图1 补丁管理功能的实现示意图
图2 该信息网的补丁分发管理系统
某部是国家重要的职能部门,它的日常业务繁多而重要,而且大多数业务需要使用它的信息网进行,因此保障信息网的正常运转就非常重要。该部的信息网是物理隔离网络,覆盖全国各地,由部、省、市三级网络组成。部级信息中心的主路由交换设备连接全国30多个省级单位网络(包括某部北京城域网网络)。在建设补丁三级联管理体系之前还没有采用域的方式管理,但信息网已经安装了硬件防火墙系统、网络防病毒系统、入侵检测等多种安全监控设备,在这些设备的严密监控下,来自外部网络和局域网的安全威胁大大减少。此时,来自网络内部的安全漏洞威胁,才是网络管理人员所需要面对的挑战。
某信息网的大部分使用者为业务人员,他们不熟悉计算机系统,对操作系统的漏洞进行补丁修复的意识也比较淡薄,这就造成某信息网中终端计算机的系统漏洞不能及时地修补,甚至长期不补。连在某信息网上的计算机大约有数10万台,但是大部分使用人员对于IT不熟悉,所有打补丁的工作就得全部由技术部门的人员来做。随着微软补丁的发布越来越频繁,传统的手工补丁安装已经远远不能适应大规模网络管理需要,技术人员的工作量非常大,工作负担也非常繁重。从以前的情况来看,让少数几个技术人员负责打补丁还存在不少弊病,比如进度缓慢,出现漏打补丁等现象。#p#
前期准备不可少
面对这样的困境,如何才能够解决呢?
首先,要解决外网补丁导入和补丁源统一的问题。某信息网是物理隔离的网络,从外网向物理隔离的内网导入补丁非常麻烦。若网络每个终端都从外网下载补丁会消耗过量的网络资源,而且用户随意下载的补丁来源不统一、不可靠,存在网络安全隐患。北信源公司的补丁分发管理系统利用一个专门的补丁下载服务器统一下载补丁,先由部级的补丁下载服务器从外网中自动获得并更新补丁索引列表。这个补丁索引列表在制作前已经进行过测试,它排除掉了部分可能导致系统瘫痪或有其他问题的补丁。根据这个索引列表,补丁下载服务器利用增量式补丁自动分离技术,将补丁导入内网,而且只导入以前没有导入过的补丁。补丁导入内网后,补丁分析器自动将补丁分类存入内网补丁库。这样就确保了补丁来源的安全性与可靠性。
补丁安全导入内网的分发也存在问题。某信息网的终端数量庞大,为了使所下载的补丁具有可行性,在进行全网分发前,先选定少量终端进行真实环境局域网的补丁测试,通过测试的补丁才分发给全网终端。
其次,该信息网是三级管理网络,与之相配的补丁分发管理系统也必须支持三级联管理,可以实现部、省、市三级网络终端补丁的自动分发和统一管理。北信源公司补丁分发管理系统从部级信息中心统一更新维护部级管理系统及补丁库,自动将最新补丁及时地、强制性地分发至省级管理系统,再由省级管理系统自动分发到市级管理系统。在分发过程中,网络管理人员通过中央管理控制平台设定补丁安装策略,设定补丁安装策略的分配对象。补丁安装主动权首先掌握在客户端手中。客户端通过管理器获取并刷新补丁,利用微软安全基准分析器分析出自己本身已安装的补丁情况。根据补丁策略和当前补丁情况,客户端决定是否下载并安装新的补丁。对于必须安装的补丁,网络管理人员可以通过策略强制客户端安装,否则就阻断其正常联网。
为了方便对整个网络补丁安装情况的监控,各级管理系统还详细记录下补丁的分发、接收及修补等情况,查询、统计漏洞情况和补丁修补状况,并且自动向上级管理系统上报相关的信息。这样网络管理人员的工作量大大减少了,补丁安装的效率也大大提高了。
万台终端的分发难题
以上问题顺利解决后,所有客户端都可以统一安装安全可靠的补丁。但是新的问题又出来了。那就是,某信息网一个市级管理节点往往管理着数千甚至上万台计算机,若所有的客户端都从同一台服务器上下载补丁,网络负载就会过重,严重时还会造成网络阻塞,影响网络正常的运行。北信源公司的补丁分发管理系统采用流量控制技术解决了这个问题。系统利用客户端转发代理,实现补丁的顺利分发。补丁分发时,部分客户端先通过补丁分发系统下载服务器中的补丁,这些客户端可以称为代理。其他的计算机则通过这些代理进行相应的补丁下载。下载时客户端可自动搜索临近的IP地址,选择拥有此补丁文件并且下载速度最快的客户端作为代理进行补丁下载。这样就提高了网络的利用率,提高了补丁的分发效率。补丁管理功能的实现如图1所示。
在该信息网补丁分发管理系统中(如图2所示),该部信息中心的中心节点(一级管理节点),其下属的各省某厅为该系统的二级管理节点,各市某局为系统的三级管理节点。各级管理节点进行级联。下级管理节点的补丁库从上级管理节点下载导入补丁。下级节点所存储的重要信息(如报警信息、重要状态信息、统计信息)经过整理后汇总上报到上级管理节点。上级管理节点能通过授权进入下级管理节点,以查询所需信息。该部通过公开招标统一购买了北信源公司服务器端软件500套和不限量安装的客户端软件。这些软件配发到全国各地各二级、三级管理节点进行安装运行。
2007年12月的统计数据显示,通过补丁分发管理系统分发安装的补丁达数百万个,全部微软补丁均安装的计算机数占到设备总数的95%。这是以前依靠手工安装补丁所无法实现的。此外,通过补丁分发管理系统还统计出全国的漏洞(按危险等级分级)分布情况,该部的相关负责人员可以根据需要察看各个地市的补丁安装情况,并采用配套的督促措施进行强制性补丁安装。补丁分发管理系统提高了整个网络的工作效率和管理效益,增强了网络的安全性,帮助该信息网跳出了网络威胁的十面埋伏。
案例启示:流程对补丁管理很重要
补丁管理的流程就像消防队在处理火灾之前所进行的标准化的演练程序,消防队不能等到火灾发生之后才开始制定演练程序,补丁管理对企业的IT系统来说也是一样。在微软公司报告存在漏洞后仅26天,冲击波(Blaster)就出现了。如果企业不未雨绸缪,IT系统也许在下一秒就会因为一个小小的漏洞而瘫痪。
International Network Services公司高级网络系统顾问Felicia Nicastro说:“人们希望拿到一种能够解决所有补丁问题的工具,但我们认为,真正能够解决补丁问题的是流程,而不是工具。”通常企业在IT系统的维护方面所犯的最大错误就是忽略流程的重要性,如没有指派专门的小组或个人负责补丁管理活动,进行新补丁的监视、详细的评估、部署和验证等。
企业应该制定详细的补丁管理流程,在开始阶段要监视每一件详细目录中新的漏洞和可用的补丁。一旦发现漏洞并确认其威胁等级,就马上由事先成立的IT系统维护小组利用已经建立的推进流程开始补丁的实施工作。在此过程中,企业还应当建立一个行动过程安排和执行时间表,其中包括实验室测试等内容。经过测试后,还应当进行补丁分配、实施、特例处理、跟踪和报告等工作。
【编辑推荐】