我讨厌病毒。它使系统瘫痪,使人头大。尽管最终它总会被逮住并杀掉,但你知道,就在不远处,变种的它或者它的同类又会在某个无法预知的时刻卷土重来。
解决的办法很多,防火墙、IDS、杀毒软件……还有打补丁。
是的,打补丁。这或许是最省钱(因为免费)同时也最有效的防范办法,当然,也可能最麻烦(因为补丁太多)。但无论如何,请你务必相信,及时打补丁对于系统安全来说真的很重要。
其实,解读病毒入侵原理就能明白。它们是“一组具有传染性,能对系统进行非法破坏性操作的代码”,终日游荡在计算机系统周围,一旦发现可乘之系统漏洞,即以迅雷不及掩耳之势冲杀进来,开始肆无忌惮的破坏。
这里的关键词是漏洞。它是病毒入侵的管道,只要我们及时给软件打上补丁,就能感受到“made in微软”的补丁与“made in黑客”的病毒混战一处,结果往往以入侵者的失败告终。来自市场的声音同样明确了补丁的江湖地位。联想集团信息化发展部副总经理于奋飞说:“今年初到9月下旬,微软共发布了39个补丁,我们打了20多个,到目前为止,即便是某个局部,也没有感染任何病毒。当然,我们的系统早就安装了多重防火墙与IDS,它们同样功不可没。”新浪网络系统部总监陈力健指出:“防火墙只能防范老的攻击类型,解决90%的问题,新出现的攻击还得靠打补丁来解决。”如果用数字表达,启明星辰积极防御实验室安全咨询工程师蔡雪飞说:“打补丁至少可以解决95%的安全问题。”中国民航邢毅峰说:“民航系统改建以后,我们一直非常重视打补丁的工作,它也真的很有效。”
被攻击的“自由”
不及时打补丁是企业信息安全的一个病根。
在被各种各样病毒光顾之后,相信大多数企业会意识到打补丁的重要性。但奇怪的是,每次病毒大规模发作,尽管相关的补丁程序此前早已发布,可被感染的机器又岂止百万计?
此次采访对象都指出,自己曾经遭受过病毒的攻击,因此,对具有预防作用的补丁管理都非常重视。这让我们不禁猜测,不及时打补丁的客户难道过去没有遭到攻击?
在采访中,很多人提到1999年的红色代码。网通信息管理部杨斌回忆说:“红色代码那次攻击持续1~2天时间,网速很慢,我们当时没经验,不知道哪出了毛病。后来,一个正在帮助评测安全软件的国外专家通过Sniffer分析软件,发现问题出在微软系统上。
后来查到了受感染的机器,将其端口关闭,杀毒,然后在全部系统上打上补丁,问题随即消失。从那以后,我们开始重视补丁管理工作。”
可以肯定地说,受过攻击的企业一定比没受过的更关注补丁管理;生产系统与办公系统紧密相连的企业必然比只有OA联在公网上的重视补丁问题。
也许你的企业还没有受到过病毒的攻击,但千万别高兴得太早。因为某个已知或未知的病毒可能正潜伏在你的家门口,并在一个“风高夜黑”的晚上溜进你的系统。据美国《金融时报》报道,现在平均每20秒就发生一次入侵计算机网络的事件;超过1/3的互联网防火墙被攻破。也可能你的系统早已经被入侵了,只是你没有察觉。像这次冲击波病毒的本意是在你毫无知觉的情况下进入你的系统。但因为有一段代码没编好,才致使被感染的机器不断重启。
“我也很重视打补丁”,一个用户说,“但是微软的补丁实在太多了,它内部的补丁管理又混乱,谁能保证每次都及时打上。”这个理由很有力,只可惜起不到作用。对于迫在眉睫的补丁问题,作为公司的管理者和网管人员,是拿出补丁管理计划的时候了。
管理员成了“补丁工”
多而繁的补丁程序,成为系统管理员的工作负担。
国外一篇报道中说:“如果你打算询问企业有关打补丁的意见,最好先穿上防弹衣,以免被回答砸死。”比起老美同行来,我觉得自己很幸运。因为被采访的用户大多“温和”地说:“打补丁真的很烦人。”
微软的补丁确实太多了,而且还在源源不断地增加。聪明的系统管理员早就做好长期抗战的准备。就说2003年前三个季度,微软对外发布的补丁已经多达30多个;就在10月15日,微软宣布了新的更新计划后,发布了第一次月度安全更新,更新涉及五个Windows漏洞,其中四个被微软认定为“严重”。
