【安全的ＩＴ架构　纵深的防御理念】 IT架构

　　威胁现状 　　 　　随着企业信息化建设的不断发展，电子化的信息系统给企业带来了诸多便利，越来越多的信息通过网络进行高效的传递，与此同时，新的问题也给IT 专家们带来了全新的挑战，即如何构建安全的IT架构，使它们能够在不断演变、日益增多的安全风险中安然无恙。威胁的爆发频率越来越高、攻击手段越来越高明，而且受经济利益驱动的成分越来越大。同时员工和合作伙伴对连接的需求也提升到一个更高的层次，他们需要多点访问，需要无论在办公室或者在家都能够访问他们所需要的数据，而这无疑又加大了潜在威胁的风险面。对 IT 专家而言，快速响应这些威胁是一项长期挑战，这对于保持企业的正常运转至关重要。如果缺乏行之有效的安全策略，组织的职能将消失殆尽，这绝非危言耸听。
　　那么，究竟如何才能构建真正的安全可靠的IT架构？随着威胁技术的不断发展，当前条件下仅仅利用某一种防御技术已经很难真正抵御威胁，我们需要的是纵深化的、全面的防御，只有构建了综合的、多点的防御，才能使企业信息安全得到保障。本文将向您介绍纵深防御中的几个重要的环节。
　　
　　通信和团队协作安全
　　
　　现在，典型的企业工作者都需要进行移动办公和团队协作。他们具有复杂的访问个人、团队、企业和合作伙伴数据的访问需求。工作者需要在本地和远程都能够访问和共享这些数据，有时是在不安全的场所中，而且使用类似 Internet 公共终端这样的设备。即时消息、电子邮件、远程访问和 Internet 访问是关键的业务工具，因此任何服务中断都会给生产效率带来不利影响。但是，部署一种消息传递和协作基础结构又会增加安全需求和安全管理的复杂性。
　　有四种因素可以威胁消息传递和协作基础结构的安全性，包括：
　　•恶意软件。现在很多病毒和蠕虫可以通过网页浏览、电子邮件和即时消息迅速感染全球数百万台计算机系统。类似 MyDoom 蠕虫这样的高调攻击 (High profile attack) 导致的停机和病毒清除的开支可以给企业增加数十万美元的成本。事实上，根据 Computer Security Institute 在 2005 年的调查，对于收入不足 1000 万美元的企业，平均每名员工的安全支出是 643 美元。
　　•垃圾邮件。垃圾电子邮件消耗网络资源，充斥电子邮件收件箱，这让企业不堪重负。仅 MSN Hotmail每天就要处理将近 30 亿封垃圾邮件。来自 IDC 的分析人员估计垃圾邮件流量要占到全部电子邮件流量的 50% ～ 95%。垃圾邮件不仅威胁企业效率，而且还是恶意代码的常用载体。因此，消息传递基础结构就成为企业防御恶意软件的重点。
　　•未经授权的网络访问。当网络向外部用户开放以进行消息传递和协作时，适用于保护 LAN 数据的安全过程和策略就会失去效用。例如，外部网络使用的脆弱的身份验证可能会危害网络接入点的安全，并允许未经授权的访问。通过 Internet 或无线网络发送的敏感数据如果没有适当地加密，可能会被泄密。此外，因为现在黑客使用更加高级的应用程序层攻击，所以企业必须使用应用程序防火墙，以确保流量在进入内部网络之前得到过滤。
　　•未经授权的数据访问。企业越来越担心敏感信息通过消息传递和协作架构外泄。根据 Jupiter Research 分析人员的调查，与其他任何安全问题相比，在受到病毒感染后，企业更加频繁地报告电子邮件意外转发和移动设备丢失。
　　企业必须结合使用多种技术和方法来保护他们的消息传递和协作环境免受内部和外部安全威胁的影响。由于这些威胁使用多种攻击方式，因此企业需要建立多层保护以进行防御。同时这些攻击也在不断发展，它们能够找到新的方法来突破原有防御，因此需要使用多种技术。综上所述，使用多层保护和多种技术形成了微软的纵深防御体系。为了简化安全管理和提高性能，微软同时推荐将该解决方案集成到企业基础结构中。
　　纵深防御体系
　　纵深防御体系被认为是一种最佳安全做法。这种方法就是在网络中的多个点使用多种安全技术，从而减少攻击者利用关键业务资源或信息泄露到企业外部的总体可能性。在消息传递和协作环境中，纵深防御体系可以帮助管理员确保恶意代码或活动被阻止在基础结构内的多个检查点。这降低了威胁进入内部网络的可能性。
　　
　　多层保护
　　
　　为建立深入的消息传递和协作防御，企业可以在基础结构内的四个点保护网络流量，即网络边缘、服务器、客户端以及信息本身。网络边缘有两个作用：保护访问以及保护网络免受内部和外部攻击。
　　•保护访问。消息传递和协作防御必须防止未经授权访问网络、应用程序和企业数据的情况。这需要在网关或非军事区 (DMZ) 提供防火墙保护。这层保护可以保护对于内部服务器的访问免受所有恶意访问的影响，包括那些寻求破解和利用消息传递和协作系统和服务的应用程序和网络攻击。
　　要利用消息传递和协作服务器，黑客首先必须找到这些服务器。因此，企业必须实施一些技术以防止黑客找到基础结构服务器。例如，对于 Microsoft Exchange，很多企业提供通过 Outlook Web Access (OWA) 的远程访问。企业可以在 OWA 服务器和网络边缘之间设置一个安全层，从而消除 OWA 直接访问 Internet 并带来潜在威胁的情况。这一层额外的保护给黑客找到有漏洞的计算机带来了困难，并且提供了一个可以进行用户身份验证和流量扫描的点。
