Windows平台安全问题 由谁来解决（三）

　在《Windows平台的安全问题该由谁来解决》的前面文章中，笔者提到微软涉足安全领域面临来自用户和安全厂家两方面压力，其实从专业安全厂家的观点来看，对于微软进入信息安全领域可能会抱有一种既爱又恨的态度，一方面希望微软增强操作系统安全性，减少应用层面的安全威胁，降低Windows平台的安全风险；但另一方面，这些安全厂家又不希望看到微软在信息安全领域过于强大，一旦微软的信息安全技术强大到足以能解决自己的安全问题时，对于任何一个专业安全厂家来说，都不是一件值得高兴的事。跟安全厂家有所不同，终端用户其实很愿意微软提高自身的安全性，毕竟对于用户来说，简单易用才是他们想要的，就好像Windows平台用户可以方便的使用IE浏览器一样，当然微软必须要有能力解决安全问题。此外，业界对微软的信息安全战略持有各种不同的质疑声音，但无论是什么质疑，归根结底针对的是微软的信息安全策略，我们就来看看微软的信息安全策略是什么？会给业内带来哪些思考？对企业的信息安全管理与建设意味着什么？

　　走进微软信息安全策略

　　在了解微软信息安全策略之前，必须要先搞清楚企业网络信息安全的问题在哪里，要保护什么？这也是微软大中华区信息安全总监何迪生经常强调的话。对于企业来说，任何安全技术和手段所要保护的核心内容都是数据，目的也是为了企业正常网络业务的运转。微软提出了信息安全纵深防御模型，除物理安全、边界安全、内部网络安全、主机安全、应用安全和数据安全六个技术层面进行的安全防护外，再加上法规政策、安全模型等安全指导思想，合理的规章制度、应急处理机制等信息安全管理手段和完整的安全培训体系，组成了微软总体安全架构体系。

　　◆“如果一栋大厦设置了门卫、又有监控系统、再加上一把锁，那么这栋大厦就降低了被破门而入的风险”何迪生称这种安全防护为物理安全。

　　◆利用防火墙、VPN隔离等手段保护企业网络的边界安全。

　　◆合理的对企业网络分段管理、利用IPsec等加密技术以及部署网络入侵检测和防御系统可以有效的解决企业内部网络安全问题。

　　◆通过加强操作系统自身的安全性和补丁管理系统，以及完整的认证体系达到防范主机安全的目的。

　　◆基于诸如邮件应用、Web访问、文件共享、即时通讯等应用的安全防护手段，从技术上降低了应用带给企业的安全风险。

　　◆对于数据的保护，可以利用访问控制、数据加密等手段进行。

　　除了上述六个层面的安全技术防护支持外，何迪生认为，还有两个不可忽视的要素，一是必须要通过法规政策、合理的规章制度、完整的审计、应急处理机制等手段对企业整体实施安全管理和指导，这样才能使上述六个层面的技术防护措施有效融合，实现统一完整的安全防护体系。除此之外，人的要素也不能忽略，要通过加强员工的安全意识和安全技能的培训，使企业的安全管理行之有效。

　　在51CTO记者看来，其实微软很早就提出了围绕可信任计算（Trustworthy Computing，TWC）构建总体系统安全架构体系（Microsoft Security Infrastructure）的核心设计思想。早在2006微软信息安全峰会上，微软就把信息安全战略列为会议的主要议题。在2007年5月的“微软安全日”活动中，微软高级安全战略专家Steve Riley先生也曾表示：微软的安全重心是提供一个可通过安全产品、服务和指南确保客户安全的基础强化安全平台。而针对IT管理中方方面面的挑战，怎样将管理和安全视为一个有机的整体，而不是单纯地看待“管理”和“安全”的某个方面，才是微软信息安全战略的核心所在。

　　所有的理论都要应用于实践，在实施信息安全策略的道路上，值得高兴的是微软也懂得这个道理。今年7月份，微软、思科、EMC共同宣布组建联盟，开发用于保护和共享机密政府信息的技术。这项技术能够使政府部门实现更好的通讯，并保护内容不会丢失。我们不难看出，微软正在积极努力地实现自己的信息安全策略。无独有偶，同样在7月微软又本着自己的信息安全策略正式推出针对企业级市场的安全解决方案：Forefront。它的推出意味着微软信息安全策略的落地，这也表示微软正在通过实践检验自己的信息安全理论，用Steve Riley先生的话说：“微软Forefront为企业网络基础架构的安全提供了更强大的防护与控制，它基于Windows、Office、Exchange的安全改进而构建。” 在采访微软大中华区信息安全总监何迪生生时，51CTO记者了解到：微软Forefront 解决方案是微软商务安全特性解决方案的综合产品系列，帮助用户保护信息以及控制对企业内环境的访问。Forefront 是利用微软技术指导支持的、具有高响应性的信息保护和访问控制解决方案。作为微软信息安全策略的排头兵，Forefront究竟包含什么内容？怎样解决企业面临的各种安全问题呢？下面记者就带大家初步了解一下Forefront安全解决方案

　　自己的安全自己解决

　　作为一款企业级的安全解决方案，我们先来看看Forefront包含了哪些产品：

　　◆Microsoft Forefront Client Security（以前称 Microsoft Client Protection）

　　◆Microsoft Forefront Security for Exchange Server（以前称 Microsoft Antigen for Exchange）

　　◆Microsoft Forefront Security for SharePoint（以前称 Antigen for SharePoint）

　　◆Microsoft Forefront Security for Office Communications Server（现名 Antigen for Instant Messaging）

　　◆Microsoft Internet Security and Acceleration (ISA) Server 2006

　　◆Intelligent Application Gateway (IAG) 2007

　　如果按微软的信息安全策略及安全模型分类，可以把上述产品分为客户端安全防护、应用安全防护及网络边缘安全防护三大类。这里我们首先简单了解一下这些产品：

　　客户端安全防护：

　　Microsoft Forefront Client Security（FCS）——针对客户端的安全解决方案

　　Microsoft Forefront Client Security 解决方案包括两个部分。第一个部分是 Security Agent — 安装在商用台式机、便携机和服务器操作系统上，可以实时防范和安排扫描间谍软件、病毒和 Rootkit 等威胁。第二个部分是中央管理服务器，可以让管理员轻松管理和更新预配置或自定义的恶意软件防护代理，并生成环境安全状态警报。值得一提的是在FCS解决方案中，第一次提出了多引擎概念，产品集成了多个厂家提供的技术领先的防病毒引擎，每一个扫描任务都可以选择多达5个扫描引擎同时进行病毒扫描。

　　应用安全防护：

　　Microsoft Forefront Security for Exchange Server 通过强调利用分层防范措施、Exchange Server 性能及可用性的优化和简化管理控制的方法，帮助保护电子邮件基础架构，使其避免感染和停机。其特点是将来自业界领先的安全公司的多个扫描引擎集成在一个解决方案中，帮助企业保护其 Exchange 邮件环境，防范病毒、蠕虫和垃圾邮件。

　　Microsoft Forefront Security for SharePoint 管理和集成防病毒扫描引擎，为防范最新威胁、不适当内容和泄露机密信息提供全面的保护，以确保文档在被保存到 SharePoint 文档库或从中检索时的安全性。其特点是通过多个扫描引擎，提供了内容控制，帮助企业保护其 Microsoft Office SharePoint 2007 和 Microsoft Windows SharePoint Services 3.0 协作环境，以防范包含恶意代码、机密信息和不适当内容的文档。