一家证券公司的系统管理员说,ISIS 5.0补丁太多了,我都快成全职补丁工了。另一个保险公司系统主管说:“仅黑色8月,我们已经做了2次升级工作,以前1年只要升级2~3次就可以了。”陈力健说:“现在,我们会把那些功能弱的、易出现问题的功能封闭掉,如IIS服务器。”除了数量繁多,微软本身在补丁管理上也存在问题。因为内部协调不力,各个部门往往会针对一个漏洞,从不同角度开发出不同的补丁,这也给广大用户带来不小的困扰。
也许有人会反对说,打补丁有那么难么?不就是按几次确认键么!没错,打补丁是不难,但它确实很麻烦。对管理员来说,每一次新鲜补丁出笼,就需要上一次微软网站,确定一下补丁的类别与等级;每打一次补丁,就得做一次测试,明确补丁程序是否与应用兼容;每打一次补丁,就得加一次班,监督安装、确认、检查。有时候,即便打了补丁,也有可能被击中。微软网站上说,如果改变系统配置,就得重新安装补丁。现如今,打补丁似乎已经喧宾夺主,成了大部分系统管理员最重要的工作了。
不过比起被病毒感染,这些麻烦实在算不了什么。“每次病毒发作,虽然我安装了补丁,但还是会心惊肉跳”,邢毅峰说。因为一旦感染,对系统管理员来说无疑是恶梦一场。到时候,一定是系统宕掉,业务停掉;客户骂娘,领导骂你;然后是加班加点,几宿不睡觉。一个管理员至今心有余悸,“上次,因为红色病毒发作之前我们没有打补丁,系统瘫痪了3天,这3天,我简直没怎么睡觉。不仅要一台台检查机器,打上补丁,还得不断修复被感染的文件。一个字:惨!”
打补丁的杨元庆
榜样的力量是无穷的。
就像前文提到的,生产系统与办公系统紧密相连的企业,通常会比较重视补丁管理等与系统安全密切相关的问题。从1997年就开始重视系统安全的联想公司,现在因为整个公司上了ERP,每天网上交易额过亿,因此对系统安全问题更为关注。就补丁管理问题,联想信息化发展副总经理于奋飞简单地概括成六个字:意识、系统、管理。
所谓意识,代表的是公司从上到下对系统安全问题的重视,同时也意味着良好的安全习惯。为了使全体员工养成良好的安全习惯,联想公司作了明确规定,凡是不按照规定及时打补丁造成损失的,公司会对责任人进行相应的惩罚。惩罚分为5级,最严厉的一级是开除,甚至交送公安机关处理。因此,每一次系统需要统一安装某个系统补丁时,全公司上至杨元庆,下至司机,都会及时为自己的终端打上补丁。
在严格的制度下,网络管理部门要做的将是系统的安排工作。就补丁管理来看,联想设定了几个必要的步骤。一是从适当的途径获取补丁,联想一般会通过三个途径获得补丁:1)到公开的站点获取;2)微软会定期通知;3)针对各种软件产品,在售后服务合同中明确提出对方必须在出台相关软件补丁时,及时通知联想。二是对补丁进行分类、测试,明确哪些补丁必须打,哪些补丁仅仅是某个部门必须打。“就微软系统的补丁来说,截止到今天,今年已经公布了30几个,ERP产品这四五年来公布的补丁也有100多个,我们不可能所有的补丁都打,也没有必要,事实上,在100多个ERP补丁中,我们只采用了十几个”,于奋飞说。就微软系统补丁来说,主要分为两大类:安全补丁和性能补丁。安全补丁又分几个等级:危机、重要、高、中、低。于奋飞说:“我们会从根据厂商对补丁的说明,从中挑选出对系统安全重要的补丁最先进行测试。”对大多数企业来说,应用往往是在不同的系统平台上开发的,有可能出现新打的补丁与应用不兼容的情况。因此,联想搭建了一个小的网络环境,将各种企业正在使用的应用软件加载上去,对实际网络进行模拟。然后,用1~2天的时间检查补丁程序是否会带来系统问题。确定没有后,就可以将补丁程序自动或者通过E-mail分发下去。三是按照制定好的计划分发。目前,联想是通过自动分发工具,将补丁分发到相应的个人手中。四是执行和检查。但凡制度,执行是关键。在审查这个环节,联想一方面要求每个员工自查,另一方面通过软件进行监控,如果到时间还没有打上补丁,就会将这台机器从网络中剔除。在这样的规定下,10000多人的公司,每次都能保证98%以上的完成率。
