王 剛 魏 峰

(陜西省漢中市郵政局，陜西 漢中 723000)

經(jīng)過10年大規(guī)模的工程建設(shè)，目前郵政信息網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為各項(xiàng)業(yè)務(wù)發(fā)展的基礎(chǔ)支撐平臺(tái)，已投入運(yùn)行的應(yīng)用系統(tǒng)有儲(chǔ)蓄、電子匯兌、報(bào)刊發(fā)行、郵資票品、電子化支局、郵區(qū)中心局生產(chǎn)作業(yè)、電視會(huì)議、速遞站點(diǎn)、綜合服務(wù)平臺(tái)、基金保險(xiǎn)、身份證核查、代收煙草款、代售機(jī)票、量收管理系統(tǒng)、人力資源管理、財(cái)務(wù)管理、OA辦公等系統(tǒng)。因?yàn)闃I(yè)務(wù)管理的需要，各類系統(tǒng)中WINDOWS平臺(tái)的計(jì)算機(jī)日益增多，由于日常操作中存在一些違規(guī)操作行為，導(dǎo)致病毒和黑客的侵襲，而病毒和黑客主要是利用操作系統(tǒng)的漏洞進(jìn)入計(jì)算機(jī)，一旦這些病毒通過終端設(shè)備進(jìn)入網(wǎng)絡(luò)，探測到計(jì)算機(jī)系統(tǒng)的漏洞［1］，就可能進(jìn)一步攻擊破壞整個(gè)網(wǎng)絡(luò)系統(tǒng)，這樣將會(huì)給整個(gè)網(wǎng)絡(luò)的運(yùn)行帶來極大的安全隱患。因此，為了使郵政信息網(wǎng)絡(luò)系統(tǒng)處于安全穩(wěn)定的運(yùn)行狀態(tài)，需要利用系統(tǒng)軟件和應(yīng)用軟件的補(bǔ)丁程序不斷完善安全防范機(jī)制，避免病毒和黑客的侵?jǐn)_［2-3］。這就引出了一個(gè)給系統(tǒng)漏洞打補(bǔ)丁的工作，也就是補(bǔ)丁管理。補(bǔ)丁分為系統(tǒng)補(bǔ)丁和應(yīng)用軟件補(bǔ)丁，系統(tǒng)補(bǔ)丁又分為WINDOWS平臺(tái)、UNIX平臺(tái)、LINUX平臺(tái)等。本文探討的是安全方面的問題，主要涉及最容易被病毒攻擊的WINDOWS平臺(tái)的系統(tǒng)安全補(bǔ)丁管理。

1 補(bǔ)丁管理的重要性

通過了解計(jì)算機(jī)病毒入侵原理，就能知道為什么補(bǔ)丁管理對系統(tǒng)安全及網(wǎng)絡(luò)安全的重要性。病毒是“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。其主要特征有：(1)寄生性，計(jì)算機(jī)病毒寄生在其它程序中，當(dāng)執(zhí)行這個(gè)程序時(shí)就起破壞作用，而在未啟動(dòng)這個(gè)程序之前，它是不易被人發(fā)覺的。(2)傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，它就搜尋符合傳染條件的程序存儲(chǔ)介質(zhì)，再將代碼插入其中，達(dá)到自我繁殖的目的。(3)潛伏性，一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)不會(huì)馬上發(fā)作，可以長時(shí)間隱藏在合法文件中，并對其它系統(tǒng)進(jìn)行傳染。(4)破壞性，計(jì)算機(jī)中毒后，會(huì)導(dǎo)致正常程序無法運(yùn)行，并把系統(tǒng)中的文件刪除或破壞。計(jì)算機(jī)病毒一旦發(fā)現(xiàn)系統(tǒng)的漏洞，即以迅雷不及掩耳之勢進(jìn)入系統(tǒng)，開始肆無忌憚的破壞。這里的關(guān)鍵詞是漏洞，它是病毒入侵的管道，但只要我們及時(shí)給軟件打上補(bǔ)丁，就能防止病毒的入侵。雖然防范病毒的辦法有很多，防火墻、IDS、殺毒軟件及打補(bǔ)丁等。但打補(bǔ)丁這種方式是投支最少，因?yàn)檠a(bǔ)丁軟件是免費(fèi)的，同時(shí)也是最有效的防范措施，當(dāng)然，因?yàn)檠a(bǔ)丁數(shù)量太多，也可能比較麻煩。

