前言:
Forefront Security是Microsoft最新推出的功能完善的安全解决方案,它针对企业IT架构的安全防护需求,涵盖了边界安全、应用服务器安全和内部网络恶意软件防护三个方面。在Forefront Security的组成中,用于边界安全的ISA从多年前起就是企业应用领域领先的防火墙产品;Forefront Security for Server在Microsoft Antigen产品的基础上,集成了多个反病毒引擎和更细粒度的内容控制技术;而Microsoft 在2007年11月才推出的Forefront Client Security,则将以其可靠的恶意软件防御功能和完善的Windows节点覆盖,成为企业反恶意软件产品市场强有力的竞争者。
正文:
企业如果选择了Forefront Security,将获得前所未有的和现有IT架构完美整合的安全保护方案,而不像以往部署单一保护的安全方案那样,只保护了企业内部网络中的某些节点。同时,企业的IT部门还可以以统一中央控制台的形式,实时方便的掌握整个企业内部网络的安全防护状态和所发生的安全事件。
尽管Forefront Security的功能强大,保护覆盖面广,但这并不表示Forefront Security是一个无需管理的产品。和企业中部署的其他安全方案一样,Forefront Security在企业部署成功,并投入运行之后,需要企业的IT部门或安全部门相关人员,持续不断的进行维护管理和对运行期间所有发生的事件进行处理。Forefront Security的安全事件处理,就是Forefront Security的日常管理中最重要的一环。

图: Forefront Security 的信息安全事件管理流程
企业只有根据Forefront Security的特点制定相应的安全事件响应流程,并分配相应的资源,才能保证Forefront Security部署完全发挥其保护企业IT架构和信息资产的作用。那么,企业应该怎样进行Forefront Security 安全事件响应流程的制定?
上图是笔者根据通用的安全事件响应流程所做的Forefront Security安全事件响应流程图,根据企业进行Forefront Security部署和管理的情况,划分为四个阶段:计划(Plan)、保护(Protect)、检测(Detection)、响应(Respond),我们可以将这个流程简称为PPDR流程。
Forefront Security安全事件响应流程的计划阶段(Plan,P):计划阶段是整个Forefront Security安全事件响应的最重要的部分,起总领全局的作用。它主要是企业在部署Forefront Security前,针对企业IT架构中可能发生的安全事件,在管理层面上对Forefront Security部署的安全事件响应进行规划和资源的调配的阶段,它包括两个最主要的步骤:威胁评估(Threat Assessment)和应急事件响应准备(Preparation for incident response)。

