信息化建设战略规划.doc

目 录1. 前言61.1 信息化建设战略规划框架62. 建设目标及实施阶段102.1 建设目标102.2 实施阶段113. 信息化建设趋势143.1 合理化信息构架趋势143.2 信息系统建设技术要求趋势153.3 技术应用趋势153.3.1 MPLS VPN：153.3.2 SSL VPN：153.3.3 Internet Proxy：163.3.4 Server Load Balance：173.3.5 Network Access Control（NAC）：173.3.6 Storage Area Network（SAN）：183.3.7 Anti Virus：193.3.8 Independent Computing Architecture（ICA）204. 策略规划224.1 信息化建设策略规划224.2 信息化基础架构的实施策略224.2.1 核心网络架构224.2.2 网络安全234.2.3 计算机系统管理策略234.2.4 安全管理平台策略251. 前言本文陈述了X年内信息化建设战略规划的构架策略及概念描述。此策略基于以下几点得出：ü 企业发展业务需求ü 技术发展趋势ü 市场变化趋势影响构架策略的最主要商业需求变化是：ü 内部因素如：商业拓展、信息增长量、信息复杂性ü 外部因素如：与客户直接沟通的需要，诸如电子商务、在线学习、市场趋势和法律法规符合性要求的需要IT方面确定的基础构架需求是：ü 标准化的开放体系和分层体系ü 支持QOSü 用户登录和数据传送的精确性和安全性ü 新兴无线技术的移动解决方案ü 基础架构能支持海量数据的存储和交换ü 信息管理的一致性ü 服务器的变更不会干扰最终用户ü 维护和升级的简易化1.1 信息化建设战略规划框架上海络安信息技术有限公司按照下图“规划框架”来协助钻石木（南京）木业有限公司开展信息系统整体规划的工作。在该框架中，紧密整合了企业的经营战略、业务需求、技术能力和管理规范，以战略和业务为先导，围绕未来信息系统的整体架构，深入分析和阐述了企业未来的应用系统和集成整合，并规划了对信息应用进行支持的基础软件和网络硬件系统以及安全管理策略；在此基础上，提出了信息系统的整体实施计划和信息技术管理规范。图例：钻石木（南京）木业有限公司信息化建设战略规划框架战略规划框架中各部分的主要内容包括：1) 信息技术战略明晰Ø 企业经营战略：通过了解企业整体的经营战略、管理模式和组织架构，理解企业生存和发展面临的主要挑战和关键业务策略和计划，从而确保信息技术战略的制定从根本上符合企业发展的长远目标。Ø 现状需求分析：了解企业信息技术应用现状和目前的信息技术应用对企业业务和管理带来的限制，明确未来企业对信息技术应用的主要需求，并据此分析现状与需求的差距，为未来信息系统架构设计奠定基础。Ø 信息技术战略：根据企业整体的经营战略和信息技术应用的现状和需求，明晰企业在信息技术应用上的整体战略，以使企业的信息化建设能够按照既定的原则方向统一规划、统一实施。2) 信息系统蓝图架构Ø 信息系统架构：根据企业信息技术整体战略和主要业务需求，规划企业未来的信息系统架构蓝图，明确各应用软件的角色和相互关系、以及对业务需求的匹配情况。Ø 应用系统架构：分析信息系统整体架构内各应用系统的主要功能和在企业中的相应作用，建议各应用系统的推行方式和主要套装软件的产品和供应商参考。Ø 企业应用集成：分析各应用系统之间的信息流流转衔接关系、信息和数据接口和集成关系，从而明确各应用系统之间的集成点和集成方式。Ø 基础软件架构：通过分析应用系统及其整合对操作系统、数据库等基础软件系统的技术要求，规划能有效支持信息应用的基础软件架构。Ø 硬件网络架构：通过分析应用系统的分布情况、信息用量、数据传输内容、可靠性、安全性和实时性的要求，规划和优化网络及硬件整体架构，以满足企业稳定、可靠、可扩展的网络信息应用的需求。Ø 网络安全管理：基于企业信息应用对网络管理和安全的需要，结合基础软件和网络硬件平台的技术要求，规划有效的网络管理和安全策略以及可以运用的相关技术和管理手段，以保障企业各项信息应用的正常开展。