（计算机科学与技术专业论文）补丁管理系统的研究与实现.pdf

北京邮电大学硕士论文补丁管理系统的研究与实现 补丁管理系统的研究与实现 摘要 随着病毒与漏洞的结合，c o d e r e d 、n i m d a 、s o l s l 眦m e r 、b l a s t e r 等蠕虫极大地危害到全球网络乃至经济，而消除漏洞的根本办法就是 安装补丁。另方面，对于终端节点众多的用户，繁杂的手工补丁安 装已经远远不能适应目前大规模的网络环境，需要借助自动化的补丁 管理工具。 本文从开发局域网补丁管理工具的角度出发，系统地讨论了计算 机漏洞和典型的补丁管理流程，并采用种主动的补丁管理模型实现 了玛p d m s 补丁管理系统。然后，介绍了r j p d m s 补丁管理系统的 功能特点，并详细描述了该系统的设计与实现。最后，本论文分析了 r p d m s 在实际网络环境的部署中所遇到的实际闻题，并采用了遗传 算法提出相应的解决方案。 关键字：网络安全，安全隐患，补丁管理，遗传算法 北京邮电大学硕士论文补丁管理系统的研究与实现 d e s i g na n di m p l e m e n t a l o no ft h ：el ，a l t c h m a n a g e m e n ts y s t e m a b s t r a c t w i t h 也ec o m b i n a t i o no fv i m sa 芏l ds o r w a r ev u l n e r a b i l i t y ，w o r m s s u c ha sc o d e r e d ，n i m d a ，s q ls l a m m e ra 1 1 db l a s t e r ，h a v ec a u s e d 舒e a t d 锄a g et og l o b a ln e t w o r ka 1 1 de v e ne c o n o m y s o r w a r ep a t c h e sa r ev i t a l t oc o m b a tm i sc o m b i n a t i o n o nt 1 1 eo m e rh a l l d ，m a n u a l l ya p p l y i n g p a t c h e sc a nn o ta d 印tt om el a r g e s c a l en e t w o r k ，a n dt | l ea u t o m a t i o nt 0 0 1 f o rp a t c hm a l l a g e m e n ti sn e e d e d t h ep a p e rd i s c u s s e st 1 1 ep r o b l e mo fc o m p u t e r l n e r a b i l i t ya n d 也e t y p i c a lp r o c e s so fp a t c hm a n a g e h l e n t t h e n ，i tp r e s e m s a na c t i v e v u l n e r a b i l i t ) rr e s p o n s em o d e l i nd e v e l o p i n g 目p d m sp a t c hm a n a g e m e n t s y s t e m i na d d i t i o n ，t h j sp 印e ri n t r o d u c e sm e 胁c t i o n so f 尉p d m s s y s t e m t h e nt h i sp a p e rd e s c r i b e st h ed e s i g n a n di m p l e m e m a t i o no f r = i p d m ss y s t e m f i n a l l y ，t h i sp 叩e ra n a l y z e st h ep r o b l e me n c o u n t e r e di n d e p l o y i n g t h e s y s t e m a 1 1 d p r o p o s e s as o l u t i o nb a s e do ng e n e t i c a 1 9 0 r i 廿1 m k e yw o r d s ：n e t w o r k s e c u r i 吼s e c u r i t yv u l n e r a b i l i 吼p a t c h m a n a g e m e n t ，g e n e t i ca l g o r i m m i i 北京邮电大学硕士论文补丁管理系统的研究与实现 创新性声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 球蠹s 商 日期：丝正三! 二_ 一 j 。 