企業(yè)對(duì)安全架構(gòu)的需求

在當(dāng)前的企業(yè)安全環(huán)境中，其威脅性越來越高，攻擊行為也更為先進(jìn)，而且很多情況下都因?yàn)橹苯咏?jīng)濟(jì)利益的驅(qū)動(dòng)而展開攻擊。而且攻擊目標(biāo)的針對(duì)性也越來越強(qiáng)，傳播的速度也越來越快，留給系統(tǒng)管理人員和安全實(shí)施人員應(yīng)對(duì)這些威脅和攻擊防護(hù)的時(shí)間越來越短。一旦針對(duì)企業(yè)的攻擊得逞，入侵者將會(huì)采取各種方式實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)的長(zhǎng)期駐留，對(duì)企業(yè)造成的影響將難以估量。在企業(yè)面臨的外面安全威脅和挑戰(zhàn)中，發(fā)生最為頻繁的威脅當(dāng)屬惡意軟件。惡意軟件的類型從原來單一的病毒，演化成目前流行的使用多種高級(jí)技術(shù)的蠕蟲、僵尸網(wǎng)絡(luò)、后門程序、木馬、間諜軟件等多種并存的局面，從傳播途徑上來說，企業(yè)日常使用最多的Web和電子郵件就是惡意軟件傳播的主要途徑。如圖1所示，當(dāng)前企業(yè)安全管理人員要應(yīng)對(duì)圖示當(dāng)中的挑戰(zhàn)：

圖1：當(dāng)前企業(yè)的安全挑戰(zhàn)

當(dāng)前大多企業(yè)安全解決方案存在的問題

在入侵者強(qiáng)大的攻勢(shì)面前，企業(yè)的IT工作人員和安全實(shí)施人員往往扮演著救火隊(duì)員的角色，在不知疲倦的各種類型的攻擊面前不知疲倦地應(yīng)付，發(fā)布威脅警報(bào)、發(fā)布安全補(bǔ)丁通告、企業(yè)系統(tǒng)修復(fù)、企業(yè)數(shù)據(jù)修復(fù)等等。究其根源，企業(yè)的安全解決方案存在著嚴(yán)重的缺陷。筆者認(rèn)為主要問題如下：
1、缺乏可拓展的整體安全規(guī)劃。企業(yè)要面對(duì)的安全環(huán)境如同不斷變化的商務(wù)環(huán)境一樣，是一個(gè)動(dòng)態(tài)變化的環(huán)境。因此任何缺乏長(zhǎng)遠(yuǎn)防護(hù)目標(biāo)和缺乏可拓展的安全解決方案即意味著對(duì)企業(yè)安全防護(hù)的投資將付之東流。
2、企業(yè)安全涉眾人員的整體安全意識(shí)薄弱。盡管不同的企業(yè)采用不同的方式努力提高企業(yè)員工的安全意識(shí)，但是沒有任何一個(gè)企業(yè)的安全實(shí)施人員能夠確保公司的員工不會(huì)通過公司網(wǎng)絡(luò)訪問非法網(wǎng)站，并可能因此帶來針對(duì)整個(gè)企業(yè)的安全隱患。
3、相當(dāng)多的企業(yè)缺乏足夠的安全解決方案實(shí)施預(yù)算。強(qiáng)大的安全防護(hù)依賴于強(qiáng)大的經(jīng)濟(jì)投入，防護(hù)級(jí)別意味著投資級(jí)別，硬件防火墻和軟件防火墻的成本不同，因此效率也不同。而對(duì)于缺乏預(yù)算的而言，難道只有望洋興嘆？任人竊取企業(yè)的敏感數(shù)據(jù)？所以，企業(yè)需要一個(gè)能夠提供企業(yè)架構(gòu)級(jí)別的安全解決方案，并能夠在長(zhǎng)期的應(yīng)用過程中，實(shí)現(xiàn)對(duì)企業(yè)安全的高效、可擴(kuò)展防護(hù)，更重要的是，這一解決方案不需要太多的財(cái)政預(yù)算。

Forefront簡(jiǎn)介

Microsoft Forefront提供了完整的企業(yè)安全產(chǎn)品家族，能夠?qū)δ木W(wǎng)絡(luò)基礎(chǔ)架構(gòu)提供完善的防護(hù)與監(jiān)控。按照產(chǎn)品功能進(jìn)行劃分，F(xiàn)orefront安全產(chǎn)品家族主要包括企業(yè)網(wǎng)絡(luò)邊界防護(hù)、服務(wù)器保護(hù)和客戶端保護(hù)三大類產(chǎn)品。

相應(yīng)的產(chǎn)品包括以下六大功能性產(chǎn)品：

企業(yè)網(wǎng)絡(luò)邊界防護(hù)：
Microsoft Internet Security and Acceleration (ISA) Server 2006；
Microsoft Intelligent Application Gateway (IAG) 2007。

服務(wù)器保護(hù)：
Microsoft Forefront Security for Exchange Server；
Microsoft Forefront Security for SharePoint；
Microsoft Forefront Security for Office Communications Server。