3) 信息系统实施规划Ø 整体实施计划：对规划中的应用系统的实施进行优先级排序，明确信息系统规划的整体实施时间、步骤和各阶段的主要工作任务；制定对现有系统进行迁移转换的过渡阶段的工作和时间建议；同时对信息系统规划中各应用系统建设项目所需投入的整体资源和人力资源作初步的预计。通过整体实施计划的制定，为企业落实规划内容、推动信息化建设指明了行动计划。4) 信息技术管理规范Ø 信息技术管理：明确与信息系统配套的信息技术管理组织架构和部门的主要职责，并根据信息技术管理的主要流程，规划信息技术管理规范及标准操作手册，以推动企业从技术和管理两个方面提高信息技术应用和管理的水平。2. 建设目标及实施阶段在企业广域网中, 越来越多的企业使用IP-VPN技术，更好的利用租用带宽、负载平衡，支持QoS服务来支持关键应用数据及流媒体数据，在企业局域网中, 越来越多的企业开始把非核心业务从企业的核心业务中分离出来, 在充分保证核心业务的安全性的情况下, 使企业的员工能够及时共享信息。在信息安全上, 越来越多的企业认识到安全是与企业中的每一个人有关的事件。 没有一个全面的包括人员在内的安全保障机制, 仅仅靠技术来支持的安全是不现实的. 近年来, BS7799/ISO17799开始被一些企业接受, 2004年, 为防止美国安然能源公司事件的重演, SOX404作为比BS7799更为严厉的标准和法律,正迫使很多的企业在IT系统中建立全面的安全保证体系。2.1 建设目标基于以上需求，总体信息化建设目标规划如下：n 通过建立开放的标准平台和降低对供应商解决方案的依赖性n 通过建立灵活的网络基础架构, 使得网络会议、在线学习、声音/视频整合、多媒体传送的业务需求能够满足n 通过建立可靠的网络基础架构,使得网络具有能够满足业务需求的容灾性和容余度n 建立集中的桌面管理系统,统一用户的桌面标准,包括远程控制, 软件分发, 系统升级,病毒库升级，资产管理(硬件和软件)n 建立集中的网络, 系统和安全管理系统,包括性能管理, 错误报警和远程配置管理n 建立统一的用户认证体系和目录服务系统(CA, LDAP, AD),每一个用户和系统的身份集中管理, 授权, 同时具有不可抵赖性n 关注新兴无线技术的移动解决方案n 建立全面的信息安全保障体系(BS7799/SOX404)n 服务外包的管理2.2 实施阶段我们有如下三个阶段历程以达到此目标规划：第一阶段：风险评估及标准化作业管理在当今信息化大潮中，信息化对于每个企业或单位的业务发展起到了越来越关键的支撑作用。因此，企业对现有信息系统及IT基础架构的安全性进行专业风险评估的需求也越来越迫切。企业风险评估服务是上海络安提供给客户的一项对信息系统环境进行全面安全复查及评估的专业服务。该服务遵循BS7799、ITIL等信息安全管理国际标准，借鉴了OCTAVE 等国际通行的风险评估方法论，结合恰当的专业技术手段，最终使客户对自己信息系统的安全状况有一个全面而充分的了解，帮助客户了解完善信息安全体系的实际差距与目标。在实施企业风险评估或信息安全检查服务时，不但提供常规安全评估所包含的技术性内容，还会对各种非技术性的风险进行分析和诊断，包括安全策略、执行程序和过程、人员操作、安全意识等方面。借助资产评估、威胁和弱点评估，最终对企业信息系统所面临的各种风险给予优先级排列，为风险处理决策提供依据。为此，指出客户信息系统的不足，这对于帮助企业建立规范有效的信息安全管理体系有很大的帮助。企业风险评估服务内容大致包括：ü 确定评估范围；ü 进行资产识别与评估，了解关键的信息资产及其价值；ü 进行威胁识别与评估；ü 进行弱点识别与评估，分析信息资产自身问题；ü 通过影响和可能性分析，评估各类风险；ü 拟定风险评估报告；ü 参照行业标准和惯例，进行风险处理决策；ü 提供风险处理计划及全面的解决方案IT基础架构的风险评估对象包括以下系统：ü 各种Windows 类型的操作系统ü 典型的Unix 操作系统ü 典型的数据库应用系统ü 典型的Web 应用系统ü 典型的网络路由交换设备ü 防火墙等典型的安全设备通过风险评估服务的实施，最终可以提交给客户以下内容：ü 