電力企業(yè)信息內(nèi)網(wǎng)終端計算機補丁更新方案研究

盧 寧，左曉軍，陳 澤，洪 杰

(河北省電力研究院，石家莊 050021)

隨著國家電網(wǎng)公司信息化建設(shè)工作的不斷深入，公司日常生產(chǎn)經(jīng)營工作對信息系統(tǒng)的依賴性越來越高，對信息系統(tǒng)的安全要求也越來越高。作為信息系統(tǒng)的終端節(jié)點，辦公計算機的信息安全成為信息安全體系中不可或缺的一環(huán)。為此，國家電網(wǎng)公司針對終端計算機的信息安全出臺了很多管理要求，其中包括對操作系統(tǒng)及時進行補丁更新的要求。目前，河北省電力公司(簡稱“省公司”)部署的桌面終端標準化管理系統(tǒng)，對終端計算機的系統(tǒng)補丁、桌面安全等內(nèi)容進行管理，對提高桌面終端安全水平起到了顯著作用。為進一步提高桌面終端安全運行的穩(wěn)定性，減輕桌面終端標準化管理系統(tǒng)下發(fā)補丁時負載過大對系統(tǒng)的影響，以下通過試驗研究提出一種能夠與桌面終端標準化管理系統(tǒng)并行的補丁分發(fā)方案，為桌面終端安全提供雙保險，確保終端計算機能夠穩(wěn)定更新補丁。

1 補丁修復系統(tǒng)選型原則

a. 經(jīng)濟性。在選擇補丁修復系統(tǒng)時，盡量考慮省公司現(xiàn)有系統(tǒng)功能的挖掘，達到最好的投資效果。

b. 通用性。選擇補丁修復系統(tǒng)時，要充分考慮修復系統(tǒng)與桌面終端標準化管理系統(tǒng)的兼容，使終端計算機補丁修復完成后，省公司統(tǒng)一部署的桌面終端標準化管理系統(tǒng)能夠識別，提高桌面終端標準化管理系統(tǒng)的補丁修復率。

c. 可管理性。采用的補丁修復系統(tǒng)，能夠提供統(tǒng)一的管理平臺進行管理，便于運維人員的管理和數(shù)據(jù)報表的統(tǒng)計。

基于以上原則，對WSUS(Windows Server Update Service)3.0和360安全衛(wèi)士企業(yè)版2種補丁修復系統(tǒng)進行測試。

360安全衛(wèi)士企業(yè)版是奇虎360科技有限公司推出的企業(yè)級網(wǎng)絡安全產(chǎn)品。360安全衛(wèi)士企業(yè)版提供了終端計算機補丁更新的集中管理方式。通過研究，發(fā)現(xiàn)360安全衛(wèi)士企業(yè)版只能通過在線方式獲取微軟官方補丁，并沒有提供補丁導入導出或離線補丁包等功能，無法實現(xiàn)離線更新補丁。河北省電力公司信息內(nèi)網(wǎng)是與互聯(lián)網(wǎng)物理隔離的，因此360安全衛(wèi)士企業(yè)版無法滿足公司的需求。

WSUS同樣只能通過在線方式獲取微軟官方補丁，但是提供了補丁導入導出功能，因此可以實現(xiàn)離線更新補丁。

2 WSUS的功能及部署方式

WSUS是微軟公司面向其軟件產(chǎn)品免費提供的軟件升級更新解決方案，支持微軟Windows所有系列操作系統(tǒng)、Office辦公套件、SQL Server等產(chǎn)品的補丁更新。WSUS 3.0除了繼承2.0版本的優(yōu)點之外，還增加了一些新的特性。

WSUS 3.0通過Microsoft管理控制臺進行管理，與WSUS 2.0通過網(wǎng)頁進行管理相比，操作更加方便和快捷。WSUS 3.0提供了各種形式的報告，可以從補丁、計算機等各個角度自動生成統(tǒng)計分析報表，并能導出為PDF或Excel文件。WSUS 3.0提供了電子郵件通知功能，可以定時向指定郵箱中發(fā)送報告。WSUS 3.0還支持以下部署方式。

2.1 單獨部署

單獨部署方式是WSUS提供的最基本的部署方式，搭建1臺WSUS服務器從微軟官方在線獲取補丁，并為私有網(wǎng)絡中的所有計算機提供補丁更新服務。部署結(jié)構(gòu)如圖1所示。

