隨著信息技術(shù)的發(fā)展，越來越多的企業(yè)正在逐步完善業(yè)務(wù)流程及信息處理，將其從人工操作轉(zhuǎn)移到信息協(xié)作平臺上來。因為Windows操作系統(tǒng)易于使用、成本較低，許多企業(yè)把Windows作為主要的業(yè)務(wù)流程和信息處理平臺，從邊界服務(wù)器到內(nèi)部網(wǎng)絡(luò)，從企業(yè)總部到各分支機構(gòu)，企業(yè)中存在大量使用Windows操作系統(tǒng)的服務(wù)器和客戶端，它們的廣泛使用，也隨之出現(xiàn)了層出不窮的安全威脅，各種入侵攻擊事件時常見諸媒體，其中更有不少造成嚴重的經(jīng)濟損失，面對如此嚴峻的安全形勢，企業(yè)用戶應(yīng)當(dāng)如何應(yīng)對?

針對這樣安全形勢，微軟推出了ForeFront Security安全產(chǎn)品家族，其中包括ForeFront Client Security、ForeFront Server Security 和ForeFront Edge Security，范圍涵蓋了客戶端、服務(wù)器和網(wǎng)絡(luò)邊界安全。和原來的單點安全產(chǎn)品(只面向某一個平臺的安全產(chǎn)品)相比，新的ForeFront家族更注重整體安全這一觀點，講究從整體架構(gòu)上來保證用戶信息平臺的安全，同時ForeFront也更關(guān)注企業(yè)安全管理的實施。從這點上講，F(xiàn)oreFront可以說是體現(xiàn)了Microsoft對企業(yè)用戶的Windows操作系統(tǒng)和網(wǎng)絡(luò)安全需求的理解，下圖取自ForeFront Security的Microsoft官方站點，讀者從中可以很直觀的了解ForeFront家族的成員組成。

ForeFront Security的特性

ForeFront Security不單只有以ForeFront Security命名的幾個產(chǎn)品，它還包括了眾多的Microsoft 安全產(chǎn)品，比如WSUS、System Center、ISA、IAG等。所謂“透過現(xiàn)象看本質(zhì)”，雖然ForeFront的產(chǎn)品線相當(dāng)復(fù)雜，不過我們?nèi)钥煽吹組icrosoft在ForeFront上所要實現(xiàn)的三個特性：綜合、集成、簡易

●綜合(Comprehensive) ForeFront家族是客戶端、服務(wù)器和網(wǎng)絡(luò)邊界安全的完整解決方案，包括了惡意軟件防御、補丁管理、身份驗證、遠程訪問等安全功能，保護范圍覆蓋企業(yè)網(wǎng)絡(luò)和所有采用Windows操作系統(tǒng)的節(jié)點。

●集成(Integrated) ForeFront可以和用戶現(xiàn)有的Windows平臺上的信息處理體系和安全方案緊密的集成在一起，使用戶可以更有效和更清楚的控制企業(yè)網(wǎng)絡(luò)中的安全情況。

●簡易(Simplified) ForeFront給用戶提供了單一的管理視圖，增加用戶對企業(yè)網(wǎng)絡(luò)安全狀態(tài)的可見性，從而可以實現(xiàn)更好的管理和威脅緩解過程。

企業(yè)用戶從ForeFront的三個特性中可以得到什么啟示呢?讓不同行業(yè)不同大小的企業(yè)來回答這個問題會有不同的答案，但筆者認為答案的區(qū)別應(yīng)該是在這三個特性的優(yōu)先度排列上而不是在答案的內(nèi)容上。因為ForeFront Security的一些組件尚未正式推出，現(xiàn)在從整體安全架構(gòu)的技術(shù)層面上，來討論ForeFront與其它安全方案的優(yōu)劣，似乎尚早，不過從ForeFront的設(shè)計理念上來討論一下Windows平臺安全的實現(xiàn)，倒是個相當(dāng)有啟發(fā)性的話題。