全面的信息安全策略文档体系，从内容上看，包括总体策略方针、特定问题策略和特定系统策略；ü 标准规范的系统操作、管理及维护文档手册；ü 具体完成某项任务的操作程序；ü 策略体系涵盖的内容包括（不限于此）： 信息安全总体方针（声明） 信息安全组织架构和角色定义 信息资产分类及控制策略 安全策略维护计划 第三方及外包项目安全策略 人员安全策略 物理环境安全策略 硬件设备和基础设施安全策略 网络通信与操作管理策略 系统维护策略 数据加密策略 数据存储和使用策略 访问控制策略 备份策略 病毒防范策略 安全设备配置策略（防火墙、IDS、VPN 等） 电子邮件与Web 访问策略 风险处理程序 变更管理程序 配置管理程序 应急响应计划 业务连续性和灾难恢复计划第二阶段：实现整体网络可靠性, 安全性, 开放性我们将工作定位为以下几个优先权比较高的方面：ü 现有网络性能及安全的优化、及未来整体（包括新增节点）网络架构的规划和实施(INTRANET, EXTRANET 和 INTERNET)。ü 建立集中的桌面管理系统,统一用户的桌面标准,包括远程控制, 软件分发, 病毒码升级、系统升级及资产管理(硬件和软件)。ü 完善网络存储部署。ü 关注并测试无线接入的身份认证安全方案。ü 实现对所有资源(如带宽资源的使用, 基础应用服务器的文件系统的变化趋势)的使用情况的实时监控。第三阶段：信息建设的可持续性发展我们将工作重点放在长期需求和完善在第2阶段开始实施的项目如：ü 实现QOS。ü 实施成熟的无线安全接入方案,使得在厂区的任何地方都可以安全地接入企业网络中。ü 建立全面的IT质量保障体系。ü 建立集中的网络,系统和安全管理系统,包括性能管理,错误报警和远程配置管理,建立统一的用户认证体系。3. 信息化建设趋势3.1 合理化信息构架趋势网络通讯平台应该能够具备以下的特点和功能：n 高可靠性：最少的停机时间，确保稳定生产的基础。所以网络的关键部分不应该有单点故障. 这些地方包括网络的核心设备和同关键生产环节相关的节点。当网络某单个节点或关键部件发生故障时，应该能够在最短时间内恢复，不影响电力生产。n 安全性要求：安全要求包括了自动化控制生产网和其它的支持网络之间的在保证数据交换前提的安全隔离。对内部网用户的访问要能够提供较强的控制手段，其中包括对网络上的终端用户采用相应的身份验证手段、以及对内网中网络病毒的传播防范手段、以及同外网连接的安全控制手段。n 实时数据的服务质量保证要求：同生产相关的各种实时系统数据与其它办公系统的要求不一样，要求更低的延时、更少的延时变化、更少的丢包率。n 可扩展性：在实用、可靠的基础上，具备技术的前瞻性。尽量利用先进的局域网技术、在未来可以集成多媒体语音/视频技术，使整个系统具有相对更长的生命周期。在方案设计和产品选型时，要充分考虑扩展能力，适应未来的应用发展和技术变化。n 可管理性和可维护性:提供端到端的网络管理的工具：对网络故障的监控报警已经排除可以提供有力的帮助，同时为了考虑今后网络环境中多厂家设备的使用，必须基于SNMP和RMON等标准的协议。3.2 信息系统建设技术要求趋势开放的构架开放的标准和分层的构架，对取决于供应商的解决方案进行限制可靠性和适用性通过优先权选择对服务进行高水平的管理。安全性ü 确保登录与机密信息传送的安全ü 有效认证和PKI-解决方法的整合ü 带防火墙的VPN技术和IPSec认证ü 对安全管理员能容易的进行管理移动性新兴无线技术和采纳身份认证接入的移动解决方案灵活性能灵活应对支持大量用户登录及更多信息下载时预期增加的服务和应用带宽优化带宽优化应以经济高效的方式通过VPN技术、MPLS和网络来实现信息管理通过信息管理一致化来组织搜索，存储信息的格式标准化，通过对认可的用户认证来更好的恢复文档变化控制所有的变化都应被控制升级和改变的简易性未来服务器的改变/升级应将对最终用户造成影响和干扰的要求降为最低3.3 技术应用趋势3.3.1 MPLS VPN：所有载体工具和ISP都将提供终点对终点的服务标准协议（SLA），保证服务质量（QoS）多协议标签交换（MPLS）技术，IP优先，Committed Access Rate(CAR)，Weighted Random Early Detection(WRED)，Class-Based Weighted Fair Queuing(CBWWFQ)。