您现在的位置是:首页 > IT基础架构 > 网络与安全 >
安全集成与简单管理 了解Forefront安全方案
2008-11-05 17:54:00作者:赵晓涛来源:
摘要在过去的几年中,安全市场正悄然发生着变化,为了更好地监控和管理安全威胁,管理员们开始把目光从基于单机的桌面反病毒软件转向通过集中的控制台统一分发的企业级安全方案,传统安全厂商也纷纷出击推出自己的整体安全方案。...
在过去的几年中,安全市场正悄然发生着变化,为了更好地监控和管理安全威胁,管理员们开始把目光从基于单机的桌面反病毒软件转向通过集中的控制台统一分发的企业级安全方案,传统安全厂商也纷纷出击推出自己的整体安全方案。此时IT专家们却发现自己又进入了另一个选择的困境,日益复杂的安全产品市场给了用户太多的选择,这些产品究竟是不是用户真正需要的?面对日益严峻的安全问题,如何才能把这些难题控制在用户可掌控的范围以内?
微软的安全产品值得信赖吗?
以前人们可能从未想过微软有一天也会出反病毒产品,持正面观点的用户认为,微软对自身系统的理解,尤其底层架构上得天独厚的优势,会让它所发布的与底层安全息息相关的反病毒产品受益;持反方观点的用户则在担心微软公司的反病毒技术与其它专业的反病毒厂商相比是否可以信赖。
确实,反病毒技术根基的筑造绝非朝夕,它需要长期的知识积累和行业经验。实际上,微软的反病毒产品的核心技术正是来自于例如Windows Defender、OneCare等微软多年打造的解决方案和先前业界知名的反病毒厂商的核心技术。例如自从2005年微软收购了Sybari后,不仅获得了成熟的反病毒内核技术,同时也得到了Sybari反病毒方面的技术积累,以及经验丰富的工程师团队,原来Sybari著名的Antigen产品线也被经过改良打上了Forefront的标识通过微软投放市场。时至今日,读者们在浏览微软网站时时常还会看到Antigen的影子。
没有人会否认微软在研发上的实力,经历了微软极其严格的Security Development Lifecycle代码检查的Antigen产品在反病毒方面的表现应该更加值得信赖。在整合了原来Sybari公司的产品线后,再加上微软自身出品的一些长期经受考验的安全产品,这两者的最终结合便是Forefront产品系列。
用户需要集成吗?
当用户在选择安全解决方案时,一个与现有系统无法紧密集成的产品固然可能有它独到的地方,然而在一般情况下,如果它需要配置独立的安全验证,那么就意味着用户需要再管理额外的一层安全认证体系——更多的用户名和口令,以及需要重新制订的管理和安全策略,这实在是一件麻烦的事情。如果这个安全产品无法和我们现有的配置管理结合起来,那么用户就需要另外想办法把现有的安全策略和管理制度在解决方案的基础上重新建立映射关系。事实上,能否真正做到统一尚且不说,这些耗时耗力的潜在支出不仅会让公司老板们感到郁闷,最终对它维护并承受着这种痛苦的还是企业中的管理员们。
微软Forefront产品系列的重要特性之一就是集成,在企业现有的Windows架构基础平台上,Forefront的产品能够方便的与组织的IT基础设施集成,并能够得到可进行互操作的第三方解决方案补充,来建立端到端的深度防范安全解决方案。
缺少针对操作系统的安全产品显然是不能够称作“解决方案”的,Forefront Client Security能够对Windows客户端和服务器操系统提供全面的防护,它支持的操作系统包括Windows 2000 SP4+、Windows XP SP2+、Windows Vista Business、Enterprise、Ultimate版本以及Windows Server 2003 SP1和R2版本。另外,它还对x64系统提供了支持。Forefront Client Security能够与Active Directory和软件分发系统集成,让用户定义和管理自定义配置策略,用户可以利用这些策略可以在组织内部方便地分发、更新和配置执行防护选项。
作为Forefront的管理中枢,Forefront Server Security Management Console、Forefront Client Security Management Console能够和MOM、SMS和WSUS等标准的管理工具集成。它们在降低部署和培训成本的同时,还能够发挥现有解决方案的作用并标准化企业的管理行为。