在整个过程中,从收到补丁通知到检测完毕,通常会用1~2天的时间,然后再用3~5天的时间完成分发、安装和检查的工作。整个下来,不超过一个星期。相比较而言,分发、检查是比较麻烦的环节。因此,联想会采用各种自动的软件工具。对于各种工具软件,于奋飞说:“我们会使用工具,尤其在分发和检查环节。这样可以节省很多时间。但是,我们不会依赖工具。因为工具本身也可能带来意想不到的问题,如不兼容问题。”目前,联想设定2个兼职人员,负责300多台服务器和上万台PC相关的补丁下载、测试、分发、检查等工作。
补丁管理的灰色地带
如果设定好了程序,补丁管理对任何人、任何企业来说,都算不上有难度的工作。但是,在这个看似简单的工作中,也会存在很多意想不到的麻烦。
关于补丁管理要注意的事项,本报在这之前已经做过很多的相关报道,但相信仍有再次强调的必要。在接触了大量用户之后,启明星辰的蔡雪飞说:“用户要么对补丁管理缺乏足够的重视,只是随意、不定期去微软网站查找补丁;要么只要有补丁,就不管三七二十一,照单全收,这都有可能使企业的系统管理工作陷入新的麻烦。如一个网络企业因为没有做好补丁的检测工作,结果造成计算机启动不了。”因此,在大规模安装补丁前,有必要在小范围的环境内对补丁进行测试。需要注意的是,模拟环境毕竟有局限性,在实施采用过程中,仍可能有个别问题查不出来。另外,时间也需要控制。有一个用户说自己曾经用4天时间去测试一个补丁。蔡雪飞说:“这未免太长了,1~2天的时间完全可以了。”
在一些公司内部,总有一些员工会自作主张下载补丁程序,但这往往会打乱管理员的整体部署。因此,在制定相关的补丁计划以前,管理员有必要对自己的系统做一个全面的了解。首先明确系统内共有多少台机器,每台机器目前的状况怎样,然后再对下载补丁程序等工作做出明确规定。有条件的,可以找一个安全评估公司,从整体上做好评估和计划。
再有就是工具的使用。于奋飞说:“再好的工具,也不能保证打补丁工作全部到位,总会有挂一漏万的情况,这个时候,还得需要人工参与。另外,在后期检查环节发现问题后,仍需要人工作出处理。”另外,采用自动工具难免有一刀切的毛病,如果很多系统版本不同,可能会引发其他系统问题。
最后强调一点,管理员有必要首先明确企业对风险的容忍程度,再决定安装补丁的工作。因为过于关注安全问题,必然导致生产效率降低。
再见,病毒
补丁当然不是防病毒的唯一手段,但如果你为系统安装了防火墙,将网络上的系统不断按要求进行升级,使用最新的防病毒软件,也许,还有一件令人愉快的事可以做,那就是和病毒说再见。
一个系统管理员的自白
我想我得感谢微软,当然还有那些制造麻烦的黑客,没有他们,我不可能在这么短(我去年才毕业)的时间内,体重成功从70公斤降到58公斤,另外,长期熬夜增加的黑眼圈也让我看起来更成熟了。毫不夸张地说,做系统管理员仅仅大半年,与病毒抗争的大小战役少说我也参加了几十次(包括给单个PC杀莫名其妙的病毒)。
第一次遇到病毒,就让我有机会从默默无闻一跃成为公司知名人物,成为当月唯一被扣工资的人。我们是一家中型IT企业,每个月访问我们网站的流量一直都很稳定,但今年1月份,我们的上网费一下窜升到几千元,另外,不断有员工报告说,公司网站登陆不上去。我有点晕(什么事都有第一次嘛),只好向一个在网络安全公司工作的同学求救,才知道一个当时风头很健的病毒叫SQL Slammer,它会不断发送大量的数据包对网络造成分布式洪流攻击。我于是连夜上网查到有关信息,关闭了UDP 1434端口,从微软网站上下载了补丁程序。第三天,问题消失了。
从那以后,我明白一个道理:打补丁一定得及时,不然,每月只能啃咸菜,还得加夜班。但是,我很快又发现,就我一个人努力不行。公司总有人不断打电话骚扰我:“我的机器启动不了了,快来帮我看看”。于是,你会经常看到我从八楼窜到九楼(我们公司分布在两层楼上),又从九楼窜回来。比起上上下下跑楼梯,杀病毒的工作消耗真的很小。跑了2个月,见我的人都夸我清朗了不少。尽管如此,我还是有点烦。于是,我只好给全公司哥哥姐姐们发了一封言辞恳切的信,希望他们不要上网随意下载软件,并不要轻易打开陌生地址的邮件。这样,就不会被莫名其妙的病毒感染,另外,一些必要的补丁程序,我会及时发给大家,请务必及时打上。
情况似乎有所好转,但没过多久,一切又依然故我,我又开始了跑楼梯生涯。我理解,大家都很忙,自然比较健忘。但我还是有些生气了。看来我得采取强制措施。于是,从服务器端我关闭了所有与工作无关的端口,并从网上下载了自动补丁安装工具。
