第四章 企業安全性修補程式架構之設計與實作
4.3. 企業安全性修補程式之架構設計
4.3.2. 企業安全性修補程式之系統架構
2002 年 2 月,資訊技術安全評估共同準則(Common Criteria for Information Technology Security Evaluation,簡稱 CC)公布缺點修補之評估方法增列
(Supplement)。共同準則定義的缺點修補安全保證之目的在於要求發展者追蹤與 更正所發現的安全缺點,包括配發缺點更正措施之需求。缺點修補程序宜描述所遇 到的型式缺點處理之方法,某些缺點可能是無法立即可修復的,可能有無法修復之 缺點而必須採取諸如程序的措施之情況。缺點修補程序,包括提供修補解法(Fix)
予運作場所及提供缺點修補解法延遲時,在過渡期間該做什麼的資訊或當修補解決 是不可能時該如何處理之資訊。
資訊技術安全評估共同準則將資訊產品/系統之缺點修補程序的要求如表 4.2 所 示,共同準則評估員於確認受驗之產品與系統所提供之資訊符合表中不同階層的證 據之內容和表現的所有需求後,方能建議於產品與系統之共同準則證書上註明其通 過缺點修補的驗證。換言之,資訊產品/系統之缺點修補於資訊安全管理系統中之控 制措施宜有不同的要求,於等級 1 時宜增加缺點修補衍生新缺點之控制措施,等級 3 須建立如圖 4.3~圖 4.5 所示的「缺點修補管理系統」以提昇成效。
▼表 4.2:共同準則要求之缺點修補程序的證據內容和表現元件
等級 1
1. 缺點修補程序文件應描述用來追蹤在每一版本 TOE 所有報告的安全缺點 的程序。
2. 缺點修補程序應需要提供描述每一安全缺點的本質和效應,以及發現校正 的狀態到有缺點。
3. 缺點修補程序應需要針對每一安全缺點識別更正措施。
4. 缺點修補程序文件應描述用來為更正動作提供 TOE 使用者缺點資訊、更 正措施和指引的方法。
等級 2
等級 1 之所有證據內容和表現元件再加上:
5. 處理所報告之安全缺點的程序,應確保改正任何已報告的缺點,並發出更 正措施予 TOE 使用者。
6. 處理所報告之安全缺點的程序,應提供對這些安全缺點的任何更正措施不 衍生任何新缺點之安全警衛。
等級 3
等級 2 之所有證據內容和表現元件再加上:
7. 缺點修補程序應包括程序需要自動分配安全缺點報告的及時回應,和已登 記而可能受缺點影響的使用者的相關更正措施。
資料來源:本研究整理
開 始
檢 查 修 補 程 式 簽 名
檢 查 修 補 程 式 內 的 檔 案 版 本
根 據 修 補 程 式 發 布 日 期 確 定 安 裝 順 序
查 證 快 速 修 補 程 式 安 裝 成 功
檢 查 其 他 產 品 更 新
需 要 重 新 安 裝
結 束
▲圖 4.3:資訊系統組態管理流程設計-以修補程式安裝為例(一)
建 立 測 試 實 驗 室 作 業 環 境
進 行 系 統 和 網 路 測 試
關 鍵 性 應 用 程 式 和 服 務 的 測 試
審 核 與 確 認 修 補 程 式 安 裝
實 戰 演 習
▲圖 4.4:資訊系統組態管理流程設計-以修補程式安裝為例(二)
開始
將電腦增加到失敗(Fail)組 在群組策略中設定電腦自動處理腳本
根據修補程式發布日期確定安裝順序
結束 將電腦增加到成功(Success)組
已安裝修補程式
將修補程式“推”給這些電腦
▲圖 4.5:資訊系統組態管理流程設計-以修補程式安裝為例(三)
以下詳細說明各流程及系統設計方式。
2. 企業安全性修補程式部署時間範圍:
當確認要部署的重要補充程式時,識別環境中最容易受弱點影響的資源,以及 在其中哪些是影響環境正常作業的重要資源,是非常重要的步驟。Microsoft 安全性 回應中心 (Microsoft Security Response Center,簡稱 MSRC) 會在其發行的安全 性佈告欄中提供了弱點的等級,以協助企業針對本身的特定情況,決定要套用哪些 補充程式,或是需要多快採取行動。如表 4.3 所示是該企業依弱點安全性層級經過 重新設計的電腦安全性修補程式之部署時間範圍。
重大、重要層級:由於該企業之基礎架構包含辦公區、機台用途設備與多種作 業系統使得測試環境較為複雜,且考慮多部電腦部署修補程式時將使網路效能 降低,進而對整個環境的正常作業造成負面影響。新架構宜優先採取網路存取 監控措施,對於異常電腦進行監控並於必要時予以隔離;並在不影響整個環境 的正常作業下於 1 個月內完成修補程式部署。
中度、輕微層級:根據可用性而定,在 1 年之內部署新的服務套件,或是更新 包含了此弱點修復程式的積存,或是選擇完全不要部署。
▼表 4.3:企業安全性缺點回應策略
弱點安全性
層級 定義 Microsoft 安全性回應中心建議修
補程式部署時間範圍 企業安全性缺點回應策略
