王 刚 魏 峰

(陕西省汉中市邮政局，陕西 汉中 723000)

经过10年大规模的工程建设，目前邮政信息网络系统已经成为各项业务发展的基础支撑平台，已投入运行的应用系统有储蓄、电子汇兑、报刊发行、邮资票品、电子化支局、邮区中心局生产作业、电视会议、速递站点、综合服务平台、基金保险、身份证核查、代收烟草款、代售机票、量收管理系统、人力资源管理、财务管理、OA办公等系统。因为业务管理的需要，各类系统中WINDOWS平台的计算机日益增多，由于日常操作中存在一些违规操作行为，导致病毒和黑客的侵袭，而病毒和黑客主要是利用操作系统的漏洞进入计算机，一旦这些病毒通过终端设备进入网络，探测到计算机系统的漏洞［1］，就可能进一步攻击破坏整个网络系统，这样将会给整个网络的运行带来极大的安全隐患。因此，为了使邮政信息网络系统处于安全稳定的运行状态，需要利用系统软件和应用软件的补丁程序不断完善安全防范机制，避免病毒和黑客的侵扰［2-3］。这就引出了一个给系统漏洞打补丁的工作，也就是补丁管理。补丁分为系统补丁和应用软件补丁，系统补丁又分为WINDOWS平台、UNIX平台、LINUX平台等。本文探讨的是安全方面的问题，主要涉及最容易被病毒攻击的WINDOWS平台的系统安全补丁管理。

1 补丁管理的重要性

通过了解计算机病毒入侵原理，就能知道为什么补丁管理对系统安全及网络安全的重要性。病毒是“编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。其主要特征有：(1)寄生性，计算机病毒寄生在其它程序中，当执行这个程序时就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。(2)传染性，一旦病毒被复制或产生变种，它就搜寻符合传染条件的程序存储介质，再将代码插入其中，达到自我繁殖的目的。(3)潜伏性，一个编制精巧的计算机病毒程序，进入系统不会马上发作，可以长时间隐藏在合法文件中，并对其它系统进行传染。(4)破坏性，计算机中毒后，会导致正常程序无法运行，并把系统中的文件删除或破坏。计算机病毒一旦发现系统的漏洞，即以迅雷不及掩耳之势进入系统，开始肆无忌惮的破坏。这里的关键词是漏洞，它是病毒入侵的管道，但只要我们及时给软件打上补丁，就能防止病毒的入侵。虽然防范病毒的办法有很多，防火墙、IDS、杀毒软件及打补丁等。但打补丁这种方式是投支最少，因为补丁软件是免费的，同时也是最有效的防范措施，当然，因为补丁数量太多，也可能比较麻烦。

由于邮政信息网近年来发展迅速，大家对网络系统安全的重要性已经有了较高的认识。目前网络系统安全管理工作也有很多关于病毒防范工作的考核指标，但对于及时给系统漏洞打补丁这一问题的重要性，却没有引起足够的认识。主要原因有几点：

(1)病毒的传播机制。以前的网络病毒传播主要是依靠附件或者浏览网页来传播，属于一种传播被动的方式，传播范围和速度非常有限。而近年来主要的病毒传播是通过系统的漏洞主动进行传播，冲击波，震荡波等属于典型的例子。这样一来，即使用户没有打开不明来源的附件，如果没有安装系统的重要安全补丁，也会中毒。

(2)对安全不够重视。无论是普通员工，还是管理层，甚至安全管理人员，对补丁不是很了解，当然就谈不上补丁的有效管理了。

(3)人员技能的缺乏以及市场上缺少合适中小企业的自动化补丁部署方案。一些管理员没有掌握相应的自动化补丁技能，当时的市场也缺少合适中小企业的自动化补丁部署方案。

(4)预算不足。没有足够的经费来购买补丁部署方案，以及安排专门的安全管理人员来负责安全问题。

(5)从补丁发布到针对该漏洞病毒的出现时间间隔较长。一些管理员因此产生侥幸心理，认为这么长时间没有打补丁，没有出现问题，以后大概也不会有事的。

(6)没有完善的补丁部署流程。安装补丁没有严格的部署流程，想起来才会去安装一下补丁，或者未经测试就安装补丁，甚至用错误的方法安装补丁。

然而随着邮政信息网的不断发展，量收管理、后台业务管理、业务稽查、公司业务、信贷业务、网上银行等新系统陆续上线运行，邮政信息网内 WINDOWS平台计算机日益增多。WINDOWS系统漏洞为病毒入侵提供了便利的条件，系统由于打补丁不及时或未打过补丁造成的安全隐患逐渐增多，网络安全隐患问题日益严重。从2010开始，邮政集团公司和省公司组织开展了多次信息网安全检查活动，在银监会组织的银行业安全检查大纲中，都要求对生产网内计算机系统及时进行补丁升级。这反映了系统补丁管理已经得到集团公司、省邮政公司和银监会的重视，补丁管理工作显得日益重要，在数次全国范围内的网络病毒大规模冲击下，对软件补丁更新进行集中管理，把补丁管理纳入企业的安全体系已经成为保证企业计算机网络安全的迫切要求。

