概述：Microsoft Forefront Security 是Microsoft針對企業(yè)用戶推出的功能完備的安全解決方案，它涵蓋了企業(yè)應(yīng)用中的網(wǎng)絡(luò)邊界安全、應(yīng)用服務(wù)器安全和客戶端 安全，是企業(yè)用戶應(yīng)對不斷發(fā)展的各種信息安全威脅的良好選擇。目前各種媒體上能找到許多有關(guān)Forefront Security的組成、功能、特性和如何使用的文章，但對企業(yè)用戶來說，還有諸如確定自己企業(yè)的應(yīng)用環(huán)境是否適合部署Forefront Security，在部署前應(yīng)該做什么樣的計劃和準備等許多問題尚待回答——這便是本文要介紹的Microsoft Forefront Security 部署規(guī)劃。

正文：

IT技術(shù)的飛速發(fā)展，大大提高了企業(yè)的信息獲取和處理能力，種種新設(shè)備新平臺的投入使用，也為提升企業(yè)的業(yè)務(wù)效率提供了很大幫助。但同時，企業(yè)IT架構(gòu)的不斷擴充和變更，有效的進行管理維護逐漸成為管理員不可能完成的任務(wù)，此外，企業(yè)與外界交換信息的增加，使得企業(yè)面對諸如惡意軟件、黑客入侵、拒絕服務(wù)等各種安全威脅的機會大大增加。于是，Microsoft提出了Core IO架構(gòu)概念，該構(gòu)架中專門針對企業(yè)的安全需求便是Microsoft Forefront Security安全解決方案。

在實踐中，我們往往可以看到這樣的情況：企業(yè)部署安全方案之前常常沒有對自身的情況進行詳細的調(diào)查，只是根據(jù)安全廠商的宣傳來選擇產(chǎn)品；選擇了產(chǎn)品之后，也沒有進行相應(yīng)的產(chǎn)品部署規(guī)劃，而是直接安排人手進行部署并啟用。實際上，這樣的操作并不符合企業(yè)部署安全方案的最佳實踐原則，部署規(guī)劃作為企業(yè)實施安全方案的重要一環(huán)，它實施的好壞將直接決定企業(yè)安全方案的效果。Forefront Security作為Microsoft Core IO架構(gòu)中組成中滿足安全需求的產(chǎn)品，企業(yè)在進行Forefront Security部署之前，同樣需要先進行部署規(guī)劃。

我們知道，IT產(chǎn)品的部署規(guī)劃的流程應(yīng)該采用Top-Down 方式，也即從高層往低層的執(zhí)行流程，而只有經(jīng)過管理層批準并給予大力支持的安全方案，才能成功的在企業(yè)范圍內(nèi)實行，也只有經(jīng)過管理層授權(quán)的人員（下文稱為“部署人”），才能更好的執(zhí)行Forefront Security在企業(yè)范圍內(nèi)的部署。因此，也可以按照Top-Down的原則將Forefront Security的部署規(guī)劃劃分為兩個組成部分：管理部分和技術(shù)部分。管理部分，包括企業(yè)IT架構(gòu)的識別分類和風(fēng)險評估分析、也包括制定部署準備方案、部署計劃、測試計劃、部署取消計劃、人員培訓(xùn)計劃等文檔工作；而技術(shù)部分，則是在IT技術(shù)方面為Forefront Security 部署進行準備，主要是為輔助Forefront Security部署規(guī)劃的管理部分而進行，下面我們來逐個了解一下這些Forefront Security部署規(guī)劃的組成部分：

企業(yè)IT架構(gòu)的識別和分類：企業(yè)IT架構(gòu)是構(gòu)成企業(yè)信息收集和處理能力的基礎(chǔ)，在部署Forefront Security對其進行保護之前，部署人應(yīng)該了解Forefront Security所要保護的目標是什么，該目標屬于什么類型的應(yīng)用，它在企業(yè)IT架構(gòu)中的重要程度如何等，這些問題的解決，依賴于 部署人對企業(yè)IT架構(gòu)的熟悉程度，對于實踐中的Forefront Security部署，我們可以通過采訪企業(yè)中各個部門的管理者和用戶，或采用抽樣問卷調(diào)查的方式，來獲得這個階段所需要的信息，并進行歸檔。然后我們可以根據(jù)這些企業(yè)IT架構(gòu)的組成對企業(yè)業(yè)務(wù)的影響，進行分類和優(yōu)先度確定，優(yōu)先度越高的架構(gòu)組成也是越需要在部署Forefront Security時優(yōu)先關(guān)注的應(yīng)用。

例如，對一個電子商務(wù)企業(yè)來說，執(zhí)行網(wǎng)上交易功能的Web服務(wù)器、數(shù)據(jù)庫服務(wù)器是關(guān)鍵應(yīng)用，優(yōu)先級為高。它用于和客戶聯(lián)絡(luò)的電子郵件服務(wù)器及人力資源部門持有所有員工個人信息的HR數(shù)據(jù)庫服務(wù)器，同樣也應(yīng)該劃分到優(yōu)先級為高的關(guān)鍵應(yīng)用的范圍里面去。但一個普通員工的桌面PC對該企業(yè)來說，就只能劃分到優(yōu)先級為低的普通應(yīng)用去。

另外，部署人還應(yīng)該了解企業(yè)IT架構(gòu)保護的目標，在信息安全的三個要素——保密性、完整性、可用性（CIA）中，F(xiàn)orefront Security的部署只能保證前兩者，而可用性則需要用另外的技術(shù)手段來獲得，部署人應(yīng)對此有所認識。

風(fēng)險評估分析：這個步驟和企業(yè)IT架構(gòu)的識別和分類步驟相類似，都是為Forefront Security部署目標進行優(yōu)先度分類而設(shè)立的。我們可以根據(jù)企業(yè)的一般業(yè)務(wù)流程，并結(jié)合對用戶的調(diào)查，對影響企業(yè)業(yè)務(wù)正常進行的安全威脅進行識別、判斷嚴重程度，例如，在一個企業(yè)中電子郵件是對外聯(lián)系的主要手段，但是用戶經(jīng)常向管理員反映垃圾郵件很多，還常常夾帶有不明的附件，這樣我們可以認為垃圾郵件是企業(yè)的安全威脅之一，威脅程度為嚴重；如果在另外一個企業(yè)中，內(nèi)部部署一套Office Communication Server執(zhí)行企業(yè)IM的功能，那么我們可以判斷消息竊聽、基于IM的惡意軟件，員工泄漏和自己工作有關(guān)的保密消息等都屬于安全威脅，但嚴重程度一般，部署人還可以使用威脅建模工具來輔助風(fēng)險評估分析工作。

上述兩個步驟的工作完成之后，部署人應(yīng)該對所收集的信息進行整理，最終形成文檔。所有的文檔都應(yīng)提交給管理層參考，在管理層 接受這些文檔并批準后，部署人就可以進入到制定計劃的階段。計劃制定階段的工作都基于前期調(diào)研階段所收集的信息上，在這個階段里部署人需要和管理層進行緊密協(xié)作，制定出Forefront Security部署中所要用到的多個計劃，它們包括：

Forefront Security 部署準備方案：確定部署人及用戶如何在規(guī)定的時間內(nèi)準備好Forefront Security部署所必須的軟硬件環(huán)境，如果條件不能滿足，要采取什么樣的措施。

Forefront Security 部署計劃：部署人需要根據(jù)前期調(diào)研階段所收集到的信息，制定出如何在企業(yè)IT架構(gòu)上集成Forefront Security的方案，如何在盡可能小或不影響企業(yè)業(yè)務(wù)進行的前提下，進行Forefront Security的部署，是否需要進行變更管理等。比如，在一個已經(jīng)部署有多個安全產(chǎn)品的企業(yè)中，進行Forefront Security 的新安裝部署，部署人需要先在小范圍內(nèi)進行Forefront Security組件的部署，并檢查它們與原有IT設(shè)施的共存情況，如果部署前后IT設(shè)施工作都正常，部署人方可在企業(yè)范圍內(nèi)進行Forefront Security的整體部署。這些步驟和流程都應(yīng)該反映在Forefront Security 部署計劃中。

Forefront Security 測試計劃：該計劃用于對Forefront Security小規(guī)模部署和企業(yè)范圍內(nèi)整體部署的效果進行有效性和業(yè)務(wù)影響測試，部署人可以根據(jù)企業(yè)業(yè)務(wù)設(shè)置模擬成能的保障Forefront Security的成功部署，并在其后續(xù)的運作中切實發(fā)揮其保護企業(yè)IT架構(gòu)作用的保障。