一切好像都很顺利,直到冲击波他老人家大驾光临。我必须声明,在这次事件发生前后,我始终是尽职尽责的。事实上,在8月冲击波发作之前,我已经积极做好了“抗战”准备。我首先在服务器上安装了Windows的网络防火墙,同时,关闭了相关端口。因为公司正准备上一个新的应用系统,我临时将给桌面系统打补丁的工作推迟了一天。但万万没有想到的是,冲击波全线发作第二天,我们公司全部机器出现了蓝屏、重启、蓝屏的怪现象。我知道中招了,但我想不通,明明已经做了防御呀。没办法,只好请来网络安全公司的人,折腾了半天,终于找到病原,原来公司一台机器上不了局域网,自作主张用了拨号上网,成了被利用的宿主,连累了所有的系统。
当然,这次公司没有扣我工资,但我依然郁闷。看来,我要跟公司领导郑重谈一谈了,如果公司再不做有关安全的全体总动员,我也不想在这样一个系统安全的活火山口上再当什么管理员了。
相关链接
链接一
安全机构公布最易受攻击软件清单
日前,一家安全组织发布了第四份年度最容易受到攻击软件清单。
SysAdmin审计网络安全(SANS)协会的“20大缺陷”清单有二部分组成:微软公司操作系统和软件中的10大缺陷和Unix操作系统中的10大缺陷。SANS将微软公司的Web服务器软件━━IIS列为Windows系统中安全缺陷的罪魁祸首。在最近的一年中,微软公司已经发布了半打多的与IIS相关的安全公告。在2001年7、8月份曾大规模爆发的红色代码病毒就利用了IIS中的一处安全缺陷。
Windows系统中最容易出现缺陷的其他软件包括微软公司的SQL Server数据库软件、Windows远程调用服务。Unix系统中最容易出问题的其他软件包括RPC服务和Apache Web服务器软件。
在Unix类软件中,BIND域名系统软件(DNS)是问题最多的软件。
链接二
微软发表新安全对策 简化补丁管理程序
美国当地时间10月9日,为了应对全球计算机用户面临的威胁,微软将在今后数月内推出新的安全程序。
主要措施如下:
1、改善补丁管理程序、对策及技术
·简化补丁发布等的程序、每月汇总发布一次补丁
·"Windows NT Workstation 4 Service Pack 6a"及"Windows 2000 Service Pack 2"的补丁支持延长至2004年6月底。
·2004年上半年公布免费更新工具"Software Update Services 2.0"。除Windows外,可以使用该工具下载、扫描并安装"SQL Server"、"Office"、"Exchange Server"及"Visio"的补丁。
·2004年上半年之前将Windows 2000系列产品的补丁安装程序汇总为两大类。
2、开展全球规模的信息安全教育项目
后 记
尽管在本文中我们不停强调补丁管理的重要性,但是,我们心知肚明,补丁管理仅仅是企业系统安全的一个环节,绝不是全部更不是根本。之所以专门报道它,仅仅因为它是目前条件下最现实的办法。用理想主义者的眼光看,自然是软件没有漏洞,让病毒与黑客无的放矢最好。但是,现实的情况就是如此糟糕,对于网络的个体使用者来说,除了尽量想办法解决安全问题外,与供应商之间划清责任同样很重要。
据外电报道,2003年9月30日,一起诉讼案被加州法院受理,控告微软公司的操作系统和应用软件存在大量的漏洞,致使用户随时可能受到病毒和黑客的攻击,从而造成系统的瘫痪。针对这起诉讼案,Gartner评价说:“微软一般是在病毒发作前公布补丁,因此,很难胜诉。但是对计算机安全问题却不无帮助。毕竟,在补丁发布前出现病毒的可能性也是有的。”《华尔街日报》报道说,“经验丰富的黑客往往利用软件开发商尚未发现的漏洞发动袭击(初始袭击)。因此,很多公司表示自己需要采用本质上与Windows完全不同的操作系统,才能分散风险。”这对微软的竞争对手无疑是个好消息。需要提醒用户的是,今后在制订合同条款时,用户应就及时发布和通知补丁的问题,对供应商做出明确规定。
68476636-8007)
