企業安全戰略的必要性

企業需要的是可管理的安全系統，而不僅僅是一些安全設備。一個功能完善的、可管理的系統，通常難以通過簡單地部署一些安全設備或軟件來一步到位，尤其對于已經對IT設備進行了相當長時間投入的大型企業而言，新的安全解決方案的引入，必須與現有的IT設備和解決方案無縫耦合，同時還要具備良好的可擴展性，能夠應對企業將來可能的IT環境變更（尤其在企業收購、新應用程序的部署、新設備的部署等情況下），能夠把新的IT環境納入到企業整體的安全管理和防護體系中來。實現這樣的安全解決方案必須從戰略的角度制定企業安全解決方案的長遠發展路線。

企業安全戰略的制定與實施

在制定和實施企業安全戰略時應當遵循以下原則：

一、安全戰略必須滿足業務需求。企業處于一個不斷變化的業務環境當中，因此IT解決方案并不能實現所有的業務行為，而是企業業務實施的推助工具，所以企業解決方案應當能夠滿足不斷變化的企業業務需求，對業務變化做出即時的響應。企業安全戰略同樣應該能夠隨著企業對IT整體解決方案的變化而變化，從安全層面確保企業業務的開展不受影響。

二、安全戰略必須適應企業文化。安全戰略的實施很大程度上依賴于人的行為習慣和使用IT設備的方法，在一個寬松的環境中或在工作人員很精通技術的公司中實施封閉性安全戰略的困難將會很大，能否與企業文化相適應是新的安全戰略順利實施的非技術性關鍵因素。

三、安全戰略應當把企業各個層面的個人納入到統一的體系架構中來。“千里大提，潰于蟻穴”，作為企業最重要的因素的個人是企業安全戰略最大的受益者之一，也直接影響著企業安全戰略實施的成敗，因此企業安全戰略應當把對個人信息及其IT設備的安全防護作為整個企業安全戰略的重中之重。而來自企業內部潛在的信息泄漏則是大多數企業最容易忽視的環節。

企業安全戰略由其長期性而面臨很多的不確定性，甚至安全戰略的制定者也可能由于種種原因離開組織，因此企業在制定和實施IT安全戰略的時候，除考慮滿足功能性需求以外，還應該最大程度規范化整個實施流程，確保實施的可延續性。另外，對于安全戰略而言，企業規模的大小將不是關鍵，大型企業可能更容易受到利用軟件集成性不好的弱點攻擊，原因是它們很高的知名度招致人們更多的隨意窺探。一些小企業也會遇到甚至更大的問題，因為它們既為人所知，又很容易受到攻擊。但是，不管企業規模大小，制定安全戰略的關鍵是以適當角度評估系統的脆弱性，根據其實際情況部署合適的安全措施。

在制定與實施安全戰略時，必須使整個企業都參與進來，而不僅僅限于管理層，并要確切地了解安全戰略將能夠從哪個層面得到多大的支持。

Forefront產品對企業應用的針對性

針對企業和個人各個層面上的應用需求，微軟已形成了成熟的Forefront安全產品線，該系列產品主要包括以下根據功能進行分類的軟件：

一、網絡邊緣保護

相應的產品為Microsoft Internet Security and Acceleration (ISA) Server 2006，此產品屬于企業級防火墻，它為企業網絡安全提供了強大支持，其主要功能如下：

1、Internet訪問保護
ISA2006 通過多層深入內容檢查技術、全面而靈活的安全策略以及可自定義的網絡協議過濾器和網絡路由關系，幫助企業對其網絡環境進行保護，并防范源自網絡外部的 Internet 威脅和內部的威脅。

2、安全遠程訪問
ISA2006通過采用SSL加密VPN、應用程序層過濾和端點安全管理，使員工可以從不同的位置，以被優化的方式對企業內部網絡中的關鍵應用程序、文檔和數據通過Intranet進行訪問。

3、安全有效地連接到分支機構
ISA2006通過 HTTP 壓縮、內容緩存和與應用層過濾集成的站點到站點VPN功能，使企業網絡可以連接并保護其分支機構的網絡，實現更安全、更輕松的企業網絡擴展。

#p#副標題#e#

企業的安全問題與企業整體的IT架構類似，是一個長期存在并且需要長遠規劃、實施的問題。安全實際上是一個動態的過程，一般可以分為評估、防護、檢測、響應依次實施的四個步驟。

而響應后期的工作更多的可以把它看作是一種再評估、再防護的過程，這樣，整個安全過程就成為一種動態的，循環的，不斷優化的一個過程。

企業的CIO們和CTO們在面對由不同廠商提供的安全解決方案時，難免陷入不知所措的境地。如何讓自己的解決方案更具有可擴展性、如何讓自己的解決方案能夠更好地與組織當前的IT架構無縫耦合、如何使企業的IT投資具有最大的投資收益和可重用度，成為企業在著手制定企業安全戰略和實施安全架構解決方案之前，必須考慮的問題。

二、服務器保護
支持該功能的有三個獨立的產品，其一為Microsoft Forefront Security for Exchange Server（即Microsoft Antigen for Exchange）。

Exchange Server強化了分層防御機制，改進了對郵件內容過濾的策略，充分考慮了Exchange Server的性能因素，確保電子郵件系統免遭病毒蠕蟲感染。其主要功能包括：

