操作系统补丁自动分发安装技术及其应用浅谈（张运东,张建宏,徐彬）

时间：2021-01-14 08:04:01　来源：柠檬阅读网本文已影响人

［摘要］消除系统安全隐患的根本方法就是安装软件补丁，本文结合补丁分发系统的工作原理和技术特点，介绍了北信源补丁自动分发系统的应用实例。

［关键词］补丁安全有效

1 补丁分发安装现状分析

对于已经初具规模，网络终端数量较大用户，众多基于各种平台的客户端、服务器设备分布在各个办公室中。由于日常操作中存在一些用户计算机违规操作行为，导致病毒、木马等感染计算机，同时，病毒、黑客等攻击网络手段大都是通过操作系统的漏洞进入计算机，一旦这些病毒通过违规终端设备进入网络，探测其它的计算机漏洞，就可能进一步进行攻击渗透，这样将会给整个网络的运行带来极大的影响。

消除系统安全隐患的根本办法就是安装软件补丁，每一次大规模蠕虫病毒的爆发，都提醒人们要居安思危，打好补丁，做好防范工作——补丁越来越成为安全管理的一个重要环节。黑客技术的不断变化和发展，留给网络管理员和计算机用户的时间将会越来越少，在最短的时间内安装补丁将会极大地保护网络和其所承载的机密，同时也可以使更少的用户免受蠕虫的侵袭。对于机器众多的用户，繁杂的手工补丁安装已经远远不能适应大规模网络的管理，必须依靠新的技术手段来实现对操作系统的补丁自动修补。

微软的各种系统安全补丁平均下来，几乎每周都会出现。具有大面积客户端的网络靠手工进行补丁升级是不现实的，而一般的用户本身一般不具有为系统打补丁的意识，很多用户本身也不知道需要安装哪些补丁，甚至更有部分用户无法独立安装操作系统补丁，这些都已经造成网络中的客户端出现安全漏洞，成为安全隐患。

目前网络客户端存在多种打补丁方式（每个单位自己分别下载补丁，部分客户端配置自动下载补丁，少数客户端用户偶尔从网站上得到特殊补丁下载。

）

这些无序的行为均导致客户端补丁管理混乱。

因此，如何利用有效技术手段来及时、持续、稳定的对这些计算机进行补丁安装，将是所有系统安全管理人员所面临的亟需解决的问题。

2 操作系统补丁分发安装技术工作原理

目前比较流行的补丁管理流程是：现状分析、补丁跟踪、补丁分析、部署安装、疑难处理、补丁检查六个环节，同时由于补丁管理是一个长期、周而复始的工作，因此这六个工作又形成一个环状的流程，其中既有事件驱动工作，也有例行工作。

2.1 技术架构

整个补丁管理运行平台构架是：通过外网补丁下载服务器及时从补丁厂商网站获取最新补丁；
补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发、安装。补丁管理运行平台构架如图1所示

2.2 工作原理

操作系统补丁控制中心提供补丁策略制订、补丁文件直接分发，补丁测试提供对软件厂商新发布补丁的前期测试，严格测试后才可以配发到网络客户端，保障客户端补丁安装安全性。补丁分发管理系统工作原理见图2。

首先，解决外网补丁导入和补丁源统一的问题。补丁分发管理系统利用一个专门的补丁下载服务器统一下载补丁，先外网中自动获得并更新补丁索引列表。这个补丁索引列表在制作前已进行过测试，排除掉了部分可能导致系统瘫痪或有其他问题的补丁。根据这个索引列表，补丁下载服务器利用增量式补丁自动分离技术，将补丁导入内网，而且只导入以前没有导入过的补丁。补丁导入内网后，补丁分析器自动将补丁分类存入内网补丁库。这样就确保了补丁来源的安全性和可靠性。

补丁分发管理系统统一更新维护管理系统及补丁库，自动将最新补丁及时地、分发客户端。在分发过程中，网络管理人员通过中心管理控制平台设定补丁安装策略，设定补丁安装策略的分配对象。这样网络管理人员的工作量大大减少了，补丁安装的效率也大大提高了。

2.3 技术特点

相比系统自带的补丁更新程序、360安全卫士补丁更新等软件，补丁管理运行分发系统具有明显的优势：

(1)反应速度快：一旦微软推出新的补丁程序，该系统将在第一时间获得并测试后分发给大家。

(2)自动化程度高：根据事先设定的策略，一切工作完全由系统自动完成，无须用户干预，为用户节约了大量的时间和精力。

(3)补丁安全有效：补丁分发前，厂商有专人负责对补丁安装的安全性进行检测和试用，保证补丁的安全可靠，同时去除不必要的补丁安装（例如补丁的冲突、语言的冲突、版本的冲突等）。