MPLS提供利用公众网络连接不同网络节点的低成本并兼顾安全性与通信保障。3.3.2 SSL VPN：利用SSL VPN技术可实现外部个人用户远程存取企业内部不同业务数据的单一入口及安全加密传输通道，用户端计算机只需简单使用IE浏览器即可访问应用系统，无需安装复杂的VPN客户端程序。经SSL VPN身份认证登录成功后的用户可以选择存取企业内授权访问的应用系统（OA、WEB、E-mail、财务系统等），各种应用完全独立，使用者只需点击相应的链接即可完成相关的应用，而且所有的访问都是通过加密方式来实现的。针对不同的用户（如：集团公司、领导、员工、全国各地分销商），可给予不同的资源访问权限，来实现所有应用访问的完全隔离，大大增加了访问的安全性与便利性。3.3.3 Internet Proxy：访问代理提供了分层的访问策略方法，让企业在Web通信要求和因特网风险之间取得平衡。访问代理提供了独一无二的灵活性和可量测性。 ü 代理支持多种协议：- HTTP，HTTPS，FTP，Telnet，SOCKS，P2P，AOLIM，Yahoo IM，Microsoft IM，MMS，RTSP，QuickTime，TCP-Tunnel，DNS- 压缩服务（HTTP+TCP）- 在所有代理服务上的带宽管理 ü 内容过滤- 领先URL列表、流行区域列表、自定义列表或者自定义类别的代理上的支持- 通过综合缓存获得性能 ü IM记录和控制- MSN, Yahoo!, AOL Messengers- 方法层控制设置- 为隐私提供反映 ü 内容保密- 阻止活跃内容- 剥离和替换Web内容 ü Web病毒扫描- 反病毒引擎的选择 ü P2P文件共享控制- 记录和阻止P2P通信- 控制BitTorrent、eDonkey、Gnutella和FastTrack ü 防止和控制间谍软件- 阻止间谍软件但是允许合法应用程序，包括页面查看- 控制弹出式窗口和钓鱼式计谋 3.3.4 Server Load Balance：利用Layer 4Layer 7应用交换机可实现的功能特性：ü 高效服务器负载均衡（SLB）：在多个服务器之间分配IP服务并在这些服务器之间实现透明的流量均衡，同时不间断地监控服务器、应用和内容的状态，提高应用服务的总体可靠性和可用性。ü 智能应用内容检查和交换：通过对应用消息进行深入的内容检查和过滤，挫败各种应用级攻击。ü 服务器连接卸载：服务器不再负责对访问连接的管理，从而改进了服务器的性能、可用性、响应时间和安全性。可以将大量客户端连接简化为数量较少的服务器连接。通过这种连接卸载，服务器可以集中资源提供关键业务高性能应用服务。ü 应用速率限制：通过针对每一个应用端口控制TCP和UDP连接的速度为服务器群提供保护。通过限制个别用户的连接速率，可以帮助服务器防范高带宽用户的恶意攻击。ü 冗余和灾难恢复：可提供扩展性的全球服务器负载均衡（Global Server Load Balancing）功能，支持站点级冗余、灾难恢复和多站点扩展。3.3.5 Network Access Control（NAC）：虽然大多数机构都使用身份管理及验证、授权和记帐(AAA) 机制来验证用户并为其分配网络访问权限，但这些对验证终端用户计算机的病毒、补丁安全状况几乎不起任何作用。如果不通过准确方法来评估接入网络的计算机安全状态，即便是最值得信赖的用户也有可能在无意间通过受感染的设备或未得到适当保护的设备，将网络中所有用户暴露在巨大风险之中。通过运行NAC，只要终端设备试图连接网络，网络访问设备(LAN、WAN、无线或远程访问设备)都将自动申请已安装的客户端或评估工具提供终端设备的安全资料。随后将这些资料信息与网络安全策略进行比较，并根据设备对这个策略的符合水平来决定如何处理网络访问请求。网络可以简单地准许或拒绝访问，也可通过将设备重新定向到某个网段来限制网络访问，从而避免暴露给潜在的安全漏洞。此外，网络还能隔离的设备，它将不符合策略的设备重新定向到修补服务器中，以便通过组件更新使设备达到策略符合水平。NAC执行的安全策略符合性检查包括：ü 判断设备是否运行操作系统的授权版本。ü 通过检查来查看操作系统是否安装了适当补丁，或完成了最新的热修复。ü 判断设备是否安装了防病毒软件以及是否带有最新的系列签名文件。üüü .确保已打开并正在运行防病毒技术。ü 判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软件。ü 检查设备的企业镜像是否已被修改或篡改。ü NAC随后根据上述问题的答案做出基于策略的明智的网络准入决策。3.3.6 Storage Area Network（SAN）：随着网络信息技术发展的速度越来越快，用户数量不断翻番，对数据存储也越来越高，在这种背景下我们提出的新一代企业存储平台建设就是要对现有的存储资源进行整合，建立以数据为中心，分布处理、集中管理的存储体系。SAN采用高速数据连接通道-光纤通道(Fiber Channel, FC)连接服务器和存储系统。从结构上看，服务器和数据存储系统相互独立。将设备连接到FC集线器或交换机上，便于扩展系统规模。在SAN中，所有的存储设备和存储数据均可采用中心化管理，使得整个存储系统具有可伸缩性。并且，可以通过存储设备的集群方式而达到高可用度。SAN的存储结构核心是客户通过局域网访问服务器，而数据存储系统与服务器之间通过FC交换数据，不通过局域网，可以避免大流量数据传输时发生阻塞和冲突，特别适合高速和不间断数据传输。完备的SAN存储网络架构如下：图例：SAN存储网络架3.3.7 Anti Virus：由总公司统一进行病毒定义码和扫描引擎的更新、升级。也就是说， 总公司的防病毒一级服务器有权限管理各分公司的一级服务器（而且只管理其一级服务器）。同时总公司的防病毒一级服务器可以定期地、自动到病毒库更新网站上更新最新的病毒定义码和扫描引擎，各分公司的一级服务器到总公司的防病毒一级服务器（对各分公司来说是主一级服务器）进行病毒定义码和扫描引擎的更新、升级。我们建议采用这种升级方式，这样，一方面可以确保总公司和其它分公司的病毒定义码和扫描引擎的更新基本保持同步，使整个企业内网都具有最强的防病毒能力。另一方面，由于整个网络的病毒定义码和扫描引擎的更新、升级自动完成，就可以避免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码和扫描引擎而失去最强的防病毒能力。在网络防病毒方案中，我们应该考虑在整个网络中只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段，也就是说应针对外网和内网两个方面考虑防病毒措施，主要从以下两个方面考虑：ü 在网关一级主要考虑对电子邮件、网上收发邮件、以及进入和送出的HTTP和FTP流量的病毒防护。ü 在邮件服务器一级，对过往邮件服务器的所有邮件进行防病毒扫描。把邮件中携带的病毒阻隔在局域网之外。ü 在服务器系统的防病毒保护上，实现系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发的文件等免受病毒的感染。ü 在客户端一级，实现对系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发文件的病毒防护。3.3.8 Independent Computing Architecture（ICA）透过ICA技术，能够为用户构建一个基于服务器计算的应用模式，在这种应用模式下应用程序的安装配置、运算执行以及管理维护都集中在服务器上进行，用户通过键盘鼠标操作的运行结果显示在客户端。一方面大大降低了网络数据传输的负担，网络平均带宽为 10-20Kbps ，同时对于客户端设备的配置要求将大大降低。图例：ICA工作原理在此技术基础上，为用户提供了多方面优势：n 系统的集中部署和管理：系统管理员可单点控制整个系统的进程、资源、状态等，并且通过有效的控制工具部署和督促各个环节的正常工作。