除了能够与微软自身的产品进行紧密集成,Forefront安全产品还能够与第三方的软件方案结合应用。现在微软正与其生态系统合作伙伴协作,共同构建对标准(如WS-Management)的支持,确保让符合标准的产品实现更高程度的互操作性。
集成的目的是为了让公司和组织中的各种业务系统得到更加严密的保护。为了使整个企业能够更加顺利地部署和实施安全方案,同时降低管理员的劳动强度,简易的管理特性,富有前瞻性的分析图表同样是必不可少的。通过与SQL Server报表服务结合,Forefront产品系列的另一个主要特性就是易用的管理平台。
简单的解决方案
网络管理员的梦想就是所有的服务器只需要配置一次,所有的主机都是自然死亡,用鼠标就能够看到所有需要的信息,老板要的图表能够随时输出打印……。其实,想让一个管理员的工作强度降低,只要做到能够从一个管理控制台完成所有的事情就能减少很多工作了。虽然大部分的解决方案现在都在鼓吹自己拥有便捷管理特性,但对管理员来说,要衡量软件是否便于使用,易于配置的安装向导、与现有软件管理控制台的深度集成、中心节点即可集中部署的实施方式、单一控制台的易用管理视图——它们对于减轻管理员的负担都是极其重要的组成部分。虽然现在Forefront产品提供了很多组件,将来也许会有更多的产品出现,但是微软产品在易用性上的表现一直是其它公司所无法相比的,Forefront的可管理性充分展现了它在集成性和易用性的完美结合。
第一,Forefront能够对现有网络提供单一的视图,使管理员对网络安全状态一目了然,从而可以实现更好和更有根据的管理,缓解威胁带来的影响。Forefront改进的事件收集和报告功能够为网络的安全状态提供统一的现状视图,使管理员能够更加全面地把握的控制安全行为。Microsoft Forefront Client Security提供了单一的仪表板视图,它能够显示最新的恶意软件安全状态摘要,包括实时信息和趋势信息,需要在什么地方采取行动,以及深入了解所需详细信息的能力。
第二,通过减少管理控制台的数量,Forefront能够简化管理,节省管理时间,降低管理复杂性。Forefront Client Security Management Console为所有基于Windows的台式机提供集中的管理(包括配置、特征更新、报告和报警)和恶意软件处理控制台。从这个单一的控制台中,管理员可以管理和更新到来自全球的行业领先的反病毒实验室(包括微软)的最新引擎,减小暴露给任何威胁的窗口。由于控制台仍然沿用原有的MMC架构,管理员可以很轻松地利用过去已有的知识进行维护,从而降低了培训时间和费用。
第三,Forefront对于企业中的各种系统都提供有配置合理的安全产品,以及简化的部署功能。Forefront的安全签名和更新的公共数据库确保向安全管理控制台、更新工具和安全分析器提供一致的数据和结果。
第四,Forefront提供了基于策略的统一安全管理方案,从而能够为安全策略与企业策略的结合带来更大的方便。Forefront Client Security可以确保计算机满足“健康”策略(比如保持更新的操作系统和防病毒更新程序),并且确保这些计算机能够正确配置。Forefront Security for Exchange Server和其它的Forefront安全产品提供给管理员可自定义的邮件、即时消息和文档库内容过滤规则,从而使企业的语言使用和保密策略能够顺利执行。管理员可以使用Active Directory组策略和其它的支持工具,如Microsoft Systems Management Server或WSUS,确保加入域的计算机均符合企业的安全策略。
一点建议
微软的Forefront产品涵盖了企业产品安全的每个角落,如果企业中现有的基础结构是基于Windows平台构建的,那么Forefront产品会让用户得到目前最为全面的集成性与简易的管理平台。另外,通过对标准的支持,Forefront产品在与第三方生态环境的集成上也颇具互操作性和管理性。如果企业目前正在为日益紧迫的安全威胁所困扰,那么现在就开始评估Forefront产品会是一个比较好的时机,毕竟安全解决方案是整个环境中牵一发而动全身的关键应用,及早进行全面规划无疑是明智的选择。
(本文不涉密)
责任编辑: