补丁管理的策略抉择

　　是让终端用户自主决定是否打补丁，还是由系统强制执行？是让终端用户自己去服务器下载补丁，还是主动推送补丁？选择哪种补丁管理策略，是IT管理人员要做出的选择。

　　网络信息系统是一个复杂的计算机系统，在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是客户端用户系统自身的复杂性和随意性较强，即使使用一些技术保护，也可以说是防不胜防。企业网络安全中由于“补丁”造成的问题举不胜举，为病毒泛滥、黑客入侵等行为搭建了温床。攻击者普遍都在使用“最易渗透原则”，即在系统中最薄弱的地方进行攻击，这就是已知的未被修补的漏洞。补丁就是为了修补薄弱的环节。本文将讨论企业有效实施补丁管理的最佳实践。

　　强制ｖｓ人性化

　　补丁管理是成功的安全策略中最重要组成部分之一。企业如何制定一个员工和IT人员都可以接受的补丁管理策略，或者说更新策略呢？

　　在一个IT专业员工比较集中的小型网络环境中，网络的管理者一般不会设计一个补丁统一控制台。管理员会根据厂商发布的漏洞修补信息，依据这些信息的紧急程度发布通知、通告，以提示为主。但这种人性化管理占主导的补丁管理策略有一个前提，即用户的安全意识都比较强。

　　但在大型网络中这种管理策略是危险的。人性化的补丁管理策略存在着可控性差、无法评估实施效果等问题。系统管理员往往只能将需要更新的补丁连接通知用户，或者提供本地下载（至少速度可以快一点），至于用户是否打了补丁、补丁应用成功与否则很难控制。

　　在这种情况下，如果有一台客户端存在漏洞，对于整个网络来说都是致命的。任何一个客户端如果没有在系统更新的情况下，都可能在浏览网页过程中被植入木马。由于内网客户端相互频繁的访问，交叉感染将是恐怖的连锁反应，这就有可能造成整个安全防御体系的彻底崩溃。

　　因此，在超过100台客户端以上的IT环境中，IT管理者都在追寻一种强制性补丁管理策略。

　　推ｖｓ拉

　　你有两种基本方法来实现补丁应用的自动化。补丁可以从一台中央服务器发给各个不同的客户端系统（在补丁管理中，应用服务器、交换机等都统称为客户端），我们常将这种方法叫作推。当然，也可以由客户端与中央服务器联系并下载补丁对应推的方式，这种策略可以称为拉。哪一种方法更好？是前者更有效率还是后者更有效率？这个答案根据环境不同、客户端提供的服务而有所不同。

　　从中央服务器主动发布补丁，能够更有效地管理补丁应用的时间安排。制定这种方式的补丁管理方案，可以减少对网络性能产生的影响，而且能够对企业的不同部门的机器和网络采用分时间段的打补丁方案，不会使网络带宽或者服务器处理器达到饱和状态。但中央服务器必须要有最新的补丁储备或者客户端的名单，否则就收不到发来的补丁。所以，制定推的策略时，补丁客户端扫描产品要有智能的网络终端发现功能，确保设备一增加到网络中就立即添加到清单内，减少手工频繁地定期扫描工作。

　　对于分布式环境和服务器机群区域，情况更加复杂。补丁服务器必须同子网连通，并且通过防火墙连接到每一台客户端。在这种环境中，拉的策略也许更有效。补丁服务器可以放在最近的物理位置，能够具有将本地策略继承（也有拒绝功能）到上一级的功能，拉的方式甚至可以将一台中央服务器放在核心数据区最近的位置，避免服务器被非安全区域的用户访问和控制。