系统安全从forefront的特性看windows平台安全.pptVIP

2007年5月Microsoft推出了ForeFrontClientSecurity，至此MicrosoftForeFront家族的全体成员都已向用户公开。虽然 现在有很多关于它们的介绍，但大都没有从用户的角度来分析企业Windows架构的安全需求，以及ForeFront产品会对此产生怎样的积极影响，本文就从这两个方面逐 步深入，讲述企业Windows用户最关心的安全问题。随着信息技术的发展，越来越多的企业正在逐步完善业务流程及信息处理，将其从人工操作转移到信息协作平台上来。 因为Windows操作系统易于使用、成本较低，许多企业把Windows作为主要的业务流程和信息处理平台，从边界服务器到内部网络，从企业总部到各分支机构，企业中存 在大量使用Windows操作系统的服务器和客户端，它们的广泛使用，也随之出现了层出不穷的安全威胁，各种入侵攻击事件时常见诸媒体，其中更有不少造成严重的经济损失， 面对如此严峻的安全形势，企业用户应当如何应对？针对这样安全形势，微软推出了ForeFrontSecurity安全产品家族，其中包括ForeFrontClie ntSecurity、ForeFrontServerSecurity和ForeFrontEdgeSecurity，范围涵盖了客户端、服务器和网络边界安全。和原来 的单点安全产品（只面向某一个平台的安全产品）相比，新的ForeFront家族更注重整体安全这一观点，讲究从整体架构上来保证用户信息平台的安全，同时ForeFro nt也更关注企业安全管理的实施。从这点上讲，ForeFront可以说是体现了Microsoft对企业用户的Windows操作系统和网络安全需求的理解，下图取自F oreFrontSecurity的Microsoft官方站点，读者从中可以很直观的了解ForeFront家族的成员组成。ForeFrontSecurity的 特性ForeFrontSecurity不单只有以ForeFrontSecurity命名的几个产品，它还包括了众多的Microsoft安全产品，比如WSUS、 SystemCenter、ISA、IAG等。所谓“透过现象看本质”，虽然ForeFront的产品线相当复杂，不过我们仍可看到Microsoft在ForeFron t上所要实现的三个特性：综合、集成、简易综合（Comprehensive）ForeFront家族是客户端、服务器和网络边界安全的完整解决方案，包括了恶意软件 防御、补丁管理、身份验证、远程访问等安全功能，保护范围覆盖企业网络和所有采用Windows操作系统的节点。集成（Integrated）ForeFront可以 和用户现有的Windows平台上的信息处理体系和安全方案紧密的集成在一起，使用户可以更有效和更清楚的控制企业网络中的安全情况。简易（Simplified）F oreFront给用户提供了单一的管理视图，增加用户对企业网络安全状态的可见性，从而可以实现更好的管理和威胁缓解过程。企业用户从ForeFront的三个特性 中可以得到什么启示呢？让不同行业不同大小的企业来回答这个问题会有不同的答案，但笔者认为答案的区别应该是在这三个特性的优先度排列上而不是在答案的内容上。因为For eFrontSecurity的一些组件尚未正式推出，现在从整体安全架构的技术层面上，来讨论ForeFront与其它安全方案的优劣，似乎尚早，不过从ForeFro nt的设计理念上来讨论一下Windows平台安全的实现，倒是个相当有启发性的话题。Forefront与企业安全四特性安全综合性首先是Windows安全实 现的综合性。目前大部分的企业中原有的安全实现可以归类于“头痛医头，脚疼医脚”式的方案：如果客户端时常面临恶意软件的威胁，企业的信息部门会购买单机版的反病毒软件并 安装；如果服务器有可能遭受黑客入侵，企业的信息部门会购买防火墙，安装入侵检查设备；如果邮件服务在某一时段内有大量的垃圾邮件侵袭，企业的信息部门会购买各种反垃圾邮 件的安全产品——企业对安全方案的采购和部署并不是基于对影响企业业务和信息处理的安全威胁的战略性分析，而只是为了防御某类型的安全威胁而进行的短期行为。这样的采购和 部署思路虽然在短期内有不错的效果，却会给企业带来虚假的安全感和不小的安全隐患，企业往往在日后遭受到新安全威胁的损害之后，才会对认识新威胁并对其做出反应。最近 频繁出现在媒体上的0Day漏洞攻击便是一个例子，企业如果只部署了一般的反病毒软件和防火墙（这样的企业环境很常见，为简便起见，下文称为一般信息处理环境），在0Da y漏洞的攻击下是毫无防御能力的，唯有在同时启用入侵检测、反病毒、防火墙等安全功能的情况下，才能比较有效的检测和拦截。此外，企业缺乏远见