CN102158369A - 一种补丁检查的方法和设备 - Google Patents
一种补丁检查的方法和设备 Download PDFInfo
- Publication number
- CN102158369A CN102158369A CN2011100602712A CN201110060271A CN102158369A CN 102158369 A CN102158369 A CN 102158369A CN 2011100602712 A CN2011100602712 A CN 2011100602712A CN 201110060271 A CN201110060271 A CN 201110060271A CN 102158369 A CN102158369 A CN 102158369A
- Authority
- CN
- China
- Prior art keywords
- client
- patch
- priority tag
- security policy
- policy server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种补丁检查的方法和设备,该方法包括:安全策略服务器获取各接入网络的客户端对应的用户分类信息;所述安全策略服务器根据客户端的用户分类信息为各客户端设置不同级别的优先级标识;所述安全策略服务器根据不同级别的优先级标识从接入网络的客户端中优先选择具有高优先级标识的待检查客户端,并通知所述待检查客户端进行补丁检查。本发明中,在解决客户端打补丁的负载压力问题的同时,可以在一定程度上解决安全问题。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种补丁检查的方法和设备。
背景技术
随着社会信息化步伐的不断提速,网络应用不断普及与深入,网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为企业用户最关心的问题,网络安全设施也日渐成为企业网建设的重中之重。为了保证企业网中终端的安全状态符合企业的安全策略,NAC(Network Access control,网络接入控制)技术为企业提供了一个相对完整的网络安全解决方法,可以从企业网的终端入手,强制终端实施企业的安全策略,从而加强企业网终端的主动防御能力,大幅度提高了企业网的整体安全。
EAD(End user Admission Domination,端点准入控制)是一种NAC系统,通过安全策略服务器、认证服务器、补丁服务器、接入设备和客户端共同配合,可以实现对客户端所在终端用户进行补丁安全检查、自动安装丁等功能。如图1所示的一种网络接入控制技术方案中补丁管理的典型组网示意图。
现有技术中,一种补丁检查的流程图如图2所示,包括以下步骤:
步骤201,客户端通过身份认证,处在隔离区,发起安全认证请求。
步骤202,安全策略服务器回应报文,要求客户端进行补丁状态检查操作。
步骤203,客户端进行补丁检查操作。
步骤204,判断客户端补丁状态检查是否合格。如果补丁检查合格,执行步骤206,如果补丁检查不合格,执行步骤205。
步骤205,客户端到补丁服务器下载补丁并安装。补丁安装完成后,重新发起安全认证和补丁检查,并继续执行步骤204的判断步骤。
步骤206,客户端上线成功,可以接入网络,正常开展工作。
但是,在采用上述方式进行补丁检查时,同一时刻会有大量的客户端从补丁服务器下载补丁,从而导致网络带宽和补丁服务器处理压力极大,严重降低了业务网络的服务质量,甚至影响后续的用户进行认证,引发事故。
发明内容
本发明提供一种补丁检查的方法和设备,以降低负载压力,并提高系统安全性。
为了达到上述目的,本发明提供一种补丁检查的方法,应用于包括安全策略服务器、补丁服务器和多个客户端的系统中,在客户端进行补丁检查之前允许该客户端接入网络,该方法包括以下步骤:
所述安全策略服务器获取各接入网络的客户端对应的用户分类信息;
所述安全策略服务器根据客户端的用户分类信息为各客户端设置不同级别的优先级标识;
所述安全策略服务器根据不同级别的优先级标识从接入网络的客户端中优先选择具有高优先级标识的待检查客户端,并通知所述待检查客户端进行补丁检查。
所述客户端的用户分类信息为各客户端的访问权限;
如果客户端的用户分类信息为高访问权限,则安全策略服务器为客户端设置高级别优先级标识;
如果客户端的用户分类信息为低访问权限,则安全策略服务器为客户端设置低级别优先级标识。
为各客户端设置不同级别的优先级标识的过程进一步包括:
安全策略服务器根据各客户端的上次补丁检查时间戳信息为各客户端设置不同级别的优先级标识。
为各客户端设置不同级别的优先级标识的过程具体包括:
如果客户端的用户分类信息为具有高访问权限的高分类级别,则安全策略服务器为客户端设置第一级别优先级标识;
如果客户端的用户分类信息为具有低访问权限的低分类级别,则安全策略服务器根据各客户端的上次补丁检查时间戳信息为客户端设置不同级别的优先级标识。
安全策略服务器根据各客户端的上次补丁检查时间戳信息为客户端设置不同级别的优先级标识,具体包括:
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第一时长,则安全策略服务器为客户端设置第二级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第二时长且小于预设第一时长,则安全策略服务器为客户端设置第三级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间小于预设第二时长,则安全策略服务器为客户端设置最低级别优先级标识。
安全策略服务器根据各客户端的上次补丁检查时间戳信息为客户端设置不同级别的优先级标识,具体包括:
