Ｍｉｃｒｏｓｏｆｔ Ｆｏｒｅｆｒｏｎｔ管理和安全事件響應

Forefront是Microsoft最新推出的功能完善的安全解決方案，它針對企業IT架構的安全防護需求，涵蓋了邊界安全、應用服務器安全和內部網絡惡意軟件防護三個方面。企業如果選擇了Forefront，將獲得和現有IT架構完美整合的安全保護方案，而不像以往部署單一保護的安全方案那樣，只保護了企業內部網絡中的某些節點。同時，IT部門還可以以統一中央控制臺的形式，實時方便的掌握整個企業內部網絡的安全防護狀態和所發生的安全事件。

和企業中部署的其他安全方案一樣，Forefront在企業部署成功，并投入運行之后，需要企業的IT部門或安全部門相關人員，持續不斷的進行維護管理和對運行期間所有發生的事件進行處理。Forefront的安全事件處理，就是Forefront的日常管理中最重要的一環。

根據企業進行Forefront部署和管理的情況，Forefront的信息安全事件管理流程可以劃分為四個階段：計劃(Plan)、保護(Protect)、檢測(Detection)、響應(Respond)，簡稱為PPDR流程。

計劃階段是企業在部署Forefront前，在管理層面上對Forefront部署的安全事件響應進行規劃和資源的調配的階段。其中，威脅評估是根據企業業務處理和IT架構的具體情況，并結合Forefront所提供的保護功能，進行對應的威脅分類和嚴重程度分析，并形成文檔。

因為企業中能夠分配的用于威脅保護和安全事件響應的資源總是有限的，進行威脅評估對提高企業安全投資的費效比非常有好處。在威脅評估階段結束后，所有排在前列和標記為嚴重等級的威脅都應該列入企業的Forefront安全事件響應流程重點考慮的范圍，并優先分配資源。

進行過威脅評估之后，企業除了需要按照威脅程度的高低不同分配資源外，還應該進行以下步驟：

制定Forefront安全事件的處理規范和上報制度，管理層的支持是所有安全項目成功的關鍵。

分配Forefront安全事件響應流程的負責人員并明確責任，建議最少安排一名專職人員負責。

分配Forefront安全事件響應所需的資源支持。

根據人員責任和所需的技術，組織相應的培訓和演練。

保護階段是Forefront在企業IT架構的基礎上部署并啟用的過程。這個階段企業需要做的是將Forefront的具體部署情況按照一定的標準進行登記。檢測階段只由Forefront自動檢測威脅的出現并自動進行處理，管理人員尚無進入干預。

響應階段是管理人員處理在檢測階段所發現的安全事件的過程。為了更有效的控制并處理所有發生的安全事件，企業應該根據威脅評估的結果，在安全事件處理規范中規定出各個等級的安全事件的處理時間和流程。比如，發生在普通用戶的一次惡意軟件被Forefront Client Security模塊查殺的安全事件，管理人員并不需要立即到現場去查看實際情況，只需要在管理日志上進行登記即可，Forefront也會把這個事件寫入自己的日志數據庫中。但發生在電子商務企業的，針對客戶資料數據庫的一次不成功攻擊試探則應該視為最嚴重的安全事件，管理人員應該立即到現場，在安全事件進一步擴大之前及時進行處理和控制。除了要嚴格按照安全事件響應規范來處理外，還應該將具體的情況進行書面記錄、收集數字和實體證據，并上報相應的管理層負責人。

PPDR流程是經過實踐證明的良好的通用安全事件響應流程，企業可以根據以上所介紹的方法和示例，并結合自己IT架構的實際，制定出更適合的Forefront安全事件響應流程，才能保證Forefront部署充分、有效、持續的發揮它完善的Windows節點覆蓋能力和強大的安全功能。