圖1 單獨部署方式

2.2 級聯(lián)部署

對于層次結(jié)構(gòu)較多或終端計算機較多的網(wǎng)絡，WSUS還提供了級聯(lián)的部署方式，如圖2所示。首先，部署1臺上游服務器直接從微軟官方在線獲取補丁。然后，在網(wǎng)絡的分支節(jié)點上部署下游服務器。下游服務器從上游服務器在線獲取補丁。上游服務器和下游服務器均可以直接為終端計算機提供補丁更新服務。

圖2 級聯(lián)部署方式

級聯(lián)部署的優(yōu)點在于：

a. 只需要從外部網(wǎng)絡下載一次補丁，然后通過下游服務器分發(fā)到終端計算機?？梢詷O大的節(jié)省企業(yè)的網(wǎng)絡帶寬。

b. 每個終端計算機都可以從距離自己最近的WSUS服務器獲取補丁，減輕了內(nèi)部網(wǎng)絡的傳輸壓力。

c. 可以對每個WSUS服務器單獨設(shè)置更新策略，實現(xiàn)為不同的終端計算機群配置不同的補丁更新策略。

2.3 隔離部署

如果公司網(wǎng)絡中存在與互聯(lián)網(wǎng)隔離的網(wǎng)絡，可以通過圖3方式部署WSUS，以實現(xiàn)與互聯(lián)網(wǎng)隔離網(wǎng)絡中補丁的更新。首先，在能夠訪問互聯(lián)網(wǎng)的網(wǎng)絡中部署1臺WSUS服務器，在線獲取微軟官方更新補丁。然后，在與互聯(lián)網(wǎng)隔離的網(wǎng)絡中部署1臺WSUS服務器。通過WSUS的導入導出工具，將WSUS的補丁庫從外部網(wǎng)絡服務器導入到內(nèi)部網(wǎng)絡服務器上，這樣就實現(xiàn)了與互聯(lián)網(wǎng)隔離網(wǎng)絡中WSUS服務器補丁的更新。

圖3 隔離部署方式

3 WSUS部署實例分析

3.1 隔離部署WSUS服務器

隔離部署的WSUS服務器與互聯(lián)網(wǎng)是物理隔離的，因此無法通過微軟官方在線獲取更新補丁。所以需要在能夠訪問互聯(lián)網(wǎng)的網(wǎng)絡中單獨部署1個WSUS服務器，即外網(wǎng)WSUS服務器，用于獲取補丁更新。通過WSUS提供的導入導出功能可以將外網(wǎng)WSUS服務器上的補丁更新導入到隔離部署的服務器中。

3.1.1 導入導出補丁的方法

a. 將外網(wǎng)WSUS服務器中補丁存放目錄(WsusContent)下的所有補丁拷貝至內(nèi)網(wǎng)WSUS服務器相同目錄下。

b. 利用C∶Program FilesUpdate ServicesTools下的wsusutil.exe工具將WSUS的數(shù)據(jù)庫文件從外網(wǎng)WSUS服務器導出，并導入到內(nèi)網(wǎng)WSUS服務器。

導出命令為：wsusutil.exe export %導出目錄%wsus.cab %導出目錄%wsus.log

導入命令為：wsusutil.exe import %文件存放目錄%wsus.cab %文件存放目錄%wsus.log

導入導出具體操作如圖4所示。

圖4 服務器導入導出功能

通過導入導出功能實現(xiàn)了與互聯(lián)網(wǎng)隔離服務器補丁的更新，但是每次導入導出過程中，需要將全部的補丁程序復制一遍。Windows系列操作系統(tǒng)的補丁程序集約為十幾GB。隨著新補丁的不斷發(fā)放，補丁的數(shù)量還會增加，需要復制的文件會越來越多，每次導入導出所需要的時間也會越來越長。

3.1.2 導入導出補丁的關(guān)鍵技術(shù)

通過將更新后WsusContent文件夾與更新前相比，發(fā)現(xiàn)WsusContent文件夾在補丁更新后只是新增了部分補丁文件，因此完全沒有必要每次都將整個文件夾復制一遍。為了更加方便和快捷的移植補丁，編寫了如下腳本程序(copy.bat)，代碼如下：

echo off

if exist list.txt goto nofirst

dir /AD /B >list.txt

for /F %%i in (list.txt) do xcopy %%i %1\%%i /S /E

goto end

∶nofirst

for /F %%a in ('dir /AD /B') do (

if exist listtemp.txt del listtemp.txt

for /F %%b in ('findstr /C∶"%%a" list.txt') do (

echo %%b in txt>listtemp.txt

)

if exist listtemp.txt (

) else (

xcopy %%a %1\%%a /S /E

)