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论文注释： 本学位论文不属 本人签名 导师签名 日期 日期 卯口，；、；护 易研乙扣 北京邮电大学硕士论文补丁管理系统的研究与实现 引言 目前，各种软件的漏洞已经成为大规模网络与信息安全事件和重大信息泄露 事件的主要原因之一。据公安部公共信息网络安全监察局与中国计算机学会计算 机安全专业委员会对2 0 0 3 年5 月至2 0 0 4 年5 月间国内的信息网络安全所进行的 综合调查显示，由于软件漏洞导致发生的事件已经占到安全事件总数的6 6 。不 仅如此，从漏洞公布到攻击代码出现，再到大规模网络与信息安全事件爆发之间 的时间间隔也越来越短。例如，b 1 a s t e r 漏洞从漏洞发现到攻击代码实现间隔了 8 天，再到爆发则仅仅间隔了2 7 天。及时安装补丁是预防网络与信息安全事件 的关键、有效且相对廉价的措施之一，然而，对于互联网上数目众多的主机节点 和日益复杂的各种应用，补丁的发布方与需求方之间是典型的多对多系统，很难 确保补丁被及时的安装；而且补丁实施基本是需求方到发布方去下载补丁程序并 安装的过程，而不是发布方主动为需求方提供补丁程序并进行针对性的部暑，因 此补丁实施更依赖于非专业的需求方。对于大型企业用户来说，面对企业内部数 以千计的主机和各种应用，不能及时地跟踪补丁更新，并实现有效部署，已经成 为威胁信息系统安全的高危风险之一。 本论文是以作者参与开发的补丁管理系统为基础，研究了计算机漏洞的相关 特性，对现有补丁管理流程进行分析，并描述了该补丁管理系统的设计和实现。 最后，作者以补丁管理系统在实际应用中所发现的问题进行讨论和分析并提出了 基于遗传算法的改进方案。 论文的组成如下：第一章介绍了计算机漏洞研究的现状；第二章总结了当前 比较有代表性的补丁管理流程：第三章介绍了我们自主开发的补丁管理系统 r i p d m s 的框架和功能结构；第四章描述了r i p d m s 补丁管理系统的设计与实 现：第五章是对r p d m s 系统在实际部署中遇到的问题进行分析并提出相应解 决方案；第六章对全文进行了总结，并讨论了未来的工作内容。 北京邮电大学硕士论文 补丁管理系统的研究与实现 1 1 漏洞的概念 第一章计算机漏洞概述 d e n n i n g 在c 呻t o 脚ha n dd a t as e c u r i t y 一文中从访问控制的角度给出了 漏洞的定义。他认为，系统中主体对对象的访问是通过访问控制矩阵来实现的， 这个访问控制矩阵就是安全策略的具体实现，当操作系统的操作和安全策略之间 相冲突时，就产生了安全漏洞。 b i s h o pb a i l e y 在a c r i t i c a la m a l y s i so f v u l n e r a b i l i t yt a x o n o m i e s 中认为t 计算机系统是由若干描述实体配置的当前状态所组成的，这些状态可分为授权状 态、非授权状态以及易受攻击状态、不易受攻击状态。容易受攻击的状态是指通 过授权的状态转变从非授权状态可以到达的授权状态。受损状态是指已完成这种 转交的状态，攻击是非受损状态到受损状态的状态转交过程。漏洞就是指区别于 所有非受损状态的容易受攻击的状态特征“。 1 2 漏洞的特点 漏洞具有以下特点： ( 1 ) 编程过程中出现逻辑错误是很普遍的现象，这些错误绝大多数都是由于 疏忽造成的； ( 2 ) 数据处理( 例如对变量赋值) 比数值计算更容易出现逻辑错误，过小和过 大的程序模块都比中等程序模块更容易出现错误； ( 3 ) 漏洞和具体的系统环境密切相关。在不同种类的软、硬件设备中，同种 设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的 设置条件下，都会存在各自不同的安全漏洞问题。 1 3 漏洞的基本属性和相关对象 漏洞的基本属性有：漏洞类型、造成的后果、严重程度、利用需求、环境特 征等。与漏洞相关的对象包括：存在漏洞的软( 硬) 件、操作系统、相应的补丁程 序和修补漏洞的方法等。图1 1 是个典型的漏洞所包含的属性信息3 0 | 。 2 北京邮电大学硬士论文 补丁管理系统的研究与实现 圈1 1 一个典型的漏洞所包含的属性信息 1 4 漏洞的分类模型 日g 事d r 一1l 实# f f 属一，lj 扩展， 盘彝： m m 根据漏洞研究的不同抽象层次，会对同一个漏洞作出不同的分类。例如我们 最常见的“缓冲区溢出”漏洞，从最低抽象层次上来说可能是访问校验错误：从 高一些的抽象层次看，则是一个同步错误或条件校验错误；从更高的抽象层次看， 这又是一个逻辑错误。至今为止还没有一个比较完美的漏洞分类方案，包括权威 的漏洞信息发布网站上的分类如w w w s e c u r i t v f o c i l s c o m 也不能让人满意。 1 9 9 3 年，美国海军研究实验室的l a n d w h e r 等人收集了不同操作系统的安全漏 洞，并按照漏洞的来源、形成时间和漏洞代码的分布位置进行了分类。