如何衡量企業(yè)的IT環(huán)境運作處于安全管理哪個級別?微軟公司在推出它們安全解決方案Forefront的同時，他們也提出了Core IO方法論來指導優(yōu)化企業(yè)IT核心基礎(chǔ)架構(gòu)，我們就以該解決方案為例，來探討一下如何提升和促進企業(yè)安全管理水平以滿足日益增長的商業(yè)運營需要。

在互聯(lián)網(wǎng)絡(luò)無處不在的今天，組織基礎(chǔ)結(jié)構(gòu)所面臨的風險和管理挑戰(zhàn)多種多樣，安全管理的量化與考量已經(jīng)逐漸成為了IT部門所關(guān)注的焦點之一。作為全球最大的平臺廠商，微軟公司在推出它們安全解決方案Forefront的同時，他們也提出了Core IO方法論來指導優(yōu)化企業(yè)IT核心基礎(chǔ)架構(gòu)，我們就以該解決方案為例，來探討一下如何提升企業(yè)安全管理水平來滿足日益增長的商業(yè)運營需要。

什么是CoreIO?

CoreIO是基于Gartner Group的“Reao-Time IT Infrastructure”和MIT的“Architecture Maturity Model”理論為基礎(chǔ)所提出的方法論，在該理論框架中，它把企業(yè)IT基礎(chǔ)架構(gòu)依照企業(yè)核心商務需求的應變能力。分成了四個成熟階段：

基本型(Basic)：問題驅(qū)動，IT基礎(chǔ)架構(gòu)依賴隨性／手動的管理，以“避免宕機”為目標，IT部門被認作是企業(yè)中的成本中心(Cost Center)，安全全憑“運氣”。

標準化(Standard5ze)：IT基礎(chǔ)架構(gòu)受到基本的管理并會有少量的自動化管理。特點是有一致的IT流程，以維護運營為目標，但仍屬于被動式的管理，IT部門被認為是有效率的成本中心(EfficientCost Center)。

合理化(Rationalized)。IT基礎(chǔ)架構(gòu)受到統(tǒng)一，大量自動化的管理，其特點是主動式的管理，可達到服務監(jiān)控并擁有預見性，IT運營以服務質(zhì)量為導向。IT部門被認為是幫助公司賺錢的單位(Business Ensboer)。

動態(tài)成長(Dynamic)。IT基礎(chǔ)架構(gòu)實現(xiàn)完全自動化的管理，可彈性利用資源，其特點是優(yōu)化了成品與品質(zhì)，具有敏捷性，可自我評估并不斷改進，始終“領(lǐng)先一步”。IT已經(jīng)成為公司策略性的資產(chǎn)(Strategirc Asset)。

企業(yè)安全與CoreIO

從技術(shù)角度來看，CoreIO可以分為身份管理、客戶端生命周期管理、網(wǎng)絡(luò)安全與系統(tǒng)管理，數(shù)據(jù)保護與恢復維度，如圖1所示。

Forefront安全解決方案與CoreIO

微軟的Forefront安全解決方案產(chǎn)品線是一個可以和基于Windows平臺的IT基礎(chǔ)結(jié)構(gòu)緊密集成的解決方案，作為主要的客戶端安全產(chǎn)品Forefront Client Security除了可以和其它的Forefront產(chǎn)品，例如Forefront for Exchange和ISA 2006集成在一起之外，它還可以與微軟的IT基礎(chǔ)架構(gòu)管理平臺System Center系列產(chǎn)品和活動目錄(Active Directory)緊密集成在一起，如圖2所示。

不同CoreIo階段中的Forefront

Forefront解決方案具有三大特點：統(tǒng)一保護，簡化管理，關(guān)鍵內(nèi)容的查看與控制。Forefront以微軟全球安全研究與響應系統(tǒng)為后盾，它在惡意軟件研究團隊的支持下，能夠更快地發(fā)現(xiàn)和響應新的威脅。

對處于標準階段的企業(yè)來說，F(xiàn)orefront解決方案可以使管理員根據(jù)報告快速確定有哪些計算機和用戶暴露在惡意軟件之下，從而使IT管理人員可以花費更少的時間來管理突發(fā)事件，把更多的時間用于為商業(yè)運營提供新的服務。

即便對于那些已經(jīng)達到合理化階段的企業(yè)，它們?nèi)匀豢梢詮腇orefront對基礎(chǔ)結(jié)構(gòu)的優(yōu)化中受益。Forefront的深入防御特性結(jié)合了企業(yè)中部署的其它安全產(chǎn)品，例如Forefront Security for ExchangeServer，F(xiàn)orefront SecuritY for SharePoint，ISA Server 2006等等，它們?yōu)闃I(yè)務提供完整的企業(yè)級的安全框架。對于缺乏預先響應機制的企業(yè)，F(xiàn)orefront的Event FloodProtection機制可以在病毒暴發(fā)過程中為管理員和基礎(chǔ)架構(gòu)正確建立防護，從而能夠?qū)Π踩珕栴}做到預先、快速的響應。當企業(yè)中的移動用戶在位于企業(yè)網(wǎng)絡(luò)之外的區(qū)域時，他們會自動通過Microsoft Update及時收到簽名更新，使得用戶桌面環(huán)境在企業(yè)防火墻內(nèi)外都能夠得到一致的安全性和可靠性體驗。Forefront簡化的管理特性使得它能夠很輕易的集成到現(xiàn)有的基礎(chǔ)架構(gòu)中，它們對活動目錄組策略的優(yōu)化可用于配置安全代理并通過Windows ServerUpdate Services分發(fā)定義更新，這些成本效益在每個機器上都能夠得到體現(xiàn)。

更進一步

安全解決方案始終離不開操作系統(tǒng)一級的支持，F(xiàn)orefront也不例外，如果企業(yè)IT基礎(chǔ)結(jié)構(gòu)中采用了更加先進的桌面操作系統(tǒng)Windows Vista和WindowsServer2008服務器產(chǎn)品，那么在除了得到上述的優(yōu)點之外，他們還能夠借助新操作系統(tǒng)中內(nèi)置的網(wǎng)絡(luò)訪問保護(NAP)來限制未達到滿足公司安全狀態(tài)標準機器的網(wǎng)絡(luò)訪問，并會為給自動補救必要的更新以促使它們自動轉(zhuǎn)變?yōu)榉系陌踩珷顟B(tài)。對于企業(yè)現(xiàn)有的其它操作系統(tǒng)上的應用來說，借助0SA Server 2006以及其它微軟生態(tài)合作伙伴的相關(guān)產(chǎn)品，它們也能夠與企業(yè)IT安全基礎(chǔ)架構(gòu)簡單整合起來，從而達到一致的安全管理。