更新檔管理江湖告急

更新檔管理 江湖告急

我讨厭病毒。它使系統癱瘓，使人頭大。盡管最終它總會被逮住并殺掉，但你知道，就在不遠處，變種的它或者它的同類又會在某個無法預知的時刻卷土重來。     解決的辦法很多，防火牆、IDS、防毒軟體……還有打更新檔。     是的，打更新檔。這或許是最省錢（因為免費）同時也最有效的防範辦法，當然，也可能最麻煩（因為更新檔太多）。但無論如何，請你務必相信，及時打更新檔對于系統安全來說真的很重要。     其實，解讀病毒入侵原理就能明白。它們是“一組具有傳染性，能對系統進行非法破壞性操作的代碼”，終日遊蕩在計算機系統周圍，一旦發現可乘之系統漏洞，即以迅雷不及掩耳之勢沖殺進來，開始肆無忌憚的破壞。     這裡的關鍵詞是漏洞。它是病毒入侵的管道，隻要我們及時給軟體打上更新檔，就能感受到“made in微軟”的更新檔與“made in黑客”的病毒混戰一處，結果往往以入侵者的失敗告終。來自市場的聲音同樣明确了更新檔的江湖地位。聯想集團資訊化發展部副總經理于奮飛說：“今年初到9月下旬，微軟共釋出了39個更新檔，我們打了20多個，到目前為止，即便是某個局部，也沒有感染任何病毒。當然，我們的系統早就安裝了多重防火牆與IDS，它們同樣功不可沒。”新浪網絡系統部總監陳力健指出：“防火牆隻能防範老的攻擊類型，解決90%的問題，新出現的攻擊還得靠打更新檔來解決。”如果用數字表達，啟明星辰積極防禦實驗室安全咨詢工程師蔡雪飛說：“打更新檔至少可以解決95%的安全問題。”中國民航邢毅峰說：“民航系統改建以後，我們一直非常重視打更新檔的工作，它也真的很有效。”     被攻擊的“自由”     不及時打更新檔是企業資訊安全的一個病根。     在被各種各樣病毒光顧之後，相信大多數企業會意識到打更新檔的重要性。但奇怪的是，每次病毒大規模發作，盡管相關的更新檔程式此前早已釋出，可被感染的機器又豈止百萬計？     此次采訪對象都指出，自己曾經遭受過病毒的攻擊，是以，對具有預防作用的更新檔管理都非常重視。這讓我們不禁猜測，不及時打更新檔的客戶難道過去沒有遭到攻擊？     在采訪中，很多人提到1999年的紅色代碼。網通資訊管理部楊斌回憶說：“紅色代碼那次攻擊持續1～2天時間，網速很慢，我們當時沒經驗，不知道哪出了毛病。後來，一個正在幫助評測安全軟體的國外專家通過Sniffer分析軟體，發現問題出在微軟系統上。     後來查到了受感染的機器，将其端口關閉，殺毒，然後在全部系統上打上更新檔，問題随即消失。從那以後，我們開始重視更新檔管理工作。”     可以肯定地說，受過攻擊的企業一定比沒受過的更關注更新檔管理；生産系統與辦公系統緊密相連的企業必然比隻有OA聯在公網上的重視更新檔問題。     也許你的企業還沒有受到過病毒的攻擊，但千萬别高興得太早。因為某個已知或未知的病毒可能正潛伏在你的家門口，并在一個“風高夜黑”的晚上溜進你的系統。據美國《金融時報》報道，現在平均每20秒就發生一次入侵計算機網絡的事件；超過1/3的網際網路防火牆被攻破。也可能你的系統早已經被入侵了，隻是你沒有察覺。像這次疾風病毒的本意是在你毫無知覺的情況下進入你的系統。但因為有一段代碼沒編好，才緻使被感染的機器不斷重新開機。     “我也很重視打更新檔”，一個使用者說，“但是微軟的更新檔實在太多了，它内部的更新檔管理又混亂，誰能保證每次都及時打上。”這個理由很有力，隻可惜起不到作用。