尽管这些 分类还不够准确，甚至在概念上存在交叉和模糊现象，但这种分类方法第一次引 入了时间和空间的概念，有助于系统设计八员加深对安全漏洞的理解，有助于建 立更加安全的软件系统。表卜l ，表卜2 和表卜3 展示的是l a n d w h e r 的三种分类模 犁。 北京邮电大学硕士论文 补丁管理系统的研究与实现 表卜1l a n 曲h e r 分类模型之( ) 特洛伊木马不能复制 恶 能够复制( 病毒) 意 陷门 故 逻辑，时间炸弹 意 漏 非 隐秘通道存储 洞 恶定时 的 意 其他 隶 源 校验错误 范围错误 无 串行错误 意 认证，鉴别错误 边界条件错误( 合资源耗尽和约束错误) 其他可利用的逻辑错误 表l 一2l a n d w h e r 分类模型之( 二) 表卜3l a n d w h “分类模型之( 三) 系统初始化 内存管理 操 进程管理 漏 作 设备管理( 包括网络，i o ) 洞 系 存 软 统 文件管理 在 件 认证鉴别 的 位 其它 置 特权程序 软支 件持 非特权程序 应用程序 硬件 表卜4 是目前较为广泛接受的漏洞分类模型。计算机系统的漏洞被划分成两 个方面的因素和四个基本类别。从漏洞的利用时效上讲，社会工程和逻辑错误形 成的漏洞可以很快地产生作用，而管理策略失误和系统弱点的影响要过一段时间 4 北京邮电大学硕士论文 补丁管理系统的研究与实现 才能显现出来；从漏洞的利用需求来看，利用计算机本身的漏洞比利用社会工程 和策略失误的漏洞需要更多的专业技术知识。 表卜4 漏洞的基本类型 。，一赛撇嚣趣、：。，。、 人的锋甩：j ：“ 1 1 1 坤错_ - ? ： 逻辑错误 社会工程影响 一壤l | 疃：痂j 系统弱点 管理策略失误 其中计算机因素的漏洞分类如图1 2 所示。 矸算轼、 皇型塑! 厂嚼；襄1 1 4 1 逻辑错误 图1 2 计算机因素的漏洞分类 ，i 竞麓件5 j i i 习 1* ，i z l 乔胡 件： 1 * j 访问校n 一。1 错i ，e i j 拳嚣蓑”l 、| 精惫装验1 1 蠢芏落爱j 逻辑错误对计算机系统的安全有直接的影响，通常是软件程序或硬件设计上 的，也是漏洞研究的主要内容。”b u g ，这种类型的漏洞大多是由低质量的程序代 码等技术原因造成的，一般可分为环境错误、配置错误和编程错误。 ( 1 ) 环境错误 环境错误是由于没有能够正确处理程序运行时的环境限制而造成的错误。这 类错误依赖于具体操作环境，典型的环境错误漏洞包括： 由于操作环境的限制而导致的错误； 由于操作系统或编译器缺陷形成的错误： - 独立正确运行的程序模块之间发生相互作用时产生的错误； 异常处理时产生的意外结果。 ( 2 ) 编程错误 - 北京邺电丈学硕士论文 补丁管理系统的研究与实现 编程错误一般是在软件开发时，由于程序设计错误、错误的需求或逻辑错误 而形成的缺陷。包括： 1 ) 同步错误，即由于指令或数据的操作顺序发生变化而产生的错误，它又可 以分为两个操作之间的竞争条件错误和不正确的串行操作而引起的串行化错误。 2 ) 条件校验错误，计算机的每个操作步骤都会受到具体条件的限制，只有满 足一定的条件，系统操作才会顺序地正常进行。当条件丢失、条件表达错误时， 就形成了条件校验错误。程序中的条件校验应该包括以下内容： 约束检查：在执行某个操作之前，系统必须保证该操作能够分配到必需的 资源。例如输入输出操作，系统必须保证用户程序不读写其地址边晃之 外的文件。 访问权限检查：系统必须保证用户程序能够访问到其权限范围之内的对象， 这种检查机制依赖于系统的访问控制机制。 有效输入检查：对运行程序的任何直接输入都必须进行有效性检查。检查 的内容包括字段值相关性、语法、参数的类型和数量、输入字段、外部输 入的字段或参数等。 主体来源检查：主体指用户、程序、主机或共享的数据对象。系统必须验 证主体来源，防止自身受到攻击。 异常检查：系统必须能够处理由于功能模块、设备故障导致的意外情况。 ( 3 ) 配置错误 从广义上讲，系统配置可以看作软件资源和硬件资源的组合。这样，计算机 系统提供的应用程序和各个服务程序就是配置的一个部分。配置错误可以分为： 程序安装在不合适的位置： 程序安装时参数设置错误； 程序在安装时的访问权限错误。 1 4 2 系统弱点 系统弱点指的是系统难以克服的错误或缺陷。许多情况下，没有人能够发现 或理解这种隐含的不安全因素，系统弱点往往要等很长时间以后才能明显体现出 来。从这个角度讲，系统安全是相对的。计算机系统的弱点主要体现在以下几个 方面： 通过隐晦手段获得的相对安全。通常情况下，我们会对计算机系统安全措 施进行保密，但人们通过研究，最后总能明白它是如何工作的。所以这种隐晦的 安全机制并不能从根本上保证系统的安全。 加密信息已经被公认为是加强计算机安全的最好方法，但加密技术本身也 北京邮电大学硕士论文 补丁管理系统的研究与实现 存在许多的缺陷，如密码的捷径、计算机的速度、缺乏足够的随机密钥等。这些 缺陷会使加密的效果并不是绝对安全的。如果忽视其弱点的话，可能造成的后果 将会是灾难性的。 口令安全是计算机安全中最关键的问题，每种形式的安全最终都趋向于依 靠某种形式的口令。