在《》的上篇文章中,笔者提到微软涉足安全领域面临来自用户和安全厂家两方面压力,其实从专业安全厂家的观点来看,对于微软进入信息安全领域可能会抱有一种既爱又恨的态度,一方面希望微软增强操作系统安全性,减少应用层面的安全威胁,降低Windows平台的安全风险;但另一方面,这些安全厂家又不希望看到微软在信息安全领域过于强大,一旦微软的信息安全技术强大到足以能解决自己的安全问题时,对于任何一个专业安全厂家来说,都不是一件值得高兴的事。
跟安全厂家有所不同,终端用户其实很愿意微软提高自身的安全性,毕竟对于用户来说,简单易用才是他们想要的,就好像Windows平台用户可以方便的使用IE浏览器一样,当然微软必须要有能力解决安全问题。
此外,业界对微软的信息安全战略持有各种不同的质疑声音,但无论是什么质疑,归根结底针对的是微软的信息安全策略,我们就来看看微软的信息安全策略是什么?会给业内带来哪些思考?对企业的信息安全管理与建设意味着什么?
走进微软信息安全策略
在了解微软信息安全策略之前,必须要先搞清楚企业网络信息安全的问题在哪里,要保护什么?这也是微软大中华区信息安全总监何迪生经常强调的话。对于企业来说,任何安全技术和手段所要保护的核心内容都是数据,目的也是为了企业正常网络业务的运转。微软提出了信息安全纵深防御模型,除物理安全、边界安全、内部网络安全、主机安全、应用安全和数据安全六个技术层面进行的安全防护外,再加上法规政策、安全模型等安全指导思想,合理的规章制度、应急处理机制等信息安全管理手段和完整的安全培训体系,组成了微软总体安全架构体系。
◆“如果一栋大厦设置了门卫、又有监控系统、再加上一把锁,那么这栋大厦就降低了被破门而入的风险”何迪生称这种安全防护为物理安全。
◆利用防火墙、VPN隔离等手段保护企业网络的边界安全。
◆合理的对企业网络分段管理、利用IPsec等加密技术以及部署网络入侵检测和防御系统可以有效的解决企业内部网络安全问题。
◆通过加强操作系统自身的安全性和补丁管理系统,以及完整的认证体系达到防范主机安全的目的。
◆基于诸如邮件应用、Web访问、文件共享、即时通讯等应用的安全防护手段,从技术上降低了应用带给企业的安全风险。
◆对于数据的保护,可以利用访问控制、数据加密等手段进行。
除了上述六个层面的安全技术防护支持外,何迪生认为,还有两个不可忽视的要素,一是必须要通过法规政策、合理的规章制度、完整的审计、应急处理机制等手段对企业整体实施安全管理和指导,这样才能使上述六个层面的技术防护措施有效融合,实现统一完整的安全防护体系。除此之外,人的要素也不能忽略,要通过加强员工的安全意识和安全技能的培训,使企业的安全管理行之有效。
在51CTO记者看来,其实微软很早就提出了围绕可信任计算(Trustworthy Computing,TWC)构建总体系统安全架构体系(Microsoft Security Infrastructure)的核心设计思想。早在2006微软信息安全峰会上,微软就把信息安全战略列为会议的主要议题。在2007年5月的“微软安全日”活动中,微软高级安全战略专家Steve Riley先生也曾表示:微软的安全重心是提供一个可通过安全产品、服务和指南确保客户安全的基础强化安全平台。而针对IT管理中方方面面的挑战,怎样将管理和安全视为一个有机的整体,而不是单纯地看待“管理”和“安全”的某个方面,才是微软信息安全战略的核心所在。
所有的理论都要应用于实践,在实施信息安全策略的道路上,值得高兴的是微软也懂得这个道理。今年7月份,微软、思科、EMC共同宣布组建联盟,开发用于保护和共享机密政府信息的技术。这项技术能够使政府部门实现更好的通讯,并保护内容不会丢失。我们不难看出,微软正在积极努力地实现自己的信息安全策略。无独有偶,同样在7月微软又本着自己的信息安全策略正式推出针对企业级市场的安全解决方案:Forefront。它的推出意味着微软信息安全策略的落地,这也表示微软正在通过实践检验自己的信息安全理论,用Steve Riley先生的话说:“微软Forefront为企业网络基础架构的安全提供了更强大的防护与控制,它基于Windows、Office、Exchange的安全改进而构建。” 在采访微软大中华区信息安全总监何迪生生时,51CTO记者了解到:微软Forefront 解决方案是微软商务安全特性解决方案的综合产品系列,帮助用户保护信息以及控制对企业内环境的访问。Forefront 是利用微软技术指导支持的、具有高响应性的信息保护和访问控制解决方案。作为微软信息安全策略的排头兵,Forefront究竟包含什么内容?怎样解决企业面临的各种安全问题呢?下面记者就带大家初步了解一下Forefront安全解决方案
