系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全PPT課件

1、系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全2007年5月Microsoft推出了ForeFrontClientSecurity，至此MicrosoftForeFront家族的全體成員都已向用戶公開(kāi)。雖然系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全現(xiàn)在有很多關(guān)于它們的介紹，但大都沒(méi)有從用戶的角度來(lái)分析企業(yè)Windows架構(gòu)的安全需求，以及ForeFront產(chǎn)品會(huì)對(duì)此產(chǎn)生怎樣的積極影響，本文就從這兩個(gè)方面逐系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全步深入，講述企業(yè)Windows用戶最關(guān)心的安全問(wèn)題。隨著信息技術(shù)的發(fā)展，越來(lái)越多的企業(yè)正在逐步完善業(yè)務(wù)流程

2、及信息處理，將其從人工操作轉(zhuǎn)移到信息協(xié)作平臺(tái)上來(lái)。系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全因?yàn)閃indows操作系統(tǒng)易于使用、成本較低，許多企業(yè)把Windows作為主要的業(yè)務(wù)流程和信息處理平臺(tái)，從邊界服務(wù)器到內(nèi)部網(wǎng)絡(luò)，從企業(yè)總部到各分支機(jī)構(gòu)，企業(yè)中存系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全在大量使用Windows操作系統(tǒng)的服務(wù)器和客戶端，它們的廣泛使用，也隨之出現(xiàn)了層出不窮的安全威脅，各種入侵攻擊事件時(shí)常見(jiàn)諸媒體，其中更有不少造成嚴(yán)重的經(jīng)濟(jì)損失，系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全面對(duì)如此嚴(yán)峻的安全形勢(shì)，企業(yè)用戶應(yīng)當(dāng)如何應(yīng)對(duì)？針對(duì)這樣安

3、全形勢(shì)，微軟推出了ForeFrontSecurity安全產(chǎn)品家族，其中包括ForeFrontClie系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全ntSecurity、ForeFrontServerSecurity和ForeFrontEdgeSecurity，范圍涵蓋了客戶端、服務(wù)器和網(wǎng)絡(luò)邊界安全。和原來(lái)系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全的單點(diǎn)安全產(chǎn)品（只面向某一個(gè)平臺(tái)的安全產(chǎn)品）相比，新的ForeFront家族更注重整體安全這一觀點(diǎn)，講究從整體架構(gòu)上來(lái)保證用戶信息平臺(tái)的安全，同時(shí)ForeFro系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全nt也

4、更關(guān)注企業(yè)安全管理的實(shí)施。從這點(diǎn)上講，F(xiàn)oreFront可以說(shuō)是體現(xiàn)了Microsoft對(duì)企業(yè)用戶的Windows操作系統(tǒng)和網(wǎng)絡(luò)安全需求的理解，下圖取自F系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全oreFrontSecurity的Microsoft官方站點(diǎn)，讀者從中可以很直觀的了解ForeFront家族的成員組成。ForeFrontSecurity的系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全特性ForeFrontSecurity不單只有以ForeFrontSecurity命名的幾個(gè)產(chǎn)品，它還包括了眾多的Microsoft安全產(chǎn)品，比如WSUS、系統(tǒng)安全從Fore

5、Front的特性看Windows平臺(tái)安全SystemCenter、ISA、IAG等。所謂“透過(guò)現(xiàn)象看本質(zhì)”，雖然ForeFront的產(chǎn)品線相當(dāng)復(fù)雜，不過(guò)我們?nèi)钥煽吹組icrosoft在ForeFron系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全t上所要實(shí)現(xiàn)的三個(gè)特性：綜合、集成、簡(jiǎn)易綜合（Comprehensive）ForeFront家族是客戶端、服務(wù)器和網(wǎng)絡(luò)邊界安全的完整解決方案，包括了惡意軟件系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全防御、補(bǔ)丁管理、身份驗(yàn)證、遠(yuǎn)程訪問(wèn)等安全功能，保護(hù)范圍覆蓋企業(yè)網(wǎng)絡(luò)和所有采用Windows操作系統(tǒng)的節(jié)點(diǎn)。集成（Integrat