重大 可被利用來不透過使用者的動作,即可
傳播網際網路蠕蟲的弱點。 2 個星期內 優先採取網路存取監控措施,並
於1 個月內完成修補程式部署。
重要
可能導致危害使用者資料機密性、整體 性或可用性,或程序資源整體性或可用 性的弱點。
2 個月內
優先採取網路存取監控措施,並 於1 個月內完成修補程式部署。
中度 因為預設組態、稽核或難以利用等因素
而顯著減少被利用的機會。
在 6 個月內部署軟體更新
根據可用性而定
輕微 非常難以利用,或影響極小的弱點。 在 1 年內部署軟體更新,或是選
擇完全不要部署。 根據可用性而定
資料來源:本研究整理
3. 工作站端更新電腦安全性修補程式系統架構:
如圖 4.6 所示是該企業經過重新設計的工作站端更新電腦安全性修補程式之系 統架構。該架構分為三個系統:測試系統、安全性修補程式更新系統、未授權工作 站網路偵測系統。第一個系統是測試系統,管理者使用此系統來驗證網際網路所取 得之安全性修補程式;第二個系統是安全性修補程式更新系統,管理者將經過驗證 之安全性修補程式利用此系統完成工作站端之程式部署;第三個系統是未授權工作 站網路偵測系統,對於不受管理或是非標準網域的電腦,利用此系統移除此工作站 的網路連線。
廠區2 廠區3
理。
RAMRAM
RAM Operating System
Windows NT Windows 2000 Windows 2000 Windows 2003 Windows NT Windows 2000 Windows 2000 Windows 2003
Software Microsoft Word Notepad Microsoft Excel Microsoft Project Security Patch … Microsoft Word Notepad Microsoft Excel Microsoft Project Security Patch …
資產管理伺服器
RAMRAM
RAM Operating System
Windows NT Windows 2000 Windows 2000 Windows 2003 Windows NT Windows 2000 Windows 2000 Windows 2003
Software Microsoft Word Notepad Microsoft Excel Microsoft Project Security Patch … Microsoft Word Notepad Microsoft Excel Microsoft Project Security Patch …
資產管理伺服器
工作站 3 Setup.exeSetup.exe Setup.exe Setup.exe Setup.exeSetup.exe Setup.exe Setup.exe Setup.exeSetup.exe Setup.exe
MicrosoftWord Word 名是動態主機規劃配置協定(Dynamic Host Configuration Protocol),如 圖 4.9 所示它的主要功能是讓工作站能夠透過自己的 Ethernet Address 廣播, 向 DHCP 伺服器取得有關 IP 位址、Netmask、Default gateway、
DNS…等設定。
當 DHCP 用戶端第一次登錄網路的時候(本機上沒有任何 IP 資料 設定),它會向網路發出一個 DHCPDISCOVER 封包。因為用戶端還 不知道自己屬於哪一個網路﹐所以封包的來源位址會為 0.0.0.0 ﹐而 目的位址則為 255.255.255.255 ﹐然後再附上 DHCPDISCOVER 的 信息﹐向網路進行廣播。
由於用戶端在開始的時候還沒有 IP 位址﹐所以在 DHCPDISCOVER 封包內會帶有其 MAC 位址訊息,並且有一個 XID 編號來辨別該封包,
DHCP 伺服器回應的 DHCPOFFER 封包則會根據這些資料傳遞給要 求租約的工作站。根據伺服器端的設定,DHCPOFFER 封包會包含一 個租約期限的訊息。
DHCP 伺服器會保留一段 IP 範圍,當 DHCP 伺服器聽到網路上有 DHCP 用戶發出廣播時,伺服器就從該段 IP 範圍中挑一個還沒有使用 的 IP,並在資料庫中找有關的相關設定值,將其回傳給這個工作站。
如果用戶端收到網路上多台 DHCP 伺服器的回應﹐只會挑選其中一個 DHCPOFFER 而已(通常是最先抵達的那個),並且會向網路發送一
IP Address1 IP Address2 IP Address3
DHCPDHCP Database Database
IP Address2
IP Address1
DHCP Client:IP configuration from DHCP server
