互聯(lián)網(wǎng)的發(fā)展使得企業(yè)業(yè)務(wù)和內(nèi)部寫作之間的程度在逐漸提高，各種互聯(lián)網(wǎng)應(yīng)用也深入了企業(yè)日常工作。更多的企業(yè)開始使用自己的IT架構(gòu)進(jìn)行數(shù)據(jù)交換，保證這些數(shù)據(jù)安全進(jìn)行也是企業(yè)安全管理員分內(nèi)的工作。針對企業(yè)對信息交換和發(fā)布的功能需求，Microsoft推出了用于提供郵件服務(wù)的Exchange Server、用于企業(yè)內(nèi)部網(wǎng)絡(luò)Portal站點(diǎn)的SharePoint Server及用于企業(yè)內(nèi)部即時通訊服務(wù)的Office Communication Server。

應(yīng)用服務(wù)器與Forefront Security

因為它們繼承了Microsoft系列產(chǎn)品功能強(qiáng)大和簡單易用的特點(diǎn)，許多企業(yè)廣泛使用這些應(yīng)用服務(wù)器來提供企業(yè)內(nèi)外的信息發(fā)布和交換功能，這些應(yīng)用服務(wù)器通常部署在企業(yè)內(nèi)部網(wǎng)絡(luò)的核心位置，并負(fù)責(zé)處理大量的與企業(yè)業(yè)務(wù)密切相關(guān)的敏感信息。因此，如果這些應(yīng)用服務(wù)器在企業(yè)中被不安全的部署或使用，將有可能成為企業(yè)內(nèi)部網(wǎng)絡(luò)中的不安全因素之一，甚至成為外部入侵者入侵企業(yè)內(nèi)部網(wǎng)絡(luò)或內(nèi)部人員泄漏敏感信息的關(guān)鍵點(diǎn)。

Microsoft Forefront Security是Microsoft最新推出的面向企業(yè)全方位安全需求，功能完整的安全解決方案，其中的Forefront Security for Server便是專門針對部署在企業(yè)內(nèi)部網(wǎng)絡(luò)中的Microsoft系列應(yīng)用服務(wù)器的安全方案，目前包括Forefront Security for Exchange Server和Forefront Security for SharePoint Server。它們都繼承了Forefront家族的共有特點(diǎn)：

完整：提供滿足企業(yè)應(yīng)用服務(wù)器安全需求的安全功能

集成：可以良好的和企業(yè)現(xiàn)有的內(nèi)部網(wǎng)絡(luò)及應(yīng)用服務(wù)器進(jìn)行集成

簡便：管理員可以輕松的通過統(tǒng)一的管理控制臺獲得企業(yè)應(yīng)用服務(wù)器的安全防護(hù)情況。

但同時FSS又與Forefront Security家族中的其他成員有一些明顯的區(qū)別，主要體現(xiàn)在：多掃描引擎：FSS系列產(chǎn)品都為企業(yè)用戶提供了多達(dá)8個的業(yè)內(nèi)領(lǐng)先的反惡意軟件引擎，用戶可以根據(jù)實際情況啟用一個或多個引擎，這些引擎同時還由其廠商提供實時自動的惡意軟件特征數(shù)據(jù)庫的升級。

優(yōu)化的性能：FSS針對企業(yè)應(yīng)用服務(wù)器專門進(jìn)行了性能優(yōu)化，在盡可能少影響應(yīng)用服務(wù)器性能的情況下提供完善的惡意軟件防護(hù)及信息過濾功能。

敏感信息泄漏防護(hù)：FSS提供了多種信息過濾手段，管理員可以根據(jù)企業(yè)安全策略的要求，靈活的配置FSS的選項來提供敏感信息泄漏防護(hù)。

比如，可以將FSS部署在Exchange服務(wù)器前端和Exchange服務(wù)器上，為企業(yè)提供進(jìn)出企業(yè)內(nèi)部網(wǎng)絡(luò)的電子郵件的過濾及惡意軟件防護(hù)功能?；蛘邔SS部署在SharePoint 服務(wù)器上，為企業(yè)提供進(jìn)出SharePoint 服務(wù)器的文件內(nèi)容過濾及反惡意軟件保護(hù)。FSS管理策略企業(yè)如果選擇了FSS作為自己內(nèi)部網(wǎng)絡(luò)中Microsoft系列應(yīng)用服務(wù)器的安全解決方案，要制定相應(yīng)的管理策略來保證FSS部署的良好運(yùn)行及其對企業(yè)信息資產(chǎn)的保護(hù)效果。企業(yè)可以根據(jù)以下的流程來制定針對FSS部署的管理策略：第一，根據(jù)企業(yè)的安全策略來確定企業(yè)內(nèi)應(yīng)用服務(wù)器及其承載信息的保護(hù)原則。根據(jù)部署安全方案都應(yīng)該遵循目標(biāo)企業(yè)安全策略的原則，企業(yè)在部署FSS之前，應(yīng)該先根據(jù)自己的安全策略，確定出需要用FSS部署保護(hù)的應(yīng)用服務(wù)器及其承載信息的范圍，比如對一個電子商務(wù)企業(yè)來說，企業(yè)與客戶、業(yè)務(wù)伙伴之間進(jìn)行的電子郵件及信息交換是重要的信息資產(chǎn)，以及承載這些信息的Exchange服務(wù)器就是FSS部署需要保護(hù)的范圍;而對一個制造業(yè)企業(yè)來說，產(chǎn)品圖紙屬于商業(yè)機(jī)密，內(nèi)部人員在使用企業(yè)內(nèi)部網(wǎng)絡(luò)中的Portal服務(wù)時，不應(yīng)該上傳或下載不符合其身份等級的文檔，同時Portal服務(wù)還是該企業(yè)內(nèi)部進(jìn)行協(xié)作的重要場所，因此，屬于該企業(yè)商業(yè)機(jī)密的信息及承載這些信息的SharePoint服務(wù)器就是FSS部署需要保護(hù)的對象。