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第一时长,则安全策略服务器为客户端设置第二级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第二时长且小于预设第一时长,当安全策略服务器获知客户端需要强制进行补丁更新时,则安全策略服务器为客户端设置第三级别优先级标识;否则,安全策略服务器为客户端设置第五级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间小于预设第二时长,当安全策略服务器获知客户端需要强制进行补丁更新时,则安全策略服务器为客户端设置第四级别优先级标识;否则,安全策略服务器为客户端设置最低级别优先级标识。
同一级别的优先级标识为一个级别的优先级标识;或者,根据上次补丁检查时间戳信息再设置为多个级别的优先级标识;或者,根据上次补丁检查时间戳信息和客户端是否需要强制进行补丁更新的信息再设置为多个级别的优先级标识。
所述安全策略服务器根据不同级别的优先级标识从接入网络的客户端中优先选择具有高优先级标识的待检查客户端,具体包括:
所述安全策略服务器根据预设周期以及各客户端的所属接入设备从接入网络的具有最高级别优先级标识的客户端中选择客户端;
如果选择出的客户端的个数不满足预设个数的条件,则所述安全策略服务器从具有低一级别优先级标识的客户端中选择客户端;
以此类推,一直到选择出的客户端的个数满足预设个数的条件或者没有客户端可选择。
一种安全策略服务器,应用于包括所述安全策略服务器、补丁服务器和多个客户端的系统中,在客户端进行补丁检查之前允许该客户端接入网络,所述安全策略服务器包括:
获取模块,用于获取各接入网络的客户端对应的用户分类信息;
设置模块,用于根据客户端的用户分类信息为各客户端设置不同级别的优先级标识;
选择模块,用于根据不同级别的优先级标识从接入网络的客户端中优先选择具有高优先级标识的待检查客户端;
通知模块,用于通知所述待检查客户端进行补丁检查。
所述客户端的用户分类信息为各客户端的访问权限;
所述设置模块,具体用于如果客户端的用户分类信息为高访问权限,则为客户端设置高级别优先级标识;
如果客户端的用户分类信息为低访问权限,则为客户端设置低级别优先级标识。
所述设置模块,具体用于根据各客户端的上次补丁检查时间戳信息为各客户端设置不同级别的优先级标识。
所述设置模块,具体用于如果客户端的用户分类信息为具有高访问权限的高分类级别,则为客户端设置第一级别优先级标识;
如果客户端的用户分类信息为具有低访问权限的低分类级别,则根据各客户端的上次补丁检查时间戳信息为客户端设置不同级别的优先级标识。
所述设置模块,进一步用于如果所述上次补丁检查时间戳信息与当前时间之间大于预设第一时长,则为客户端设置第二级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第二时长且小于预设第一时长,则为客户端设置第三级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间小于预设第二时长,则为客户端设置最低级别优先级标识。
所述设置模块,进一步用于如果所述上次补丁检查时间戳信息与当前时间之间大于预设第一时长,则为客户端设置第二级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第二时长且小于预设第一时长,当获知客户端需要强制进行补丁更新时,则为客户端设置第三级别优先级标识;否则,为客户端设置第五级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间小于预设第二时长,当获知客户端需要强制进行补丁更新时,则为客户端设置第四级别优先级标识;否则,为客户端设置最低级别优先级标识。
同一级别的优先级标识为一个级别的优先级标识;或者,根据上次补丁检查时间戳信息再设置为多个级别的优先级标识;或者,根据上次补丁检查时间戳信息和客户端是否需要强制进行补丁更新的信息再设置为多个级别的优先级标识。
所述选择模块,具体用于根据预设周期以及各客户端的所属接入设备从接入网络的具有最高级别优先级标识的客户端中选择客户端;
如果选择出的客户端的个数不满足预设个数的条件,则从具有低一级别优先级标识的客户端中选择客户端;
以此类推,一直到选择出的客户端的个数满足预设个数的条件或者没有客户端可选择,所有选择出的客户端为待检查客户端。
与现有技术相比,本发明至少具有以下优点:
通过引入用户分类信息的特征,可以为具有不同用户分类信息的客户端设置不同级别的优先级标识,在选择需要进行补丁检查的客户端时,通过优先选择具有高优先级标识的待检查客户端,从而可以优先为具有高优先级标识的客户端进行补丁检查,在解决客户端打补丁的负载压力问题的同时,可以在一定程度上解决安全问题。
附图说明
图1是现有技术中一种网络接入控制技术方案中补丁管理的典型组网示意图;
图2是现有技术中一种补丁检查的流程图示意图;
图3是一种改进的补丁检查的方法流程图;
图4是本发明应用场景示意图;
图5是本发明应用场景下提供的一种补丁检查的方法流程图;
图6是本发明提出的一种安全策略服务器的结构图。
具体实施方式
针对现有技术中存在的缺陷,提出了一种改进的方案,如图3所示,该改进方案包括:
步骤301,客户端进行身份认证,并在身份认证通过后进行安全认证。其中,在进行安全认证时,可不进行补丁检查,并对其他安全策略(例如病毒库等策略)进行安全认证,当其他安全策略认证通过时,则客户端上线成功,可接入网络,即在客户端进行补丁检查之前允许该客户端接入网络。在认证过程中,客户端需要通过接入设备执行相关认证操作,此时接入设备的IP地址会通过radius报文上传到安全策略服务器,并记录到数据库在线表中。
步骤302,安全策略服务器获取各接入网络的客户端对应的上次补丁检查时间戳信息,比较当前时间与该客户端上次打补丁的时间戳,如果差值大于一定时长Δt(参数1,如3天),则会在在线表中设置标志为1,表示本次需要重新进行补丁检查;如果差值小于等于一定时长Δt,则会在在线表中设置标志为0,表示本次不需要重新进行补丁检查。
