企業(yè)的安全問題與企業(yè)整體的IT架構(gòu)類似，是一個(gè)長(zhǎng)期存在并且需要長(zhǎng)遠(yuǎn)規(guī)劃、實(shí)施的問題。安全實(shí)際上是一個(gè)動(dòng)態(tài)的過程，一般可以分為評(píng)估、防護(hù)、檢測(cè)、響應(yīng)依次實(shí)施的四個(gè)步驟。而響應(yīng)后期的工作更多的可以把它看作是一種再評(píng)估、再防護(hù)的過程，這樣，整個(gè)安全過程就成為一種動(dòng)態(tài)的，循環(huán)的，不斷優(yōu)化的一個(gè)過程。

企業(yè)的CIO們和CTO們?cè)诿鎸?duì)由不同廠商提供的安全解決方案時(shí)，難免陷入不知所措的境地。如何讓自己的解決方案更具有可擴(kuò)展性、如何讓自己的解決方案能夠更好地與組織當(dāng)前的IT架構(gòu)無縫耦合、如何使企業(yè)的IT投資具有最大的投資收益和可重用度，成為企業(yè)在著手制定企業(yè)安全戰(zhàn)略和實(shí)施安全架構(gòu)解決方案之前，必須考慮的問題。

企業(yè)安全戰(zhàn)略的必要性

企業(yè)需要的是可管理的安全系統(tǒng)，而不僅僅是一些安全設(shè)備。一個(gè)功能完善的、可管理的系統(tǒng)，通常難以通過簡(jiǎn)單地部署一些安全設(shè)備或軟件來一步到位，尤其對(duì)于已經(jīng)對(duì)IT設(shè)備進(jìn)行了相當(dāng)長(zhǎng)時(shí)間投入的大型企業(yè)而言，新的安全解決方案的引入，必須與現(xiàn)有的IT設(shè)備和解決方案無縫耦合，同時(shí)還要具備良好的可擴(kuò)展性，能夠應(yīng)對(duì)企業(yè)將來可能的IT環(huán)境變更（尤其在企業(yè)收購、新應(yīng)用程序的部署、新設(shè)備的部署等情況下），能夠把新的IT環(huán)境納入到企業(yè)整體的安全管理和防護(hù)體系中來。實(shí)現(xiàn)這樣的安全解決方案必須從戰(zhàn)略的角度制定企業(yè)安全解決方案的長(zhǎng)遠(yuǎn)發(fā)展路線。

企業(yè)安全戰(zhàn)略的制定與實(shí)施

在制定和實(shí)施企業(yè)安全戰(zhàn)略時(shí)應(yīng)當(dāng)遵循以下原則：

一、安全戰(zhàn)略必須滿足業(yè)務(wù)需求。企業(yè)處于一個(gè)不斷變化的業(yè)務(wù)環(huán)境當(dāng)中，因此IT解決方案并不能實(shí)現(xiàn)所有的業(yè)務(wù)行為，而是企業(yè)業(yè)務(wù)實(shí)施的推助工具，所以企業(yè)解決方案應(yīng)當(dāng)能夠滿足不斷變化的企業(yè)業(yè)務(wù)需求，對(duì)業(yè)務(wù)變化做出即時(shí)的響應(yīng)。企業(yè)安全戰(zhàn)略同樣應(yīng)該能夠隨著企業(yè)對(duì)IT整體解決方案的變化而變化，從安全層面確保企業(yè)業(yè)務(wù)的開展不受影響。

二、安全戰(zhàn)略必須適應(yīng)企業(yè)文化。安全戰(zhàn)略的實(shí)施很大程度上依賴于人的行為習(xí)慣和使用IT設(shè)備的方法，在一個(gè)寬松的環(huán)境中或在工作人員很精通技術(shù)的公司中實(shí)施封閉性安全戰(zhàn)略的困難將會(huì)很大，能否與企業(yè)文化相適應(yīng)是新的安全戰(zhàn)略順利實(shí)施的非技術(shù)性關(guān)鍵因素。

