隨著Windows操作系統的服務器和客戶端的廣泛運用,各種入侵攻擊事件時常見諸媒體,其中更有不少造成嚴重的經濟損失,面對如此嚴峻的安全形勢,企業用戶應當如何應對?針對這樣安全形勢,微軟推出了ForeFront Security安全產品家族,其中包括ForeFront Client Security、ForeFront Server Security 和ForeFront Edge Security,范圍涵蓋了客戶端、服務器和網絡邊界安全。ForeFront可以說是體現了Microsoft對企業用戶的Windows操作系統和網絡安全需求的理解,下文一起來了解ForeFront家族的成員組成。
ForeFront Security的特性
ForeFront Security不單只有以ForeFront Security命名的幾個產品,它還包括了眾多的Microsoft 安全產品,比如WSUS、System Center、ISA、IAG等。所謂“透過現象看本質”,雖然ForeFront的產品線相當復雜,不過我們仍可看到Microsoft在 ForeFront上所要實現的三個特性:綜合、集成、簡易
●綜合(Comprehensive) ForeFront家族是客戶端、服務器和網絡邊界安全的完整解決方案,包括了惡意軟件防御、補丁管理、身份驗證、遠程訪問等安全功能,保護范圍覆蓋企業網絡和所有采用Windows操作系統的節點。
●集成(Integrated) ForeFront可以和用戶現有的Windows平台上的信息處理體系和安全方案緊密的集成在一起,使用戶可以更有效和更清楚的控制企業網絡中的安全情況。
●簡易(Simplified) ForeFront給用戶提供了單一的管理視圖,增加用戶對企業網絡安全狀態的可見性,從而可以實現更好的管理和威脅緩解過程。
企業用戶從ForeFront的三個特性中可以得到什麼啟示呢?讓不同行業不同大小的企業來回答這個問題會有不同的答案,但筆者認為答案的區別應該是在這三個特性的優先度排列上而不是在答案的內容上。因為ForeFront Security的一些組件尚未正式推出,現在從整體安全架構的技術層面上,來討論ForeFront與其它安全方案的優劣,似乎尚早,不過從 ForeFront的設計理念上來討論一下Windows平台安全的實現,倒是個相當有啟發性的話題。
Forefront與企業安全四特性
安全綜合性首先是Windows安全實現的綜合性。目前大部分的企業中原有的安全實現可以歸類於“頭痛醫頭,腳疼醫腳”式的方案:如果客戶端時常面臨惡意軟件的威脅,企業的信息部門會購買單機版的反病毒軟件並安裝;如果服務器有可能遭受黑客入侵,企業的信息部門會購買防火牆,安裝入侵檢查設備;如果郵件服務在某一時段內有大量的垃圾郵件侵襲,企業的信息部門會購買各種反垃圾郵件的安全產品——企業對安全方案的采購和部署並不是基於對影響企業業務和信息處理的安全威脅的戰略性分析,而只是為了防御某類型的安全威脅而進行的短期行為。這樣的采購和部署思路雖然在短期內有不錯的效果,卻會給企業帶來虛假的安全感和不小的安全隱患,企業往往在日後遭受到新安全威脅的損害之後,才會對認識新威脅並對其做出反應。
最近頻繁出現在媒體上的0Day漏洞攻擊便是一個例子,企業如果只部署了一般的反病毒軟件和防火牆(這樣的企業環境很常見,為簡便起見,下文稱為一般信息處理環境),在0Day漏洞的攻擊下是毫無防御能力的,唯有在同時啟用入侵檢測、反病毒、防火牆等安全功能的情況下,才能比較有效的檢測和攔截。此外,企業缺乏遠見的安全方案采購部署方法,也很容易導致安全功能的缺失,進而在企業的信息安全體系中造成潛在的弱點。一個桶能裝的水取決於最短的桶板的長度,一個缺乏某些關鍵安全功能的安全體系,實際的安全效能並不比什麼安全方案都不用的環境安全多少,還是用上面提到的一般企業信息處理環境做示例,如果不在內部網絡中使用WSUS服務或使用Windows Update,管理員無法掌握每個網絡節點的補丁升級情況,一個利用Windows漏洞傳播、反病毒軟件暫時無法檢測出來的新蠕蟲將可以很輕易的攻陷企業內網的所有機器。從這個角度上講,企業用戶要實現Windows平台的安全最大化,貫徹Microsoft 在ForeFront Security中所要實現的“安全功能的完整性”這一理念就顯得無比重要。
