牛可：微软IT基础构架优化解决方案分享

2008年3月28日由微软（中国）有限公司和IT时代周刊主办的CIO信息安全圆桌会议于3月28日下午在北京召开。本次会议的主题是“网络安全于信息化”，搜讯网作为此次大会的直播媒体现场直播此次论坛。图为微软安全技术顾问牛可在发言。

　　因为我们今天是关于信息安全的，所以下面我们重点和大家探讨一下微软的Forefront的解决方案。

　　 那么，Forefront是实现卓越的企业级安全管理的解决方案，下面的时间我将和大家进行探讨。

　　现在，我们作为企业主管来讲，企业中的安全的挑战是越来越大了，尤其是这两年发生了很多的安全事件，并且这些安全事件对于我们整个企业的信息带来了很大的冲击。那么，在这种情况下，我们会说，企业会面临很多来自内部和外部的威胁。包括幻灯片当中大家看到的，病毒、蠕虫、信息的丢失等等带来的一些重大的安全性的威胁。

　　 那么，尤其这两年，我们知道的僵尸网络和Rootkit是流行比较广泛的，在当今的互联网上的僵尸网络，最大的数据是每天中毒的计算机就有25万台之多。所以，这些会给我们企业带来重大的安全问题。而且，随着信息的泄露，随着安全事件的发生，我们越来越注意到企业的安全信息是越来越重要的。

　　那么在这些事件当中，微软考虑出了一个安全的解决方案。微软提供一个优良的基础架构设计，那么微软每年在安全方面的研发投入是14亿美元左右，占到了他每年研发费用的1/3还多。所以，从资金的投入上，大家可以看到，微软在每年安全方面的重要性还有投资的比重。

　　第二个，除了提供安全的产品之外，微软还给使用他的产品或者是使用相关技术的这些客户、用户以及合作伙伴，去提供安全性的最佳实践，以及实现安全性的工具。如果大家了解微软的产品或者是技术多一些的话，可以经常收取到微软在安全方面提供安全最佳实践分析或者是白皮书。里面会告诉你怎么去配置安全、应用安全、确保安全。那么，这个就是他提供最佳实践咨询的资料，还会提供一些工具。比如说像微软的最佳安全实践分析器，你利用这个分析器，可以很容易了解你企业当中当前所有的客户端、服务器配置的情况。而且，它会给你一些建议，比如说你的计算机、服务器的配置是不安全的，不安全在哪里，他都会有一套机制帮助你解决。

　　当然了，在信息化的过程中，光靠微软的力量是远远不够的，所以微软在安全方面很大一部分的投入，还在于和众多的合作伙伴、安全机构、政府去营造一个安全的生态环境，去创建这样一个安全的生态环境，共同地去针对安全方面的一些危险，去做一些工作。所以，微软的安全策略就是在这三个方面，第一为用户提供安全的基础结构设计，还有提供安全的指导，还有和业界、政府共同来创造安全的信息环境。

　　 其实，对于当前的企业来讲，信息安全的挑战也是比较巨大的，那么在这种情况下有一种需求。就是我们这个为了信息安全，我们可能上了很多的系统，比如说上了防火墙、VPN、IDS、身份验证、反病毒、垃圾邮件等等。那么，一下子光安全相关的就上了十几套或者是几十套的产品或者是技术解决方案。那么，这些解决方案到底容不容易去管理？那么它的效率如何？都会带来众多的问题。

　　那么，微软在IT环境的挑战日益加剧的情况下，它提出了一个理念，就是一定要构建一个全面、统一和简单地安全的解决方面。那么，这也是微软去推出Forefront的主旨和方案。

　　同时，在安全方面，微软还提出了一个策略，这个策略也是指导微软在安全实践过程中最基本的原则，那么就是纵深防御策略。在这个纵深防御策略里面，微软认为信息系统的安全是带有层次性的，就好像洋葱一样。那么在最外面的你必须首先有策略、过程，还有法律法规的约束。那么，这个就是我们叫做策略和通道的层次。首先，我们在企业当中有这样安全层的保护，然后让用户理解什么是安全，对于可能带来的安全的隐含怎么去预防。那么在这个层次方面就是物理的安全，那么对于物理的安全的防护，我们就要通过物理的方法去实现。那么我们可以通过很多的锁，那么再就是安全产品的周边，我们可以通过防护、锁定、追踪设备等等。那么，我们怎么样控制我们内部安全的冷遇和其他网络之间连接环境的边界网络的安全呢？我们可能采取相应地防火墙、隔离或者是VPN进行实现。

