综合实验的解决方案---安全服务

安全服务规划了企业在安全防护方面的内容，企业的网络、服务器、客户端及各种数据应该的得到有效的保护，以预防各种数据丢失给企业带来的损失。

安全服务涉及各个技术层面，我们将采用多重技术来为企业提供立体安全防御体系。

防火墙

企业的边缘网络将放置一台防火墙服务器，用于保护整个企业 IT 环境，抵御基于 Internet 的威胁。我们选用 Microsoft Internet Security and Acceleration (ISA) Server 2006 SP1 产品，该产品不仅可以很好的保护企业内部网络不受 Internet 威胁侵袭，还可以方便发布公司的内部网站到 Internet ，例如应用程序服务中的 TS Web access ， ISA Server 2006 可以非常方便的发布终端服务的网页。（由于此处超出课本范围，故不详细讨论）

服务器和客户端计算机均应启用 windows 防火墙，以保护计算机的内部数据

ISA Server 2006 与 Windows 防火墙将组成两道安全防线。

补丁更新

服务器与客户端及时打最新的微软漏洞补丁也可以在很大程度上保护自身的安全。为了减少更新补丁对企业出口带宽的影响，我们引入微软补丁更新解决方案中的 WSUS 来对企业计算机进行及时的补丁更新。

WSUS 组件将被安装到一台单独的服务器上，采用单 WSUS 服务器架构，服务器将可以透过防火墙到微软的更新网站去下载补丁更新。客户端则使用 WSUS 服务器做更新源。企业中还应有几台客户端做补丁更新测试用，此时我们将采用 WSUS 中的计算机组来实现对部分计算机分发补丁的目的。

通过使用域组策略，可以实现客户端 WSUS 更新配置与更新源的自动配置。

杀毒软件

杀毒软件作为计算机的重要防护措施，可以有效抵御各种病毒的入侵及传播。对于不同的服务器与客户端我们可以采用微软 forefront 系列产品，也可采用第三方杀毒软件产品。（超出书本范围，不在详述）

数据加密

对放置于服务器与客户端上的各种员工数据进行保护是必须的，防止由于黑客入侵或员工笔记本的丢失而造成的数据泄漏。我们采用如下两种技术来对数据进行加密：

l   EFS 加密文件系统： 对计算机中的用户个人数据进行加密，可以有效阻止数据被窃取后的读取与复制。

l   EFS 恢复代理：因为 EFS 加密基于私钥，私钥的丢失将导致数据无法读取。所以对私钥的备份尤为重要。在方案中，企业管理员将被设为 EFS 恢复代理，此账户在需要时可以打开员工的加密文档。

l   BitLocker ： Windows7 中的 Bitlocker 可以有效保护系统卷与非系统卷，防止由于物理设备被偷窃而造成的数据泄漏。但应做好 BitLocker 解密密钥的保存。

l   BitLocker to go ：保护移动设备中的数据

BitLocker ，我们可以通过域组策略来启用客户端的此功能。

本文出自 “Chris Zhou的小窝” 博客，谢绝转载！