企业级立体安全综合解决方案是深圳微软技术中心基于Microsoft Forefront开发的安全系列产品, 是企业边缘安全防护方案、应用服务器防护方案、操作系统与客户端防护方案的立体式纵深防护方案,为企业网络基础结构的安全提供了更强大的防护与控制。采用我们的企业级立体安全综合解决方案可以实现集成化的边缘安全网关,可以帮助保护IT环境免受Internet威胁影响,并为用户提供快速且安全的远程应用程序和数据访问;可通过9种国际知名病毒引擎防护企业应用服务器,帮助企业防护其消息传递和协作服务器,使之免受病毒、蠕虫、垃圾邮件和不正当内容的影响;同时提供面向企业桌面、便携式电脑和服务器操作系统,易于管理和控制的统一病毒、木马、恶意软件防护。
设计原则
为迎接广泛的连接、变化的威胁、片面的解决方案和操作困难所带来的挑战。我们相信,为了能解决这些挑战,任何合理构成的安全解决方案必须是全面的、集成的和简化的。这三种特性就是设计企业级立体安全综合解决方案所遵循的原则。
· 全面的
Forefront 产品是一种具有对 IT 基础架构提供端到端保护的全面的解决方案。
保护操作系统:Forefront 能协助保护 Microsoft 客户端和服务器操作系统。Microsoft Forefront Client Security 具有高度响应能力的抗恶意代码功能能针对病毒、间谍软件、rootkit 和其他威胁,进行实时的、可安排和有针对性的探测和删除。
保护关键的服务器应用程序:Forefront 能够借助深入防御策略,保护基于 Microsoft 的应用服务器。ISA 2006 能提供强健的访问控制和应用及协议数据检查。Forefront 的服务器安全产品能通过使用提供高水准保护和可靠性的独特的多引擎架构,保护特定的服务器应用程序,使其免于恶意威胁。
实现了安全和可控制的访问:Forefront 提供了多种防火墙、VPN 、加密技术、以及身份管理功能,以便确保仅仅经授权的用户能够访问适当的 IT 资源和数据。
保护敏感数据:Forefront 产品能保护敏感数据和知识产权。 ISA 2006 将网络间的应用过滤器结合起来,并将能确保宝贵数据机密性和真实性的技术结合起来。
· 集成的
Forefront 产品具有多层次的集成性,因此管理员能够获得更高的效率并加大对网络安全的控制。
同应用系统集成:Microsoft Forefront 抗恶意代码和安全访问产品旨在同企业关键的服务器应用系统相集成,并为它们提供保护,如Exchange、Outlook® Web Access 和 SharePoint。 这种集成针对最新一代的应用攻击,提供至关重要的安全保护。
同 IT 基础架构集成:安全产品能同现有的 IT 基础架构相协作,包括目录服务、系统管理工具、及软件分发和更新服务。必须通过统一的基础架构来实现对安全服务的部署、分发、设置并实施完善的管理。不仅如此,还需借助精确的细化控制进行管理。
在Forefront 内集成:Forefront 产品旨在共同协作,从而利用它们的功能提供更强有力的安全保护。同其他产品集成:Forefront 产品旨在保护基于 Windows 的基础架构。然而,由于许多企业通过其他公司部署安全产品,Forefront 产品还进行了专门的设计,以便来自同多个供应商的解决方案能够更好地集成。
· 简化的
Forefront 产品旨在简化部署、设置、管理、报告和分析,从而使用户和管理员能够获得增强的信心,相信企业受到了良好的保护。
简化部署:如 ISA Server Best Practices Analyzer Tool 和设置向导的工具能为强健的安全安装奠定坚实的基础。Forefront 与活动目录、及如 Systems Management Server的更新系统的集成为更改和设置管理提供了共同的基础。用户和管理员均能受益于对最新的设置、策略、及操作系统、或针对客户端主机的反病毒更新的集中分发。
统一报告和分析:通过将全部安全信息存储到单一的SQL Server™ 信息库,并利用 SQL Server 报告和分析服务来识别和解释安全活动,Forefront 对安全管理信息进行集中的收集和分析。
