概述:Microsoft Forefront Security 是Microsoft針對企業(yè)用戶推出的功能完備的安全解決方案,它涵蓋了企業(yè)應(yīng)用中的網(wǎng)絡(luò)邊界安全、應(yīng)用服務(wù)器安全和客戶端 安全,是企業(yè)用戶應(yīng)對不斷發(fā)展的各種信息安全威脅的良好選擇。目前各種媒體上能找到許多有關(guān)Forefront Security的組成、功能、特性和如何使用的文章,但對企業(yè)用戶來說,還有諸如確定自己企業(yè)的應(yīng)用環(huán)境是否適合部署Forefront Security,在部署前應(yīng)該做什么樣的計劃和準備等許多問題尚待回答——這便是本文要介紹的Microsoft Forefront Security 部署規(guī)劃。
正文:
IT技術(shù)的飛速發(fā)展,大大提高了企業(yè)的信息獲取和處理能力,種種新設(shè)備新平臺的投入使用,也為提升企業(yè)的業(yè)務(wù)效率提供了很大幫助。但同時,企業(yè)IT架構(gòu)的不斷擴充和變更,有效的進行管理維護逐漸成為管理員不可能完成的任務(wù),此外,企業(yè)與外界交換信息的增加,使得企業(yè)面對諸如惡意軟件、黑客入侵、拒絕服務(wù)等各種安全威脅的機會大大增加。于是,Microsoft提出了Core IO架構(gòu)概念,該構(gòu)架中專門針對企業(yè)的安全需求便是Microsoft Forefront Security安全解決方案。
在實踐中,我們往往可以看到這樣的情況:企業(yè)部署安全方案之前常常沒有對自身的情況進行詳細的調(diào)查,只是根據(jù)安全廠商的宣傳來選擇產(chǎn)品;選擇了產(chǎn)品之后,也沒有進行相應(yīng)的產(chǎn)品部署規(guī)劃,而是直接安排人手進行部署并啟用。實際上,這樣的操作并不符合企業(yè)部署安全方案的最佳實踐原則,部署規(guī)劃作為企業(yè)實施安全方案的重要一環(huán),它實施的好壞將直接決定企業(yè)安全方案的效果。Forefront Security作為Microsoft Core IO架構(gòu)中組成中滿足安全需求的產(chǎn)品,企業(yè)在進行Forefront Security部署之前,同樣需要先進行部署規(guī)劃。
我們知道,IT產(chǎn)品的部署規(guī)劃的流程應(yīng)該采用Top-Down 方式,也即從高層往低層的執(zhí)行流程,而只有經(jīng)過管理層批準并給予大力支持的安全方案,才能成功的在企業(yè)范圍內(nèi)實行,也只有經(jīng)過管理層授權(quán)的人員(下文稱為“部署人”),才能更好的執(zhí)行Forefront Security在企業(yè)范圍內(nèi)的部署。因此,也可以按照Top-Down的原則將Forefront Security的部署規(guī)劃劃分為兩個組成部分:管理部分和技術(shù)部分。管理部分,包括企業(yè)IT架構(gòu)的識別分類和風險評估分析、也包括制定部署準備方案、部署計劃、測試計劃、部署取消計劃、人員培訓計劃等文檔工作;而技術(shù)部分,則是在IT技術(shù)方面為Forefront Security 部署進行準備,主要是為輔助Forefront Security部署規(guī)劃的管理部分而進行,下面我們來逐個了解一下這些Forefront Security部署規(guī)劃的組成部分:
企業(yè)IT架構(gòu)的識別和分類:企業(yè)IT架構(gòu)是構(gòu)成企業(yè)信息收集和處理能力的基礎(chǔ),在部署Forefront Security對其進行保護之前,部署人應(yīng)該了解Forefront Security所要保護的目標是什么,該目標屬于什么類型的應(yīng)用,它在企業(yè)IT架構(gòu)中的重要程度如何等,這些問題的解決,依賴于 部署人對企業(yè)IT架構(gòu)的熟悉程度,對于實踐中的Forefront Security部署,我們可以通過采訪企業(yè)中各個部門的管理者和用戶,或采用抽樣問卷調(diào)查的方式,來獲得這個階段所需要的信息,并進行歸檔。然后我們可以根據(jù)這些企業(yè)IT架構(gòu)的組成對企業(yè)業(yè)務(wù)的影響,進行分類和優(yōu)先度確定,優(yōu)先度越高的架構(gòu)組成也是越需要在部署Forefront Security時優(yōu)先關(guān)注的應(yīng)用。
