打补丁是个成本 ZZ

原创 2004年07月27日 13:16:00

Yankee调研公司近期的一份报告表明:如果一家企业在打补丁方面完全保持最新状态,及时安装微软的每个补丁,那么,每台桌面机每年就要耗资5200美元。
------------------------------------------------

打补丁是个成本 
作者:沈建苗 发文时间:2004.07.21

  被动地打补丁是防范已知漏洞的好办法吗?

  答案显然不是。但是,面对数目众多的补丁,大多数企业感到两难。

  如今,黑客编写利用已知漏洞的恶意代码所需的时间越来越短了。从微软发布漏洞,到开始发动攻击,“震荡波”蠕虫前后仅仅用了18天,这也表明,对付网络犯罪的斗争到了新时期。由于起到保护作用的机会窗口越来越小,给脆弱的软件打补丁成了越来越没完没了的任务。

  选择补丁时机有学问

  对许多企业的IT管理人员来说,一到每个月的第二个星期二(即微软发布安全更新版本的日子),就要与时间赛跑,抢在黑客利用某个新漏洞、攻击公司系统之前打上补丁。对于有上千台桌面机需要保护的大企业来说,被动地打补丁会耗费大量人力,而且,对IT系统也不利,譬如造成网络停运。企业往往只好在两难境地之间作出决定:是马上打补丁,冒着系统出现故障的风险?还是以后打补丁,冒着暴露于漏洞之下的风险?

  打补丁给安全带来的好处不容置疑,但这方面的工作正变得错综复杂。迫于被要求发布安全补丁的压力,软件厂商有时会在查明所有错误之前,就早早发布了补丁,这不仅会导致需要进一步发布更新版本,还会留下很多后患,打补丁本身就有可能引起严重问题,譬如导致关键服务器瘫痪。一段时间后,往往需要修改补丁,这意味着,如果事先没有进行全面的系统测试,确保补丁不会对计算机系统构成危害前就立即打补丁是非常危险的。

  打补丁前最好先测试

  如果在受控实验室环境下测试每一个补丁,编程人员就可以细调补丁设计、调整配置参数,以适应特定的企业环境,尽量减小打上补丁后给现行企业网带来任何运行问题的风险。大多数公司都有面向所有PC的标准桌面配置,也就是说,如果测试成功,编程人员就可以把补丁推广到公司的其它系统,不必逐一测试每台桌面机。在给服务器打补丁之前测试一下,同样很重要,因为服务器对企业网络的功能来说至关重要,运行出现任何故障都会导致网络停运。

  决定立即打补丁,而不是等到计划的下一个补丁更新版本(理想情况下,厂商每半月或每个月发布一次),这需要企业内部具有专家知识和人力,来评估每种危胁的严重性(危胁对IT环境造成影响的可能性)、漏洞级别(哪些系统可能会受影响)、缓解以及/或者恢复的成本。如果公司对所有生产系统和安全控制机制建立了最新的详细目录,就能够对“补丁对基础设施而言是否重要”这一问题作出有效决定,从而确定轻重缓急,最终决定被动地打补丁有没有必要。

  如果公司管理有方,并制订了有计划的打补丁制度,就可以合理规划,以便IT管理员有计划地给每台服务器打补丁、重启动,从而便于在打补丁之前统一管理及测试补丁,尽量减少被动地打补丁的应用。由于大多数补丁需要系统重启动,这会干扰业务,所以,有计划地打补丁使公司可以减少不必要的停运时间、降低管理费用。不过,特别危险的漏洞总是要马上加以对付的。譬如说,微软的安全公告MS04-011确认的PCT漏洞就有可能远程触发,无需受感染机器的用户进行任何操作。这意味着,有些基础设施容易受到远程攻击。但是,在网络基础设施内部的关键系统安全受到危胁、当前安全防御机制无力防范危胁的情况下,被动地打补丁绝对有必要。

  打补丁需要高昂成本

  遗憾的是,打补丁成本不菲。被动地打补丁需要高昂成本。Yankee调研公司近期的一份报告表明:如果一家企业在打补丁方面完全保持最新状态,及时安装微软的每个补丁,那么,每台桌面机每年就要耗资5200美元。公司应当尽量少用不是关键的补丁,并且,让打补丁过程实现自动化,以控制这类成本。提供补丁的过程得到测试后,就可以在整个企业自动发布补丁,无需人工干预。被动地打补丁还涉及其它成本,譬如,为了改正补丁干扰其它功能所引起的IT问题。

