一种补丁管理方法、第一设备、第一插件、系统及防火墙与流程
本发明涉及计算机技术领域,尤其涉及一种补丁管理方法、第一设备、第一插件、系统及防火墙。
背景技术:
一般来说,解决安全漏洞、降低安全风险的最有效方法之一是安装安全补丁。然而,对于企业而言,尤其是大型企业,由于网络环境的复杂性,安全补丁往往安装不及时,甚至根本没有安装补丁,较容易产生安全隐患。
下面以企业网络dmz模型为例说明当前企业在安装安全补丁问题上面临的挑战:
企业通过使用防火墙可以划分dmz区域和企业内网区域。其中,dmz区域的网站服务器、邮件服务器等dmz服务器具有公网ip,可以被公网访问,而dmz服务器可能会联网,也可能不联网。在大多数的情况下,为了提高安全性,降低远程文件包含漏洞、无回显命令执行漏洞等漏洞的利用,同时避免通过互联网下载恶意软件的风险,dmz服务器不联网,但是不联网会导致操作系统、应用系统等安全更新无法下载。因此,网络管理员会定期或不定期给dmz服务器联网,以进行补丁更新或者手动上传安装安全补丁,保证服务器安全,但也因此耗费了人力,维护起来比较麻烦。
企业内网区域则大概可以分为两个主要区域,一个是办公区,另一个是核心数据区。其中,位于办公区的办公pc机可以联网,但无法被公网直接访问,则办公pc机的安全问题主要是在于安全更新、安全补丁没有及时安装而导致被动攻击的安全问题,如接收钓鱼邮件。然而,由于企业员工认为自己的办公pc机处于内网,且企业又有很多的安全设备和安全策略,一般很少会跟踪和安装最新的安全补丁,而网络管理员也无法强制每个企业员工必须安装安全补丁,从而导致了办公区计算机补丁安装参差不齐的现象,增加了安全隐患。而核心数据区的服务器由于只能被办公pc机访问,那么被攻击的概率会小很多,但是由于没有联网,导致安全补丁更新不及时或从不安装安全补丁,则一旦攻击者攻入内网,将会很容易出现安全问题。
技术实现要素:
本发明实施例提供了一种补丁管理方法、第一设备、第一插件、系统及防火墙,用于自动化、精准化地完成计算机的补丁监控与管理,最大程度地降低由于没有及时安装补丁带来的安全风险。
有鉴于此,本发明第一方面提供一种补丁管理方法,应用于第一设备,可包括:
接收第一插件发送的第二设备的补丁信息;
根据补丁信息判断第二设备是否缺失第一补丁;
若缺失,则向第一插件推送第一补丁,以使得第一插件在第二设备上安装第一补丁。
进一步的,在根据补丁信息判断第二设备是否缺失第一补丁之后,在向第一插件推送第一补丁之前,该方法还包括:
若第二设备缺失第一补丁,则检测第一补丁是否为重要补丁;
若是,则触发向第一插件推送第一补丁的步骤;
若否,则向第一插件推送警告信息,以使得第一插件根据警告信息对第二设备的用户进行提示。
进一步的,在向第一插件推送警告信息之后,该方法还包括:
若用户选择安装第一补丁,则触发向第一插件推送第一补丁的步骤。
进一步的,在接收第一插件发送的第二设备的补丁信息之前,该方法还包括:
检测是否发生预设触发事件;
若是,则向第一插件发送第一指令,第一指令用于请求获取第二设备的补丁信息。
进一步的,预设触发事件包括以下至少一种:
补丁库发生更新、系统发生漏洞、系统发生安全事件。
进一步的,在向第一插件推送第一补丁之前,该方法还包括:
当第二设备为对外通信状态时,下发第二指令,第二指令用于拦截第二设备的对外通信。
本发明第二方面提供一种补丁管理方法,应用于第一插件,可包括:
获取第二设备的补丁信息;
将补丁信息发送至第一设备,以使得第一设备根据补丁信息判断第二设备是否缺失第一补丁,若是,则向第一插件推送第一补丁;
接收第二设备推送的第一补丁;
将第一补丁安装于第二设备上。
进一步的,在获取第二设备的补丁信息之前,该方法还包括:
检测是否发生预设触发事件;
若是,则触发获取第二设备的补丁信息的步骤。
进一步的,预设触发事件包括以下至少一种:
第一设备向外网发起网络请求、第一设备安装第一应用、第一设备发生安全事件。
进一步的,在获取第二设备的补丁信息之前,该方法还包括:
接收第一设备发送的第一指令,第一指令用于请求获取第一设备的补丁信息。
进一步的,该方法还包括:
若第一设备检测第一补丁不为重要补丁,则接收第一设备推送的警告信息;
根据警告信息对第二设备的用户进行提示。
本发明第三方面提供一种第一设备,可包括:
接收模块,用于接收第一插件发送的第二设备的补丁信息;
判断模块,用于根据补丁信息判断第二设备是否缺失第一补丁;
第一推送模块,用于当第二设备缺失第一补丁时,则向第一插件推送第一补丁,以使得第一插件在第二设备上安装第一补丁。
进一步的,第一设备还包括:
第一检测模块,用于当第二设备缺失第一补丁时,则检测第一补丁是否为重要补丁;
第一触发模块,用于当第一补丁为重要补丁时,则触发第一推送模块向第一插件推送第一补丁;
第二推送模块,用于当第一补丁不为重要补丁时,则向第一插件推送警告信息,以使得第一插件根据警告信息对第二设备的用户进行提示。
进一步的,第一设备还包括:
第二触发模块,用于当用户选择安装第一补丁时,则触发第一推送模块向第一插件推送第一补丁。
进一步的,第一设备还包括:
第二检测模块,用于检测是否发生预设触发事件;
发送模块,用于当发生预设触发事件时,则向第一插件发送第一指令,第一指令用于请求获取第二设备的补丁信息。
进一步的,预设触发事件包括以下至少一种:
补丁库发生更新、系统发生漏洞、系统发生安全事件。
进一步的,第一设备还包括:
下发模块,用于当第二设备为对外通信状态时,下发第二指令,第二指令用于拦截第二设备的对外通信。
本发明第四方面提供一种第一插件,可包括:
获取模块,用于获取第二设备的补丁信息;
发送模块,用于将补丁信息发送至第一设备,以使得第一设备根据补丁信息判断第二设备是否缺失第一补丁,若是,则向第一插件推送第一补丁;
第一接收模块,用于接收第二设备推送的第一补丁;
安装模块,用于将第一补丁安装于第二设备上。
进一步的,第一插件还包括:
检测模块,用于检测是否发生预设触发事件;
触发模块,用于当发生预设触发事件时,则触发获取模块获取第二设备的补丁信息。
进一步的,预设触发事件包括以下至少一种:
第一设备向外网发起网络请求、第一设备安装第一应用、第一设备发生安全事件。
进一步的,第一插件还包括:
第二接收模块,用于接收第一设备发送的第一指令,第一指令用于请求获取第一设备的补丁信息。
进一步的,第一插件还包括:
第三接收模块,用于当第一设备检测第一补丁不为重要补丁时,则接收第一设备推送的警告信息;
提示模块,用于根据警告信息对第二设备的用户进行提示。
本发明第五方面提供一种补丁管理系统,包括本发明第三方面的第一设备和第四方面的第一插件。
本发明第六方面提供一种防火墙,包括本发明第三方面的第一设备。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明中,通过第一插件与第一设备的联动,第一设备可以根据第一插件发送的第二设备的补丁信息判断第二设备是否缺失第一补丁,以在第二设备缺失第一补丁的情况下,第一插件可以根据第一设备推送的第一补丁进行安装,由此可知,第一插件可以对第二设备的补丁安装情况进行监测,并可以通过第一设备的检测实现对第二设备缺失的第一补丁的及时安装,加强第二设备的网络安全。
附图说明
图1为本发明实施例中第一设备与第一插件的联通示意图;
图2为本发明实施例中补丁管理方法一个实施例示意图;
图3为本发明实施例中补丁管理方法另一实施例示意图;
图4为本发明实施例中补丁管理方法另一实施例示意图;
图5为本发明实施例中补丁管理方法另一实施例示意图;
图6为本发明实施例中第一设备一个实施例示意图;
图7为本发明实施例中第一设备另一实施例示意图;
图8为本发明实施例中第一设备另一实施例示意图;
图9为本发明实施例中第一设备另一实施例示意图;
图10为本发明实施例中第一插件一个实施例示意图;
图11为本发明实施例中第一插件另一实施例示意图;
图12为本发明实施例中第一插件另一实施例示意图;
图13为本发明实施例中第一插件另一实施例示意图。
具体实施方式
本发明实施例提供了一种补丁管理方法、第一设备、第一插件、系统及防火墙,用于自动化、精准化地完成计算机的补丁监控与管理,最大程度地降低由于没有及时安装补丁带来的安全风险。
为了使本技术领域的人员更好地理解本发明方案,下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
可以理解的是,操作程序,尤其是windows,各种软件,游戏,若在原公司程序编写员发现软件存在问题或漏洞(俗称为bug),则可能使用户在使用系统或软件时出现干扰工作或有害于安全的问题,那么可以写出一些可插入于源程序的程序以解决bug,这些用于解决bug的程序即补丁。
