在《》的上篇文章中,筆者提到微軟涉足安全領域面臨來自用戶和安全廠家兩方面壓力,其實從專業安全廠家的觀點來看,對于微軟進入信息安全領域可能會抱有一種既愛又恨的態度,一方面希望微軟增強操作系統安全性,減少應用層面的安全威脅,降低Windows平臺的安全風險;但另一方面,這些安全廠家又不希望看到微軟在信息安全領域過于強大,一旦微軟的信息安全技術強大到足以能解決自己的安全問題時,對于任何一個專業安全廠家來說,都不是一件值得高興的事。
跟安全廠家有所不同,終端用戶其實很愿意微軟提高自身的安全性,畢竟對于用戶來說,簡單易用才是他們想要的,就好像Windows平臺用戶可以方便的使用IE瀏覽器一樣,當然微軟必須要有能力解決安全問題。
此外,業界對微軟的信息安全戰略持有各種不同的質疑聲音,但無論是什么質疑,歸根結底針對的是微軟的信息安全策略,我們就來看看微軟的信息安全策略是什么?會給業內帶來哪些思考?對企業的信息安全管理與建設意味著什么?
走進微軟信息安全策略
在了解微軟信息安全策略之前,必須要先搞清楚企業網絡信息安全的問題在哪里,要保護什么?這也是微軟大中華區信息安全總監何迪生經常強調的話。對于企業來說,任何安全技術和手段所要保護的核心內容都是數據,目的也是為了企業正常網絡業務的運轉。微軟提出了信息安全縱深防御模型,除物理安全、邊界安全、內部網絡安全、主機安全、應用安全和數據安全六個技術層面進行的安全防護外,再加上法規政策、安全模型等安全指導思想,合理的規章制度、應急處理機制等信息安全管理手段和完整的安全培訓體系,組成了微軟總體安全架構體系。
◆“如果一棟大廈設置了門衛、又有監控系統、再加上一把鎖,那么這棟大廈就降低了被破門而入的風險”何迪生稱這種安全防護為物理安全。
◆利用防火墻、VPN隔離等手段保護企業網絡的邊界安全。
◆合理的對企業網絡分段管理、利用IPsec等加密技術以及部署網絡入侵檢測和防御系統可以有效的解決企業內部網絡安全問題。
◆通過加強操作系統自身的安全性和補丁管理系統,以及完整的認證體系達到防范主機安全的目的。
◆基于諸如郵件應用、Web訪問、文件共享、即時通訊等應用的安全防護手段,從技術上降低了應用帶給企業的安全風險。
◆對于數據的保護,可以利用訪問控制、數據加密等手段進行。
除了上述六個層面的安全技術防護支持外,何迪生認為,還有兩個不可忽視的要素,一是必須要通過法規政策、合理的規章制度、完整的審計、應急處理機制等手段對企業整體實施安全管理和指導,這樣才能使上述六個層面的技術防護措施有效融合,實現統一完整的安全防護體系。除此之外,人的要素也不能忽略,要通過加強員工的安全意識和安全技能的培訓,使企業的安全管理行之有效。
在51CTO記者看來,其實微軟很早就提出了圍繞可信任計算(Trustworthy Computing,TWC)構建總體系統安全架構體系(Microsoft Security Infrastructure)的核心設計思想。早在2006微軟信息安全峰會上,微軟就把信息安全戰略列為會議的主要議題。在2007年5月的“微軟安全日”活動中,微軟高級安全戰略專家Steve Riley先生也曾表示:微軟的安全重心是提供一個可通過安全產品、服務和指南確保客戶安全的基礎強化安全平臺。而針對IT管理中方方面面的挑戰,怎樣將管理和安全視為一個有機的整體,而不是單純地看待“管理”和“安全”的某個方面,才是微軟信息安全戰略的核心所在。
所有的理論都要應用于實踐,在實施信息安全策略的道路上,值得高興的是微軟也懂得這個道理。今年7月份,微軟、思科、EMC共同宣布組建聯盟,開發用于保護和共享機密政府信息的技術。這項技術能夠使政府部門實現更好的通訊,并保護內容不會丟失。我們不難看出,微軟正在積極努力地實現自己的信息安全策略。無獨有偶,同樣在7月微軟又本著自己的信息安全策略正式推出針對企業級市場的安全解決方案:Forefront。它的推出意味著微軟信息安全策略的落地,這也表示微軟正在通過實踐檢驗自己的信息安全理論,用Steve Riley先生的話說:“微軟Forefront為企業網絡基礎架構的安全提供了更強大的防護與控制,它基于Windows、Office、Exchange的安全改進而構建。” 在采訪微軟大中華區信息安全總監何迪生生時,51CTO記者了解到:微軟Forefront 解決方案是微軟商務安全特性解決方案的綜合產品系列,幫助用戶保護信息以及控制對企業內環境的訪問。Forefront 是利用微軟技術指導支持的、具有高響應性的信息保護和訪問控制解決方案。作為微軟信息安全策略的排頭兵,Forefront究竟包含什么內容?怎樣解決企業面臨的各種安全問題呢?下面記者就帶大家初步了解一下Forefront安全解決方案
自己的安全自己解決
作為一款企業級的安全解決方案,我們先來看看Forefront包含了哪些產品:
◆Microsoft Forefront Client Security(以前稱 Microsoft Client Protection)
◆Microsoft Forefront Security for Exchange Server(以前稱 Microsoft Antigen for Exchange)
◆Microsoft Forefront Security for SharePoint(以前稱 Antigen for SharePoint)
◆Microsoft Forefront Security for Office Communications Server(現名 Antigen for Instant Messaging)
◆Microsoft Internet Security and Acceleration (ISA) Server 2006
◆Intelligent Application Gateway (IAG) 2007
下面的圖片更能說明Forefront產品的演進:
如果按微軟的信息安全策略及安全模型分類,可以把上述產品分為客戶端安全防護、應用安全防護及網絡邊緣安全防護三大類。這里我們首先簡單了解一下這些產品:
客戶端安全防護:
Microsoft Forefront Client Security(FCS)——針對客戶端的安全解決方案
Microsoft Forefront Client Security 解決方案包括兩個部分。第一個部分是 Security Agent — 安裝在商用臺式機、便攜機和服務器操作系統上,可以實時防范和安排掃描間諜軟件、病毒和 Rootkit 等威脅。第二個部分是中央管理服務器,可以讓管理員輕松管理和更新預配置或自定義的惡意軟件防護代理,并生成環境安全狀態警報。值得一提的是在FCS解決方案中,第一次提出了多引擎概念,產品集成了多個廠家提供的技術領先的防病毒引擎,每一個掃描任務都可以選擇多達5個掃描引擎同時進行病毒掃描。
應用安全防護:
Microsoft Forefront Security for Exchange Server 通過強調利用分層防范措施、Exchange Server 性能及可用性的優化和簡化管理控制的方法,幫助保護電子郵件基礎架構,使其避免感染和停機。其特點是將來自業界領先的安全公司的多個掃描引擎集成在一個解決方案中,幫助企業保護其 Exchange 郵件環境,防范病毒、蠕蟲和垃圾郵件。
Microsoft Forefront Security for SharePoint 管理和集成防病毒掃描引擎,為防范最新威脅、不適當內容和泄露機密信息提供全面的保護,以確保文檔在被保存到 SharePoint 文檔庫或從中檢索時的安全性。其特點是通過多個掃描引擎,提供了內容控制,幫助企業保護其 Microsoft Office SharePoint 2007 和 Microsoft Windows SharePoint Services 3.0 協作環境,以防范包含惡意代碼、機密信息和不適當內容的文檔。
網絡邊緣防護
Microsoft Internet Security and Acceleration (ISA) Server 2006——微軟的防火墻
ISA Server前身是Microsoft Proxy Server,是個代理服務器,而目前則是微軟在安全方面最主要的產品,即防火墻、VPN、代理服務器(Cache)等多種功能。目前的版本是ISA Server 2006,除了有防火墻、VPN和網頁Cache等功能,微軟還特別強化應用程序的安全發布、分支機構網關和網頁存取防護等措施。例如改善 Smart Cards和動態密碼等多因素認證及NTLM、Kerberos和SecurID認證授權的支持,整合Active Directory以支持LDAP認證和預先認證;為了提升分支機構與總部之間的網絡性能,ISA 2006也提供HTTP流量壓縮、Bits Cache加速更新,并做到為特定IP自動判斷、QoS;針對DoS、DDoS或蠕蟲,ISA具備更好的抵抗力,減緩來自內部計算機感染蠕蟲的沖擊。
Intelligent Application Gateway (IAG) 2007
