隨著Windows操作系統的服務器和客戶端的廣泛運用,各種入侵攻擊事件時常見諸媒體,其中更有不少造成嚴重的經濟損失,面對如此嚴峻的安全形勢,企業用戶應當如何應對?針對這樣安全形勢,微軟推出了ForeFront Security安全產品家族,其中包括ForeFront Client Security、ForeFront Server Security 和ForeFront Edge Security,范圍涵蓋了客戶端、服務器和網絡邊界安全。ForeFront可以說是體現了Microsoft對企業用戶的Windows操作系統和網絡安全需求的理解,下文一起來了解ForeFront家族的成員組成。
ForeFront Security的特性
ForeFront Security不單只有以ForeFront Security命名的幾個產品,它還包括了眾多的Microsoft 安全產品,比如WSUS、System Center、ISA、IAG等。所謂“透過現象看本質”,雖然ForeFront的產品線相當復雜,不過我們仍可看到Microsoft在 ForeFront上所要實現的三個特性:綜合、集成、簡易
●綜合(Comprehensive) ForeFront家族是客戶端、服務器和網絡邊界安全的完整解決方案,包括了惡意軟件防御、補丁管理、身份驗證、遠程訪問等安全功能,保護范圍覆蓋企業網絡和所有采用Windows操作系統的節點。
●集成(Integrated) ForeFront可以和用戶現有的Windows平台上的信息處理體系和安全方案緊密的集成在一起,使用戶可以更有效和更清楚的控制企業網絡中的安全情況。
●簡易(Simplified) ForeFront給用戶提供了單一的管理視圖,增加用戶對企業網絡安全狀態的可見性,從而可以實現更好的管理和威脅緩解過程。
企業用戶從ForeFront的三個特性中可以得到什麼啟示呢?讓不同行業不同大小的企業來回答這個問題會有不同的答案,但筆者認為答案的區別應該是在這三個特性的優先度排列上而不是在答案的內容上。因為ForeFront Security的一些組件尚未正式推出,現在從整體安全架構的技術層面上,來討論ForeFront與其它安全方案的優劣,似乎尚早,不過從 ForeFront的設計理念上來討論一下Windows平台安全的實現,倒是個相當有啟發性的話題。
Forefront與企業安全四特性
安全綜合性首先是Windows安全實現的綜合性。目前大部分的企業中原有的安全實現可以歸類於“頭痛醫頭,腳疼醫腳”式的方案:如果客戶端時常面臨惡意軟件的威脅,企業的信息部門會購買單機版的反病毒軟件並安裝;如果服務器有可能遭受黑客入侵,企業的信息部門會購買防火牆,安裝入侵檢查設備;如果郵件服務在某一時段內有大量的垃圾郵件侵襲,企業的信息部門會購買各種反垃圾郵件的安全產品——企業對安全方案的采購和部署並不是基於對影響企業業務和信息處理的安全威脅的戰略性分析,而只是為了防御某類型的安全威脅而進行的短期行為。這樣的采購和部署思路雖然在短期內有不錯的效果,卻會給企業帶來虛假的安全感和不小的安全隱患,企業往往在日後遭受到新安全威脅的損害之後,才會對認識新威脅並對其做出反應。
最近頻繁出現在媒體上的0Day漏洞攻擊便是一個例子,企業如果只部署了一般的反病毒軟件和防火牆(這樣的企業環境很常見,為簡便起見,下文稱為一般信息處理環境),在0Day漏洞的攻擊下是毫無防御能力的,唯有在同時啟用入侵檢測、反病毒、防火牆等安全功能的情況下,才能比較有效的檢測和攔截。此外,企業缺乏遠見的安全方案采購部署方法,也很容易導致安全功能的缺失,進而在企業的信息安全體系中造成潛在的弱點。一個桶能裝的水取決於最短的桶板的長度,一個缺乏某些關鍵安全功能的安全體系,實際的安全效能並不比什麼安全方案都不用的環境安全多少,還是用上面提到的一般企業信息處理環境做示例,如果不在內部網絡中使用WSUS服務或使用Windows Update,管理員無法掌握每個網絡節點的補丁升級情況,一個利用Windows漏洞傳播、反病毒軟件暫時無法檢測出來的新蠕蟲將可以很輕易的攻陷企業內網的所有機器。從這個角度上講,企業用戶要實現Windows平台的安全最大化,貫徹Microsoft 在ForeFront Security中所要實現的“安全功能的完整性”這一理念就顯得無比重要。
安全集成性 其次是Windows安全實現的集成。ForeFront Security就強調了其安全功能和用戶舊有的Windows平台應用的無縫結合。企業信息處理環境的組成非常復雜,即便在稍微上點規模的企業中,信息處理環境就可以按照信息處理需求的不同分為各種應用服務器、關鍵網絡服務器、客戶端機器等多個環境類型,更不用說大中型的企業或跨國企業。而各個環境上的軟硬件環境又是千差萬別,安全級別和性能需求也是各不相同,例如,企業要在應用服務器上部署一套負責內容過濾和性能監控的安全方案、可是事先又沒有對待部署方案與舊有的應用服務器環境的兼容性和整合性進行過嚴格測試,只憑廣告的宣傳進行選擇,那後續的故障排查對企業信息部門來說無異於一場噩夢,這套安全方案的實施效果也無從談起。因此,企業在部署安全方案時,無論是從實施效果還是保護原有投資的角度來說,安全方案和舊有設施的集成性都是必須考慮的關鍵因素。 上一頁12下一頁共2頁