6、ed）ForeFront可以系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全和用戶現(xiàn)有的Windows平臺(tái)上的信息處理體系和安全方案緊密的集成在一起，使用戶可以更有效和更清楚的控制企業(yè)網(wǎng)絡(luò)中的安全情況。簡(jiǎn)易（Simplified）F系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全oreFront給用戶提供了單一的管理視圖，增加用戶對(duì)企業(yè)網(wǎng)絡(luò)安全狀態(tài)的可見(jiàn)性，從而可以實(shí)現(xiàn)更好的管理和威脅緩解過(guò)程。企業(yè)用戶從ForeFront的三個(gè)特性系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全中可以得到什么啟示呢？讓不同行業(yè)不同大小的企業(yè)來(lái)回答這個(gè)問(wèn)題會(huì)有不同的答案，但筆者認(rèn)為

7、答案的區(qū)別應(yīng)該是在這三個(gè)特性的優(yōu)先度排列上而不是在答案的內(nèi)容上。因?yàn)镕or系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全eFrontSecurity的一些組件尚未正式推出，現(xiàn)在從整體安全架構(gòu)的技術(shù)層面上，來(lái)討論ForeFront與其它安全方案的優(yōu)劣，似乎尚早，不過(guò)從ForeFro系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全nt的設(shè)計(jì)理念上來(lái)討論一下Windows平臺(tái)安全的實(shí)現(xiàn)，倒是個(gè)相當(dāng)有啟發(fā)性的話題。Forefront與企業(yè)安全四特性安全綜合性首先是Windows安全實(shí)系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全現(xiàn)的綜合性。目前大部分的企業(yè)中原有的安全

8、實(shí)現(xiàn)可以歸類于“頭痛醫(yī)頭，腳疼醫(yī)腳”式的方案：如果客戶端時(shí)常面臨惡意軟件的威脅，企業(yè)的信息部門(mén)會(huì)購(gòu)買(mǎi)單機(jī)版的反病毒軟件并系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全安裝；如果服務(wù)器有可能遭受黑客入侵，企業(yè)的信息部門(mén)會(huì)購(gòu)買(mǎi)防火墻，安裝入侵檢查設(shè)備；如果郵件服務(wù)在某一時(shí)段內(nèi)有大量的垃圾郵件侵襲，企業(yè)的信息部門(mén)會(huì)購(gòu)買(mǎi)各種反垃圾郵系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全件的安全產(chǎn)品企業(yè)對(duì)安全方案的采購(gòu)和部署并不是基于對(duì)影響企業(yè)業(yè)務(wù)和信息處理的安全威脅的戰(zhàn)略性分析，而只是為了防御某類型的安全威脅而進(jìn)行的短期行為。這樣的采購(gòu)和系統(tǒng)安全從ForeFront的特性看Window

9、s平臺(tái)安全部署思路雖然在短期內(nèi)有不錯(cuò)的效果，卻會(huì)給企業(yè)帶來(lái)虛假的安全感和不小的安全隱患，企業(yè)往往在日后遭受到新安全威脅的損害之后，才會(huì)對(duì)認(rèn)識(shí)新威脅并對(duì)其做出反應(yīng)。最近系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全頻繁出現(xiàn)在媒體上的0Day漏洞攻擊便是一個(gè)例子，企業(yè)如果只部署了一般的反病毒軟件和防火墻（這樣的企業(yè)環(huán)境很常見(jiàn)，為簡(jiǎn)便起見(jiàn)，下文稱為一般信息處理環(huán)境），在0Da系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全y漏洞的攻擊下是毫無(wú)防御能力的，唯有在同時(shí)啟用入侵檢測(cè)、反病毒、防火墻等安全功能的情況下，才能比較有效的檢測(cè)和攔截。此外，企業(yè)缺乏遠(yuǎn)見(jiàn)的安全方案采購(gòu)部署方法，

