中国最大的信息化门户网络安全与信息化
2008年3月28日由微软(中国)有限公司和IT时代周刊主办的CIO信息安全圆桌会议于3月28日下午在北京召开。本次会议的主题是“ 网络安全于信息化”,搜讯网作为此次大会的直播媒体现场直播此次论坛。图为 在演讲
主持人汪宇:各位来宾、各位朋友,大家好!
我是《IT时代周刊》的汪宇,非常高兴能站在这里,与这么多朋友一起参加由微软(中国)有限公司和《IT时代周刊》联手举办的CIO信息安全圆桌会议。
在此,请允许我先介绍一下今天在百忙之中到场的各位嘉宾:中国计算机用户协会陈正清理事长,北京信息产业协会徐祖哲秘书长,《IT时代周刊》朱启明副总编辑,微软安全技术顾问牛可先生。
另外,本届会议还得到了网易、天极网、搜讯网、腾讯网、人民网、和讯网、硅谷动力、IT时代周刊网络版等诸多网络媒体的大力支持。
在此,我代表主办单位对所有与会的来宾表示感谢!感谢各位的到来!
随着全球经济和信息化的发展,企业的生存和发展面临着许多新的机会和挑战。企业的CIO和IT部门在推动商业变革中,将发挥越来越重要的作用。而近年来,企业信息安全问题日益凸显,每年由此造成的损失数以亿计,信息安全已被越来越多的企业和政府部门高度重视。
《IT时代周刊》是一本创刊已达8年的成熟商业媒体,在内容上定位于深刻解读信息时代的商业变革。除深度报道信息产业的重大新闻外,还报道金融、汽车、股市、零售等传统行业利用IT提升商业与管理的新闻。《IT时代周刊》一直致力成为厂商与企业用户交流的平台。
在这样的背景下,《IT时代周刊》携手微软(中国)有限公司联合举办此次“CIO信息安全圆桌会议”,深入探讨面对新型网络安全问题的应对措施,愈加显得有意义。下面,有请《IT时代周刊》副总编辑朱启明先生为本次会议致词。有请!
朱启明:各位领导、各位朋友,下午好!
今天,外面下了一点雨,很多的同事请来的朋友有的还在路上,没有到来。所以,这个会议临时往后推了一点时间。
刚才,主持人已经介绍了今天我们探讨的话题,叫做“信息安全”这样一个主题。那么,本来是我们的总编辑曹健先生过来致词的,他临时有了一点别的事情,委托我过来给大家做一个致词,我没有什么准备,因为昨天刚刚知道这个消息。
跟大家探讨网络安全这样一个主题感到非常荣幸,因为在坐的有来自企业一线的CIO,还有来自我们国家部门的领导,我们能够在这样一个高规格的会议上,把网络安全提到议事日程上来,我觉得非常必要。
下面,我就自己的理解,谈一下对于网络安全的看法。
很多的朋友或者是媒体,我们在交流的时候,往往问我们现在信息化建设的主题和遇到的问题主要有哪些?我们谈到的时候,都说信息安全是非常重要的。把信息安全作为一个非常重要的信息化建设这样的主题提出来,因为信息安全我们认为是信息化建设的基础,是信息化建设的保障。如果单单从产品技术的角度看信息安全,我觉得有点片面,因为它应该上升到一个政府、国家、管理部门管理者的认识问题。
从某种角度上来讲,往大了讲是一个经济问题,甚至是政治问题,也是一个安全问题。所以,信息安全关系着国家的信息化建设、行业信息化建设、政府信息化建设,甚至是企业信息化建设的关键环节。它直接关系到我们信息化项目建设的成功与否。今天《IT时代周刊》和微软(中国)有限公司共同举办CIO信息安全圆桌论坛,我认为非常及时。
本届论坛的针对性很强,主要围绕着企业的CIO和信息安全应用,围绕安全解决方案展开讨论。主要解决当前信息安全市场的热点、难点、疑点问题。
本届论坛我们朝着高效务实的方向讨论,我们知道微软公司在信息安全领域取得了很多的成就,长期以来微软公司在企业信息化、安全方面做了大量的投入和工作,本届论坛我们可以听到来自微软安全技术方面的专家给我们做的一些讲解,一起分享微软在安全方面的解决之道。
同时,今天参会的绝大多数的代表,是来自企业一线的CIO,他们对于信息安全的理解和应用是非常深刻的,他们也积累了很多这方面的经验和方法。今天,请他们来参会主要有三个目的。第一个是分享他们的一些经验,第二个是解决他们在信息安全方面的一些问题,第三个是探讨信息安全产业的发展结构趋势。
从产业的角度、从管理的角度、从产品技术的角度、从应用的角度,多方面探讨安全与信息化发展问题。希望今天到会的朋友,能够悉心交流、有所收获、有所启发。
2008年我国的信息安全市场,我的理解是可以得到更快的发展。因为有关资料表明,07年的第四季度,中国仅仅网络安全市场的规模达到了18.44亿元人民币,这个规模是很大的。相比去年同期增长39.7%,这是有关的调研数据。但是从发展来看,我的理解,我国的信息安全市场,仍然将出现以下4种趋势,这是我个人的一个分析。于是,政府将会高度重视信息安全市场。
目前,政府出台的信息安全等级保护管理办法,就是政府带头促进信息化安全应用的一个重要举措。
第二点,中小企业信息化安全领域,将是未来企业IT投资和应用的一个重点。中小企业将从原先单纯的硬件安全产品的投入,将转变到以整体系统安全解决方案这个方向上来,这是一个趋势。而不是过去的我仅仅买一个安全产品,包括防火墙等等,而是以防火墙为核心的软、硬件的一体化方面上来。
第三点,“十一五”期间的信息化将得到迅速的发展,但是这里面会体现一个问题,就是过的制造业企业,将从单纯地强调ERP为代表的单元管理信息系统,转变到以网络存储、网络安全、管理软件综合的信息系统应用上来。这是一个多系统应用并存的崭新时代。
第四点,金融、电信等服务行业,信息系统也在面临着数据的升级和改造,那么服务业的二次技术革命,我认为很快到来。同时,我们现在正在谈的奥运会,大家很关注安全,奥运信息系统建设、奥运场馆信息系统建设,这些都突出了一个安全的主题,这是一个泛安全的概念。
所以,今天做这样一个讨论,做这样一个主题的研讨,我觉得跟大家做这样一个分享是非常有必要的。
今天,我们举办CIO信息安全论坛,是想通过类似这样的安全主题的论坛,通过在坐的各位朋友的努力,把信息安全这个概念向深处去推广,让它更快地普及起来。让我们的企业、我们每个人在信息化当中得到一些实惠。
在接下来的时间里,希望各位交流愉快,最后,提前预祝本届论坛取得圆满成功,谢谢大家!
主持人汪宇:非常感谢朱启明副总编辑,下面我们进入下一个环节,倾听信息化专家对于信息化安全的讲解。
首先,我们请出的专家是曾任国务院电子信息系统推广应用办公室副主任、电子工业部计算机与信息化推进司副司长、信息产业部电子信息中心主任,现任中国计算机用户协会理事长的陈正清先生,下面有请陈正清理事长。
陈正清:尊敬的会议主席朱启明副总编,女士们、先生们,下午好!
今天,应《IT时代周刊》和微软公司组织的这个会议的会晤组的邀请,我也感到很荣幸,能够参加这样的一次圆桌会议。
那么,我代表中国计算机用户协会,预祝这次会议取得圆满成功!