Forefront與企業(yè)安全四特性

安全綜合性

首先是Windows安全實現(xiàn)的綜合性。目前大部分的企業(yè)中原有的安全實現(xiàn)可以歸類于“頭痛醫(yī)頭，腳疼醫(yī)腳”式的方案：如果客戶端時常面臨惡意軟件的威脅，企業(yè)的信息部門會購買單機版的反病毒軟件并安裝;如果服務(wù)器有可能遭受黑客入侵，企業(yè)的信息部門會購買防火墻，安裝入侵檢查設(shè)備;

如果郵件服務(wù)在某一時段內(nèi)有大量的垃圾郵件侵襲，企業(yè)的信息部門會購買各種反垃圾郵件的安全產(chǎn)品——企業(yè)對安全方案的采購和部署并不是基于對影響企業(yè)業(yè)務(wù)和信息處理的安全威脅的戰(zhàn)略性分析，而只是為了防御某類型的安全威脅而進行的短期行為。這樣的采購和部署思路雖然在短期內(nèi)有不錯的效果，卻會給企業(yè)帶來虛假的安全感和不小的安全隱患，企業(yè)往往在日后遭受到新安全威脅的損害之后，才會對認識新威脅并對其做出反應(yīng)。

最近頻繁出現(xiàn)在媒體上的0Day漏洞攻擊便是一個例子，企業(yè)如果只部署了一般的反病毒軟件和防火墻(這樣的企業(yè)環(huán)境很常見，為簡便起見，下文稱為一般信息處理環(huán)境)，在0Day漏洞的攻擊下是毫無防御能力的，唯有在同時啟用入侵檢測、反病毒、防火墻等安全功能的情況下，才能比較有效的檢測和攔截。此外，企業(yè)缺乏遠見的安全方案采購部署方法，也很容易導(dǎo)致安全功能的缺失，進而在企業(yè)的信息安全體系中造成潛在的弱點。

一個桶能裝的水取決于最短的桶板的長度，一個缺乏某些關(guān)鍵安全功能的安全體系，實際的安全效能并不比什么安全方案都不用的環(huán)境安全多少，還是用上面提到的一般企業(yè)信息處理環(huán)境做示例，如果不在內(nèi)部網(wǎng)絡(luò)中使用WSUS服務(wù)或使用Windows Update，管理員無法掌握每個網(wǎng)絡(luò)節(jié)點的補丁升級情況，一個利用Windows漏洞傳播、反病毒軟件暫時無法檢測出來的新蠕蟲將可以很輕易的攻陷企業(yè)內(nèi)網(wǎng)的所有機器。

從這個角度上講，企業(yè)用戶要實現(xiàn)Windows平臺的安全最大化，貫徹Microsoft 在ForeFront Security中所要實現(xiàn)的“安全功能的完整性”這一理念就顯得無比重要。

安全集成性

其次是Windows安全實現(xiàn)的集成。ForeFront Security就強調(diào)了其安全功能和用戶舊有的Windows平臺應(yīng)用的無縫結(jié)合。企業(yè)信息處理環(huán)境的組成非常復(fù)雜，即便在稍微上點規(guī)模的企業(yè)中，信息處理環(huán)境就可以按照信息處理需求的不同分為各種應(yīng)用服務(wù)器、關(guān)鍵網(wǎng)絡(luò)服務(wù)器、客戶端機器等多個環(huán)境類型，更不用說大中型的企業(yè)或跨國企業(yè)。

而各個環(huán)境上的軟硬件環(huán)境又是千差萬別，安全級別和性能需求也是各不相同，例如，企業(yè)要在應(yīng)用服務(wù)器上部署一套負責(zé)內(nèi)容過濾和性能監(jiān)控的安全方案、可是事先又沒有對待部署方案與舊有的應(yīng)用服務(wù)器環(huán)境的兼容性和整合性進行過嚴格測試，只憑廣告的宣傳進行選擇，那后續(xù)的故障排查對企業(yè)信息部門來說無異于一場噩夢，這套安全方案的實施效果也無從談起。因此，企業(yè)在部署安全方案時，無論是從實施效果還是保護原有投資的角度來說，安全方案和舊有設(shè)施的集成性都是必須考慮的關(guān)鍵因素。