三、安全戰(zhàn)略應(yīng)當(dāng)把企業(yè)各個(gè)層面的個(gè)人納入到統(tǒng)一的體系架構(gòu)中來。“千里大提，潰于蟻穴”，作為企業(yè)最重要的因素的個(gè)人是企業(yè)安全戰(zhàn)略最大的受益者之一，也直接影響著企業(yè)安全戰(zhàn)略實(shí)施的成敗，因此企業(yè)安全戰(zhàn)略應(yīng)當(dāng)把對(duì)個(gè)人信息及其IT設(shè)備的安全防護(hù)作為整個(gè)企業(yè)安全戰(zhàn)略的重中之重。而來自企業(yè)內(nèi)部潛在的信息泄漏則是大多數(shù)企業(yè)最容易忽視的環(huán)節(jié)。

企業(yè)安全戰(zhàn)略由其長(zhǎng)期性而面臨很多的不確定性，甚至安全戰(zhàn)略的制定者也可能由于種種原因離開組織，因此企業(yè)在制定和實(shí)施IT安全戰(zhàn)略的時(shí)候，除考慮滿足功能性需求以外，還應(yīng)該最大程度規(guī)范化整個(gè)實(shí)施流程，確保實(shí)施的可延續(xù)性。另外，對(duì)于安全戰(zhàn)略而言，企業(yè)規(guī)模的大小將不是關(guān)鍵，大型企業(yè)可能更容易受到利用軟件集成性不好的弱點(diǎn)攻擊，原因是它們很高的知名度招致人們更多的隨意窺探。一些小企業(yè)也會(huì)遇到甚至更大的問題，因?yàn)樗鼈兗葹槿怂趾苋菀资艿焦簟５牵还芷髽I(yè)規(guī)模大小，制定安全戰(zhàn)略的關(guān)鍵是以適當(dāng)角度評(píng)估系統(tǒng)的脆弱性，根據(jù)其實(shí)際情況部署合適的安全措施。

在制定與實(shí)施安全戰(zhàn)略時(shí)，必須使整個(gè)企業(yè)都參與進(jìn)來，而不僅僅限于管理層，并要確切地了解安全戰(zhàn)略將能夠從哪個(gè)層面得到多大的支持。

Forefront產(chǎn)品對(duì)企業(yè)應(yīng)用的針對(duì)性

針對(duì)企業(yè)和個(gè)人各個(gè)層面上的應(yīng)用需求，微軟已形成了成熟的Forefront安全產(chǎn)品線，該系列產(chǎn)品主要包括以下根據(jù)功能進(jìn)行分類的軟件：

一、網(wǎng)絡(luò)邊緣保護(hù)

相應(yīng)的產(chǎn)品為Microsoft Internet Security and Acceleration (ISA) Server 2006，此產(chǎn)品屬于企業(yè)級(jí)防火墻，它為企業(yè)網(wǎng)絡(luò)安全提供了強(qiáng)大支持，其主要功能如下：

1、Internet訪問保護(hù)
ISA2006 通過多層深入內(nèi)容檢查技術(shù)、全面而靈活的安全策略以及可自定義的網(wǎng)絡(luò)協(xié)議過濾器和網(wǎng)絡(luò)路由關(guān)系，幫助企業(yè)對(duì)其網(wǎng)絡(luò)環(huán)境進(jìn)行保護(hù)，并防范源自網(wǎng)絡(luò)外部的 Internet 威脅和內(nèi)部的威脅。

2、安全遠(yuǎn)程訪問
ISA2006通過采用SSL加密VPN、應(yīng)用程序?qū)舆^濾和端點(diǎn)安全管理，使員工可以從不同的位置，以被優(yōu)化的方式對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的關(guān)鍵應(yīng)用程序、文檔和數(shù)據(jù)通過Intranet進(jìn)行訪問。

3、安全有效地連接到分支機(jī)構(gòu)
ISA2006通過 HTTP 壓縮、內(nèi)容緩存和與應(yīng)用層過濾集成的站點(diǎn)到站點(diǎn)VPN功能，使企業(yè)網(wǎng)絡(luò)可以連接并保護(hù)其分支機(jī)構(gòu)的網(wǎng)絡(luò)，實(shí)現(xiàn)更安全、更輕松的企業(yè)網(wǎng)絡(luò)擴(kuò)展。