从ForeFront特性看Windows平台安全

核心提示： 最近频繁出现在媒体上的0Day漏洞攻击便是一个例子，企业如果只部署了一般的反病毒软件和防火墙(这样的企业环境很常见，从ForeFront特性看Windows平台安全(3)，为简便起见，下文称为一般信息处理环境)，企业在部署安全方案时，无论是从实施效果还是保护原有投资的角度来说，在0Day漏

最近频繁出现在媒体上的0Day漏洞攻击便是一个例子，企业如果只部署了一般的反病毒软件和防火墙(这样的企业环境很常见，为简便起见，下文称为一般信息处理环境)，在0Day漏洞的攻击下是毫无防御能力的，唯有在同时启用入侵检测、反病毒、防火墙等安全功能的情况下，才能比较有效的检测和拦截。此外，企业缺乏远见的安全方案采购部署方法，也很容易导致安全功能的缺失，进而在企业的信息安全体系中造成潜在的弱点。一个桶能装的水取决于最短的桶板的长度，一个缺乏某些关键安全功能的安全体系，实际的安全效能并不比什么安全方案都不用的环境安全多少，还是用上面提到的一般企业信息处理环境做示例，如果不在内部网络中使用WSUS服务或使用Windows Update，管理员无法掌握每个网络节点的补丁升级情况，一个利用Windows漏洞传播、反病毒软件暂时无法检测出来的新蠕虫将可以很轻易的攻陷企业内网的所有机器。从这个角度上讲，企业用户要实现Windows平台的安全最大化，贯彻Microsoft 在ForeFront Security中所要实现的“安全功能的完整性”这一理念就显得无比重要。

安全集成性 其次是Windows安全实现的集成。ForeFront Security就强调了其安全功能和用户旧有的Windows平台应用的无缝结合。企业信息处理环境的组成非常复杂，即便在稍微上点规模的企业中，信息处理环境就可以按照信息处理需求的不同分为各种应用服务器、关键网络服务器、客户端机器等多个环境类型，更不用说大中型的企业或跨国企业。而各个环境上的软硬件环境又是千差万别，安全级别和性能需求也是各不相同，例如，企业要在应用服务器上部署一套负责内容过滤和性能监控的安全方案、可是事先又没有对待部署方案与旧有的应用服务器环境的兼容性和整合性进行过严格测试，只凭广告的宣传进行选择，那后续的故障排查对企业信息部门来说无异于一场噩梦，这套安全方案的实施效果也无从谈起。因此，企业在部署安全方案时，无论是从实施效果还是保护原有投资的角度来说，安全方案和旧有设施的集成性都是必须考虑的关键因素。