今天下着雨,这是春雨,都说“春雨贵如油”,大家都是不怕雨到这里来,我自己也和大家的心情一样,就是对网络安全、信息化这样一个热点的话题,在我的脑中一直在回荡,我和大家一样非常关心这个事情。
今天,本来朱总编允许我偷懒,不在会议上发言,因为我的确很忙,没有做准备,所以随便讲几句,讲得不对的,因为在坐的都是行家,可以批评指正。
我主要讲6点我自己对于信息化安全的体会。
第一个,信息安全是信息化的命脉。也许大家会说你提得太高了,我是怎么认识的呢?就是我们从事信息化的同仁都感到,这是一个实际的情况、现实的情况,我计算机的病毒、网络攻击、垃圾邮件、系统漏洞、网络虚假有害的信息和网络违法的现象等等等等,经常影响到信息化事业的安全。
我们中国有句俗话叫做“千里之堤溃于一穴”。我们国家的信息化领导小组特别强调,要高度重视信息化安全体系的建设,并且要求我们一手抓信息化,一手抓网络信息安全,两手都要硬。我们要在安全中发展,要在发展中确保安全。所以,信息化中信息安全是一个命脉,一旦出现了问题,信息化就要崩溃。就像我们的大堤一样,我们南方经常防汛,发现大堤是一个豆腐渣工程。我们的信息化也是一样的,一旦遇到了问题就要毁了。
第二点,我的认识是,信息安全已经是国家安全的组成部分。中共中央曾经开过十六届四中全会,会议做了一个决定,加强党的执政能力建设的决定。在这个文件里面有一段非常重要的话,“要坚决防范和打击各种敌对势力的渗透,颠覆分裂活动,有效防范应对来自国际经济各种风险,确保国家的政治安全、经济安全、文化安全和信息安全”。党中央站在这样的高度,把信息安全和政治安全、经济安全、文化安全并列,作为我们国家四大安全内容之一。可见,信息安全是何等重要,绝不能掉以轻心。
关于信息安全工作,信息安全体系的建设,既然是那么重要,是不是所有的问题都是一律对待?都是一样的重要?重要性是一样的呢?不是的,应该说信息安全工作的抓法,信息安全系统的建设中,一定要分等级确保重点。中央和国务院曾经在06年5月8日发布了一个06年到2020年的国家信息化的战略,这个文件报上公布过,大家估计从事信息化的同志都会去寻找里面的内容,哪些和我们有关。
里面有一段文章指出,建立和完善信息化的等级保护制度,重点保护基础信息网络和关系到国家安全、经济命脉、社会稳定的重要信息系统。说它很重要,这是非常重要的,应该说是在我们确立的等级保护里面级别最高,因为它一出现问题,整个的信息化工作就要受到很大的影响。所以,中央和国务院把信息化的工作,信息安全的体系提出了分等级的保护,提出了5个等级管理的政策概念。也就是说,在信息系统建设中,比如说第一级、第二级是涉及一般的信息系统,不涉及国家安全的,是我们定为一般的。
等级保护是以制度方式来确保保护对象的重要程度和要求的,它必须有风险评估、应急处理、灾难恢复等前后衔接融为一体,才能确保信息安全体系的正确的、安全的运行。
第四点,信息安全问题的解决,要依靠技术的发展。关于技术是比较广泛的概念,有IT技术,比如说这个杂志,《IT时代周刊》特别强调,这是很重要的技术。
那么,信息系统的安全,在很大程度上要依靠信息技术的成果,同时还要依靠研发先进的信息安全的技术,来不断地完善,来保证这个体系的万无一失。关于技术很多了,因为今天有很多的专家在这里,我就不详细地展开谈这方面的事情。
就是一个概念,信息系统安全是要依靠技术,而且这个技术是发展的技术,通用技术中特别强调了信息安全的技术。
第五点,信息安全体系的建设,我们还是要认真地贯彻科学发展观。我这个讲的不是套话,我自己的认识,因为发展观非常强调第一要务的发展核心是以人为本,根本的要求是全面协调可持续,根本的方法是统筹兼顾。因为我们的信息系统是一个复杂的系统、开放的系统,需要用系统科学的方法来加以分析和讨论。人作为这个系统的创造者、使用者和管理者,同时,也可能是这个系统的破坏者和攻击者。国外的资料和我们国内的资料都一致说明这样一个问题,信息系统的安全问题,70%、80%是出自于内部,或者是操作人员未经许可,或者是操作人员的知识水平不够,无知操作错误,或者是有人利用内部进行内外勾结的破坏。所以,以人为本的概念,应该说我们系统的建设要依靠人,同时系统的管理也要依靠人,要对这些管理者提高技术、提高认识水平、提高责任心等几个方面同时进行。这就是贯彻我们的科学发展观,以人为本。
我们要重视人的作用,包括提高全民的信息化知识水平和防范意识。要培养信息安全建设的人才,要强化直接从事信息产业、信息服务业,当然我们说信息安全体系建设的教育,这是很重要的。这个教育有技术教育、职业道德教育,还有法律教育。不知道大家注意到这一点没有,最近几年我们的煤矿安全事故经常出现。有一次我在报上出现,就是我们安全小组的负责人发现在山西这个煤矿是非常好的,它的预警系统也是非常完备的,但是晚上值班的时候人睡大觉了,出现了问题没有人管理,这就是人的问题。你掌握了技术,你要有职业道德,还要有法律意识,这些方面需要几管齐下。
信息安全也是一样的,你掌握了技术,但是我们说你可以操纵它,可以为大家服务,但是你也可以破坏它。我们说防病毒者也可以制造病毒,这都是人为的,所以这需要双方面都去做。
最后一点,信息安全系统建设要落到实处,要见效果,不要搞面子工程、献礼工程、形象工程。我们要做一个是一个,对国家有益、对企业有益、对大家都有益。
谢谢大家,讲得不好请大家批评。
主持人汪宇:非常感谢陈理事长的精彩发言。
下面,我们要请出的这位专家,他也是信息化方面非常非常知名的专家。不同的企业尽管存在着文化背景和经营模式诸多的差异,但是信息化方面却是有着相同的共性。下面这位专家他著述近1000万字,近年来一直关注电信增值服务、城市交通信息化、信息资源、应急信息系统与减灾等方面。他就是北京信息产业协会徐祖哲秘书长,有请!
徐祖哲:谢谢主持人的美言,没有那么高的深度。
各位来宾、各位企业家,大家好!