例如,對一個電子商務(wù)企業(yè)來說,執(zhí)行網(wǎng)上交易功能的Web服務(wù)器、數(shù)據(jù)庫服務(wù)器是關(guān)鍵應(yīng)用,優(yōu)先級為高。它用于和客戶聯(lián)絡(luò)的電子郵件服務(wù)器及人力資源部門持有所有員工個人信息的HR數(shù)據(jù)庫服務(wù)器,同樣也應(yīng)該劃分到優(yōu)先級為高的關(guān)鍵應(yīng)用的范圍里面去。但一個普通員工的桌面PC對該企業(yè)來說,就只能劃分到優(yōu)先級為低的普通應(yīng)用去。
另外,部署人還應(yīng)該了解企業(yè)IT架構(gòu)保護的目標,在信息安全的三個要素——保密性、完整性、可用性(CIA)中,F(xiàn)orefront Security的部署只能保證前兩者,而可用性則需要用另外的技術(shù)手段來獲得,部署人應(yīng)對此有所認識。
風險評估分析:這個步驟和企業(yè)IT架構(gòu)的識別和分類步驟相類似,都是為Forefront Security部署目標進行優(yōu)先度分類而設(shè)立的。我們可以根據(jù)企業(yè)的一般業(yè)務(wù)流程,并結(jié)合對用戶的調(diào)查,對影響企業(yè)業(yè)務(wù)正常進行的安全威脅進行識別、判斷嚴重程度,例如,在一個企業(yè)中電子郵件是對外聯(lián)系的主要手段,但是用戶經(jīng)常向管理員反映垃圾郵件很多,還常常夾帶有不明的附件,這樣我們可以認為垃圾郵件是企業(yè)的安全威脅之一,威脅程度為嚴重;如果在另外一個企業(yè)中,內(nèi)部部署一套Office Communication Server執(zhí)行企業(yè)IM的功能,那么我們可以判斷消息竊聽、基于IM的惡意軟件,員工泄漏和自己工作有關(guān)的保密消息等都屬于安全威脅,但嚴重程度一般,部署人還可以使用威脅建模工具來輔助風險評估分析工作。
上述兩個步驟的工作完成之后,部署人應(yīng)該對所收集的信息進行整理,最終形成文檔。所有的文檔都應(yīng)提交給管理層參考,在管理層 接受這些文檔并批準后,部署人就可以進入到制定計劃的階段。計劃制定階段的工作都基于前期調(diào)研階段所收集的信息上,在這個階段里部署人需要和管理層進行緊密協(xié)作,制定出Forefront Security部署中所要用到的多個計劃,它們包括:
Forefront Security 部署準備方案:確定部署人及用戶如何在規(guī)定的時間內(nèi)準備好Forefront Security部署所必須的軟硬件環(huán)境,如果條件不能滿足,要采取什么樣的措施。
Forefront Security 部署計劃:部署人需要根據(jù)前期調(diào)研階段所收集到的信息,制定出如何在企業(yè)IT架構(gòu)上集成Forefront Security的方案,如何在盡可能小或不影響企業(yè)業(yè)務(wù)進行的前提下,進行Forefront Security的部署,是否需要進行變更管理等。比如,在一個已經(jīng)部署有多個安全產(chǎn)品的企業(yè)中,進行Forefront Security 的新安裝部署,部署人需要先在小范圍內(nèi)進行Forefront Security組件的部署,并檢查它們與原有IT設(shè)施的共存情況,如果部署前后IT設(shè)施工作都正常,部署人方可在企業(yè)范圍內(nèi)進行Forefront Security的整體部署。這些步驟和流程都應(yīng)該反映在Forefront Security 部署計劃中。
Forefront Security 測試計劃:該計劃用于對Forefront Security小規(guī)模部署和企業(yè)范圍內(nèi)整體部署的效果進行有效性和業(yè)務(wù)影響測試,部署人可以根據(jù)企業(yè)業(yè)務(wù)設(shè)置模擬成能的保障Forefront Security的成功部署,并在其后續(xù)的運作中切實發(fā)揮其保護企業(yè)IT架構(gòu)作用的保障。