安全簡易性

最后是安全實現(xiàn)的簡易性，也稱為可操作性。根據(jù)心理學(xué)的解釋，越是關(guān)鍵的決定或操作，過程應(yīng)該復(fù)雜一點，給操作者反復(fù)檢查和確認的機會，減少出錯的可能;而越是頻繁的動作，過程越是應(yīng)該簡單一點，最好能把多個簡單的動作合而為一。管理員對企業(yè)網(wǎng)絡(luò)中的各Windows節(jié)點、應(yīng)用服務(wù)器和網(wǎng)絡(luò)設(shè)備的監(jiān)控管理屬于日常行為，操作理應(yīng)簡單一點。

但因為目前企業(yè)中缺乏完善的管理方案，許多企業(yè)中仍采用服務(wù)器由信息部門集中管理，客戶端由用戶自主管理的分散式管理方法。在大中型企業(yè)中常常會看到這樣的情況，每到Windows系統(tǒng)進行補丁升級的日子，信息部門就需要處理大量的服務(wù)器和客戶端，耗費的人力驚人，而且從補丁發(fā)布到整個企業(yè)的系統(tǒng)完全更新也成為企業(yè)網(wǎng)絡(luò)最容易受到攻擊的時間段。信息部門也無法獲得Windows客戶端上的警報和日志信息，即使是對集中管理的服務(wù)器上發(fā)生的安全事件反應(yīng)也相當(dāng)滯后，信息部門疲于奔命于各種安全警報的處理。

Forefront安全架構(gòu)的推出，無疑為企業(yè)Windows架構(gòu)的管理帶來了令人振奮的消息。

安全變更性

企業(yè)的IT管理中還有一個非常重要的方面——變更控制(Change Control)。信息部門需要掌握企業(yè)網(wǎng)絡(luò)中每一次變化，以便于故障排查和追蹤。這些變化包括安全策略的變更，服務(wù)及應(yīng)用的變更，軟、硬件環(huán)境的變更，甚至于管理組織的變更。這些變更對于大型企業(yè)來說，隨時隨地都在發(fā)生著，其數(shù)量之大令人咋舌，那么如何評估、監(jiān)控、取證及完善這些變更，是每個企業(yè)IT主管的惡夢。

例如，用戶在客戶端上私自進行企業(yè)安全策略不允許的操作或軟件安裝，往往會給企業(yè)網(wǎng)絡(luò)的安全埋下隱患，這兩年頻繁出現(xiàn)在新聞中的，通過移動存儲設(shè)備傳播的各種惡意軟件以及ARP病毒，就是沒有有效控制客戶端，違反安全策略的行為，最終導(dǎo)致安全事故的例子。對于這一點，F(xiàn)orefront安全架構(gòu)利用自身的安全特性，并結(jié)合System Center產(chǎn)品系列，很好的實現(xiàn)了企業(yè)IT安全管理的目標(biāo)。

用ForeFront保障安全

綜上所述，一個安全解決方案至少需要考慮到四個方面：綜合性、集成性、簡便性和變更性。就此而言，F(xiàn)oreFront Security是個不錯的選擇。但不是說在企業(yè)中實施了Forefront，就實現(xiàn)了企業(yè)IT安全了，一方面，安全管理更多的是對人對流程的管理，另一方面，剛上市的產(chǎn)品也需要時間逐步進行完善。企業(yè)在選擇方案時，首先對自己的業(yè)務(wù)流程、IT設(shè)施和面臨的安全威脅進行詳細的分析調(diào)查，對前面提到的四個要求進行優(yōu)先度排序，然后在ForeFront家族中，根據(jù)自身的情況，選擇合適的產(chǎn)品組合。