由于郵政信息網(wǎng)近年來發(fā)展迅速，大家對網(wǎng)絡(luò)系統(tǒng)安全的重要性已經(jīng)有了較高的認(rèn)識(shí)。目前網(wǎng)絡(luò)系統(tǒng)安全管理工作也有很多關(guān)于病毒防范工作的考核指標(biāo)，但對于及時(shí)給系統(tǒng)漏洞打補(bǔ)丁這一問題的重要性，卻沒有引起足夠的認(rèn)識(shí)。主要原因有幾點(diǎn)：

(1)病毒的傳播機(jī)制。以前的網(wǎng)絡(luò)病毒傳播主要是依靠附件或者瀏覽網(wǎng)頁來傳播，屬于一種傳播被動(dòng)的方式，傳播范圍和速度非常有限。而近年來主要的病毒傳播是通過系統(tǒng)的漏洞主動(dòng)進(jìn)行傳播，沖擊波，震蕩波等屬于典型的例子。這樣一來，即使用戶沒有打開不明來源的附件，如果沒有安裝系統(tǒng)的重要安全補(bǔ)丁，也會(huì)中毒。

(2)對安全不夠重視。無論是普通員工，還是管理層，甚至安全管理人員，對補(bǔ)丁不是很了解，當(dāng)然就談不上補(bǔ)丁的有效管理了。

(3)人員技能的缺乏以及市場上缺少合適中小企業(yè)的自動(dòng)化補(bǔ)丁部署方案。一些管理員沒有掌握相應(yīng)的自動(dòng)化補(bǔ)丁技能，當(dāng)時(shí)的市場也缺少合適中小企業(yè)的自動(dòng)化補(bǔ)丁部署方案。

(4)預(yù)算不足。沒有足夠的經(jīng)費(fèi)來購買補(bǔ)丁部署方案，以及安排專門的安全管理人員來負(fù)責(zé)安全問題。

(5)從補(bǔ)丁發(fā)布到針對該漏洞病毒的出現(xiàn)時(shí)間間隔較長。一些管理員因此產(chǎn)生僥幸心理，認(rèn)為這么長時(shí)間沒有打補(bǔ)丁，沒有出現(xiàn)問題，以后大概也不會(huì)有事的。

(6)沒有完善的補(bǔ)丁部署流程。安裝補(bǔ)丁沒有嚴(yán)格的部署流程，想起來才會(huì)去安裝一下補(bǔ)丁，或者未經(jīng)測試就安裝補(bǔ)丁，甚至用錯(cuò)誤的方法安裝補(bǔ)丁。

然而隨著郵政信息網(wǎng)的不斷發(fā)展，量收管理、后臺(tái)業(yè)務(wù)管理、業(yè)務(wù)稽查、公司業(yè)務(wù)、信貸業(yè)務(wù)、網(wǎng)上銀行等新系統(tǒng)陸續(xù)上線運(yùn)行，郵政信息網(wǎng)內(nèi) WINDOWS平臺(tái)計(jì)算機(jī)日益增多。WINDOWS系統(tǒng)漏洞為病毒入侵提供了便利的條件，系統(tǒng)由于打補(bǔ)丁不及時(shí)或未打過補(bǔ)丁造成的安全隱患逐漸增多，網(wǎng)絡(luò)安全隱患問題日益嚴(yán)重。從2010開始，郵政集團(tuán)公司和省公司組織開展了多次信息網(wǎng)安全檢查活動(dòng)，在銀監(jiān)會(huì)組織的銀行業(yè)安全檢查大綱中，都要求對生產(chǎn)網(wǎng)內(nèi)計(jì)算機(jī)系統(tǒng)及時(shí)進(jìn)行補(bǔ)丁升級。這反映了系統(tǒng)補(bǔ)丁管理已經(jīng)得到集團(tuán)公司、省郵政公司和銀監(jiān)會(huì)的重視，補(bǔ)丁管理工作顯得日益重要，在數(shù)次全國范圍內(nèi)的網(wǎng)絡(luò)病毒大規(guī)模沖擊下，對軟件補(bǔ)丁更新進(jìn)行集中管理，把補(bǔ)丁管理納入企業(yè)的安全體系已經(jīng)成為保證企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的迫切要求。

