Forefront Security的管理策略和事件

    FSS管理策略

　　企业如果选择了FSS作为自己内部网络中Microsoft系列应用服务器的安全解决方案，要制定相应的管理策略来保证FSS部署的良好运行及其对企业信息资产的保护效果。企业可以根据以下的流程来制定针对FSS部署的管理策略：

　　第一，根据企业的安全策略来确定企业内应用服务器及其承载信息的保护原则。根据部署安全方案都应该遵循目标企业安全策略的原则，企业在部署FSS之前，应该先根据自己的安全策略，确定出需要用FSS部署保护的应用服务器及其承载信息的范围，比如对一个电子商务企业来说，企业与客户、业务伙伴之间进行的电子邮件及信息交换是重要的信息资产，以及承载这些信息的Exchange服务器就是FSS部署需要保护的范围;而对一个制造业企业来说，产品图纸属于商业机密，内部人员在使用企业内部网络中的Portal服务时，不应该上传或下载不符合其身份等级的文档，同时Portal服务还是该企业内部进行协作的重要场所，因此，属于该企业商业机密的信息及承载这些信息的SharePoint服务器就是FSS部署需要保护的对象。

　　第二，根据企业的IT环境和IT服务响应时间确定FSS适当的保护等级。我们知道，对信息资产的保护来说，不恰当的保护会降低信息资产的保密性或可用性，不安全和过度安全都不好。FSS的部署也如此，企业需要根据自己的IT环境的实际情况，结合业务所需要的 IT服务响应时间，确定FSS适当的保护等级。这在FSS部署的配置上反映为对FSS反恶意软件引擎的启用数量，FSS最多能够同时启用4个不同的反恶意软件引擎，提供最好的反恶意软件防护，但在处理信息的性能上却是最差的;如果只启用单个反恶意软件引擎，虽然能得到FSS最好的信息处理性能，但安全性却不能得到充分的保证。因此，对于信息流量不大的小型企业，可以配置FSS为同时启用4个不同的反恶意软件引擎，这时FSS造成的性能损失尚在可以接受的范围之内;而对于规模较大的企业，则最好只启用2个不同的引擎，以在安全性和性能之间达到平衡。

　　第三，制定FSS日常管理和事件响应策略。对FSS良好的日常管理及事件响应操作，才能保证FSS部署能够发挥其保护企业应用服务器和信息资产的能力。因此企业应该制定出规范的FSS日常管理和事件响应策略，并形成文件，并对管理FSS部署的技术人员进行必要的培训。

　　FSS的事件响应

　　在FSS成功部署之后，企业还应该密切关注FSS的执行情况，并及时对FSS所反映的安全事件及时进行响应和控制，根据所发生事件的不同，企业还需要采取不同的响应策略。在企业的FSS部署中，最常遇到以下两种类型的安全事件：

　　第一，恶意软件事件。恶意软件事件是企业内部网络中最常发生的安全事件，这点也反映在企业的FSS部署上， FSS的管理员应该根据企业所制定FSS事件响应策略，通过FSS的日志报告确定安全事件的发生位置，并及时进行处理。比如Forefront Security for Exchange Server报告发现企业内部有包含恶意软件的电子邮件正在往外发送，管理员应根据FSS的日志报告，确定发送恶意软件邮件的客户端系统，及时到场处理并做好记录。而对Forefront Security for SharePoint来说，如果FSS报告有用户提交携带恶意软件的文档，管理员也应该根据FSS的日志报告，确定提交恶意文档的客户端系统，并到场处理。

　　第二，敏感信息泄漏事件。FSS提供了根据关键词及文件类型进行过滤的敏感信息过滤的功能，在这个功能开启的情况下，FSS可能会报告相当多的违规信息试图通过受FSS保护的应用服务器。管理员应该及时根据FSS部署的日志报告，确定违规使用信息的客户端系统，并通知相关的责任人及其管理人。另外，企业在根据自己的安全策略对FSS部署进行敏感信息泄漏防护配置的同时，也应该对企业员工进行相关的信息资产保护教育，以减少敏感信息泄漏事件的发生和降低FSS的误报率。