Microsoft Forefront Security部署规划

【51CTO.com 综合报道】概述：Microsoft Forefront Security 是Microsoft针对企业用户推出的功能完备的安全解决方案，它涵盖了企业应用中的网络边界安全、应用服务器安全和客户端 安全，是企业用户应对不断发展的各种信息安全威胁的良好选择。目前各种媒体上能找到许多有关Forefront Security的组成、功能、特性和如何使用的文章，但对企业用户来说，还有诸如确定自己企业的应用环境是否适合部署Forefront Security，在部署前应该做什么样的计划和准备等许多问题尚待回答——这便是本文要介绍的Microsoft Forefront Security 部署规划。

正文：

IT技术的飞速发展，大大提高了企业的信息获取和处理能力，种种新设备新平台的投入使用，也为提升企业的业务效率提供了很大帮助。但同时，企业IT架构的不断扩充和变更，有效的进行管理维护逐渐成为管理员不可能完成的任务，此外，企业与外界交换信息的增加，使得企业面对诸如恶意软件、黑客入侵、拒绝服务等各种安全威胁的机会大大增加。于是，Microsoft提出了Core IO架构概念，该构架中专门针对企业的安全需求便是Microsoft Forefront Security安全解决方案。

在实践中，我们往往可以看到这样的情况：企业部署安全方案之前常常没有对自身的情况进行详细的调查，只是根据安全厂商的宣传来选择产品；选择了产品之后，也没有进行相应的产品部署规划，而是直接安排人手进行部署并启用。实际上，这样的操作并不符合企业部署安全方案的最佳实践原则，部署规划作为企业实施安全方案的重要一环，它实施的好坏将直接决定企业安全方案的效果。Forefront Security作为Microsoft Core IO架构中组成中满足安全需求的产品，企业在进行Forefront Security部署之前，同样需要先进行部署规划。

我们知道，IT产品的部署规划的流程应该采用Top-Down 方式，也即从高层往低层的执行流程，而只有经过管理层批准并给予大力支持的安全方案，才能成功的在企业范围内实行，也只有经过管理层授权的人员（下文称为“部署人”），才能更好的执行Forefront Security在企业范围内的部署。因此，也可以按照Top-Down的原则将Forefront Security的部署规划划分为两个组成部分：管理部分和技术部分。管理部分，包括企业IT架构的识别分类和风险评估分析、也包括制定部署准备方案、部署计划、测试计划、部署取消计划、人员培训计划等文档工作；而技术部分，则是在IT技术方面为Forefront Security 部署进行准备，主要是为辅助Forefront Security部署规划的管理部分而进行，下面我们来逐个了解一下这些Forefront Security部署规划的组成部分：

企业IT架构的识别和分类：企业IT架构是构成企业信息收集和处理能力的基础，在部署Forefront Security对其进行保护之前，部署人应该了解Forefront Security所要保护的目标是什么，该目标属于什么类型的应用，它在企业IT架构中的重要程度如何等，这些问题的解决，依赖于 部署人对企业IT架构的熟悉程度，对于实践中的Forefront Security部署，我们可以通过采访企业中各个部门的管理者和用户，或采用抽样问卷调查的方式，来获得这个阶段所需要的信息，并进行归档。然后我们可以根据这些企业IT架构的组成对企业业务的影响，进行分类和优先度确定，优先度越高的架构组成也是越需要在部署Forefront Security时优先关注的应用。

例如，对一个电子商务企业来说，执行网上交易功能的Web服务器、数据库服务器是关键应用，优先级为高。它用于和客户联络的电子邮件服务器及人力资源部门持有所有员工个人信息的HR数据库服务器，同样也应该划分到优先级为高的关键应用的范围里面去。但一个普通员工的桌面PC对该企业来说，就只能划分到优先级为低的普通应用去。

另外，部署人还应该了解企业IT架构保护的目标，在信息安全的三个要素——保密性、完整性、可用性（CIA）中，Forefront Security的部署只能保证前两者，而可用性则需要用另外的技术手段来获得，部署人应对此有所认识。

风险评估分析：这个步骤和企业IT架构的识别和分类步骤相类似，都是为Forefront Security部署目标进行优先度分类而设立的。我们可以根据企业的一般业务流程，并结合对用户的调查，对影响企业业务正常进行的安全威胁进行识别、判断严重程度，例如，在一个企业中电子邮件是对外联系的主要手段，但是用户经常向管理员反映垃圾邮件很多，还常常夹带有不明的附件，这样我们可以认为垃圾邮件是企业的安全威胁之一，威胁程度为严重；如果在另外一个企业中，内部部署一套Office Communication Server执行企业IM的功能，那么我们可以判断消息窃听、基于IM的恶意软件，员工泄漏和自己工作有关的保密消息等都属于安全威胁，但严重程度一般，部署人还可以使用威胁建模工具来辅助风险评估分析工作。

上述两个步骤的工作完成之后，部署人应该对所收集的信息进行整理，最终形成文档。所有的文档都应提交给管理层参考，在管理层 接受这些文档并批准后，部署人就可以进入到制定计划的阶段。计划制定阶段的工作都基于前期调研阶段所收集的信息上，在这个阶段里部署人需要和管理层进行紧密协作，制定出Forefront Security部署中所要用到的多个计划，它们包括：

Forefront Security 部署准备方案：确定部署人及用户如何在规定的时间内准备好Forefront Security部署所必须的软硬件环境，如果条件不能满足，要采取什么样的措施。

Forefront Security 部署计划：部署人需要根据前期调研阶段所收集到的信息，制定出如何在企业IT架构上集成Forefront Security的方案，如何在尽可能小或不影响企业业务进行的前提下，进行Forefront Security的部署，是否需要进行变更管理等。比如，在一个已经部署有多个安全产品的企业中，进行Forefront Security 的新安装部署，部署人需要先在小范围内进行Forefront Security组件的部署，并检查它们与原有IT设施的共存情况，如果部署前后IT设施工作都正常，部署人方可在企业范围内进行Forefront Security的整体部署。这些步骤和流程都应该反映在Forefront Security 部署计划中。

Forefront Security 测试计划：该计划用于对Forefront Security小规模部署和企业范围内整体部署的效果进行有效性和业务影响测试，部署人可以根据企业业务设置模拟场景，或直接使用Forefront部署前后的用户反馈进行比较，并最终形成测试报告。

Forefront Security 部署取消计划：如果Forefront Security不能满足企业业务的需要，或者是部署Forefront Security之后企业的IT设施出现了许多问题，怎么办？这时，就需要Forefront Security部署取消计划，这个计划确定如果要在企业范围内暂停或取消Forefront Security部署时的操作流程，部署人可以根据管理层的要求，选择退回到原有IT设施的操作，或暂停Forefront Security的部署，等待问题解决后再进行。

人员培训计划：Forefront Security部署之后，企业需要保持对其进行维护和管理才能保证它能够持续的发挥保护作用，因此，企业需要为Forefront Security操作员、管理员和用户准备相应的材料，或者进行短时间的在线/实体培训等，这都需要部署人写入到人员培训计划里面去。

以上便是Forefront Security部署中常用的部署规划步骤，因为每个企业的IT架构都有别于其他企业，所以部署人可以根据企业和业务的实际情况进行相应的调整。

俗话说，凡事预则立，不预则废，只有通过完善的部署规划，才能尽可能的保障Forefront Security的成功部署，并在其后续的运作中切实发挥其保护企业IT架构作用的保障。