　　那么还有像内部网络方面出现的安全问题，我们需要用网络分段的方法，可能使用IPSec，还有NIDS等网络防护保护和网络隔离的技术，来实现不同等级计算机对于内部信息访问的控制。然后是主机的层面，就是每一台计算机和每一台服务器的层面，要通过操作系统的加固、身份系统的验证、服务相应地补丁、漏洞的修补，来实现主机的增强。另外，你的应用系统也是必须是安全的，那么你要通过各种方式来保证应用系统的健壮性，对于病毒的预防能力。最终，就是数据的安全，我们可以用各种基于数据的加密，或者是访问控制来保证数据的安全。

　　 总之，在微软提供安全的产品和技术的时候，它始终遵循的原则就是纵深防御的策略。那么要实现安全，你就需要在每一个层面上做大量的工作，才可以保证我们信息的安全和信息环境的安全。

　　那么具体到安全方面的产品就是微软提出的Forefront，这是微软针对企业提出的安全解决方案。我们在会场的时候领到了一个资料袋，袋里面就包括了Forefront这个产品的一些信息，大家可能已经查阅了，那么我再做一个详尽的介绍。

　　 Forefront面向企业的安全方面做了一个整体的解决方案，那么它面对企业的现状是从这么几个方面考虑问题的。

　　第一个是网络的边缘，就是我们各个网络连接的时候出现的安全问题，好多黑客的攻击、安全事件的发生，都是通过网络的边缘来渗透的。所以，网络的边缘成为我们继续关注的要点，那么怎么样保证网络边缘的安全，从而实现网络层面的安全，是通过相应地解决方案来实现的。

　　微软Forefront在这个产品系列里面，网络边缘的实现是通过一个叫做Acceleration  Server2006年实现的。

　　 第二个层面就是应用服务器的安全，这一点是大家理解比较深刻的。现在我们分析一下计算机病毒的爆发，那么它肯定是每台计算机都感染了，那么它怎么感染的？病毒的来源是什么？绝大部分都是通过电子邮件、即时消息，像MSN或者是QQ这样的消息，或者是企业内部的即时消息协作的服务。那么，还有就是共享，那么这个共享包括了网络的共享文件夹，或者是通过协作系统，或者是门户网络等等的方式来进行传播的。

　　 所以，在这个环境中我们可以看到，对于一个企业来讲，他的应用服务系统，就是他的信息进行交汇的中枢，那么这个位置就是病毒最容易感染和发挥的核心位置。所以，我们在企业的安全防护的过程中，应用服务是最重要的层面，如果我们把这个层面的安全防范的工作做好，就可以很大地降低病毒、恶意软件在企业中爆发的可能性。

　　第三个层面就是客户端操作系统这样一个安全的领域。其实我们的安全方面，防病毒、防恶意软件的安全都是从桌面上做起的，一起到了企业的整体的安全解决方案。那么，微软在客户端的操作系统的安全也开发了客户端的安全的系统。

　　这是微软面向边缘网络、应用服务器、企业的客户操作系统这三个方面的解决方案。那么边缘是Acceleration  Server来完成的，那么在中心是通过Forefront来解决的。

　　下面，具体给大家介绍一下这几个产品。

　　第一个是ISA  Server，有的朋友可能听过这个产品，微软在这个方面做了很长的时间。这是什么意思呢？有的人认为是代理服务器，还有人认为是高级防火墙。其实不是这样的，它除了可以做代理服务器和高级防火墙以外，还可以做高速缓存，这个我们有一些实际的统计数据跟大家分享。我有开启缓存和没有开启缓存对于带宽的使用比例是1：4。如果我们使用这种机制以后，可以至少将原来的带宽节省1/4。

