[发明专利]用于安全地为系统安装补丁的方法和系统

说明书

技术领域

本发明涉及计算机系统安全，更确切地涉及安全地为系统安装补丁的方法和系统。

背景技术

安全问题是主流操作系统中一直存在的问题，这在操作系统中尤其突出。没有及时安装补丁的计算机在没有受到保护的情况下，在连接到互联网时非常容易受到恶意软件的威胁，很可能在刚刚连接互联网的几分钟内就会受到影响。根据美国计算机安全组织系统网络安全协会(SANS Institute)的互联网风暴中心(InternetStorm Center)的数据表明，计算机连接到互联网就被恶意软件侵入或者病毒感染所需要的时间越来越短，而且已经到达这样一个临界点：即不能提供足够的时间下载必要的补丁以保护系统不受恶意软件的侵害，导致计算机在下载补丁的过程中，就已经被恶意软件侵入或者病毒感染。

当获得一台新的计算机，或重新安装系统，甚至是开启一台没有安装最新补丁的计算机时，一旦连接到互联网，就会面临着多种恶意软件和流氓软件的威胁。这些恶意软件会很快地感染计算机的操作系统。根据由Sophos在2005年7月出版的研究报告，未安装补丁的计算机在连接到互联网的12分钟内受到恶意软件感染的可能性占50％。一旦受到感染，除了重新安装操作系统之外很难有其它的办法使操作系统重新变得干净。

很多蠕虫和病毒利用操作系统的安全漏洞对操作系统进行攻击或感染。因此，通过更新操作系统来安装必要的补丁对保护计算机不受蠕虫和病毒的攻击和感染来说非常重要。然而，为了能够得到最新的补丁，通常必须将计算机连接到互联网，这样，没有安装最新补丁的系统在更新的过程中有可能会受到感染。因此，利用不稳定或不安全的网络作为分发安全更新的主要途径存在很多问题。

因此，存在一种需求，使得能够安全地为系统安装补丁使其不受恶意软件的侵害。

目前，越来越多的计算机通过安装个人防火墙来保护其不受蠕虫和病毒的侵害。个人防火墙是一种设计成在单个计算机上使用的工具，其通过阻止入侵者来保护计算机的安全。防火墙作为安全系统仅允许通过特定门户(端口)的特定通信量。如果有人试图通过计算机上的端口，防火墙将通知用户，由用户来决定谁能够访问。本发明利用防火墙的上述特性实现上述目的。

发明内容

根据本发明的一个方面，提供了一种安全地为系统安装补丁的方法，包括以下步骤：启动个人防火墙；调用更新策略使系统能够安全地下载补丁；安装下载的补丁。

优选地，根据本发明的方法进一步包括对下载的补丁进行安全检查。

根据本发明的一个方面，提供了一种用于安全地为系统安装补丁的系统，包括：个人防火墙，用于对进出的网络流量进行过滤；系统更新代理，用于与系统更新服务器连接以下载补丁；策略管理器，用于在系统的不同运行阶段调用不同的策略；阶段协调器，用于在策略管理器和系统更新代理之间在系统的不同运行阶段之间进行协调；策略数据库，用于存储系统的不同运行阶段的策略。

优选地，根据本发明的方法进一步包括用于对下载的补丁进行安全检查的更新分组检测器。

通过本发明的方法和系统，使得系统在连接到互联网下载补丁进行更新的过程中受到恶意软件侵害的可能性大大降低。

附图说明

下面将结合附图对本发明的优选实施方式进行描述，其中：

图1是能够在其中实施本发明的典型的计算机系统100的结构图；

图2是根据本发明的用于安全地为系统安装补丁的系统200的框图；

图3是根据本发明的用于安全地为系统安装补丁的方法300的流程图。

具体实施方式

图1是能够在其中实施本发明的典型的计算机系统100的结构。计算机系统100包括一个或多个连接到内部总线116的中央处理单元CPU 102，所述内部系统总线116和随机存取存储器RAM 108、只读存储器110和输入/输出适配器112相互连接。该输入输出适配器112支持各种I/O设备，例如打印机128、盘单元130或其它未示出的设备，例如音频输出系统等。系统总线116也连接到提供对通信链路126的接入的通信适配器114。用户接口适配器118连接各种用户设备，例如键盘120和鼠标124或其它未示出的设备，例如触摸屏、记录笔、麦克风等。显示适配器104将系统总线116连接到显示设备106。

本领域技术人员将意识到图1中的硬件可以依靠系统实现来变化。例如该系统可以具有一个或多个处理器，例如基于的处理器和数字信号处理器，和一种或多种类型的非易失性和易失性存储器。其它外设设备可以用来作为补充或替代图1中描述的硬件。所描述的例子不意味着对本发明进行结构限制。