Slammer、SoBig、Blaster等蠕虫病毒的共同特点就是攻击系统漏洞，造成大规模的网络中断。尽管在这些病毒爆发之前，阻挡它们的补丁程序已经问世，然而依然不能有效扼制病毒的蔓延，造成这一现象的主要原因在于修补系统不得力。 

    修补系统之所以艰巨，原因有两点：一是从安全漏洞被披露到黑客利用漏洞发起攻击，时间间隔越来越短，用户没有足够的时间去修补系统；二是大量客户机成为病毒攻击的目标和帮凶，使病毒传播得更广泛、更迅速。除了Windows外，路由器、交换机、防火墙、Unix以及Linux也成为病毒攻击的目标。专家们认为，修补系统是一项长期工程，人们需要做好长期战斗的准备。 

    修补前的准备 

    International Network Services公司的高级系统咨询师Nicastro认为，修补系统是一个控制过程，许多用户忽略了这一点，没有对补丁程序进行持之以恒的监视、评估、测试、部署和验证。同时，修补系统不是一个人就能完成的，而是需要安全小组、运营小组和开发人员的共同努力。 

    网络的无序扩展是网络安全的头号大敌。用户必须实时掌握网络资产的现况，建立网络资产清单，了解网络资产的变化，认真整理各项记录，计算修补成本，确立优先修补计划。以上环节缺少任何一环，系统修补工作就难以进行。 

    编制资产清单即弄清什么机器运行什么应用，需要用户进行大量工作。编制资产清单常常需要花费一定的时间。资产清单与资产管理和配置管理紧密相连，需要专人负责。修补系统是一个物理过程，人们必须利用有效的组织结构来保障实施这一过程，成立安全事件响应小组就是最好的办法。安全事件响应小组可以有组织地管理系统漏洞，针对每一漏洞迅速做出响应，对照资产清单中的每一种设备，查找安全漏洞的所在位置，每周更新一次资产清单。 

    如何修补 

    修补系统的流程可以归纳四步：密切跟踪漏洞的变化；反复测试补丁程序；由点到面分发部署补丁程序；验证修补后的设备是否完整和正常运行。 

    修补系统的过程开始于监视安全漏洞和为资产清单中的设备寻找补丁程序。一旦某种安全漏洞被确定为威胁，安全小组应立即开始着手测试补丁程序。如果用户缺少建立实验环境的资金，用户至少应当设法模拟关键业务系统的环境。测试补丁程序之后，用户需要完成补丁的分发、部署、例外处理、跟踪、报告等工作。修补系统与消防灭火有些类似，在必要时用户应该将蠕虫或病毒隔离在网段上，然后再启动修补流程。 

    Rackspace公司的CTO Engates先生认为，修补路由器和防火墙与升级软件的版本非常相似。该公司由一名网络工程师专职负责跟踪防火墙和路由器的漏洞信息。在确定一个补丁程序后，该工程师通知IT主管，如果补丁是用于修补某个关键缺陷的，相关信息被直接发送给负责工程的副总裁，由副总裁亲自组织实施修补系统。补丁程序在Rackspace公司的实验室中进行测试，实验室设有一个按比例缩小的企业网络模型。测试时间取决于补丁程序的大小。补丁程序在预先安排的维护窗口中进行部署，安全小组评估修补过程。　 

    Engates认为，修补服务器与修补防火墙略有不同。

上一页 [1] [2] 下一页