2 补丁管理的现状

很多人都可能觉得打补丁是一件很容易的工作，只要从软件厂商的网站下载相应的补丁文件，然后按照说明进行安装就可以了。但是在邮政信息网内，计算机数目众多，软件应用复杂，打补丁就不是一件容易的事情了。如何有效地打补丁，是目前网络系统安全管理人员所面临的一个重要任务［4］。

目前邮政信息网内存在两大生产网：金融网和综合网，两大生产网内运行着16个子系统，另外还有与互联网连接的OA办公网。办公网内的计算机都是微软公司WINDOWS操作系统，可以通过系统自带的“自动更新”功能进行更新，现在还有360安全卫士及瑞星卡卡助手等第三方的软件支持对系统扫描漏洞，并自动下载安装补丁，只是速度较慢，并且每台计算机都需要重复下载。由于金融网和综合网与互联网进行了物理隔离，无法直接从互联网下载补丁，只能通过手工方式，将重要的补丁通过互联网计算机下载后，用U盘复制到每台生产网计算机，对其进行手工升级。由于生产网内计算机数量多、分布广，而微软的各种系统安全补丁几乎每周都会有新的发布，此外生产网内计算机用户一般不具有为系统打补丁的主动意识，很多用户也不知道需要安装哪些补丁，甚至更有部分用户无法独立安装操作系统补丁，所以对邮政信息网这种具有计算机客户端较多的网络，单靠管理员手工对计算机系统进行及时地补丁升级是不现实的。因此生产网内系统安全补丁更新不及时的计算机经常存在不同程度的安全漏洞，成为网络安全的隐患。

在最短的时间内安装补丁将会极大地保护网络和其所承载的机密，同时也可以使用户免受蠕虫病毒的侵袭。但随着黑客技术的不断变化和发展，留给网络管理员的有效工作时间将会越来越少，对于计算机设备众多的邮政信息网，繁重的手工补丁安装方式已经远远不能适应大规模网络管理的需求，必须依靠新的技术手段来实现对操作系统的补丁安装。因此，如何利用有效技术手段来及时、持续、稳定的对计算机进行补丁安装，是安全管理人员急需解决的重要问题。

3 实现补丁管理的自动化

对于系统漏洞和及时安装补丁程序的问题，经过仔细分析与研究，拟定了技术实现方案。通过WSUS(Windows Server Update Services)安全管理员可以建立一个内部的UPDATE服务器，让内部的计算机直接到这台UPDATE服务器上下载补丁，使得更新补丁时间大大缩短，提高了安全性。另外对于没有连到Internet的计算机只要在企业内网中可以访问这台UPDATE服务器也可以随时安装最新的补丁，有效的防止了漏洞型病毒在内网的传播。微软公司提供的WSUS，实际上已成为补丁管理的免费标准解决方案。其它第三方的补丁管理软件也都是基于WSUS上二次开发的收费解决方案，结合邮政信息网的具体情况，安全管理员可以只考虑生产网内部计算机补丁管理问题［5］，因此，采用在生产网中部署WSUS服务器来解决生产网计算机安全补丁管理问题，是科学合理的技术方案。

WSUS是微软公司继SUS(Software Update Service)之后推出的替代SUS的网络化补丁分发方案产品，可以在微软网站上去下载。WSUS具有的主要特点：(1)支持对更多微软产品进行更新，除了 Windows，还有所有微软出品的 Office、Exchange、SQL等产品的补丁和更新包都可以通过WSUS发布，而SUS只支持Windows系统。(2)支持更多的语言包括中文。(3)使用2.0版的后台智能传输服务，比SUS更好的利用了网络带宽。(4)对客户机的管理更加强大，可以对不同客户机分配不同的用户组，对不同组分配不同的下载规则。(5)在设置和管理上比SUS更加简单直观。

3.1 WSUS的配置

由于WSUS采用C/S模式，客户端已被包含在各个WINDOWS操作系统上。我们只需要从微软网站上下载的是WSUS服务器端。因此我局在生产网内安装了一台装有WINDOWS2007系统的服务器，安装了IIS服务，并部署了WSUS服务端，由于默认情况下计算机系统都是通过微软官方的UPDATE服务器下载补丁的。因此，需要对客户端的计算机进行设置，将升级地址手动修改为已经建立的WSUS服务器的地址。通过配置，将客户端和服务器端关联起来，就可以自动下载补丁了［6］。

