越来越多的病毒入侵和黑客攻击是由系统漏洞引发。因此,保护网络免遭攻击,正确打补丁就成为一个关键环节。打补丁看似是一个简单的修补任务,但实际上是一个复杂的操作过程。只有按照一定步骤按部就班地进行,系统管理员才能既保证系统免受攻击,又可以避免补丁程序影响系统的正常运行。打补丁的主要步骤包括以下几个方面:跟踪漏洞信息、获取补丁、测试补丁、安装补丁、验证补丁以及保存补丁等。
跟进漏洞信息
在用户的网络系统当中,通常是多种操作系统、应用软件和网络设备共存,即使同一个操作系统也会存在多个不同的版本。没有一家操作系统厂商、应用软件厂商和网络设备厂商能够保证自己的产品不存在任何安全漏洞。为了保障系统安全,用户必须实时、锲而不舍地跟踪最新漏洞信息。由于软件和设备种类繁多,安全漏洞层出不穷,用户不必跟踪所有信息,只需选择跟踪与自己相关的漏洞信息。目前,一些网站专门收集当前各种软硬件的漏洞信息,包括漏洞介绍、影响的系统以及打补丁的方法。由于用户使用国外的软硬件产品较多,建议大家登陆www.cert.org网站,它是网络安全权威的网站,用户也可以选择www.xfocus.net网站,这是国内安全公司自发组建的网站,专业性比较强。除了利用综合性安全网站外,用户还需要经常登陆微软、Sun、Oracle、Cisco等厂商的网站,以获得更加精确的漏洞信息。建议用户采用E-mail订阅安全信息,这样就可以在第一时间获得漏洞信息。
获取补丁
漏洞补丁通常是一个安装程序,建议用户从厂商网站上直接下载,避免出现补丁不适合或补丁出现后门等情况。以Unix系统为例,尽管各个厂商的Unix内核大同小异,但是针对于某些Unix系统漏洞,各个厂商提供的补丁程序存在很大差异,找到合适的补丁程序对用户来说就显得十分重要。
微软对Windows 2000之后的版本提供在线打补丁,这为用户升级系统提供了方便。但是对于Service Pack之类的大补丁,建议用户将程序全部下载之后再进行安装。另外,不是所有补丁都能够在漏洞公布之后就会发布,这时用户需要自己认清漏洞的本质和影响,采取一些暂时性的方法,堵住安全漏洞。
测试补丁
在打补丁之前,用户需要对补丁程序进行测试。建议用户首先在一个实验环境中验证补丁程序,实验成功后,用户再将补丁程序部署到不重要的主机上,这样即使失败,恢复起来也会比较容易。如果迫于时间和实际工作压力,用户需要将经过有限测试的补丁直接部署到业务环境中,建议这部分用户还是先将补丁程序打在不重要的主机上,然后逐渐部署到业务主机上。有条件的用户还可以先请开发人员运行补丁包后,将补丁包放到开发环境中进行测试,然后部署到企业的业务网络环境当中。
安装补丁
首先需要说明一点是,系统管理员并不需要安装所有的补丁程序。这是因为安全漏洞一般是指应用软件某一部分(如HTTP服务、POP3服务等) 存在缺陷,如果用户的服务器没有开启这一服务功能,打补丁就成为多此一举。而且打补丁也不是多多益善,补丁程序可能会影响系统正常运行,很多用户曾经因为打补丁而导致系统无法正常运行。因此,系统管理员在打补丁之前首先要判断是否需要安装补丁。通常,为了保障系统的安全,建议用户关闭服务器上所有没有必要开启的服务端口,尽量减少潜在的安全威胁,例如,用户不必开启Web服务器的邮件服务端口,这样即使邮件服务存在安全漏洞,用户的系统也不会受到影响。
对于经过筛选、必须安装的补丁,系统管理员也不能将其直接打在服务器上,因为这样做很可能导致经过修补后的系统出现异常。建议系统管理员采取一种先次要、再重要的顺序来安装补丁程序。管理员可以首先将补丁程序安装在一台无关紧要的设备上,并且重启系统,查看系统是否运行稳定,然后再对其他服务器打补丁。
路由器、交换机等网络设备近两年出现的安全漏洞逐渐增多,由于这些设备是直接接入网络,对这些设备打补丁将影响整个网络的正常运行。网络设备的补丁程序就是网络设备操作软件的更新代码,建议系统管理员不要在第一时间内为网络设备打补丁,而是采取一些封堵安全漏洞的暂时措施,如设置访问控制列表等,然后在适合时机升级网络设备的操作软件,以免对网络系统造成影响。
验证补丁
在安装完补丁程序之后,系统管理员一定要验证补丁程序的有效性,确认补丁程序是否真正封堵了安全漏洞。验证补丁程序的最直接方法就是查看系统是否存在漏洞信息所描述的现象,如端口开放、乱发IP包等情况,这种方法对用户技术要求较高。此外,在安全漏洞公布之后,网上很快就会出现相关的攻击程序,系统管理员可以利用这些程序测试打完补丁后的系统是否仍然存在安全漏洞,不过提醒用户需要小心进行。
管理补丁
系统漏洞是近几年才突出的安全问题,很多用户没有对其给予充分重视。就实质而言,打补丁还是一个管理问题,管理补丁程序能够有效防范安全威胁。建议系统管理员建立存档服务器,用来长期保存所有安装过的补丁程序,并做好相关文档说明,这样每当需要安装新的系统时,就不会忘记安装补丁程序,以免旧漏洞再次造成新损失。