实际上，大量存在的弱口令和静态口令非常容易被破解。 人们研究发现，老化的软、硬件会影响安全问题，这是任何一个单元部件 都存在的固有缺陷。 1 4 3 社会工程 所谓社会工程，指的是通过”非技术手段”对目标计算机系统进行攻击的一种 方法。它可能是单位内部人员的蓄意破坏，骗取进入计算机系统的途径，或者从 废弃物中寻找有用的信息等。在许多情况下，通过社会工程直接获取信息可能会 更容易些有时候社会工程可能是获取网络信息的唯一方法。社会工程方面的漏 洞包括偷盗、内部间谍、信息猎取、犯罪破坏等。如表卜5 所示： 表卜s 人员因素的漏洞 偷盗 社会工程破坏 内部间谍 人信息猎取 的 其它 作 用物理安全策略 管理策略失误 人员安全策略 数据安全策略 其它 1 4 4 管理策略失误 管理策略失误即计算机系统的曰常管理和应急措施方面的不足，例如不充分 的软件备份、没有灭火器等保护设备。管理策略失误并不定会导致入侵事件， 但是，许多“天灾人祸”如天气灾害、电子毁坏、硬件故障等可能会触发这类漏 洞的发生。这些容易失误的策略一般可分为：物理安全策略、数据安全策略、人 员安全策略等。 北京邮电大学硕士论文补丁管理系统的研究与实现 1 5 小结 本章系统介绍了漏洞的概念、特点、基本属性以及典型的分类模型。对漏洞 的了解是设计补丁管理系统的基础。另外，补丁管理是一个系统化的流程，下一 章节将会详细介绍几个典型的补丁管理流程。 北京邮电大学硕士论文 补丁管理系统的研究与实现 第二章补丁管理流程 2 1 微软提出的补丁管理流程 该模型最先由美国微软公司提出，它将补丁管理过程看成一个完整的生命周 期，一个封闭的循环。在此模型中，个循环的完成意味着新的循环的开始，新 的循环继承了前一个循环的成果并在这个基础上有所提高。整个过程由四个阶段 组成：评估、识别、评估和计划、部署，如图2 1 所示2 引。 ，一一一一一一一一 7 * u 厂一一一l 。 i f 霎i 是l 妲 黏 下j i 。【一品磊一一r - _ j l 7 、r 一一 一一j“ 增2 1 微软补丁管理过程的生命周期模型 评估( 阶段) 。该阶段首先评估生产环境有哪些资源、可能面临哪些安全 威胁和漏洞，以及组织是否做好安装新的软件更新( 补丁) 的准备。 识别( 阶段) 。该阶段的目标是用可靠的方法发现新的软件更新( 补丁) ， 确定它们与生产环境是否相关，并确定某个更新表示的是正常变更还是 紧急变更。 评估和计划( 阶段) 。该阶段的目标是做出是否部署软件更新( 补丁) 的 决策，确定部署软件更新的条件，并在模拟的生产环境中测试软件更新， 以确保它们4 i 会危及业务的关键系统和应用程序。 部署( 阶段) 。该阶段的目标是将许可的软件更新( 补丁) 成功应用到生 产环境中。以满足任何部署服务等级( s l a ) 协定的所有需求。 2 2x f o c u s 组织提出的补丁管理流程 x f o c u s 组织的b e n j u r y 根掘多年来对漏洞的跟踪、补丁的分析和补j 。的推 ： 9 北京邮电大学硕士论文补丁管理系统的研究与实现 广经验，总结出一套补丁管理流程，即现状分析、补丁跟踪、补丁分析、部署安 装、疑难处理、补丁检查六个环节，同时由于补丁管理是一个长期的、周而复始 的工作，因此这六个环节又构成个环状的流程。如图2 2 所示3 3 | ： 圈2 2x f 【j s 提出的补】管理流程 一 现状分析：分析信息资产、i t 系统环境、i t 网络环境和信息资产重要等级。 - 补丁跟踪：根据现状分析的结果，跟踪对应软件的补丁。信息源包括软件厂 商、安全机构( c e r t ) 、安全组织和安全公司( n g s s o f t w a r e ) 。 -补丁分析：分析漏洞的影响、确定补丁的严重等级、测试补丁。 - 部署安装：根据补丁的紧急程度制定分发计划，关键是要根据企业的环境分 批安装，原则是资产价值大、威胁等级高的系统优先安装，确定顺序后，提 交变更，组织相关人员进行补丁安装。 - 疑难处理：由于系统多样性，补丁安装会发生很多问题，应该时刻记录这些 问题，并进行技术分析，以便尽快解决。 - 补丁检查：对安装的系统进行检查以确认补丁安装情况。可以通过漏洞扫描 工具进行检查，也可以通过漏洞扫描工具进行检查，也可以通过自己编写脚 本或者人工检查。 2 3c n c e r t c c 和启明星辰提出的补丁管理流程 中国国家计算机网络应急技术处理协调中心( c n c e r t c c ) 上海分中心的 杨海军和上海启明星辰信息技术有限公司的力立共同提出了一个补丁管理的流 程，如图2 3 所示2 引： 1 0 北京邮电大学硕士论文 补丁管理系统的研究与实现 l = 二一j 一= = 二| 7 匪i 三习 曼习一，l 应篓一i 一一一 i 一一r o l 一j f l 一一j 枣丽( 、球黔兽l $ 善自 t 息， 事口f m l 宙 应 井 惠 矗善 黄 后 f 一 ? m # _ 自牵 十 j * g ：节 l $ t ? m n o $ 一 m m 自审* l 圈2 3c n c e r t ，c c 和启明星辰提出的补丁管理流程 2 3 1 补丁事前管理 补丁事前管理包括三个方面：对信息资产本身相关信息的搜集和整理，对补 丁程序、安全公告的跟踪和更新，以及在这两者的基础上构建补丁管理基础数据 库。 