随着互联网的飞速发展，信息安全问题日益凸显，每年由此造成的损失数以亿计，信息安全已被越来越多的企业和政府部门高度重视。今天下午，《IT时代周刊》与微软(中国)有限公司在国家有关专业部门和机构的大力支持下，联合举办此次圆桌会议“CIO信息安全圆桌会议——网络安全与信息化”。会上，信息安全专家、中国政府部门高层、跨国公司CIO、中国500强代表企业CIO就“网络安全与信息化”，发表了精彩纷呈的演说。

在会中微软安全技术顾问牛可先生与大家分享了IT基础架构解决方案：刚才我们提到了，关于安全它是和另外一个基础的IT基础服务是密切相关的，就是管理。首先，我们看一下管理方面的IT基础结构的核心产品。微软在管理这个大核心下提出了一个产品叫做System Center，它可以帮助企业实现复杂环境和大的IT基础结构的管理环境。

中微软安全技术顾问牛可先生

我们看一下到底什么是System Center，其实它是一个产品的系列，或者是一个产品的品牌。在这个产品的系列或者是品牌之下，所包含的都是跟IT基础架构管理密切相关的产品。我们可以看到，其中包含了有用于性能，还有可用性监控的这样一些服务。另外，还有软件更新以及补丁更新部署所实现的服务。还有数据存储与恢复的服务，还有IT知识、问题管理的服务，还有对于我们整个IT环境中新投入应用、新投入的基础设施的容量的要求进行评估的容量管理的服务。另外，还有IT报告，就是我们可以对当前IT运作的环境、运作的状态，能够随时随地地去了解它的信息，通过报告的方式展现的服务。另外，就是我们很关心的操作方面的管理的服务。我能够随时对于我企业中大量的客户端的计算机，或者是对于我们的服务器，进行时刻地配备和管理的时候用到的管理服务。一直到最后的IT服务的管理。

在未然的System Center里面包含了这么多跟IT基础架构管理相关的这么多的产品。下面我简单介绍一下这里面相关的产品在企业中有好评的产品，给各位有一些推荐。

第一个叫做微软的Microsoft Operations Manager，这是对于我们服务的可用性，还有我们企业的运维做支持的产品。它可以帮我们随时监控在我们企业环境中基础设施的状况。比如说我们的基础架构里面有很多的服务管理，还有很多的服务器，可能在一个数据中心有几百台、上千台的服务器，这几百台的服务器运营的状况怎么样，以前出现过什么问题，谁去处理的，花了多长的时间，我们都可以通过Aperations Manager来了解，我可以在一个地方了解我企业的基础架构里面发生的问题，而且在发生问题之前可以预见到问题的出现。同时，我也可以在问题出现以后准确地定位和分析。因为在这一块，它还有一个服务知识库的组件，可以帮助我们在出现问题之后快速地查阅类似问题的解决方案，然后快速地解决我们IT运行中的一些问题。

这个产品是运维管理的，另外一个叫做Systems Management Server，它主要是做配置管理的。它可以帮助我们企业实现成千上万的企业客户端的管理。比如说在微软公司的客户端的数量是非常多的，计算机、服务器加客户端加起来有60万台，这些计算机的配置、分发、安全相关设置的推送，都是通过Systems Management Server来实现的，而且在全球有2万家的企业都使用这个产品。它为我们的变更管理提供了核心的服务。

这是微软的IT使用SMS的成功经验，部署了108000多个客户端，托管的服务器达到了5000多台，下面的数据大家可以看到，通过这些数据，微软的IT部门利用SMS可以精准地进行修补。就是可能某一个计算机上面缺少某一个补丁，这台计算机可能在北美、亚洲、中国，或者是中国的某一个地区，我怎么样进行快速地定位进行修补，SMS可以做到。这里有一些统计数据，大家可以做一些了解。

下面我们看一下这个叫做Data Protection Manager，这个是数据保护的软件。我们可以进行动态化的数据的快速备份和保护，它可以在线地进行数据快速备份，而且可以快速地进行在线的数据的恢复。它能够对于核心的数据和基础架构进行保护，还可以在发生灾难的时候进行快速地还原。