n 客户端的维护极大减少：由于员工或使用者并没有实质性接触到应用软件，升级、维护、故障处理等工作就由“面”缩小到“点”，尤其是地域分散的用户，繁重的维护工作量立竿见影得到极大减少。网络管理员可以从中心对远程客户端进行监控和指导。n 访问的安全性高：网络上传输的只是客户端的键盘、鼠标动作以及显示界面的刷新部分，不是完整的数据包，计算原理本身就比较安全，再加上多种加密技术（128位的SecureICA以及SSL技术等），即使利用Internet公网，也同样保证严密的安全性。另外，通过控制每一个客户端的权限（如访问、修改、备份、拷盘、打印等）保证应用软件和数据的安全。4. 策略规划4.1 信息化建设策略规划信息化建设的策略规划是：n 通过VPN技术移到开放标准的平台以使构架简易化，因而降低对供应商的解决方案的依赖性n 为网络用户提供统一的可操作的标准平台n 执行对大量用户登录和更多信息下载的支持n 细化传输大容量信息的合理渠道以提高网络的整体性能n 通过使用网络和VPN技术、MPLS和VOIP（适当时取代PABX技术）以经济高效的方式来优化带宽使用n 通过提供经强有力的目录服务， PKI技术整合，有防火墙的VPN技术、IPSec认证和简化的安全管理来实现高标准的信息安全n 以电子商务提供新服务来提高供应商和合作方的接入n 以信息管理统一化来组织搜索，简化大量的域来恢复结构数据和文件，提高用户认证和存储信息的标准格式化n 为网络管理提供通用的工具n 支持服务器和由SIP（Session Initiation Protocol）提供的用于电话、多媒体会议、呼叫控制和多媒体通信的协议4.2 信息化基础架构的实施策略4.2.1 核心网络架构网络构架是基于开放的分层标准，核心元素之一就是路由器/交换机。核心节点采用冗余备份配置，关键部件如处理引擎和电源均采用冗余配置，可以保证交换引擎发生故障时实现毫秒级的冗余切换，用户将基本不会意识到故障的发生。同时当单台设备被意外断电或误操作的情况下，能够在几秒中内恢复网络数据的正常传输。同时利用各种相关技术，如链路绑定，多链路的负载均衡，网关负载均衡等各种功能，可以最大限度的发挥网络的能力。另外，根据服务功能的不同，把整个网络划分成几个安全区域。4.2.2 网络安全在网络安全中通过防火墙、SNMP 、IDS、系统日志、系统管理、带专用VLAN支持的接入交换机、控制一次性口令（OTP）等手段组合完成安全策略实施，主要目标是实现企业网中所有设备和主机的安全管理。记录和报告信息从设备流向管理主机，而内容、配置和新软件从管理主机流向设备。在实施防病毒软件时，还需要考虑的是：ü 集中策略管理的能力ü 在线升级的速度ü 系统防护功能以及更高的灵活性基于以上的考虑原则，提供通过一个管理控制台即可实现的先进企业级病毒防护和监控：ü 实现跨越多个平台的强制性防病毒策略管理 ü 允许管理人员在事件发生前主动采取措施来加强未受保护节点的安全，并确保系统的正常运行和用户的工作效率 ü 通过减小病毒定义文件和实现多线程服务器分装来保证快速部署和自动病毒防护 ü 通过提供工作站和服务器的逻辑组管理来减轻管理任务 ü 通过“漫游”病毒定义更新功能，使移动工作站能得到最新的保护 4.2.3 计算机系统管理策略系统管理平台目前市场上有多种系统管理平台产品可供选择，比如IBM Tivoli等。这些产品基本上价格高昂，应用复杂。造成这种状况的主要原因就在于，所有这些系统管理软件都为了保证跨平台特性而增加相当多的功能和开销。Windows Systems Management Server（SMS）是一款适用于应用程序部署、资产管理和安全修补程序管理的综合解决方案。 SMS 为处理和解决企业的变更与配置需求提供了一款综合解决方案，其功能特性为：ü 在适当的时间和地点，向客户轻松、可靠地交付关键业务应用程序。这将有效减少管理员分发软件耗费的精力和时间。ü 通过不断的安全弱点感知和可靠的目标性更新交付来提高 Windows 环境的安全性。自动的软件更新和统一的补丁更新标准及日程，使得企业可以保证所有的服务器、客户机拥有同一安全性。ü 通过独立于连接或位置的行业标准对不断增长的移动工作者进行企业管理。