知道ForeFront家族的成员组成

　　随着Windows操作系统的服务器和客户端的广泛运用,各种入侵攻击事件时常见诸媒体，其中更有不少造成严重的经济损失，面对如此严峻的安全形势，企业用户应当如何应对?针对这样安全形势，微软推出了ForeFront Security安全产品家族，其中包括ForeFront Client Security、ForeFront Server Security 和ForeFront Edge Security，范围涵盖了客户端、服务器和网络边界安全。ForeFront可以说是体现了Microsoft对企业用户的Windows操作系统和网络安全需求的理解，下文一起来了解ForeFront家族的成员组成。

　　ForeFront Security的特性

　　ForeFront Security不单只有以ForeFront Security命名的几个产品，它还包括了众多的Microsoft 安全产品，比如WSUS、System Center、ISA、IAG等。所谓“透过现象看本质”，虽然ForeFront的产品线相当复杂，不过我们仍可看到Microsoft在 ForeFront上所要实现的三个特性：综合、集成、简易

　　●综合(Comprehensive) ForeFront家族是客户端、服务器和网络边界安全的完整解决方案，包括了恶意软件防御、补丁管理、身份验证、远程访问等安全功能，保护范围覆盖企业网络和所有采用Windows操作系统的节点。

　　●集成(Integrated) ForeFront可以和用户现有的Windows平台上的信息处理体系和安全方案紧密的集成在一起，使用户可以更有效和更清楚的控制企业网络中的安全情况。

　　●简易(Simplified) ForeFront给用户提供了单一的管理视图，增加用户对企业网络安全状态的可见性，从而可以实现更好的管理和威胁缓解过程。

　　企业用户从ForeFront的三个特性中可以得到什么启示呢?让不同行业不同大小的企业来回答这个问题会有不同的答案，但笔者认为答案的区别应该是在这三个特性的优先度排列上而不是在答案的内容上。因为ForeFront Security的一些组件尚未正式推出，现在从整体安全架构的技术层面上，来讨论ForeFront与其它安全方案的优劣，似乎尚早，不过从 ForeFront的设计理念上来讨论一下Windows平台安全的实现，倒是个相当有启发性的话题。

　　Forefront与企业安全四特性

　　安全综合性首先是Windows安全实现的综合性。目前大部分的企业中原有的安全实现可以归类于“头痛医头，脚疼医脚”式的方案：如果客户端时常面临恶意软件的威胁，企业的信息部门会购买单机版的反病毒软件并安装;如果服务器有可能遭受黑客入侵，企业的信息部门会购买防火墙，安装入侵检查设备;如果邮件服务在某一时段内有大量的垃圾邮件侵袭，企业的信息部门会购买各种反垃圾邮件的安全产品——企业对安全方案的采购和部署并不是基于对影响企业业务和信息处理的安全威胁的战略性分析，而只是为了防御某类型的安全威胁而进行的短期行为。这样的采购和部署思路虽然在短期内有不错的效果，却会给企业带来虚假的安全感和不小的安全隐患，企业往往在日后遭受到新安全威胁的损害之后，才会对认识新威胁并对其做出反应。

　　最近频繁出现在媒体上的0Day漏洞攻击便是一个例子，企业如果只部署了一般的反病毒软件和防火墙(这样的企业环境很常见，为简便起见，下文称为一般信息处理环境)，在0Day漏洞的攻击下是毫无防御能力的，唯有在同时启用入侵检测、反病毒、防火墙等安全功能的情况下，才能比较有效的检测和拦截。此外，企业缺乏远见的安全方案采购部署方法，也很容易导致安全功能的缺失，进而在企业的信息安全体系中造成潜在的弱点。一个桶能装的水取决于最短的桶板的长度，一个缺乏某些关键安全功能的安全体系，实际的安全效能并不比什么安全方案都不用的环境安全多少，还是用上面提到的一般企业信息处理环境做示例，如果不在内部网络中使用WSUS服务或使用Windows Update，管理员无法掌握每个网络节点的补丁升级情况，一个利用Windows漏洞传播、反病毒软件暂时无法检测出来的新蠕虫将可以很轻易的攻陷企业内网的所有机器。从这个角度上讲，企业用户要实现Windows平台的安全最大化，贯彻Microsoft 在ForeFront Security中所要实现的“安全功能的完整性”这一理念就显得无比重要。

　　安全集成性 其次是Windows安全实现的集成。ForeFront Security就强调了其安全功能和用户旧有的Windows平台应用的无缝结合。企业信息处理环境的组成非常复杂，即便在稍微上点规模的企业中，信息处理环境就可以按照信息处理需求的不同分为各种应用服务器、关键网络服务器、客户端机器等多个环境类型，更不用说大中型的企业或跨国企业。而各个环境上的软硬件环境又是千差万别，安全级别和性能需求也是各不相同，例如，企业要在应用服务器上部署一套负责内容过滤和性能监控的安全方案、可是事先又没有对待部署方案与旧有的应用服务器环境的兼容性和整合性进行过严格测试，只凭广告的宣传进行选择，那后续的故障排查对企业信息部门来说无异于一场噩梦，这套安全方案的实施效果也无从谈起。因此，企业在部署安全方案时，无论是从实施效果还是保护原有投资的角度来说，安全方案和旧有设施的集成性都是必须考虑的关键因素。