產品背景

近些年來，紅色代碼（CodeRed）、尼姆達（Nimda）、蠕蟲王（SQLSlammer）、沖擊波（Blaster）等蠕蟲病毒的頻繁爆發給全球網絡運行乃至經濟都造成了嚴重影響，之所以這些蠕蟲能造成如此危害，是因為利用了操作系統或者應用程序的漏洞。
消除漏洞的根本辦法就是安裝軟件補丁，每一次大規模蠕蟲病毒的爆發，都提醒人們要居安思危，打好補丁，做好防范工作——補丁越來越成為安全管理的一個重要環節。黑客技術的不斷變化和發展，留給管理員的時間將會越來越少，在最短的時間內安裝補丁將會極大地保護網絡和其所承載的機密，同時也可以使更少的用戶免受蠕蟲的侵襲。對于機器眾多的用戶，繁雜的手工補丁安裝已經遠遠不能適應大規模網絡的管理，必須依靠新的技術手段來實現對操作系統的補丁自動修補。 因此，如何利用有效技術手段來及時、持續、穩定的安裝計算機補丁，是所有網絡安全管理人員、信息安全領導決策人員亟需解決的問題。

產品介紹

北信源補丁分發管理系統是北信源公司在為國家各大部委機關、各大行業網絡用戶進行病毒安全服務、總結安全運營保障經驗的基礎上，分析當前網絡客戶端實際安全管理要求研發的，系統支持推、拉兩種方式自動下載補丁，同時，系統本身也可作為違規聯網——內網安全管理系統的增強模塊綜合使用。整個補丁管理運行平臺構架是：通過北信源外網補丁下載服務器及時從補丁廠商網站獲取最新補丁；補丁安全測試后，通過補丁分發管理中心服務器對網絡用戶進行分發、安裝；補丁安裝支持自動和手動兩種方式。

網絡應用

１、連通互聯網的網絡：直接通過補丁下載服務器將補丁下載至補丁分發服務器。
２、物理隔離網絡：在互聯網連通網絡上安裝補丁下載服務器模塊，通過補丁下載增量分離工具，區分內網已導入和未導入的補丁，將最新補丁導入到內網補丁分發服務器。

系統功能

北信源補丁分發管理系統依據客戶端注冊優勢，提供補丁檢測、安裝等遠程功能。客戶端訪問網絡WEB站點，根據頁面自動彈出提示進行注冊，注冊程序將在系統中實時運行，檢測補丁安裝狀況，并上報給補丁控制中心。
補丁控制中心提供補丁策略制訂、補丁文件直接分發，補丁測試提供對軟件廠商新發布補丁的前期測試，嚴格測試后才可以配發到網絡客戶端，保障客戶端補丁安裝安全性。
按照網段、補丁類型進行補丁配置分發，支持漏打補丁、特殊補丁的推送下發。自定義分網段、分區域的補丁下載升級設定策略，從而避免造成網絡堵塞，合理控制網絡帶寬。
北信源補丁分發管理系統具體組件和功能包括：補丁下載服務器、補丁分析器、補丁策略制訂（分發）、補丁文件分發、補丁動態下載轉發代理、客戶端補丁檢測、補丁安全性測試、補丁分發控制等。
１、補丁下載服務器（互聯網）：對于物理隔離的內部網絡，其內部補丁升級服務器中的補丁必須從外部獲得，因此，要求從Internet上下載補丁，十分巨大的補丁庫使得每次補丁導入的工作煩瑣。北信源針對此類物理隔離的內網，使用增量式補丁自動分離技術，在外網分離出已安裝、未安裝補丁，分類導入，即僅對內網的補丁進行“增量式”的升級，減少拷貝工作量。互聯網補丁自動實時探測，支持補丁導出前病毒過濾。
２、補丁分析器：自動建立補丁庫，支持補丁庫信息查詢。針對下載的補丁進行歸類存放，按照不同操作系統、補丁編號、補丁發布時間、補丁風險等級、補丁公告等進行歸類，幫助管理人員快速識別補丁。
３、補丁策略制訂（分發）：支持用戶自定義補丁策略自由配置分發，基于客戶端網絡IP范圍、操作系統種類、補丁檢測周期、補丁類別（系統補丁、IE補丁、應用程序補丁以及網管自定義補丁類等）等制訂策略，發送至客戶端后統一按策略執行應用。
４、補丁文件分發：在指定時間、指定網絡范圍內以不同方式（如推、拉）分發補丁，或者根據腳本策略統一控制客戶端下載補丁。當系統監測到有客戶端未打補丁時，可對漏打補丁客戶端進行推送補丁。同時，通過推送安裝，也可以為SUS系統不支持的客戶端安裝補丁和應用軟件（補丁）。
５、補丁動態下載轉發代理：系統提供補丁自動代理轉發功能，提高補丁下發效率，減少網絡帶寬的占用率，節省網絡資源。
６、客戶端補丁檢測：支持客戶端補丁多重探測周期配置。定時檢測注冊客戶端系統補丁安裝狀況，同補丁信息庫比較后，顯示客戶端補丁安裝狀況（客戶端訪問指定網頁自動獲得漏打補丁信息，物理隔離網絡中自動生成補丁分發網站）。
７、補丁安全性測試：補丁分發前測試，支持網管測試組定義進行補丁安全性測試，提高打補丁的成功性、安全性、可靠性。
８、報表輸出查詢：提供網絡客戶端補丁安裝信息查詢、提供補丁下載失敗/成功、安裝失敗/成功的信息查詢。

                  
補丁管理系統功能構架 圖1-2-1

其它應用

用戶自定義分發操作：北信源補丁分發管理系統除了提供補丁分發之外，還提供對網絡終端的其他任務定義支持。
任務分發支持文件分發、消息通知、控制執行腳本分發等任務，用戶可自行定義不同任務進行分發。任務分發支持網絡中已經注冊的網絡用戶，沒有注冊的用戶在注冊后將會接受到指令。

１、文件分發：分發可執行文件到注冊客戶端并執行，對全網絡用戶進行應用軟件分發安裝，如殺毒軟件等。
２、消息通知：在任務定義平臺中定義各種消息，分發到所有網絡終端，實現消息通知。
３、控制執行腳本：對xml文件中定義的各種腳本進行發送，修改客戶端相關注冊表配置，實現腳本控制操作。

系統構架

該系統貼近用戶對網絡、網絡終端管理的要求，適用于局域網、廣域網等多種構架。
標準構架（小型網絡）：在局域網中全面部署應用北信源補丁分發管理系統，包括各種功能模塊：補丁下載、補丁分析、補丁策略分發制訂、文件分發、客戶端補丁監測、漏洞補丁掃描、補丁分發控制臺等。
級聯構架（大型網絡）：對于網絡分布廣泛、規模龐大，并且擁有多個網絡管理中心的廣域網，北信源補丁分發管理系統支持在標準構架上建立多級級聯模式，實現下級網絡補丁管理系統從上級補丁管理系統自動獲取補丁，以及相關補丁審計、系統組件升級功能。

運行配置

系統管理主機： 專用服務器或高檔PC服務器，Windows2000 Server（SP4）以上操作系統（安裝IIS），MS SQL（SP3） 數據庫（可以采用桌面數據庫版本）。
基本配置：P3 800 以上CPU，512 M以上內存，硬盤40G。
建議配置：P4 2.4G 以上CPU，1G以上內存，硬盤40G以上。
用戶管理控制臺：建議安裝在系統管理主機上，IE6.0以上版本。