步骤303,安全策略服务器每隔一段时间t(参数2,如1个小时)统计在线表中的在线用户,从每个接入设备上的打补丁标志为1的用户中选择m个用户(参数3),总数为n个用户(参数4)来下发消息,通知所选择的n个用户启动补丁检查,并标记此次选中的n个用户为已经执行过补丁检查。
步骤304,客户端进行补丁检查操作,并记录补丁检查的时间戳。如果补丁检查合格,则可以接入网络,正常开展工作;如果补丁检查不合格,则通过补丁服务器对待检查客户端打补丁(即到补丁服务器下载补丁并安装),之后,补丁安装完成后重新发起安全认证和补丁检查,若补丁检查合格,则上线成功,可以接入网络,正常开展工作。
时间t后,重复步骤303-304,区别在于需要从标记为没有执行过补丁检查并且打补丁标志为1的用户中选择。但是,在上述方案中,只解决了客户端打补丁的负载压力问题,并没有考虑安全性问题,另外可能会出现某用户一直无法打补丁的情况(其一直不在所选择的m个用户中)。
具体的,在需要打补丁的客户端数量较多时,由于没有区分用户分类,各分类用户获得打补丁的概率是一样的,从而可导致重要用户(如管理员)所在的客户端由于网络的问题或者其他问题长时间没有打补丁,在安全方面存在隐患。
进一步的,针对上述问题,本发明实施例提供一种补丁检查的方法和设备,通过引入用户分类信息的特征,可以为具有不同用户分类信息的客户端设置不同级别的优先级标识,在选择需要进行补丁检查的客户端时,通过优先选择具有高优先级标识的待检查客户端,从而可以优先为具有高优先级标识的客户端进行补丁检查,在解决客户端打补丁的负载压力问题的同时,可以在一定程度上解决安全问题。
下面结合附图对本发明实施例进行详细描述。
为了更加清楚的阐述本发明提供的技术方案,以下结合具体应用场景对本发明提出的一种补丁检查的方法进行详细说明,如图4所示,为本发明应用场景下提出的组网示意图,各客户端通过不同的接入设备接入到补丁服务器和安全策略服务器,其中:(1)接入设备,即NAS(Network Access Server,网络接入服务器)设备,包括但不限于:支持RADIUS(Remote Authentication DialIn User Service,远程用户拨号认证系统)协议的交换机、路由器等设备。(2)补丁服务器,用于为各客户端打补丁,包括但不限于WSUS(Windows Server Update Service,Windows服务器升级服务)设备等。(3)安全策略服务器,通过与客户端的配合检查用户的安全特性,若检查不合格可限制用户的网络访问权限或直接将用户下线;若检查合格则用户的安全检查通过。(4)客户端,用于和安全认证服务器配合可实现一些终端准入的安全特性,如和防病毒软件的联动,检查可控软件/服务,补丁检查等特性。
基于上述组网情况,如图5所示,本发明提供的补丁检查的方法中,包括以下步骤:
步骤501,客户端进行身份认证。当客户端需要接入网络时,可通过自身对应的接入设备发起身份认证,当身份认证通过后,该客户端将处在隔离区,并发起安全认证请求。
步骤502,客户端进行安全认证。当客户端需要接入网络时,还需要进行安全认证,身份认证通过的客户端可通过自身对应的接入设备向安全策略服务器发起安全认证。在进行安全认证时,可不进行补丁检查,并对其他安全策略(例如病毒库等策略)进行安全认证,当其他安全策略认证通过时,则客户端上线成功,即在客户端进行补丁检查之前允许客户端接入网络。
当客户端接入网络时,该客户端将位于在线表中,安全策略服务器可根据预设周期从在线表中的客户端选择预设个数的待检查客户端进行补丁检查(例如,每隔2小时从在线表中选择50个客户端进行补丁检查),此时该方法还包括以下步骤:
步骤503,安全策略服务器获取客户端对应的用户分类信息。本发明实施例中所指的客户端为在线表中的客户端。
实际应用中,可为具有不同访问权限的客户端设置不同分类级别的用户分类信息,例如,对于重要用户(如管理员)的客户端来说,访问内容很多,具有高访问权限,需要的安全级别很高,因此可为具有高访问权限的客户端设置高分类级别;对于非重要用户的客户端来说,访问内容相对较少,具有低访问权限,需要的安全级别较低,因此可为具有低访问权限的客户端设置低分类级别。其中,高分类级别可根据实际情况设置一个高分类级别或者多个高分类级别、低分类级别也可根据实际情况设置一个低分类级别或者多个低分类级别。
步骤504,安全策略服务器根据客户端的用户分类信息为各客户端设置不同级别的优先级标识。其中,如果客户端的用户分类信息为高访问权限,则安全策略服务器为客户端设置高级别优先级标识;如果客户端的用户分类信息为低访问权限,则安全策略服务器为客户端设置低级别优先级标识。
需要注意的是,同一级别的优先级标识为一个级别的优先级标识;或者,根据上次补丁检查时间戳信息再设置为多个级别的优先级标识;或者,根据上次补丁检查时间戳信息和客户端是否需要强制进行补丁更新的信息再设置为多个级别的优先级标识。
具体的,如果客户端的用户分类信息为具有高访问权限的最高分类级别,则安全策略服务器为客户端设置第一级别优先级标识;如果客户端的用户分类信息为低一分类级别,则安全策略服务器为客户端设置低一级别的优先级标识;以此类推,如果客户端的用户分类信息为具有低访问权限的最低分类级别,则安全策略服务器为客户端设置低级别优先级标识。
需要注意的是,对于临时用户(如漫游到本地的用户)的客户端来说,访问内容最少,具有最低的访问权限,需要的安全级别较低,因此可为具有最低访问权限的客户端设置最低分类级别,此时,安全策略服务器可为其设置最低级别的优先级标识(如不需要进行补丁检查的标识)。
优选的,安全策略服务器还可根据客户端的用户分类信息以及上次补丁检查时间戳信息为各客户端设置不同级别的优先级标识。这种方式下,安全策略服务器还需要获取客户端对应的上次补丁检查时间戳信息。
