Forefront与企业安全四特性
安全综合性 首先是Windows安全实现的综合性。目前大部分的企业中原有的安全实现可以归类于“头痛医头,脚疼医脚”式的方案:如果客户端时常面临恶意软件的威胁,企业的信息部门会购买单机版的反病毒软件并安装;如果服务器有可能遭受黑客入侵,企业的信息部门会购买防火墙,安装入侵检查设备;如果邮件服务在某一时段内有大量的垃圾邮件侵袭,企业的信息部门会购买各种反垃圾邮件的安全产品——企业对安全方案的采购和部署并不是基于对影响企业业务和信息处理的安全威胁的战略性分析,而只是为了防御某类型的安全威胁而进行的短期行为。这样的采购和部署思路虽然在短期内有不错的效果,却会给企业带来虚假的安全感和不小的安全隐患,企业往往在日后遭受到新安全威胁的损害之后,才会对认识新威胁并对其做出反应。
最近频繁出现在媒体上的0Day漏洞攻击便是一个例子,企业如果只部署了一般的反病毒软件和防火墙(这样的企业环境很常见,为简便起见,下文称为一般信息处理环境),在0Day漏洞的攻击下是毫无防御能力的,唯有在同时启用入侵检测、反病毒、防火墙等安全功能的情况下,才能比较有效的检测和拦截。此外,企业缺乏远见的安全方案采购部署方法,也很容易导致安全功能的缺失,进而在企业的信息安全体系中造成潜在的弱点。一个桶能装的水取决于最短的桶板的长度,一个缺乏某些关键安全功能的安全体系,实际的安全效能并不比什么安全方案都不用的环境安全多少,还是用上面提到的一般企业信息处理环境做示例,如果不在内部网络中使用WSUS服务或使用Windows Update,管理员无法掌握每个网络节点的补丁升级情况,一个利用Windows漏洞传播、反病毒软件暂时无法检测出来的新蠕虫将可以很轻易的攻陷企业内网的所有机器。从这个角度上讲,企业用户要实现Windows平台的安全最大化,贯彻Microsoft 在ForeFront Security中所要实现的“安全功能的完整性”这一理念就显得无比重要。
安全集成性 其次是Windows安全实现的集成。ForeFront Security就强调了其安全功能和用户旧有的Windows平台应用的无缝结合。企业信息处理环境的组成非常复杂,即便在稍微上点规模的企业中,信息处理环境就可以按照信息处理需求的不同分为各种应用服务器、关键网络服务器、客户端机器等多个环境类型,更不用说大中型的企业或跨国企业。而各个环境上的软硬件环境又是千差万别,安全级别和性能需求也是各不相同,例如,企业要在应用服务器上部署一套负责内容过滤和性能监控的安全方案、可是事先又没有对待部署方案与旧有的应用服务器环境的兼容性和整合性进行过严格测试,只凭广告的宣传进行选择,那后续的故障排查对企业信息部门来说无异于一场噩梦,这套安全方案的实施效果也无从谈起。因此,企业在部署安全方案时,无论是从实施效果还是保护原有投资的角度来说,安全方案和旧有设施的集成性都是必须考虑的关键因素。
安全简易性 最后是安全实现的简易性,也称为可操作性。根据心理学的解释,越是关键的决定或操作,过程应该复杂一点,给操作者反复检查和确认的机会,减少出错的可能;而越是频繁的动作,过程越是应该简单一点,最好能把多个简单的动作合而为一。管理员对企业网络中的各Windows节点、应用服务器和网络设备的监控管理属于日常行为,操作理应简单一点。但因为目前企业中缺乏完善的管理方案,许多企业中仍采用服务器由信息部门集中管理,客户端由用户自主管理的分散式管理方法。在大中型企业中常常会看到这样的情况,每到Windows系统进行补丁升级的日子,信息部门就需要处理大量的服务器和客户端,耗费的人力惊人,而且从补丁发布到整个企业的系统完全更新也成为企业网络最容易受到攻击的时间段。信息部门也无法获得Windows客户端上的警报和日志信息,即使是对集中管理的服务器上发生的安全事件反应也相当滞后,信息部门疲于奔命于各种安全警报的处理。
Forefront安全架构的推出,无疑为企业Windows架构的管理带来了令人振奋的消息。
安全变更性 企业的IT管理中还有一个非常重要的方面——变更控制(Change Control)。信息部门需要掌握企业网络中每一次变化,以便于故障排查和追踪。这些变化包括安全策略的变更,服务及应用的变更,软、硬件环境的变更,甚至于管理组织的变更。这些变更对于大型企业来说,随时随地都在发生着,其数量之大令人咋舌,那么如何评估、监控、取证及完善这些变更,是每个企业IT主管的恶梦。例如,用户在客户端上私自进行企业安全策略不允许的操作或软件安装,往往会给企业网络的安全埋下隐患,这两年频繁出现在新闻中的,通过移动存储设备传播的各种恶意软件以及ARP病毒,就是没有有效控制客户端,违反安全策略的行为,最终导致安全事故的例子。对于这一点,Forefront安全架构利用自身的安全特性,并结合System Center产品系列,很好的实现了企业IT安全管理的目标。