丁安裝都是在后臺進行的，在客戶端上是不容易查覺的，要想了解客戶端補丁安裝情況只有通過服務器上的管理界面來查看。通過WSUS服務器可以看到從微軟網站下載補丁的狀態描述，還可以看到哪些補丁沒有下載完畢，并且很容易的恢復下載。并且也有非常清晰的對各終端的下載補丁的描述，這些描述信息可以用來了解有關補丁分發的情況。

完成了企業生產網的Windows update服務器部署，生產網內計算機可以連接這臺服務器飛速下載并安裝補丁。只有系統補丁得到及時更新才能最大限度的防止病毒利用系統漏洞在內網的傳播。

3.3 WSUS部署的安全性

最后，有必要討論一下WSUS服務器部署的安全問題。由于生產網不允許訪問互聯網，為了同步微軟公司提供的補丁，需要通過防火墻配置，限制WSUS服務器只可以訪問以下域的80端口和用于SSL連接的443端口，以使WSUS服務器和自動更新能夠與下列的Microsoft Update網站進行通信：http：//windowsupdate.microsoft.com

http：//*.windowsupdate.microsoft.com

https：//*.windowsupdate.microsoft.com

http：//*.update.microsoft.com

https：//*.update.microsoft.com

http：//download.windowsupdate.com

圖1 WSUS部署結構

http：//download.microsoft.com

http：//wustat.windows.com

另外，還可以按照上圖所示部署結構，通過在辦公網內多部署一臺WSUS服務器，讓這臺服務器通過防火墻與微軟公司的補丁更新服務器同步，然后讓生產網內的WSUS服務器通過防火墻只與辦公網的WSUS服務器同步，不直接與互聯網的相連，這樣安全性會更高一些。如果能將WSUS服務器安裝部署在省公司一級或更高的集團公司一級，市局一級部署的WSUS服務器將不需要直接與互聯網上微軟公司的補丁更新服務器同步，這樣整個生產網內只需要有1臺或少量的WSUS服務器與互聯網有通過的防火墻的相關連接，也會大大地提高安全性。WSUS服務器的具體部署方式可以根據安全需要進行相應調整。

4 結束語

通過對郵政信息網安全隱患的分析，重點探討了系統安全補丁管理工作的問題，確定了補丁管理的技術方案，采用在生產網中部署WSUS服務器來解決生產網計算機安全補丁管理問題，此方案基本上能滿足目前信息網安全管理的需要。由于郵政企業已經從傳統的手工作業方式，徹底轉化為依賴信息網進行前臺營業、內部作業、管理決策的現代化企業，并已實現各類數據的共享，下一步將開展數據分析、挖掘等工作。

因此，郵政信息網的安全管理是非常重要的，雖然通過WSUS的部署基本滿足了對補丁管理的需要，并且是永久免費的。但從企業的長遠利益考慮，應該購置功能更齊全、解決方案更完備的軟件，以及更高檔次的服務器設備，確保郵政信息網安全穩定的運行。

［1］劉波，劉惠，胡華平.計算機漏洞庫系統的設計、實現與應用.計算機工程與科學，2004，26(7)：31-33.

［2］唐正軍.黑客入侵防護系統源代碼分析.第一版，北京：機械工業出版社，2002：2-21

［3］韓東海等.入侵檢測系統實例剖析.第二版，北京：清華大學出版社，2002：10-17

［4］周侃.Windows平臺下補丁管理系統的設計與實現［J］.計算機時代，2007(7)：62-63.

［5］李嘉.某公司OS補丁分發系統實施項目管理［J］.經濟生活文摘，2011(8)：166-167.

［6］藏小明.談談我國電信數據網脆弱性管理與補丁管理［J］.科技創新與應用，2011(19)：108-109.