搜集详尽、全面的软硬件信息是补丁管理的基础。可以从信息系统的现状入 手，搜集尽可能详尽、全面的信息资产的硬、软件信息。包括软件的生产厂商、 版本号、补丁状况以及购买时合约中有关补丁升级的约定等，尤其需要注意嵌入 性质的软件，如网络设备的操作系统等。尽管补丁是面向软件的，但具体实施是 面向硬件的，因此两者的信息缺一不可。然后对得到的信息进行分类，例如，硬 北京邮电大学硕士论文 补丁管理系统的研究与实现 件可以分为网络设备、服务器、客户端等类别，软件可以分为操作系统、基础应 用软件和重要应用系统等。在分类的基础上，结合信息资产的重要性和补丁实施 对信息系统的整体影响，赋予不同类别以及每个类别中不同信息资产以相应的重 要性等级。一般来说，服务器的重要性等级高于客户端；操作系统高于应用软件 等。 补丁事前管理的另个重要组成部分是对补丁程序的管理，根据系统信息确 定信息系统内相关软、硬件的生产厂商名单，并根据不同厂商的服务方式制定不 同补丁跟踪策略。对大型软件厂商，如操作系统、网络设备和数据库等，可以跟 踪厂商的补丁公告和相关的通知邮件；对于定制的应用软件，则主要按照在采购 软件或者外包服务时的事先约定。对所获得的补丁程序要妥善保管，做好相应的 分类、合并和更新工作，以便在必要时可以快速部署补丁。除跟踪补丁程序外， 也需要密切关注各种安全组织发布的安全公告，搜集相关漏洞信息，以便有针对 性地跟踪补丁，并在补丁未发布时，为制定临时安全管理策略获取必要的信息。 2 3 2 补丁实施过程管理 不同软件的补丁实施过程存在较大的差异，实施准备要求、程序的形态、安 装要求各不相同，必须制定有针对性的实施过程规划，这是补丁实旄过程管理的 核心工作。 在制定补丁实施规划时，首要考虑补丁实施时对整个信息系统的影响程度， 确定规划的详细程度。其次，要充分解读相关补丁公告，根据漏洞的严重程度、类 似补丁的实旖经验等因素，灵活调整。第三，必须制定应急响应预案。应急响应预 案是指在补丁实施过程中出现问题时的紧急应对措施和流程，包括可能出现的问 题及相应的对策、支援厂商和人员的联系方式、替代系统或替代方案的制定、应 急处理流程图等。 补丁实施规划的环节，包括解读补丁安装信息，明确补丁安装的对象、涉及范 围、具体要求以及补丁实旌的紧迫性等各项要素：补丁测试，搭建相应的测试环境 研究补丁实施对信息系统所造成的影响，根据测试结果指导补丁实施前的准备工 作：实施准备，对信息系统做必要的调整和备份，确立实施人员、时间等：补丁分发 补丁安装：补丁实施结果反馈。每次补丁实施过程都应该给出详细的记录，这些记 录是补丁管理数据库的重要内容。 2 3 3 补丁事后管理 补丁事后管理是确保每一次实施过程以后，信息系统保持在个可用的、相 0 1 2 北京邮电大学硕士论文 补丁管理系统的研究与实现 对稳定的状态，并将状态变化的记录保存下来。主要对实施的情况进行审计，目 的是确保实施的结果与实施前的规划相吻合，倘若出现差异，则需要查明原因， 做好善后工作。 2 4 三种补丁管理流程的分析比较 微软提出的补丁管理流程、o c u s 组织的补丁管理流程与c n c e r t c c 和启明星辰提出的补丁管理流程实质上是一样的。基本上可以认为三者之间存在 如表2 1 所示的关系。 表2 - 1 三个典型的补丁管理流程对比 ，酾龃婢z e 毯星羲。一“。霉的g $ t 组织 +-5：一。1 蕞鞠晦港器蠹 补丁事前管理 现状分析评估 补丁跟踪识别 补丁实施过程管理补丁分析( 包含补丁测试) 评估和计划 部署安装部暑 补丁事后管理疑难处理 补丁检查 2 5 小结 本章主要介绍了三个典型的补丁管理流程，并对这三个管理流程进行了分析 比较。在了解漏洞和补丁管理流程的基础上，可以构造一个补丁管理系统，下 章节将介绍作者参与开发的r j p d m s 补丁管理系统。 北京邮电大学硕士论文补丁管理系统的研究与实现 第三章埘p d m s 补丁管理系统的功能描述 3 1 r j p d m s 补丁管理系统的网络结构 随着补丁管理日益受到人们的重视，广大软件厂商纷纷组织研发力量进行补 丁管理系统的开发，并广泛地应用至企业环境中。目前，包括m i c r o s o f t 、m m 、 i n t e l 、b i g f i x 、s h a v l j kt e c h n 0 1 0 9 j e s 、p a t c h l i n k 等厂商已经推出了相关的产品。 作者参与开发实现的r i p d m s 补丁管理系统是一套独立的补丁管理工具软 件，该系统由三部分组成：基于l i n u x ，w i n d o w s 系统的服务端程序( 该程序所驻 留的主机称为服务器) 、基于w i n d o w s 系统的客户端程序( 该程序所驻留的主机 称为受控点) 和控制台程序( 该程序所驻留的主机称为控制台) 。