客戶端保護(hù)：
Microsoft Forefront Client Security

以上六大功能產(chǎn)品是當(dāng)前被廣泛應(yīng)用的微軟Forefront安全解決方案產(chǎn)品，企業(yè)可以根據(jù)自己的業(yè)務(wù)和安全需求，靈活選擇相應(yīng)的產(chǎn)品。對(duì)于大型企業(yè)而言，需要全面的安全防護(hù)解決方案，同時(shí)擁有充足的IT預(yù)算，因此可以采用多種微軟Forefront安全產(chǎn)品；對(duì)于僅希望加強(qiáng)企業(yè)某一方面安全防護(hù)能力的企業(yè)而言，則可以根據(jù)實(shí)際需求選擇一種或多種相應(yīng)功能的安全產(chǎn)品。

Forefront能夠給企業(yè)帶來的益處

以被企業(yè)長(zhǎng)期青睞并進(jìn)行投資的Windows技術(shù)體系為依托，Microsoft Forefront安全產(chǎn)品能夠輕易地與其他供應(yīng)商的產(chǎn)品、企業(yè)中遺留的應(yīng)用系統(tǒng)以及企業(yè)的IT基礎(chǔ)架構(gòu)整合在一起，并且能夠通過與合作伙伴的解決方案一起，為企業(yè)實(shí)現(xiàn)端到端的安全解決架構(gòu)解決方案。在實(shí)施了Microsoft Forefront的安全解決方案以后，其簡(jiǎn)單的部署、管理和分析，能夠讓企業(yè)的IT安全實(shí)施人員更加有效地保護(hù)企業(yè)信息的安全，并且能夠安全地應(yīng)用和保護(hù)服務(wù)器上的應(yīng)用程序。

通過實(shí)施Forefront安全解決方案，能夠讓企業(yè)IT安全實(shí)施人員在面對(duì)瞬息萬變的威脅和與日俱增的企業(yè)安全需求面前應(yīng)對(duì)自如、充滿信心。

在企業(yè)網(wǎng)絡(luò)邊界防護(hù)上，Microsoft Internet Security and Acceleration (ISA) Server 2006作為企業(yè)級(jí)防火墻，為企業(yè)信息安全提供了強(qiáng)大的邊界防護(hù)支持，它通過深入內(nèi)容檢測(cè)、強(qiáng)大的VPN技術(shù)以及采用HTTP 壓縮、內(nèi)容緩存和與應(yīng)用層過濾集成的站點(diǎn)到站點(diǎn)VPN功能等，滿足企業(yè)在Internet訪問保護(hù)、安全遠(yuǎn)程訪問以及安全有效的分支機(jī)構(gòu)連接上的需求。而Microsoft Intelligent Application Gateway (IAG) 2007則可以滿足對(duì)企業(yè)邊界安全有更高要求的企業(yè)的需求。

在服務(wù)器保護(hù)上，F(xiàn)orefront推出了三款分別針對(duì)郵件防護(hù)、病毒防護(hù)與內(nèi)容控制，以及針對(duì)日益廣泛應(yīng)用的企業(yè)即時(shí)通信工具保護(hù)的功能性安全工具，其中Microsoft Forefront Security for Exchange Server通過強(qiáng)化分層防御機(jī)制，改進(jìn)了對(duì)郵件內(nèi)容過濾的策略，確保電子郵件系統(tǒng)免遭病毒蠕蟲感染；Microsoft Forefront Security for SharePoint通過多掃描引擎管理和一系列的篩選選項(xiàng)來自動(dòng)檢測(cè)與清除文檔中感染的病毒，并依照公司內(nèi)容策略地實(shí)施前瞻性防護(hù)；Microsoft Forefront Security for Office Communications Server可在即時(shí)通訊會(huì)話中檢測(cè)和清除病毒，支持文件傳輸和加密的對(duì)話，隔絕即時(shí)通訊中可能有害的鏈接，并通過可配置的安全策略攔截掃描和攔截即時(shí)通訊會(huì)話中和文檔中的機(jī)密信息及關(guān)鍵字，幫助企業(yè)實(shí)時(shí)把握信息的脈搏。

對(duì)于客戶端的保護(hù)，Microsoft Forefront Client Security（FCS）針對(duì)企業(yè)內(nèi)桌面電腦、筆記本電腦以及服務(wù)器應(yīng)用系統(tǒng)，提供更易管理且全面的惡意程序防護(hù)。FCS能夠幫助企業(yè)應(yīng)對(duì)多種新興的威脅（如惡意軟件和Rootkit等）以及傳統(tǒng)的威脅（如病毒、蠕蟲和木馬程序）。FCS通過集中式的管理來簡(jiǎn)化系統(tǒng)管理，并針對(duì)威脅和安全缺陷提供可見度，提供高效的防護(hù)功能。