　　第二个，它还可以进行有效地应用发布，因为我们现在企业都有大量的资源和信息发布到网站上。那么像网站和信息都要发布到网站上，那么怎么样进行保护呢？比如说我们都是通过典型的HTTP的协议去走，其实传统的防火墙对于这种协议内容过滤的层次要低得多，但是ISA  Server可以通过数据的代理或者是通过防火墙的时候，一些信息深层次的过滤，包括关键字或者是特征，你都可以通过访问过程中的一些规则，来进行严格的限制。

　　所以，ISA  Server是集中了防火墙、VPN、高速缓存、内容过滤等等各种功能为一体的产品。

　　那么对于ISA  Server经过了2年的发展，它有很多的应用，那么在这里我罗列了几个典型的应用。比如说Web的访问保护，那么我内部的员工要访问，那么我怎么样保护？这就是通过Web的访问保护。那么还有分支机构网关，那么我们有很多的子公司或者是分支机构，那么他们之间需要构建有效的分支网络。可以利用ISA  Server在公司的总部，和分支办公室连接起来。一方面可以保证他们的连通性和安全，同时也可以利用比较有限的带宽。第三种就是安全的应用程序的发布，就是我们刚才提到的，如何将企业中的信息还有服务发布出去，但是同时要保证高度的安全性。这是在边缘网络上面，ISA  Server典型的可以使用的场景。

　　 接下来，看一下在服务器领域的特性，就是Forefront的产品。那么第一个我们称为高级的防护，就是它能够非常沿革地控制在企业流转信息里面所携带的安全信息的威胁，以及我们所能够控制的安全消息。第二个就是可用性和管理控制，必须要能够保证它在服务器上的可用性，而且能够按照我们企业的制度和管理要求去管理。再就是内容必须要进行严格地控制。像在企业中流转的时候，这个电子邮件很容易被员工转发到其他的公司去了。

　　 最近我收到了一封叫做《比尔·盖茨》要给大家分钱了的邮件，那么在到我那里之前，已经通过了微软、IBM、HP等等的转发。那么，怎么样让员工避免把这样具有公司重要信息的邮件不经意地转发出去呢？我们就是要在内容系统、协作系统等等的方面进行保护。

　　那么我主要介绍一下高级防护方面的特性。那么在这里我只想说，在高级防护这个特性里面，这个产品是在邮件、协作、即时消息系统上的防病毒、防恶意软件的产品。那么，它最大的特性在于它的引擎非常强悍。那么Forefront  Server  Security这个防病毒产品里面，它里面的引擎不是微软一个厂商在战斗，里面包括了NORMAN、CA、SOPHOS等等的多达8个引擎在里面，所以可以确保这个信息到我的系统里面，我可以进行严格地扫描，所以可以确保安全。但是在同一台服务器上面只能开启5个，那么是不是8个里面只能用5个？其实不是的，因为对于稍大一点的企业来讲，有邮件的网关、客户端的服务器，那么你可以在不同的服务器上面开启不同的5组引擎，当邮件进入到您的互联网上，进入到客户端，然后客户从客户端把邮件拿走的时候，可以经过每一个环节的层层安全扫描，从而利用所有的引擎实现邮件的安全性还有高度信息的保护。

　　 那么，为了说明多引擎防护的特点，我可以给大家说一个数据。去年有一个防病毒的组织进行了研究，这个数据里面把Forefront  Server  Security的任何5组引擎跟普通的引擎进行比较，你会发现，任何一个新病毒出现，只有两个病毒在24个小时之内是我们这个产品查得出来的。而针对其他的单引擎厂商，你会发现这个比例基本上是在10%左右。那么，从这个数据，我们可以看到，多引擎对于一个企业的邮件、协作、即时消息传输系统的重要性。

　　最后，我们再来看一下Forefront  Client  Security的体系。这是微软第一次进入了客户端的防病毒的体系，它可以做三个防护，这个防护不是我们一般意义上的病毒、木马、蠕虫，它除了可以查杀典型的病毒之外，还可以对于计算机的安全状况做一个分析，就是可以分析你计算机的配置情形，从而可以拿到你计算机的安全缺陷和漏洞所在。

　　另外，在管理方面也是比较便捷的。那么在微软公司，他就是在FCS的发布之前，其实就已经在整个公司内已经部署了。那么部署到现在，全球有23万台计算机，都已经安装了FSC这样一个防病毒和恶意软件的解决方案。那么，它的管理就是存在于在IT内部的几个人实现的，那么在全球的23万台计算机，几个人管理，就可以实现它管理的便捷性。