2 補(bǔ)丁管理的現(xiàn)狀

很多人都可能覺得打補(bǔ)丁是一件很容易的工作，只要從軟件廠商的網(wǎng)站下載相應(yīng)的補(bǔ)丁文件，然后按照說明進(jìn)行安裝就可以了。但是在郵政信息網(wǎng)內(nèi)，計(jì)算機(jī)數(shù)目眾多，軟件應(yīng)用復(fù)雜，打補(bǔ)丁就不是一件容易的事情了。如何有效地打補(bǔ)丁，是目前網(wǎng)絡(luò)系統(tǒng)安全管理人員所面臨的一個(gè)重要任務(wù)［4］。

目前郵政信息網(wǎng)內(nèi)存在兩大生產(chǎn)網(wǎng)：金融網(wǎng)和綜合網(wǎng)，兩大生產(chǎn)網(wǎng)內(nèi)運(yùn)行著16個(gè)子系統(tǒng)，另外還有與互聯(lián)網(wǎng)連接的OA辦公網(wǎng)。辦公網(wǎng)內(nèi)的計(jì)算機(jī)都是微軟公司W(wǎng)INDOWS操作系統(tǒng)，可以通過系統(tǒng)自帶的“自動(dòng)更新”功能進(jìn)行更新，現(xiàn)在還有360安全衛(wèi)士及瑞星卡卡助手等第三方的軟件支持對系統(tǒng)掃描漏洞，并自動(dòng)下載安裝補(bǔ)丁，只是速度較慢，并且每臺(tái)計(jì)算機(jī)都需要重復(fù)下載。由于金融網(wǎng)和綜合網(wǎng)與互聯(lián)網(wǎng)進(jìn)行了物理隔離，無法直接從互聯(lián)網(wǎng)下載補(bǔ)丁，只能通過手工方式，將重要的補(bǔ)丁通過互聯(lián)網(wǎng)計(jì)算機(jī)下載后，用U盤復(fù)制到每臺(tái)生產(chǎn)網(wǎng)計(jì)算機(jī)，對其進(jìn)行手工升級。由于生產(chǎn)網(wǎng)內(nèi)計(jì)算機(jī)數(shù)量多、分布廣，而微軟的各種系統(tǒng)安全補(bǔ)丁幾乎每周都會(huì)有新的發(fā)布，此外生產(chǎn)網(wǎng)內(nèi)計(jì)算機(jī)用戶一般不具有為系統(tǒng)打補(bǔ)丁的主動(dòng)意識(shí)，很多用戶也不知道需要安裝哪些補(bǔ)丁，甚至更有部分用戶無法獨(dú)立安裝操作系統(tǒng)補(bǔ)丁，所以對郵政信息網(wǎng)這種具有計(jì)算機(jī)客戶端較多的網(wǎng)絡(luò)，單靠管理員手工對計(jì)算機(jī)系統(tǒng)進(jìn)行及時(shí)地補(bǔ)丁升級是不現(xiàn)實(shí)的。因此生產(chǎn)網(wǎng)內(nèi)系統(tǒng)安全補(bǔ)丁更新不及時(shí)的計(jì)算機(jī)經(jīng)常存在不同程度的安全漏洞，成為網(wǎng)絡(luò)安全的隱患。