10、也系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全很容易導(dǎo)致安全功能的缺失，進(jìn)而在企業(yè)的信息安全體系中造成潛在的弱點(diǎn)。一個(gè)桶能裝的水取決于最短的桶板的長(zhǎng)度，一個(gè)缺乏某些關(guān)鍵安全功能的安全體系，實(shí)際的安全效能并不系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全比什么安全方案都不用的環(huán)境安全多少，還是用上面提到的一般企業(yè)信息處理環(huán)境做示例，如果不在內(nèi)部網(wǎng)絡(luò)中使用WSUS服務(wù)或使用WindowsUpdate，管理員無(wú)法掌系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全握每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的補(bǔ)丁升級(jí)情況，一個(gè)利用Windows漏洞傳播、反病毒軟件暫時(shí)無(wú)法檢測(cè)出來(lái)的新蠕蟲(chóng)將可以很

11、輕易的攻陷企業(yè)內(nèi)網(wǎng)的所有機(jī)器。從這個(gè)角度上講，企業(yè)用戶要系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全實(shí)現(xiàn)Windows平臺(tái)的安全最大化，貫徹Microsoft在ForeFrontSecurity中所要實(shí)現(xiàn)的“安全功能的完整性”這一理念就顯得無(wú)比重要。安全集系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全成性其次是Windows安全實(shí)現(xiàn)的集成。ForeFrontSecurity就強(qiáng)調(diào)了其安全功能和用戶舊有的Windows平臺(tái)應(yīng)用的無(wú)縫結(jié)合。企業(yè)信息處理環(huán)境的組成系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全非常復(fù)雜，即便在稍微上點(diǎn)規(guī)模的企業(yè)中，信息處理環(huán)境就可

12、以按照信息處理需求的不同分為各種應(yīng)用服務(wù)器、關(guān)鍵網(wǎng)絡(luò)服務(wù)器、客戶端機(jī)器等多個(gè)環(huán)境類型，更不用說(shuō)大中型的企業(yè)系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全或跨國(guó)企業(yè)。而各個(gè)環(huán)境上的軟硬件環(huán)境又是千差萬(wàn)別，安全級(jí)別和性能需求也是各不相同，例如，企業(yè)要在應(yīng)用服務(wù)器上部署一套負(fù)責(zé)內(nèi)容過(guò)濾和性能監(jiān)控的安全方案、可是事先又系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全沒(méi)有對(duì)待部署方案與舊有的應(yīng)用服務(wù)器環(huán)境的兼容性和整合性進(jìn)行過(guò)嚴(yán)格測(cè)試，只憑廣告的宣傳進(jìn)行選擇，那后續(xù)的故障排查對(duì)企業(yè)信息部門(mén)來(lái)說(shuō)無(wú)異于一場(chǎng)噩夢(mèng)，這套安全方案的實(shí)系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全

13、施效果也無(wú)從談起。因此，企業(yè)在部署安全方案時(shí)，無(wú)論是從實(shí)施效果還是保護(hù)原有投資的角度來(lái)說(shuō)，安全方案和舊有設(shè)施的集成性都是必須考慮的關(guān)鍵因素。安全簡(jiǎn)易性最后是系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全安全實(shí)現(xiàn)的簡(jiǎn)易性，也稱為可操作性。根據(jù)心理學(xué)的解釋，越是關(guān)鍵的決定或操作，過(guò)程應(yīng)該復(fù)雜一點(diǎn)，給操作者反復(fù)檢查和確認(rèn)的機(jī)會(huì)，減少出錯(cuò)的可能；而越是頻繁的動(dòng)作，過(guò)程系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全越是應(yīng)該簡(jiǎn)單一點(diǎn)，最好能把多個(gè)簡(jiǎn)單的動(dòng)作合而為一。管理員對(duì)企業(yè)網(wǎng)絡(luò)中的各Windows節(jié)點(diǎn)、應(yīng)用服務(wù)器和網(wǎng)絡(luò)設(shè)備的監(jiān)控管理屬于日常行為，操作理應(yīng)簡(jiǎn)單一點(diǎn)。但因?yàn)橄到y(tǒng)安全

