Forefront是Microsoft最新推出的功能完善的安全解決方案，它針對(duì)企業(yè)IT架構(gòu)的安全防護(hù)需求，涵蓋了邊界安全、應(yīng)用服務(wù)器安全和內(nèi)部網(wǎng)絡(luò)惡意軟件防護(hù)三個(gè)方面。企業(yè)如果選擇了Forefront，將獲得和現(xiàn)有IT架構(gòu)完美整合的安全保護(hù)方案，而不像以往部署單一保護(hù)的安全方案那樣，只保護(hù)了企業(yè)內(nèi)部網(wǎng)絡(luò)中的某些節(jié)點(diǎn)。同時(shí)，IT部門(mén)還可以以統(tǒng)一中央控制臺(tái)的形式，實(shí)時(shí)方便的掌握整個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)狀態(tài)和所發(fā)生的安全事件。

和企業(yè)中部署的其他安全方案一樣，F(xiàn)orefront在企業(yè)部署成功，并投入運(yùn)行之后，需要企業(yè)的IT部門(mén)或安全部門(mén)相關(guān)人員，持續(xù)不斷的進(jìn)行維護(hù)管理和對(duì)運(yùn)行期間所有發(fā)生的事件進(jìn)行處理。Forefront的安全事件處理，就是Forefront的日常管理中最重要的一環(huán)。

根據(jù)企業(yè)進(jìn)行Forefront部署和管理的情況，F(xiàn)orefront的信息安全事件管理流程可以劃分為四個(gè)階段：計(jì)劃(Plan)、保護(hù)(Protect)、檢測(cè)(Detection)、響應(yīng)(Respond)，簡(jiǎn)稱(chēng)為PPDR流程。

計(jì)劃階段是企業(yè)在部署Forefront前，在管理層面上對(duì)Forefront部署的安全事件響應(yīng)進(jìn)行規(guī)劃和資源的調(diào)配的階段。其中，威脅評(píng)估是根據(jù)企業(yè)業(yè)務(wù)處理和IT架構(gòu)的具體情況，并結(jié)合Forefront所提供的保護(hù)功能，進(jìn)行對(duì)應(yīng)的威脅分類(lèi)和嚴(yán)重程度分析，并形成文檔。

因?yàn)槠髽I(yè)中能夠分配的用于威脅保護(hù)和安全事件響應(yīng)的資源總是有限的，進(jìn)行威脅評(píng)估對(duì)提高企業(yè)安全投資的費(fèi)效比非常有好處。在威脅評(píng)估階段結(jié)束后，所有排在前列和標(biāo)記為嚴(yán)重等級(jí)的威脅都應(yīng)該列入企業(yè)的Forefront安全事件響應(yīng)流程重點(diǎn)考慮的范圍，并優(yōu)先分配資源。

進(jìn)行過(guò)威脅評(píng)估之后，企業(yè)除了需要按照威脅程度的高低不同分配資源外，還應(yīng)該進(jìn)行以下步驟：

制定Forefront安全事件的處理規(guī)范和上報(bào)制度，管理層的支持是所有安全項(xiàng)目成功的關(guān)鍵。

分配Forefront安全事件響應(yīng)流程的負(fù)責(zé)人員并明確責(zé)任，建議最少安排一名專(zhuān)職人員負(fù)責(zé)。

分配Forefront安全事件響應(yīng)所需的資源支持。

根據(jù)人員責(zé)任和所需的技術(shù)，組織相應(yīng)的培訓(xùn)和演練。

保護(hù)階段是Forefront在企業(yè)IT架構(gòu)的基礎(chǔ)上部署并啟用的過(guò)程。這個(gè)階段企業(yè)需要做的是將Forefront的具體部署情況按照一定的標(biāo)準(zhǔn)進(jìn)行登記。檢測(cè)階段只由Forefront自動(dòng)檢測(cè)威脅的出現(xiàn)并自動(dòng)進(jìn)行處理，管理人員尚無(wú)進(jìn)入干預(yù)。

響應(yīng)階段是管理人員處理在檢測(cè)階段所發(fā)現(xiàn)的安全事件的過(guò)程。為了更有效的控制并處理所有發(fā)生的安全事件，企業(yè)應(yīng)該根據(jù)威脅評(píng)估的結(jié)果，在安全事件處理規(guī)范中規(guī)定出各個(gè)等級(jí)的安全事件的處理時(shí)間和流程。比如，發(fā)生在普通用戶(hù)的一次惡意軟件被Forefront Client Security模塊查殺的安全事件，管理人員并不需要立即到現(xiàn)場(chǎng)去查看實(shí)際情況，只需要在管理日志上進(jìn)行登記即可，F(xiàn)orefront也會(huì)把這個(gè)事件寫(xiě)入自己的日志數(shù)據(jù)庫(kù)中。但發(fā)生在電子商務(wù)企業(yè)的，針對(duì)客戶(hù)資料數(shù)據(jù)庫(kù)的一次不成功攻擊試探則應(yīng)該視為最嚴(yán)重的安全事件，管理人員應(yīng)該立即到現(xiàn)場(chǎng)，在安全事件進(jìn)一步擴(kuò)大之前及時(shí)進(jìn)行處理和控制。除了要嚴(yán)格按照安全事件響應(yīng)規(guī)范來(lái)處理外，還應(yīng)該將具體的情況進(jìn)行書(shū)面記錄、收集數(shù)字和實(shí)體證據(jù)，并上報(bào)相應(yīng)的管理層負(fù)責(zé)人。

PPDR流程是經(jīng)過(guò)實(shí)踐證明的良好的通用安全事件響應(yīng)流程，企業(yè)可以根據(jù)以上所介紹的方法和示例，并結(jié)合自己IT架構(gòu)的實(shí)際，制定出更適合的Forefront安全事件響應(yīng)流程，才能保證Forefront部署充分、有效、持續(xù)的發(fā)揮它完善的Windows節(jié)點(diǎn)覆蓋能力和強(qiáng)大的安全功能。