在本文中,企业内的计算机与防火墙网关都是相互连通的,为了保障企业内部的网络安全,如图1所示,假设第一插件为探针probe,那么可以在每一个计算机(即第二设备)上安装一个probe,以企业网络dmz模型为例,即可以以企业的dmz区域的dmz服务器、企业内网区域的办公区的办公pc机以及核心数据区的服务器为第二设备,分别在其上安装probe,第二设备上的probe均可以与第一设备(假设为securitypatchmodule,spm)进行联动,通过probe与spm的联通,spm可以依赖于自身维护的补丁库对企业内所有计算机(即第二设备)的补丁安装情况进行统一的监控与管理。其中,spm可以为独立的装置,也可以为防火墙的一组件部分,此处不做限定。
为便于理解,下面对本发明实施例中的具体流程进行交互式描述,请参阅图2,本发明实施例中补丁管理方法一个实施例包括:
201、第一插件获取第二设备的补丁信息;
本实施例中,第一插件可以安装于第二设备上,第一插件可以主动收集第二设备的操作系统和软件安装情况,诸如类型、版本、补丁安装情况等,其中,第一插件可以将第二设备的补丁安装情况,即补丁信息进行记录存储,以在需要向第一设备上报时,可以获取第二设备的补丁信息。
其中,第一插件可以实时收集或定时收集第二设备的补丁信息,同时,第一插件可以定时获取或不定时获取第二设备的补丁信息,例如,第一插件可以每隔2小时收集一次第二设备的补丁信息,并可以每隔3小时获取一次第二设备最新的补丁信息,具体此处不做限定。
可以理解的是,第一插件对第二设备的补丁信息的收集与获取也可以同时进行,即只有在需要向第一设备上报第二设备的补丁信息时,才会对第二设备的补丁信息进行收集,收集与获取为同一动作,不存在对第二设备的补丁信息进行存储的情况,以减少第一插件的工作负荷。在实际应用中,可以根据实际情况对第二设备的补丁信息的获取方式进行设置,具体此处不做限定。
202、第一插件将补丁信息发送至第一设备;
本实施例中,第一插件获取第二设备的补丁信息后,可以将补丁信息发送至第一设备。
203、第一设备根据补丁信息判断第二设备是否缺失第一补丁,若是,则执行步骤204,若否,则执行步骤206;
本实施例中,第一插件将补丁信息发送至第一设备后,第一设备可以接收该补丁信息,并可以根据该补丁信息判断第二设备是否缺失第一补丁。
具体的,为了保障企业的网络安全,实现对补丁的有效管理,第一设备上可以设有补丁库,第一设备可以实现对补丁库进行管控以及实时或定时的更新,该补丁库可以包括各类操作系统、应用服务器软件、浏览器以及应用软件等可以安装的各类补丁,以在企业的所有计算机非联网的情况下,也能够满足对企业的所有计算机的补丁安装。
本实施例中,第一设备接收到第一插件发送的第二设备的补丁信息后,可以使用补丁检测引擎,将该补丁信息与补丁库进行对比检测,从而可以确定第二设备是否缺失补丁库中存在但第二设备未安装的第一补丁。
在实际应用中,计算机环境极其复杂,第一设备的补丁库中可以存储有各类计算机、不同版本、不同配置等用于满足不同需求的各类补丁,而在将第二设备的补丁信息与补丁库进行对比检测后,若将第二设备所有缺失的第一补丁安装于第二设备,第二设备并不一定就变得更安全。相反,如果安装了过时、不必要的,甚至是有问题的补丁,反而会给第二设备带来风险,且适合于某种配置的第二设备的补丁,可能并不适合于另一种配置的第二设备的补丁,如适合dmz服务器的补丁并不一定适合办公pc机。另外,同一种编号的补丁可能会出现多种版本,例如不同版本的补丁可能会适用于不同配置的电脑,使用正版windows的第二设备建议使用windowsupdate,或者使用第三方软件。因此,可选的,在将第二设备的补丁信息与补丁库进行对比检测时,可以综合考虑第二设备的配置、型号等条件,在补丁库中筛选出适合于第二设备的补丁后,再将第二设备的补丁信息与这些适合于第二设备的补丁进行对比检测,以检测第二设备是否缺失第一补丁。
204、第一设备向第一插件推送第一补丁;
本实施例中,若第一设备根据补丁信息判断第二设备缺失第一补丁,则第一设备可以向第一插件推送第一补丁。