简化管理:Forefront 集中了安全管理和报告;其组件能同现有的管理系统充分地集成,包括 Microsoft Operations Manager、Microsoft Systems Management Server 和 Windows Server™ 更新服务。Forefront 集成的管理控制台可提供Microsoft 所熟悉的界面和易于使用性,从而减少了培训时间并能控制商业成本。
您可以通过。
统一客户端保护解决方案
在保护客户端,防范当今高度网络化的环境中不断演变的广泛安全威胁方面,IT 专业人员面临着一个可怕的难题。威胁出现的速度更快,更复杂,而且越来越多地以获取经济利益为目的。与此同时,员工和合作伙伴从多个访问点提出的功能要求越来越高,扩大了潜在的威胁出现范围。对于 IT 专业人员而言,有效地响应这些威胁和服务需求是一个持续难题,而这对于保持机构的运转至关重要。缺乏有效的安全测率,机构就无法运转。这个问题怎么强调都不为过。对于许多机构,管理安全解决方案已经成了一个重要的资源承诺。威胁的复杂性和服务需求会使管理安全解决方案成为一件繁重和昂贵的工作。Microsoft 帮助 IT 专业人员通过一个统一的集成解决方案,为客户端带来安全。Microsoft 解决方案通过一种集成方案,将 Windows Vista™、Server and Domain Isolation 和 Forefront™Client Security 的安全功能叠加到一起,为拥有增强安全性的环境带来统一的保护,同时简化管理,并方便地与现有 IT 基础设施集成。
威胁
一家机构的基础设施面临的风险和管理挑战的表现形式包括代价高昂的病毒攻击、无赖用户与设备和对敏感信息的未授权访问。这已经成为每个 IT 部门的日常生活的一个部分。恶意代码攻击继续演变,传播得更快,并且变得越来越阴险。威胁变得更复杂、更频繁,而且越来越多地以获取经济利益为目的。可以缓解威胁的时间也减少了。2006 年 10 月,Microsoft 发布了《安全情报报告》。这份报告是对恶意软件和潜在无用软件的发展趋势的深入观察。
· 在 2006 年上半年中,后门特洛伊木马和 Bot 是最活跃的一类恶意软件。Microsoft 反恶意软件检测到了超过 43000 个新变体。后门特洛伊木马可以让攻击者控制受感染计算机并访问机密信息。Bot 是后门特洛伊木马的一个子类别。以获取经济利益为目的的攻击者明显地将很大的注意力集中到了这个类别上。
· 在由 Microsoft® Windows® Malicious Software Tool (MSRT) 清除的 400 万台计算机当中,大约 200 万台计算机(或带有恶意软件的计算机中的大约 50%)带有至少一种后门特洛伊木马。
· “社会工程”仍然是传播恶意软件的流行方式,当恶意软件通过电子邮件和点对点 (P2P) 网络传播时尤其如此。就 MSRT 和Microsoft Windows Live™ OneCare™ 而言,清除的大约 20%的计算机受到的都是群发蠕虫感染。
· 全世界检测到的 10 大广告程序占 Windows Defender Beta 2 删除的可能无用软件的 28%。
深圳微软技术中心统一客户端保护方案
通过此安全客户端解决方案的组成部分(即 Windows Vista、Server and Domain Isolation、Forefront Client Security)令 Windows 管理员可以强制实施安全策略,并以集成且集中的管理方式保护其环境。最终得到的就是一个简化而综合的客户端安全解决方案,可以有效且高效地保护您的企业。如下图:公司网络环境内的三维安全保护图。
企业边缘安全防护方案
企业边缘安全防护方案是集团公司及分支机构进行安全通信的最佳解决方案,可以使得集团公司与分支机构之间形成一种易于监控及捆绑式的边界安全防护方案。
集成化的边缘安全网关,可以帮助保护IT环境免受Internet威胁的影响,并为用户提供快速安全的远程应用程序与数据访问。
网络访问保护 (NAP) 是内置于代号为“Longhorn”的 Windows Vista 和Windows Server 操作系统中的策略强制平台,允许管理员通过强制达到系统状况要求来更好地保护网络资产。利用 NAP,IT 管理员可以创建自定义的状况策略以验证计算机安全状况,在计算机满足要求后才允许其访问或与其通信、自动更新合规计算机以实现持续合规性,并可以选择禁止不合规计算机访问受限网络,直到其合规为止。NAP 包括应用程序编程接口 (API) 集,便于开发人员和供应商创建状况策略验证、网络访问限制和状况持续合规性的完整解决方案。