對于迫在眉睫的更新檔問題，作為公司的管理者和網管人員，是拿出更新檔管理計劃的時候了。     管理者成了“更新檔工”     多而繁的更新檔程式，成為系統管理者的工作負擔。     國外一篇報道中說：“如果你打算詢問企業有關打更新檔的意見，最好先穿上防彈衣，以免被回答砸死。”比起老美同行來，我覺得自己很幸運。因為被采訪的使用者大多“溫和”地說：“打更新檔真的很煩人。”     微軟的更新檔确實太多了，而且還在源源不斷地增加。聰明的系統管理者早就做好長期抗戰的準備。就說2003年前三個季度，微軟對外釋出的更新檔已經多達30多個；就在10月15日，微軟宣布了新的更新計劃後，釋出了第一次月度安全更新，更新涉及五個Windows漏洞，其中四個被微軟認定為“嚴重”。     一家證券公司的系統管理者說，ISIS 5.0更新檔太多了，我都快成全職更新檔工了。另一個保險公司系統主管說：“僅黑色8月，我們已經做了2次更新工作，以前1年隻要更新2～3次就可以了。”陳力健說：“現在，我們會把那些功能弱的、易出現問題的功能封閉掉，如IIS伺服器。”除了數量繁多，微軟本身在更新檔管理上也存在問題。因為内部協調不力，各個部門往往會針對一個漏洞，從不同角度開發出不同的更新檔，這也給廣大使用者帶來不小的困擾。     也許有人會反對說，打更新檔有那麼難麼？不就是按幾次确認鍵麼！沒錯，打更新檔是不難，但它确實很麻煩。對管理者來說，每一次新鮮更新檔出籠，就需要上一次微軟網站，确定一下更新檔的類别與等級；每打一次更新檔，就得做一次測試，明确更新檔程式是否與應用相容；每打一次更新檔，就得加一次班，監督安裝、确認、檢查。有時候，即便打了更新檔，也有可能被擊中。微軟網站上說，如果改變系統配置，就得重新安裝更新檔。現如今，打更新檔似乎已經喧賓奪主，成了大部分系統管理者最重要的工作了。     不過比起被病毒感染，這些麻煩實在算不了什麼。“每次病毒發作，雖然我安裝了更新檔，但還是會心驚肉跳”，邢毅峰說。因為一旦感染，對系統管理者來說無疑是惡夢一場。到時候，一定是系統宕掉，業務停掉；客戶罵娘，上司罵你；然後是加班加點，幾宿不睡覺。一個管理者至今心有餘悸，“上次，因為紅色病毒發作之前我們沒有打更新檔，系統癱瘓了3天，這3天，我簡直沒怎麼睡覺。不僅要一台台檢查機器，打上更新檔，還得不斷修複被感染的檔案。一個字：慘！”     打更新檔的楊元慶     榜樣的力量是無窮的。     就像前文提到的，生産系統與辦公系統緊密相連的企業，通常會比較重視更新檔管理等與系統安全密切相關的問題。從1997年就開始重視系統安全的聯想公司，現在因為整個公司上了ERP，每天網上交易額過億，是以對系統安全問題更為關注。就更新檔管理問題，聯想資訊化發展副總經理于奮飛簡單地概括成六個字：意識、系統、管理。     所謂意識，代表的是公司從上到下對系統安全問題的重視，同時也意味着良好的安全習慣。為了使全體員工養成良好的安全習慣，聯想公司作了明确規定，凡是不按照規定及時打更新檔造成損失的，公司會對責任人進行相應的懲罰。懲罰分為5級，最嚴厲的一級是開除，甚至交送公安機關處理。是以，每一次系統需要統一安裝某個系統更新檔時，全公司上至楊元慶，下至司機，都會及時為自己的終端打上更新檔。     在嚴格的制度下，網絡管理部門要做的将是系統的安排工作。就更新檔管理來看，聯想設定了幾個必要的步驟。一是從适當的途徑擷取更新檔，聯想一般會通過三個途徑獲得更新檔：1）到公開的站點擷取；2）微軟會定期通知；3）針對各種軟體産品，在售後服務合同中明确提出對方必須在出台相關軟體更新檔時，及時通知聯想。