　　那么Forefront  Client  Security最大的特点就是可视性非常好。那么作为CIO也好，或者是其他的IT人员，你只要扫一眼报表，就知道整个企业的IT管理状况。就在几秒钟时间，就可以追溯到具体的计算机安全威胁，是在哪个环节引起的。所以，Forefront  Client  Security可以管理一个大型企业中的安全，以及整体的防病毒的策略。其实，微软是把众多厂商的引擎集成到了一起，形成了这个Forefront  Client  Security的引擎，除了这些优点之外，还包括了在企业级的应用、可视化、优化IT基础架构等等的特性。

　　最后，我们Forefront看一下的安全整体解决方案。就是使用微软的Forefront的安全者提解决方案，我们无论是在企业的出差环节，还是在家办公，还是在分支办公的人员，还是在网络的边缘、客户端等等，都可以对您进行安全的保护。

　　 当然了，对于微软来讲，并不是提供了安全的系列产品，那么他的安全责任就尽到了。那么微软在现有的Forefront安全产品的基础上，还在很多的平台中，提供了更多的帮助企业用户去实现安全的技术和机制。比如说在Windows，还有Vista之后提供了安全模式的保护，还有我们提供网络访问保护的支持，能够使得你可以控制在内部网络、边缘，还有在各个其他的层次安全接入方面的安全。

　　然后，还提供了对于Internet上面的一些服务，比如说托管服务，企业可以租用这些托管服务，对于你的邮件系统进行检查，或者是进行安全信息的过滤。然后，也提供了对于信息安全，就是你企业信息资产的保护，比如说IMS比如说一个企业信息的稳当创建出来，这个文档被谁使用过，这个文档什么时候过期，都可以通过这个IMS来实现。如果说在你的计算机或者是使用上，使用了Rookkit我也没有关系。

　　那么还有应用得比较多的是活动目录，很多的企业利用这个活动目录来进行身份验证。那么还有我们的标识集成服务器，这个对于大型企业不同认证之间的联合，非常地适用。另外，我们还提供了管理的机制。像前面讲到的System  Center等等的，除了这些还有开发产品的工具，比如说开发代码的工具。

　　 所以，微软是从整个企业需求的层层面面都体现出了对于安全的重视，以及对于安全应用领域这样一个信心。

　　到现在为止，我的演讲就到这里结束了，因为我们刚才也提到了，这是一个圆桌会议，上面只有我一个人的声音，下面，会给大家一些机会，就是我前面讲到的一些产品、技术，还有您想知道我没有讲到的东西，大家都可以进行有效地互动地沟通。从而，能够达到我们这样一个沟通和交流的目的。

　　我刚才提到了一个微软的安全系列产品，这叫做Forefront，这是对于企业整体的全方位的解决方案，主要是面向三个安全领域的，不知道哪位朋友可以来说一下？

　　 听众：网络边界、服务器、客户端。

　　牛可：回答得很好，我想跟您交流一下，您企业中还有网络的边缘、应用客户端、服务器方面有什么问题跟大家交流一下？

　　 听众：在网络边界上还是用到的微软的Server2004，还有思科的产品。

　　牛可：就是网络硬件是基于思科，还有用微软的Server2004。2004和2006之间主要的区别是，2006在身份验证方面提供了特别多的验证机制，比如说多因子的安全支持，我做一个互联的站点，我必须通过多因素的安全认证，比如说短信、证书、还有CQ  ID，那么在2006里面做得特别好，就是你要开发一个新登录的认证，我是去年9月份做过之后，我就利用三件事情，就可以写出一个非常简单的实现机制。

　　另外，它在验证方面支持单点认证。我的公司要发布很多的站点，但是我只要在一个站点认证，就可以了。另外，在性能方面，它比2004有25%的性能提升，主要的就是这些了。

　　 听众：那么在做2004的时候，连接数量有什么规定吗？

　　牛可：这是和您的硬件是有关系的，和您的传输数量和内容，还有是不是站点的加密，跟硬件是有关系的。

[作者：朱晓培]