通过纵深防御构建安全网络体系

欣菲gzm

目前，绝大部分企业都意识到安全威胁给企业信息化建设带来了严峻的挑战。为了面对来自恶意软件的威胁，大多数企业都已经拥有了反病毒的相关解决方案。然而，在安装了反病毒软件后，仍然有许多企业遭受了病毒的感染，这是由于当前网络中的威胁来自方方面面，单点的防御已经无法满足安全的需要。正因为如此，微软提出了纵深防御理念及相关解决方案，帮助客户实现更可靠的安全防御和保护。\r\n\r\n恶意软件的多方面威胁 \r\n\r\n对于Forefront服务器安全解决方案，微软主要致力于下列三个主要领域。\r\n\r\n● 完善的保护：该解决方案包括来自许多行业领先安全公司的多个扫描引擎。这些引擎在一个解决方案中协同工作。与单一引擎解决方案相比，它能够提供更好的保护、更快速的新威胁检测、减少威胁的暴露，并减少单点故障的可能性。\r\n\r\n● 优化的性能：该解决方案利用了包含在Exchange 2007和SharePoint Server 2007中的防病毒API。它提供了一个强大的多引擎管理器，可用于自动的引擎更新和使用、多线程和内存扫描，能够进行更快地处理。它还有许多性能控件，能够平衡服务器性能和安全所需的水平。这些特性结合在一起，有助于保护消息和协作系统，同时保证服务器正常的工作时间，并优化服务器性能。\r\n\r\n● 简化的管理：该解决方案拥有直观的用户界面，与Microsoft Forefront服务器安全管理控制台兼容，并包括自动的引擎升级、扫描作业和报告等特性。它使得管理员能够在所有服务器上轻松地管理和部署保护服务。\r\n\r\n多引擎技术\r\n\r\n对同一组消息或文件使用多个引擎来进行扫描似乎很奇怪，毕竟如果某个扫描引擎能够起作用，您可能认为没有必要对同样的内容进行多次扫描。但是，同时运行多个引擎还是很有必要的，因为运行多个扫描引擎的能力很久以来一直是Antigen产品系列最流行的特性之一，现在又成为了Forefront Security for exchange Server和Forefront Security for SharePoint的一个非常重要的特性。\r\n\r\n由于不同的反病毒厂商在处理和面对不同威胁时各有优势，所以通过使用多个引擎有助于截获更多的病毒，而且能在最短的时间内完成一系列的工作。\r\n\r\n微软方案可使用多引擎\r\n\r\nForefront Security for exchange Server和Forefront Security for SharePoint都包含有多个扫描引擎，客户可以同时使用5个扫描引擎。客户可以从下列扫描引擎中进行选择：Authentium Command Antivirus引擎、AhnLab引擎、CA Vet引擎、CA InoculateIT引擎；Kaspersky Labs引擎、Norman Data Defense引擎、Microsoft Antimalware引擎、基于 Microsoft在2004年收购GeCAD时所获得的技术、Sophos Virus Detection引擎、VirusBuster AntiVirus引擎。\r\n\r\n多引擎给消息系统带来的益处\r\n\r\n在单一反病毒引擎的工作模式下，对多种不同的病毒进行查杀时，有时响应时间会超过24小时，这将意味着用户不得不为反病毒厂商未能及时地完成病毒定义代码而承担风险。随着网络攻击技术不断发展，从病毒被发现到最终影响到系统的时间很可能会小于24小时，而微软的安全解决方案由于结合了众多反病毒供应商的多引擎，发现病毒的时间被大大缩短。\r\n\r\n性能考虑事项\r\n\r\n由于采用了多个引擎同时进行病毒的防御，用户可能会对性能产生顾虑。\r\n\r\n首先，使用多引擎的性能影响可能比用户预想的小。3Sharp不久前使用Exchange Server 2007和Forefront Security for exchange Server进行了一系列基准测试。其中，测试了不同组合的Forefront扫描引擎，以及在传输扫描中添加引擎带来的性能影响。在测试中，工作人员发现，从1个引擎增加到两个引擎，会增加大约1%的CPU使用率；增加第3个引擎会增加大约3%；而增加第4个则会平均增加大约4%的CPU负荷；但是，在添加第5个引擎时，平均的增加值低于1%。\r\n\r\n当然，为了实现更高的可靠性，势必要占用一部分服务器资源。为了满足用户平衡性能及可靠性的需求，在Forefront Server Security中，可以让用户自由决定使用引擎的数量，通过对引擎数量的调整，达到更佳的性能和可靠性的平衡。\r\n\r\n\r\n\r\n恶意软件的威胁来自多个方面是纵深防御理念的基础。