还有就是System Center Capacity Planner。在坐的CIO可能有一个困惑，我上一个应用的时候，我需要多大的磁盘、多少的带宽等等?你怎么估算这方面的需求呢?一方面凭以前的经验，一方面听厂商给你的讲解。现在有了容量规划器，我们可以利用它精准地估算我们在各个层面所需要的IT投入，以及投入的比例。一方面它可以根据我们的需求做调整，得出最佳的结果。就是说，可以帮助我们节省成本的同时，可以让我们企业新兴运营的系统，可以达到最大方面的优化。

最后，这个Reporting Manager就是专门出报表的。我同很多企业的管理人员或者CIO一起聊过。他说我们企业CIO做的最主要的事情是跟企业的董事会要钱，然后在我们的企业的IT上进行投入。你每年怎么获得这个投资额呢?你必须有一个说明，如果你有了Reporting Manager之后，我可以把一段时间内企业IT发生的事件做一个数字的报表，可以很明确地说明我IT设施运作的情况和发展的需求，以此作为基础的数据，能够证明我在IT方面投资的价值。所以，这个也是非常有利的服务。

微软除了在大型企业和一些中型企业提供了单独的IT基础架构的管理设施之外，它还提供了什么呢?就是面向专门针对中小型企业的System Center Essentials，就是说我现在这个企业并不大，只有100多、200多的IT设施的终端。如果我以后起来了，我要用前面的设施，我需要花很多的费用，而且我必须有一定的IT管理操作经验的人员去实现管理。但是，现在有了Essentials，我对于250人以下的企业，也有了管理方案。

最后是System Center “Service Desk”针对需求提出的产品，可以针对人员、流程、系统，实现IT自动化的流程。关于微软System Center这个系列的产品的架构主题我就介绍这么多，因为我们今天是关于信息安全的，所以下面我们重点和大家探讨一下微软的Forefront的解决方案。和Forefront是实现卓越的企业级安全管理的解决方案，下面的时间我将和大家进行探讨。

现在，我们作为企业主管来讲，企业中的安全的挑战是越来越大了，尤其是这两年发生了很多的安全事件，并且这些安全事件对于我们整个企业的信息带来了很大的冲击。在这种情况下，我们会说，企业会面临很多来自内部和外部的威胁。包括幻灯片当中大家看到的，病毒、蠕虫、信息的丢失等等带来的一些重大的安全性的威胁。

尤其这两年，我们知道的僵尸网络和Rootkit是流行比较广泛的，在当今的互联网上的僵尸网络，最大的数据是每天中毒的计算机就有25万台之多。所以，这些会给我们企业带来重大的安全问题。而且，随着信息的泄露，随着安全事件的发生，我们越来越注意到企业的安全信息是越来越重要的。

在这些事件当中，微软考虑出了一个安全的解决方案。微软提供一个优良的基础架构设计，微软每年在安全方面的研发投入是14亿美元左右，占到了他每年研发费用的1/3还多。所以，从资金的投入上，大家可以看到，微软在每年安全方面的重要性还有投资的比重。

第二个，除了提供安全的产品之外，微软还给使用他的产品或者是使用相关技术的这些客户、用户以及合作伙伴，去提供安全性的最佳实践，以及实现安全性的工具。如果大家了解微软的产品或者是技术多一些的话，可以经常收取到微软在安全方面提供安全最佳实践分析或者是白皮书。里面会告诉你怎么去配置安全、应用安全、确保安全。这个就是他提供最佳实践咨询的资料，还会提供一些工具。比如说像微软的最佳安全实践分析器，你利用这个分析器，可以很容易了解你企业当中当前所有的客户端、服务器配置的情况。而且，它会给你一些建议，比如说你的计算机、服务器的配置是不安全的，不安全在哪里，他都会有一套机制帮助你解决。

当然了，在信息化的过程中，光靠微软的力量是远远不够的，所以微软在安全方面很大一部分的投入，还在于和众多的合作伙伴、安全机构、政府去营造一个安全的生态环境，去创建这样一个安全的生态环境，共同地去针对安全方面的一些危险，去做一些工作。所以，微软的安全策略就是在这三个方面，第一为用户提供安全的基础结构设计，还有提供安全的指导，还有和业界、政府共同来创造安全的信息环境。

