產品背景
近些年來,紅色代碼(CodeRed)、尼姆達(Nimda)、蠕蟲王(SQLSlammer)、沖擊波(Blaster)等蠕蟲病毒的頻繁爆發給全球網絡運行乃至經濟都造成了嚴重影響,之所以這些蠕蟲能造成如此危害,是因為利用了操作系統或者應用程序的漏洞。
消除漏洞的根本辦法就是安裝軟件補丁,每一次大規模蠕蟲病毒的爆發,都提醒人們要居安思危,打好補丁,做好防范工作——補丁越來越成為安全管理的一個重要環節。黑客技術的不斷變化和發展,留給管理員的時間將會越來越少,在最短的時間內安裝補丁將會極大地保護網絡和其所承載的機密,同時也可以使更少的用戶免受蠕蟲的侵襲。對于機器眾多的用戶,繁雜的手工補丁安裝已經遠遠不能適應大規模網絡的管理,必須依靠新的技術手段來實現對操作系統的補丁自動修補。 因此,如何利用有效技術手段來及時、持續、穩定的安裝計算機補丁,是所有網絡安全管理人員、信息安全領導決策人員亟需解決的問題。
產品介紹
北信源補丁分發管理系統是北信源公司在為國家各大部委機關、各大行業網絡用戶進行病毒安全服務、總結安全運營保障經驗的基礎上,分析當前網絡客戶端實際安全管理要求研發的,系統支持推、拉兩種方式自動下載補丁,同時,系統本身也可作為違規聯網——內網安全管理系統的增強模塊綜合使用。整個補丁管理運行平臺構架是:通過北信源外網補丁下載服務器及時從補丁廠商網站獲取最新補丁;補丁安全測試后,通過補丁分發管理中心服務器對網絡用戶進行分發、安裝;補丁安裝支持自動和手動兩種方式。
網絡應用
1、連通互聯網的網絡:直接通過補丁下載服務器將補丁下載至補丁分發服務器。
2、物理隔離網絡:在互聯網連通網絡上安裝補丁下載服務器模塊,通過補丁下載增量分離工具,區分內網已導入和未導入的補丁,將最新補丁導入到內網補丁分發服務器。
系統功能
北信源補丁分發管理系統依據客戶端注冊優勢,提供補丁檢測、安裝等遠程功能。客戶端訪問網絡WEB站點,根據頁面自動彈出提示進行注冊,注冊程序將在系統中實時運行,檢測補丁安裝狀況,并上報給補丁控制中心。
補丁控制中心提供補丁策略制訂、補丁文件直接分發,補丁測試提供對軟件廠商新發布補丁的前期測試,嚴格測試后才可以配發到網絡客戶端,保障客戶端補丁安裝安全性。
按照網段、補丁類型進行補丁配置分發,支持漏打補丁、特殊補丁的推送下發。自定義分網段、分區域的補丁下載升級設定策略,從而避免造成網絡堵塞,合理控制網絡帶寬。
北信源補丁分發管理系統具體組件和功能包括:補丁下載服務器、補丁分析器、補丁策略制訂(分發)、補丁文件分發、補丁動態下載轉發代理、客戶端補丁檢測、補丁安全性測試、補丁分發控制等。
1、補丁下載服務器(互聯網):對于物理隔離的內部網絡,其內部補丁升級服務器中的補丁必須從外部獲得,因此,要求從Internet上下載補丁,十分巨大的補丁庫使得每次補丁導入的工作煩瑣。北信源針對此類物理隔離的內網,使用增量式補丁自動分離技術,在外網分離出已安裝、未安裝補丁,分類導入,即僅對內網的補丁進行“增量式”的升級,減少拷貝工作量。互聯網補丁自動實時探測,支持補丁導出前病毒過濾。
2、補丁分析器:自動建立補丁庫,支持補丁庫信息查詢。針對下載的補丁進行歸類存放,按照不同操作系統、補丁編號、補丁發布時間、補丁風險等級、補丁公告等進行歸類,幫助管理人員快速識別補丁。
3、補丁策略制訂(分發):支持用戶自定義補丁策略自由配置分發,基于客戶端網絡IP范圍、操作系統種類、補丁檢測周期、補丁類別(系統補丁、IE補丁、應用程序補丁以及網管自定義補丁類等)等制訂策略,發送至客戶端后統一按策略執行應用。
4、補丁文件分發:在指定時間、指定網絡范圍內以不同方式(如推、拉)分發補丁,或者根據腳本策略統一控制客戶端下載補丁。當系統監測到有客戶端未打補丁時,可對漏打補丁客戶端進行推送補丁。同時,通過推送安裝,也可以為SUS系統不支持的客戶端安裝補丁和應用軟件(補丁)。
5、補丁動態下載轉發代理:系統提供補丁自動代理轉發功能,提高補丁下發效率,減少網絡帶寬的占用率,節省網絡資源。
6、客戶端補丁檢測:支持客戶端補丁多重探測周期配置。定時檢測注冊客戶端系統補丁安裝狀況,同補丁信息庫比較后,顯示客戶端補丁安裝狀況(客戶端訪問指定網頁自動獲得漏打補丁信息,物理隔離網絡中自動生成補丁分發網站)。
7、補丁安全性測試:補丁分發前測試,支持網管測試組定義進行補丁安全性測試,提高打補丁的成功性、安全性、可靠性。
8、報表輸出查詢:提供網絡客戶端補丁安裝信息查詢、提供補丁下載失敗/成功、安裝失敗/成功的信息查詢。
補丁管理系統功能構架 圖1-2-1
其它應用
用戶自定義分發操作:北信源補丁分發管理系統除了提供補丁分發之外,還提供對網絡終端的其他任務定義支持。
任務分發支持文件分發、消息通知、控制執行腳本分發等任務,用戶可自行定義不同任務進行分發。任務分發支持網絡中已經注冊的網絡用戶,沒有注冊的用戶在注冊后將會接受到指令。
1、文件分發:分發可執行文件到注冊客戶端并執行,對全網絡用戶進行應用軟件分發安裝,如殺毒軟件等。
2、消息通知:在任務定義平臺中定義各種消息,分發到所有網絡終端,實現消息通知。
3、控制執行腳本:對xml文件中定義的各種腳本進行發送,修改客戶端相關注冊表配置,實現腳本控制操作。
系統構架
該系統貼近用戶對網絡、網絡終端管理的要求,適用于局域網、廣域網等多種構架。
標準構架(小型網絡):在局域網中全面部署應用北信源補丁分發管理系統,包括各種功能模塊:補丁下載、補丁分析、補丁策略分發制訂、文件分發、客戶端補丁監測、漏洞補丁掃描、補丁分發控制臺等。
級聯構架(大型網絡):對于網絡分布廣泛、規模龐大,并且擁有多個網絡管理中心的廣域網,北信源補丁分發管理系統支持在標準構架上建立多級級聯模式,實現下級網絡補丁管理系統從上級補丁管理系統自動獲取補丁,以及相關補丁審計、系統組件升級功能。
運行配置
系統管理主機: 專用服務器或高檔PC服務器,Windows2000 Server(SP4)以上操作系統(安裝IIS),MS SQL(SP3) 數據庫(可以采用桌面數據庫版本)。
基本配置:P3 800 以上CPU,512 M以上內存,硬盤40G。
建議配置:P4 2.4G 以上CPU,1G以上內存,硬盤40G以上。
用戶管理控制臺:建議安裝在系統管理主機上,IE6.0以上版本。