具体的,可在客户端进行安全认证时主动将上次补丁检查时间戳信息上报给安全策略服务器;可由安全策略服务器主动从客户端上获取上次补丁检查时间戳信息;可由客户端在身份认证时主动将上次补丁检查时间戳信息上报给认证服务器,并由认证服务器通知给安全策略服务器;可由安全策略服务器自身维护各客户端的上次补丁检查时间戳信息;该时间戳信息的获取方式可根据实际情况任意选择,本发明中不再赘述。
为了方便描述,本发明中以用户分类信息包括两个分类级别为例,则本步骤中,如果客户端的用户分类信息为具有高访问权限的最高分类级别(第一分类级别),则安全策略服务器为客户端设置第一级别优先级标识(如标识1);如果客户端的用户分类信息为具有低访问权限的低分类级别(第二分类级别),则安全策略服务器根据客户端的上次补丁检查时间戳信息为各客户端设置相应优先级标识。
具体的,针对第二分类级别,在根据客户端的上次补丁检查时间戳信息为各客户端设置相应优先级标识的过程中,分为以下情况:
情况一:只考虑客户端的上次补丁检查时间戳信息为各客户端设置优先级标识。
如果上次补丁检查时间戳信息与当前时间之间大于预设第一时长(可根据实际需要进行选择,例如5天),则安全策略服务器为客户端设置第二级别优先级标识(如标识2);如果上次补丁检查时间戳信息与当前时间之间大于预设第二时长且小于预设第一时长(可根据实际需要进行选择,例如1天),则安全策略服务器为客户端设置第三级别优先级标识(如标识3);如果上次补丁检查时间戳信息与当前时间之间小于预设第二时长,则安全策略服务器为客户端设置最低级别优先级标识(如标识0)。
情况二:为了保证用户的自定义需求,可自定义选项客户端是否需要强制进行补丁更新,因此可考虑客户端的上次补丁检查时间戳信息以及客户端是否需要强制进行补丁更新的信息为各客户端设置优先级标识。
如果上次补丁检查时间戳信息与当前时间之间大于预设第一时长,则安全策略服务器为客户端设置第二级别优先级标识(如标识2);
如果上次补丁检查时间戳信息与当前时间之间大于预设第二时长且小于预设第一时长,当安全策略服务器获知客户端需要强制进行补丁更新时,则安全策略服务器为客户端设置第三级别优先级标识(如标识3);否则,安全策略服务器为客户端设置第五级别优先级标识(如标识5);
如果上次补丁检查时间戳信息与当前时间之间小于预设第二时长,当安全策略服务器获知客户端需要强制进行补丁更新时,则安全策略服务器为客户端设置第四级别优先级标识(如标识4);否则,安全策略服务器为客户端设置最低级别优先级标识(如标识0,表示不需要进行补丁更新)。
需要注意的是,上述情况一和情况二中,预设第一时长用于检查客户端是否已经很长时间没有进行补丁更新,当上次补丁检查时间戳信息与当前时间之间大于预设第一时长,则需要进行补丁更新;该预设第一时长可根据补丁的更新速度设定(如大于补丁的更新速度,例如,补丁的更新速度为平均20天更新一次时,则可将预设第一时长设定为30天)。
预设第二时长用于检查客户端是否需要进行补丁更新,当上次补丁检查时间戳信息与当前时间之间小于预设第二时长,则不需要进行补丁更新。该预设第二时长可根据补丁的更新速度设定(如小于补丁的更新速度,例如,补丁的更新速度为平均20天更新一次时,则可将预设第一时长设定为10天)。
步骤505,安全策略服务器根据不同级别的优先级标识从接入网络的客户端中优先选择具有高优先级标识的待检查客户端,并通知待检查客户端进行补丁检查。其中,该待检查客户端为需要进行补丁检查的客户端。
具体的,安全策略服务器可根据预设周期(可根据系统性能信息设定,例如,系统性能信息较好时,可设置的小一些,如1小时;系统性能信息较差时,可设置的大一些,如3小时)以及各客户端的所属接入设备从接入网络的具有最高级别优先级标识的客户端中选择客户端;如果选择出的客户端的个数不满足预设个数的条件,则安全策略服务器从具有低一级别(第二级别)优先级标识的客户端中选择客户端;以此类推,一直到选择出的客户端的个数满足预设个数的条件或者没有客户端可选择,所有选择出的客户端为待检查客户端。上述处理过程包括:
方式一,每隔一段时间t(预设周期),安全策略服务器统计在线表中的在线用户,并从所有的接入设备上优先选择预设个数的具有高优先级标识的待检查客户端。例如,预设个数为100个,具有第一级别优先级标识的客户端为10个,具有第二级别优先级标识的客户端为30个,具有第三级别优先级标识的客户端为50个,具有第四级别优先级标识的客户端为70个;在选择过程中,安全策略服务器首先从具有第一级别优先级标识的客户端中进行选择,只能选择出10个,不满足100个的条件;之后从具有第二级别优先级标识的客户端中进行选择,以此类推,安全策略服务器从具有第四级别优先级标识的客户端中选择10个客户端后即可以确定100个待检查客户端。
方式二,每隔一段时间t(预设周期),安全策略服务器统计在线表中的在线用户,在全部的接入设备中,选择总数为n个(预设个数)客户端,每个接入设备上优先选择m(n大于m)个具有高优先级标识的待检查客户端。
需要注意的是,该方式下需要区分客户端接入网络时的接入设备,即安全策略服务器需要确定接入设备与客户端的对应关系,并根据该对应关系确定各客户端的所属接入设备。例如,客户端在通过接入设备进行安全认证时,可通过报文将接入设备的IP地址上报给安全策略服务器,之后,安全策略服务器可获取接入设备与客户端的对应关系(记录到数据库的在线表中),并在后续过程中根据该对应关系确定各客户端的所属接入设备。
具体的,在全部的接入设备中,每个接入设备上优先选择具有高优先级标识的待检查客户端的方式相同,以其中一个接入设备(接入设备A)为例进行说明。安全策略服务器首先从通过接入设备A接入网络的具有第一级别优先级标识的客户端中进行选择,如果具有第一级别优先级标识的客户端达不到m个,则从具有第二级别优先级标识的客户端中进行选择,以此类推,一直到从通过接入设备A接入网络的客户端中选择m个客户端作为待检查客户端。
