Ｍｉｃｒｏｓｏｆｔ Ｆｏｒｅｆｒｏｎｔ管理和安全事件響應(yīng)

Forefront是Microsoft最新推出的功能完善的安全解決方案，它針對企業(yè)IT架構(gòu)的安全防護(hù)需求，涵蓋了邊界安全、應(yīng)用服務(wù)器安全和內(nèi)部網(wǎng)絡(luò)惡意軟件防護(hù)三個方面。企業(yè)如果選擇了Forefront，將獲得和現(xiàn)有IT架構(gòu)完美整合的安全保護(hù)方案，而不像以往部署單一保護(hù)的安全方案那樣，只保護(hù)了企業(yè)內(nèi)部網(wǎng)絡(luò)中的某些節(jié)點。同時，IT部門還可以以統(tǒng)一中央控制臺的形式，實時方便的掌握整個企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)狀態(tài)和所發(fā)生的安全事件。

和企業(yè)中部署的其他安全方案一樣，F(xiàn)orefront在企業(yè)部署成功，并投入運(yùn)行之后，需要企業(yè)的IT部門或安全部門相關(guān)人員，持續(xù)不斷的進(jìn)行維護(hù)管理和對運(yùn)行期間所有發(fā)生的事件進(jìn)行處理。Forefront的安全事件處理，就是Forefront的日常管理中最重要的一環(huán)。

根據(jù)企業(yè)進(jìn)行Forefront部署和管理的情況，F(xiàn)orefront的信息安全事件管理流程可以劃分為四個階段：計劃(Plan)、保護(hù)(Protect)、檢測(Detection)、響應(yīng)(Respond)，簡稱為PPDR流程。

計劃階段是企業(yè)在部署Forefront前，在管理層面上對Forefront部署的安全事件響應(yīng)進(jìn)行規(guī)劃和資源的調(diào)配的階段。其中，威脅評估是根據(jù)企業(yè)業(yè)務(wù)處理和IT架構(gòu)的具體情況，并結(jié)合Forefront所提供的保護(hù)功能，進(jìn)行對應(yīng)的威脅分類和嚴(yán)重程度分析，并形成文檔。

因為企業(yè)中能夠分配的用于威脅保護(hù)和安全事件響應(yīng)的資源總是有限的，進(jìn)行威脅評估對提高企業(yè)安全投資的費(fèi)效比非常有好處。在威脅評估階段結(jié)束后，所有排在前列和標(biāo)記為嚴(yán)重等級的威脅都應(yīng)該列入企業(yè)的Forefront安全事件響應(yīng)流程重點考慮的范圍，并優(yōu)先分配資源。

進(jìn)行過威脅評估之后，企業(yè)除了需要按照威脅程度的高低不同分配資源外，還應(yīng)該進(jìn)行以下步驟：

制定Forefront安全事件的處理規(guī)范和上報制度，管理層的支持是所有安全項目成功的關(guān)鍵。

分配Forefront安全事件響應(yīng)流程的負(fù)責(zé)人員并明確責(zé)任，建議最少安排一名專職人員負(fù)責(zé)。

分配Forefront安全事件響應(yīng)所需的資源支持。

根據(jù)人員責(zé)任和所需的技術(shù)，組織相應(yīng)的培訓(xùn)和演練。

保護(hù)階段是Forefront在企業(yè)IT架構(gòu)的基礎(chǔ)上部署并啟用的過程。這個階段企業(yè)需要做的是將Forefront的具體部署情況按照一定的標(biāo)準(zhǔn)進(jìn)行登記。檢測階段只由Forefront自動檢測威脅的出現(xiàn)并自動進(jìn)行處理，管理人員尚無進(jìn)入干預(yù)。

響應(yīng)階段是管理人員處理在檢測階段所發(fā)現(xiàn)的安全事件的過程。為了更有效的控制并處理所有發(fā)生的安全事件，企業(yè)應(yīng)該根據(jù)威脅評估的結(jié)果，在安全事件處理規(guī)范中規(guī)定出各個等級的安全事件的處理時間和流程。比如，發(fā)生在普通用戶的一次惡意軟件被Forefront Client Security模塊查殺的安全事件，管理人員并不需要立即到現(xiàn)場去查看實際情況，只需要在管理日志上進(jìn)行登記即可，F(xiàn)orefront也會把這個事件寫入自己的日志數(shù)據(jù)庫中。但發(fā)生在電子商務(wù)企業(yè)的，針對客戶資料數(shù)據(jù)庫的一次不成功攻擊試探則應(yīng)該視為最嚴(yán)重的安全事件，管理人員應(yīng)該立即到現(xiàn)場，在安全事件進(jìn)一步擴(kuò)大之前及時進(jìn)行處理和控制。除了要嚴(yán)格按照安全事件響應(yīng)規(guī)范來處理外，還應(yīng)該將具體的情況進(jìn)行書面記錄、收集數(shù)字和實體證據(jù)，并上報相應(yīng)的管理層負(fù)責(zé)人。

PPDR流程是經(jīng)過實踐證明的良好的通用安全事件響應(yīng)流程，企業(yè)可以根據(jù)以上所介紹的方法和示例，并結(jié)合自己IT架構(gòu)的實際，制定出更適合的Forefront安全事件響應(yīng)流程，才能保證Forefront部署充分、有效、持續(xù)的發(fā)揮它完善的Windows節(jié)點覆蓋能力和強(qiáng)大的安全功能。