雲端運算 (Mcloud) 資訊安全 (Security) 商業智慧 (BI) 整合通訊 (UC) 增進溝通與協同合作效率 整合與虛擬化 桌面基礎架構最佳化 伺服器升級 改善商業流程 資料庫平台 微軟 Dynamics ERP & CRM 商務解決方案 核心基礎架構優化 (Core IO) 應用平台基礎架構優化 (APO) 企業生產力基礎架構優化 (BPIO)
Windows Server Forefront System Center SQL BizTalk Server  Visual Studio Office Exchange SharePoint Lync Server 2010 Dynamics ERP & CRM Windows 7
英語版 Microsoft.com | 台灣 | 全球其他網站
2011年 秋季號
Microsoft in the Enterprise
台灣微軟 2012 企業願景正式登場

微軟資訊保護技術的整合優勢

上一期內容提到為了個資法「微軟資安面面俱到」提供企業技術層面的解決方案,透過身分鑑別和存取管理、資訊保護、安全協同合作、安全端點、安全訊息傳遞五大情境設計出相關的解決方案,並以安全協同合作舉例說明,如何透過與資安產品的整合優勢而提高使用者的生產力。而這期內容主要將針對身分鑑別和存取管理、資訊保護、安全端點解決方案以深入淺出方式進行介紹,藉由透過微軟資訊保護技術的整合達成三大優勢: 第一是在企業中進行資訊安全整合和延伸,第二是有助於達成隨處受保護、隨處可存取之目標,以及第三個簡化安全使用經驗並管理法務遵循。

微軟資安面面俱到 實際做法
身分識別和存取管理 Active Directory、Forefront Identity Manager (FIM) 2012 可以整合控管帳號權限與單一簽入管理,並進行相關的存取記錄
資訊保護 SQL Ser ver 2008 R2 提供資料庫加密保護技術與 Act ive Di rector y Rights Management Services (AD RMS) 保護含機敏資料與個資的文件,一但符合設定的條件系統會自行保護,如限制存取或轉寄等
安全協同合作 Forefront Protection 2010 for SharePoint (FPSP) 保護 SharePoint 文管中心不受病毒侵擾並搭配 Forefront Unified Access Gateway 2010 (UAG) 還可以控管相關的存取端點是否符合安全需求,行動工作者也可以在外透過安全通道回公司存取資料
安全端點 部署企業級防毒軟體 Forefront Endpoint Protection (FEP) 2010 並搭配 System Center Configuration Manager (SCCM) 中央管控用戶端電腦的安全。Windows 7 同時提供 BitLocker 加密保護磁碟中的機密不外洩
安全訊息傳遞 Forefront Protection 2010 for Exchange Server (FPE) 協助過濾惡意郵件與保護使用即時通訊的用戶不受惡意程式侵擾,並搭配 Active Directory Rights Management Services (AD RMS) 加密重要的電子郵件

身分鑑別和存取管理

一般來說造成個資外洩的風險主要是因為網站安全防護過於簡單、認證功能不足且又沒有相關的存取記錄進行適當的稽核,導致網站被輕易入侵並使得個人資料外洩,因此為了滿足相關要求,除了 AD 之外,Forefront Identity Manager (FIM) 2010 可進一步整合異質系統帳號,藉此達成上述所提的三個目標,一是控管帳號權限,二是單一簽入管理,三是相關的存取記錄。在存取管理的延伸應用上,透過 Windows Server 2008 R2 Network Access Protection (NAP) 並搭配 Forefront Threat Management Gateway 2010 (TMG),除了可提供網頁應用程式防火牆 (WAF) 保護企業網站安全之外,還可以禁止不符合公司 IT 政策的裝置存取企業內部伺服器上的資源,確保企業機密不外流(圖1)。

圖 1 在身分識別與存取管理,微軟提供和異質環境整合的解決方案

資訊保護

在資訊保護方面,包含SQL Server 2008 R2 提供的資料庫加密保護技術,以及 Active Directory Rights Management Services (AD RMS) 提供的機敏文件加密保護。除了資料庫與檔案加密之外,透過 Windows 7 企業版內建的 BitLocker 還可進一步對儲存檔案的磁碟機與隨身碟進行裝置加密,提供更多層次的防護,同時還可以防範未經授權的使用者無意或蓄意存取遺失、遭竊取的電腦上的資料。搭配透過群組原則的設定如限制使用裝置的類型以及裝置的寫入或讀取等,更可有效的貫徹公司 IT 政策,保護公司商業機密(圖2)。