在最短的時(shí)間內(nèi)安裝補(bǔ)丁將會(huì)極大地保護(hù)網(wǎng)絡(luò)和其所承載的機(jī)密，同時(shí)也可以使用戶免受蠕蟲病毒的侵襲。但隨著黑客技術(shù)的不斷變化和發(fā)展，留給網(wǎng)絡(luò)管理員的有效工作時(shí)間將會(huì)越來越少，對于計(jì)算機(jī)設(shè)備眾多的郵政信息網(wǎng)，繁重的手工補(bǔ)丁安裝方式已經(jīng)遠(yuǎn)遠(yuǎn)不能適應(yīng)大規(guī)模網(wǎng)絡(luò)管理的需求，必須依靠新的技術(shù)手段來實(shí)現(xiàn)對操作系統(tǒng)的補(bǔ)丁安裝。因此，如何利用有效技術(shù)手段來及時(shí)、持續(xù)、穩(wěn)定的對計(jì)算機(jī)進(jìn)行補(bǔ)丁安裝，是安全管理人員急需解決的重要問題。

3 實(shí)現(xiàn)補(bǔ)丁管理的自動(dòng)化

對于系統(tǒng)漏洞和及時(shí)安裝補(bǔ)丁程序的問題，經(jīng)過仔細(xì)分析與研究，擬定了技術(shù)實(shí)現(xiàn)方案。通過WSUS(Windows Server Update Services)安全管理員可以建立一個(gè)內(nèi)部的UPDATE服務(wù)器，讓內(nèi)部的計(jì)算機(jī)直接到這臺(tái)UPDATE服務(wù)器上下載補(bǔ)丁，使得更新補(bǔ)丁時(shí)間大大縮短，提高了安全性。另外對于沒有連到Internet的計(jì)算機(jī)只要在企業(yè)內(nèi)網(wǎng)中可以訪問這臺(tái)UPDATE服務(wù)器也可以隨時(shí)安裝最新的補(bǔ)丁，有效的防止了漏洞型病毒在內(nèi)網(wǎng)的傳播。微軟公司提供的WSUS，實(shí)際上已成為補(bǔ)丁管理的免費(fèi)標(biāo)準(zhǔn)解決方案。其它第三方的補(bǔ)丁管理軟件也都是基于WSUS上二次開發(fā)的收費(fèi)解決方案，結(jié)合郵政信息網(wǎng)的具體情況，安全管理員可以只考慮生產(chǎn)網(wǎng)內(nèi)部計(jì)算機(jī)補(bǔ)丁管理問題［5］，因此，采用在生產(chǎn)網(wǎng)中部署WSUS服務(wù)器來解決生產(chǎn)網(wǎng)計(jì)算機(jī)安全補(bǔ)丁管理問題，是科學(xué)合理的技術(shù)方案。

WSUS是微軟公司繼SUS(Software Update Service)之后推出的替代SUS的網(wǎng)絡(luò)化補(bǔ)丁分發(fā)方案產(chǎn)品，可以在微軟網(wǎng)站上去下載。WSUS具有的主要特點(diǎn)：(1)支持對更多微軟產(chǎn)品進(jìn)行更新，除了 Windows，還有所有微軟出品的 Office、Exchange、SQL等產(chǎn)品的補(bǔ)丁和更新包都可以通過WSUS發(fā)布，而SUS只支持Windows系統(tǒng)。(2)支持更多的語言包括中文。(3)使用2.0版的后臺(tái)智能傳輸服務(wù)，比SUS更好的利用了網(wǎng)絡(luò)帶寬。(4)對客戶機(jī)的管理更加強(qiáng)大，可以對不同客戶機(jī)分配不同的用戶組，對不同組分配不同的下載規(guī)則。(5)在設(shè)置和管理上比SUS更加簡單直觀。

3.1 WSUS的配置

由于WSUS采用C/S模式，客戶端已被包含在各個(gè)WINDOWS操作系統(tǒng)上。我們只需要從微軟網(wǎng)站上下載的是WSUS服務(wù)器端。因此我局在生產(chǎn)網(wǎng)內(nèi)安裝了一臺(tái)裝有WINDOWS2007系統(tǒng)的服務(wù)器，安裝了IIS服務(wù)，并部署了WSUS服務(wù)端，由于默認(rèn)情況下計(jì)算機(jī)系統(tǒng)都是通過微軟官方的UPDATE服務(wù)器下載補(bǔ)丁的。因此，需要對客戶端的計(jì)算機(jī)進(jìn)行設(shè)置，將升級地址手動(dòng)修改為已經(jīng)建立的WSUS服務(wù)器的地址。通過配置，將客戶端和服務(wù)器端關(guān)聯(lián)起來，就可以自動(dòng)下載補(bǔ)丁了［6］。

