企业安全战略与Forefront安全解决方案

　　企业的安全问题与企业整体的IT架构类似，是一个长期存在并且需要长远规划、实施的问题。安全实际上是一个动态的过程，一般可以分为评估、防护、检测、响应依次实施的四个步骤。而响应后期的工作更多的可以把它看作是一种再评估、再防护的过程，这样，整个安全过程就成为一种动态的，循环的，不断优化的一个过程。

　　企业的CIO们和CTO们在面对由不同厂商提供的安全解决方案时，难免陷入不知所措的境地。如何让自己的解决方案更具有可扩展性、如何让自己的解决方案能够更好地与组织当前的IT架构无缝耦合、如何使企业的IT投资具有最大的投资收益和可重用度，成为企业在着手制定企业安全战略和实施安全架构解决方案之前，必须考虑的问题。

　　企业安全战略的必要性

　　企业需要的是可管理的安全系统，而不仅仅是一些安全设备。一个功能完善的、可管理的系统，通常难以通过简单地部署一些安全设备或软件来一步到位，尤其对于已经对IT设备进行了相当长时间投入的大型企业而言，新的安全解决方案的引入，必须与现有的IT设备和解决方案无缝耦合，同时还要具备良好的可扩展性，能够应对企业将来可能的IT环境变更(尤其在企业收购、新应用程序的部署、新设备的部署等情况下)，能够把新的IT环境纳入到企业整体的安全管理和防护体系中来。实现这样的安全解决方案必须从战略的角度制定企业安全解决方案的长远发展路线。

　　企业安全战略的制定与实施

　　在制定和实施企业安全战略时应当遵循以下原则：

　　一、安全战略必须满足业务需求。企业处于一个不断变化的业务环境当中，因此IT解决方案并不能实现所有的业务行为，而是企业业务实施的推助工具，所以企业解决方案应当能够满足不断变化的企业业务需求，对业务变化做出即时的响应。企业安全战略同样应该能够随着企业对 IT整体解决方案的变化而变化，从安全层面确保企业业务的开展不受影响。

　　二、安全战略必须适应企业文化。安全战略的实施很大程度上依赖于人的行为习惯和使用IT设备的方法，在一个宽松的环境中或在工作人员很精通技术的公司中实施封闭性安全战略的困难将会很大，能否与企业文化相适应是新的安全战略顺利实施的非技术性关键因素。

　　三、安全战略应当把企业各个层面的个人纳入到统一的体系架构中来。“千里大提，溃于蚁穴”，作为企业最重要的因素的个人是企业安全战略最大的受益者之一，也直接影响着企业安全战略实施的成败，因此企业安全战略应当把对个人信息及其IT设备的安全防护作为整个企业安全战略的重中之重。而来自企业内部潜在的信息泄漏则是大多数企业最容易忽视的环节。

　　企业安全战略由其长期性而面临很多的不确定性，甚至安全战略的制定者也可能由于种种原因离开组织，因此企业在制定和实施IT安全战略的时候，除考虑满足功能性需求以外，还应该最大程度规范化整个实施流程，确保实施的可延续性。另外，对于安全战略而言，企业规模的大小将不是关键，大型企业可能更容易受到利用软件集成性不好的弱点攻击，原因是它们很高的知名度招致人们更多的随意窥探。一些小企业也会遇到甚至更大的问题，因为它们既为人所知，又很容易受到攻击。但是，不管企业规模大小，制定安全战略的关键是以适当角度评估系统的脆弱性，根据其实际情况部署合适的安全措施。

　　在制定与实施安全战略时，必须使整个企业都参与进来，而不仅仅限于管理层，并要确切地了解安全战略将能够从哪个层面得到多大的支持。

　　Forefront产品对企业应用的针对性

　　针对企业和个人各个层面上的应用需求，微软已形成了成熟的Forefront安全产品线，该系列产品主要包括以下根据功能进行分类的软件：

　　一、网络边缘保护

　　相应的产品为Microsoft Internet Security and Acceleration (ISA) Server 2006，此产品属于企业级防火墙，它为企业网络安全提供了强大支持，其主要功能如下：

　　1、Internet访问保护

　　ISA2006 通过多层深入内容检查技术、全面而灵活的安全策略以及可自定义的网络协议过滤器和网络路由关系，帮助企业对其网络环境进行保护，并防范源自网络外部的 Internet 威胁和内部的威胁。

　　2、安全远程访问

　　ISA2006通过采用SSL加密VPN、应用程序层过滤和端点安全管理，使员工可以从不同的位置，以被优化的方式对企业内部网络中的关键应用程序、文档和数据通过Intranet进行访问。

　　3、安全有效地连接到分支机构

　　ISA2006通过 HTTP 压缩、内容缓存和与应用层过滤集成的站点到站点VPN功能，使企业网络可以连接并保护其分支机构的网络，实现更安全、更轻松的企业网络扩展。

　　二、服务器保护

　　支持该功能的有三个独立的产品，其一为Microsoft Forefront Security for Exchange Server(即Microsoft Antigen for Exchange)。

　　Exchange Server强化了分层防御机制，改进了对邮件内容过滤的策略，充分考虑了Exchange Server的性能因素，确保电子邮件系统免遭病毒蠕虫感染。其主要功能包括：