  由于被动地打补丁成本高昂,而且,非常有可能给公司的主要IT基础设施带来破坏,所以,应当尽量少用。层次分明、具有增效作用的安全防御机制,可以通过在网络边界和桌面机(或便携机)部署适当保护机制,加上监控网络有无异常流量,大大提高安全状况,这样,企业就能主要采用有计划地打补丁这一方案。

Linux命令中的常用符号解释(zz)

一、通配符:" * ” 、" ? ”   和DOS下一样,当我们不知道确切的文件名时,可以用通配符来进行模糊操作。“*”可以代表任意长度的任意字符,“?”代表一个任意字符。 二、转义字符:" \ ...
  • xiaocainiaoshangxiao
  • xiaocainiaoshangxiao
  • 2013年12月07日 17:30
  • 1139

oracle数据库如何打补丁

给软件打补丁相当于给人打预防针,对系统的稳定运行至关重要。本文详细、系统地介绍了Oracle数据库补丁的分类、安装、管理等问题。 厂商提供给用户的软件补丁的形式多为编译后的库函数,所以安装软件补丁实际...
  • snowfoxmonitor
  • snowfoxmonitor
  • 2014年06月20日 17:27
  • 5699

Linux下patch打补丁命令

此命令用于为特定软件包打补丁,他使用diff命令对源文件进行操作。 基本命令语法: patch [-R] {-p(n)} [--dry-run] p:为path的缩写。 n:指将patch文件中的p...
  • MAOTIANWANG
  • MAOTIANWANG
  • 2013年09月05日 09:28
  • 16519

给内核打补丁

原来给内核打过补丁,都是跟着网上找来的资料一步一步做,结果今天打2.6.32.9的补丁出了问题。现在把学到的东西写下来,供大家参考。 我都是从kernel.org下载内核的。 首先要明白内...
  • linpuliang
  • linpuliang
  • 2014年07月28日 11:56
  • 1097

Linux下使用diff和patch制作及打补丁(已经实践可行!)

在做开发的过程中难免需要给内核及下载的一些源码打补丁,所以我们先学习下Linux下使用如如何使用diff制作补丁以及如何使用patch打补丁。 通过diff命令比较出新旧版本之间的差异,并以pa...
  • tao_627
  • tao_627
  • 2016年10月26日 22:37
  • 1808

无外网状态下,批量安装windows服务器补丁

相信大家在维护服务器的过程中,一定会受到一些网络攻击,或者是用户请其他厂家(例如:绿盟)等公司,来扫面你服务器的漏洞。 而有些时候,服务器所在的环境又是在内网之中,这个时候一个个上去微软官网下载补丁...
  • u012887259
  • u012887259
  • 2015年04月18日 14:23
  • 2110

Windows下oracle打补丁步骤

1.oracle官网下载对应的补丁文件(需要oracle支持账号才能下载)2.设置ORACLE_HOME set oracle_home=F:\oracle\product\11.2.0\d...
  • u012215650
  • u012215650
  • 2016年04月21日 14:21
  • 2771

在Windows环境给Oracle打补丁

Oracle补丁一共分为如下几步 1、配置环境变量 2、更新Opath 3、停用Oracle服务 4、打补丁 1、配置环境变量 (这里可以不用设置环境变量,运行脚本时采用绝对路径) 设置OR...
  • u014429186
  • u014429186
  • 2016年12月09日 16:27
  • 1840

给Oracle数据库打补丁

 给软件打补丁相当于给人打预防针,对系统的稳定运行至关重要。本文详细、系统地介绍了 Oracle数据库补丁的分类、安装、管理等问题。 厂商提供给用户的软件补丁的形式多为编译后的库函数,所以安...
  • liangliangsmd
  • liangliangsmd
  • 2014年09月03日 09:08
  • 2039

生成单个/多个补丁,打补丁用法

通过diff工具生成补丁, patch工具打上补丁. 在使用diff之前, 你需要保留一份未修改过的源码, 然后在其它地方修改源码的一份拷贝. diff对比这两份源码生成patch. 修改过的源码必...
  • yhcs1213
  • yhcs1213
  • 2015年10月21日 16:10
  • 802
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:打补丁是个成本 ZZ
举报原因:
原因补充:

(最多只允许输入30个字)