目前惡意代碼已成為對企業IT架構和信息資產影響最大的安全威脅之一,在過去的五年時間里,病毒、蠕蟲、間諜軟件及其他形式的惡意代碼已成為誘發企業內部網絡的緊急安全事件的首要原因。因此,針對惡意代碼攻擊的快速檢測和響應能力,已經成為企業確保計算系統和網絡結構的安全可靠與正常運轉的關鍵,各種規模的企業都選擇反病毒或反惡意軟件的產品作為防御惡意代碼最常用的手段廣泛部署。
但對于企業來說,在企業的內部網絡部署反惡意代碼產品是一件充滿挑戰的事情,尤其是在企業的IT架構里存在多種不同的操作系統平臺和應用環境,需要部署多種安全產品的情況下。此外,部署多種安全產品將帶來管理成本與培訓要求的大大提高,在中小企業里這一部分的成本甚至會成為安全項目的主要成本,人力資源也會不堪重負,所以許多企業為了削減安全項目的開支只部署一些較簡單的安全產品。盡管這樣能夠節約安全方案的部署和維護成本,但這樣卻很容易導致企業安全事件響應時間延長、IT人員工作效率降低和關鍵系統恢復成本提高等其他問題的發生。
Forefront Client Security (FCS)的推出令這些問題迎刃而解。FCS基于久經實踐檢驗的微軟系統管理技術構建,管理員可通過FCS單一管理控制臺提供的集中式防惡意軟件與安全狀態監控、事件處理、警報生成及客戶端配置服務,實時的獲得企業內部網絡中的惡意軟件安全防護情況。另外,管理員還可以選擇將通過SQL報告服務提供內容更為翔實的報告,FCS客戶端的更新則可通過部署在企業內部網絡的WSUS或SMS服務近乎透明的實現。
作為簡化企業內部網絡各節點的反惡意軟件部署步驟的重要體現之一,Forefront Client Security全面支持包括Windows 2000、XP、2003及Vista在內的整條Windows工作站和服務器系統產品線,足以覆蓋企業網絡中所有基于Microsoft Windows操作系統的節點。FCS還是一個統一的全能型惡意軟件防護配置、監控與維護解決方案,并提供針對客戶端感染、企業級安全事件爆發和網絡淹沒的自動響應能力,而它的總價格卻僅相當于大多數公司單為病毒防護產品支付的成本。
Forefront Client Security 同時還是一個部署十分簡便的反惡意軟件方案,如果企業選擇了FCS作為企業的反惡意軟件方案,可以按照以下的步驟進行部署:
第一步是為Forefront Client Security在企業內部網絡的部署進行相關管理策略的制定和分配。這些策略包括FCS部署準備方案、FCS部署計劃和進度控制、FCS測試計劃、FCS部署撤銷計劃以及用戶的培訓計劃等,制定和分配這些策略的目的是為了保證企業在部署FCS的過程中,對企業IT架構所進行的變更和改動對企業業務的影響盡可能小,并保證FCS的部署能夠按時高質量的完成。
第二步是對Forefront Client Security的部署進行拓撲結構的規劃: Forefront Client Security包括兩個部分,第一個部分是安裝在商用臺式機、便攜式計算機和服務器操作系統上的安全代理(Agent),它提供針對間諜軟件、病毒和 Rootkit 等惡意軟件威脅的實時監控保護和計劃掃描;第二個部分是多種角色的中央管理服務器,它使管理員能夠輕松管理、更新預配置或自定義的惡意軟件防護代理,監控企業內部網絡的惡意軟件活動情況,并生成企業IT環境安全狀態的報告和警報。
另外,如果按照Forefront Client Security包括的組件所執行的職能來分,還可以分成以下部分:
◆管理服務
◆收集服務
◆報告服務
◆軟件分發服務
◆客戶端代理
 |
| 圖:Forefront Client Security的部署結構 |
第三步是進行FCS部署規劃,主要是對企業內部網絡的具體情況進行分析和調整,并對要部署FCS的系統進行軟硬件需求檢查,我們把這個步驟稱為IT環境適用性分析 :
IT環境適用性分析:在部署任何方案之前,我們必須先對方案所部署的目標環境進行適用性規劃,FCS的部署也是如此,我們首先要做的就是確定FCS方案在企業內部網絡中部署的結構,Forefront Client Security 的中央管理體系支持從單服務器到六服務器的多種不同服務器配置,所選的拓撲將基于企業的實際要求和軟硬件環境,用戶可以簡單的根據以下的參數來選擇:
企業內部網絡中要管理的FCS客戶端計算機數量
整個FCS系統的性能要求
要執行的掃描頻率和類型
保存用于報告目的的數據量
企業是否有數據備份要求
企業針對FCS方案的硬件和軟件預算
現有的硬件、軟件和網絡基礎結構
在企業內部網絡規模不是很大的時候,單服務器類型的FCS部署方案能完全滿足要求,但如果企業內部網絡中有1000個及以上的客戶端需要納入到FCS方案的保護范圍,筆者建議采用多服務器類型的FCS部署方案。
確定好FCS部署的結構后,我們進入FCS部署的下一個階段,即確定企業的內部網絡環境是否滿足部署FCS的需求,應該滿足:
•企業內部網絡的管理是基于正常運轉的Active Directory林
健全的DHCP、DNS和WINS解析能力
最好在近期接受過由PSS執行的AD健康狀況檢查
•服務器和臺式機全部配備所需軟件許可證。
•WSUS服務器或SMS 2003系統處于正常運轉狀態(尚未安裝Windows Update功能也可以使用)
如果企業用戶的內部網絡不是基于Microsoft 活動目錄的話,用戶還需要對內部網絡的邏輯結構進行調整,并將所有的節點整合到Microsoft活動目錄中,以滿足FCS的部署要求。由于進行網絡邏輯結構的調整對企業業務和信息系統的影響較大,企業用戶可以先制定好網絡邏輯結構調整的安全策略和變更管理方案,并預先搭建一個測試環境,測試完成后再逐步將整個內部網絡遷移到活動目錄上。
完成確定企業內部網絡環境的步驟之后,我們就可以進入FCS部署準備的這個步驟的下一個階段:確定企業內部網絡中的服務器和客戶端是否符合FCS的部署要求,我們可以參考Microsoft在FCS的安裝說明書中的建議,準備部署FCS的服務器和客戶端系統的軟硬件需求分別如下:
| 共3頁: 1 [2] [3] 下一頁 | |||||
|