具体的,在第二设备缺失第一补丁的情况下,为了避免第二设备在非联网的情况下无法进行第一补丁的安装,或者企业工作人员不主动进行第一补丁的安装的现象的发生,第一设备可以主动将补丁库中存储的第一补丁直接推送给第一插件,以使得第一插件可以在第二设备上对第一补丁进行自动安装,有利于实现第一设备对企业内所有计算机的安全管理,减少由于补丁安装不及时或未安装而带来的安全隐患。
205、第一插件将第一补丁安装于第二设备上;
本实施例中,第一设备向第一插件推送第一补丁后,第一插件可以接收该第一补丁,并可以将第一补丁直接安装于第二设备上。以防止第二设备由于缺失第一补丁而造成的网络安全。
进一步的,本实施例中,第一插件接收到第一设备推送的第一补丁后,也可以对第一补丁进行选择性安装,即对第一补丁中不需要或不适合安装的补丁,也可以不进行安装,以充分加强安装第一补丁带来的益处,优化智能选择,具体此处不做限定。
206、第一设备结束流程。
本实施例中,若第一设备根据补丁信息判断第二设备不缺失第一补丁,那么意味着第二设备已经安装或者不需要、不适合安装第一补丁,则可以不进行其它操作,即结束流程。
本实施例中,通过第一插件与第一设备的联动,第一设备可以根据第一插件发送的第二设备的补丁信息判断第二设备是否缺失第一补丁,以在第二设备缺失第一补丁的情况下,第一插件可以根据第一设备推送的第一补丁进行安装,由此可知,第一插件可以对第二设备的补丁安装情况进行监测,并可以通过第一设备的检测实现对第二设备缺失的第一补丁的及时安装,加强第二设备的网络安全。
可以理解的是,本实施例中,第一插件除了可以主动向第一设备上报第二设备的补丁信息,也可以被动向第一设备上报第二设备的补丁信息,下面分别进行说明:
请参阅图3,本发明实施例中补丁管理方法另一实施例包括:
301、第一设备检测是否发生预设触发事件,若是,则执行步骤302,若否,则执行步骤308;
本实施例中,为了进一步完善企业网络的安全机制,第一设备可以主动对第二设备的补丁信息进行获取,即第一设备可以检测是否发生预设触发事件,以在发生预设触发事件时,可以触发对第二设备的补丁信息的主动获取。
具体的,第二设备可以预先对预设触发事件进行定义或对预设触发事件的判断标准进行存储,以能够检测是否发生预设触发事件。其中,该预设触发事件可以包括但不限于补丁库发生更新、系统发生漏洞、系统发生安全事件,例如,补丁库中补丁a升级为补丁b,又如,发现紧急或重要补丁等。
可以理解的是,本实施例中第一设备可以定时或实时地检测是否发生预设触发事件,具体此处不做限定。
302、第一设备向第一插件发送第一指令;
本实施例中,若第一设备检测发生预设触发事件,则可以向第一插件发送第一指令。其中,第一指令可以用于请求获取第二设备的补丁信息。
在实际应用中,若检测到发生预设触发事件,则意味着有可能存在导致企业内某一台或以上的计算机的安全问题,那么为了保障网络安全,第一设备可以主动对第二设备的补丁信息进行获取,以检测第二设备是否缺失第一补丁,则第一设备可以向第一插件发送第一指令,以指示第一插件可以将获取的第二设备的补丁信息进行上报。
可以理解的是,本实施例中,第一设备也可以在未检测是否发生预设触发事件的情况下,定时向第一插件发送第一指令,以主动获取第二设备的补丁信息,对第二设备的补丁安装情况进行监控与管理,从而有利于在第一插件未主动上报第二设备的补丁信息的情况下,可以进一步保障第二设备的安全。
303、第一插件获取第二设备的补丁信息;
本实施例中,第一设备向第一插件发送第一指令后,第一插件可以接收该第一指令,第一插件可以根据接收的第一指令获取第二设备的补丁信息。
在实际应用中,第一插件可以定时或不定时、主动地获取第二设备的补丁信息,而基于定时或不定时的方式,第一插件又可以被动地对第二设备的补丁信息进行获取。本实施例中,当第一插件接收到第一指令时,即意味着第一插件为被动地获取第二设备的补丁信息。
基于此,本实施例中,第一插件可以被动地、主动与被动结合地对第二设备的补丁信息进行获取,即第一插件可以不主动对第二设备的补丁信息进行上报,只有接收到来自于第一设备的第二指令后,才会触发对第二设备的补丁信息的获取,又或者,第一插件在定时或不定时地获取第二设备的补丁信息的同时,若接收到第一设备发送的第二指令,也可以对第二设备的补丁信息进行获取以上报。
本实施例中的步骤304与图2所示实施例中的步骤202相同,此处不再赘述。