\r\n\r\n1.数据层\r\n\r\n数据层上的风险源自这样的漏洞—攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问，而企业主要关注的是可能导致数据丢失或被盗的业务和法律问题。\r\n\r\n2.应用程序层\r\n\r\n应用程序层上的风险源自这样的漏洞—攻击者有可能利用它们访问运行的应用程序。恶意软件编写者可利用操作系统之外打包的任何可执行代码来攻击系统。\r\n\r\n3.主机层\r\n\r\n此层上的风险源自利用主机或服务所提供的服务中的漏洞。攻击者以各种方式利用这些漏洞向系统发动攻击。\r\n\r\n4.内部网络层\r\n\r\n组织内部网络所面临的风险主要与通过此类型网络传输的敏感数据有关。这些内部网络上客户端工作站的连接要求也有许多与其关联的风险。\r\n\r\n5.外围网络层\r\n\r\n与外围网络层关联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。此层上的主要风险集中于网络可以使用的传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口。\r\n\r\n6.物理安全层\r\n\r\n物理层上的风险源自可以物理访问物理资产的攻击者。使用防病毒系统的组织在模型的此层上主要关注的是，阻止感染文件避开外围网络和内部网络的防护。攻击者可能只是通过某个物理可移动媒体(如USB磁盘设备)将感染文件直接复制到主机。\r\n\r\n7.策略、过程和意识层\r\n\r\n围绕安全模型所有层的是，您的组织为满足和支持每个级别的要求需要制定的策略和过程。最后，提高组织中所有相关人员的安全意识是很重要的。在许多情况下，忽视风险会导致安全违反。由于此原因，培训也应该是任何安全模型不可缺少的部分。\r\n\r\n全方位的安全解决方案\r\n\r\n正是由于安全威胁来自于各个方面，安全的防御也应该组成纵深的防御体系。\r\n\r\n微软全面安全解决方案包括从开发工具、指南到全面的系统管理和标识管理，实现了安全的网络基础架构建设，通过权限管理服务、EFS、Bit locker等技术保证了关键及敏感信息的安全。而中间最为重要的一个部分就是微软2006年针对网络中的诸多威胁提出的全方位安全解决方案Forefront。\r\n\r\nForefront从三个方面帮助客户实现纵深的安全防御。\r\n\r\n网络边缘层：通过ISA Server2006应用层防火墙解决方案，首先在网络边缘进行网络信息的过滤。与传统的防火墙不同的是，ISA Server 2006工作于应用层，能够对诸多基于应用层的威胁在网络边缘进行发现并阻止，最大程度上降低威胁进入企业内部的可能。\r\n\r\n服务器层：电子邮件和文档中的恶意代码使企业客户面临着很大的安全威胁。为了最大程度上避免文档及电子邮件中的恶意代码对信息系统产生影响，微软通过服务器层的安全解决方案对进出Exchange和SharePoint的消息进行过滤，在文档和邮件到达客户端之前对其进行检查，保证到达最终用户的每一个文档都是安全的。在服务器层，为了保证更大程度的可靠性，微软和业界广泛的反恶意代码厂家进行合作，在微软的服务器安全解决方案中集成了业界9大反病毒引擎，通过多引擎的协同工作，最大程度上降低了安全威胁发生的可能。\r\n\r\n客户端层：客户端防病毒解决方案专门用于防护系统，使其免受来自恶意软件的威胁。微软建议使用客户端防病毒软件，因为它会保护您的计算机系统，使其免受任何形式的恶意软件(而不仅仅是病毒)的侵害。微软在客户端层推出了Forefront Client Security安全解决方案进行客户端保护。通过构建微软纵深防御的整体体系，能够帮助企业客户构建安全的网络。\r\n\r\n多引擎为消息服务器提供全面防护\r\n\r\n为了满足客户对良好集成的通讯和协作系统的需求，微软一直致力于构建一个完整的通讯和协作平台。在这个领域中，微软通过一组统一的通讯和协作解决方案，能够轻松地访问各种各样的工作模式(即时消息、电子邮件、日历、团队协作空间、文档库),并进行紧密集成。\r\n\r\n在统一的通讯和协作解决方案当中，Exchange Server和SharePoint Server起到了至关重要的作用。但随着大量邮件、文档在服务器中进行存档、传输，病毒和恶意代码也有了以这些消息为媒介进行散播的机会。为保证企业级消息环境免受恶意软件的影响，微软推出了Forefront Server系列解决方案，用于抵御消息服务器中的各种威胁。\n\n[ 本帖最后由 欣菲gzm 于 2007-8-6 08:52 编辑 ]