需要注意的是,由于具有第一级别优先级标识和第二级别优先级标识的客户端为存在安全隐患较为严重的客户端,当其他所有接入设备上选择m个客户端时,如果接入设备A上选择所有具有第一级别优先级标识和第二级别优先级标识的客户端K个后,获知K大于m,从而导致待检查客户端的选择总数超出n时,实际应用中也可以忽略该情况,只是后续不再选择接入设备A对应的具有第三级别优先级标识的客户端。针对上述情况,对接入设备A的处理,进一步包括:
步骤1、安全策略服务器选择通过接入设备A接入网络的所有具有第一级别优先级标识和第二级别优先级标识的客户端M=K个。
如果M=K>=m个客户端时,假设其他所有接入设备上都只选择了m个客户端时,则待检查客户端的选择总数N>=n个,结束流程。
如果M=K<m个客户端时,执行步骤2。
步骤2,安全策略服务器从通过接入设备A接入网络的具有第三级别优先级标识的客户端中随机选择m-K个客户端,结束流程。
如果具有第三级别优先级标识的客户端中不够m-K个,则继续从具有第四级别优先级标识的客户端中随机选择,以此类推;一直到选择了m个客户端为止,结束流程。
步骤506,待检查客户端进行补丁检查。其中,在安全策略服务器通知待检查客户端进行补丁检查时会将补丁服务器的地址发送给待检查客户端,而待检查客户端可根据补丁服务器的地址到该补丁服务器上进行补丁检查。
步骤507,如果待检查客户端补丁检查不合格,则通过补丁服务器对待检查客户端打补丁(即对待检查客户端的补丁进行更新)。之后,如果待检查客户端补丁检查合格,则可以接入网络,正常开展工作。
在通过补丁服务器对待检查客户端打补丁时,待检查客户端会到补丁服务器下载补丁并安装,补丁安装完成后,重新发起安全认证和补丁检查;在此不再详加赘述。
需要说明的是,在待检查客户端进行补丁检查时,补丁服务器可将补丁检查合格或者补丁检查不合格的信息通知给安全策略服务器,当补丁检查不合格时,则安全策略服务器不对优先级标识进行调整,且不更新对应客户端的上次补丁检查时间戳信息。当补丁检查合格时,则安全策略服务器可以清除待检查客户端的优先级标识、或者将该优先级标识调整为最低级别的优先级标识、或者将该客户端标记为已经执行过补丁检查,并更新待检查客户端对应的上次补丁检查时间戳信息。其中,没有优先级标识时不需要进行补丁检查、客户端标记为已经执行过补丁检查时不需要进行补丁检查、优先级标识为最低级别的优先级标识时一般情况下也不需要进行补丁检查。
综上所述,本发明中,并不是所有的用户所在的客户端都需要打补丁,减轻了的负载压力,节省了资源;而且通过灵活定制打补丁策略,对于小于预设第二时长的用户也有打补丁的机会(通过勾选强制打补丁的选项,且其优先级可以高于需要打补丁的用户);对于符合打补丁的用户的客户端也可以通过定制的方式使其不争抢资源。另外,更大程度保证了长时间不上线用户的打补丁的概率,增强系统的安全性,重要用户所在客户端的安全得到保障。
基于与上述方法同样的发明构思,本发明还提出了一种安全策略服务器,应用于包括所述安全策略服务器、补丁服务器和多个客户端的系统中,在客户端进行补丁检查之前允许该客户端接入网络,如图6所示,该安全策略服务器包括:
获取模块11,用于获取各接入网络的客户端对应的用户分类信息;
设置模块12,用于根据客户端的用户分类信息为各客户端设置不同级别的优先级标识;
选择模块13,用于根据不同级别的优先级标识从接入网络的客户端中优先选择具有高优先级标识的待检查客户端;
通知模块14,用于通知所述待检查客户端进行补丁检查。
所述客户端的用户分类信息为各客户端的访问权限;所述设置模块12,具体用于如果客户端的用户分类信息为高访问权限,则为客户端设置高级别优先级标识;如果客户端的用户分类信息为低访问权限,则为客户端设置低级别优先级标识。
所述设置模块12,具体用于根据各客户端的上次补丁检查时间戳信息为各客户端设置不同级别的优先级标识。
所述设置模块12,具体用于如果客户端的用户分类信息为具有高访问权限的高分类级别,则为客户端设置第一级别优先级标识;
如果客户端的用户分类信息为具有低访问权限的低分类级别,则根据各客户端的上次补丁检查时间戳信息为客户端设置不同级别的优先级标识。
所述设置模块12,进一步用于如果所述上次补丁检查时间戳信息与当前时间之间大于预设第一时长,则为客户端设置第二级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第二时长且小于预设第一时长,则为客户端设置第三级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间小于预设第二时长,则为客户端设置最低级别优先级标识。
所述设置模块12,进一步用于如果所述上次补丁检查时间戳信息与当前时间之间大于预设第一时长,则为客户端设置第二级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第二时长且小于预设第一时长,当获知客户端需要强制进行补丁更新时,则为客户端设置第三级别优先级标识;否则,为客户端设置第五级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间小于预设第二时长,当获知客户端需要强制进行补丁更新时,则为客户端设置第四级别优先级标识;否则,为客户端设置最低级别优先级标识。
本发明中,同一级别的优先级标识为一个级别的优先级标识;或者,根据上次补丁检查时间戳信息再设置为多个级别的优先级标识;或者,根据上次补丁检查时间戳信息和客户端是否需要强制进行补丁更新的信息再设置为多个级别的优先级标识。
所述选择模块13,具体用于根据预设周期以及各客户端的所属接入设备从接入网络的具有最高级别优先级标识的客户端中选择客户端;
如果选择出的客户端的个数不满足预设个数的条件,则从具有低一级别优先级标识的客户端中选择客户端;
以此类推,一直到选择出的客户端的个数满足预设个数的条件或者没有客户端可选择,所有选择出的客户端为待检查客户端。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (16)
1.一种补丁检查的方法,应用于包括安全策略服务器、补丁服务器和多个客户端的系统中,其特征在于,在客户端进行补丁检查之前允许该客户端接入网络,该方法包括以下步骤:
所述安全策略服务器获取各接入网络的客户端对应的用户分类信息;
所述安全策略服务器根据客户端的用户分类信息为各客户端设置不同级别的优先级标识;
所述安全策略服务器根据不同级别的优先级标识从接入网络的客户端中优先选择具有高优先级标识的待检查客户端,并通知所述待检查客户端进行补丁检查。
2.如权利要求1所述的方法,其特征在于,所述客户端的用户分类信息为各客户端的访问权限;
如果客户端的用户分类信息为高访问权限,则安全策略服务器为客户端设置高级别优先级标识;
如果客户端的用户分类信息为低访问权限,则安全策略服务器为客户端设置低级别优先级标识。
3.如权利要求1或2所述的方法,其特征在于,为各客户端设置不同级别的优先级标识的过程进一步包括:
安全策略服务器根据各客户端的上次补丁检查时间戳信息为各客户端设置不同级别的优先级标识。
4.如权利要求3所述的方法,其特征在于,为各客户端设置不同级别的优先级标识的过程具体包括:
如果客户端的用户分类信息为具有高访问权限的高分类级别,则安全策略服务器为客户端设置第一级别优先级标识;
如果客户端的用户分类信息为具有低访问权限的低分类级别,则安全策略服务器根据各客户端的上次补丁检查时间戳信息为客户端设置不同级别的优先级标识。
5.如权利要求4所述的方法,其特征在于,安全策略服务器根据各客户端的上次补丁检查时间戳信息为客户端设置不同级别的优先级标识,具体包括:
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第一时长,则安全策略服务器为客户端设置第二级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第二时长且小于预设第一时长,则安全策略服务器为客户端设置第三级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间小于预设第二时长,则安全策略服务器为客户端设置最低级别优先级标识。
6.如权利要求4所述的方法,其特征在于,安全策略服务器根据各客户端的上次补丁检查时间戳信息为客户端设置不同级别的优先级标识,具体包括:
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第一时长,则安全策略服务器为客户端设置第二级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第二时长且小于预设第一时长,当安全策略服务器获知客户端需要强制进行补丁更新时,则安全策略服务器为客户端设置第三级别优先级标识;否则,安全策略服务器为客户端设置第五级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间小于预设第二时长,当安全策略服务器获知客户端需要强制进行补丁更新时,则安全策略服务器为客户端设置第四级别优先级标识;否则,安全策略服务器为客户端设置最低级别优先级标识。
7.如权利要求3所述的方法,其特征在于,同一级别的优先级标识为一个级别的优先级标识;或者,根据上次补丁检查时间戳信息再设置为多个级别的优先级标识;或者,根据上次补丁检查时间戳信息和客户端是否需要强制进行补丁更新的信息再设置为多个级别的优先级标识。
8.如权利要求1所述的方法,其特征在于,所述安全策略服务器根据不同级别的优先级标识从接入网络的客户端中优先选择具有高优先级标识的待检查客户端,具体包括:
所述安全策略服务器根据预设周期以及各客户端的所属接入设备从接入网络的具有最高级别优先级标识的客户端中选择客户端;
如果选择出的客户端的个数不满足预设个数的条件,则所述安全策略服务器从具有低一级别优先级标识的客户端中选择客户端;
以此类推,一直到选择出的客户端的个数满足预设个数的条件或者没有客户端可选择。
9.一种安全策略服务器,应用于包括所述安全策略服务器、补丁服务器和多个客户端的系统中,其特征在于,在客户端进行补丁检查之前允许该客户端接入网络,所述安全策略服务器包括:
获取模块,用于获取各接入网络的客户端对应的用户分类信息;
设置模块,用于根据客户端的用户分类信息为各客户端设置不同级别的优先级标识;
选择模块,用于根据不同级别的优先级标识从接入网络的客户端中优先选择具有高优先级标识的待检查客户端;
通知模块,用于通知所述待检查客户端进行补丁检查。
10.如权利要求9所述的安全策略服务器,其特征在于,所述客户端的用户分类信息为各客户端的访问权限;
所述设置模块,具体用于如果客户端的用户分类信息为高访问权限,则为客户端设置高级别优先级标识;
如果客户端的用户分类信息为低访问权限,则为客户端设置低级别优先级标识。
11.如权利要求9或10所述的安全策略服务器,其特征在于,
所述设置模块,具体用于根据各客户端的上次补丁检查时间戳信息为各客户端设置不同级别的优先级标识。
12.如权利要求11所述的安全策略服务器,其特征在于,
所述设置模块,具体用于如果客户端的用户分类信息为具有高访问权限的高分类级别,则为客户端设置第一级别优先级标识;
如果客户端的用户分类信息为具有低访问权限的低分类级别,则根据各客户端的上次补丁检查时间戳信息为客户端设置不同级别的优先级标识。
13.如权利要求12所述的安全策略服务器,其特征在于,
所述设置模块,进一步用于如果所述上次补丁检查时间戳信息与当前时间之间大于预设第一时长,则为客户端设置第二级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第二时长且小于预设第一时长,则为客户端设置第三级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间小于预设第二时长,则为客户端设置最低级别优先级标识。