)

if exist listorg.txt del listorg.txt

ren list.txt listorg.txt

dir /AD /B >list.txt

∶end

將本腳本放到WsusContent目錄下，然后執(zhí)行命令copy.bat 要放置新補丁的目錄。腳本流程示意見圖5。

該腳本具體功能為，首先，檢測目錄下是否存在list.txt，如果不存在，則說明本次是第1次導出。將所有補丁復制到指定目錄，并將補丁目錄放置在list.txt文件中。如果檢測到目錄下已經(jīng)存在list.txt，說明之前已經(jīng)導出過，則將WsusContent目錄下的補丁文件與list.txt中的目錄進行對比，將list.txt中不存在的補丁(也就是新增的補丁)復制到指定目錄，同時更新list.txt。

使用該腳本時，用戶無需關(guān)心之前是否導出過，腳本會通過一個索引文件自動判斷哪些補丁是本次新增的，并自動復制到指定目錄。通過該腳本，提高了WSUS在企業(yè)信息內(nèi)網(wǎng)部署時的實用性，降低了維護補丁庫的難度。

3.2 修改WSUS客戶端配置

為使終端計算機能夠從WSUS服務器獲取補丁更新，需要對WSUS客戶端進行一定的配置。通過修改組策略或修改注冊表均能實現(xiàn)該配置。

3.2.1 修改組策略

“開始-運行-gpedit.msc”，進入組策略，在“本地計算機策略-計算機配置-管理模板-windows組件-Windows Update”中；“配置自動更新”修改為“已啟用”、“自動下載并通知安裝”；“指定Intranet Microsoft更新服務位置”修改為“已啟用”；“為檢測更新設(shè)置Intranet更新服務”修改為“http://WSUS服務器IP地址:服務器指定的端口號(80或8530)；”“設(shè)置Intranet統(tǒng)計服務器”修改為“http://WSUS服務器IP地址:服務器指定的端口號(80或8530)”。

3.2.2 修改注冊表

在HKEY_LOCAL_MACHINE/SOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU下，NoAutoUpdate設(shè)置為“0”，表示啟動自動更新；AUOptions設(shè)置為“3”，表示自動下載并通知安裝；ScheduledInstallDay設(shè)置為“0”，表示每天都檢測補??；UseWUServer設(shè)置為“1”，表示使用自己部署的WSUS服務器，而不是通過微軟官方獲取補丁。

在HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate下，WUServer設(shè)置為“http://WSUS服務器IP地址:服務器指定的端口號(80或8530)”，指定WSUS服務器地址；WUStatusServer設(shè)置為“http://WSUS服務器IP地址:服務器指定的端口號(80或8530)”，指定WSUS統(tǒng)計服務器地址；ElevateNonAdmins設(shè)置為“1”，表示任何用戶都可以為計算機打補丁。

也可以將上述配置制作成批處理文件，實現(xiàn)客戶端的快速配置。批處理文件的內(nèi)容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]

"NoAutoUpdate"=dword∶00000000

"AUOptions"=dword∶00000003

"ScheduledInstallDay"= dword∶00000000

"UseWUServer"=dword∶00000001

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]

"WUServer"= http://WSUS服務器IP地址:服務器指定的端口號(80或8530)

"WUStatusServer"= http://WSUS服務器IP地址:服務器指定的端口號(80或8530)

"ElevateNonAdmins"=dword∶00000001

4 結(jié)束語

通過對360安全衛(wèi)士企業(yè)版和WSUS的研究，得出一種能夠與公司桌面終端標準化管理系統(tǒng)并行，適合電力企業(yè)信息內(nèi)網(wǎng)補丁更新的解決方案。具體方案為在省公司本部信息內(nèi)網(wǎng)和信息外網(wǎng)各部署1套WSUS，通過信息外網(wǎng)WSUS在線獲取微軟官司方補丁，然后通過導出工具將補丁庫導出，再導入到信息內(nèi)網(wǎng)WSUS中。每個基層單位信息內(nèi)網(wǎng)部署1套WSUS，與省公司本部信息內(nèi)網(wǎng)WSUS進行級聯(lián)，在線獲取補丁。該方案不僅適用于電力企業(yè)，對于任何與互聯(lián)網(wǎng)隔離的內(nèi)部網(wǎng)絡均可以通過本方案解決終端計算機補丁更新的問題。同時，該方案還通過編寫腳本實現(xiàn)WSUS補丁的增量導出，大大提高了離線更新補丁的效率，縮短的導入導出補丁文件的時間。