【轉自 IT專家網】
2007年5月Microsoft推出了ForeFront Client Security,至此Microsoft ForeFront家族的全體成員都已向用戶公開。雖然現在有很多關於它們的介紹,但大都沒有從用戶的角度來分析企業Windows架構的安全需求,以及ForeFront產品會對此產生怎樣的積極影響,本文就從這兩個方面逐步深入,講述企業Windows用戶最關心的安全問題。
正文
隨着信息技術的發展,越來越多的企業正在逐步完善業務流程及信息處理,將其從人工操作轉移到信息協作平臺上來。因爲Windows操作系統易於使用、成本較低,許多企業把Windows作爲主要的業務流程和信息處理平臺,從邊界服務器到內部網絡,從企業總部到各分支機構,企業中存在大量使用Windows操作系統的服務器和客戶端,它們的廣泛使用,也隨之出現了層出不窮的安全威脅,各種******事件時常見諸媒體,其中更有不少造成嚴重的經濟損失,面對如此嚴峻的安全形勢,企業用戶應當如何應對?
針對這樣安全形勢,微軟推出了ForeFront Security安全產品家族,其中包括ForeFront Client Security、ForeFront Server Security 和ForeFront Edge Security,範圍涵蓋了客戶端、服務器和網絡邊界安全。和原來的單點安全產品(只面向某一個平臺的安全產品)相比,新的ForeFront家族更注重整體安全這一觀點,講究從整體架構上來保證用戶信息平臺的安全,同時ForeFront也更關注企業安全管理的實施。從這點上講,ForeFront可以說是體現了Microsoft對企業用戶的Windows操作系統和網絡安全需求的理解,下圖取自ForeFront Security的Microsoft官方站點,讀者從中可以很直觀的瞭解ForeFront家族的成員組成。
ForeFront Security的特性
ForeFront Security不單隻有以ForeFront Security命名的幾個產品,它還包括了衆多的Microsoft 安全產品,比如WSUS、System Center、ISA、IAG等。所謂“透過現象看本質”,雖然ForeFront的產品線相當複雜,不過我們仍可看到Microsoft在ForeFront上所要實現的三個特性:綜合、集成、簡易
●綜合(Comprehensive) ForeFront家族是客戶端、服務器和網絡邊界安全的完整解決方案,包括了惡意軟件防禦、補丁管理、身份驗證、遠程訪問等安全功能,保護範圍覆蓋企業網絡和所有采用Windows操作系統的節點。
●集成(Integrated) ForeFront可以和用戶現有的Windows平臺上的信息處理體系和安全方案緊密的集成在一起,使用戶可以更有效和更清楚的控制企業網絡中的安全情況。
●簡易(Simplified) ForeFront給用戶提供了單一的管理視圖,增加用戶對企業網絡安全狀態的可見性,從而可以實現更好的管理和威脅緩解過程。
企業用戶從ForeFront的三個特性中可以得到什麼啓示呢?讓不同行業不同大小的企業來回答這個問題會有不同的答案,但筆者認爲答案的區別應該是在這三個特性的優先度排列上而不是在答案的內容上。因爲ForeFront Security的一些組件尚未正式推出,現在從整體安全架構的技術層面上,來討論ForeFront與其它安全方案的優劣,似乎尚早,不過從ForeFront的設計理念上來討論一下Windows平臺安全的實現,倒是個相當有啓發性的話題。
Forefront與企業安全四特性
安全綜合性 首先是Windows安全實現的綜合性。目前大部分的企業中原有的安全實現可以歸類於“頭痛醫頭,腳疼醫腳”式的方案:如果客戶端時常面臨惡意軟件的威脅,企業的信息部門會購買單機版的反病毒軟件並安裝;如果服務器有可能遭受******,企業的信息部門會購買防火牆,安裝***檢查設備;如果郵件服務在某一時段內有大量的垃圾郵件侵襲,企業的信息部門會購買各種反垃圾郵件的安全產品——企業對安全方案的採購和部署並不是基於對影響企業業務和信息處理的安全威脅的戰略性分析,而只是爲了防禦某類型的安全威脅而進行的短期行爲。這樣的採購和部署思路雖然在短期內有不錯的效果,卻會給企業帶來虛假的安全感和不小的安全隱患,企業往往在日後遭受到新安全威脅的損害之後,纔會對認識新威脅並對其做出反應。
