企業(yè)的安全問(wèn)題與企業(yè)整體的IT架構(gòu)類(lèi)似，是一個(gè)長(zhǎng)期存在并且需要長(zhǎng)遠(yuǎn)規(guī)劃、實(shí)施的問(wèn)題。安全實(shí)際上是一個(gè)動(dòng)態(tài)的過(guò)程，一般可以分為評(píng)估、防護(hù)、檢測(cè)、響應(yīng)依次實(shí)施的四個(gè)步驟。而響應(yīng)后期的工作更多的可以把它看作是一種再評(píng)估、再防護(hù)的過(guò)程，這樣，整個(gè)安全過(guò)程就成為一種動(dòng)態(tài)的，循環(huán)的，不斷優(yōu)化的一個(gè)過(guò)程。

企業(yè)的CIO們和CTO們?cè)诿鎸?duì)由不同廠商提供的安全解決方案時(shí)，難免陷入不知所措的境地。如何讓自己的解決方案更具有可擴(kuò)展性、如何讓自己的解決方案能夠更好地與組織當(dāng)前的IT架構(gòu)無(wú)縫耦合、如何使企業(yè)的IT投資具有最大的投資收益和可重用度，成為企業(yè)在著手制定企業(yè)安全戰(zhàn)略和實(shí)施安全架構(gòu)解決方案之前，必須考慮的問(wèn)題。

企業(yè)安全戰(zhàn)略的必要性

企業(yè)需要的是可管理的安全系統(tǒng)，而不僅僅是一些安全設(shè)備。一個(gè)功能完善的、可管理的系統(tǒng)，通常難以通過(guò)簡(jiǎn)單地部署一些安全設(shè)備或軟件來(lái)一步到位，尤其對(duì)于已經(jīng)對(duì)IT設(shè)備進(jìn)行了相當(dāng)長(zhǎng)時(shí)間投入的大型企業(yè)而言，新的安全解決方案的引入，必須與現(xiàn)有的IT設(shè)備和解決方案無(wú)縫耦合，同時(shí)還要具備良好的可擴(kuò)展性，能夠應(yīng)對(duì)企業(yè)將來(lái)可能的IT環(huán)境變更（尤其在企業(yè)收購(gòu)、新應(yīng)用程序的部署、新設(shè)備的部署等情況下），能夠把新的IT環(huán)境納入到企業(yè)整體的安全管理和防護(hù)體系中來(lái)。實(shí)現(xiàn)這樣的安全解決方案必須從戰(zhàn)略的角度制定企業(yè)安全解決方案的長(zhǎng)遠(yuǎn)發(fā)展路線。

企業(yè)安全戰(zhàn)略的制定與實(shí)施

在制定和實(shí)施企業(yè)安全戰(zhàn)略時(shí)應(yīng)當(dāng)遵循以下原則：

一、安全戰(zhàn)略必須滿足業(yè)務(wù)需求。企業(yè)處于一個(gè)不斷變化的業(yè)務(wù)環(huán)境當(dāng)中，因此IT解決方案并不能實(shí)現(xiàn)所有的業(yè)務(wù)行為，而是企業(yè)業(yè)務(wù)實(shí)施的推助工具，所以企業(yè)解決方案應(yīng)當(dāng)能夠滿足不斷變化的企業(yè)業(yè)務(wù)需求，對(duì)業(yè)務(wù)變化做出即時(shí)的響應(yīng)。企業(yè)安全戰(zhàn)略同樣應(yīng)該能夠隨著企業(yè)對(duì)IT整體解決方案的變化而變化，從安全層面確保企業(yè)業(yè)務(wù)的開(kāi)展不受影響。

二、安全戰(zhàn)略必須適應(yīng)企業(yè)文化。安全戰(zhàn)略的實(shí)施很大程度上依賴(lài)于人的行為習(xí)慣和使用IT設(shè)備的方法，在一個(gè)寬松的環(huán)境中或在工作人員很精通技術(shù)的公司中實(shí)施封閉性安全戰(zhàn)略的困難將會(huì)很大，能否與企業(yè)文化相適應(yīng)是新的安全戰(zhàn)略順利實(shí)施的非技術(shù)性關(guān)鍵因素。

