探讨企业网络系统安全漏洞修补的需求范文

1企业网络环境的检视与安全性问题分析

1.1企业网络环境的基本构架

企业网络环境依其功能性的不同，可以分成两个部分：办公区域的工作站和各类数据、WEB、管理系统构成的服务器集群。其中部分工作站与服务器集群分布在不同地域，形成“公司总部-分公司-区域代表处”的整体网络构架。目前企业的服务器端更新计算机安全性修补的程序是每一台服务器均安装WindowsUpdate，通过互联网自动取得最新的安全性修补程序，保持服务器端安全漏洞都能得到及时的修补；工作站端则由工程师通过网络取得最新安全性修补程序后，通过总控分发的形式逐一手动执行安装。

1.2目前公司网络安全管理的缺憾与不足

(1)无法快速地确定公司网络上哪些主机具有安全性弱点。目前在系统安全漏洞方面，一般是网络安全工程师在获得网络安全性公告时才扫描整个环境是否存在相关安全漏洞并更新计算机系统，事实证明，对于环境来说，是非常耗时并难以及时实现的，在理想状态下，应该发展并实行一套机制来自动收集并分析在弱点扫描过程中所产生的安全信息报告，并针对安全性警讯作出回应，以有效维护工作中最基本的网络安全。

(2)没有足够的时间可以安装或部署安全性修补程序。依目前架构，每一台服务器均自行通过互联网自动取得最新的修补程序，若遇上网络频宽使用率较高时便会发生安全性修补程序更新失败的问题(经实际评估失败率约为15%)。另外，由于工作站总数量多达上千甚至达到万台，在系统漏洞更新需要一定的周期才能实现，工作过程中可能会发生安全性修补程式尚未更新完成前就已经遭受攻击的问题。

(3)有些系统无法自动安装安全性修补程序。某些独立计算机或不受控制的非网络成员计算机，由于不受系统管理员的维护控制，难以通过系统整体控制的形式完成安全性修补程序及相关工作。

(4)有些系统无法自动安装安全性修补程序。访客、行动和远端使用者，如同办公区中一般的客户端一样，这对于企业来说，这些客户端也是潜在的攻击来源，需另行处理。

2企业网络系统安全修补程序的管理需求

(1)当采用新的硬件或软件而造成环境的变更时，通常会执行设定，设定活动是支援顺利且有效的安全性修补程序管理所必需的。包括：①取得库存及建立环境的基准线：工作基准线包含的是让生产环境中不同类型电脑都能安全运作的所有必要软件。②订阅安全性警讯及启动网络安全监测系统：网络安全监测系统会自动识别新的产品缺点、对其新系统环境进行更新修补。③建立安全性报告以协助识别问题：识别环境中的病毒或入侵，指出需要尽速解决的进行中的各类攻击。④设定及维护修补程序管理基础架构：无论是任何大小的组织，都应利用自动化工具，让系统管理员得知可用的更新，并部分掌控安全性修补程序的安装情况。

(2)以每天或每周为执行基础，定期检阅网站、安全性通知以及安全性报告，以识别新的软件更新及安全性问题，并判定更新与环境中问题的关联性。①识别：判定环境是否需要修补程序，以及其来源是否有效。②关联性：判定修补程序对于组织的信息技术基础架构环境是否有意义。③隔离观察：在一个或多个修补程序中查出可能会影响组织IT基础架构的病毒或其他恶意程序码时，隔离任何与修补程序相关的档案。

(3)识别环境中新安全性弱点，并拟定发行安全性修补程序或相关的对策，包括：①变更管理，将变更分类及排定优先级，以及取得对生产环境进行变更之核准的程序。②检阅变更，因为负面的商业影响或其他影响质量的原因而需要时，此步骤可以包括复原受损信息或数据。

(4)对组织环境中一些分散的系统管理层级。例如，多个拥有系统管理权限的群组或是在本身计算机上拥有系统管理权限的一般使用者。设置规范的系统管理员账户标准，例如，重新命名或停用账户以及设立虚拟账户等。

(5)定义安全性修补程序的强制方式以及相关的时间表。若系统漏洞或缺点仍无法在要求的时间之内成功解决，需采用更强烈的策略，例如：在违规者的组织中呈报这个问题、停用存取此计算机的主账户、在网络里移除此计算机的网络实体连线，或是重新设定网络硬件等方式，以防止个别计算机系统的漏洞的扩散而引发系统整体的网络安全问题。

3企业网络系统安全性修补程序的架构设计

3.1工作站端计算机安全性修补程序系统架构

企业工作站端计算机安全修补程序的系统架构，该架构分为三个系统：安全测试系统、安全修补程序更新系统、系统安全漏洞自动侦测系统。第一个系统是安全测试系统，管理者使用此系统来验证互联网所取得的安全性修补程序，完成系统安全性测试分析与管理；第二个系统是安全性修补程序更新系统，管理者将经过验证的安全性修补程序利用此系统完成工作站端的程序部署；第三个系统安全漏洞自动侦测系统，对于系统网络安全漏洞进行侦测管理，对不受管理或是非标准网域的计算机，利用此系统移除此工作站的网络连线。企业工作站端计算机安全修补程序的运作过程包括：

(1)订阅安全性警讯及其他安全漏洞更新库，系统安全漏洞自动侦测系统会识别新的产品缺点、过去的重要的系统更新，以及已被其他人发现的新病毒。

(2)根据安全需要，将存在安全隐患的计算机隔离于生产环境网络之外，以便确保这些计算机不会对组织的IT基础架构造成负面的影响。

3.2服务器端计算机安全性修补程序系统架构

企业服务器端计算机安全修补程序的系统架构如图3所示。该架构分为两个系统：安全管理系统、安全性修补程序更新系统。第一个系统安全管理系统，管理者使用此系统来实现企业服务器集群的安全管理与整体的安全防护；第二个系统是安全性修补程序更新系统，管理者将经过验证的安全性修补程序利用此系统完成服务器端的程序部署。服务器端更新计算机安全性修补程序系统架构图如图3所示，服务器端计算机安全修补程序的运作过程包括：

(1)订阅网络服务器的安全性警讯及安全漏洞更新库，借助安全性修补程序更新系统，完成服务器端系统的即时更新。

(2)根据安全需要，将存在安全隐患的服务器或工作机隔离于服务器集群的环境网络之外，以便确保具有网络安全隐患的服务器或工作机不会对组织的服务器集群架构造成威胁。

(3)信息中心人员在隔离环境下确认所有修补程序完成，并完成病毒检测无问题后，隔离解除，由安全管理系统完成个别服务器的手动程序部署，并负责服务器管理者的进一步侦测追踪管理。

4结束语

在网络信息全球化发展的进程中，网络安全问题会随着时间变得更加错综复杂，影响也将会不断扩大，系统安全修补程序管理系统可以较好地提升系统的安全性能。对各类抗恶意软件的控制措施之有效。网络弱点攻击技术日新月异防不胜防，而防范之道必须建立在滴水不漏的基础架构之上。而借助本文构造的方法，希望能够为实现企业网络漏洞的自动侦测与及时更新提供指导。

作者：徐哲明单位：东海工程设计院