安全集成性 其次是Windows安全實現的集成。ForeFront Security就強調了其安全功能和用戶舊有的Windows平台應用的無縫結合。企業信息處理環境的組成非常復雜,即便在稍微上點規模的企業中,信息處理環境就可以按照信息處理需求的不同分為各種應用服務器、關鍵網絡服務器、客戶端機器等多個環境類型,更不用說大中型的企業或跨國企業。而各個環境上的軟硬件環境又是千差萬別,安全級別和性能需求也是各不相同,例如,企業要在應用服務器上部署一套負責內容過濾和性能監控的安全方案、可是事先又沒有對待部署方案與舊有的應用服務器環境的兼容性和整合性進行過嚴格測試,只憑廣告的宣傳進行選擇,那後續的故障排查對企業信息部門來說無異於一場噩夢,這套安全方案的實施效果也無從談起。因此,企業在部署安全方案時,無論是從實施效果還是保護原有投資的角度來說,安全方案和舊有設施的集成性都是必須考慮的關鍵因素。 上一頁12下一頁共2頁
安全簡易性最後是安全實現的簡易性,也稱為可操作性。根據心理學的解釋,越是關鍵的決定或操作,過程應該復雜一點,給操作者反復檢查和確認的機會,減少出錯的可能; 而越是頻繁的動作,過程越是應該簡單一點,最好能把多個簡單的動作合而為一。管理員對企業網絡中的各Windows節點、應用服務器和網絡設備的監控管理屬於日常行為,操作理應簡單一點。但因為目前企業中缺乏完善的管理方案,許多企業中仍采用服務器由信息部門集中管理,客戶端由用戶自主管理的分散式管理方法。在大中型企業中常常會看到這樣的情況,每到Windows系統進行補丁升級的日子,信息部門就需要處理大量的服務器和客戶端,耗費的人力驚人,而且從補丁發布到整個企業的系統完全更新也成為企業網絡最容易受到攻擊的時間段。信息部門也無法獲得Windows客戶端上的警報和日志信息,即使是對集中管理的服務器上發生的安全事件反應也相當滯後,信息部門疲於奔命於各種安全警報的處理。
Forefront安全架構的推出,無疑為企業Windows架構的管理帶來了令人振奮的消息。
安全變更性 企業的IT管理中還有一個非常重要的方面——變更控制(Change Control)。信息部門需要掌握企業網絡中每一次變化,以便於故障排查和追蹤。這些變化包括安全策略的變更,服務及應用的變更,軟、硬件環境的變更,甚至於管理組織的變更。這些變更對於大型企業來說,隨時隨地都在發生著,其數量之大令人咋舌,那麼如何評估、監控、取證及完善這些變更,是每個企業IT主管的惡夢。例如,用戶在客戶端上私自進行企業安全策略不允許的操作或軟件安裝,往往會給企業網絡的安全埋下隱患,這兩年頻繁出現在新聞中的,通過移動存儲設備傳播的各種惡意軟件以及ARP病毒,就是沒有有效控制客戶端,違反安全策略的行為,最終導致安全事故的例子。對於這一點,Forefront安全架構利用自身的安全特性,並結合System Center產品系列,很好的實現了企業IT安全管理的目標。
綜上所述,一個安全解決方案至少需要考慮到四個方面:綜合性、集成性、簡便性和變更性。就此而言,ForeFront Security是個不錯的選擇。但不是說在企業中實施了Forefront,就實現了企業IT安全了,一方面,安全管理更多的是對人對流程的管理,另一方面,剛上市的產品也需要時間逐步進行完善。企業在選擇方案時,首先對自己的業務流程、IT設施和面臨的安全威脅進行詳細的分析調查,對前面提到的四個要求進行優先度排序,然後在ForeFront家族中,根據自身的情況,選擇合適的產品組合。
上一頁12 下一頁共2頁