漏洞扫描及补丁管理系统的设计及实现.pdfVIP

漏洞扫描与补丁管理系统的设计与实现 苏继成 北京邮电大学移动通信国家重点实验室，北京（100876 ） E-mail ：prettyjeff@163.com 摘 要：本文设计与实现了一种新型的漏洞扫描与补丁管理系统。该系统通过对局域网内的 主机进行漏洞探测，获得所需的补丁信息，完成对主机的补丁升级。该系统支持中文补丁升 级，及时有效地实现补丁自动下载、检测及安装；支持多种组网方案，适用于大型网络的补 丁分发与部署，能摆脱大量繁琐的手工管理操作。尤为重要的是，可以减少因漏洞修补不及 时造成的危害。 关键词：漏洞扫描，补丁，补丁分发，补丁管理 1. 引言 近年来，网络安全问题益发突出，主要表现在：大范围互联网攻击事件频繁发生，如2002 年全球的根域名服务器遭到大规模拒绝服务攻击，而且随着网络应用的逐步深入和大范围推 广，这些网络攻击事件造成的危害也愈来愈严重。2003年8月11 日，利用MS03-26漏洞的“冲 击波”蠕虫病毒(W32.BIaster.Worm)开始在全世界范围内爆发，造成巨大经济损失。在国内， 两天时间里就使数千个局域网陷于瘫痪状态，受害者中既包括几十人的小规模企业，也有电 信、政府等大型事业单位。 安全漏洞是这些网络安全问题的主要溯源。几乎所有的网络攻击都是基于操作系统或应 用程序的漏洞进行的。如果我们能够根据具体的应用环境，尽可能早地通过网络扫描来发现 这些漏洞，并及时采取适当的处理措施进行修补，就可以有效地阻止入侵事件的发生。但是 在相应的漏洞补丁发布后，用户使用补丁程序更新系统往往不够及时。一方面是因为用户安 全意识的薄弱，往往要等到大规模的网络攻击开始时，才会想起安装补丁。更重要的原因是， 补丁管理工作本身也比较繁琐枯燥，以微软的 Windows 系统为例，每个星期都有漏洞警报 和补丁程序发布，网络管理员不仅要追踪和应用这些最新的升级信息，还要从中鉴别哪些补 丁是必须和适用的[1] 。 需要注意的是，大部分的危害都是在漏洞已经发布补丁后，由于更新不及时造成的危害。 例如，在微软发布MS04-011 公告后的几小时内才出现了通用的攻击代码，如果能够及时的 进行漏洞修复，由此漏洞造成的危害将不会存在。 针对以上问题，本文提出一种漏洞扫描和补丁自动管理设计方案，实现对Windows 系 统的所有中文补丁的自动下载，检测及安装，确保补丁更新的及时性，完全可以避免因为漏 洞修补不及时造成的损失。同时，本系统并支持多种组网方案的扩充，适应大规模网络的补 丁分发[1] 。 2 补丁管理的特性 2. 1 及时性 补丁管理需要有很强的及时性，如果补丁管理工作晚于攻击程序，那么企业就有可能被 攻击，造成机密信息泄漏，比如2003 年9 月份发生的Half Life2 源代码泄漏事件就是由于 企业内部的客户端没有及时打补丁，而导致被IE 漏洞攻击，造成重大损失。 由于黑客技术的不断积累和发展，留给管理员的时间将会越来越少，在最短的时间内安 - 1 - 装补丁才可以保护企业机密，同时也可以使企业免受各种病毒的侵袭。 2. 2 严密性 补丁是厂商为了修补漏洞而制作的程序更改，迫于用户的压力，厂商一般会在最短的时 间内发布补丁。因此补丁的测试就会减少，补丁的兼容性就很容易出问题。特别是针对系统 底层的一些补丁，很容易导致应用不能正常运行，甚至系统不能正常启动。除了补丁测试需 要严密性以外，补丁的推广同样也需要严密的计划，哪些系统需要安装补丁，什么时候开始 安装，安装补丁之前需要备份哪些数据，如何制订应急方案都需要一个严密的计划。 2. 3 持续性 [1] 漏洞修补工作是一个长期的，持续性的工作 。因为随着漏洞的不断被发现，针对着漏 洞的补丁也就会持续不断地发布。因此要求企业的安全管理人员要时刻跟踪厂商的补丁公告 和安全公司的安全公告[5] 。 3. 系统设计 3. 1 系统结构设计