2001年病毒和黑客的猛烈袭击,给中国的网络用户留下了无法抹去的印记。它使得“安全”一词成为IT应用中最热的名词之一。这种热度不仅成就了许多网络安全厂家的英雄梦或者侠客梦,也使更广泛的群体开始密切关注安全问题。甚至连微软这个IT业巨人也不得不开始非常认真地来对待这个问题。从去年开始的一系列举动已经充分地显示出微软对安全问题的极大关注。
2001年10月微软公司在全球范围内发布“战略性技术保障计划(Strategic Technology Protection Program,简称STPP计划)”,该计划分两大部分,第一阶段旨在帮助客户营造系统安全环境,第二阶段则主要致力于为客户提供有助于保持系统安全性的技术、工具和资源,帮助用户获得网络安全和保持网络安全。针对中国市场的具体情况,2002年3月微软公司在中国再次推出了“微软(中国)安全服务计划”,该计划集中了微软公司在中国的数百家经过认证的安全服务伙伴的专业技术优势,以保证用户以最轻松的方式获得最安心的保障。
联手提供安全服务
为了将安全服务计划做得很好,除了自身的努力以外,微软还大力借助合作伙伴的力量。在合作伙伴的选择上,微软有三项选择要求:首先,要熟悉Windows2000产品。其次,因为微软产品线比较复杂,所以除了熟悉Windows2000以外,合作伙伴对于微软的其他产品也要非常熟悉。其次,对非微软产品的如杀毒、防火墙软件也要非常熟悉。基本上符合这样三项要求,才能够有机会成为微软公司安全服务计划的合作伙伴。对此,微软(中国)有限公司资深产品经理殷建松解释说:现在中国平均每周都会出现几家做网络安全的企业,这种状态有点像当初的.COM公司,但是微软希望能够从中挑出真正有技术能力做安全服务的公司,现在很多做安全的公司是由原来系统集成公司转过来的,虽然包装了一下,但这种换汤不换药的公司不会成为微软的选择目标。
合作伙伴为微软的用户提供哪些安全服务内容呢?在微软提出这项安全服务计划后,很多用户都感觉很疑惑:微软以前没有什么杀毒软件,也没有防黑客的产品。对此殷建松解释说,微软的安全是一个整体的网络安全,杀毒软件就像是一个口罩,它可以把病毒挡在外面,但微软不是给用户戴口罩,而是为用户做体检,然后让体质增强,即使有病毒感染也可以把病毒杀死,保持安全。微软有很多用户,他们及时地把更新、把安全的补丁打上去,就可以保护网络的安全。像Nimda病毒就是微软先公布了安全更新补丁后才出现的,如果网络管理员没有及时更新补丁,就会使网络处于很危险的环境中。但实际情况中,由于网管员理念上的差距或者管理水平上的欠缺,总是有一些网络存在这种危险的情形,这也正是网络管理中存在的最大隐患。
为了帮助微软的正版用户获得网络的安全,微软与合作伙伴之间建立了对正版用户的安全服务计划。这些具有技术实力的合作伙伴,将对微软的正版用户提供全面细致的服务,他们中有很多曾经是微软的产品渠道商,现在他们作为技术支持出现,对于用户他们不再是推销产品,而是提供服务。对于用户来说,不用再提供额外的服务费。这些技术支持公司的利润将由微软公司来提供,这部分资金来源于微软产品中的一部分利润。这种力度对于那些使用微软产品的用户来说,是很少遇见的,这也从中可以看到微软对于帮助用户作好安全的决心。
来自北京众恒天地公司的刘艺红 女士说,作为微软的合作伙伴,他们对这种合作是非常兴奋的。过去他们作为微软的合作伙伴,在给用户打电话的时候,是推销产品,而现在则是提供服务,由这种专业的技术公司来提供服务,对于用户来说可以省去很多的麻烦,更容易的获得安全,更容易地管好网络。
活动目录和安全模板
在长期的实践中,微软对于怎样提高网络安全性有四点体会:
第一,要有一个安全的网络基础架构。
第二,要把服务器保护好。
第三,保护好客户机。
第四,加强管理流程。
像内部安全、外部安全,病毒,有效的风险管理,都属于安全的策略方面,在安全构架的范畴内。微软认为,安全架构中最重要的是目录服务和安全模板。在网络中,不管是最终用户还是客户机,是Windows98、Windows2000 还是WindowsXP,都是网络管理员的管理对象,需要一个树状结构来管理。为此微软提供了活动目录,通过活动目录把这些资源管理起来。有了这个活动目录不仅可以管理网络资源,而且可以为其他目录服务。同时,活动目录还可以把网络操作系统、电子邮件系统、防火墙、网络设备整合起来。可以说,有了活动目录后,整个网络的架构才是合理的,因为每一个用户都有了一个惟一的、安全的ID,有了这个安全身份后,用户在网络里做了什么,作为管理者都可以查询出来,包括他进行了什么文件拷贝、有没有删除文件的权限,是不是从家里带光盘或者病毒,都可以查找出来。