WSUS的配置工作是區(qū)分域與工作組環(huán)境的，在域的前提下，可以通過設(shè)置域的組策略來實(shí)現(xiàn)自動(dòng)配置域內(nèi)計(jì)算機(jī)客戶端信息，比較簡單。但由于生產(chǎn)網(wǎng)內(nèi)計(jì)算機(jī)沒有使用域，因此我們沒有辦法使用這種方式來自動(dòng)配置各臺(tái)計(jì)算機(jī)的客戶端信息。只能在工作組的環(huán)境里，使用管理員權(quán)限對計(jì)算機(jī)的客戶端逐臺(tái)單機(jī)配置。

3.2 系統(tǒng)注冊表的修改

對單個(gè)計(jì)算機(jī)機(jī)的配置也可以用單機(jī)的組策略配置來實(shí)現(xiàn)，也可以采用修改注冊表的方式來實(shí)現(xiàn)。因?yàn)閱蝹€(gè)計(jì)算機(jī)的組策略配置后只對單機(jī)有效，逐臺(tái)配置組策略反而麻煩，配置可以采用直接修改注冊表信息的方式來實(shí)現(xiàn)。

注冊表的修改項(xiàng)包括：

這上面只是簡單的列舉了些重要的注冊表項(xiàng)。這基本是從組策略里摘出來的，加粗字體的3項(xiàng)是最重要的內(nèi)容，其中UseWUServer項(xiàng)的值為1，告訴計(jì)算機(jī)系統(tǒng)升級將使用WSUS服務(wù)器來進(jìn)行，不再與微軟公司的補(bǔ)丁更新服務(wù)器進(jìn)行。WUServer、WUStatusServer2的值要寫上生產(chǎn)網(wǎng)WSUS服務(wù)器的IP地址，告訴計(jì)算機(jī)系統(tǒng)升級將通過這個(gè)服務(wù)器來進(jìn)行。

使用修改注冊表的配置方式，可以形成一

個(gè)注冊表文件，內(nèi)容如下：

然后將上面的文件放在生產(chǎn)網(wǎng)內(nèi)服務(wù)器上要求大家下載運(yùn)行，自動(dòng)對計(jì)算機(jī)注冊表進(jìn)行配置更新。

在客戶端啟動(dòng)了更新設(shè)置后，我們就可以在WSUS服務(wù)器上通過管理界面看到這些客戶端了。所有的更新補(bǔ)丁安裝都是在后臺(tái)進(jìn)行的，在客戶端上是不容易查覺的，要想了解客戶端補(bǔ)丁安裝情況只有通過服務(wù)器上的管理界面來查看。通過WSUS服務(wù)器可以看到從微軟網(wǎng)站下載補(bǔ)丁的狀態(tài)描述，還可以看到哪些補(bǔ)丁沒有下載完畢，并且很容易的恢復(fù)下載。并且也有非常清晰的對各終端的下載補(bǔ)丁的描述，這些描述信息可以用來了解有關(guān)補(bǔ)丁分發(fā)的情況。

完成了企業(yè)生產(chǎn)網(wǎng)的Windows update服務(wù)器部署，生產(chǎn)網(wǎng)內(nèi)計(jì)算機(jī)可以連接這臺(tái)服務(wù)器飛速下載并安裝補(bǔ)丁。只有系統(tǒng)補(bǔ)丁得到及時(shí)更新才能最大限度的防止病毒利用系統(tǒng)漏洞在內(nèi)網(wǎng)的傳播。