DHCP Server Non-DHCP Client:
static IP configuration
DHCP Client:
IP configuration from DHCP server
IP Address1 IP Address2 IP Address3
DHCPDHCP Database Database
IP Address2
IP Address1
DHCP Client:IP configuration from DHCP server
DHCP Server Non-DHCP Client:
static IP configuration
DHCP Client:
IP configuration from DHCP server
IP Address1 IP Address2 IP Address3
DHCPDHCP Database Database IP Address1 IP Address2 IP Address3
DHCPDHCP Database Database
IP Address2
IP Address1
DHCP Client:IP configuration from DHCP server
DHCP Server Non-DHCP Client:
static IP configuration
DHCP Client:
IP configuration from DHCP server
▲圖 4.9:DHCP 運作原理
2. 認證模組:DHCP 用戶端除了接受 DHCP 伺服器的 OFFER,可以用 DHCPREQUEST 向伺服器提出 DHCP 選擇﹐如圖 4.10~圖 4.11 所示這些 選擇會以不同的號碼填寫在 DHCP Option Field 裡面。
當 DHCP 用戶端第一次登錄網路的時候會向網路發出一個
DHCPDISCOVER 封包向網路進行廣播。在 DHCPDISCOVER 封包 內會帶有其 MAC 位址訊息,以及在 DHCP Option Field 會帶有主機 名稱(Host Name)的識別訊息。
如圖 4.12~圖 4.13 所示當認證伺服器收到 DHCP 用戶端所發出的 DHCPDISCOVER 網路廣播封包時,判斷 MAC 與 Host Name 與註冊 資訊是否相同,如果相同則視為已授權工作站並由 DHCP 伺服器將 IP
0 8 16 24 31
OP HTYPE HLEN HOPS
TRANSACTION ID
SECONDS FLAGS
CIADDR YIADDR SIADDR GIADDR CHADDR(16 bytes)
SNAME(64 bytes) FILE(128 bytes) OPTIONS(312 byt ㎜ es)
Op Code (OP) 若是 1,表示這個 Packet 是從 Client 送出的 Request
(BOOTREQUEST),若為 2,表示此 Packet 是由 DHCP Server 回應 (BOOTREPLY)
HTYPE 硬體類別,Ethernet 為 1 HLEN 硬體位址長度, Ethernet 為 6
HOPS 若封包需經過 router 傳送,每站加 1 ,若在同一網內,為 0 TRANSACTION ID DHCPREQUEST 時產生的數值,以作 DHCPREPLY 時的依據 SECONDS Client 端啟動時間(秒)
FLAGS 從 0 到 15 共 16 bits ,最左一 bit 為 1 時表示 server 將以廣播方 式傳送封包給 client ,其餘尚未使用
CIADDR 要是 client 端想繼續使用之前取得之 IP 位址,則列於這裡
YIADDR 從 server 送回 client 之 DHCPOFFER 與 DHCPACK 封包中,此欄 填寫分配給 client 的 IP 位址
SIADDR 若 client 需要透過網路開機,從 server 送出之 DHCPOFFER、
DHCPACK、DHCPNACK 封包中,此欄填寫開機程式碼所在 server 之 位址
GIADDR 若需跨網域進行 DHCP 發放,此欄為 relay agent 的位址,否則為 0 CHADDR Client 之硬體位址
SNAME Server 之名稱字串,以 0x00 結尾。
FILE 若 client 需要透過網路開機,此欄將指出開機程式名稱,稍後以 TFTP 傳送
OPTIONS 允許廠商定議選項(Vendor-Specific Area),以提供更多的設定資訊(如:
Netmask、Gateway、DNS、等等)。其長度可變,同時可攜帶多個選項,
Netmask、Gateway、DNS、等等)。其長度可變,同時可攜帶多個選項,