第二，根據(jù)企業(yè)的IT環(huán)境和IT服務(wù)響應(yīng)時間確定FSS適當(dāng)?shù)谋Ｗo(hù)等級。我們知道，對信息資產(chǎn)的保護(hù)來說，不恰當(dāng)?shù)谋Ｗo(hù)會降低信息資產(chǎn)的保密性或可用性，不安全和過度安全都不好。FSS的部署也如此，企業(yè)需要根據(jù)自己的IT環(huán)境的實際情況，結(jié)合業(yè)務(wù)所需要的IT服務(wù)響應(yīng)時間，確定FSS適當(dāng)?shù)谋Ｗo(hù)等級。這在FSS部署的配置上反映為對FSS反惡意軟件引擎的啟用數(shù)量，F(xiàn)SS最多能夠同時啟用4個不同的反惡意軟件引擎，提供最好的反惡意軟件防護(hù)，但在處理信息的性能上卻是最差的;如果只啟用單個反惡意軟件引擎，雖然能得到FSS最好的信息處理性能，但安全性卻不能得到充分的保證。因此，對于信息流量不大的小型企業(yè)，可以配置FSS為同時啟用4個不同的反惡意軟件引擎，這時FSS造成的性能損失尚在可以接受的范圍之內(nèi);而對于規(guī)模較大的企業(yè)，則最好只啟用2個不同的引擎，以在安全性和性能之間達(dá)到平衡。

第三，制定FSS日常管理和事件響應(yīng)策略。對FSS良好的日常管理及事件響應(yīng)操作，才能保證FSS部署能夠發(fā)揮其保護(hù)企業(yè)應(yīng)用服務(wù)器和信息資產(chǎn)的能力。因此企業(yè)應(yīng)該制定出規(guī)范的FSS日常管理和事件響應(yīng)策略，并形成文件，并對管理FSS部署的技術(shù)人員進(jìn)行必要的培訓(xùn)。

在FSS成功部署之后，企業(yè)還應(yīng)該密切關(guān)注FSS的執(zhí)行情況，并及時對FSS所反映的安全事件及時進(jìn)行響應(yīng)和控制，根據(jù)所發(fā)生事件的不同，企業(yè)還需要采取不同的響應(yīng)策略。在企業(yè)的FSS部署中，最常遇到以下兩種類型的安全事件：第一，惡意軟件事件。惡意軟件事件是企業(yè)內(nèi)部網(wǎng)絡(luò)中最常發(fā)生的安全事件，這點(diǎn)也反映在企業(yè)的FSS部署上，F(xiàn)SS的管理員應(yīng)該根據(jù)企業(yè)所制定FSS事件響應(yīng)策略，通過FSS的日志報告確定安全事件的發(fā)生位置，并及時進(jìn)行處理。比如Forefront Security for Exchange Server報告發(fā)現(xiàn)企業(yè)內(nèi)部有包含惡意軟件的電子郵件正在往外發(fā)送，管理員應(yīng)根據(jù)FSS的日志報告，確定發(fā)送惡意軟件郵件的客戶端系統(tǒng)，及時到場處理并做好記錄。而對Forefront Security for SharePoint來說，如果FSS報告有用戶提交攜帶惡意軟件的文檔，管理員也應(yīng)該根據(jù)FSS的日志報告，確定提交惡意文檔的客戶端系統(tǒng)，并到場處理。

第二，敏感信息泄漏事件。FSS提供了根據(jù)關(guān)鍵詞及文件類型進(jìn)行過濾的敏感信息過濾的功能，在這個功能開啟的情況下，F(xiàn)SS可能會報告相當(dāng)多的違規(guī)信息試圖通過受FSS保護(hù)的應(yīng)用服務(wù)器。管理員應(yīng)該及時根據(jù)FSS部署的日志報告，確定違規(guī)使用信息的客戶端系統(tǒng)，并通知相關(guān)的責(zé)任人及其管理人。另外，企業(yè)在根據(jù)自己的安全策略對FSS部署進(jìn)行敏感信息泄漏防護(hù)配置的同時，也應(yīng)該對企業(yè)員工進(jìn)行相關(guān)的信息資產(chǎn)保護(hù)教育，以減少敏感信息泄漏事件的發(fā)生和降低FSS的誤報率。

【編輯推薦】

1. 密碼破解原因竟是密碼過簡
2. 網(wǎng)絡(luò)安全的四大誤區(qū)
3. 數(shù)據(jù)泄漏 避免“點(diǎn)炮”
4. 企業(yè)數(shù)據(jù)安全 MP3成為威脅
5. 面對社交網(wǎng)站 走鋼絲一般的數(shù)據(jù)保護(hù)