在《》的上篇文章中，筆者提到微軟涉足安全領(lǐng)域面臨來(lái)自用戶和安全廠家兩方面壓力，其實(shí)從專業(yè)安全廠家的觀點(diǎn)來(lái)看，對(duì)于微軟進(jìn)入信息安全領(lǐng)域可能會(huì)抱有一種既愛(ài)又恨的態(tài)度，一方面希望微軟增強(qiáng)操作系統(tǒng)安全性，減少應(yīng)用層面的安全威脅，降低Windows平臺(tái)的安全風(fēng)險(xiǎn)；但另一方面，這些安全廠家又不希望看到微軟在信息安全領(lǐng)域過(guò)于強(qiáng)大，一旦微軟的信息安全技術(shù)強(qiáng)大到足以能解決自己的安全問(wèn)題時(shí)，對(duì)于任何一個(gè)專業(yè)安全廠家來(lái)說(shuō)，都不是一件值得高興的事。

跟安全廠家有所不同，終端用戶其實(shí)很愿意微軟提高自身的安全性，畢竟對(duì)于用戶來(lái)說(shuō)，簡(jiǎn)單易用才是他們想要的，就好像Windows平臺(tái)用戶可以方便的使用IE瀏覽器一樣，當(dāng)然微軟必須要有能力解決安全問(wèn)題。

此外，業(yè)界對(duì)微軟的信息安全戰(zhàn)略持有各種不同的質(zhì)疑聲音，但無(wú)論是什么質(zhì)疑，歸根結(jié)底針對(duì)的是微軟的信息安全策略，我們就來(lái)看看微軟的信息安全策略是什么？會(huì)給業(yè)內(nèi)帶來(lái)哪些思考？對(duì)企業(yè)的信息安全管理與建設(shè)意味著什么？

走進(jìn)微軟信息安全策略
在了解微軟信息安全策略之前，必須要先搞清楚企業(yè)網(wǎng)絡(luò)信息安全的問(wèn)題在哪里，要保護(hù)什么？這也是微軟大中華區(qū)信息安全總監(jiān)何迪生經(jīng)常強(qiáng)調(diào)的話。對(duì)于企業(yè)來(lái)說(shuō)，任何安全技術(shù)和手段所要保護(hù)的核心內(nèi)容都是數(shù)據(jù)，目的也是為了企業(yè)正常網(wǎng)絡(luò)業(yè)務(wù)的運(yùn)轉(zhuǎn)。微軟提出了信息安全縱深防御模型，除物理安全、邊界安全、內(nèi)部網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全六個(gè)技術(shù)層面進(jìn)行的安全防護(hù)外，再加上法規(guī)政策、安全模型等安全指導(dǎo)思想，合理的規(guī)章制度、應(yīng)急處理機(jī)制等信息安全管理手段和完整的安全培訓(xùn)體系，組成了微軟總體安全架構(gòu)體系。

◆“如果一棟大廈設(shè)置了門衛(wèi)、又有監(jiān)控系統(tǒng)、再加上一把鎖，那么這棟大廈就降低了被破門而入的風(fēng)險(xiǎn)”何迪生稱這種安全防護(hù)為物理安全。
◆利用防火墻、VPN隔離等手段保護(hù)企業(yè)網(wǎng)絡(luò)的邊界安全。
◆合理的對(duì)企業(yè)網(wǎng)絡(luò)分段管理、利用IPsec等加密技術(shù)以及部署網(wǎng)絡(luò)入侵檢測(cè)和防御系統(tǒng)可以有效的解決企業(yè)內(nèi)部網(wǎng)絡(luò)安全問(wèn)題。
◆通過(guò)加強(qiáng)操作系統(tǒng)自身的安全性和補(bǔ)丁管理系統(tǒng)，以及完整的認(rèn)證體系達(dá)到防范主機(jī)安全的目的。
◆基于諸如郵件應(yīng)用、Web訪問(wèn)、文件共享、即時(shí)通訊等應(yīng)用的安全防護(hù)手段，從技術(shù)上降低了應(yīng)用帶給企業(yè)的安全風(fēng)險(xiǎn)。
◆對(duì)于數(shù)據(jù)的保護(hù)，可以利用訪問(wèn)控制、數(shù)據(jù)加密等手段進(jìn)行。