WSUS的配置工作是区分域与工作组环境的，在域的前提下，可以通过设置域的组策略来实现自动配置域内计算机客户端信息，比较简单。但由于生产网内计算机没有使用域，因此我们没有办法使用这种方式来自动配置各台计算机的客户端信息。只能在工作组的环境里，使用管理员权限对计算机的客户端逐台单机配置。

3.2 系统注册表的修改

对单个计算机机的配置也可以用单机的组策略配置来实现，也可以采用修改注册表的方式来实现。因为单个计算机的组策略配置后只对单机有效，逐台配置组策略反而麻烦，配置可以采用直接修改注册表信息的方式来实现。

注册表的修改项包括：

这上面只是简单的列举了些重要的注册表项。这基本是从组策略里摘出来的，加粗字体的3项是最重要的内容，其中UseWUServer项的值为1，告诉计算机系统升级将使用WSUS服务器来进行，不再与微软公司的补丁更新服务器进行。WUServer、WUStatusServer2的值要写上生产网WSUS服务器的IP地址，告诉计算机系统升级将通过这个服务器来进行。

使用修改注册表的配置方式，可以形成一

个注册表文件，内容如下：

然后将上面的文件放在生产网内服务器上要求大家下载运行，自动对计算机注册表进行配置更新。

在客户端启动了更新设置后，我们就可以在WSUS服务器上通过管理界面看到这些客户端了。所有的更新补丁安装都是在后台进行的，在客户端上是不容易查觉的，要想了解客户端补丁安装情况只有通过服务器上的管理界面来查看。通过WSUS服务器可以看到从微软网站下载补丁的状态描述，还可以看到哪些补丁没有下载完毕，并且很容易的恢复下载。并且也有非常清晰的对各终端的下载补丁的描述，这些描述信息可以用来了解有关补丁分发的情况。

完成了企业生产网的Windows update服务器部署，生产网内计算机可以连接这台服务器飞速下载并安装补丁。只有系统补丁得到及时更新才能最大限度的防止病毒利用系统漏洞在内网的传播。

3.3 WSUS部署的安全性

最后，有必要讨论一下WSUS服务器部署的安全问题。由于生产网不允许访问互联网，为了同步微软公司提供的补丁，需要通过防火墙配置，限制WSUS服务器只可以访问以下域的80端口和用于SSL连接的443端口，以使WSUS服务器和自动更新能够与下列的Microsoft Update网站进行通信：http：//windowsupdate.microsoft.com

http：//*.windowsupdate.microsoft.com

https：//*.windowsupdate.microsoft.com

http：//*.update.microsoft.com

https：//*.update.microsoft.com

http：//download.windowsupdate.com

图1 WSUS部署结构

http：//download.microsoft.com

http：//wustat.windows.com

另外，还可以按照上图所示部署结构，通过在办公网内多部署一台WSUS服务器，让这台服务器通过防火墙与微软公司的补丁更新服务器同步，然后让生产网内的WSUS服务器通过防火墙只与办公网的WSUS服务器同步，不直接与互联网的相连，这样安全性会更高一些。如果能将WSUS服务器安装部署在省公司一级或更高的集团公司一级，市局一级部署的WSUS服务器将不需要直接与互联网上微软公司的补丁更新服务器同步，这样整个生产网内只需要有1台或少量的WSUS服务器与互联网有通过的防火墙的相关连接，也会大大地提高安全性。WSUS服务器的具体部署方式可以根据安全需要进行相应调整。

4 结束语

通过对邮政信息网安全隐患的分析，重点探讨了系统安全补丁管理工作的问题，确定了补丁管理的技术方案，采用在生产网中部署WSUS服务器来解决生产网计算机安全补丁管理问题，此方案基本上能满足目前信息网安全管理的需要。由于邮政企业已经从传统的手工作业方式，彻底转化为依赖信息网进行前台营业、内部作业、管理决策的现代化企业，并已实现各类数据的共享，下一步将开展数据分析、挖掘等工作。

因此，邮政信息网的安全管理是非常重要的，虽然通过WSUS的部署基本满足了对补丁管理的需要，并且是永久免费的。但从企业的长远利益考虑，应该购置功能更齐全、解决方案更完备的软件，以及更高档次的服务器设备，确保邮政信息网安全稳定的运行。

［1］刘波，刘惠，胡华平.计算机漏洞库系统的设计、实现与应用.计算机工程与科学，2004，26(7)：31-33.

［2］唐正军.黑客入侵防护系统源代码分析.第一版，北京：机械工业出版社，2002：2-21

［3］韩东海等.入侵检测系统实例剖析.第二版，北京：清华大学出版社，2002：10-17

［4］周侃.Windows平台下补丁管理系统的设计与实现［J］.计算机时代，2007(7)：62-63.

［5］李嘉.某公司OS补丁分发系统实施项目管理［J］.经济生活文摘，2011(8)：166-167.

［6］藏小明.谈谈我国电信数据网脆弱性管理与补丁管理［J］.科技创新与应用，2011(19)：108-109.