最近頻繁出現在媒體上的0Day漏洞***便是一個例子,企業如果只部署了一般的反病毒軟件和防火牆(這樣的企業環境很常見,爲簡便起見,下文稱爲一般信息處理環境),在0Day漏洞的***下是毫無防禦能力的,唯有在同時啓用***檢測、反病毒、防火牆等安全功能的情況下,才能比較有效的檢測和攔截。此外,企業缺乏遠見的安全方案採購部署方法,也很容易導致安全功能的缺失,進而在企業的信息安全體系中造成潛在的弱點。一個桶能裝的水取決於最短的桶板的長度,一個缺乏某些關鍵安全功能的安全體系,實際的安全效能並不比什麼安全方案都不用的環境安全多少,還是用上面提到的一般企業信息處理環境做示例,如果不在內部網絡中使用WSUS服務或使用Windows Update,管理員無法掌握每個網絡節點的補丁升級情況,一個利用Windows漏洞傳播、反病毒軟件暫時無法檢測出來的新蠕蟲將可以很輕易的攻陷企業內網的所有機器。從這個角度上講,企業用戶要實現Windows平臺的安全最大化,貫徹Microsoft 在ForeFront Security中所要實現的“安全功能的完整性”這一理念就顯得無比重要。
安全集成性 其次是Windows安全實現的集成。ForeFront Security就強調了其安全功能和用戶舊有的Windows平臺應用的無縫結合。企業信息處理環境的組成非常複雜,即便在稍微上點規模的企業中,信息處理環境就可以按照信息處理需求的不同分爲各種應用服務器、關鍵網絡服務器、客戶端機器等多個環境類型,更不用說大中型的企業或跨國企業。而各個環境上的軟硬件環境又是千差萬別,安全級別和性能需求也是各不相同,例如,企業要在應用服務器上部署一套負責內容過濾和性能監控的安全方案、可是事先又沒有對待部署方案與舊有的應用服務器環境的兼容性和整合性進行過嚴格測試,只憑廣告的宣傳進行選擇,那後續的故障排查對企業信息部門來說無異於一場噩夢,這套安全方案的實施效果也無從談起。因此,企業在部署安全方案時,無論是從實施效果還是保護原有投資的角度來說,安全方案和舊有設施的集成性都是必須考慮的關鍵因素。
安全簡易性 最後是安全實現的簡易性,也稱爲可操作性。根據心理學的解釋,越是關鍵的決定或操作,過程應該複雜一點,給操作者反覆檢查和確認的機會,減少出錯的可能;而越是頻繁的動作,過程越是應該簡單一點,最好能把多個簡單的動作合而爲一。管理員對企業網絡中的各Windows節點、應用服務器和網絡設備的監控管理屬於日常行爲,操作理應簡單一點。但因爲目前企業中缺乏完善的管理方案,許多企業中仍採用服務器由信息部門集中管理,客戶端由用戶自主管理的分散式管理方法。在大中型企業中常常會看到這樣的情況,每到Windows系統進行補丁升級的日子,信息部門就需要處理大量的服務器和客戶端,耗費的人力驚人,而且從補丁發佈到整個企業的系統完全更新也成爲企業網絡最容易受到***的時間段。信息部門也無法獲得Windows客戶端上的警報和日誌信息,即使是對集中管理的服務器上發生的安全事件反應也相當滯後,信息部門疲於奔命於各種安全警報的處理。
Forefront安全架構的推出,無疑爲企業Windows架構的管理帶來了令人振奮的消息。
安全變更性 企業的IT管理中還有一個非常重要的方面——變更控制(Change Control)。信息部門需要掌握企業網絡中每一次變化,以便於故障排查和追蹤。這些變化包括安全策略的變更,服務及應用的變更,軟、硬件環境的變更,甚至於管理組織的變更。這些變更對於大型企業來說,隨時隨地都在發生着,其數量之大令人咋舌,那麼如何評估、監控、取證及完善這些變更,是每個企業IT主管的惡夢。例如,用戶在客戶端上私自進行企業安全策略不允許的操作或軟件安裝,往往會給企業網絡的安全埋下隱患,這兩年頻繁出現在新聞中的,通過移動存儲設備傳播的各種惡意軟件以及ARP病毒,就是沒有有效控制客戶端,違反安全策略的行爲,最終導致安全事故的例子。對於這一點,Forefront安全架構利用自身的安全特性,並結合System Center產品系列,很好的實現了企業IT安全管理的目標。
用ForeFront保障安全
綜上所述,一個安全解決方案至少需要考慮到四個方面:綜合性、集成性、簡便性和變更性。就此而言,ForeFront Security是個不錯的選擇。但不是說在企業中實施了Forefront,就實現了企業IT安全了,一方面,安全管理更多的是對人對流程的管理,另一方面,剛上市的產品也需要時間逐步進行完善。企業在選擇方案時,首先對自己的業務流程、IT設施和麪臨的安全威脅進行詳細的分析調查,對前面提到的四個要求進行優先度排序,然後在ForeFront家族中,根據自身的情況,選擇合適的產品組合。