1、可用性與可控制性
Exchange Server與Microsoft Exchange平臺高度集成，不會占用過多的服務器資源，即使是在電子郵件蠕蟲等威脅爆發期間也能確保提供電子郵件的安全防護。它還可立即檢測并清除已知蠕蟲，在電子郵件病毒爆發期間大幅降低郵件服務器流量，從而有效抑制對服務器工作負載和磁盤存儲空間的需求。

2、抵制不安全內容
管理員可以制定內容過濾防護規則，在郵件標題行和消息正文中強制執行語言使用與信息保密等企業安全策略。

產品二為Microsoft Forefront Security for SharePoint（即Antigen for SharePoint）。

該產品是一款服務器級的防病毒和文檔篩選解決方案，專為滿足企業對 SharePoint服務的安全需求而設計。它可以通過掃描引擎管理和一系列的篩選選項來自動檢測與清除文檔中感染的病毒，并依照公司內容策略地實施前瞻性防護。其主要功能包括：

1、多掃描引擎管理
與Exchange Server類似，SharePoint包含由全球安全公司提供的業界領先的防病毒引擎，這種分層防御在識別惡意內容方面要比單一引擎技術更為有效。在一個引擎進行更新時，其它引擎可繼續提供不間斷的防護，同時，多引擎技術還減少了新病毒爆發期間存在的漏洞時間窗口，從而使Forefront Security 能夠在第一時間獲得全球各個領先的病毒實驗室提供的反病毒產品的更新。

2、完善的掃描選項
SharePoint具有大量用于提高系統性能的工具和選項，其中內存掃描功能可在應用程序內存空間及早地掃描文檔，而無須等到病毒危害到文檔之后再進行查殺，極大地提高了掃描性能和SharePoint服務器的資源效率。

3、內容和文件篩選
SharePoint還提供內容控制，可阻止非法文件類型的上傳。管理員可以配置基于文件擴展名、類型、名稱、大小或通配符的文件篩選策略。而它的內容篩選功能則可檢測SharePoint 站點中的非法內容，并提供相應的隔離或阻擋選項。SharePoint還包括一些用于內容篩選的預填充詞典，并允許管理員創建自己的詞典，以過濾機密或非法關鍵字。這些功能都可以幫助組織創建和實施自己的安全策略。

4、通知選項
在發生與SharePoint有關的事件時，管理員可以收到相應的電子郵件警報。管理員也可以將通知設置為自動添加到Web頁面，而且Forefront所檢測到的病毒信息也可追加到文檔的說明字段。與此同時，病毒活動在Forefront產品控制臺中都可以得到監控，還會以日志形式存儲在系統事件日志或文本文件中。

三、客戶端防護
相應的產品為Microsoft Forefront Client Security（即 Microsoft Client Protection）。

FCS是Forefront產品線中面向客戶端的安全產品，同時應用于Windows Live OneCare、Windows Defender 和 Microsoft Forefront Security for Exchange Server 等產品中的防護技術組成，可以為PC機、筆記本和服務器操作系統提供惡意軟件防護功能。FCS通過一個代理對病毒、間諜軟件和其它惡意軟件進行全面、統一的防護，為所有管理功能（包括配置、報告和警報等）提供本地和遠程訪問的支持。FCS中央管理控制臺可以顯示安全報告和摘要儀表盤，用戶可以實時掌握企業網絡中的惡意軟件防護數據和新威脅趨勢，關注關鍵信息。

FCS還可以方便地集成到現有環境中，可以通過Active Directory組策略和 Windows 服務器升級服務，即可輕松完成FCS進行分發安裝配置工作。

除本文談到的三個方面以外，由于微軟多年來在企業級應用程序服務器、SQL Server、操作系統、Office、系統管理等多個產品線上的技術激烈，因此微軟安全解決方案有著更為廣泛的應用空間。如圖1所示微軟安全解決方案體系，其中Forefront涉及服務、邊緣、服務器應用程序、客戶端和服務器操作系統，限于本文篇幅，將不再討論其他安全產品的應用。

企業從Forefront產品得到的收益

從上面的討論中可以看出，微軟Forefront產品線已形成了完善的企業安全防護解決方案，把Forefront產品納入到企業安全戰略的框架中來將會使企業獲得以下收益：

1、能夠把企業各個層面的個人納入到統一的安全框架中來。Forefront安全產品提供了企業邊界安全、服務器安全和客戶端的安全三個層面上的防護解決方案，從而把企業IT相關的多個工作角色納入到統一的管理框架中來，為技術的推廣和安全戰略的實施打下了良好的基礎。

2、與現有大多IT資產無縫耦合。由于微軟Windows系統和基于Windows系統的應用程序的廣泛應用，以及Windows Server、Active Directory等產品在大多數企業內的應用，以及微軟Windows系統產品之間的兼容性，Forefront系列產品將能夠與企業現有的IT自然和投資無縫地集成在一起，從而能夠重用企業現有的很多IT資產，減少實施安全戰略的IT投入，降低企業IT運營總成本。

3、具有良好的可擴展性。微軟Windows產品在進行版本升級和新產品推出時，絕大多數情況下考慮到了軟件的兼容性，使得在現有解決方案的基礎上引入新功能的成本大大降低，從而使采用Forefront Security的安全戰略更具有可擴展性。