14、從ForeFront的特性看Windows平臺(tái)安全目前企業(yè)中缺乏完善的管理方案，許多企業(yè)中仍采用服務(wù)器由信息部門(mén)集中管理，客戶端由用戶自主管理的分散式管理方法。在大中型企業(yè)中常常會(huì)看到這樣的情況，每到Windo系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全ws系統(tǒng)進(jìn)行補(bǔ)丁升級(jí)的日子，信息部門(mén)就需要處理大量的服務(wù)器和客戶端，耗費(fèi)的人力驚人，而且從補(bǔ)丁發(fā)布到整個(gè)企業(yè)的系統(tǒng)完全更新也成為企業(yè)網(wǎng)絡(luò)最容易受到攻擊的時(shí)間段。系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全信息部門(mén)也無(wú)法獲得Windows客戶端上的警報(bào)和日志信息，即使是對(duì)集中管理的服務(wù)器上發(fā)生的安全事件反應(yīng)也相當(dāng)滯后，

15、信息部門(mén)疲于奔命于各種安全警報(bào)的處理。Fo系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全refront安全架構(gòu)的推出，無(wú)疑為企業(yè)Windows架構(gòu)的管理帶來(lái)了令人振奮的消息。安全變更性企業(yè)的IT管理中還有一個(gè)非常重要的方面變更控制（Chan系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全geControl）。信息部門(mén)需要掌握企業(yè)網(wǎng)絡(luò)中每一次變化，以便于故障排查和追蹤。這些變化包括安全策略的變更，服務(wù)及應(yīng)用的變更，軟、硬件環(huán)境的變更，甚至于管理組系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全織的變更。這些變更對(duì)于大型企業(yè)來(lái)說(shuō)，隨時(shí)隨地都在發(fā)生著，其數(shù)量之大令人咋

16、舌，那么如何評(píng)估、監(jiān)控、取證及完善這些變更，是每個(gè)企業(yè)IT主管的惡夢(mèng)。例如，用戶在客戶端系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全上私自進(jìn)行企業(yè)安全策略不允許的操作或軟件安裝，往往會(huì)給企業(yè)網(wǎng)絡(luò)的安全埋下隱患，這兩年頻繁出現(xiàn)在新聞中的，通過(guò)移動(dòng)存儲(chǔ)設(shè)備傳播的各種惡意軟件以及ARP病毒，就是沒(méi)系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全有有效控制客戶端，違反安全策略的行為，最終導(dǎo)致安全事故的例子。對(duì)于這一點(diǎn)，F(xiàn)orefront安全架構(gòu)利用自身的安全特性，并結(jié)合SystemCenter產(chǎn)品系列，系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全很好的實(shí)現(xiàn)了企業(yè)IT安全管理的目標(biāo)。用ForeFront保障安全綜上所述，一個(gè)安全解決方案至少需要考慮到四個(gè)方面：綜合性、集成性、簡(jiǎn)便性和變更性。就此而系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全言，F(xiàn)oreFrontSecurity是個(gè)不錯(cuò)的選擇。但不是說(shuō)在企業(yè)中實(shí)施了Forefront，就實(shí)現(xiàn)了企業(yè)IT安全了，一方面，安全管理更多的是對(duì)人對(duì)流程的管理系統(tǒng)安全從ForeFront的特性看Windows平臺(tái)安全 u盤(pán)裝系統(tǒng) yuk