企业安全战略与Forefront安全解决方案(1)

【51CTO.com 专家特稿】企业的安全问题与企业整体的IT架构类似，是一个长期存在并且需要长远规划、实施的问题。安全实际上是一个动态的过程，一般可以分为评估、防护、检测、响应依次实施的四个步骤。而响应后期的工作更多的可以把它看作是一种再评估、再防护的过程，这样，整个安全过程就成为一种动态的，循环的，不断优化的一个过程。

企业的CIO们和CTO们在面对由不同厂商提供的安全解决方案时，难免陷入不知所措的境地。如何让自己的解决方案更具有可扩展性、如何让自己的解决方案能够更好地与组织当前的IT架构无缝耦合、如何使企业的IT投资具有最大的投资收益和可重用度，成为企业在着手制定企业安全战略和实施安全架构解决方案之前，必须考虑的问题。

企业安全战略的必要性

企业需要的是可管理的安全系统，而不仅仅是一些安全设备。一个功能完善的、可管理的系统，通常难以通过简单地部署一些安全设备或软件来一步到位，尤其对于已经对IT设备进行了相当长时间投入的大型企业而言，新的安全解决方案的引入，必须与现有的IT设备和解决方案无缝耦合，同时还要具备良好的可扩展性，能够应对企业将来可能的IT环境变更（尤其在企业收购、新应用程序的部署、新设备的部署等情况下），能够把新的IT环境纳入到企业整体的安全管理和防护体系中来。实现这样的安全解决方案必须从战略的角度制定企业安全解决方案的长远发展路线。

企业安全战略的制定与实施

在制定和实施企业安全战略时应当遵循以下原则：

一、安全战略必须满足业务需求。企业处于一个不断变化的业务环境当中，因此IT解决方案并不能实现所有的业务行为，而是企业业务实施的推助工具，所以企业解决方案应当能够满足不断变化的企业业务需求，对业务变化做出即时的响应。企业安全战略同样应该能够随着企业对IT整体解决方案的变化而变化，从安全层面确保企业业务的开展不受影响。

二、安全战略必须适应企业文化。安全战略的实施很大程度上依赖于人的行为习惯和使用IT设备的方法，在一个宽松的环境中或在工作人员很精通技术的公司中实施封闭性安全战略的困难将会很大，能否与企业文化相适应是新的安全战略顺利实施的非技术性关键因素。

三、安全战略应当把企业各个层面的个人纳入到统一的体系架构中来。“千里大提，溃于蚁穴”，作为企业最重要的因素的个人是企业安全战略最大的受益者之一，也直接影响着企业安全战略实施的成败，因此企业安全战略应当把对个人信息及其IT设备的安全防护作为整个企业安全战略的重中之重。而来自企业内部潜在的信息泄漏则是大多数企业最容易忽视的环节。

企业安全战略由其长期性而面临很多的不确定性，甚至安全战略的制定者也可能由于种种原因离开组织，因此企业在制定和实施IT安全战略的时候，除考虑满足功能性需求以外，还应该最大程度规范化整个实施流程，确保实施的可延续性。另外，对于安全战略而言，企业规模的大小将不是关键，大型企业可能更容易受到利用软件集成性不好的弱点攻击，原因是它们很高的知名度招致人们更多的随意窥探。一些小企业也会遇到甚至更大的问题，因为它们既为人所知，又很容易受到攻击。但是，不管企业规模大小，制定安全战略的关键是以适当角度评估系统的脆弱性，根据其实际情况部署合适的安全措施。

在制定与实施安全战略时，必须使整个企业都参与进来，而不仅仅限于管理层，并要确切地了解安全战略将能够从哪个层面得到多大的支持。

Forefront产品对企业应用的针对性

针对企业和个人各个层面上的应用需求，微软已形成了成熟的Forefront安全产品线，该系列产品主要包括以下根据功能进行分类的软件：

一、网络边缘保护

相应的产品为Microsoft Internet Security and Acceleration (ISA) Server 2006，此产品属于企业级防火墙，它为企业网络安全提供了强大支持，其主要功能如下：

1、Internet访问保护
ISA2006 通过多层深入内容检查技术、全面而灵活的安全策略以及可自定义的网络协议过滤器和网络路由关系，帮助企业对其网络环境进行保护，并防范源自网络外部的 Internet 威胁和内部的威胁。

2、安全远程访问
ISA2006通过采用SSL加密VPN、应用程序层过滤和端点安全管理，使员工可以从不同的位置，以被优化的方式对企业内部网络中的关键应用程序、文档和数据通过Intranet进行访问。

3、安全有效地连接到分支机构
ISA2006通过 HTTP 压缩、内容缓存和与应用层过滤集成的站点到站点VPN功能，使企业网络可以连接并保护其分支机构的网络，实现更安全、更轻松的企业网络扩展。