305、第一设备根据补丁信息判断第二设备是否缺失第一补丁,若是,则执行步骤306,若否,则执行步骤308;
本实施例中的步骤305至步骤307与图2所实施实施例中的步骤203至步骤205相同,此处不再赘述。
308、第一设备结束流程。
本实施例中,若第一设备未检测到发生预设触发事件,那么可以不进行其它操作,即结束流程。可以理解的是,在实际应用中,第一设备仍可以接收第一插件主动上报的第二设备的补丁信息并进行相应的检测,此处不做限定。
本实施例中,若第一设备根据补丁信息判断第二设备不缺失第一补丁,那么意味着第二设备已经安装或者不需要、不适合安装第一补丁,则可以不进行其它操作,即结束流程。
请参阅图4,本发明实施例中补丁管理方法另一实施包括:
401、第一插件检测是否发生预设触发事件,若是,则执行步骤402,若否,则执行步骤408;
本实施例中,第一插件安装于第二设备上后,第一插件可以检测在第二设备一侧是否发生预设触发事件,以在发生预设触发事件时,可以上报第二设备的补丁信息至第一设备,有利于防止第二设备的某一补丁安装不及时或没安装某一补丁而造成的网络安全问题。
具体的,第一插件可以预先对预设触发事件进行定义或对预设触发事件的判断标准进行存储,以能够检测第二设备是否发生预设触发事件。其中,该预设触发事件可以包括但不限于第一设备向外网发起网络请求、第一设备安装第一应用、第一设备发生安全事件。例如,办公pc机请求上网、内网区域的服务器安装某一软件、dmz服务器被防火墙攻击防御模块检测到被尝试利用高危漏洞进行攻击等等。
可以理解的是,本实施例中第一插件可以定时或实时地检测第二设备一侧是否发生预设触发事件,具体此处不做限定。
402、第一插件获取第二设备的补丁信息;
本实施例中,若第一插件检测到第二设备发生预设触发事件,则可以确定符合配置的触发条件,从而可以获取第二设备的补丁信息。
本实施例中的步骤403与图2所示实施例中的步骤202相同,此处不再赘述。
404、第一设备根据补丁信息判断第二设备是否缺失第一补丁,若是,则执行步骤405,若否,则执行步骤407;
本实施例中的步骤404至步骤406与图2所实施实施例中的步骤203至步骤205相同,此处不再赘述。
407、第一设备结束流程;
本实施例中,若第一设备根据补丁信息判断第二设备不缺失第一补丁,那么意味着第二设备已经安装或者不需要、不适合安装第一补丁,则可以不进行其它操作,即结束流程。
408、第一插件结束流程。
本实施例中,若第一插件未检测到发生预设触发事件,那么可以不进行其它操作,即结束流程。可以理解的是,在实际应用中,第一设备仍可以接收第一设备发送的第一指令,以根据第一指令上报第二设备的补丁信息,使得第一设备对第二设备的补丁信息进行相应的检测,此处不做限定。
可以理解的是,为了降低第一插件的负载,可以对第一补丁做进一步的检测,以确定第一补丁是否为必要性安装补丁,下面进行具体说明:
请参阅图5,本发明实施例中补丁管理方法另一实施例包括:
本实施例中的步骤501至步骤502与图2所示实施例中的步骤201至步骤202相同,此处不再赘述。
503、第一设备根据补丁信息判断第二设备是否缺失第一补丁,若是,则执行步骤504,若否,则执行步骤511;
本实施例中的步骤503与图2所示实施例中的步骤203相同,此处不再赘述。
504、第一设备检测第一补丁是否为重要补丁,若否,则执行步骤505,若是,则执行步骤509;
本实施例中,第一设备根据补丁库检测出第二设备缺失第一补丁后,可以进一步对第一补丁进行分析,即检测缺失的第一补丁是否为第二设备具有高风险的重要补丁。
具体的,第一补丁可以应对企业内某一类计算机中存在的漏洞能够更好的优化该类计算机的性能。一般来说,按照其影响的大小可分为:1、针对高危漏洞的第一补丁,由于高危漏洞可能会被木马、病毒利用,则应立即修复;2、针对软件安全更新的第一补丁,用于修复一些软件的严重安全漏洞,建议立即修复;3、针对可选的高危漏洞的第一补丁,这类第一补丁安装后可能引起计算机和软件无法正常使用,应谨慎选择;4、针对其他及功能性更新的第一补丁,这类第一补丁主要用于更新系统或软件的功能,可根据需要选择性进行安装;5、无效的第一补丁,如已过期的第一补丁,这些第一补丁主要可能因为未及时安装,后又被其它补丁替代,无需再安装,又如已忽略的第一补丁,这些第一补丁不适合当前的系统环境,又如已屏蔽补丁,因不支持操作系统或当前系统环境等原因已被智能屏蔽。
基于上述对第一补丁的说明,在实际应用中,第一设备在补丁库中确定第二设备缺失的第一补丁后,可以进一步分析第一补丁为上述哪一类型的补丁,以确定第一补丁的重要性,即排除第一补丁中不必要在第二设备进行安装的补丁,诸如无效的第一补丁,可选的功能性的第一补丁等。
可以理解的是,本实施例中,由于企业内所有计算机的安全需求不一,那么在分析第一补丁的重要性时,可以按照第一补丁对应的第二设备的安全需求为基准进行检测。同时,第一补丁的分类除了上述说明的内容,在实际应用中,还可以采用其它的方式,如将第一补丁根据安装需求进行严重程度的设置,如按照严重程度分为紧急、重要、警告、注意四种后,可以将第一补丁的严重程度与设置的严重程度进行比对,并将严重程度为紧急、重要的第一补丁确定为重要性补丁,具体分类方式此处不做限定。
需要说明的是,本实施例中,在进一步分析第一补丁是否为第二设备的重要补丁时,基于图2所示实施例中步骤203说明的内容,无效的第一补丁可以不进行考虑。
505、第一设备向第一插件推送警告信息;
本实施例中,若第一设备检测第二设备缺失的第一补丁不为重要补丁,那么意味着第一补丁不急于安装或可以不安装,但为了安全起见,第一设备可以向第一插件推送警告信息,以使得第一插件可以向用户进行提示,并将是否安装第一补丁的决定交给第二设备的用户。
506、第一插件根据警告信息对第二设备的用户进行提示;
本实施例中,第一设备向第一插件推送警告信息后,第一插件可以接收该警告信息,并可以根据该警告信息向第二设备的用户进行提示,如提示用户第一补丁没有进行自动安装,可能会导致第二设备存在安全隐患。
具体的,第一插件可以以诸如在第二设备输出警告信息的方式向用户进行提示,并可以在第二设备输出选择信息,以供用户选择对此次提示的处理方式,如选择忽略第一补丁,还是安装第一补丁。待用户做出相应的选择后,第一插件可以获取用户针对此次选择而输入的操作指令,并可以根据该操作指令解析用户的选择,以确定用户是否选择对第一补丁进行安装。
可以理解的是,本实施例中输出的选择信息的相应内容除了上述说明的内容,在实际应用中,还可以包括其它,如满足预设条件(如关闭第二设备)后再对第一补丁进行安装,具体此处不做限定。
507、第一设备接收第一插件反馈的安装信息;
本实施例中,第一插件根据警告信息对第二设备的用户进行提示后,可以根据用户对第一补丁的处理结果生成安装信息,并可以将该安装信息反馈至第一设备,则第一设备可以接收该安装信息。
508、第一设备根据安装信息确定用户是否选择安装第一补丁,若是,则执行步骤509,若否,则执行步骤511;
本实施例中,第一设备接收第一插件反馈的安装信息后,可以根据该安装信息确定用户是否选择安装第一补丁。
本实施例中的步骤509至步骤510与图2所示实施例中的步骤204至步骤205相同,此处不再赘述。
在本实施例中的步骤509中,若第一设备确定第二设备的用户选择安装第一补丁,则第一设备可以向第一插件推送第一补丁,以使得第一插件可以在第二设备上安装第一补丁。
511、第一设备结束流程。
本实施例中,若第一设备根据补丁信息判断第二设备不缺失第一补丁,那么意味着第二设备已经安装或者不需要、不适合安装第一补丁,则可以不进行其它操作,即结束流程。
本实施例中,若第一设备根据安装信息确定用户不选择安装第一补丁,那么可以不执行其它操作,即结束流程。
需要说明的是,图5所示实施例还可以分别与图3或图4所示实施例进行结合,即在第一设备向第一插件发送第一指令,或第一插件检测到发生预设触发事件后,第一插件才会向第一设备上报第二设备的补丁信息,相同部分此处不再赘述。
进一步的,基于上述任一实施例的说明,在实际应用中,在第一设备向第一插件推送第一补丁,以使得第一插件在第二设备上安装第一补丁之前,为了不引起不必要的安全隐患,若第一设备检测到第二设备为对外通信状态,则可以下发第二指令,以用于拦截第二设备的对外通信。