除了上述六個(gè)層面的安全技術(shù)防護(hù)支持外，何迪生認(rèn)為，還有兩個(gè)不可忽視的要素，一是必須要通過(guò)法規(guī)政策、合理的規(guī)章制度、完整的審計(jì)、應(yīng)急處理機(jī)制等手段對(duì)企業(yè)整體實(shí)施安全管理和指導(dǎo)，這樣才能使上述六個(gè)層面的技術(shù)防護(hù)措施有效融合，實(shí)現(xiàn)統(tǒng)一完整的安全防護(hù)體系。除此之外，人的要素也不能忽略，要通過(guò)加強(qiáng)員工的安全意識(shí)和安全技能的培訓(xùn)，使企業(yè)的安全管理行之有效。

在51CTO記者看來(lái)，其實(shí)微軟很早就提出了圍繞可信任計(jì)算（Trustworthy Computing，TWC）構(gòu)建總體系統(tǒng)安全架構(gòu)體系（Microsoft Security Infrastructure）的核心設(shè)計(jì)思想。早在2006微軟信息安全峰會(huì)上，微軟就把信息安全戰(zhàn)略列為會(huì)議的主要議題。在2007年5月的“微軟安全日”活動(dòng)中，微軟高級(jí)安全戰(zhàn)略專家Steve Riley先生也曾表示：微軟的安全重心是提供一個(gè)可通過(guò)安全產(chǎn)品、服務(wù)和指南確保客戶安全的基礎(chǔ)強(qiáng)化安全平臺(tái)。而針對(duì)IT管理中方方面面的挑戰(zhàn)，怎樣將管理和安全視為一個(gè)有機(jī)的整體，而不是單純地看待“管理”和“安全”的某個(gè)方面，才是微軟信息安全戰(zhàn)略的核心所在。

所有的理論都要應(yīng)用于實(shí)踐，在實(shí)施信息安全策略的道路上，值得高興的是微軟也懂得這個(gè)道理。今年7月份，微軟、思科、EMC共同宣布組建聯(lián)盟，開(kāi)發(fā)用于保護(hù)和共享機(jī)密政府信息的技術(shù)。這項(xiàng)技術(shù)能夠使政府部門實(shí)現(xiàn)更好的通訊，并保護(hù)內(nèi)容不會(huì)丟失。我們不難看出，微軟正在積極努力地實(shí)現(xiàn)自己的信息安全策略。無(wú)獨(dú)有偶，同樣在7月微軟又本著自己的信息安全策略正式推出針對(duì)企業(yè)級(jí)市場(chǎng)的安全解決方案：Forefront。它的推出意味著微軟信息安全策略的落地，這也表示微軟正在通過(guò)實(shí)踐檢驗(yàn)自己的信息安全理論，用Steve Riley先生的話說(shuō)：“微軟Forefront為企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的安全提供了更強(qiáng)大的防護(hù)與控制，它基于Windows、Office、Exchange的安全改進(jìn)而構(gòu)建。” 在采訪微軟大中華區(qū)信息安全總監(jiān)何迪生生時(shí)，51CTO記者了解到：微軟Forefront 解決方案是微軟商務(wù)安全特性解決方案的綜合產(chǎn)品系列，幫助用戶保護(hù)信息以及控制對(duì)企業(yè)內(nèi)環(huán)境的訪問(wèn)。Forefront 是利用微軟技術(shù)指導(dǎo)支持的、具有高響應(yīng)性的信息保護(hù)和訪問(wèn)控制解決方案。作為微軟信息安全策略的排頭兵，F(xiàn)orefront究竟包含什么內(nèi)容？怎樣解決企業(yè)面臨的各種安全問(wèn)題呢？下面記者就帶大家初步了解一下Forefront安全解決方案

自己的安全自己解決
作為一款企業(yè)級(jí)的安全解決方案，我們先來(lái)看看Forefront包含了哪些產(chǎn)品：
◆Microsoft Forefront Client Security（以前稱 Microsoft Client Protection）
◆Microsoft Forefront Security for Exchange Server（以前稱 Microsoft Antigen for Exchange）
◆Microsoft Forefront Security for SharePoint（以前稱 Antigen for SharePoint）
◆Microsoft Forefront Security for Office Communications Server（現(xiàn)名 Antigen for Instant Messaging）
◆Microsoft Internet Security and Acceleration (ISA) Server 2006
◆Intelligent Application Gateway (IAG) 2007

下面的圖片更能說(shuō)明Forefront產(chǎn)品的演進(jìn)：

如果按微軟的信息安全策略及安全模型分類，可以把上述產(chǎn)品分為客戶端安全防護(hù)、應(yīng)用安全防護(hù)及網(wǎng)絡(luò)邊緣安全防護(hù)三大類。這里我們首先簡(jiǎn)單了解一下這些產(chǎn)品：

客戶端安全防護(hù)：
Microsoft Forefront Client Security（FCS）——針對(duì)客戶端的安全解決方案
Microsoft Forefront Client Security 解決方案包括兩個(gè)部分。第一個(gè)部分是 Security Agent — 安裝在商用臺(tái)式機(jī)、便攜機(jī)和服務(wù)器操作系統(tǒng)上，可以實(shí)時(shí)防范和安排掃描間諜軟件、病毒和 Rootkit 等威脅。第二個(gè)部分是中央管理服務(wù)器，可以讓管理員輕松管理和更新預(yù)配置或自定義的惡意軟件防護(hù)代理，并生成環(huán)境安全狀態(tài)警報(bào)。值得一提的是在FCS解決方案中，第一次提出了多引擎概念，產(chǎn)品集成了多個(gè)廠家提供的技術(shù)領(lǐng)先的防病毒引擎，每一個(gè)掃描任務(wù)都可以選擇多達(dá)5個(gè)掃描引擎同時(shí)進(jìn)行病毒掃描。

應(yīng)用安全防護(hù)：
Microsoft Forefront Security for Exchange Server 通過(guò)強(qiáng)調(diào)利用分層防范措施、Exchange Server 性能及可用性的優(yōu)化和簡(jiǎn)化管理控制的方法，幫助保護(hù)電子郵件基礎(chǔ)架構(gòu)，使其避免感染和停機(jī)。其特點(diǎn)是將來(lái)自業(yè)界領(lǐng)先的安全公司的多個(gè)掃描引擎集成在一個(gè)解決方案中，幫助企業(yè)保護(hù)其 Exchange 郵件環(huán)境，防范病毒、蠕蟲(chóng)和垃圾郵件。

Microsoft Forefront Security for SharePoint 管理和集成防病毒掃描引擎，為防范最新威脅、不適當(dāng)內(nèi)容和泄露機(jī)密信息提供全面的保護(hù)，以確保文檔在被保存到 SharePoint 文檔庫(kù)或從中檢索時(shí)的安全性。其特點(diǎn)是通過(guò)多個(gè)掃描引擎，提供了內(nèi)容控制，幫助企業(yè)保護(hù)其 Microsoft Office SharePoint 2007 和 Microsoft Windows SharePoint Services 3.0 協(xié)作環(huán)境，以防范包含惡意代碼、機(jī)密信息和不適當(dāng)內(nèi)容的文檔。