自己的安全自己解决
作为一款企业级的安全解决方案,我们先来看看Forefront包含了哪些产品:
◆Microsoft Forefront Client Security(以前称 Microsoft Client Protection)
◆Microsoft Forefront Security for Exchange Server(以前称 Microsoft Antigen for Exchange)
◆Microsoft Forefront Security for SharePoint(以前称 Antigen for SharePoint)
◆Microsoft Forefront Security for Office Communications Server(现名 Antigen for Instant Messaging)
◆Microsoft Internet Security and Acceleration (ISA) Server 2006
◆Intelligent Application Gateway (IAG) 2007
下面的图片更能说明Forefront产品的演进:
如果按微软的信息安全策略及安全模型分类,可以把上述产品分为客户端安全防护、应用安全防护及网络边缘安全防护三大类。这里我们首先简单了解一下这些产品:
客户端安全防护:
Microsoft Forefront Client Security(FCS)——针对客户端的安全解决方案
Microsoft Forefront Client Security 解决方案包括两个部分。第一个部分是 Security Agent — 安装在商用台式机、便携机和服务器操作系统上,可以实时防范和安排扫描间谍软件、病毒和 Rootkit 等威胁。第二个部分是中央管理服务器,可以让管理员轻松管理和更新预配置或自定义的恶意软件防护代理,并生成环境安全状态警报。值得一提的是在FCS解决方案中,第一次提出了多引擎概念,产品集成了多个厂家提供的技术领先的防病毒引擎,每一个扫描任务都可以选择多达5个扫描引擎同时进行病毒扫描。
应用安全防护:
Microsoft Forefront Security for Exchange Server 通过强调利用分层防范措施、Exchange Server 性能及可用性的优化和简化管理控制的方法,帮助保护电子邮件基础架构,使其避免感染和停机。其特点是将来自业界领先的安全公司的多个扫描引擎集成在一个解决方案中,帮助企业保护其 Exchange 邮件环境,防范病毒、蠕虫和垃圾邮件。
Microsoft Forefront Security for SharePoint 管理和集成防病毒扫描引擎,为防范最新威胁、不适当内容和泄露机密信息提供全面的保护,以确保文档在被保存到 SharePoint 文档库或从中检索时的安全性。其特点是通过多个扫描引擎,提供了内容控制,帮助企业保护其 Microsoft Office SharePoint 2007 和 Microsoft Windows SharePoint Services 3.0 协作环境,以防范包含恶意代码、机密信息和不适当内容的文档。
网络边缘防护
Microsoft Internet Security and Acceleration (ISA) Server 2006——微软的防火墙
ISA Server前身是Microsoft Proxy Server,是个代理服务器,而目前则是微软在安全方面最主要的产品,即防火墙、VPN、代理服务器(Cache)等多种功能。目前的版本是ISA Server 2006,除了有防火墙、VPN和网页Cache等功能,微软还特别强化应用程序的安全发布、分支机构网关和网页存取防护等措施。例如改善 Smart Cards和动态密码等多因素认证及NTLM、Kerberos和SecurID认证授权的支持,整合Active Directory以支持LDAP认证和预先认证;为了提升分支机构与总部之间的网络性能,ISA 2006也提供HTTP流量压缩、Bits Cache加速更新,并做到为特定IP自动判断、QoS;针对DoS、DDoS或蠕虫,ISA具备更好的抵抗力,减缓来自内部计算机感染蠕虫的冲击。
Intelligent Application Gateway (IAG) 2007