例如,当企业内的第二设备向外网发起网络请求时,第一插件将检测到发生预设触发事件,则第一插件可以将第二设备的补丁信息上报至第一设备,若第一设备为防火墙的一组件部分,那么第一设备除了与第一插件进行联动之外,还可以与防火墙的其它模块进行联动,比如网络控制模块、攻击防御模块等,则在第一设备根据补丁信息判断第二设备缺失第一补丁时,第一设备可以下发指令至防火墙的网络控制模块,网络控制模块则拦截第二设备对外网发起的网络请求,并向第一插件推送暂时禁止第二设备的用户的对外通信行为,以使得第一插件可以进入对第二设备的第一补丁的安装流程。而若第一设备判断第二设备不缺失第一补丁,那么第一设备也可以通知防火墙的网络控制模块,网络控制模块则可以放行第二设备对外网发起的网络请求,允许第二设备的用户的对外通信行为。
可以理解的是,若第一设备不为防火墙的一组件部分,即第一设备与防火墙为两个产品时,第一设备中还可以设置有网络控制模块,则基于上述内容,第一设备中的网络控制模块将接收到第二指令,并将根据该第二指令拦截第二设备的对外通信。在实际应用中,可以根据实际的产品设计情况进行相应的操作,具体此处不做限定。
更进一步的,第一插件在第二设备上安装第一补丁之后,为了提高第二设备的用户的使用体验,第一插件可以在第二设备上输出第一补丁已安装的提示信息,以避免第二设备的用户在不知情的情况下主动进行补丁检测而耗时的情况的发生。同样的,若在第一插件安装第一补丁之前第二设备的对外通信被拦截,那么在第一插件在第二设备上安装第一补丁之后,第一插件也可以在第二设备上输出对外通信已恢复的提示信息,以通知第二设备的用户可以再次尝试对外通信。
上面对本发明实施例中的补丁管理方法进行了描述,下面分别对本发明实施例中的第一设备和第一插件进行描述,请参阅图6,本发明实施例中第一设备一个实施例包括:
接收模块601,用于接收第一插件发送的第二设备的补丁信息;
判断模块602,用于根据补丁信息判断第二设备是否缺失第一补丁;
第一推送模块603,用于当第二设备缺失第一补丁时,则向第一插件推送第一补丁,以使得第一插件在第二设备上安装第一补丁。
本实施例中,接收模块601接收第一插件发送的第二设备的补丁信息后,判断模块602可以根据该补丁信息判断第二设备是否缺失第一补丁,以在第二设备缺失第一补丁的情况下,第一推送模块603可以向第一插件推送第一补丁,使得第一插件对第一补丁在第二设备上进行安装,从而可以对第二设备缺失的第一补丁的及时安装,有利于加强第二设备的网络安全。
请参阅图7,本发明实施例中第一设备另一实施例包括:
本实施例中的模块701与图6所示实施例中的模块601相同,模块702与图6所示实施例中的模块602相同,此处不再赘述。
第一检测模块703,用于当第二设备缺失第一补丁时,则检测第一补丁是否为重要补丁;
本实施例中的模块704与图6所示实施例中的模块603相同,此处不再赘述。
第一触发模块705,用于当第一补丁为重要补丁时,则触发第一推送模块向第一插件推送第一补丁;
第二推送模块706,用于当第一补丁不为重要补丁时,则向第一插件推送警告信息,以使得第一插件根据警告信息对第二设备的用户进行提示;
第二触发模块707,用于当用户选择安装第一补丁时,则触发第一推送模块向第一插件推送第一补丁。
可选的,在本发明的一些实施例中,基于图7,如图8所示,在接收模块701接收第一插件发送的第二设备的补丁信息之前,第一设备还可以进一步包括:
第二检测模块708,用于检测是否发生预设触发事件;
发送模块709,用于当发生预设触发事件时,则向第一插件发送第一指令,第一指令用于请求获取第二设备的补丁信息。
可选的,在本发明的一些实施例中,基于图8,如图9所示,在第一推送模块704向第一插件推送第一补丁之前,第一设备还可以进一步包括:
下发模块710,用于当第二设备为对外通信状态时,下发第二指令,第二指令用于拦截第二设备的对外通信。
请参阅图10,本发明实施例中第一插件一个实施例包括:
获取模块1001,用于获取第二设备的补丁信息;
发送模块1002,用于将补丁信息发送至第一设备,以使得第一设备根据补丁信息判断第二设备是否缺失第一补丁,若是,则向第一插件推送第一补丁;
第一接收模块1003,用于接收第二设备推送的第一补丁;
安装模块1004,用于将第一补丁安装于第二设备上。
本实施例中,发送模块1002可以将获取模块1001获取的第二设备的补丁信息发送至第一设备,以在第一设备根据该补丁信息判断第二设备缺失第一补丁时,第一接收模块1003可以接收第一设备推送的第一补丁,并由安装模块1004在第二设备上安装第一补丁,由此可知,即使在第二设备非联网的情况下,也可以实现第二设备缺失的第一补丁的安装,且可以实现对第二设备的补丁安装情况的有效监控,有利于提高第二设备的安全性。