網(wǎng)絡(luò)邊緣防護(hù)
Microsoft Internet Security and Acceleration (ISA) Server 2006——微軟的防火墻
ISA Server前身是Microsoft Proxy Server，是個(gè)代理服務(wù)器，而目前則是微軟在安全方面最主要的產(chǎn)品，即防火墻、VPN、代理服務(wù)器（Cache）等多種功能。目前的版本是ISA Server 2006，除了有防火墻、VPN和網(wǎng)頁(yè)Cache等功能，微軟還特別強(qiáng)化應(yīng)用程序的安全發(fā)布、分支機(jī)構(gòu)網(wǎng)關(guān)和網(wǎng)頁(yè)存取防護(hù)等措施。例如改善 Smart Cards和動(dòng)態(tài)密碼等多因素認(rèn)證及NTLM、Kerberos和SecurID認(rèn)證授權(quán)的支持，整合Active Directory以支持LDAP認(rèn)證和預(yù)先認(rèn)證；為了提升分支機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)性能，ISA 2006也提供HTTP流量壓縮、Bits Cache加速更新，并做到為特定IP自動(dòng)判斷、QoS；針對(duì)DoS、DDoS或蠕蟲(chóng)，ISA具備更好的抵抗力，減緩來(lái)自內(nèi)部計(jì)算機(jī)感染蠕蟲(chóng)的沖擊。

Intelligent Application Gateway (IAG) 2007
Intelligent Application Gateway (IAG) 2007 可以提供安全套接字層 (SSL) 虛擬專用網(wǎng) (VPN)、Web 應(yīng)用程序防火墻和端點(diǎn)安全管理功能，可以實(shí)現(xiàn)廣泛業(yè)務(wù)分類應(yīng)用程序的訪問(wèn)控制、授權(quán)和內(nèi)容檢查。這些技術(shù)一起，讓移動(dòng)和遠(yuǎn)程工作人員可以從包括信息亭、PC 和移動(dòng)設(shè)備在內(nèi)的廣泛設(shè)備與位置，輕松、靈活地進(jìn)行安全訪問(wèn)。IAG 還可以讓 IT 管理員根據(jù)設(shè)備、用戶、應(yīng)用程序或其他業(yè)務(wù)條件，通過(guò)遠(yuǎn)程訪問(wèn)策略，滿足應(yīng)用程序和信息用法準(zhǔn)則的要求。

除了上述產(chǎn)品線外，微軟還提供了統(tǒng)一的管理控制臺(tái)：Microsoft Forefront Server Security。它允許管理員方便地管理 Forefront Security for Exchange Server、Forefront Security for SharePoint 和 Microsoft Antigen，它提供了基于 Web 的控制臺(tái)，以便集中管理配置與操作，自動(dòng)執(zhí)行特征與掃描引擎更新的下載和分發(fā)，并生成全面的報(bào)告。Forefront Server Security 管理控制臺(tái)還允許管理員針對(duì)企業(yè)部署的各種系統(tǒng)，迅速地響應(yīng)病毒的爆發(fā)，并更新保護(hù)系統(tǒng)，從而提高企業(yè)響應(yīng)新威脅的敏捷性。通過(guò)與 Microsoft Windows Server 2003 和 Microsoft SQL Server 進(jìn)行集成，F(xiàn)orefront Server Security 管理控制臺(tái)可以幫助維護(hù)郵件和協(xié)作保護(hù)機(jī)制的可靠性和性能。

其他可用工具介紹：
微軟的補(bǔ)丁系統(tǒng)：Microsoft Security Patch and Software Update Services（SUS）
微軟的補(bǔ)丁發(fā)布以及更新服務(wù)（SUS）則是微軟系統(tǒng)中最常用的安全更新工具及服務(wù)，是一切安全運(yùn)行的基礎(chǔ)。微軟的補(bǔ)丁下載及SUS服務(wù)均為免費(fèi)服務(wù)，但SUS服務(wù)器的架設(shè)需要專業(yè)人員進(jìn)行。

微軟的掃描器：Microsoft Baseline Security Analyzer（MBSA）
微軟基準(zhǔn)安全分析器（MBSA）是微軟安全方面的一個(gè)服務(wù)工具，用來(lái)識(shí)別安全方面的常見(jiàn)配置錯(cuò)誤，通過(guò)MBSA工具，可以掃描基于 Windows 操作系統(tǒng)的計(jì)算機(jī)，檢查操作系統(tǒng)和其他安裝組件，以發(fā)現(xiàn)安全方面的配置錯(cuò)誤，并及時(shí)通過(guò)推薦的安全更新進(jìn)行修補(bǔ)。