该系统可以随 时评估当前各受控点的安全状况，主要是受控点存在的安全漏洞，并把相应补丁 程序，包括操作系统补丁、数据库补丁等等发布给受控点并自动安装，从而大大 降低企业补丁管理成本，并提高补丁管理的效率。如图3 1 所示为r i p d m s 补 丁管理系统的网络拓扑图： 受拉最2 爱拉点3 凰3 1r j p 蹦s 补丁管理系统的网络拓扑图 1 4 北京邮电大学硕士论文 补丁管理系统的研究与实现 在大型企业网络中，众多客户端的补丁分发任务势必对补丁管理服务器造成 极大的压力。r j p d m s 补丁管理系统允许用户以级联的方式部署补丁管理服务器， 从而将信息资源( 即补丁文件) 从网络的中心推向边缘，使得用户可以从“最近 最好的”服务器快速访问到所需的内容，从而提高了补丁管理系统应对大规模 补丁分发的能力。 3 2r j p d m s 补丁管理系统的功能结构 所示 r j p d m s 补丁管理系统的系统结构划分，以及各组成部分的主要模块如图3 2 。一。1。1。一 控砖u 台 生机管i 自b 任务瞥，l 基 舅略管理 数据席管理 用户管理 日志管理 用户登象 l 任务管理j 霎刁5 司哥谓f 习芝1 j 丰h 丁 f 广手r 覃f 蛋碣暗一i 刁翥罐歉一 f | 手伊口e 霜话1 簧理一 客户端 l 苎! 皇，j h | 埘- 。ji 1 f 结果反馈 图3 2r j p d m s 补 管理系统的功能结构 r j p d m s 补丁管理系统各部分的功能描述如下： ( 1 ) 控制台：运行在w i n d o w s 平台下的应用程序，可以对受控点进行精准的 漏洞扫描和安全评估，按漏洞的风险等级，并生成相关报告信息：提供任务向导 以帮助管理员制定补丁分发的任务；通过补丁管理界面，可以对服务器的补丁进 行查询、修改、删除、上传、下载等补丁维护工作；可以对服务器进行网络设置、 时间设置、重新启动、远程关机等操作；通过登陆界面验证用户的合法性。 f 2 ) 服务器：可以运行在u 删x 和w i n d o w s 台上的个服务程序( 在本系统 实现中采用的是r e d h a t “n u x 平台) 。主要负责接受控制台制定任务的执行，完 成补丁下发，对网络终端进行修补；完成用户认证；控制客户端，对客户端进行 网络扫描和漏洞扫描，并接收客户端的反馈信息；接受控制台补丁、漏洞信息维 护、补丁上传等：充当数据库服务器；接受控制点补丁下载。 f 3 ) 客户端：接受服务器指令扫描并将结果报告传回控制台分析，并接受相 应的补丁分发方案；接受服务器指令的补丁通知，并提示用户下载并安装相应补 北京邮电大学硕士论文补丁管理系统的研究与实现 丁；接受控制台指令自动下载并安装安全补丁；接受控制台信息重启或关闭本地 计算机。定期检测本地计算机系统软硬件信息并向服务器报告。 3 3 珊p d m s 补丁管理系统的业务流程 r j p d 惦补丁管理系统的工作流程主要包括普通用户( 操作受控点的用户) 和 网络管理员( 操作控制台的用户) 两种业务流程。 3 3 1 普通用户业务流程 ( 1 ) 通过w e b 方式登录服务器，下载客户端程序并安装，如果不安装客户 端将不能接受控制台的控制； ( 2 ) 受控点安装客户端程序后，客户端程序将在终端的后台运行，如果用户 不想手动下载补丁并安装，就不必关心客户端程序，能够在完全不干预 用户正常操作的情况下，在后台完成。 ( 3 ) 如果用户想自己控制安装某个补丁，可以直接以w e b 方式访问服务器， 从服务器上下载需要的补丁，并进行手动安装； ( 4 ) 用户也可以申请执行本机扫描，查询本机存在漏洞； ( 5 ) 查询本机漏洞及对应补丁，用户执行此操作先提示进行本机扫描，确保 漏洞准确： ( 6 ) 用户知道本机漏洞后如果不想手动下载安装，可以向服务器请求自动打 补丁，请求服务器自动打补丁时，服务器将自动完成下载安装过程，不 需用户干预； ( 7 ) 管理员如果以通知形式下发补丁，在通知到达终端时，终端机器会在桌 面右下焦弹出消息窗口，列出漏洞号及对应操作方式( 自动下载安装， 手动下载安装) 供用户选择。用户也可以通过单击漏洞号，获取漏洞的 详细信息( 漏洞名称、风险级别、漏洞详细信息) 。 3 3 2 管理员操作流程 ( 1 ) 通过w e b 方式登录服务器，下载控制台程序并安装。 ( 2 ) 漏洞库查询，按照各种方式查询漏洞库，可以漏洞名称、漏洞编号、漏 洞描述、关键字等查询漏洞库，并且可以按照公布年代、风险级别等分类 查询漏洞集。 1 6 北京邮电大学硕士论文 补丁管理系统的研究与实现 f 3 ) 补丁库管理，按照各种方式查询补丁库，可以补丁名称、补丁编号、补 丁描述、关键字等查询补丁库，并且可以按照公布年代、风险级别等分类 查询补丁集； 似) 漏洞库补丁库对应关系查询； ( 5 ) 计算机管理，灵活的计算机分组管理。