刚才陈理事长讲了一下信息安全,从它的架构、理论,特别是技术。这个会议因为时间比较短,我虽然做了一个PPT是以前别的稿子参考了其中的照片,我是想从另外一个角度,是从E安全,就是电子信息的大安全来讨论网络安全与信息化。
为什么呢?我感觉没有E安全,就是信息化就会出现诸多的问题。这一块我觉得轨道交通已经体现了信息化的融合,现在它的预告整个都非常好。
这是上海,马上北京也要装了,我认为,第一个智能交通就是咱们信息化在各个方面都体现了城市文明。特别是这个交通,通过北京的上千万人的刷卡,对于信息化是一个极大地推动。原来有的人认为,咱们的公交秩序不好,是不可能信息化的,但是从另外一个角度说,因为你有了信息化,可以推行首都文明。我和首都的文明办探讨了很多次,咱们的信息化和精神文明进步融合在一块,对于整个社会是一个极大地提升。虽然刷卡不能解决城市文明问题,但是在信息化方面体现出来了。
这个是因为有了信息化,提高了出行效率。这是咱们公交政策体现的改变,是刷卡可以优惠,这样可以减少收费的涨价。
这个是信息化体现了交通建设,这个图是我借用的,就是当地铁发生事故停运的时候,它用手机拍照传出来,这也是安全里面另外一个,一个是咱们自己有安全系统,个人很快安全的情况也可以传播出来。
这是民航,这是一个重点。这是用身份证自己取登机牌,在重庆已经应用了。
现在很多的媒体讨论,说需要实名制,但是我认为是做不到的,因为它需要人工核对,这是不可能的。我把它看作是电子车票、电子博物馆的预约票。我把这个看作是全社会的安全与对抗的大演练,我们的信息化部或者是各个部门来共同配合。
虽然我们的二代证已经发了,但是在很大的领域还是人工使用,并没有拿到信息化来使用。比如说铁路说,要把电子火车票,你在网上买票,票吐出来。现在等于是把售票机拿远了,是定时定点,载货车开的时候,登车牌就出来,这样大量的倒票就没有了,就不用出动警察等等。这是因为有了信息化,才能够做到定时定点的出票,这个时候火车票出来,你是没法捣乱了。如果票是在天上走的,地面上的人无法干预,但是最后有网络攻击,那是另外一个事情。
还有数字博物馆,虽然已经提出很多年了,但是大大前天,《北京晚报》的二版,列出了几十个电话,怎么样参观博物馆。但是,现在这个信息化的程度不够,所以我正和博物馆还有文物局的同事在讨论。
这个是拿北京的交通来说,如果是一卡到底,全程封闭,那么东直门和西直门就不会坐错车了。现在上海的领导都说做错了,因为他们把注意力分在刷卡机,都想多赚20多块钱。如果是想到了信息化的话,就不会弄这么多的栏杆。现在西直门正在大规模的改建,但是没有声张,他想做完了再说,地下也挖通了,地上也做了大斜坡了,这是整个的安全是配套的。
技术和设备的进步,不代表系统思想的进步,我们现在很多的手机都代替了过去的铜线,但是思想没有进步,这样很容易出现问题。所以,现在长三角一卡通充不了,搞了一个星期试点,上海和杭州没有一个人刷。北京搞了一个市政与公交的一卡通,但是有很多的问题。大家说身份证不可靠,甚至银行的刷卡都是不可靠的。所以,信息化要让产业部门接受,而不是光在IT圈里。
这一块要讲一下信息化的三个阶段。我认为信息化的三个阶段是技术推动、系统推动和资源推动。技术推动不说了,有了网络以后是系统推动也不说了,关键是现在有了技术和系统之后要整合。
这是二战的时候,英国防空指挥部,把雷达、电话搁在一块。下面图板上有人标飞机的双方的位置,将军在上面指挥。这张更清楚了,上面是将军,下面是战争的大屏。现在我们的信息化越来越复杂,很多的同志只重视技术模块,忘的这个体系战略,这个是干什么用的了。现在英国的实力比德国弱,但是有了信息化来支持,就胜利了。所以,这个一层一层下来,有女兵在那里摆图板,将军在那里指挥,这个就是信息化,对于企业来说就是生产力。所以,我认为每一个搞IT、网络、生产的人都要知道,刚才陈理事长讲,以前很多的东西都老了,但是这个东西是不过时的,它的思想是战略对抗的思想。英国建了6个这样的指挥部,有5个被德国人轰炸了,最后剩下一个坚持到胜利。
这是咱们的中国第一台晶体管计算机,这出来的时候就有很多的安全指令,但是我们现在搞了几十年的公交刷卡,整个没有核查软件。当时北京说要做,结果北京的规划就失误了,几百万投下来建了厂子。我们要知道为什么当时是一次成功没有返工把东西搞出来的,这是整个体系一下子做下来的。
这是电信运营支持大平台解决了安全的问题,大家知道电信的整个平台是做得非常好的,其中也包括了安全。
最后,就是以客户为中心,目前牵扯到两个大问题,一个就是滥用短信。大家看到了,我们政府虽然做了很多的工作,但是在一些末端上忽略了,发现短信现在没有法律约束。还有一些是滥用个人的权利,人大的一些同志不了解,只是说通信自由。但是,如果你把你的号码写到公共场所上面去了,你的隐私就失去了保护了,所以应该予以约束。所以,我们的号码关掉了5万个。你是有通信自由,但是你自己拿出来放到公共场所了,那么你的自由就失去了,你的通信权就要受到约束。
最后,提了具体的信息安全。信息安全实际上我认为体现出来的是信息化与人的和谐,而且要重视的是安全对抗,并不是防火墙、杀毒就完了。
这是兰州打折卖一卡通,数量有限这一句话就造成了大量的拥挤。包括广州也在总结,好不容易把人疏通掉一部分,铁路宣布能把大家送回家,所以毫无准备的很多人过来了。包括艳照门的事件也是一样的,如果不做信息化,就要出大问题。
这是刷卡机失灵了,售票员在打电话,所以信息安全会影响到咱们的生产安全。原因在哪呢?我们公交的体系,没有对于刷卡数据的监控,就是说几万个刷卡机没有人管,到了一定的时候总要失误,那么失灵就会受干扰。你不能把数据挖出来,你不能派人定点定车检查,而是出了问题像这样。所以,你没有大安全的战略,就提不出具体的要求,那么你IT人有无法为这个企业服务。包括煤矿的生产安全或者是网络安全里面很大的问题,因为我不知道你要干什么。
最后一张,这是很出名的广告鸽,大家都知道两只鸽子。我找的照片是上交的原照,发现这个照片的时间是2005年的2月23日下午5点半,在哈尔滨2月23日不可能是这个天气。文化人可以从色彩等等的来判断,但是如果是技术人员,就要切开两个鸽子,如果我找到了500个或者是200个比特,我就知道它造假。所以,我们搞IT的一定要管理部门和企业衔接,这样就可以做好服务,避免发生问题,使得我们的信息化能够安全有效地得到效益地来利用,也就是说为整个社会的和谐服务。
所以,最后一句话就是“希望咱们的媒体在今后宣传的时候,要从安全发展的大战略出发,而不要单纯片面地宣传以秒计费,或者是实名制上火车等等”。这些是根本做不到的,做不到的就不要去做,而是要从正确的方面把信息化做好。谢谢大家!
主持人汪宇:感谢徐秘书长的精彩发言。
接下来我们要请出的嘉宾,他是来自微软安全技术顾问牛可先生,我们一起听一下他对于《IT基础架构优化,提升企业IT价值》,以及他同我们分享企业成功实施IT基础架构解决方案的案例。
牛可:非常高兴可以和媒体朋友还有在坐的一些企业的CIO、专家一起探讨企业信息化方面的一些案例。
下面,我主要代表微软公司向在坐的各位,来介绍一下微软在IT,还有企业信息化,还有安全方面一些大的战略的考虑,还有在信息安全方面所做的工作,以及他在这个基础上推出的一系列针对企业应用的产品。
我首先给大家讲一下关于IT基础架构优化,来提升企业IT价值的主题。首先,我为什么不谈安全?因为微软在企业信息化的过程中,他首先考虑到的是一个大的战略的方向。那么,在这个大的战略方向和蓝图之中,其中就包括了对于信息安全的这样一个理念。所以,我首先给各位介绍一下关于企业的IT基础结构的优化,是如何提升企业IT价值这样一个主题。
那么,我是牛可,是微软的安全技术专家,也是安全技术方面的一个顾问。
因为咱们今天这个主题是圆桌会议,既然是圆桌会议,我希望各位可以跟我一道进行广泛的交流和讨论,这样才更像是圆桌的讨论,如果有问题,欢迎大家随时提出您的见解和问题,我们一起探讨。
刚才陈先生也提到了,人是我们企业信息化里面最关键的一部分。所以,微软在信息化里面提倡的核心价值观就是“人员驱动企业成功”。那么在这个基础之上,我们微软作为提供技术、产品、服务,主要的目的就是为了协助企业中的人员发挥更大的作用,为企业创造更大的价值。
那么在这个基础上,我们主要是通过4个方面或者是4项承诺来实现这样一个过程的。
第一个,就是通过微软所提供的软件服务,还有一些技术来实现管理极其复杂的企业IT环境,而实现敏捷性的管理,能够把企业的IT信息化能够有效地管理起来。
第二个,就是要去发挥员工的能动性,让员工能够充分发挥自己的潜能,然后为企业带来价值。同时,再用IT把它成为一个企业竞争力的资产,不是成为成本而是资产,从而在IT这个行业的竞争中,能够获取到相应地优势。
最后,在安全方面,能够确保按照我们的需求来控制住信息,控制住各种来自网络或者是各个层面的接入。那么这是微软人员驱动企业成功核心的理念。
那么在这个理论基础上,为什么微软这样提?其实在前年的大、中、小企业的调查中发现,企业在IT软硬件的成本投入比较大,那么随着企业的信息化,软、硬件的投入下降。相反,管理和支持运营的成本在上升,而且这个上升的趋势很明显。那么,我们这里有一个近期的统计,就是说来自于各个企业的资产投入中,IT这方面花的钱里面,很多的预算是用来做运维的。也就是说,运维这方面的投入会占到70%,而其他的像新业务、新环境的构建,只占了30%。所以说,我们现在在进行预算的优化,还有降低成本方面,主要是运维方面花一些力气去做。
也就是说我们的IT管理的战略目标是4个,第一个是提高管理效率,第二个是降低维护费用,因为我们70%的投入是在运维方面,如果把运维提高上去,那么就可以降低IT的投入,可以把更多的资金放在新业务的投入方面。第三个是确保业务系统的高可用性,因为IT在我们的企业当中已经成为非常关键的基础平台的服务,那么它的可用性会直接影响到我们业务方面的影响。最后,我们是按照相应地法律法规进行标准日常的管理,因为我们必须有合适的流程、合适的制度来使得我们企业的运维满足法律法规以及企业管理这样的一些需要。
微软是作为一个平台服务的提供商,而不是做最终的服务,为我们的合作伙伴和很多的厂商服务。那么,微软对于各个企业环境做了大量的分析以后,他们发现不管这个企业是哪种类型的行业,可能是一个大型的制造业,可能是一个服务行业,也可能是一个其他类型的行业。但是,他们在IT架构方面有一些信息是共通的,是什么呢?比如说,你的IT系统里面肯定有相应地服务器、网络设施、服务。那么,这些东西就成为了我们所提到的核心的概念,叫做“IT信息的基础架构”。也就是说你的企业可能从事的行业不同,您利用IT技术达到的目的不一样,但是他们有共通的基础设施,这种基础设施我们称为“IT信息的基础架构。
那么微软做了大量的分析之后,把它划分为三个领域。第一个叫做核心的基础结构。
所谓的核心基础结构,就是说我们的网络设施,在这个网络设施上提供的基础服务,比如说身份认证的服务,还有基本的安全的服务,还有安全架构的实现。那么,这些东西不管在哪个企业都是拥有的,那么这个部分我们称为“核心的基础架构”。
第二个叫做应用平台架构。应用平台架构就是指,我们很多的企业应用虽然目标不一样,有的是做智能分析的,有的是做MIS系统,但是他们都有一个应用平台,它们是用相通过的基础来做的,所以我们称为应用平台架构。
第三个是企业生产架构,那么各个企业都有自己的应用系统和消息方案等等,那么这些都是企业的基础设施,那么我们称之为生产力基础架构。既然这个基础架构在每个企业当中都拥有,那么我们为什么不能进行更加合理的规划?我们像盖一个大楼一样,不管是盖十层、二十层,我们都有相应地地基。那么,我们为什么不考虑把这些设施各基础的构建,把它更加优化,来提升企业的信息运营能力呢?这就是为提出的理念,叫做“IT的基础结构优化”。
我们今天跟各位谈的主题是信息安全,其实信息安全在我们这样一个基础结构优化的模型里面,是位于核心基础结构里面的。那么在核心基础结构里面,一方面包含了网络设施的安全,还包含了安全、管理这两个层面。
下面,我想给各位介绍的,就是围绕着我们核心基础优化这样的理念展开的。这个就是我们刚才提到的,不管你的企业是哪种类型,然后他的结构是怎么样的,他有什么样的应用,但是他的底层的架构是相同的。那么,就是说它有一个相应地基础架构层,来完成一些通常的或者是公共的IT的信息服务。
那么,总之来说,作为我们一个企业的信息的主管,经常会考虑的问题,那么就是有一些所面临的IT构建方面的挑战。那么,这个可能咱们比较熟悉,一方面就是说我们怎么样去简化这种基础架构,同时在这种基础架构的投入、运营方面,能够降低成本和IT系统的复杂性。另外,还有怎么样提高安全性,尤其是现在关于安全性的认识也越来越高了。
如果像刚才谈到的一样,在企业IT的资金投入里面,如果能够将70%的运维的成本进行降低,这样可以极大地去提高我们企业在新业务方面投入的比重,同时也可以降低IT运维的管理的开销。那么,这样的话,我们就可以形成一个比较理想的IT建设的资产的投入。那么,这个我们认为的比较理想的这样一个资产的投入,是45%的新业务投入和55%的现有IT运营的投入。那么,这个数据并不是来自微软想出来的,这个数据是微软和合作伙伴还有调查机构做了大量的调查,和很多的企业CIO共同探讨以后,得出了这样一个大致的公司IT投入比例的划分,这个大家可以做一个参考。
可能有的企业里面的信息主管在考虑这个问题的时候觉得还可以,我们投入新业务也是花了很大的价钱,在运维成本方面花的可能比较少。但是随着我们的应用系统的复杂程度提高,还有核心的成本的提高,那么运维的成本就会提高。那么,我们要考虑怎么样把IT基础架构提升,来考虑降低运维成本。
那么根据微软的调查和大量的分析以后,提出了自己的方法论,我们叫做“基础架构优化模型”。那么,在坐的诸位CIO可能在以前也了解过这样的信息。就是说,它将企业IT的成熟度划成了4个纵向的阶段。这就是我们在幻灯片上提出的基本、标准化、合理化、动态这4个阶段,您的企业肯定位于这4个阶段中的一个环节。