Intelligent Application Gateway (IAG) 2007 可以提供安全套接字层 (SSL) 虚拟专用网 (VPN)、Web 应用程序防火墙和端点安全管理功能,可以实现广泛业务分类应用程序的访问控制、授权和内容检查。这些技术一起,让移动和远程工作人员可以从包括信息亭、PC 和移动设备在内的广泛设备与位置,轻松、灵活地进行安全访问。IAG 还可以让 IT 管理员根据设备、用户、应用程序或其他业务条件,通过远程访问策略,满足应用程序和信息用法准则的要求。
除了上述产品线外,微软还提供了统一的管理控制台:Microsoft Forefront Server Security。它允许管理员方便地管理 Forefront Security for Exchange Server、Forefront Security for SharePoint 和 Microsoft Antigen,它提供了基于 Web 的控制台,以便集中管理配置与操作,自动执行特征与扫描引擎更新的下载和分发,并生成全面的报告。Forefront Server Security 管理控制台还允许管理员针对企业部署的各种系统,迅速地响应病毒的爆发,并更新保护系统,从而提高企业响应新威胁的敏捷性。通过与 Microsoft Windows Server 2003 和 Microsoft SQL Server 进行集成,Forefront Server Security 管理控制台可以帮助维护邮件和协作保护机制的可靠性和性能。
其他可用工具介绍:
微软的补丁系统:Microsoft Security Patch and Software Update Services(SUS)
微软的补丁发布以及更新服务(SUS)则是微软系统中最常用的安全更新工具及服务,是一切安全运行的基础。微软的补丁下载及SUS服务均为免费服务,但SUS服务器的架设需要专业人员进行。
微软的扫描器:Microsoft Baseline Security Analyzer(MBSA)
微软基准安全分析器(MBSA)是微软安全方面的一个服务工具,用来识别安全方面的常见配置错误,通过MBSA工具,可以扫描基于 Windows 操作系统的计算机,检查操作系统和其他安装组件,以发现安全方面的配置错误,并及时通过推荐的安全更新进行修补。
微软的风险评估工具:Microsoft Security Accessment Tool(MSAT)
微软安全评估工具(MSAT)是微软的一个风险评估工具,与MBSA直接扫描和评估系统不同,MSAT通过填写的详细的问卷以及相关信息,MSAT 处理问卷反馈,并评估组织在诸如基础结构、应用程序、操作和人员等领域中的安全实践,然后提出相应的安全风险管理措施和意见。
微软的恶意软件移除工具:Malicious Software Removal Tool(MSRT)
微软恶意软件移除工具是微软针对于各种恶意程序和脚本提供的一些工具,它可以检查运行微软Windows的计算机是否受到特殊、流行的恶意软件(包括 Blaster、Sasser 和 Mydoom)的感染,并清除所有找到的感染病毒。
微软的防间谍软件程序:Microsoft Windows Defender
Windows Defender即之前的Microsoft Antispyware Beta版,目前Windows Defender已经被微软以C++重新改写,并以系统服务方式常驻,可持续更新且实时扫描与移除已知的间谍程序和广告软件。
其实文章写到这里,相信大家应该对微软Forefront安全解决方案已经有个清晰的概念了,对于前面提到的Forefront能解决企业哪些问题,也水落石出了。总结起来有三点:
1、解决企业边缘防护的安全隐患和问题。
2、解决企业各种应用服务的安全隐患和问题。
3、解决企业客户端及桌面的安全隐患和问题。
不可否认以上的三点目前都必须是基于微软Windows系统平台的。但微软这个软件帝国绝不甘心限于此境地。何迪生说:目前微软的首要任务是把自己的问题解决好,未来肯定会在其他平台上有更纵深的发展。
2007年对微软进军中国安全市场是一个关键时期。近期,有国外媒体报道,微软宣称,有20%的Exchange服务器客户运行Forefront软件。在过去的12个月内,Forefront的下载量已达到了120万次。据Gartner有关专家预测,对于中型企业(1000名员工以下)而言,微软将在2008年底之前占据30%的桌面防病毒和反间谍软件市场。无论预测是否可以实现,我们都希望看到基于微软平台架构的安全问题能够得到很好的解决,这对广泛使用Windows平台的用户来说是有利无害的。Windows平台的安全问题由自己来解决,这是微软在2007年向业内发出的一个讯号,虽然微软在实现信息安全策略的道理上困难重重,但有理由相信,财大气粗的微软,将以Forefront为转折点,打响一场保卫自己的战斗。