提供定义别名功能：因机器众多 机器命名规则各异，将给管理员区分机器带来很多麻烦： ( 6 ) 计算机资产信息查询于管理，自动探测所有安装客户端的终端，并获取 其状态； f 7 ) 丰富的定义策略功能，可以制定强制、通知、定时、目标等策略，并且 提供预定义侧略，方便管理员管理； f 8 ) 新建任务，两种方式： i 1 根据漏洞扫描任务报告，新建任务 根据扫描任务：将扫描结果中的i p 及对应的漏洞导入漏洞修补信息表 中，导入方法：若漏洞信息表中没有导入的i p ，则直接将此i p 及其所有 漏洞导入，若已有此i p ，那么只导入没有记录的漏洞( 记录过的漏洞包 括打补的和未打补的都不用再导入) ，然后显示漏洞修补信息表中所有未 打补丁的漏洞，供用户选择。 i i ) 根据补丁扫描结果，新建任务 f 9 1 软件部署功能，用户指定升级程序等方便进行软件的部署； f 1 0 ) 服务器设置，包括网络、时间、重启、关机等设置； f 1 1 ) 完善的报表功能，能够对日志、任务、资产等信息产生多种风格报表； f 1 2 ) 控制台程序自动检测程序版本，提示升级。 r 1 3 ) 日志查询及删除 3 4 小结 本章主要描述了r j p d m s 系统的功能特点，包括其网络结构，功能结构与业 务流程，下章节将详细介绍该系统的设计与实现。 北京邮电大学硕士论文补丁管理系统的研究与实现 第四章玛p d m s 系统的设计与实现 4 1 主动补丁管理模型 4 1 1 主动补丁管理模型提出的背景 目前，国内外围绕着系统漏洞所开展的有组织的研究工作，主要集中体现在 对各类系统漏洞进行收集、整理、分类，建立用于组织和存储系统漏洞信息的漏 洞库方面。但是这些漏洞库一般不提供应用程序访问接口来支持计算机程序的针 对系统漏洞的自动处理，大量与系统漏洞相关的数据更多地被用于人工检索，并 不能得到及时、高效地利用，造成了很大程度上的资源浪费。因此，在开展针对 系统漏洞的相关研究的基础上，提出并且构造一种主动的系统漏洞应对模型，或 称之为主动的补丁管理模型，也就是说，在漏洞库系统的基础上，集成系统漏洞 的解决方案，根据网络扫描系统提供的系统漏洞检测结果，以及目标系统相应补 丁程序的实施记录，基于统一的安全管理策略，实现补丁程序在可信网络节点之 间的自动发布与推送，使目标系统能够在安全隐患出现和被利用之前有机会完成 漏洞的自动修补，由被动防护转向主动防护，使得整个网络信息系统处于统一的、 动态的安全状态，为在指定的网络环境中实施系统漏洞防护与应对提供有力的支 持。 4 1 2 补丁管理解决方案的评价标准 补丁管理解决方案，是一种为网络信息系统提供补丁程序部署与维护控制能 力的处理过程，有助于维持运行效率与效能，克服计算机安全漏洞，并且确保网 络环境的稳定性。在现有网络环境中，成功实施补丁程序的管理时需要考虑以下 内容： ( 1 ) 如何及时掌握新发布的补丁程序与修复程序信息： ( 2 ) 是否有必要应用某种特定的补丁程序： ( 3 ) 安皴特定补丁程序对整个系统所造成的影响： ( 4 ) 特定补丁程序所修改的内容； ( 5 ) 特定补丁程序是否在安装完毕后即可删除； ( 6 ) 生产环境中不同组件间的相互依赖性以及应用特定补丁程序对各种组 1 r 北京邮电大学硕士论文补丁管理系统的研究与实现 件所产生的影响； ( 7 ) 如何评估特定补丁程序是否安装成功； ( 8 ) 对经过修补的运行环境进行恢复的可能情境。 4 1 3 主动的补丁管理模型 如图4 1 所示，可以通过构造实现主动的补丁程序管理模型，由补丁管理服 务、补丁响应代理的合理部署与协同工作，实现主动的补丁程序的管理：补丁响 应代理和补丁管理服务组成一种分布式的c l i e n t s e r v e r 体系结构，由补丁管理 服务遵循安全配景策略选择恰当的时机，以漏洞库为基础，用“推”( p u s h ) 的 方式将各类系统漏洞的应对措施、解决方案( 即补丁程序) 提交给部署在不同目 标系统上的补丁响应代理，然后由这些补丁响应代理将这些补丁程序在网络环境 中具体运用于目标系统，完成系统漏洞的自动修补。 崮毒r 产j 4 2 系统设计目标 ! 通过补丁库访问服务获得相应补j 丁程序 l 。一j 图4l 主动的补丁管理模型 我们的设计目标是设计一款可以对用户网络环境中的桌面终端、服务器终端 1 9 北京邮电大学硕士论文 补丁管理系统的研究与实现 及网络设备进行集中补丁管理分发的系统，可以及时、简单、正确、可靠的对网 络中的节点进行自动修补从而提高用户的安全性，帮助企业免受网络病毒和黑 客的破坏。 及时测试表明，在漏洞公布后l 天内，就可以写出利用这个漏洞的病 毒。现在的实际情况是，在漏洞公布7 天内，就可以出现在网上实际流行的病毒。 因此，及时为企业的操作系统或者应用软件打好补丁很关键，也正是补丁管理软 件的价值所在。 简单补丁管理之所以成为企业安全管理的一个难题，很大部分的原 因是在于，在企业范围内进行补丁管理需要牵扯很大的精力，还不一定能做好， 这一方面与企业的i t 部门力量有限有关，也在于企业为它所拥有的所有的机器 的补丁状态维持一个状态表有很高的难度，所以，能够提供简单易行的补丁管理 非常重要。 正确一由于补丁管理程序必须检测客户端的状态，并判断客户端是否 需要以及需要哪些补丁，这里我们既不希望漏打补丁，也不希望重复打补丁，因 此，补丁管理程序给出正确的判断十分重要。 