當(dāng)前,企業(yè)將信息化作為提高核心競爭力的一個手段,同時大量的信息安全和管理問題也伴隨著計算機(jī)應(yīng)用的拓展而不斷涌現(xiàn)。企業(yè)信息化之路還要走多遠(yuǎn)?
向左走:“安全問題”
現(xiàn)在IT的世界已經(jīng)不像以前那么單純;現(xiàn)在虛擬的世界跟現(xiàn)實世界越來越接近了;現(xiàn)在很多現(xiàn)實中不好的地方,虛擬世界都會出現(xiàn)。所以企業(yè)在安全方面投入越來越大。
讓我們來看一下安全防護(hù)的流程,一開始企業(yè)可能會花高價引進(jìn)一批具備各種功能的安全軟件,然后把它們分別安裝到企業(yè)的桌面計算機(jī)上去。企業(yè)用戶并沒有就此養(yǎng)成定期升級和下載補(bǔ)丁的習(xí)慣。半年過去以后,原來幾百臺的裝機(jī)量可能因為重裝系統(tǒng)等原因,只有幾十臺機(jī)器上仍然正常運行著這些安全軟件。試問,就算這些安全軟件的功能再強(qiáng)大,企業(yè)的IT系統(tǒng)安全是否真正得到了保護(hù)呢?答案顯然是否定的。因此,真正的系統(tǒng)安全絕不僅僅來自于技術(shù)和產(chǎn)品,它的實現(xiàn)還需要結(jié)合管理思想的安全方案。
向右走:“管理問題”
隨著IT業(yè)的日益成熟,在整個IT費用里面,硬件占的比例越來越小,而管理和支持占的比重增大,管理、支持跟軟件加起來占了70%,而當(dāng)中只有6%是軟件的購買成本,最大的成本就是運維、管理和支持。
企業(yè)面臨的挑戰(zhàn)很多,在基礎(chǔ)架構(gòu)方面,尤其在中國,國民經(jīng)濟(jì)高速增長,IT投入越來越多,從過去有一個數(shù)據(jù)庫,到現(xiàn)在有很多的東西。比如CRM和ERP等,成本管理起來越來越高,非常麻煩,隨著企業(yè)IT投入的增加,存在很多問題。比如異構(gòu)系統(tǒng)不兼容性的問題,還有現(xiàn)有平臺和將來平臺的兼容問題,過去IT的投入將來還可不可以用?
走出被動防御的“盲區(qū)”
未來安全問題不再是過去簡簡單單的一個病毒或者一個黑客,它將朝著更多元化的方向發(fā)展。對于企業(yè)而言,無論是數(shù)據(jù)失竊、郵件泄密、還是網(wǎng)絡(luò)癱瘓,這都將是巨大的損失。
越來越多的企業(yè)已經(jīng)從“被動式接受”轉(zhuǎn)變?yōu)椤爸鲃臃婪丁薄?/p>
這種變化包含兩層意思:一方面是企業(yè)意識的轉(zhuǎn)變。從最早的輕視信息安全,認(rèn)為安全是額外的投入,不能帶來任何收益,是IT建設(shè)的附屬品,到之后的開始接觸信息安全理念、產(chǎn)品以及技術(shù),被動接受安全體系的建設(shè),整個行業(yè)呈現(xiàn)出一片空前的信息安全建設(shè)熱潮;再到后來的泡沫逐漸消退,企業(yè)更加清醒的看待信息安全問題。隨著整個IT環(huán)境的變化以及需求的日益增強(qiáng),企業(yè)開始認(rèn)識到信息安全作為企業(yè)生存與發(fā)展的重要支撐必須走出固有的圈子,變被動為主動,將其提升到與信息化建設(shè)同等重要的高度。全民動員,加大投資力度,從領(lǐng)導(dǎo)到基層形成網(wǎng)絡(luò)結(jié)構(gòu)共同參與進(jìn)來,這個時候我們說,安全建設(shè)才真正成為企業(yè)成長的助推器,完成了從企業(yè)發(fā)展的絆腳石到催化劑的轉(zhuǎn)變。
信息安全“三分技術(shù),七分管理”,安全與管理是企業(yè)信息安全的核心,企業(yè)建立了安全管理體系后,安全技術(shù)才能充分發(fā)揮它應(yīng)有的作用。安全管理首先要建立一個健全、務(wù)實、有效的安全組織架構(gòu),明確架構(gòu)成員的安全職責(zé),這是企業(yè)安全管理得以實施、推廣的基礎(chǔ);其次必須建立完善、可操作性強(qiáng)的安全管理制度并嚴(yán)格執(zhí)行。責(zé)權(quán)不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的風(fēng)險。如一些員工或管理員隨便讓一些非本地員工甚至外來人員進(jìn)入機(jī)房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應(yīng)的制度來約束。所以需要一個讓管理、技術(shù)、人的參與三者融為一體、有主觀意識參與的全方位的解決方案做催化劑。
讓管理更加簡單
企業(yè)信息化建設(shè),不能沒有管理,也不能沒有安全。微軟提出基礎(chǔ)架構(gòu)優(yōu)化的概念,應(yīng)對管理和安全的挑戰(zhàn)。微軟提供了System Center產(chǎn)品及Forefront Security解決方案,以便讓企業(yè)“魚和熊掌可以兼得”變?yōu)楝F(xiàn)實。它不僅能無縫接入IT架構(gòu)平臺,而且能夠提高整體架構(gòu)的安全性和工作效率,降低管理的復(fù)雜度和成本,真正解決管理與安全問題。同時讓企業(yè)架構(gòu)資源得到最佳整合和優(yōu)化。
幾年以前微軟就提出了基礎(chǔ)架構(gòu)的優(yōu)化模型,根據(jù)企業(yè)的IT成熟度不一樣,分為四個階段:基本、標(biāo)準(zhǔn)、合理和動態(tài),每一個階段有不同的特點,比如說基礎(chǔ)的時候,有很多手動的沒有很好的IT技術(shù),我們希望完全自動的,或者可以做到根據(jù)企業(yè)不同的需求,動態(tài)的分配資源,把企業(yè)的IT從成本中心向戰(zhàn)略資產(chǎn)的轉(zhuǎn)移。
統(tǒng)一的用戶認(rèn)證和權(quán)限管理
隨著信息化在企業(yè)應(yīng)用更多業(yè)務(wù)系統(tǒng)中沒有統(tǒng)一規(guī)劃的情況下,用戶身份信息將編制到本地目錄和數(shù)據(jù)庫中(即“身份島”)。分散的用戶身份管理缺乏統(tǒng)一的安全管理策略和審計策略,給系統(tǒng)的安全性、數(shù)據(jù)的保密性帶來潛在的巨大隱患。目錄服務(wù)作為 Windows Server 2003一部分將提供分布式目錄,它具備高度可用性。企業(yè)可以通過目錄服務(wù),完成企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)身份統(tǒng)一認(rèn)證管理。通過微軟活動目錄技術(shù)并結(jié)合組策略根據(jù)不同用戶級別、使用范圍進(jìn)行細(xì)粒度的用戶桌面控制,從而達(dá)到對客戶端桌面實施嚴(yán)格、周密的統(tǒng)一控制和管理。
統(tǒng)一的安全管理
目前,擁有數(shù)百臺甚至更多個人電腦、服務(wù)器和移動設(shè)備的企業(yè)越來越多。如何對它們進(jìn)行有效管理成了CIO頭痛的問題。System Center是微軟公司面向應(yīng)用程序部署、資產(chǎn)管理和安全補(bǔ)丁管理、移動工作團(tuán)隊支持所開發(fā)的企業(yè)級變更與配置管理的技術(shù)平臺,并提供資產(chǎn)管理、軟件分發(fā)、補(bǔ)丁管理、遠(yuǎn)程控制等功能。
另外,針對企業(yè)內(nèi)部網(wǎng)絡(luò)中存在的種種攻擊威脅,Microsoft Forefront Security能夠為企業(yè)提供從網(wǎng)絡(luò)邊界直至關(guān)鍵應(yīng)用服務(wù)器、個人桌面的安全防御。
其中:Microsoft ISA Server和IAG Server為企業(yè)用戶提供功能完備的邊界安全和遠(yuǎn)程訪問能力;Microsoft Forefront Security for Exchange、SharePoint、OCS為企業(yè)關(guān)鍵應(yīng)用服務(wù)器提供了惡意軟件防護(hù)、內(nèi)容過濾等安全功能。最后, Microsoft Forefront Client Security也為企業(yè)中的服務(wù)器、客戶端提供了統(tǒng)一的反惡意軟件保護(hù)。
敏銳的“嗅覺”
另外對于軟件部署更新、數(shù)據(jù)的備份恢復(fù)一直到管理服務(wù),出了問題是不是有報告,或者是系統(tǒng)容量是不是已經(jīng)夠了等等,這些客戶所需要的是統(tǒng)一管理的需求。
● 檔案存取
● 檔案存取審核記錄
● 檔案刪除審核記錄
● 登入/注銷
● 用戶登入/注銷審核記錄
● 用戶登入失敗審核記錄
● 使用者登入失敗比率圖
● 賬戶管理
● 計算機(jī)賬戶異動審核記錄
● 群組異動審核記錄
● 用戶賬戶異動審核記錄
● 用戶權(quán)力變更紀(jì)錄審核
● 安全審核
● 網(wǎng)絡(luò)原則變更審核記錄
● 審核原則變更審核記錄
網(wǎng)絡(luò)訪問保護(hù)
基于Windows Server 的網(wǎng)絡(luò)訪問保護(hù)平臺提供各種安全管理服務(wù)和基礎(chǔ)結(jié)構(gòu),可幫助管理員進(jìn)行驗證并強(qiáng)制執(zhí)行與網(wǎng)絡(luò)訪問策略的兼容性。管理員可以創(chuàng)建集中配置組策略,用于指定系統(tǒng)正常狀況。在能夠訪問專用網(wǎng)絡(luò)或?qū)S镁W(wǎng)絡(luò)資源之前驗證系統(tǒng)狀況是否正常。
另外,管理員還可以通過Microsoft Forefront Security所提供的綜合管理控制臺,實時掌握企業(yè)內(nèi)部網(wǎng)絡(luò)中的威脅等級和防御方案部署情況,并根據(jù)企業(yè)安全策略的規(guī)定,強(qiáng)制不符合一致性要求的節(jié)點進(jìn)行安全方案的部署。
以System Center、Forefront Security、Core IO架構(gòu)為基礎(chǔ)的企業(yè)基礎(chǔ)架構(gòu)以前所未有的集成度,并遵循基于ITIL的過程工作流,以便解決跨產(chǎn)品系統(tǒng)管理問題。