14.如权利要求12所述的安全策略服务器,其特征在于,
所述设置模块,进一步用于如果所述上次补丁检查时间戳信息与当前时间之间大于预设第一时长,则为客户端设置第二级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间大于预设第二时长且小于预设第一时长,当获知客户端需要强制进行补丁更新时,则为客户端设置第三级别优先级标识;否则,为客户端设置第五级别优先级标识;
如果所述上次补丁检查时间戳信息与当前时间之间小于预设第二时长,当获知客户端需要强制进行补丁更新时,则为客户端设置第四级别优先级标识;否则,为客户端设置最低级别优先级标识。
15.如权利要求11所述的安全策略服务器,其特征在于,同一级别的优先级标识为一个级别的优先级标识;或者,根据上次补丁检查时间戳信息再设置为多个级别的优先级标识;或者,根据上次补丁检查时间戳信息和客户端是否需要强制进行补丁更新的信息再设置为多个级别的优先级标识。
16.如权利要求9所述的安全策略服务器,其特征在于,
所述选择模块,具体用于根据预设周期以及各客户端的所属接入设备从接入网络的具有最高级别优先级标识的客户端中选择客户端;
如果选择出的客户端的个数不满足预设个数的条件,则从具有低一级别优先级标识的客户端中选择客户端;
以此类推,一直到选择出的客户端的个数满足预设个数的条件或者没有客户端可选择,所有选择出的客户端为待检查客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110060271.2A CN102158369B (zh) | 2011-03-14 | 2011-03-14 | 一种补丁检查的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110060271.2A CN102158369B (zh) | 2011-03-14 | 2011-03-14 | 一种补丁检查的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102158369A true CN102158369A (zh) | 2011-08-17 |
| CN102158369B CN102158369B (zh) | 2014-10-29 |
Family
ID=44439570
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110060271.2A Active CN102158369B (zh) | 2011-03-14 | 2011-03-14 | 一种补丁检查的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102158369B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014040517A1 (zh) * | 2012-09-17 | 2014-03-20 | 中兴通讯股份有限公司 | 网络策略的控制方法、装置及系统 |
| CN107273172A (zh) * | 2017-07-14 | 2017-10-20 | 银联商务有限公司 | 一种基于业务包的数据处理系统、方法及装置 |
| CN111859200A (zh) * | 2020-06-18 | 2020-10-30 | 口碑(上海)信息技术有限公司 | 目标对象的标记更新方法、装置和设备 |
| WO2023236125A1 (en) * | 2022-06-09 | 2023-12-14 | Huawei Technologies Co., Ltd. | Application live-patch control for consumer device malware detection |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1505336A (zh) * | 2002-12-03 | 2004-06-16 | 华为技术有限公司 | 一种随机接入的控制方法 |
| CN1581077A (zh) * | 2003-08-05 | 2005-02-16 | 华为技术有限公司 | 一种提高接入网络的计算机的功能的方法及装置 |
| CN1889430A (zh) * | 2006-06-21 | 2007-01-03 | 南京联创网络科技有限公司 | 基于802.1x的终端宽带接入的安全认证控制方法 |
| US20070055660A1 (en) * | 2005-09-08 | 2007-03-08 | Deere & Company, A Delaware Corporation | System and method for anticipatory downloading of data |
| CN101137196A (zh) * | 2006-08-28 | 2008-03-05 | 普天信息技术研究院 | 在高速下行链路分组接入网络中分组调度的方法 |
-
2011
- 2011-03-14 CN CN201110060271.2A patent/CN102158369B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1505336A (zh) * | 2002-12-03 | 2004-06-16 | 华为技术有限公司 | 一种随机接入的控制方法 |
| CN1581077A (zh) * | 2003-08-05 | 2005-02-16 | 华为技术有限公司 | 一种提高接入网络的计算机的功能的方法及装置 |