　　1、可用性与可控制性

　　Exchange Server与Microsoft Exchange平台高度集成，不会占用过多的服务器资源，即使是在电子邮件蠕虫等威胁爆发期间也能确保提供电子邮件的安全防护。它还可立即检测并清除已知蠕虫，在电子邮件病毒爆发期间大幅降低邮件服务器流量，从而有效抑制对服务器工作负载和磁盘存储空间的需求。

　　2、抵制不安全内容

　　管理员可以制定内容过滤防护规则，在邮件标题行和消息正文中强制执行语言使用与信息保密等企业安全策略。

　　产品二为Microsoft Forefront Security for SharePoint(即Antigen for SharePoint)。

　　该产品是一款服务器级的防病毒和文档筛选解决方案，专为满足企业对 SharePoint服务的安全需求而设计。它可以通过扫描引擎管理和一系列的筛选选项来自动检测与清除文档中感染的病毒，并依照公司内容策略地实施前瞻性防护。其主要功能包括：

　　1、多扫描引擎管理

　　与Exchange Server类似，SharePoint包含由全球安全公司提供的业界领先的防病毒引擎，这种分层防御在识别恶意内容方面要比单一引擎技术更为有效。在一个引擎进行更新时，其它引擎可继续提供不间断的防护，同时，多引擎技术还减少了新病毒爆发期间存在的漏洞时间窗口，从而使Forefront Security 能够在第一时间获得全球各个领先的病毒实验室提供的反病毒产品的更新。

　　2、完善的扫描选项

　　SharePoint具有大量用于提高系统性能的工具和选项，其中内存扫描功能可在应用程序内存空间及早地扫描文档，而无须等到病毒危害到文档之后再进行查杀，极大地提高了扫描性能和SharePoint服务器的资源效率。

　　3、内容和文件筛选

　　SharePoint还提供内容控制，可阻止非法文件类型的上传。管理员可以配置基于文件扩展名、类型、名称、大小或通配符的文件筛选策略。而它的内容筛选功能则可检测SharePoint 站点中的非法内容，并提供相应的隔离或阻挡选项。SharePoint还包括一些用于内容筛选的预填充词典，并允许管理员创建自己的词典，以过滤机密或非法关键字。这些功能都可以帮助组织创建和实施自己的安全策略。

　　4、通知选项

　　在发生与SharePoint有关的事件时，管理员可以收到相应的电子邮件警报。管理员也可以将通知设置为自动添加到Web页面，而且Forefront所检测到的病毒信息也可追加到文档的说明字段。与此同时，病毒活动在Forefront产品控制台中都可以得到监控，还会以日志形式存储在系统事件日志或文本文件中。

　　三、客户端防护

　　相应的产品为Microsoft Forefront Client Security(即 Microsoft Client Protection)。

　　FCS是Forefront产品线中面向客户端的安全产品，同时应用于Windows Live OneCare、Windows Defender 和 Microsoft Forefront Security for Exchange Server 等产品中的防护技术组成，可以为PC机、笔记本和服务器操作系统提供恶意软件防护功能。FCS通过一个代理对病毒、间谍软件和其它恶意软件进行全面、统一的防护，为所有管理功能(包括配置、报告和警报等)提供本地和远程访问的支持。FCS中央管理控制台可以显示安全报告和摘要仪表盘，用户可以实时掌握企业网络中的恶意软件防护数据和新威胁趋势，关注关键信息。

　　FCS还可以方便地集成到现有环境中，可以通过Active Directory组策略和 Windows 服务器升级服务，即可轻松完成FCS进行分发安装配置工作。

　　除本文谈到的三个方面以外，由于微软多年来在企业级应用程序服务器、SQL Server、操作系统、Office、系统管理等多个产品线上的技术激烈，因此微软安全解决方案有着更为广泛的应用空间。如图1所示微软安全解决方案体系，其中Forefront涉及服务、边缘、服务器应用程序、客户端和服务器操作系统，限于本文篇幅，将不再讨论其他安全产品的应用。

　　图1：微软安全解决方案体系

　　企业从Forefront产品得到的收益

　　从上面的讨论中可以看出，微软Forefront产品线已形成了完善的企业安全防护解决方案，把Forefront产品纳入到企业安全战略的框架中来将会使企业获得以下收益：

　　1、能够把企业各个层面的个人纳入到统一的安全框架中来。Forefront安全产品提供了企业边界安全、服务器安全和客户端的安全三个层面上的防护解决方案，从而把企业IT相关的多个工作角色纳入到统一的管理框架中来，为技术的推广和安全战略的实施打下了良好的基础。

　　2、与现有大多IT资产无缝耦合。由于微软Windows系统和基于Windows系统的应用程序的广泛应用，以及Windows Server、Active Directory等产品在大多数企业内的应用，以及微软Windows系统产品之间的兼容性，Forefront系列产品将能够与企业现有的IT自然和投资无缝地集成在一起，从而能够重用企业现有的很多IT资产，减少实施安全战略的IT投入，降低企业IT运营总成本。

　　3、具有良好的可扩展性。微软Windows产品在进行版本升级和新产品推出时，绝大多数情况下考虑到了软件的兼容性，使得在现有解决方案的基础上引入新功能的成本大大降低，从而使采用Forefront Security的安全战略更具有可扩展性。