为了基于系统状况验证是否可以访问网络,NAP 提供以下方面的功能:
· 状况策略验证用于确定计算机是否符合状况策略要求。
· 网络访问限制用于限制不合规计算机访问网络。
· 自动更新提供必要的更新,以允许不合规计算机变为合规状态。
· 持续的合规性会自动更新合规计算机,这样他们可以始终根据状况策略要求进行持续更改。
应用服务器防护解决方案
Microsoft 致力于帮助客户保护其消息基础结构,以便在避免公司重要资产遭到攻击或出现信息泄露风险的前提下促进协作。这就要求解决方案可以帮助防护最新的威胁、提供安全访问、保护敏感数据以及与客户现有基础结构紧密集成。
· Exchange Hosted Service 提供受管理的消息服务,以帮助强制实现电子邮件合规性且增强电子邮件安全性。利用 ExchangeHosted 服务,在垃圾邮件和病毒侵入网络前企业就可以将其筛选出来。
· 对于许多运行 Exchange Server 的企业,Microsoft ForefrontSecurity for Exchange Server 可以帮助其防范内部威胁并强制实施内容策略。Microsoft Forefront Security for SharePoint® 和Antigen for Instant Messaging 将上述保护扩展到 SharePoint 和Live Communications Server 环境,可以跨整个消息和协作环境提供这些保护。
· Microsoft Internet Security and Acceleration (ISA) Server 2006 是对传统防火墙解决方案(是通过添加防火墙保护应用层进行部署的)的补充。
· Windows Rights Management Services (RMS) for Windows Server 2003®这项信息保护技术是针对启用了 RMS 的应用程序,它们协同工作可以防止未经授权随意(可能是在线使用也可能是离线使用)。
文档信息安全保护方案
Microsoft Windows Rights Management Services (RMS) for Windows Server 2003 这项信息保护技术是针对启用了 RMS 的应用程序,它们协同工作可以防止未经授权随意(可能是在线使用也可能是离线使用,可能来自防火墙内也可能来自防火墙外)使用数字信息。此产品专为那些需要保护敏感信息和专有信息(如财务报表、产品规格、客户数据和机密电子邮件)的企业而设计。利用永久性使用策略(也称为使用权限和条件,不论信息到哪里始终与信息在一起)所提供的信息保护,RMS 可以增强企业安全策略。RMS 可以永久性保护任意二进制格式数据,所以使用权限将始终与信息在一起(即便是传输时),而不是仅驻留在企业网络上。这样,在经授权的收件人访问息后(可能是在线访问也可能是离线访问,可能在企业内访问也可能在企业外访问),还可以强制实施使用许可权。
RMS 还允许第三方集成信息保护以构建一个综合的平台解决方案,从而可以将信息保护集成至其他信息处理基础结构,如自动化工作流、记录和文档管理、电子邮件归档、内容检查等等。在构建下面这些基本要素后,RMS 可以通过永久性使用策略来保护信息:
· 可信实体。企业可以将 RMS 系统中的可信参与者指定为实体,包括个人、用户组、计算机和应用程序。建立可信实体后,RMS 将仅允许访问完全可信的参与者,从而保护信息。
· 使用权限和条件。针对特定可信实体使用受保护信息的方式,企业和个人可以指定其权限和条件。以命名权限为例,就是指读取、复制、打印、保存、转发和编辑的权限。使用权限可以附加一定的条件,如该权限何时到期。企业可以禁止某些应用程序和实体(即非可信实体)访问受保护的信息。
· 数据加密。加密是指利用电子密钥锁定数据的过程。RMS 可以加密信息,从而在可信实体成功通过验证后进行有条件的访问。信息一经锁定后,只有在指定条件下被授予了使用权限的可信实体(如果有)才可以在启用了 RMS 的应用程序或浏览器中解锁或解密信。然后,将由应用程序强制实施定义的使用权限和条件。除了 Exchange Hosted 服务提供的加密,上面的数据加密又增加了一层额外保护。