微軟的風(fēng)險(xiǎn)評(píng)估工具：Microsoft Security Accessment Tool（MSAT）
微軟安全評(píng)估工具（MSAT）是微軟的一個(gè)風(fēng)險(xiǎn)評(píng)估工具，與MBSA直接掃描和評(píng)估系統(tǒng)不同，MSAT通過(guò)填寫的詳細(xì)的問(wèn)卷以及相關(guān)信息，MSAT 處理問(wèn)卷反饋，并評(píng)估組織在諸如基礎(chǔ)結(jié)構(gòu)、應(yīng)用程序、操作和人員等領(lǐng)域中的安全實(shí)踐，然后提出相應(yīng)的安全風(fēng)險(xiǎn)管理措施和意見(jiàn)。

微軟的惡意軟件移除工具：Malicious Software Removal Tool（MSRT）
微軟惡意軟件移除工具是微軟針對(duì)于各種惡意程序和腳本提供的一些工具，它可以檢查運(yùn)行微軟Windows的計(jì)算機(jī)是否受到特殊、流行的惡意軟件（包括 Blaster、Sasser 和 Mydoom）的感染，并清除所有找到的感染病毒。

微軟的防間諜軟件程序：Microsoft Windows Defender
Windows Defender即之前的Microsoft Antispyware Beta版，目前Windows Defender已經(jīng)被微軟以C++重新改寫，并以系統(tǒng)服務(wù)方式常駐，可持續(xù)更新且實(shí)時(shí)掃描與移除已知的間諜程序和廣告軟件。

其實(shí)文章寫到這里，相信大家應(yīng)該對(duì)微軟Forefront安全解決方案已經(jīng)有個(gè)清晰的概念了，對(duì)于前面提到的Forefront能解決企業(yè)哪些問(wèn)題，也水落石出了。總結(jié)起來(lái)有三點(diǎn)：
1、解決企業(yè)邊緣防護(hù)的安全隱患和問(wèn)題。
2、解決企業(yè)各種應(yīng)用服務(wù)的安全隱患和問(wèn)題。
3、解決企業(yè)客戶端及桌面的安全隱患和問(wèn)題。
不可否認(rèn)以上的三點(diǎn)目前都必須是基于微軟Windows系統(tǒng)平臺(tái)的。但微軟這個(gè)軟件帝國(guó)絕不甘心限于此境地。何迪生說(shuō)：目前微軟的首要任務(wù)是把自己的問(wèn)題解決好，未來(lái)肯定會(huì)在其他平臺(tái)上有更縱深的發(fā)展。

2007年對(duì)微軟進(jìn)軍中國(guó)安全市場(chǎng)是一個(gè)關(guān)鍵時(shí)期。近期，有國(guó)外媒體報(bào)道，微軟宣稱，有20%的Exchange服務(wù)器客戶運(yùn)行Forefront軟件。在過(guò)去的12個(gè)月內(nèi)，F(xiàn)orefront的下載量已達(dá)到了120萬(wàn)次。據(jù)Gartner有關(guān)專家預(yù)測(cè)，對(duì)于中型企業(yè)（1000名員工以下）而言，微軟將在2008年底之前占據(jù)30%的桌面防病毒和反間諜軟件市場(chǎng)。無(wú)論預(yù)測(cè)是否可以實(shí)現(xiàn)，我們都希望看到基于微軟平臺(tái)架構(gòu)的安全問(wèn)題能夠得到很好的解決，這對(duì)廣泛使用Windows平臺(tái)的用戶來(lái)說(shuō)是有利無(wú)害的。Windows平臺(tái)的安全問(wèn)題由自己來(lái)解決，這是微軟在2007年向業(yè)內(nèi)發(fā)出的一個(gè)訊號(hào)，雖然微軟在實(shí)現(xiàn)信息安全策略的道理上困難重重，但有理由相信，財(cái)大氣粗的微軟，將以Forefront為轉(zhuǎn)折點(diǎn)，打響一場(chǎng)保衛(wèi)自己的戰(zhàn)斗。