3.3 WSUS部署的安全性

最后，有必要討論一下WSUS服務(wù)器部署的安全問題。由于生產(chǎn)網(wǎng)不允許訪問互聯(lián)網(wǎng)，為了同步微軟公司提供的補(bǔ)丁，需要通過防火墻配置，限制WSUS服務(wù)器只可以訪問以下域的80端口和用于SSL連接的443端口，以使WSUS服務(wù)器和自動(dòng)更新能夠與下列的Microsoft Update網(wǎng)站進(jìn)行通信：http：//windowsupdate.microsoft.com

http：//*.windowsupdate.microsoft.com

https：//*.windowsupdate.microsoft.com

http：//*.update.microsoft.com

https：//*.update.microsoft.com

http：//download.windowsupdate.com

圖1 WSUS部署結(jié)構(gòu)

http：//download.microsoft.com

http：//wustat.windows.com

另外，還可以按照上圖所示部署結(jié)構(gòu)，通過在辦公網(wǎng)內(nèi)多部署一臺(tái)WSUS服務(wù)器，讓這臺(tái)服務(wù)器通過防火墻與微軟公司的補(bǔ)丁更新服務(wù)器同步，然后讓生產(chǎn)網(wǎng)內(nèi)的WSUS服務(wù)器通過防火墻只與辦公網(wǎng)的WSUS服務(wù)器同步，不直接與互聯(lián)網(wǎng)的相連，這樣安全性會(huì)更高一些。如果能將WSUS服務(wù)器安裝部署在省公司一級或更高的集團(tuán)公司一級，市局一級部署的WSUS服務(wù)器將不需要直接與互聯(lián)網(wǎng)上微軟公司的補(bǔ)丁更新服務(wù)器同步，這樣整個(gè)生產(chǎn)網(wǎng)內(nèi)只需要有1臺(tái)或少量的WSUS服務(wù)器與互聯(lián)網(wǎng)有通過的防火墻的相關(guān)連接，也會(huì)大大地提高安全性。WSUS服務(wù)器的具體部署方式可以根據(jù)安全需要進(jìn)行相應(yīng)調(diào)整。

4 結(jié)束語

通過對郵政信息網(wǎng)安全隱患的分析，重點(diǎn)探討了系統(tǒng)安全補(bǔ)丁管理工作的問題，確定了補(bǔ)丁管理的技術(shù)方案，采用在生產(chǎn)網(wǎng)中部署WSUS服務(wù)器來解決生產(chǎn)網(wǎng)計(jì)算機(jī)安全補(bǔ)丁管理問題，此方案基本上能滿足目前信息網(wǎng)安全管理的需要。由于郵政企業(yè)已經(jīng)從傳統(tǒng)的手工作業(yè)方式，徹底轉(zhuǎn)化為依賴信息網(wǎng)進(jìn)行前臺(tái)營業(yè)、內(nèi)部作業(yè)、管理決策的現(xiàn)代化企業(yè)，并已實(shí)現(xiàn)各類數(shù)據(jù)的共享，下一步將開展數(shù)據(jù)分析、挖掘等工作。

因此，郵政信息網(wǎng)的安全管理是非常重要的，雖然通過WSUS的部署基本滿足了對補(bǔ)丁管理的需要，并且是永久免費(fèi)的。但從企業(yè)的長遠(yuǎn)利益考慮，應(yīng)該購置功能更齊全、解決方案更完備的軟件，以及更高檔次的服務(wù)器設(shè)備，確保郵政信息網(wǎng)安全穩(wěn)定的運(yùn)行。

［1］劉波，劉惠，胡華平.計(jì)算機(jī)漏洞庫系統(tǒng)的設(shè)計(jì)、實(shí)現(xiàn)與應(yīng)用.計(jì)算機(jī)工程與科學(xué)，2004，26(7)：31-33.

［2］唐正軍.黑客入侵防護(hù)系統(tǒng)源代碼分析.第一版，北京：機(jī)械工業(yè)出版社，2002：2-21

［3］韓東海等.入侵檢測系統(tǒng)實(shí)例剖析.第二版，北京：清華大學(xué)出版社，2002：10-17

［4］周侃.Windows平臺(tái)下補(bǔ)丁管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)時(shí)代，2007(7)：62-63.

［5］李嘉.某公司OS補(bǔ)丁分發(fā)系統(tǒng)實(shí)施項(xiàng)目管理［J］.經(jīng)濟(jì)生活文摘，2011(8)：166-167.

［6］藏小明.談?wù)勎覈娦艛?shù)據(jù)網(wǎng)脆弱性管理與補(bǔ)丁管理［J］.科技創(chuàng)新與應(yīng)用，2011(19)：108-109.