随着业务的发展和企业内部协作程度的提高,企业越来越多的使用自己的IT架构进行信息交换和发布操作,出于安全因素和降低生命周期成本的考虑,大多数的企业采用了自己部署应用服务器的方式,因此,保证这些应用服务器的安全及信息交换的顺利进行,便成为企业业务顺利进行和发展的关键因素。
企业业务的发展和企业内部协作程度的提高,促使企业越来越多的使用自己的IT架构进行信息交换和发布操作——对外,企业需要和客户及合作伙伴保持沟通联系,向他们提供最新的业务信息;对内,企业内部人员日常工作也常常需要发布信息和进行协作。
为了满足信息交换和发布的需要,同时也出于安全因素和降低生命周期成本考虑,大多数的企业采取自己架设邮件服务器、Web服务器、Web Portal站点等的应用服务器部署方式。
应用服务器与FSS
针对企业对信息交换和发布的功能需求,Microsoft推出了用于提供邮件服务的Exchange Server、用于企业内部网络Portal站点的SharePoint Server及用于企业内部即时通讯服务的Office Communication Server。因为它们继承了Microsoft系列产品功能强大和简单易用的特点,许多企业广泛使用这些应用服务器来提供企业内外的信息发布和交换功能,这些应用服务器通常部署在企业内部网络的核心位置,并负责处理大量的与企业业务密切相关的敏感信息。因此,如果这些应用服务器在企业中被不安全的部署或使用,将有可能成为企业内部网络中的不安全因素之一,甚至成为外部入侵者入侵企业内部网络或内部人员泄漏敏感信息的关键点。
Microsoft Forefront Security是Microsoft最新推出的面向企业全方位安全需求,功能完整的安全解决方案,其中的Forefront Security for Server便是专门针对部署在企业内部网络中的Microsoft系列应用服务器的安全方案,目前包括Forefront Security for Exchange Server和Forefront Security for SharePoint Server。它们都继承了Forefront家族的共有特点:
完整:提供满足企业应用服务器安全需求的安全功能
集成:可以良好的和企业现有的内部网络及应用服务器进行集成
简便:管理员可以轻松的通过统一的管理控制台获得企业应用服务器的安全防护情况。
但同时FSS又与Forefront Security家族中的其他成员有一些明显的区别,主要体现在:
多扫描引擎:FSS系列产品都为企业用户提供了多达8个的业内领先的反恶意软件引擎,用户可以根据实际情况启用一个或多个引擎,这些引擎同时还由其厂商提供实时自动的恶意软件特征数据库的升级。
优化的性能:FSS针对企业应用服务器专门进行了性能优化,在尽可能少影响应用服务器性能的情况下提供完善的恶意软件防护及信息过滤功能。
敏感信息泄漏防护:FSS提供了多种信息过滤手段,管理员可以根据企业安全策略的要求,灵活的配置FSS的选项来提供敏感信息泄漏防护。
比如,可以将FSS部署在Exchange服务器前端和Exchange服务器上,为企业提供进出企业内部网络的电子邮件的过滤及恶意软件防护功能。或者将FSS部署在SharePoint 服务器上,为企业提供进出SharePoint 服务器的文件内容过滤及反恶意软件保护。
FSS管理策略
企业如果选择了FSS作为自己内部网络中Microsoft系列应用服务器的安全解决方案,要制定相应的管理策略来保证FSS部署的良好运行及其对企业信息资产的保护效果。企业可以根据以下的流程来制定针对FSS部署的管理策略:
第一,根据企业的安全策略来确定企业内应用服务器及其承载信息的保护原则。根据部署安全方案都应该遵循目标企业安全策略的原则,企业在部署FSS之前,应该先根据自己的安全策略,确定出需要用FSS部署保护的应用服务器及其承载信息的范围,比如对一个电子商务企业来说,企业与客户、业务伙伴之间进行的电子邮件及信息交换是重要的信息资产,以及承载这些信息的Exchange服务器就是FSS部署需要保护的范围;而对一个制造业企业来说,产品图纸属于商业机密,内部人员在使用企业内部网络中的Portal服务时,不应该上传或下载不符合其身份等级的文档,同时Portal服务还是该企业内部进行协作的重要场所,因此,属于该企业商业机密的信息及承载这些信息的SharePoint服务器就是FSS部署需要保护的对象。
第二,根据企业的IT环境和IT服务响应时间确定FSS适当的保护等级。我们知道,对信息资产的保护来说,不恰当的保护会降低信息资产的保密性或可用性,不安全和过度安全都不好。FSS的部署也如此,企业需要根据自己的IT环境的实际情况,结合业务所需要的IT服务响应时间,确定FSS适当的保护等级。这在FSS部署的配置上反映为对FSS反恶意软件引擎的启用数量,FSS最多能够同时启用4个不同的反恶意软件引擎,提供最好的反恶意软件防护,但在处理信息的性能上却是最差的;如果只启用单个反恶意软件引擎,虽然能得到FSS最好的信息处理性能,但安全性却不能得到充分的保证。因此,对于信息流量不大的小型企业,可以配置FSS为同时启用4个不同的反恶意软件引擎,这时FSS造成的性能损失尚在可以接受的范围之内;而对于规模较大的企业,则最好只启用2个不同的引擎,以在安全性和性能之间达到平衡。
第三,制定FSS日常管理和事件响应策略。对FSS良好的日常管理及事件响应操作,才能保证FSS部署能够发挥其保护企业应用服务器和信息资产的能力。因此企业应该制定出规范的FSS日常管理和事件响应策略,并形成文件,并对管理FSS部署的技术人员进行必要的培训。
FSS的事件响应
在FSS成功部署之后,企业还应该密切关注FSS的执行情况,并及时对FSS所反映的安全事件及时进行响应和控制,根据所发生事件的不同,企业还需要采取不同的响应策略。在企业的FSS部署中,最常遇到以下两种类型的安全事件:
第一,恶意软件事件。恶意软件事件是企业内部网络中最常发生的安全事件,这点也反映在企业的FSS部署上,FSS的管理员应该根据企业所制定FSS事件响应策略,通过FSS的日志报告确定安全事件的发生位置,并及时进行处理。比如Forefront Security for Exchange Server报告发现企业内部有包含恶意软件的电子邮件正在往外发送,管理员应根据FSS的日志报告,确定发送恶意软件邮件的客户端系统,及时到场处理并做好记录。而对Forefront Security for SharePoint来说,如果FSS报告有用户提交携带恶意软件的文档,管理员也应该根据FSS的日志报告,确定提交恶意文档的客户端系统,并到场处理。
第二,敏感信息泄漏事件。FSS提供了根据关键词及文件类型进行过滤的敏感信息过滤的功能,在这个功能开启的情况下,FSS可能会报告相当多的违规信息试图通过受FSS保护的应用服务器。管理员应该及时根据FSS部署的日志报告,确定违规使用信息的客户端系统,并通知相关的责任人及其管理人。另外,企业在根据自己的安全策略对FSS部署进行敏感信息泄漏防护配置的同时,也应该对企业员工进行相关的信息资产保护教育,以减少敏感信息泄漏事件的发生和降低FSS的误报率。