微软Forefront 让安全与管理比翼双飞

当前，企业将信息化作为提高核心竞争力的一个手段，同时大量的信息安全和管理问题也伴随着计算机应用的拓展而不断涌现。企业信息化之路还要走多远？

向左走：“安全问题”

现在IT的世界已经不像以前那么单纯；现在虚拟的世界跟现实世界越来越接近了；现在很多现实中不好的地方，虚拟世界都会出现。所以企业在安全方面投入越来越大。

让我们来看一下安全防护的流程，一开始企业可能会花高价引进一批具备各种功能的安全软件，然后把它们分别安装到企业的桌面计算机上去。企业用户并没有就此养成定期升级和下载补丁的习惯。半年过去以后，原来几百台的装机量可能因为重装系统等原因，只有几十台机器上仍然正常运行着这些安全软件。试问，就算这些安全软件的功能再强大，企业的IT系统安全是否真正得到了保护呢?答案显然是否定的。因此，真正的系统安全绝不仅仅来自于技术和产品，它的实现还需要结合管理思想的安全方案。

向右走：“管理问题”

随着IT业的日益成熟，在整个IT费用里面，硬件占的比例越来越小，而管理和支持占的比重增大，管理、支持跟软件加起来占了70％，而当中只有6％是软件的购买成本，最大的成本就是运维、管理和支持。

企业面临的挑战很多，在基础架构方面，尤其在中国，国民经济高速增长，IT投入越来越多，从过去有一个数据库，到现在有很多的东西。比如CRM和ERP等，成本管理起来越来越高，非常麻烦，随着企业IT投入的增加，存在很多问题。比如异构系统不兼容性的问题，还有现有平台和将来平台的兼容问题，过去IT的投入将来还可不可以用？

走出被动防御的“盲区”

未来安全问题不再是过去简简单单的一个病毒或者一个黑客，它将朝着更多元化的方向发展。对于企业而言，无论是数据失窃、邮件泄密、还是网络瘫痪，这都将是巨大的损失。

越来越多的企业已经从“被动式接受”转变为“主动防范”。

这种变化包含两层意思：一方面是企业意识的转变。从最早的轻视信息安全，认为安全是额外的投入，不能带来任何收益，是IT建设的附属品，到之后的开始接触信息安全理念、产品以及技术，被动接受安全体系的建设，整个行业呈现出一片空前的信息安全建设热潮；再到后来的泡沫逐渐消退，企业更加清醒的看待信息安全问题。随着整个IT环境的变化以及需求的日益增强，企业开始认识到信息安全作为企业生存与发展的重要支撑必须走出固有的圈子，变被动为主动，将其提升到与信息化建设同等重要的高度。全民动员，加大投资力度，从领导到基层形成网络结构共同参与进来，这个时候我们说，安全建设才真正成为企业成长的助推器，完成了从企业发展的绊脚石到催化剂的转变。

信息安全“三分技术，七分管理”，安全与管理是企业信息安全的核心，企业建立了安全管理体系后，安全技术才能充分发挥它应有的作用。安全管理首先要建立一个健全、务实、有效的安全组织架构，明确架构成员的安全职责，这是企业安全管理得以实施、推广的基础；其次必须建立完善、可操作性强的安全管理制度并严格执行。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的风险。如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应的制度来约束。所以需要一个让管理、技术、人的参与三者融为一体、有主观意识参与的全方位的解决方案做催化剂。

让管理更加简单

企业信息化建设，不能没有管理，也不能没有安全。微软提出基础架构优化的概念，应对管理和安全的挑战。微软提供了System Center产品及Forefront Security解决方案，以便让企业“鱼和熊掌可以兼得”变为现实。它不仅能无缝接入IT架构平台，而且能够提高整体架构的安全性和工作效率，降低管理的复杂度和成本，真正解决管理与安全问题。同时让企业架构资源得到最佳整合和优化。

几年以前微软就提出了基础架构的优化模型，根据企业的IT成熟度不一样，分为四个阶段：基本、标准、合理和动态，每一个阶段有不同的特点，比如说基础的时候，有很多手动的没有很好的IT技术，我们希望完全自动的，或者可以做到根据企业不同的需求，动态的分配资源，把企业的IT从成本中心向战略资产的转移。

统一的用户认证和权限管理

随着信息化在企业应用更多业务系统中没有统一规划的情况下，用户身份信息将编制到本地目录和数据库中（即“身份岛”）。分散的用户身份管理缺乏统一的安全管理策略和审计策略，给系统的安全性、数据的保密性带来潜在的巨大隐患。目录服务作为 Windows Server 2003一部分将提供分布式目录，它具备高度可用性。企业可以通过目录服务，完成企业内部业务系统身份统一认证管理。通过微软活动目录技术并结合组策略根据不同用户级别、使用范围进行细粒度的用户桌面控制，从而达到对客户端桌面实施严格、周密的统一控制和管理。

统一的安全管理

目前，拥有数百台甚至更多个人电脑、服务器和移动设备的企业越来越多。如何对它们进行有效管理成了CIO头痛的问题。System Center是微软公司面向应用程序部署、资产管理和安全补丁管理、移动工作团队支持所开发的企业级变更与配置管理的技术平台，并提供资产管理、软件分发、补丁管理、远程控制等功能。

另外，针对企业内部网络中存在的种种攻击威胁，Microsoft Forefront Security能够为企业提供从网络边界直至关键应用服务器、个人桌面的安全防御。

其中：Microsoft ISA Server和IAG Server为企业用户提供功能完备的边界安全和远程访问能力；Microsoft Forefront Security for Exchange、SharePoint、OCS为企业关键应用服务器提供了恶意软件防护、内容过滤等安全功能。最后， Microsoft Forefront Client Security也为企业中的服务器、客户端提供了统一的反恶意软件保护。

敏锐的“嗅觉”

另外对于软件部署更新、数据的备份恢复一直到管理服务，出了问题是不是有报告，或者是系统容量是不是已经够了等等，这些客户所需要的是统一管理的需求。

● 档案存取

● 档案存取审核记录

● 档案删除审核记录

● 登入／注销

● 用户登入/注销审核记录

● 用户登入失败审核记录

● 使用者登入失败比率图

● 账户管理

● 计算机账户异动审核记录

● 群组异动审核记录

● 用户账户异动审核记录

● 用户权力变更纪录审核

● 安全审核

● 网络原则变更审核记录

● 审核原则变更审核记录

网络访问保护

基于Windows Server 的网络访问保护平台提供各种安全管理服务和基础结构，可帮助管理员进行验证并强制执行与网络访问策略的兼容性。管理员可以创建集中配置组策略，用于指定系统正常状况。在能够访问专用网络或专用网络资源之前验证系统状况是否正常。

另外，管理员还可以通过Microsoft Forefront Security所提供的综合管理控制台，实时掌握企业内部网络中的威胁等级和防御方案部署情况，并根据企业安全策略的规定，强制不符合一致性要求的节点进行安全方案的部署。

以System Center、Forefront Security、Core IO架构为基础的企业基础架构以前所未有的集成度，并遵循基于ITIL的过程工作流，以便解决跨产品系统管理问题。