其实，对于当前的企业来讲，信息安全的挑战也是比较巨大的，在这种情况下有一种需求。就是我们这个为了信息安全，我们可能上了很多的系统，比如说上了防火墙、VPN、IDS、身份验证、反病毒、垃圾邮件等等。一下子光安全相关的就上了十几套或者是几十套的产品或者是技术解决方案。这些解决方案到底容不容易去管理?它的效率如何?都会带来众多的问题。

微软在IT环境的挑战日益加剧的情况下，它提出了一个理念，就是一定要构建一个全面、统一和简单地安全的解决方面。这也是微软去推出Forefront的主旨和方案。

同时，在安全方面，微软还提出了一个策略，这个策略也是指导微软在安全实践过程中最基本的原则，就是纵深防御策略。在这个纵深防御策略里面，微软认为信息系统的安全是带有层次性的，就好像洋葱一样。在最外面的你必须首先有策略、过程，还有法律法规的约束。这个就是我们叫做策略和通道的层次。首先，我们在企业当中有这样安全层的保护，然后让用户理解什么是安全，对于可能带来的安全的隐含怎么去预防。在这个层次方面就是物理的安全，对于物理的安全的防护，我们就要通过物理的方法去实现。我们可以通过很多的锁，再就是安全产品的周边，我们可以通过防护、锁定、追踪设备等等。我们怎么样控制我们内部安全的冷遇和其他网络之间连接环境的边界网络的安全呢?我们可能采取相应地防火墙、隔离或者是VPN进行实现。

还有像内部网络方面出现的安全问题，我们需要用网络分段的方法，可能使用IPSec，还有NIDS等网络防护保护和网络隔离的技术，来实现不同等级计算机对于内部信息访问的控制。然后是主机的层面，就是每一台计算机和每一台服务器的层面，要通过操作系统的加固、身份系统的验证、服务相应地补丁、漏洞的修补，来实现主机的增强。另外，你的应用系统也是必须是安全的，你要通过各种方式来保证应用系统的健壮性，对于病毒的预防能力。最终，就是数据的安全，我们可以用各种基于数据的加密，或者是访问控制来保证数据的安全。

总之，在微软提供安全的产品和技术的时候，它始终遵循的原则就是纵深防御的策略。要实现安全，你就需要在每一个层面上做大量的工作，才可以保证我们信息的安全和信息环境的安全。

具体到安全方面的产品就是微软提出的Forefront，这是微软针对企业提出的安全解决方案。我们在会场的时候领到了一个资料袋，袋里面就包括了Forefront这个产品的一些信息，大家可能已经查阅了，我再做一个详尽的介绍。

Forefront面向企业的安全方面做了一个整体的解决方案，它面对企业的现状是从这么几个方面考虑问题的。

第一个是网络的边缘，就是我们各个网络连接的时候出现的安全问题，好多黑客的攻击、安全事件的发生，都是通过网络的边缘来渗透的。所以，网络的边缘成为我们继续关注的要点，怎么样保证网络边缘的安全，从而实现网络层面的安全，是通过相应地解决方案来实现的。

微软Forefront在这个产品系列里面，网络边缘的实现是通过一个叫做Acceleration Server2006年实现的。

第二个层面就是应用服务器的安全，这一点是大家理解比较深刻的。现在我们分析一下计算机病毒的爆发，它肯定是每台计算机都感染了，它怎么感染的?病毒的来源是什么?绝大部分都是通过电子邮件、即时消息，像MSN或者是QQ这样的消息，或者是企业内部的即时消息协作的服务。还有就是共享，这个共享包括了网络的共享文件夹，或者是通过协作系统，或者是门户网络等等的方式来进行传播的。

所以，在这个环境中我们可以看到，对于一个企业来讲，他的应用服务系统，就是他的信息进行交汇的中枢，这个位置就是病毒最容易感染和发挥的核心位置。所以，我们在企业的安全防护的过程中，应用服务是最重要的层面，如果我们把这个层面的安全防范的工作做好，就可以很大地降低病毒、恶意软件在企业中爆发的可能性。

第三个层面就是客户端操作系统这样一个安全的领域。其实我们的安全方面，防病毒、防恶意软件的安全都是从桌面上做起的，一起到了企业的整体的安全解决方案。微软在客户端的操作系统的安全也开发了客户端的安全的系统。

这是微软面向边缘网络、应用服务器、企业的客户操作系统这三个方面的解决方案。边缘是Acceleration Server来完成的，在中心是通过Forefront来解决的。