无论何时何地，采用何种方式接入网络的Windows系统都将得到及时管理。ü 通过充分利用Windows平台内置的管理能力来降低操作成本。企业无需另外购买第三方软件来保证安全或进行资产管理评估。ü 了解软件资产：SMS提供了一种集成的方法，不仅可以了解用户端安装了哪些种应用程序，还能同时跟踪应用程序的使用情况。它可以跟踪哪些用户正在使用应用程序；使用的时间有多长以及同时有多少个实例。ü 保护企业的安全：未能成功实施综合性安全修补程序管理策略可能对企业产生严重的后果，如关键业务生产系统可能出现故障，或安全级别较高的系统可能被恶意利用，所有这些都可能导致生产力、时间、业务应用程序访问方面的损失以及随之而来的收入损失。SMS提供一款经过企业检验的、管理更新部署的解决方案，不仅提供一系列工具和过程，使企业能够快速、方便地确定基于 Windows 的系统是否需要关键更新，还为企业提供了在其环境中测试和可靠部署这些更新的能力，使企业能够主动地保持 Windows 环境的完整性。另外，微软的另一款系统管理软件Microsoft Operations Manager（MOM）， 通过提供全面的事件管理、超前的监视和警报、报告以及趋势分析，带来了企业级的操作管理功能。4.2.4 安全管理平台策略随着计算机技术和Internet的发展，企业和政府越来越依赖计算机信息网络处理日常业务。伴随着网络业务和应用的丰富，安全设备的增多也带了诸多管理上的困难：ü 安全设备的维护管理方式与一般的网络设备不同，安全设备的特点在于只有在使用过程中不断分析安全设备所捕获的告警（很多告警是潜在威胁的写照，但一次潜在威胁并不表明是一次明显的、能被管理员感受的攻击事件）并随之手动/自动的产生相关响应才能发挥应有的作用。ü 同一企业管理员需要适应不同产品管理方式的需要，并且很难在一个物理位置（如同一管理终端）对所有安全设备进行统一管理。管理员不得不将时间花在不同管理界面的切换上。ü 很多安全设备仅针对某些安全问题提供解决方案。安全产品提供防御能力的片面性，也使得不同安全产品对同一连贯的攻击行为产生不同类型的告警。而这些事件告警往往又分布在企业的不同位置。这就造成了企业范围内告警事件的泛滥和重复，给管理员日常分析带来很大困难。 一个全面的安全管理平台应当包括的主要功能如下:n 安全事件管理：主要指将分布在不同安全产品上的安全事件汇总并加以关联分析形成对管理员来说具有切实价值、可依据操作执行的安全事故。安全事件管理应能从不同厂家、不同类型的安全设备中采集安全事件，经标准化后再进行深度挖掘。该功能是目前统一安全管理体系实现的最主要功能。n 配置管理：借助统一安全管理系统的该功能，可以让管理员通过唯一的一个GUI界面/Web界面实现对位于不同物理地点、不同类型安全产品进行远程操作、配置，实现对安全设备的单点、远程监控。配置管理功能很难在不同厂家的安全产品之间实现。n 策略管理：策略管理不同于配置管理，策略管理重在通过业界实践（如ISO17799）来帮助用户制定切实可行的企业级安全策略并辅助检查终端用户对企业安全策略的执行情况，确保安全策略的贯彻实施。n 故障管理：网络安全设备在运行过程中发生意外(如宕机、死机、不工作)是常见的，如何有效、及时的监测故障发生，准确判断故障位置是故障管理要完成的工作。n 风险管理：安全管理的实质是风险管理，风险管理功能可以通过将企业IT资产（如应用系统）、安全漏洞和安全威胁相结合，形成可供参考的风险量化，以便资产的所有者采取相关措施。n 响应管理：响应管理功能可根据不同类型的事件采用不同的响应，或者可根据某一类事件采用相同的响应（如阻断）。通过实施响应管理可大大丰富整个企业环境主动安全防御的深度。n 安全知识管理：安全知识管理解决用户环境中安全知识（包括漏洞信息、威胁信息）的积累，发布和管理问题，实现安全教育的全员化。从本质上来说统一安全管理就是指监督不同类型网络安全设备的运行以及安全事件处理所必需的各种活动的总称。其目标是确保计算机网络的安全、正常运行，并在出现安全事件时能及时响应和排除威胁。与网络管理很类似，安全管理也是通过某种方式对网络安全设备进行管理，使网络中的安全设备能正常高效地运行。