二是對更新檔進行分類、測試，明确哪些更新檔必須打，哪些更新檔僅僅是某個部門必須打。“就微軟系統的更新檔來說，截止到今天，今年已經公布了30幾個，ERP産品這四五年來公布的更新檔也有100多個，我們不可能所有的更新檔都打，也沒有必要，事實上，在100多個ERP更新檔中，我們隻采用了十幾個”，于奮飛說。就微軟系統更新檔來說，主要分為兩大類：安全更新檔和性能更新檔。安全更新檔又分幾個等級：危機、重要、高、中、低。于奮飛說：“我們會從根據廠商對更新檔的說明，從中挑選出對系統安全重要的更新檔最先進行測試。”對大多數企業來說，應用往往是在不同的系統平台上開發的，有可能出現新打的更新檔與應用不相容的情況。是以，聯想搭建了一個小的網絡環境，将各種企業正在使用的應用軟體加載上去，對實際網絡進行模拟。然後，用1～2天的時間檢查更新檔程式是否會帶來系統問題。确定沒有後，就可以将更新檔程式自動或者通過E-mail分發下去。三是按照制定好的計劃分發。目前，聯想是通過自動分發工具，将更新檔分發到相應的個人手中。四是執行和檢查。但凡制度，執行是關鍵。在審查這個環節，聯想一方面要求每個員工自查，另一方面通過軟體進行監控，如果到時間還沒有打上更新檔，就會将這台機器從網絡中剔除。在這樣的規定下，10000多人的公司，每次都能保證98%以上的完成率。     在整個過程中，從收到更新檔通知到檢測完畢，通常會用1～2天的時間，然後再用3～5天的時間完成分發、安裝和檢查的工作。整個下來，不超過一個星期。相比較而言，分發、檢查是比較麻煩的環節。是以，聯想會采用各種自動的軟體工具。對于各種工具軟體，于奮飛說：“我們會使用工具，尤其在分發和檢查環節。這樣可以節省很多時間。但是，我們不會依賴工具。因為工具本身也可能帶來意想不到的問題，如不相容問題。”目前，聯想設定2個兼職人員，負責300多台伺服器和上萬台PC相關的更新檔下載下傳、測試、分發、檢查等工作。     更新檔管理的灰色地帶     如果設定好了程式，更新檔管理對任何人、任何企業來說，都算不上有難度的工作。但是，在這個看似簡單的工作中，也會存在很多意想不到的麻煩。     關于更新檔管理要注意的事項，本報在這之前已經做過很多的相關報道，但相信仍有再次強調的必要。在接觸了大量使用者之後，啟明星辰的蔡雪飛說:“使用者要麼對更新檔管理缺乏足夠的重視，隻是随意、不定期去微軟網站查找更新檔；要麼隻要有更新檔，就不管三七二十一，照單全收，這都有可能使企業的系統管理工作陷入新的麻煩。如一個網絡企業因為沒有做好更新檔的檢測工作，結果造成計算機啟動不了。”是以，在大規模安裝更新檔前，有必要在小範圍的環境内對更新檔進行測試。需要注意的是，模拟環境畢竟有局限性，在實施采用過程中，仍可能有個别問題查不出來。另外，時間也需要控制。有一個使用者說自己曾經用4天時間去測試一個更新檔。蔡雪飛說：“這未免太長了，1～2天的時間完全可以了。”     在一些公司内部，總有一些員工會自作主張下載下傳更新檔程式，但這往往會打亂管理者的整體部署。是以，在制定相關的更新檔計劃以前，管理者有必要對自己的系統做一個全面的了解。首先明确系統内共有多少台機器，每台機器目前的狀況怎樣，然後再對下載下傳更新檔程式等工作做出明确規定。有條件的，可以找一個安全評估公司，從整體上做好評估和計劃。     再有就是工具的使用。于奮飛說：“再好的工具，也不能保證打更新檔工作全部到位，總會有挂一漏萬的情況，這個時候，還得需要人工參與。