可靠由于企业网络环境的复杂性，我们不能想象软件向客户端分发补 丁能够有1 0 0 的成功率，那么，成功率越高，失败后的补救措施越好，就越能 够提供可靠的补丁服务。 支持广泛一由于企业网络环境的复杂性，我们必须对网络设备和各种操 作系统提供广泛的支持。 4 3 系统体系架构 4 3 1 服务器体系结构 服务器体系结构如图4 2 所示 北京邮电大学硕士论文补丁管理系统的研究与实现 田4 2 服务器体系结构 ( 1 ) 资产管理模块 实现对资产信息的管理功能。客户端程序开始运行之后，取得本机资产信息， 用x m l 格式编码后发送到服务器端，服务器端接收后对x m l 格式的信息进行解析、 入库：同时，实现各种查询功能。 ( 2 ) 任务管理模块 包括基于漏洞、基于补丁、基于自定义补丁的三种新建任务的方式进行新建 任务，对三种方式新建的任务迸行下发执行。 ( 3 ) 日志管理模块 实现对系统运行期间各种操作事件的记录和管理。 ( 4 ) 服务器控制客户端进行补丁扫描模块 服务器通过给客户端发送运行主机m b s a 扫描命令控制客户端调用m b s a 扫插 程序进行主机补丁扫描，客户端通过解析m b s a 扫描结果的x m l 文件，获取扫描 结果中系统需要的信息，形成新的x m l 数据格式发送给服务器，服务器解析收到 的数据将扫描的结果入库。 ( 5 ) 服务器处理客户端反馈补丁安装情况模块 客户端通过从服务器下载相应的补丁对客户端进行打补，然后将结果通过 x 札格式发送给服务器，服务器解析返回的打补的情况并入库。 北京邮电大学硕士论文 补丁管理系统的研究与实现 ( 6 ) 用户登录模块 接收用户的登陆信息并判断用户的合法性。 4 3 2 控制台体系结构 围4 3 控制台体系结构 ( 1 ) 界面逻辑层提供任务管理、资产分组管理、日志管理、报表管理、补 丁库和漏洞库管理的界面。 ( 2 ) 控制逻辑层根据用户不同的动作发送不同的命令字给服务器。 4 3 3 客户端体系结构 图4 4 客户端体系结构 北京邮电大学硕士论文 补丁管理系统的研究与实现 4 4 数据库 后台数据库采用m y s q l ： 数据库整体的设计如图4 5 所示 图4 5 数据库e r 图 所有表及其简单描述如表4 ，1 所示： 表4 ，1 所有表及其简单描述 j 罨? ? ：g 荔i i i 妻蕊壤；女豢燕；、赢麓毽霸嫒国糍溢藏矗j 电囊舅舅秘熬! 毫鬻；：籀壤鬃曩 1 p a i c h e s补丁信息表 2v u l p a c r e l a t i o “漏洞补丁对应关系表 3 v u l漏洞信息表 4 u s e r i n f o用户信息表 5 0 3 唧u t e r 计算机管理表 6o s 操作系统表 7m i s s i o n 任务表 8v u l p a l c h i n f o 基于网络漏洞扫描的打补信息表 9 m i s s i o n r e p o n 基于网络漏洞扫描的补丁分发任务报告表 10 l o g s 日志表 1 1 p a t c h d p e 补丁类型表 12 i p p a t c b l n f o 基于主机漏洞扫描的打补信息表 l3p s c a n i n f o 基于主机漏洞扫描的扫描任务表 1 4 p m i s s i 咖r e p o r l 基于补丁扫描任务的报告表 15 g t o u 口i n f 0分组信息表 16p o l j c v策略表 北京邮电大学颁士论文补丁管理系统的研究与实现 各表的详细结构 1 、补丁信息( p a t c h e s ) 表4 - 2 补丁信息表 i 蕊熬溅 棒鬻；擎目嚣善 ；穰毓i i t ；- j j ；+ - 。，勰。赣鼢黎糍斓燃鞴瀚鏊囊麟孵i p a t d l i d补丁编号 ni n t p a t c h 目p e 补丁类型 n t 烈y l n t s o r e p o s i t i 存储位置 n 岖a i a 且( 1 呻 t b s t e d o r n o t是否经过测试 n b o o l o s操作系统类型 r c h a r ( 1 0 0 ) p m v i d e r补丁提供厂商 w 岖a i a r ( 1 0 0 ) s i z e补丁大小l n t d o w n i o a d u r j下栽地址 堰c h a r ( 1 0 0 ) p u b l i c d a t e发布日期 d a 玎鲷旺m e m o d i f v d a t e修改日期d a 肫t i m e e ：脚c i影响f 安装完是否重起 w 皿c h a r ( 2 0 0 ) 等1 d e s c r i p t i o n 描述信息 、a r c h a r ( 2 0 0 ) n o t e 备注 攮c h a r ( 1 0 0 ) 2 、漏洞补丁对应关系( v u l p a c r e l a t i o n ) 表4 3 补丁对应关系表 f 穗黼麟麟瓣瓣 s 女耩镕自i j ：i “：o 鎏匿磷澍颡露囊魏濑麟燃