企業對安全架構的需求
在當前的企業安全環境中,其威脅性越來越高,攻擊行為也更為先進,而且很多情況下都因為直接經濟利益的驅動而展開攻擊。而且攻擊目標的針對性也越來越強,傳播的速度也越來越快,留給系統管理人員和安全實施人員應對這些威脅和攻擊防護的時間越來越短。一旦針對企業的攻擊得逞,入侵者將會采取各種方式實現對企業網絡的長期駐留,對企業造成的影響將難以估量。在企業面臨的外面安全威脅和挑戰中,發生最為頻繁的威脅當屬惡意軟件。惡意軟件的類型從原來單一的病毒,演化成目前流行的使用多種高級技術的蠕蟲、僵尸網絡、后門程序、木馬、間諜軟件等多種并存的局面,從傳播途徑上來說,企業日常使用最多的Web和電子郵件就是惡意軟件傳播的主要途徑。如圖1所示,當前企業安全管理人員要應對圖示當中的挑戰:
 |
| 圖1:當前企業的安全挑戰 |
當前大多企業安全解決方案存在的問題
在入侵者強大的攻勢面前,企業的IT工作人員和安全實施人員往往扮演著救火隊員的角色,在不知疲倦的各種類型的攻擊面前不知疲倦地應付,發布威脅警報、發布安全補丁通告、企業系統修復、企業數據修復等等。究其根源,企業的安全解決方案存在著嚴重的缺陷。筆者認為主要問題如下:
1、缺乏可拓展的整體安全規劃。企業要面對的安全環境如同不斷變化的商務環境一樣,是一個動態變化的環境。因此任何缺乏長遠防護目標和缺乏可拓展的安全解決方案即意味著對企業安全防護的投資將付之東流。
2、企業安全涉眾人員的整體安全意識薄弱。盡管不同的企業采用不同的方式努力提高企業員工的安全意識,但是沒有任何一個企業的安全實施人員能夠確保公司的員工不會通過公司網絡訪問非法網站,并可能因此帶來針對整個企業的安全隱患。
3、相當多的企業缺乏足夠的安全解決方案實施預算。強大的安全防護依賴于強大的經濟投入,防護級別意味著投資級別,硬件防火墻和軟件防火墻的成本不同,因此效率也不同。而對于缺乏預算的而言,難道只有望洋興嘆?任人竊取企業的敏感數據?所以,企業需要一個能夠提供企業架構級別的安全解決方案,并能夠在長期的應用過程中,實現對企業安全的高效、可擴展防護,更重要的是,這一解決方案不需要太多的財政預算。
Forefront簡介
Microsoft Forefront提供了完整的企業安全產品家族,能夠對您的網絡基礎架構提供完善的防護與監控。按照產品功能進行劃分,Forefront安全產品家族主要包括企業網絡邊界防護、服務器保護和客戶端保護三大類產品。
相應的產品包括以下六大功能性產品:
企業網絡邊界防護:
Microsoft Internet Security and Acceleration (ISA) Server 2006;
Microsoft Intelligent Application Gateway (IAG) 2007。
服務器保護:
Microsoft Forefront Security for Exchange Server;
Microsoft Forefront Security for SharePoint;
Microsoft Forefront Security for Office Communications Server。
客戶端保護:
Microsoft Forefront Client Security
以上六大功能產品是當前被廣泛應用的微軟Forefront安全解決方案產品,企業可以根據自己的業務和安全需求,靈活選擇相應的產品。對于大型企業而言,需要全面的安全防護解決方案,同時擁有充足的IT預算,因此可以采用多種微軟Forefront安全產品;對于僅希望加強企業某一方面安全防護能力的企業而言,則可以根據實際需求選擇一種或多種相應功能的安全產品。
Forefront能夠給企業帶來的益處
以被企業長期青睞并進行投資的Windows技術體系為依托,Microsoft Forefront安全產品能夠輕易地與其他供應商的產品、企業中遺留的應用系統以及企業的IT基礎架構整合在一起,并且能夠通過與合作伙伴的解決方案一起,為企業實現端到端的安全解決架構解決方案。在實施了Microsoft Forefront的安全解決方案以后,其簡單的部署、管理和分析,能夠讓企業的IT安全實施人員更加有效地保護企業信息的安全,并且能夠安全地應用和保護服務器上的應用程序。
通過實施Forefront安全解決方案,能夠讓企業IT安全實施人員在面對瞬息萬變的威脅和與日俱增的企業安全需求面前應對自如、充滿信心。
在企業網絡邊界防護上,Microsoft Internet Security and Acceleration (ISA) Server 2006作為企業級防火墻,為企業信息安全提供了強大的邊界防護支持,它通過深入內容檢測、強大的VPN技術以及采用HTTP 壓縮、內容緩存和與應用層過濾集成的站點到站點VPN功能等,滿足企業在Internet訪問保護、安全遠程訪問以及安全有效的分支機構連接上的需求。而Microsoft Intelligent Application Gateway (IAG) 2007則可以滿足對企業邊界安全有更高要求的企業的需求。