使用活动目录可以非常易于操作。用户只要进行一次登陆,就可以使用网络中所有的资源,不需要多次登陆。实际环境中这种情况并不少见,用户首先登陆到Windows,再到E-mail,再到Web server……每一个入口都要输入一个口令。这个过程对网管员来说就像一个噩梦。一旦人员离开公司,就要删除好几个密码,有时候忘记同步,帐号泄露在里面,即使人离开半年了,还可以通过Internet获取公司的内部信息,这种情况在很多公司都是实际存在的。造成这种情况是缘于没有一个好的目录服务机制。殷建松说:我们意识到用户对网络的安全还不是很明白,所以我们提供很多的安全模板,把许多涉及安全性的参数做成一个模板,网管员只要把安全模版放进去运行一下,就可以自动地把该关的门都关好。目前缺省的安全模板已经安装到所有新Windows软件上。其他的安全模板可以在网上下载,比如说要设置Web server的安全性,可以从微软security网站上下载一个Web server的安全模板。安装好运行之后,它就可以给出一个网络目前安全状态的答案,现有的配置里面,比如说Password的历史、长度、复杂度,哪些是过了关的,那些是没有过关的,没有过关的它就打个“叉”,说明目前的配置与要部署的安全模板不一样。
微软的安全服务意识在经历了2001年病毒的教育后也有了一些转变。比如说在Web server中,原有的很多功能是开放的,但是用户不知道,这样就很容易成为安全的漏洞。但是现在,除非用户主动去打开这些功能,微软是把它们锁住的。这是从微软软件开发的角度所做的改变。同时,在最终从用户使用的角度,微软也在改变。比如说有的可能会对系统做一些设置:如调整数据库、做动态网站的开发,但是有些用户根本就用不到这些资源,他可能只是发布一些新闻。以前我们数据库的联接都是开放的,但是现在我们发现在用户还没有发现的情况下打开是很危险的,以后我们软件发布的时候,这些强大的功能在使用者还没有主动打开之前是关闭的。如果使用的是Office2000,其安全性缺省可以设为低级、中级和高级,如果设在中等以下,宏就运行不了。因为我们无法知道每一个宏是不是很安全,但是如果在一个安全的环境下,可以信赖所有来宏的情况下,用户可以把安全性调低。
安全依赖于管理
可管理性对于可用性、部署和安全性都是至关重要的。在微软安全服务计划的执行过程中,超过1万家的企业客户都逐渐认识到安全不仅仅是一个技术问题,更重要的是管理问题。只有有效地提高IT管理水平,才能真正达到网络安全性。微软公司Windows分部的高级副总裁布莱恩·瓦伦汀(Brian Valentine)在对该公司未来软件管理解决方案的阐述中,提出了Server Manager 计划和 Client Manager 计划。Server Manager计划建立在 Microsoft Operations Manager (MOM) 2000、Systems Management Server(SMS)2.0 和 Application Center 2000 的基础上,将提供一整套的场景,致力于为 IT 专业人员提供端到端解决方案来管理服务器和应用程序,包括管理公司防火墙内部和外部的分布式服务的能力。其中MOM是微软在2001年发布的一款专门针对服务器管理,提供集中化、自动化和智能化的软件解决方案。而Client Manager 计划则将提供一整套场景,为所有基于 Windows 的客户机提供更高的管理性能,使关键 IT 流程数字化并评估它们的商业影响,使在企业中所有计算设备上进行更新变得更加容易管理和安全。此技术建立在即将正式发布的 Microsoft Systems Management Server 2003 和 Windows 配置管理解决方案的基础上。在微软管理峰会上预告的 Systems Management Server 2003,将会使使用传统桌面系统的移动用户进行管理变得更加容易,与 Windows 2000 Active Directory 服务的集成会更加紧密,并将支持非基于 PC Windows 的设备(如 Windows-Powered Pocket PC 软件)。预计 Systems Management Server 2003 测试版将于今年秋天对外发布。
作者:知秋