三、安全戰(zhàn)略應(yīng)當(dāng)把企業(yè)各個(gè)層面的個(gè)人納入到統(tǒng)一的體系架構(gòu)中來(lái)。“千里大提，潰于蟻穴”，作為企業(yè)最重要的因素的個(gè)人是企業(yè)安全戰(zhàn)略最大的受益者之一，也直接影響著企業(yè)安全戰(zhàn)略實(shí)施的成敗，因此企業(yè)安全戰(zhàn)略應(yīng)當(dāng)把對(duì)個(gè)人信息及其IT設(shè)備的安全防護(hù)作為整個(gè)企業(yè)安全戰(zhàn)略的重中之重。而來(lái)自企業(yè)內(nèi)部潛在的信息泄漏則是大多數(shù)企業(yè)最容易忽視的環(huán)節(jié)。

企業(yè)安全戰(zhàn)略由其長(zhǎng)期性而面臨很多的不確定性，甚至安全戰(zhàn)略的制定者也可能由于種種原因離開(kāi)組織，因此企業(yè)在制定和實(shí)施IT安全戰(zhàn)略的時(shí)候，除考慮滿足功能性需求以外，還應(yīng)該最大程度規(guī)范化整個(gè)實(shí)施流程，確保實(shí)施的可延續(xù)性。另外，對(duì)于安全戰(zhàn)略而言，企業(yè)規(guī)模的大小將不是關(guān)鍵，大型企業(yè)可能更容易受到利用軟件集成性不好的弱點(diǎn)攻擊，原因是它們很高的知名度招致人們更多的隨意窺探。一些小企業(yè)也會(huì)遇到甚至更大的問(wèn)題，因?yàn)樗鼈兗葹槿怂趾苋菀资艿焦簟５牵还芷髽I(yè)規(guī)模大小，制定安全戰(zhàn)略的關(guān)鍵是以適當(dāng)角度評(píng)估系統(tǒng)的脆弱性，根據(jù)其實(shí)際情況部署合適的安全措施。

在制定與實(shí)施安全戰(zhàn)略時(shí)，必須使整個(gè)企業(yè)都參與進(jìn)來(lái)，而不僅僅限于管理層，并要確切地了解安全戰(zhàn)略將能夠從哪個(gè)層面得到多大的支持。

Forefront產(chǎn)品對(duì)企業(yè)應(yīng)用的針對(duì)性

針對(duì)企業(yè)和個(gè)人各個(gè)層面上的應(yīng)用需求，微軟已形成了成熟的Forefront安全產(chǎn)品線，該系列產(chǎn)品主要包括以下根據(jù)功能進(jìn)行分類(lèi)的軟件：

一、網(wǎng)絡(luò)邊緣保護(hù)

相應(yīng)的產(chǎn)品為Microsoft Internet Security and Acceleration (ISA) Server 2006，此產(chǎn)品屬于企業(yè)級(jí)防火墻，它為企業(yè)網(wǎng)絡(luò)安全提供了強(qiáng)大支持，其主要功能如下：

1、Internet訪問(wèn)保護(hù)
ISA2006 通過(guò)多層深入內(nèi)容檢查技術(shù)、全面而靈活的安全策略以及可自定義的網(wǎng)絡(luò)協(xié)議過(guò)濾器和網(wǎng)絡(luò)路由關(guān)系，幫助企業(yè)對(duì)其網(wǎng)絡(luò)環(huán)境進(jìn)行保護(hù)，并防范源自網(wǎng)絡(luò)外部的 Internet 威脅和內(nèi)部的威脅。

2、安全遠(yuǎn)程訪問(wèn)
ISA2006通過(guò)采用SSL加密VPN、應(yīng)用程序?qū)舆^(guò)濾和端點(diǎn)安全管理，使員工可以從不同的位置，以被優(yōu)化的方式對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的關(guān)鍵應(yīng)用程序、文檔和數(shù)據(jù)通過(guò)Intranet進(jìn)行訪問(wèn)。

3、安全有效地連接到分支機(jī)構(gòu)
ISA2006通過(guò) HTTP 壓縮、內(nèi)容緩存和與應(yīng)用層過(guò)濾集成的站點(diǎn)到站點(diǎn)VPN功能，使企業(yè)網(wǎng)絡(luò)可以連接并保護(hù)其分支機(jī)構(gòu)的網(wǎng)絡(luò)，實(shí)現(xiàn)更安全、更輕松的企業(yè)網(wǎng)絡(luò)擴(kuò)展。