据我们了解,中国的中小企业,都是位于基本的这个阶段的初期,这是IT是企业的成本中心,很多的企业老总对于CIO说,你们一年花我们这么多钱,带来了什么收益?而且我们感觉IT运营得不是很顺畅,老是有各种各样的问题,有什么问题解决什么问题,总是处于应对的状态之中。这是为什么?因为我们的企业IT是处于比较基本的状态,是原始的状态,所以我们需要一个IT的基础架构,来实现对于企业IT的管理。
那么我们做了一些工作之后,我们可以让企业达到一个标准化的阶段。那么我们企业IT的设施是属于一个成本中心,但是它更加高效了,我的效率比成本中心高一些,但是它仍然是作为企业的一些成本。这个时候,我可能在企业的内部已经布置了一些基础架构,比如说成本控制等等的方面,但是它仍然需要大量的管理的投入和运维的投入。
那么第三个阶段我们叫做合理化阶段,我的IT不再是成本了,而是业务的助推器,它能够帮助业务有很大尺度的增长。在这个方面,我们有管理的架构,而且可以实现最大程度的自动化。但是,我们最终的目标就是实现动态的阶段。所谓的动态阶段,就是我们可以和竞争对手实现竞争。我们的IT可以根据我们业务的变化动态地进行调整,可以自动地适应我们业务的需求。这就是我们最终的结构,实现动态的IT管理。
所以,我们目前对于企业的信息化的理解,是将处在不同阶段的IT,最终可以达到我们动态的IT,这就是我们IT基础架构优化的模型。那么微软在做很多的事情,他们在推出某一项技术、产品的时候,都是围绕着这样的基础的方法论和战略去考虑的。如果我们需要把这个模型推向更高层次,那么我们需要把IT的架构推向更高一个阶段。
那么各位可以看一下自己的企业处于哪个阶段,然后在考虑用什么方法进行自己IT基础架构的提升。
那么,微软基于这样的基础结构的模型,提出了IT基础架构优化的具体的实施建议。最根本的就是三个原则,第一个是人,第二个是流程,第三个是技术。也就是说,我们去掌握这三个环节,就能将我们IT企业的架构和IT服务水平进行相应地提升,从人、流程、技术这三个方面去进行管理和控制。
首先,作为企业来讲,我们要确定我们在基础模型架构里面的位置,然后再确定我们具体的去向。比如说我这个企业做完了评估以后,发现我企业IT的阶段处于标准化的阶段,就是我有相应地制度、方法论,但是效率并不是特别高,而且是一个成本中心的概念,每年要花费企业大量的投入。那么,我下一个阶段的目标就是合理化,运用充分的流程和业务,来实现IT的合理化,使得IT的架构上一个台阶。
那么,我们根据人、流程、技术来实施优化,让我的人怎么使用这个机构,然后来提升我的流程,最后利用技术来提升IT的生产力。这是具体的方法需要考虑的三个横向的层面。
那么,在流程增强方面,微软有他的一些方法论。那么我想,在坐的CIO都是大企业主管信息的专家,那么对于ITIL也是很熟悉的,那么微软有自己的操作框架叫做MOF,这是结合了微软的合作伙伴,还有ITIL最佳的实践,还有在现实中有价值的东西,组织成了一个运营的方法论。那么,通过MOF和ITIL让我们企业的流程和管理更加有效地实施。并且,微软在很多产品和技术的层面,也将这两种流程和管理方面最佳的实践融入到了其中。这个我们在后面会在谈到微软公司的产品的时候,也会向各位进行介绍。
那么,在这里我们来看一下,对于一个企业的基础架构来讲,因为我们今天在谈安全,安全是属于核心基础架构的一个部分,而管理是属于另一个范畴,就是同样属于核心基础架构的另一个方面。那么,我们看在核心基础架构在进行管理的时候,微软提出了一个方法论,就是通过这种方法论,在不同的IT的基础设施的这样一个建设层面,怎么样去完成从基本阶段,一直到动态化的IT管理和IT服务的实现。
那么在核心基础结构优化的模型里面,我们首先从纵向来分析,就是说一个企业里面的IT,其实是需要很多的环境的,而且需要很多的基础服务。那么,这种基础服务和基础架构,就包括了身份与访问控制的管理,比如说你在企业中实现安全、管理,必须有一套身份的验证机制和验证的管理的方式。第二个,就是您要对企业中大量存在的桌面系统进行管理。第三个,就是安全和网络,怎么样控制网络的接入,实现在网络中信息传输的安全,以及信息本身保护的安全措施。另外,就是关于数据保护和恢复,以及终端的流程管理的实现。
那么我们在每一个层面都提供了方法论,可以让大家参考。比如说基本阶段,我对于企业是不具备统一身份认证的设施,那么我们可以通过构建像微软的目录这种机制,来实现对于标准化的推进。那么在合理化阶段,我们可以将原有的基础架构,通过统一身份认证来实现。最后,动态化结构,我们可以让我们员工的自身的或者是安全的信息流程结合起来,形成一个动态化的过程。
当然了,在桌面管理大家可以看一下,可能基本阶段同样是缺乏有效地对于桌面端的控制。那么我们企业里面的各个用户,自己有一台台式机或者是笔记本电脑,他注意到了问题给IT打个电话。那么到了标准化阶段,我们有一定时期的补丁分发或者是桌面的管理方式,可以比较自动地完成HelpDesk的一些工作。那么在合理化方面是自动化的桌面资产生命管理,过了一段时间这个机器的措施系统、Office包括业务系统都准备好了,而且只需要用身份认证登录就可以了。而动态化阶段,就需要跟我们企业的流程结合起来。就刚才的例子来讲,假如一个新员工入职,如果这个员工的信息进入到我们的人力资源部里面,确定了他是哪个部门,那么这种情况下,相应地会启动一套后台的IT流程的实现。可能这个时候,在IT服务部门收到一个指令,为它分发一台新的笔记本电脑,然后在目录里面为它创建一个帐户,这个帐户有什么样的权限,然后在后台给它建立什么样的工作目录,然后在这个工作目录里面有一些业务的表单。
那么在安全与网络,你没有流程管理,也没有优化的措施,但是如果我们提升到标准化的阶段以后,需要企业内部建立一套一致和统一的用户的认证的平台和机制。那么,同时对于桌面的安全措施也有一些措施来防范,比如说企业级的安全防护系统。那么在合理化阶段,能够去更加有效地监视网络的安全,并且做到主动防御,一直到最后的环节,就是能够安全领域有一个全面整体企业安全状况了了解。
下面还有关于数据保护、恢复、终端管理流程,我就不做详细地讲解了。
如果具体的一些这样的设施,如果大家非常想了解微软提出的方法论,完全可以到微软的站点详细地了解一下。那么至于微软的站点在什么地方?就是www.Microsoft.com/IO就可以找到跟它相关的理念。
那么我们做基础架构的意义在什么地方呢?你作为一个企业的CIO,在企业信息系统建设之初,到现在做了大量的工作,可能引用了很多的应用系统,构建了很多的应用,但是回过头,您会发现这些信息系统里面有很多的冗余和相同的组件。比如说每个系统里面都有身份认证和权限管理的组件。那么我们上每一套系统的时候都有这个组件,一个是成本会增加,还有一个是做好统一的管理,会有很大的挑战。
如果我把相同的组件提取出来,进行统一的基础架构管理,我们会对未来实现很好的管理。从而,在效率和安全方面可以得到很大、很好的保证。
其实建设IT构的意义就在这个方面,一个是IT系统的安全建设有很大的提高。我以前在通信行业做一个项目的时候,发生这样一件事情,客服部门的一个用户很重要的信息,被散发出去了。同时,这个用户很重要的电话号码也被篡改了。那么这个事件发生以后,要进行追溯的时候发现很难,因为你不好找到在什么时间、什么地点是什么人做了这样一件事情。为什么呢?因为你的系统很多,你7、8个系统,你要查每个系统里面哪年哪月,什么人登录了,这很难。如果有一个审核的认证机制,就很容易控制。并且,在这个事件发生之前,很可能有一些统一的认证控制和权限控制的方法避免这个事件的发生。