3 操作系统补丁分发安装技术部署方法

公司选用北信源补丁分发管理系统进行系统补丁下载、分发、安装。北信源产品具有以下技术优势：①北信源公司内网安全产品目前市场占有量第一；
②拥有10年为国家大部委系统提供服务的经验；
③产品技术为业界领先；
④可以管理、控制、调度其地厂商不同版本防病毒软件。北信源公司在客户端内网安全管理产品技术上，除了满足客户端安全监控、安全加固、客户端管理等要求外，还提供各种数据接口和二次开发接口。

3.1 部署环境

系统管理主机：
专用服务器或高档PC服务器，Windows2000 Server（SP4）以上操作系统（安装IIS），MS SQL（SP3）数据库（可以采用桌面数据库版本）。

基本配置：P3 800 以上CPU，512 M以上内存，硬盘40G。

建议配置：P4 2.4G 以上CPU，1G以上内存，硬盘40G以上。

我们选用服务器配置如下：CPU：2 x 4核Xeon2.2,内存8G,硬盘8x146 GB,操作系统Windows 2003 server。

3.2 策略设置

操作系统补丁分发管理系统具体组件和功能包括：补丁下载服务器、补丁分析器、补丁策略制订（分发）、补丁文件分发、补丁动态下载转发代理、客户端补丁检测、补丁安全性测试、补丁分发控制等。

(1)补丁下载服务器（互联网）：对于物理隔离的内部网络，其内部补丁升级服务器中的补丁必须从外部获得，因此，要求从Internet上下载补丁，十分巨大的补丁库使得每次补丁导入的工作烦琐。针对此类物理隔离的内网，使用增量式补丁自动分离技术，在外网分离出已安装、未安装补丁，分类导入，即仅对内网的补丁进行“增量式”的升级，减少拷贝工作量。互联网补丁自动实时探测，支持补丁导出前病毒过滤。

(2)补丁分析器：自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。

(3)补丁策略制订（分发）：支持用户自定义补丁策略自由配置分发，基于客户端网络IP范围、操作系统种类、补丁检测周期、补丁类别（系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等）等制订策略，发送至客户端后统一按策略执行应用。

(4)补丁文件分发：在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制客户端下载补丁。当系统监测到有客户端未打补丁时，可对漏打补丁客户端进行推送补丁。同时，通过推送安装，也可以为SUS系统不支持的客户端安装补丁和应用软件（补丁）。

(5)补丁动态下载转发代理：系统提供补丁自动代理转发功能，提高补丁下发效率，减少网络带宽的占用率，节省网络资源。

(6)客户端补丁检测：支持客户端补丁多重探测周期配置。定时检测注册客户端系统补丁安装状况，同补丁信息库比较后，显示客户端补丁安装状况（客户端访问指定网页自动获得漏打补丁信息，物理隔离网络中自动生成补丁分发网站）。

(7)补丁安全性测试：补丁分发前测试，支持网管测试组定义进行补丁安全性测试，提高打补丁的成功性、安全性、可靠性。

3.3 安装实施步骤

在实际工作中，根据各单位计算机应用水平及工作特点，软件安装按照用户自行安装和信息中心技术人员协助安装相结合的方式，在公司全面部署北信源补丁分发管理系统。

根据工作安排，信息中心组织专门工作人员，采取分阶段、分批次，协助各部门组织员工进行客户端安装，已取得很好的效果。

目前注册客户端如图3所示

4 应用情况

安装内网安全及补丁分发管理系统后，系统每天发现计算机的系统漏洞并自动分发补丁，无须人工干预，提高补丁下发效率，减少网络带宽的占用率，节省网络资源，极大提高公司计算机网络的安全水平和网管效率。同时配合公司统一部署的网络版防病毒软件，真正做到联合防范、统一策略、全程管理、集中控管的作用，保证病毒库和扫描引擎的及时升级，减少单机版用户软件升级网络带宽的占用率，同时还有专业反病毒公司的技术支持，使广大网络用户专心于各自的业务工作。

相关热词搜索：浅谈分发 及其应用 补丁 操作系统

操作系统补丁自动分发安装技术及其应用浅谈（张运东,张建宏,徐彬）

最新文章

热门文章