圖 2 AD RMS 負責檔案加密,BitLocker 負責加密儲存檔案的裝置
 (磁碟機、隨身碟等)

微軟顧問服務團隊也提供特別開發的「檔案加密系統」解決方案,不僅會在作業系統層級自動對檔案進行加密保護,並且在受監控的網路及授權的電腦下,才能將檔案解密並開啟。使用者僅能在企業內部存取機密資訊,不僅無法列印與擷取畫面至其他文件中,當機密資料被攜出企業後,該文件將無法被開啟。若以數位相機拍攝,也只能取得具有浮水印的圖片,足以證明是不法取得的文件,藉此對企業與機關的機密文件提供更進階的防護。此方案的特色如下:

  1. 防止企業內部人員因疏失、故意或是電腦失竊而將資料外洩。
  2. 不需要改變使用者操作電腦的習慣,提高使用者配合導入的意願。
  3. 不需要犧牲電腦週邊或網路存取的功能,保有科技與網路所帶來的企業營運效率的提升。
  4. 通過方便好用及功能完善的管理介面,可以彈性地設定受保護的電腦、應用程式及檔案。
  5. 提供完整的使用記錄及各式報表,方便進行稽核管理。 

安全端點

除了可以透過 System Center Configuration Manager (SCCM) 來進行中央管控用戶端的安全並部署企業級防毒軟體 Forefront Endpoint Protection 2010 (FEP),另外透過 Windows 7 企業版的 BitLocker 磁碟加密保護技術與裝置控管原則,可為用戶端電腦提供最全面的保護(圖3)。另外許多經常不在公司內的使用者如業務人員會透過遠端連線存取公司內部的資料,此時若又沒有妥善的安全防護機制,就可能會造成機密敏感資料和個人資料的外洩,因此安全的遠端存取對於遠端工作者非常重要,而且也不能忽略操作的簡單與方便性。透過 Forefront Unified Access Gateway (UAG) 將可以有效達成安全的遠端存取功能以及落實設定的 IT 原則,不僅讓使用者可以使用各種裝置進行連線,同時可以檢查裝置的安全等級是否符合公司政策,藉此限制不安全的裝置存取公司資源(圖4)。

圖 3 微軟資訊安全解決方案提供全面性的防護
圖4 使用者可透過 Forefront UAG 以各式裝置進行安全地存取

法規遵循

透過微軟資訊保護技術的整合,將達成三大優勢,分別為:

  1. 在企業中進行資訊安全整合和延伸
  2. 有助於達成到處受保護、隨處可存取之目標
  3. 簡化安全使用經驗並管理法務遵循

微軟資安產品的整合應用,除了協助企業有效保護機密資訊與檔案外,更重要的是還有完善的監控和稽核機制 (包含對系統與關鍵應用程式)。微軟 System Center Operations Manager (SCOM) 可以對 Windows Server、 SQL Server、Exchange Server…等等進行監控外,更可以橫跨 Linux 與 Unix 平台,也能延伸監控到異質平台如 IBM、HP 的解決方案等等。同時啟用安全稽核蒐集服務 (Audit Collection Service, ACS) 的增強模組來協助安全事件的集中、管理與報表產出,來達成稽核重要事件的目標,包含在私有雲與公有雲上的監控稽核與資訊保護。下一期我們將會提到更多關於稽核監控以及雲端安全的內容,敬請期待。

了解更多

上一則: MCloud:雲端運算中的牛頓定律 返回本期企業觀點
下一則: 平板科技「觸」進餐飲服務革命
專為資訊決策者量身訂做的電子報,每月提供資訊決策者最需要知道的消息
2012 年
春季號

扭轉 IT 冰山融化危機
2011 年
冬季號

Be What's Next 用創新打造新世代的 IT 藍圖
秋季號

Microsoft in the Enterprise 台灣微軟 2012 企業願景正式登場
夏季號

觸動.雲端.新商機
春季號

資料庫平台完美演繹
民國 100 年 SQL Server 風雲
再起,開創資料庫世界新變革
2010 年
冬季號

Lync Server
跨世代企業整合通訊
解決方案
© 2012 Microsoft Corporation. All rights reserved. 與我們聯絡 | 使用規定 | 商標 | 隱私權聲明