| US20070055660A1 (en) * | 2005-09-08 | 2007-03-08 | Deere & Company, A Delaware Corporation | System and method for anticipatory downloading of data |
| CN1889430A (zh) * | 2006-06-21 | 2007-01-03 | 南京联创网络科技有限公司 | 基于802.1x的终端宽带接入的安全认证控制方法 |
| CN101137196A (zh) * | 2006-08-28 | 2008-03-05 | 普天信息技术研究院 | 在高速下行链路分组接入网络中分组调度的方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014040517A1 (zh) * | 2012-09-17 | 2014-03-20 | 中兴通讯股份有限公司 | 网络策略的控制方法、装置及系统 |
| CN107273172A (zh) * | 2017-07-14 | 2017-10-20 | 银联商务有限公司 | 一种基于业务包的数据处理系统、方法及装置 |
| CN111859200A (zh) * | 2020-06-18 | 2020-10-30 | 口碑(上海)信息技术有限公司 | 目标对象的标记更新方法、装置和设备 |
| CN111859200B (zh) * | 2020-06-18 | 2024-05-14 | 口碑(上海)信息技术有限公司 | 目标对象的标记更新方法、装置和设备 |
| WO2023236125A1 (en) * | 2022-06-09 | 2023-12-14 | Huawei Technologies Co., Ltd. | Application live-patch control for consumer device malware detection |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102158369B (zh) | 2014-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12101345B2 (en) | Automated vulnerability assessment with policy-based mitigation | |
| CN106230851B (zh) | 基于区块链的数据保全方法及系统 | |
| US11863392B2 (en) | Evaluation server to compare data from mobile devices to historical device data to control deployment of security policies | |
| US11237817B2 (en) | Operating system update management for enrolled devices | |
| CN101194266B (zh) | 基于不可信持久时间源的受保护时钟管理的方法、设备、系统和装置 | |
| CN111736853B (zh) | 灰度发布方法、装置、设备及存储介质 | |
| CN107633168B (zh) | 自动化密码管理 | |
| KR20150109200A (ko) | 모바일 저장장치에 기반한 소프트웨어 검증 시스템 및 그 방법 | |
| CN106936835A (zh) | 设备接入的方法及系统 | |
| CN104243618B (zh) | 一种基于客户端行为识别网络共享的方法和系统 | |
| CN105183504A (zh) | 基于软件服务器的进程白名单更新方法 | |
| CN110324407B (zh) | 后台服务器的访问控制方法、装置及存储介质 | |
| CN108696356A (zh) | 一种基于区块链的数字证书删除方法、装置及系统 | |
| CN102158369B (zh) | 一种补丁检查的方法和设备 | |
| CN103166911A (zh) | 一种版本管理服务器权限管理方法和设备 | |
| CN106339629A (zh) | 一种应用程序管理方法及装置 | |
| CN106953874B (zh) | 网站防篡改方法及装置 | |
| CN111585995A (zh) | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 | |
| CN101924794B (zh) | 一种基于互联网实时监视软件运行总量的方法 | |
| US12034735B2 (en) | Method for verifying security technology deployment efficacy across a computer network | |
| CN102333070A (zh) | 一种信息的获取方法和设备 | |
| CN113849802A (zh) | 一种设备认证方法、装置、电子设备及存储介质 | |
| CN102104507B (zh) | 一种补丁检查的方法和设备 | |
| CN106485104A (zh) | 终端安全策略的自动修复方法和装置、系统 | |
| US20240015164A1 (en) | Method for verifying security technology deployment efficacy across a computer network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230620 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |