爱华网Forefront是Microsoft最新推出的功能完善的安全解决方案,它针对企业IT架构的安全防护需求,涵盖了边界安全、应用服务器安全和内部网络恶意软件防护三个方面。企业如果选择了Forefront,将获得和现有IT架构完美整合的安全保护方案,而不像以往部署单一保护的安全方案那样,只保护了企业内部网络中的某些节点。同时,IT部门还可以以统一中央控制台的形式,实时方便的掌握整个企业内部网络的安全防护状态和所发生的安全事件。 和企业中部署的其他安全方案一样,Forefront在企业部署成功,并投入运行之后,需要企业的IT部门或安全部门相关人员,持续不断的进行维护管理和对运行期间所有发生的事件进行处理。Forefront的安全事件处理,就是Forefront的日常管理中最重要的一环。
根据企业进行Forefront部署和管理的情况,Forefront的信息安全事件管理流程可以划分为四个阶段:计划(Plan)、保护(Protect)、检测(Detection)、响应(Respond),简称为PPDR流程。 计划阶段是企业在部署Forefront前,在管理层面上对Forefront部署的安全事件响应进行规划和资源的调配的阶段。其中,威胁评估是根据企业业务处理和IT架构的具体情况,并结合Forefront所提供的保护功能,进行对应的威胁分类和严重程度分析,并形成文档。 因为企业中能够分配的用于威胁保护和安全事件响应的资源总是有限的,进行威胁评估对提高企业安全投资的费效比非常有好处。在威胁评估阶段结束后,所有排在前列和标记为严重等级的威胁都应该列入企业的Forefront安全事件响应流程重点考虑的范围,并优先分配资源。 进行过威胁评估之后,企业除了需要按照威胁程度的高低不同分配资源外,还应该进行以下步骤: 制定Forefront安全事件的处理规范和上报制度,管理层的支持是所有安全项目成功的关键。 分配Forefront安全事件响应流程的负责人员并明确责任,建议最少安排一名专职人员负责。 分配Forefront安全事件响应所需的资源支持。 根据人员责任和所需的技术,组织相应的培训和演练。 保护阶段是Forefront在企业IT架构的基础上部署并启用的过程。这个阶段企业需要做的是将Forefron的具体部署情况按照一定的标准进行登记。检测阶段只由Forefront自动检测威胁的出现并自动进行处理,管理人员尚无进入干预。 响应阶段是管理人员处理在检测阶段所发现的安全事件的过程。为了更有效的控制并处理所有发生的安全事件,企业应该根据威胁评估的结果,在安全事件处理规范中规定出各个等级的安全事件的处理时间和流程。比如,发生在普通用户的一次恶意软件被ForefrontClientSecurity模块查杀的安全事件,管理人员并不需要立即到现场去查看实际情况,只需要在管理日志上进行登记即可,Forefront也会把这个事件写入自己的日志数据库中。但发生在电子商务企业的,针对客户资料数据库的一次不成功攻击试探则应该视为最严重的安全事件,管理人员应该立即到现场,在安全事件进一步扩大之前及时进行处理和控制。除了要严格按照安全事件响应规范来处理外,还应该将具体的情况进行书面记录、收集数字和实体证据,并上报相应的管理层负责人。 PPDR流程是经过实践证明的良好的通用安全事件响应流程,企业可以根据以上所介绍的方法和示例,并结合自己IT架构的实际,制定出更适合的Forefront安全事件响应流程,才能保证Forefront部署充分、有效、持续的发挥它完善的Windows节点覆盖能力和强大的安全功能。