还有提高IT的服务水平,可以做到可预计,而且我IT系统的运行状况以及我企业业务的现状可以展现,我可以随时随地地看到。再有,我所做的工作是可度量的,随时我可以拿到信息,还有我的运作等方面的一些数据。再就是在安全方面,可以去追溯。如果出现了一些事件,我要去进行审核的话,我可以拿到相关的这样一些信息。
这是我关于微软在IT基础结构优化这样一个方法论和这样一个战略方面,给大家做的一些介绍。可能我有些人会觉得这个有点空泛,那么这是它的方法论。那么在微软的技术和解决方案,还有产品方面都体现了这样一个核心的思想。
下面,我主要想和大家分享一下微软在IT基础架构解决方案方面的分享,主要为各位介绍一下微软在IT基础结构优化这个过程中,他所推出的技术、产品线,还有具体的产品和解决方案。
刚才我们提到了,关于安全它是和另外一个基础的IT基础服务是密切相关的,那么就是管理。首先,我们看一下管理方面的IT基础结构的核心产品。微软在管理这个大核心下提出了一个产品叫做System Center,它可以帮助企业实现复杂环境和大的IT基础结构的管理环境。
那么我们看一下到底什么是System Center,其实它是一个产品的系列,或者是一个产品的品牌。那么在这个产品的系列或者是品牌之下,所包含的都是跟IT基础架构管理密切相关的产品。我们可以看到,其中包含了有用于性能,还有可用性监控的这样一些服务。另外,还有软件更新以及补丁更新部署所实现的服务。还有数据存储与恢复的服务,还有IT知识、问题管理的服务,还有对于我们整个IT环境中新投入应用、新投入的基础设施的容量的要求进行评估的容量管理的服务。另外,还有IT报告,就是我们可以对当前IT运作的环境、运作的状态,能够随时随地地去了解它的信息,通过报告的方式展现的服务。另外,就是我们很关心的操作方面的管理的服务。我能够随时对于我企业中大量的客户端的计算机,或者是对于我们的服务器,进行时刻地配备和管理的时候用到的管理服务。一直到最后的IT服务的管理。
那么在未然的System Center里面包含了这么多跟IT基础架构管理相关的这么多的产品。那么,下面我简单介绍一下这里面相关的产品在企业中有好评的产品,给各位有一些推荐。
第一个叫做微软的Microsoft Operations Manager,这是对于我们服务的可用性,还有我们企业的运维做支持的产品。那么,它可以帮我们随时监控在我们企业环境中基础设施的状况。比如说我们的基础架构里面有很多的服务管理,还有很多的服务器,可能在一个数据中心有几百台、上千台的服务器,那么这几百台的服务器运营的状况怎么样,那么以前出现过什么问题,谁去处理的,花了多长的时间,那么我们都可以通过Aperations Manager来了解,我可以在一个地方了解我企业的基础架构里面发生的问题,而且在发生问题之前可以预见到问题的出现。同时,我也可以在问题出现以后准确地定位和分析。因为在这一块,它还有一个服务知识库的组件,可以帮助我们在出现问题之后快速地查阅类似问题的解决方案,然后快速地解决我们IT运行中的一些问题。
那么,这个产品是运维管理的,那么另外一个叫做Systems Management Server,那么它主要是做配置管理的。它可以帮助我们企业实现成千上万的企业客户端的管理。比如说在微软公司的客户端的数量是非常多的,计算机、服务器加客户端加起来有60万台,那么这些计算机的配置、分发、安全相关设置的推送,都是通过Systems Management Server来实现的,而且在全球有2万家的企业都使用这个产品。那么它为我们的变更管理提供了核心的服务。
那么这是微软的IT使用SMS的成功经验,部署了108000多个客户端,托管的服务器达到了5000多台,那么下面的数据大家可以看到,那么通过这些数据,微软的IT部门利用SMS可以精准地进行修补。就是可能某一个计算机上面缺少某一个补丁,这台计算机可能在北美、亚洲、中国,或者是中国的某一个地区,那么我怎么样进行快速地定位进行修补,那么SMS可以做到。那么这里有一些统计数据,大家可以做一些了解。
那么下面我们看一下这个叫做Data Protection Manager,这个是数据保护的软件。那么我们可以进行动态化的数据的快速备份和保护,它可以在线地进行数据快速备份,而且可以快速地进行在线的数据的恢复。那么它能够对于核心的数据和基础架构进行保护,还可以在发生灾难的时候进行快速地还原。
那么还有就是System Center Capacity Planner。那么在坐的CIO可能有一个困惑,我上一个应用的时候,我需要多大的磁盘、多少的带宽等等?那么你怎么估算这方面的需求呢?一方面凭以前的经验,一方面听厂商给你的讲解。那么现在有了容量规划器,我们可以利用它精准地估算我们在各个层面所需要的IT投入,以及投入的比例。一方面它可以根据我们的需求做调整,得出最佳的结果。就是说,可以帮助我们节省成本的同时,可以让我们企业新兴运营的系统,可以达到最大方面的优化。
最后,这个Reporting Manager就是专门出报表的。我同很多企业的管理人员或者CIO一起聊过。他说我们企业CIO做的最主要的事情是跟企业的董事会要钱,然后在我们的企业的IT上进行投入。那么你每年怎么获得这个投资额呢?你必须有一个说明,如果你有了Reporting Manager之后,我可以把一段时间内企业IT发生的事件做一个数字的报表,可以很明确地说明我IT设施运作的情况和发展的需求,以此作为基础的数据,能够证明我在IT方面投资的价值。所以,这个也是非常有利的服务。
那么,微软除了在大型企业和一些中型企业提供了单独的IT基础架构的管理设施之外,它还提供了什么呢?就是面向专门针对中小型企业的System Center Essentials,就是说我现在这个企业并不大,只有100多、200多的IT设施的终端。如果我以后起来了,我要用前面的设施,我需要花很多的费用,而且我必须有一定的IT管理操作经验的人员去实现管理。但是,现在有了Essentials,我对于250人以下的企业,也有了管理方案。
那么,最后是System Center “Service Desk”针对需求提出的产品,可以针对人员、流程、系统,实现IT自动化的流程。
那么关于微软System Center这个系列的产品的架构主题我就介绍这么多,因为我们今天是关于信息安全的,所以下面我们重点和大家探讨一下微软的Forefront的解决方案。
那么,Forefront是实现卓越的企业级安全管理的解决方案,下面的时间我将和大家进行探讨。
现在,我们作为企业主管来讲,企业中的安全的挑战是越来越大了,尤其是这两年发生了很多的安全事件,并且这些安全事件对于我们整个企业的信息带来了很大的冲击。那么,在这种情况下,我们会说,企业会面临很多来自内部和外部的威胁。包括幻灯片当中大家看到的,病毒、蠕虫、信息的丢失等等带来的一些重大的安全性的威胁。
那么,尤其这两年,我们知道的僵尸网络和Rootkit是流行比较广泛的,在当今的互联网上的僵尸网络,最大的数据是每天中毒的计算机就有25万台之多。所以,这些会给我们企业带来重大的安全问题。而且,随着信息的泄露,随着安全事件的发生,我们越来越注意到企业的安全信息是越来越重要的。
那么在这些事件当中,微软考虑出了一个安全的解决方案。微软提供一个优良的基础架构设计,那么微软每年在安全方面的研发投入是14亿美元左右,占到了他每年研发费用的1/3还多。所以,从资金的投入上,大家可以看到,微软在每年安全方面的重要性还有投资的比重。
第二个,除了提供安全的产品之外,微软还给使用他的产品或者是使用相关技术的这些客户、用户以及合作伙伴,去提供安全性的最佳实践,以及实现安全性的工具。如果大家了解微软的产品或者是技术多一些的话,可以经常收取到微软在安全方面提供安全最佳实践分析或者是白皮书。里面会告诉你怎么去配置安全、应用安全、确保安全。那么,这个就是他提供最佳实践咨询的资料,还会提供一些工具。比如说像微软的最佳安全实践分析器,你利用这个分析器,可以很容易了解你企业当中当前所有的客户端、服务器配置的情况。而且,它会给你一些建议,比如说你的计算机、服务器的配置是不安全的,不安全在哪里,他都会有一套机制帮助你解决。
当然了,在信息化的过程中,光靠微软的力量是远远不够的,所以微软在安全方面很大一部分的投入,还在于和众多的合作伙伴、安全机构、政府去营造一个安全的生态环境,去创建这样一个安全的生态环境,共同地去针对安全方面的一些危险,去做一些工作。所以,微软的安全策略就是在这三个方面,第一为用户提供安全的基础结构设计,还有提供安全的指导,还有和业界、政府共同来创造安全的信息环境。
其实,对于当前的企业来讲,信息安全的挑战也是比较巨大的,那么在这种情况下有一种需求。就是我们这个为了信息安全,我们可能上了很多的系统,比如说上了防火墙、VPN、IDS、身份验证、反病毒、垃圾邮件等等。那么,一下子光安全相关的就上了十几套或者是几十套的产品或者是技术解决方案。那么,这些解决方案到底容不容易去管理?那么它的效率如何?都会带来众多的问题。
那么,微软在IT环境的挑战日益加剧的情况下,它提出了一个理念,就是一定要构建一个全面、统一和简单地安全的解决方面。那么,这也是微软去推出Forefront的主旨和方案。
同时,在安全方面,微软还提出了一个策略,这个策略也是指导微软在安全实践过程中最基本的原则,那么就是纵深防御策略。在这个纵深防御策略里面,微软认为信息系统的安全是带有层次性的,就好像洋葱一样。那么在最外面的你必须首先有策略、过程,还有法律法规的约束。那么,这个就是我们叫做策略和通道的层次。首先,我们在企业当中有这样安全层的保护,然后让用户理解什么是安全,对于可能带来的安全的隐含怎么去预防。那么在这个层次方面就是物理的安全,那么对于物理的安全的防护,我们就要通过物理的方法去实现。那么我们可以通过很多的锁,那么再就是安全产品的周边,我们可以通过防护、锁定、追踪设备等等。那么,我们怎么样控制我们内部安全的冷遇和其他网络之间连接环境的边界网络的安全呢?我们可能采取相应地防火墙、隔离或者是VPN进行实现。
那么还有像内部网络方面出现的安全问题,我们需要用网络分段的方法,可能使用IPSec,还有NIDS等网络防护保护和网络隔离的技术,来实现不同等级计算机对于内部信息访问的控制。然后是主机的层面,就是每一台计算机和每一台服务器的层面,要通过操作系统的加固、身份系统的验证、服务相应地补丁、漏洞的修补,来实现主机的增强。另外,你的应用系统也是必须是安全的,那么你要通过各种方式来保证应用系统的健壮性,对于病毒的预防能力。最终,就是数据的安全,我们可以用各种基于数据的加密,或者是访问控制来保证数据的安全。
总之,在微软提供安全的产品和技术的时候,它始终遵循的原则就是纵深防御的策略。那么要实现安全,你就需要在每一个层面上做大量的工作,才可以保证我们信息的安全和信息环境的安全。
那么具体到安全方面的产品就是微软提出的Forefront,这是微软针对企业提出的安全解决方案。我们在会场的时候领到了一个资料袋,袋里面就包括了Forefront这个产品的一些信息,大家可能已经查阅了,那么我再做一个详尽的介绍。
Forefront面向企业的安全方面做了一个整体的解决方案,那么它面对企业的现状是从这么几个方面考虑问题的。
第一个是网络的边缘,就是我们各个网络连接的时候出现的安全问题,好多黑客的攻击、安全事件的发生,都是通过网络的边缘来渗透的。所以,网络的边缘成为我们继续关注的要点,那么怎么样保证网络边缘的安全,从而实现网络层面的安全,是通过相应地解决方案来实现的。
微软Forefront在这个产品系列里面,网络边缘的实现是通过一个叫做Acceleration Server2006年实现的。
第二个层面就是应用服务器的安全,这一点是大家理解比较深刻的。现在我们分析一下计算机病毒的爆发,那么它肯定是每台计算机都感染了,那么它怎么感染的?病毒的来源是什么?绝大部分都是通过电子邮件、即时消息,像MSN或者是QQ这样的消息,或者是企业内部的即时消息协作的服务。那么,还有就是共享,那么这个共享包括了网络的共享文件夹,或者是通过协作系统,或者是门户网络等等的方式来进行传播的。
所以,在这个环境中我们可以看到,对于一个企业来讲,他的应用服务系统,就是他的信息进行交汇的中枢,那么这个位置就是病毒最容易感染和发挥的核心位置。所以,我们在企业的安全防护的过程中,应用服务是最重要的层面,如果我们把这个层面的安全防范的工作做好,就可以很大地降低病毒、恶意软件在企业中爆发的可能性。
第三个层面就是客户端操作系统这样一个安全的领域。其实我们的安全方面,防病毒、防恶意软件的安全都是从桌面上做起的,一起到了企业的整体的安全解决方案。那么,微软在客户端的操作系统的安全也开发了客户端的安全的系统。
这是微软面向边缘网络、应用服务器、企业的客户操作系统这三个方面的解决方案。那么边缘是Acceleration Server来完成的,那么在中心是通过Forefront来解决的。
下面,具体给大家介绍一下这几个产品。
第一个是ISA Server,有的朋友可能听过这个产品,微软在这个方面做了很长的时间。这是什么意思呢?有的人认为是代理服务器,还有人认为是高级防火墙。其实不是这样的,它除了可以做代理服务器和高级防火墙以外,还可以做高速缓存,这个我们有一些实际的统计数据跟大家分享。我有开启缓存和没有开启缓存对于带宽的使用比例是1:4。如果我们使用这种机制以后,可以至少将原来的带宽节省1/4。
第二个,它还可以进行有效地应用发布,因为我们现在企业都有大量的资源和信息发布到网站上。那么像网站和信息都要发布到网站上,那么怎么样进行保护呢?比如说我们都是通过典型的HTTP的协议去走,其实传统的防火墙对于这种协议内容过滤的层次要低得多,但是ISA Server可以通过数据的代理或者是通过防火墙的时候,一些信息深层次的过滤,包括关键字或者是特征,你都可以通过访问过程中的一些规则,来进行严格的限制。
所以,ISA Server是集中了防火墙、VPN、高速缓存、内容过滤等等各种功能为一体的产品。
那么对于ISA Server经过了2年的发展,它有很多的应用,那么在这里我罗列了几个典型的应用。比如说Web的访问保护,那么我内部的员工要访问,那么我怎么样保护?这就是通过Web的访问保护。那么还有分支机构网关,那么我们有很多的子公司或者是分支机构,那么他们之间需要构建有效的分支网络。可以利用ISA Server在公司的总部,和分支办公室连接起来。一方面可以保证他们的连通性和安全,同时也可以利用比较有限的带宽。第三种就是安全的应用程序的发布,就是我们刚才提到的,如何将企业中的信息还有服务发布出去,但是同时要保证高度的安全性。这是在边缘网络上面,ISA Server典型的可以使用的场景。
接下来,看一下在服务器领域的特性,就是Forefront的产品。那么第一个我们称为高级的防护,就是它能够非常沿革地控制在企业流转信息里面所携带的安全信息的威胁,以及我们所能够控制的安全消息。第二个就是可用性和管理控制,必须要能够保证它在服务器上的可用性,而且能够按照我们企业的制度和管理要求去管理。再就是内容必须要进行严格地控制。像在企业中流转的时候,这个电子邮件很容易被员工转发到其他的公司去了。
