【IT168 专稿】随着网络的普及，计算机与网络的安全越来越受到公司管理级的重视，现今网络出现问题马上就会得到员工的反馈。网络安全主要是漏洞弥补工作，那么作为网络管理员的我们如何完成弥补漏洞的重任呢？笔者负责公司十几台服务器的维护，在弥补漏洞中总结出了系统修补的四个步骤，不敢独享将这些实践心得写给IT168的读者们。

    第一步：发现漏洞

    没有漏洞，何来补丁？作为修补漏洞的第一步，这个过程要求网管员对网络系统的安全状况有一个全面的了解，能够发现系统在哪些方面哪个环节存在漏洞，这一点往往是很难做到的。

    发现漏洞的方式通常有两种：被动发现和主动发现。

    通常情况下，我们都是以被动的方式来发现漏洞的，往往是在漏洞已经成为共知的被广泛关注的对象或者已经给系统造成危害后，才会去寻找该漏洞出现在哪个环节，属于亡羊补牢类型的。例如，Windows系统的远程调用缓冲区溢出漏洞实施和破坏的冲击波病毒大量占用了网络带宽，造成网络拥塞甚至中断后，许多网管员才开始去寻找相关补丁进行修补。

    在一个网络系统中，网管员不仅要了解广泛使用的软件系统所存在的漏洞，如Windows, Unix 和Oracle等，网络设备和安全设备的软件系统存在的漏洞同样需要了解。要做到这一点，仅仅依靠媒体公告是不够的，更多时候还需要我们自己去主动搜集。这时，我们可以借助一些专门的漏洞扫描工具，它会让我们对整个体系的安全状况进行评估，更全面地发现当前各个系统所存在的漏洞，让我们防患于未然。

    漏洞扫描工具有多种形式，包括适合于单个主机的漏洞侦测软件、针对网络的基于软件的漏洞扫描系统和针对网络的基于硬件的漏洞扫描系统等。

    基于单机的漏洞侦测软件在适用范围、功能等方面都有所限制，很多时候同样也会被黑客用作入侵系统的探测工具，因此这类工具并不太适合于对网络系统进行漏洞扫描。

    针对网络的漏洞扫描系统不论是基于硬件的还是软件的产品，均具有很好的通用性，功能也很强大，在扫描进程结束后还会提供给管理员一个详细的扫描结果报告。这个报告中包括扫描发现的漏洞情况说明，危害的等级程度、可能造成的危害以及如何去获取修补补丁的途径等。通过这个报告，管理员一般可以看到四个危害级别的漏洞：高危，中等，一般和轻微。其中，高危和中等危害漏洞表明系统存在比较严重的安全隐患，由该漏洞引发的破坏比较普遍，系统非常容易受到破坏，应引起高度的重视；而一般和轻微级别的漏洞具有较强的针对性，引发破坏的几率很小或是即使引发破坏也不会造成多大的危害。因此我们要对扫描出来的漏洞情况加以分析，将主要的危害大的漏洞在第一时间弥补。

    利用漏洞扫描工具检测漏洞并不是功能较多的，一些专门的网络设备或安全设备的软件系统中存在的漏洞就不见得会被全部检测出来，这时就需要我们随时关注厂商发布的一些安全漏洞的公告，通过这些公告来了解自己的系统中是否存在这样的漏洞。

    第二步：寻找补丁

    发现了漏洞，我们就可以有的放矢地去寻找所需的补丁并及时地进行修补。

    如果网络中部署了基于网络的漏洞扫描系统，那么管理员通过扫描报告提供的获取补丁途径的信息就可以下载到相应的补丁。

    不过，由于漏洞扫描系统的工作模式大多数是利用漏洞信息库进行漏洞检测，所包含的信息具有较强的通用特征，对于一些专门的网络设备或安全设备，利用漏洞扫描系统可能无法很好地检测出全部的漏洞。这种情况下，就要利用厂商发布的漏洞公告下载，直接向厂商索取需要的补丁。

    此外，对于一些广泛应用的软件系统，如Windows, Unix 等，厂商在累计一定的补丁之后会发布一个软件升级包，如微软定期发布的Service Pack，在这个升级包中包含了到发布时为止所有的安全补丁和系统修正及增强补丁。这种方式也是我们乐于接受的方式，可以省去检测漏洞和寻找补丁的大量工作。

    第三步：补丁测试

    找到了补丁是否要立刻修补系统呢？这要看具体的情况，对于计算机终端，这样做是没有什么问题的。但是对于运行关键应用的服务器，网络设备和安全设备来讲，在进行修补以前，需要进行补丁的测试，要确保打上补丁之后，现有的应用能够正常地运行。

    另外并不是打上补丁就万事大吉了，比如，某些病毒利用管理员口令脆弱性的漏洞侵入系统并实施破坏，但是管理员并没有正确地了解这一点，下载了各种相关的补丁对系统进行修补后，但安全隐患依然存在，其实解决问题的办法很简单，更改口令使其具有一定的强度就可以了。

    对于运行诸如数据库系统、Web系统的关键应用服务器，由于这些应用非常重要，往往采用了服务器集群的方式，集群中一台服务器停机后，不会影响应用的正常运行，这也为补丁测试提供了一定的环境。在一台服务器中安装补丁后，从新启动这台服务器，检测补丁是否有效，如果正常的话，再为集群的其他服务器打上安全补丁，整个检测过程始终可以保持一台服务器处于工作状态。

    对于企业的网络来说，设备往往只有一台，并且允许设备停机的时间几近为零，这也给管理员进行补丁测试增加了很大的难度：要么放弃测试，要么利用深夜的时间在将损失降低到最小的情况下进行测试。

    在进行测试的时候，要求首先将设备的当前配置进行备份，然后对软件系统进行修补，并对系统的各个功能进行检测。如果是安全设备，还需要模拟入侵进行测试。如果测试通过，则说明补丁可以放心地安装；如果出现了问题，将备份的配置恢复到设备中即可。

    第四步：安装补丁

    经过测试的补丁可以立刻安装到系统中。一个规模较大的企业网络，为几百台上千台的计算机终端对于网管员来讲是一个巨大的工作。

    有两种方式可以将网管员从这种繁重的工作中解脱出来。一是在网络中部署一台Michrosoft自动软件升级系统，在该系统中，自动软件升级服务器连接到Internet并实时地从微软的网站获取各种操作平台的补丁，计算机终端通过自动软件升级服务器就可以自动安装适用于所安装系统的补丁。如果网络中没有部署自动升级系统，每台计算机终端可以利用操作系统所带的Windows update功能自动的或者手动选择安装所需要的补丁，不过要求每台计算机终端能够连接Internet。

    总结：

    相对与越来越庞大的操作系统和应用系统而言，补丁文件的大小似乎微乎其微，但是从系统的安全方面来讲，小小的补丁确是举足轻重的，并且随着网络应用的进一步发展，其作用将会更加明显。对于网管员来讲，如何有效地修补系统讲会成为一项重要的工作。