另外，在後期檢查環節發現問題後，仍需要人工作出處理。”另外，采用自動工具難免有一刀切的毛病，如果很多系統版本不同，可能會引發其他系統問題。     最後強調一點，管理者有必要首先明确企業對風險的容忍程度，再決定安裝更新檔的工作。因為過于關注安全問題，必然導緻生産效率降低。     再見，病毒     更新檔當然不是防病毒的唯一手段，但如果你為系統安裝了防火牆，将網絡上的系統不斷按要求進行更新，使用最新的防病毒軟體，也許，還有一件令人愉快的事可以做，那就是和病毒說再見。     一個系統管理者的自白     我想我得感謝微軟，當然還有那些制造麻煩的黑客，沒有他們，我不可能在這麼短（我去年才畢業）的時間内，體重成功從70公斤降到58公斤，另外，長期熬夜增加的黑眼圈也讓我看起來更成熟了。毫不誇張地說，做系統管理者僅僅大半年，與病毒抗争的大小戰役少說我也參加了幾十次（包括給單個PC殺莫名其妙的病毒）。     第一次遇到病毒，就讓我有機會從默默無聞一躍成為公司知名人物，成為當月唯一被扣工資的人。我們是一家中型IT企業，每個月通路我們網站的流量一直都很穩定，但今年1月份，我們的上網費一下竄升到幾千元，另外，不斷有員工報告說，公司網站登陸不上去。我有點暈（什麼事都有第一次嘛），隻好向一個在網絡安全公司工作的同學求救，才知道一個當時風頭很健的病毒叫SQL Slammer，它會不斷發送大量的資料包對網絡造成分布式洪流攻擊。我于是連夜上網查到有關資訊，關閉了UDP 1434端口，從微軟網站上下載下傳了更新檔程式。第三天，問題消失了。     從那以後，我明白一個道理：打更新檔一定得及時，不然，每月隻能啃鹹菜，還得加夜班。但是，我很快又發現，就我一個人努力不行。公司總有人不斷打電話騷擾我：“我的機器啟動不了了，快來幫我看看”。于是，你會經常看到我從八樓竄到九樓（我們公司分布在兩層樓上），又從九樓竄回來。比起上上下下跑樓梯，殺病毒的工作消耗真的很小。跑了2個月，見我的人都誇我清朗了不少。盡管如此，我還是有點煩。于是，我隻好給全公司哥哥姐姐們發了一封言辭懇切的信，希望他們不要上網随意下載下傳軟體，并不要輕易打開陌生位址的郵件。這樣，就不會被莫名其妙的病毒感染，另外，一些必要的更新檔程式，我會及時發給大家，請務必及時打上。     情況似乎有所好轉，但沒過多久，一切又依然故我，我又開始了跑樓梯生涯。我了解，大家都很忙，自然比較健忘。但我還是有些生氣了。看來我得采取強制措施。于是，從伺服器端我關閉了所有與工作無關的端口，并從網上下載下傳了自動更新檔安裝工具。     一切好像都很順利，直到沖擊波他老人家大駕光臨。我必須聲明，在這次事件發生前後，我始終是盡職盡責的。事實上，在8月沖擊波發作之前，我已經積極做好了“抗戰”準備。我首先在伺服器上安裝了Windows的網絡防火牆，同時，關閉了相關端口。因為公司正準備上一個新的應用系統，我臨時将給桌面系統打更新檔的工作推遲了一天。但萬萬沒有想到的是，沖擊波全線發作第二天，我們公司全部機器出現了藍屏、重新開機、藍屏的怪現象。我知道中招了，但我想不通，明明已經做了防禦呀。沒辦法，隻好請來網絡安全公司的人，折騰了半天，終于找到病原，原來公司一台機器上不了區域網路，自作主張用了撥号上網，成了被利用的宿主，連累了所有的系統。     當然，這次公司沒有扣我工資，但我依然郁悶。看來，我要跟公司上司鄭重談一談了，如果公司再不做有關安全的全體總動員，我也不想在這樣一個系統安全的活火山口上再當什麼管理者了。     