Windows平台下补丁管理系统的设计与实现

摘要：计算机系统的补丁管理已经成为计算机系统安全的一个重要组成部分。在现有技术下，如何完整、规范地为需要严格与Internet隔离的内联网计算机用户分发和安装补丁是一个较为突出的问题。文章在微软免费的WSUS(Windows Server Update Services)服务基础上，开发出一套基于Windows平台的内联网补丁管理系统，弥补了WSUS系统的不足，提出了一种解决该问题的方案，并已经在中国人民银行浙江省范围内的分支机构中使用，具有很好的效果。

关键词：补丁管理；WSUS；计算机安全；系统漏洞

0　引言

目前，保护计算机安全的方法有很多，但是，最重要的还是及时为操作系统安装系统补丁，否则抵御病毒、防范黑客无从谈起。然而，对于中国人民银行内网、公安部内网、大学内网等安全要求很高、需要严格和Internet隔离的计算机用户，及时安装系统补丁就显得十分不便。虽然Landesk、VRV等国内外软件可以完成内联网补丁的功能，但都价格昂贵。微软的WSUS为计算机用户提供了补丁分发的服务，但是，WSUS提供的管理功能十分薄弱，给系统管理带来一些不便。我们在WSUS和MBSA(Microsoft Baseline Security Analyzer)的基础上，设计开发了与之配套的Windows平台补丁管理系统，弥补了WSUS管理功能的不足，为内联网补丁分发提供了一个经济、实用、高效的解决方案。该方案目前已在中国人民银行浙江省范围内分支机构实施，收到了良好的效果。

1　WSUS可以解决的问题

WSUS是一个免费的软件，可以在微软网站上下载，适用于Windows 2000和Windows Server 2003服务器以及运行Windows 2000 Professional和Windows XP Professional的桌面计算机。WSUS能够自动地在局域网内分发使计算机得到最新的重要更新、安全更新和服务包。微软推荐的WSUS的网络

借助预先配置的同步计划，WSUS父服务器可以每天从公共的微软补丁服务器下载关键更新和安全更新，新获得的更新必须由WSUS管理员批准才能够。WSUS子服务器将被配置为每天与父服务器自动同步，同步完成后，WSUS父服务器上的所有已批准的更新都将镜像到WSUS子服务器上，并且立即可用于WSUS客户端。WSUS客户端会每隔一段时间自动向WSUS服务器查询是否有更新，如果有补丁更新，则按照预先设定的规则进行安装，WSUS客户端会在任务栏图标显示获取有关更新的通知，安装可以根据指定的时间表白动开始，也可以由本地管理员执行。WSUS软件以相当简便的方法完成了补丁分发的功能，但是，由于管理功能的薄弱，也给管理上带来了一些不便。

2　WSUS的不足和我们的补充

经过我们总结，WSUS服务的不足之处主要存在于以下三个方面：

(1)WSUS父服务器需要和Internet连接，以便和微软补丁服务器同步，这在一定程度上是和Internet物理相连，存在一定隐患。

(2)WSUS服务器提供的WSUS客户端安装补丁的统计功能较简单。

(3)获得系统补丁的等待周期较长。有新补丁存在的时候，WSUS客户端需要最长22小时才能获得相应的补丁。

经过深入分析每一个不足之处，我们首先将WSUS服务的拓扑结构改造成图2所示结构。

WSUS父服务器在需要和Internet上的微软补丁服务器同步的时候，断开与内联网的连接，通过防火墙连入Internet；同步完成后，断开与Internet的连接，经过系统、细致的病毒查杀后，重新通过防火墙连入内联网。防火墙设定了严格的限制，只允许WSUS服务使用的地址、端口上的信息通过，这样可以在一定程度上减少与Internet连接所带来的风险。通过这种方法，可以弥补第一个方面的不足。对于第二和第三个不足，我们通过开发与WSUS配套的Windows平台补丁管理系统来弥补，该系统采用Delphi+Sql Server开发而成，采用Client/Server体系结构，系统客户端的总体结构如图3所示。

客户端安装运行以后，让其驻留内存并在用户的任务栏中增加一个图标。它只占用很小的内存，对用户使用计算机影响不大。补丁安装情况检查模块给用户提供了一种简便的检查方式，检查是否已经正确、完整地安装了补丁。一旦发现补丁没有安装完全，用户可以使用补丁自动更新模块，强制WSUS客户端查询WSUS服务器，WSUS客户端将在10分钟左右获取补丁。除了自动更新之外，系统还提供手动更新的功能，一旦WSUS服务意外失败或终止，用户可以通过手动更新方便地获得并安装相应的补丁。WSUS客户端设置检查模块的主要功能是检查客户端的设置是否正确，以确定WSUS客户端是否能正常地与WSUS服务器通信。

服务器端安装在运行Sql Server的后台服务器上，记录、管理客户端发来的信息。管理员可以在服务器端查看哪些客户端没有完整安装相应的补丁，并可以在服务器端强制将相应的补丁发送给客户端安装，除此以外，服务器端还有报表打印功能，管理员借助能够准确地掌握内联网内计算机的补丁安装情况。

3　WSUS的使用情况及展望

WSUS服务已经在中国人民银行浙江省内79个分支机构内使用，补丁管理系统也已经在推广过程中。系统运行稳定，为人民银行浙江省内分支机构内联网计算机提供超过了60000个补丁的分发服务。可以说，在现有的技术条件下，通过使用我们配套开发的补丁管理软件，在很大程度上增强了WSUS服务的功能，扩充了WSUS的适用范围，找到了一个用于内联网补丁分发的经济、实用、高效的解决方案。随着技术的不断发展和完善，在新的条件下，我们可以为补丁管理系统增加硬件资产管理、软件资源管理、Internet连接监控等功能，并以现有的工作为基础，不断完善补丁管理软件，使之与WSUS服务融合得更加紧密。