　　•边缘保护。一般说来，企业可以同时在网络边缘或网关位置应用防病毒和反垃圾邮件保护，以阻止基于 SMTP 的威胁进入内部网络。这一层保护不仅可以阻止病毒和垃圾邮件侵害用户，同时也极大减少了流向电子邮件服务器的总体流量。这意味着带宽和服务器资源现在仅用于关键业务通信。
　　•服务器保护。安全威胁可以来自网络内部和外部网络，以及通过授权的计算机发起攻击。例如，员工可能无意中将一个受病毒感染的文件从 USB设备复制到一台安全计算机中。因此前端和后端电子邮件服务器都必须提供防病毒保护。而网关保护可以消除大部分威胁，在消息传递和协作服务器中安装防病毒软件则可以提供额外的防御线，并遏制内部事件的威胁，让它们永远不能到达网关。
　　•客户端保护。尽管不是消息传递和协作基础结构的组成部分，但受危害的客户端可以自由地访问一些安全区域。因此，必须在客户端上设置桌面防病毒、反垃圾邮件和个人防火墙保护。同时需要在客户端部署防止用户转发、打印或共享机密材料的信息控制技术。
　　•信息保护。数字信息保护是一项任重而道远的任务。通常，企业使用基于周边的安全方法来保护数字信息。防火墙可以限制对于网络的访问，而访问控制列表 (ACL) 可以限制对于特定数据的访问。此外，企业还可以使用加密和身份验证技术和产品在邮件传送时提供保护，同时帮助确保目标收件人是第一个打开邮件的人。
　　这些方法可以帮助企业控制对于敏感数据的访问。然而，收件人仍然能够对他们收到的信息自由执行任何操作。在获得访问授权后，访问者要对数据执行任何操作或是将数据发送到哪里都没有任何办法可以控制。基于周边的安全方法不能对员工使用数据的方式以及员工将数据分发到周边外部的方式强制应用企业规则以进行控制，也不能在周边被渗透之后强制应用企业规则。
　　作为企业整体安全策略的重要组成部分，一个好的信息保护解决方案必须提供控制数据使用和分发的方法，而不是仅提供简单的访问控制。它必须在防火墙后帮助保护敏感的企业信息，并确保数据得到保护而且不能被篡改。
　　
　　多种技术
　　
　　除了在整个网络中提供多个防御层之外，纵深防御体系还使用多种技术来揭露和防止安全威胁。它并非依赖于单一技术来防御攻击，从而消除了企业整个安全体系结构中的单点故障。
　　对于防病毒来说，使用多个供应商的扫描引擎是非常有用的，因为每个引擎都具有一组独特的检测方法。病毒特征库是最常见的检测方法，每个引擎供应商都有自己的一组用于创建特征库的优先顺序和技术。每个企业也都建立了自己的发布更新的时间表。使用多个引擎可以有效地缩短更新间隔，从而减少新威胁可以利用的总时间段。除了特征库文件之外，防病毒引擎还不同程度地依赖供应商独有的启发式技术或行为阻止技术。使用多个引擎的企业可以更好地保护自己免受新威胁的侵害。例如，如果威胁没有被一个引擎中的特征库文件检测到，它可能很快被另一个引擎中内置的特征库或启发式技术检测到。
　　其他安全解决方案（例如防火墙和反垃圾邮件）也可以得益于多种安全技术。以防火墙来说，在网络基础结构中的多个点设置不同的安全配置可以提供更好的保护。例如，在网络边缘其配置被设置为决定是否访问，而在 DMZ 或内部网络中，保护特定应用程序的防火墙使用智能过滤配置来进一步控制和消除恶意访问。对于反垃圾邮件来说，不断发展的反垃圾邮件技术很难 100% 准确地判断垃圾邮件。使用特征库和启发式技术组合的方法可以改进检测，而且这两种解决方案可以协同工作以降低错误判断的情况。
　　
　　与基础结构集成
　　
　　不管要提供什么保护，安全解决方案都必须可靠和可管理才行。如果 IT 管理员要不断重启崩溃的服务器、重新配置系统或是手动分发更新，那不仅会严重削弱保护，而且还会影响效率增长，这与企业使用安全解决方案的初衷背道而驰。
　　要确保安全解决方案很好地发挥作用，一个重要的方法就是确保与消息传递和协作基础结构紧密集成。这种集成让安全应用程序可以集中全力提供保护，而不用执行冗余的消息传递应用程序任务。例如，如果防病毒解决方案与本机 Microsoft Windows SMTP 协议栈集成，它就不需要利用端口 25 重定向器，只需执行病毒扫描即可，而不用执行路由功能。
　　对于 IT 员工来说，也许集成是最为重要的，因为这让他们可以更轻松地管理安全系统。使用集成的系统，IT 管理员可以从一个控制台中进行配置、部署、更新、报告和监视。与 Active Directory的集成让安全团队不必单独管理一个或多个分开的目录。以 Microsoft Exchange 为例，Microsoft Operations Manager 就是 IT 管理员和邮件管理员用以提供集中控制的一个主要集成点。
　　为了帮助用户构建安全可靠的IT环境，微软推出了最新的安全解决方案Forefront，微软希望通过Forefront使企业的安全跨入到一个新的层次，Forefront安全解决方案以纵深防御理念为出发点，从客户端、服务器、网络边缘三个方面加以防护。