相關連結     連結一     安全機構公布最易受攻擊軟體清單     日前，一家安全組織釋出了第四份年度最容易受到攻擊軟體清單。     SysAdmin審計網絡安全（SANS）協會的“20大缺陷”清單有二部分組成：微軟公司作業系統和軟體中的10大缺陷和Unix作業系統中的10大缺陷。SANS将微軟公司的Web伺服器軟體━━IIS列為Windows系統中安全缺陷的罪魁禍首。在最近的一年中，微軟公司已經釋出了半打多的與IIS相關的安全公告。在2001年7、8月份曾大規模爆發的紅色代碼病毒就利用了IIS中的一處安全缺陷。     Windows系統中最容易出現缺陷的其他軟體包括微軟公司的SQL Server資料庫軟體、Windows遠端調用服務。Unix系統中最容易出問題的其他軟體包括RPC服務和Apache Web伺服器軟體。     在Unix類軟體中，BIND域名系統軟體（DNS）是問題最多的軟體。     連結二     微軟發表新安全對策 簡化更新檔管理程式     美國當地時間10月9日，為了應對全球計算機使用者面臨的威脅，微軟将在今後數月内推出新的安全程式。     主要措施如下：     1、改善更新檔管理程式、對策及技術     ·簡化更新檔釋出等的程式、每月彙總釋出一次更新檔     ·"Windows NT Workstation 4 Service Pack 6a"及"Windows 2000 Service Pack 2"的更新檔支援延長至2004年6月底。     ·2004年上半年公布免費更新工具"Software Update Services 2.0"。除Windows外，可以使用該工具下載下傳、掃描并安裝"SQL Server"、"Office"、"Exchange Server"及"Visio"的更新檔。     ·2004年上半年之前将Windows 2000系列産品的更新檔安裝程式彙總為兩大類。     2、開展全球規模的資訊安全教育項目     後 記     盡管在本文中我們不停強調更新檔管理的重要性，但是，我們心知肚明，更新檔管理僅僅是企業系統安全的一個環節，絕不是全部更不是根本。之是以專門報道它，僅僅因為它是目前條件下最現實的辦法。用理想主義者的眼光看，自然是軟體沒有漏洞，讓病毒與黑客無的放矢最好。但是，現實的情況就是如此糟糕，對于網絡的個體使用者來說，除了盡量想辦法解決安全問題外，與供應商之間劃清責任同樣很重要。     據外電報道，2003年9月30日，一起訴訟案被加州法院受理，控告微軟公司的作業系統和應用軟體存在大量的漏洞，緻使使用者随時可能受到病毒和黑客的攻擊，進而造成系統的癱瘓。針對這起訴訟案，Gartner評價說：“微軟一般是在病毒發作前公布更新檔，是以，很難勝訴。但是對計算機安全問題卻不無幫助。畢竟，在更新檔釋出前出現病毒的可能性也是有的。”《華爾街日報》報道說，“經驗豐富的黑客往往利用軟體開發商尚未發現的漏洞發動襲擊（初始襲擊）。是以，很多公司表示自己需要采用本質上與Windows完全不同的作業系統，才能分散風險。”這對微軟的競争對手無疑是個好消息。需要提醒使用者的是，今後在制訂合同條款時，使用者應就及時釋出和通知更新檔的問題，對供應商做出明确規定。 （責任編輯 zhaohb musicemail#sohu.com TEL:（010）68476636-8007）