Intelligent Application Gateway (IAG) 2007 可以提供安全套接字層 (SSL) 虛擬專用網 (VPN)、Web 應用程序防火墻和端點安全管理功能,可以實現廣泛業務分類應用程序的訪問控制、授權和內容檢查。這些技術一起,讓移動和遠程工作人員可以從包括信息亭、PC 和移動設備在內的廣泛設備與位置,輕松、靈活地進行安全訪問。IAG 還可以讓 IT 管理員根據設備、用戶、應用程序或其他業務條件,通過遠程訪問策略,滿足應用程序和信息用法準則的要求。
除了上述產品線外,微軟還提供了統一的管理控制臺:Microsoft Forefront Server Security。它允許管理員方便地管理 Forefront Security for Exchange Server、Forefront Security for SharePoint 和 Microsoft Antigen,它提供了基于 Web 的控制臺,以便集中管理配置與操作,自動執行特征與掃描引擎更新的下載和分發,并生成全面的報告。Forefront Server Security 管理控制臺還允許管理員針對企業部署的各種系統,迅速地響應病毒的爆發,并更新保護系統,從而提高企業響應新威脅的敏捷性。通過與 Microsoft Windows Server 2003 和 Microsoft SQL Server 進行集成,Forefront Server Security 管理控制臺可以幫助維護郵件和協作保護機制的可靠性和性能。
其他可用工具介紹:
微軟的補丁系統:Microsoft Security Patch and Software Update Services(SUS)
微軟的補丁發布以及更新服務(SUS)則是微軟系統中最常用的安全更新工具及服務,是一切安全運行的基礎。微軟的補丁下載及SUS服務均為免費服務,但SUS服務器的架設需要專業人員進行。
微軟的掃描器:Microsoft Baseline Security Analyzer(MBSA)
微軟基準安全分析器(MBSA)是微軟安全方面的一個服務工具,用來識別安全方面的常見配置錯誤,通過MBSA工具,可以掃描基于 Windows 操作系統的計算機,檢查操作系統和其他安裝組件,以發現安全方面的配置錯誤,并及時通過推薦的安全更新進行修補。
微軟的風險評估工具:Microsoft Security Accessment Tool(MSAT)
微軟安全評估工具(MSAT)是微軟的一個風險評估工具,與MBSA直接掃描和評估系統不同,MSAT通過填寫的詳細的問卷以及相關信息,MSAT 處理問卷反饋,并評估組織在諸如基礎結構、應用程序、操作和人員等領域中的安全實踐,然后提出相應的安全風險管理措施和意見。
微軟的惡意軟件移除工具:Malicious Software Removal Tool(MSRT)
微軟惡意軟件移除工具是微軟針對于各種惡意程序和腳本提供的一些工具,它可以檢查運行微軟Windows的計算機是否受到特殊、流行的惡意軟件(包括 Blaster、Sasser 和 Mydoom)的感染,并清除所有找到的感染病毒。
微軟的防間諜軟件程序:Microsoft Windows Defender
Windows Defender即之前的Microsoft Antispyware Beta版,目前Windows Defender已經被微軟以C++重新改寫,并以系統服務方式常駐,可持續更新且實時掃描與移除已知的間諜程序和廣告軟件。
其實文章寫到這里,相信大家應該對微軟Forefront安全解決方案已經有個清晰的概念了,對于前面提到的Forefront能解決企業哪些問題,也水落石出了。總結起來有三點:
1、解決企業邊緣防護的安全隱患和問題。
2、解決企業各種應用服務的安全隱患和問題。
3、解決企業客戶端及桌面的安全隱患和問題。
不可否認以上的三點目前都必須是基于微軟Windows系統平臺的。但微軟這個軟件帝國絕不甘心限于此境地。何迪生說:目前微軟的首要任務是把自己的問題解決好,未來肯定會在其他平臺上有更縱深的發展。
2007年對微軟進軍中國安全市場是一個關鍵時期。近期,有國外媒體報道,微軟宣稱,有20%的Exchange服務器客戶運行Forefront軟件。在過去的12個月內,Forefront的下載量已達到了120萬次。據Gartner有關專家預測,對于中型企業(1000名員工以下)而言,微軟將在2008年底之前占據30%的桌面防病毒和反間諜軟件市場。無論預測是否可以實現,我們都希望看到基于微軟平臺架構的安全問題能夠得到很好的解決,這對廣泛使用Windows平臺的用戶來說是有利無害的。Windows平臺的安全問題由自己來解決,這是微軟在2007年向業內發出的一個訊號,雖然微軟在實現信息安全策略的道理上困難重重,但有理由相信,財大氣粗的微軟,將以Forefront為轉折點,打響一場保衛自己的戰斗。
