补丁管理 江湖告急(7)

　　相关链接

　　链接一

　　安全机构公布最易受攻击软件清单

　　日前，一家安全组织发布了第四份年度最容易受到攻击软件清单。

　　SysAdmin审计网络安全（SANS）协会的“20大缺陷”清单有二部分组成：微软公司操作系统和软件中的10大缺陷和Unix操作系统中的10大缺陷。SANS将微软公司的Web服务器软件━━IIS列为Windows系统中安全缺陷的罪魁祸首。在最近的一年中，微软公司已经发布了半打多的与IIS相关的安全公告。在2001年7、8月份曾大规模爆发的红色代码病毒就利用了IIS中的一处安全缺陷。

　　Windows系统中最容易出现缺陷的其他软件包括微软公司的SQL Server数据库软件、Windows远程调用服务。Unix系统中最容易出问题的其他软件包括RPC服务和Apache Web服务器软件。

　　在Unix类软件中，BIND域名系统软件（DNS）是问题最多的软件。

　　链接二

　　微软发表新安全对策 简化补丁管理程序

　　美国当地时间10月9日，为了应对全球计算机用户面临的威胁，微软将在今后数月内推出新的安全程序。

　　主要措施如下：

　　1、改善补丁管理程序、对策及技术

　　·简化补丁发布等的程序、每月汇总发布一次补丁

　　·"Windows NT Workstation 4 Service Pack 6a"及"Windows 2000 Service Pack 2"的补丁支持延长至2004年6月底。

　　·2004年上半年公布免费更新工具"Software Update Services 2.0"。除Windows外，可以使用该工具下载、扫描并安装"SQL Server"、"Office"、"Exchange Server"及"Visio"的补丁。

　　·2004年上半年之前将Windows 2000系列产品的补丁安装程序汇总为两大类。

　　2、开展全球规模的信息安全教育项目

　　后 记

　　尽管在本文中我们不停强调补丁管理的重要性，但是，我们心知肚明，补丁管理仅仅是企业系统安全的一个环节，绝不是全部更不是根本。之所以专门报道它，仅仅因为它是目前条件下最现实的办法。用理想主义者的眼光看，自然是软件没有漏洞，让病毒与黑客无的放矢最好。但是，现实的情况就是如此糟糕，对于网络的个体使用者来说，除了尽量想办法解决安全问题外，与供应商之间划清责任同样很重要。

　　据外电报道，2003年9月30日，一起诉讼案被加州法院受理，控告微软公司的操作系统和应用软件存在大量的漏洞，致使用户随时可能受到病毒和黑客的攻击，从而造成系统的瘫痪。针对这起诉讼案，Gartner评价说：“微软一般是在病毒发作前公布补丁，因此，很难胜诉。但是对计算机安全问题却不无帮助。毕竟，在补丁发布前出现病毒的可能性也是有的。”《华尔街日报》报道说，“经验丰富的黑客往往利用软件开发商尚未发现的漏洞发动袭击（初始袭击）。因此，很多公司表示自己需要采用本质上与Windows完全不同的操作系统，才能分散风险。”这对微软的竞争对手无疑是个好消息。需要提醒用户的是，今后在制订合同条款时，用户应就及时发布和通知补丁的问题，对供应商做出明确规定。