應(yīng)用Forefront安全解決方案

本文將主要介紹基于FCS的客戶端保護(hù)解決方案和基于ISA Server 2006的企業(yè)網(wǎng)絡(luò)邊界解決方案。

客戶端保護(hù)解決方案：

企業(yè)可以以安全解決方案套件的方式部署Forefront客戶端防護(hù)套件，在客戶端防護(hù)套件中包含了微軟提供的所有的安全防護(hù)和管理功能，通過對(duì)一部或多部電腦部署相同的防護(hù)規(guī)則，在安全防護(hù)程序內(nèi)實(shí)現(xiàn)反間諜軟件、反病毒、安全狀態(tài)防護(hù)等功能。FCS支持本機(jī)和遠(yuǎn)程存取的所有管理功能，包括設(shè)置、病毒庫(kù)更新、報(bào)告和警報(bào)等。

集中式的管理控制臺(tái)通過詳盡的并優(yōu)先排序的安全報(bào)告和摘要儀表盤，能夠?yàn)槠髽I(yè)IT管理人員和IT安全實(shí)施人員提供關(guān)鍵可見度和控制能力，讓企業(yè)掌握并控制惡意代碼的威脅。單一儀表盤提供了威脅和弱點(diǎn)的可見度。狀態(tài)評(píng)估掃描能夠協(xié)助企業(yè)判斷哪些受管理的程序需要打上安全補(bǔ)丁或者需要更新安全防護(hù)策略，或者那些系統(tǒng)有不安全的配置。通過威脅警報(bào)，企業(yè)IT安全實(shí)施人員不需要搜索大量的資料或者咨詢其他的實(shí)施人員，而只需要簡(jiǎn)單地關(guān)注于這些詳盡的資料，即可讓企業(yè)實(shí)現(xiàn)對(duì)威脅事態(tài)發(fā)展趨勢(shì)的評(píng)估，并把重點(diǎn)放在重要的信息上，同時(shí)能夠讓企業(yè)IT安全實(shí)施人員獲得更多的信息。

在FCS中已經(jīng)有針對(duì)設(shè)定安全代理程序的Active Directory群組策略，以及發(fā)布數(shù)字認(rèn)證的Windows Server Update Services（WSUS）最優(yōu)化應(yīng)用策略。企業(yè)可以通過采用Microsoft合作伙伴的軟件應(yīng)用系統(tǒng)配合FCS一起應(yīng)用來實(shí)現(xiàn)最佳的防護(hù)效果。如圖2所示FCS各個(gè)組件之間的拓?fù)潢P(guān)系圖。

圖2：Microsoft FCS 客戶端保護(hù)解決方案架構(gòu)圖

企業(yè)網(wǎng)絡(luò)邊界安全解決方案：

作為企業(yè)級(jí)防護(hù)墻軟件，ISA Server與微軟其他服務(wù)器保護(hù)軟件一起，構(gòu)筑起對(duì)企業(yè)各個(gè)層面上應(yīng)用程序的防護(hù)長(zhǎng)城。企業(yè)可以在整體架構(gòu)方案中同時(shí)引入Exchange Server、SharePoint、Active Directory等企業(yè)級(jí)工具。

Internet訪問保護(hù)

ISA 2006通過使用SSL橋接的加密流量監(jiān)測(cè)、HTTP偵聽限制用戶身份驗(yàn)證支持訪問

工具、NTLM、Kerberos、基于增強(qiáng)用戶/密碼的訪問控制等功能，實(shí)現(xiàn)對(duì)Internet訪問保護(hù)，防范源自企業(yè)網(wǎng)絡(luò)外部的 Internet 威脅和企業(yè)內(nèi)部的威脅。

安全遠(yuǎn)程訪問

ISA 2006通過采用SSL加密VPN、應(yīng)用程序?qū)舆^濾和端點(diǎn)安全管理，使員工可以從不同的位置，以被優(yōu)化的方式對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的關(guān)鍵應(yīng)用程序、文檔和數(shù)據(jù)通過企業(yè)Intranet進(jìn)行訪問。

安全有效地連接到分支機(jī)構(gòu)

ISA 2006通過采用HTTP 壓縮、內(nèi)容緩存和與應(yīng)用層過濾集成的站點(diǎn)到站點(diǎn)VPN功能，使企業(yè)網(wǎng)絡(luò)可以連接并保護(hù)其分支機(jī)構(gòu)的網(wǎng)絡(luò)，實(shí)現(xiàn)更安全、更輕松的企業(yè)網(wǎng)絡(luò)擴(kuò)展。

在經(jīng)過基于ISA 2006的企業(yè)邊界防護(hù)以后，然后分別采用Exchange Server對(duì)企業(yè)郵件進(jìn)行防護(hù)和SharePoint實(shí)施基于內(nèi)容監(jiān)控的防護(hù)，構(gòu)建起企業(yè)端到端的安全防護(hù)體系，確保企業(yè)IT應(yīng)用免受多種外界威脅的侵害。如圖3所示，微軟ISA 2006解決方案架構(gòu)。

圖3：Microsoft ISA 2006解決方案架構(gòu)圖