17 4ph对应美标标准:补丁分发

补丁分发管理系统<以 北信源补丁分发管理系统为例>

补丁分发管理系统

产品背景

近些年来，红色代码（CodeRed）、尼姆达（Nimda）、蠕虫王（SQLSlammer）、冲击波（Blaster）等蠕虫病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响，之所以这些蠕虫能造成如此危害，是因为利用了操作系统或者应用程序的漏洞。
消除漏洞的根本办法就是安装软件补丁，每一次大规模蠕虫病毒的爆发，都提醒人们要居安思危，打好补丁，做好防范工作——补丁越来越成为安全管理的一个重要环节。黑客技术的不断变化和发展，留给管理员的时间将会越来越少，在最短的时间内安装补丁将会极大地保护网络和其所承载的机密，同时也可以使更少的用户免受蠕虫的侵袭。对于机器众多的用户，繁杂的手工补丁安装已经远远不能适应大规模网络的管理，必须依靠新的技术手段来实现对操作系统的补丁自动修补。因此，如何利用有效技术手段来及时、持续、稳定的安装计算机补丁，是所有网络安全管理人员、信息安全领导决策人员亟需解决的问题。

产品介绍

北信源补丁分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上，分析当前网络客户端实际安全管理要求研发的，系统支持推、拉两种方式自动下载补丁，同时，系统本身也可作为违规联网——内网安全管理系统的增强模块综合使用。整个补丁管理运行平台构架是：通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发、安装；补丁安装支持自动和手动两种方式。

网络应用

1、连通互联网的网络：直接通过补丁下载服务器将补丁下载至补丁分发服务器。
2、物理隔离网络：在互联网连通网络上安装补丁下载服务器模块，通过补丁下载增量分离工具，区分内网已导入和未导入的补丁，将最新补丁导入到内网补丁分发服务器。

系统功能

北信源补丁分发管理系统依据客户端注册优势，提供补丁检测、安装等远程功能。客户端访问网络WEB站点，根据页面自动弹出提示进行注册，注册程序将在系统中实时运行，检测补丁安装状况，并上报给补丁控制中心。
补丁控制中心提供补丁策略制订、补丁文件直接分发，补丁测试提供对软件厂商新发布补丁的前期测试，严格测试后才可以配发到网络客户端，保障客户端补丁安装安全性。
按照网段、补丁类型进行补丁配置分发，支持漏打补丁、特殊补丁的推送下发。自定义分网段、分区域的补丁下载升级设定策略，从而避免造成网络堵塞，合理控制网络带宽。
北信源补丁分发管理系统具体组件和功能包括：补丁下载服务器、补丁分析器、补丁策略制订（分发）、补丁文件分发、补丁动态下载转发代理、客户端补丁检测、补丁安全性测试、补丁分发控制等。

1、补丁下载服务器（互联网）：对于物理隔离的内部网络，其内部补丁升级服务器中的补丁必须从外部获得，因此，要求从Internet上下载补丁，十分巨大的补丁库使得每次补丁导入的工作烦琐。北信源针对此类物理隔离的内网，使用增量式补丁自动分离技术，在外网分离出已安装、未安装补丁，分类导入，即仅对内网的补丁进行“增量式”的升级，减少拷贝工作量。互联网补丁自动实时探测，支持补丁导出前病毒过滤。
2、补丁分析器：自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。
3、补丁策略制订（分发）：支持用户自定义补丁策略自由配置分发，基于客户端网络IP范围、操作系统种类、补丁检测周期、补丁类别（系统补丁、 IE补丁、应用程序补丁以及网管自定义补丁类等）等制订策略，发送至客户端后统一按策略执行应用。
4、补丁文件分发：在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制客户端下载补丁。当系统监测到有客户端未打补丁时，可对漏打补丁客户端进行推送补丁。同时，通过推送安装，也可以为SUS系统不支持的客户端安装补丁和应用软件（补丁）。
5、补丁动态下载转发代理：系统提供补丁自动代理转发功能，提高补丁下发效率，减少网络带宽的占用率，节省网络资源。
6、客户端补丁检测：支持客户端补丁多重探测周期配置。定时检测注册客户端系统补丁安装状况，同补丁信息库比较后，显示客户端补丁安装状况（客户端访问指定网页自动获得漏打补丁信息，物理隔离网络中自动生成补丁分发网站）。
7、补丁安全性测试：补丁分发前测试，支持网管测试组定义进行补丁安全性测试，提高打补丁的成功性、安全性、可靠性。
8、报表输出查询：提供网络客户端补丁安装信息查询、提供补丁下载失败/成功、安装失败/成功的信息查询。
补丁管理系统功能构架 图1-2-1

其它应用

用户自定义分发操作：北信源补丁分发管理系统除了提供补丁分发之外，还提供对网络终端的其他任务定义支持。
任务分发支持文件分发、消息通知、控制执行脚本分发等任务，用户可自行定义不同任务进行分发。任务分发支持网络中已经注册的网络用户，没有注册的用户在注册后将会接受到指令。
1、文件分发：分发可执行文件到注册客户端并执行，对全网络用户进行应用软件分发安装，如杀毒软件等。
2、消息通知：在任务定义平台中定义各种消息，分发到所有网络终端，实现消息通知。
3、控制执行脚本：对xml文件中定义的各种脚本进行发送，修改客户端相关注册表配置，实现脚本控制操作。

系统构架

该系统贴近用户对网络、网络终端管理的要求，适用于局域网、广域网等多种构架。
标准构架（小型网络）：在局域网中全面部署应用北信源补丁分发管理系统，包括各种功能模块：补丁下载、补丁分析、补丁策略分发制订、文件分发、客户端补丁监测、漏洞补丁扫描、补丁分发控制台等。
级联构架（大型网络）：对于网络分布广泛、规模庞大，并且拥有多个网络管理中心的广域网，北信源补丁分发管理系统支持在标准构架上建立多级级联模式，实现下级网络补丁管理系统从上级补丁管理系统自动获取补丁，以及相关补丁审计、系统组件升级功能。

运行配置

系统管理主机： 专用服务器或高档PC服务器，Windows2000 Server（SP4）以上操作系统（安装IIS），MS SQL（SP3） 数据库（可以采用桌面数据库版本）。
基本配置：P3 800 以上CPU，512 M以上内存，硬盘40G。
建议配置：P4 2.4G 以上CPU，1G以上内存，硬盘40G以上。
用户管理控制台：建议安装在系统管理主机上，IE6.0以上版本。