请参阅图11,本发明实施例中第一插件另一实施例包括:
检测模块1101,用于检测是否发生预设触发事件;
本实施例中的模块1102与图10所示实施例中的模块1001相同,此处不再赘述。
触发模块1103,用于当发生预设触发事件时,则触发获取模块获取第二设备的补丁信息;
本实施例中的模块1104与图10所示实施例中的模块1002相同,模块1105与图10所示实施例中的模块1003相同,模块1106与图10所示实施例中的模块1004相同,此处不再赘述。
请参阅图12,本发明实施例中第一插件另一实施例包括:
第二接收模块1201,用于接收第一设备发送的第一指令,第一指令用于请求获取第一设备的补丁信息;
本实施例中的模块1202与图10所示实施例中的模块1001相同,模块1203与图10所示实施例中的模块1002相同,模块1204与图10所示实施例中的模块1003相同,模块1205与图10所示实施例中的模块1004相同,此处不再赘述。
可选的,在本发明的一些实施例中,以基于图12为例进行说明,如图13所示,第一插件还可以进一步包括:
第三接收模块1206,用于当第一设备检测第一补丁不为重要补丁时,则接收第一设备推送的警告信息;
提示模块1207,用于根据警告信息对第二设备的用户进行提示。
本发明还提供了一种补丁管理系统,该补丁管理系统可以包括上述说明的第一设备和第一插件。通过第一插件对第一设备的辅助与配合,第一设备可以实现对企业内所有计算机的补丁监控以及管理,有利于加强对企业内所有计算机的安全保护。
本发明还提供了一种防火墙,该防火墙可以包括第一设备。其中,第一设备可以与防火墙中的其它模块进行联动,以相互配合使用。
可以理解的是,本发明实施例中,第一设备与第一插件还可以从硬件角度出发进行描述,以第一设备为例进行说明(第一插件的相同描述部分不再赘述),本发明实施例的第一设备包括:处理器、存储器以及存储在存储器中并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述各个方法实施例中基于第一设备操作的步骤,或者,所述处理器执行所述计算机程序时实现上述实施例中第一设备的各模块的功能,相同部分可参照前文,此处不再赘述。
示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述第一设备中的执行过程,具体可参照第一设备的各模块的说明,此处不再赘述。
其中,第一设备可包括但不仅限于处理器、存储器,本领域技术人员可以理解,该说明仅仅是第一设备的示例,并不构成对第一设备的限定,可以包括比该说明更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述第一设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器可以是中央处理单元(centralprocessingunit,cpu),还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现成可编程门阵列(field-programmablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述第一设备的控制中心,利用各种接口和线路连接整个第一设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述第一设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据手机的使用所创建的数据(比如补丁库)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(smartmediacard,smc),安全数字(securedigital,sd)卡,闪存卡(flashcard)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
- 还没有人留言评论。精彩留言会获得点赞!