最近我收到了一封叫做《比尔·盖茨》要给大家分钱了的邮件,那么在到我那里之前,已经通过了微软、IBM、HP等等的转发。那么,怎么样让员工避免把这样具有公司重要信息的邮件不经意地转发出去呢?我们就是要在内容系统、协作系统等等的方面进行保护。
那么我主要介绍一下高级防护方面的特性。那么在这里我只想说,在高级防护这个特性里面,这个产品是在邮件、协作、即时消息系统上的防病毒、防恶意软件的产品。那么,它最大的特性在于它的引擎非常强悍。那么Forefront Server Security这个防病毒产品里面,它里面的引擎不是微软一个厂商在战斗,里面包括了NORMAN、CA、SOPHOS等等的多达8个引擎在里面,所以可以确保这个信息到我的系统里面,我可以进行严格地扫描,所以可以确保安全。但是在同一台服务器上面只能开启5个,那么是不是8个里面只能用5个?其实不是的,因为对于稍大一点的企业来讲,有邮件的网关、客户端的服务器,那么你可以在不同的服务器上面开启不同的5组引擎,当邮件进入到您的互联网上,进入到客户端,然后客户从客户端把邮件拿走的时候,可以经过每一个环节的层层安全扫描,从而利用所有的引擎实现邮件的安全性还有高度信息的保护。
那么,为了说明多引擎防护的特点,我可以给大家说一个数据。去年有一个防病毒的组织进行了研究,这个数据里面把Forefront Server Security的任何5组引擎跟普通的引擎进行比较,你会发现,任何一个新病毒出现,只有两个病毒在24个小时之内是我们这个产品查得出来的。而针对其他的单引擎厂商,你会发现这个比例基本上是在10%左右。那么,从这个数据,我们可以看到,多引擎对于一个企业的邮件、协作、即时消息传输系统的重要性。
最后,我们再来看一下Forefront Client Security的体系。这是微软第一次进入了客户端的防病毒的体系,它可以做三个防护,这个防护不是我们一般意义上的病毒、木马、蠕虫,它除了可以查杀典型的病毒之外,还可以对于计算机的安全状况做一个分析,就是可以分析你计算机的配置情形,从而可以拿到你计算机的安全缺陷和漏洞所在。
另外,在管理方面也是比较便捷的。那么在微软公司,他就是在FCS的发布之前,其实就已经在整个公司内已经部署了。那么部署到现在,全球有23万台计算机,都已经安装了FSC这样一个防病毒和恶意软件的解决方案。那么,它的管理就是存在于在IT内部的几个人实现的,那么在全球的23万台计算机,几个人管理,就可以实现它管理的便捷性。
那么Forefront Client Security最大的特点就是可视性非常好。那么作为CIO也好,或者是其他的IT人员,你只要扫一眼报表,就知道整个企业的IT管理状况。就在几秒钟时间,就可以追溯到具体的计算机安全威胁,是在哪个环节引起的。所以,Forefront Client Security可以管理一个大型企业中的安全,以及整体的防病毒的策略。其实,微软是把众多厂商的引擎集成到了一起,形成了这个Forefront Client Security的引擎,除了这些优点之外,还包括了在企业级的应用、可视化、优化IT基础架构等等的特性。
最后,我们Forefront看一下的安全整体解决方案。就是使用微软的Forefront的安全者提解决方案,我们无论是在企业的出差环节,还是在家办公,还是在分支办公的人员,还是在网络的边缘、客户端等等,都可以对您进行安全的保护。
当然了,对于微软来讲,并不是提供了安全的系列产品,那么他的安全责任就尽到了。那么微软在现有的Forefront安全产品的基础上,还在很多的平台中,提供了更多的帮助企业用户去实现安全的技术和机制。比如说在Windows,还有Vista之后提供了安全模式的保护,还有我们提供网络访问保护的支持,能够使得你可以控制在内部网络、边缘,还有在各个其他的层次安全接入方面的安全。
然后,还提供了对于Internet上面的一些服务,比如说托管服务,企业可以租用这些托管服务,对于你的邮件系统进行检查,或者是进行安全信息的过滤。然后,也提供了对于信息安全,就是你企业信息资产的保护,比如说IMS比如说一个企业信息的稳当创建出来,这个文档被谁使用过,这个文档什么时候过期,都可以通过这个IMS来实现。如果说在你的计算机或者是使用上,使用了Rookkit我也没有关系。
那么还有应用得比较多的是活动目录,很多的企业利用这个活动目录来进行身份验证。那么还有我们的标识集成服务器,这个对于大型企业不同认证之间的联合,非常地适用。另外,我们还提供了管理的机制。像前面讲到的System Center等等的,除了这些还有开发产品的工具,比如说开发代码的工具。
所以,微软是从整个企业需求的层层面面都体现出了对于安全的重视,以及对于安全应用领域这样一个信心。
到现在为止,我的演讲就到这里结束了,因为我们刚才也提到了,这是一个圆桌会议,上面只有我一个人的声音,下面,会给大家一些机会,就是我前面讲到的一些产品、技术,还有您想知道我没有讲到的东西,大家都可以进行有效地互动地沟通。从而,能够达到我们这样一个沟通和交流的目的。
我刚才提到了一个微软的安全系列产品,这叫做Forefront,这是对于企业整体的全方位的解决方案,主要是面向三个安全领域的,不知道哪位朋友可以来说一下?
听众:网络边界、服务器、客户端。
牛可:回答得很好,我想跟您交流一下,您企业中还有网络的边缘、应用客户端、服务器方面有什么问题跟大家交流一下?
听众:在网络边界上还是用到的微软的Server2004,还有思科的产品。
牛可:就是网络硬件是基于思科,还有用微软的Server2004。2004和2006之间主要的区别是,2006在身份验证方面提供了特别多的验证机制,比如说多因子的安全支持,我做一个互联的站点,我必须通过多因素的安全认证,比如说短信、证书、还有CQ ID,那么在2006里面做得特别好,就是你要开发一个新登录的认证,我是去年9月份做过之后,我就利用三件事情,就可以写出一个非常简单的实现机制。
另外,它在验证方面支持单点认证。我的公司要发布很多的站点,但是我只要在一个站点认证,就可以了。另外,在性能方面,它比2004有25%的性能提升,主要的就是这些了。
听众:那么在做2004的时候,连接数量有什么规定吗?
牛可:这是和您的硬件是有关系的,和您的传输数量和内容,还有是不是站点的加密,跟硬件是有关系的。
相关文章
- (2008-03-28 11:26)·CIO信息安全圆桌会议于今日召开
- (2008-03-27 09:28)·Hillstone挺进网络安全 海归力量厚积薄发
- (2008-03-26 15:12)·我的ERP软件实施项目调研篇
- (2008-03-26 09:52)·企业网络安全成为当前CIO们最关心的问题
- (2008-03-25 13:23)·梭子鱼携手讯宜国际 共谋负载均衡行业渠道
- (2008-03-21 11:19)·梭子鱼负载均衡初战告捷,签10家省级区域分销商
- (2008-03-19 16:54)·天清入侵防御系统IPS助力中储集团安全建设
发表评论
-
- 昵 称:
- 匿名发表
-
>>更多评论
- · 您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任
- · 留言板管理人员有权保留或删除其管辖留言中的任意内容
- · Weaseek.Com提醒:不要进行人身攻击。谢谢配合。