在服務器保護上,Forefront推出了三款分別針對郵件防護、病毒防護與內容控制,以及針對日益廣泛應用的企業即時通信工具保護的功能性安全工具,其中Microsoft Forefront Security for Exchange Server通過強化分層防御機制,改進了對郵件內容過濾的策略,確保電子郵件系統免遭病毒蠕蟲感染;Microsoft Forefront Security for SharePoint通過多掃描引擎管理和一系列的篩選選項來自動檢測與清除文檔中感染的病毒,并依照公司內容策略地實施前瞻性防護;Microsoft Forefront Security for Office Communications Server可在即時通訊會話中檢測和清除病毒,支持文件傳輸和加密的對話,隔絕即時通訊中可能有害的鏈接,并通過可配置的安全策略攔截掃描和攔截即時通訊會話中和文檔中的機密信息及關鍵字,幫助企業實時把握信息的脈搏。
對于客戶端的保護,Microsoft Forefront Client Security(FCS)針對企業內桌面電腦、筆記本電腦以及服務器應用系統,提供更易管理且全面的惡意程序防護。FCS能夠幫助企業應對多種新興的威脅(如惡意軟件和Rootkit等)以及傳統的威脅(如病毒、蠕蟲和木馬程序)。FCS通過集中式的管理來簡化系統管理,并針對威脅和安全缺陷提供可見度,提供高效的防護功能。
應用Forefront安全解決方案
本文將主要介紹基于FCS的客戶端保護解決方案和基于ISA Server 2006的企業網絡邊界解決方案。
客戶端保護解決方案:
企業可以以安全解決方案套件的方式部署Forefront客戶端防護套件,在客戶端防護套件中包含了微軟提供的所有的安全防護和管理功能,通過對一部或多部電腦部署相同的防護規則,在安全防護程序內實現反間諜軟件、反病毒、安全狀態防護等功能。FCS支持本機和遠程存取的所有管理功能,包括設置、病毒庫更新、報告和警報等。
集中式的管理控制臺通過詳盡的并優先排序的安全報告和摘要儀表盤,能夠為企業IT管理人員和IT安全實施人員提供關鍵可見度和控制能力,讓企業掌握并控制惡意代碼的威脅。單一儀表盤提供了威脅和弱點的可見度。狀態評估掃描能夠協助企業判斷哪些受管理的程序需要打上安全補丁或者需要更新安全防護策略,或者那些系統有不安全的配置。通過威脅警報,企業IT安全實施人員不需要搜索大量的資料或者咨詢其他的實施人員,而只需要簡單地關注于這些詳盡的資料,即可讓企業實現對威脅事態發展趨勢的評估,并把重點放在重要的信息上,同時能夠讓企業IT安全實施人員獲得更多的信息。
在FCS中已經有針對設定安全代理程序的Active Directory群組策略,以及發布數字認證的Windows Server Update Services(WSUS)最優化應用策略。企業可以通過采用Microsoft合作伙伴的軟件應用系統配合FCS一起應用來實現最佳的防護效果。如圖2所示FCS各個組件之間的拓撲關系圖。
 |
|
圖2:Microsoft |
企業網絡邊界安全解決方案:
作為企業級防護墻軟件,ISA Server與微軟其他服務器保護軟件一起,構筑起對企業各個層面上應用程序的防護長城。企業可以在整體架構方案中同時引入Exchange Server、SharePoint、Active Directory等企業級工具。
Internet訪問保護
ISA 2006通過使用SSL橋接的加密流量監測、HTTP偵聽限制用戶身份驗證支持訪問
工具、NTLM、Kerberos、基于增強用戶/密碼的訪問控制等功能,實現對Internet訪問保護,防范源自企業網絡外部的 Internet 威脅和企業內部的威脅。
安全遠程訪問
ISA 2006通過采用SSL加密VPN、應用程序層過濾和端點安全管理,使員工可以從不同的位置,以被優化的方式對企業內部網絡中的關鍵應用程序、文檔和數據通過企業Intranet進行訪問。
安全有效地連接到分支機構
ISA 2006通過采用HTTP 壓縮、內容緩存和與應用層過濾集成的站點到站點VPN功能,使企業網絡可以連接并保護其分支機構的網絡,實現更安全、更輕松的企業網絡擴展。
在經過基于ISA 2006的企業邊界防護以后,然后分別采用Exchange Server對企業郵件進行防護和SharePoint實施基于內容監控的防護,構建起企業端到端的安全防護體系,確保企業IT應用免受多種外界威脅的侵害。如圖3所示,微軟ISA 2006解決方案架構。
 |
|
圖3:Microsoft |
