概述：Microsoft Forefront Security 是Microsoft針對企業用戶推出的功能完備的安全解決方案，它涵蓋了企業應用中的網絡邊界安全、應用服務器安全和客戶端 安全，是企業用戶應對不斷發展的各種信息安全威脅的良好選擇。目前各種媒體上能找到許多有關Forefront Security的組成、功能、特性和如何使用的文章，但對企業用戶來說，還有諸如確定自己企業的應用環境是否適合部署Forefront Security，在部署前應該做什么樣的計劃和準備等許多問題尚待回答——這便是本文要介紹的Microsoft Forefront Security 部署規劃。

正文：

IT技術的飛速發展，大大提高了企業的信息獲取和處理能力，種種新設備新平臺的投入使用，也為提升企業的業務效率提供了很大幫助。但同時，企業IT架構的不斷擴充和變更，有效的進行管理維護逐漸成為管理員不可能完成的任務，此外，企業與外界交換信息的增加，使得企業面對諸如惡意軟件、黑客入侵、拒絕服務等各種安全威脅的機會大大增加。于是，Microsoft提出了Core IO架構概念，該構架中專門針對企業的安全需求便是Microsoft Forefront Security安全解決方案。

在實踐中，我們往往可以看到這樣的情況：企業部署安全方案之前常常沒有對自身的情況進行詳細的調查，只是根據安全廠商的宣傳來選擇產品；選擇了產品之后，也沒有進行相應的產品部署規劃，而是直接安排人手進行部署并啟用。實際上，這樣的操作并不符合企業部署安全方案的最佳實踐原則，部署規劃作為企業實施安全方案的重要一環，它實施的好壞將直接決定企業安全方案的效果。Forefront Security作為Microsoft Core IO架構中組成中滿足安全需求的產品，企業在進行Forefront Security部署之前，同樣需要先進行部署規劃。

我們知道，IT產品的部署規劃的流程應該采用Top-Down 方式，也即從高層往低層的執行流程，而只有經過管理層批準并給予大力支持的安全方案，才能成功的在企業范圍內實行，也只有經過管理層授權的人員（下文稱為“部署人”），才能更好的執行Forefront Security在企業范圍內的部署。因此，也可以按照Top-Down的原則將Forefront Security的部署規劃劃分為兩個組成部分：管理部分和技術部分。管理部分，包括企業IT架構的識別分類和風險評估分析、也包括制定部署準備方案、部署計劃、測試計劃、部署取消計劃、人員培訓計劃等文檔工作；而技術部分，則是在IT技術方面為Forefront Security 部署進行準備，主要是為輔助Forefront Security部署規劃的管理部分而進行，下面我們來逐個了解一下這些Forefront Security部署規劃的組成部分：

企業IT架構的識別和分類：企業IT架構是構成企業信息收集和處理能力的基礎，在部署Forefront Security對其進行保護之前，部署人應該了解Forefront Security所要保護的目標是什么，該目標屬于什么類型的應用，它在企業IT架構中的重要程度如何等，這些問題的解決，依賴于 部署人對企業IT架構的熟悉程度，對于實踐中的Forefront Security部署，我們可以通過采訪企業中各個部門的管理者和用戶，或采用抽樣問卷調查的方式，來獲得這個階段所需要的信息，并進行歸檔。然后我們可以根據這些企業IT架構的組成對企業業務的影響，進行分類和優先度確定，優先度越高的架構組成也是越需要在部署Forefront Security時優先關注的應用。

例如，對一個電子商務企業來說，執行網上交易功能的Web服務器、數據庫服務器是關鍵應用，優先級為高。它用于和客戶聯絡的電子郵件服務器及人力資源部門持有所有員工個人信息的HR數據庫服務器，同樣也應該劃分到優先級為高的關鍵應用的范圍里面去。但一個普通員工的桌面PC對該企業來說，就只能劃分到優先級為低的普通應用去。

另外，部署人還應該了解企業IT架構保護的目標，在信息安全的三個要素——保密性、完整性、可用性（CIA）中，Forefront Security的部署只能保證前兩者，而可用性則需要用另外的技術手段來獲得，部署人應對此有所認識。

風險評估分析：這個步驟和企業IT架構的識別和分類步驟相類似，都是為Forefront Security部署目標進行優先度分類而設立的。我們可以根據企業的一般業務流程，并結合對用戶的調查，對影響企業業務正常進行的安全威脅進行識別、判斷嚴重程度，例如，在一個企業中電子郵件是對外聯系的主要手段，但是用戶經常向管理員反映垃圾郵件很多，還常常夾帶有不明的附件，這樣我們可以認為垃圾郵件是企業的安全威脅之一，威脅程度為嚴重；如果在另外一個企業中，內部部署一套Office Communication Server執行企業IM的功能，那么我們可以判斷消息竊聽、基于IM的惡意軟件，員工泄漏和自己工作有關的保密消息等都屬于安全威脅，但嚴重程度一般，部署人還可以使用威脅建模工具來輔助風險評估分析工作。

上述兩個步驟的工作完成之后，部署人應該對所收集的信息進行整理，最終形成文檔。所有的文檔都應提交給管理層參考，在管理層 接受這些文檔并批準后，部署人就可以進入到制定計劃的階段。計劃制定階段的工作都基于前期調研階段所收集的信息上，在這個階段里部署人需要和管理層進行緊密協作，制定出Forefront Security部署中所要用到的多個計劃，它們包括：

Forefront Security 部署準備方案：確定部署人及用戶如何在規定的時間內準備好Forefront Security部署所必須的軟硬件環境，如果條件不能滿足，要采取什么樣的措施。

Forefront Security 部署計劃：部署人需要根據前期調研階段所收集到的信息，制定出如何在企業IT架構上集成Forefront Security的方案，如何在盡可能小或不影響企業業務進行的前提下，進行Forefront Security的部署，是否需要進行變更管理等。比如，在一個已經部署有多個安全產品的企業中，進行Forefront Security 的新安裝部署，部署人需要先在小范圍內進行Forefront Security組件的部署，并檢查它們與原有IT設施的共存情況，如果部署前后IT設施工作都正常，部署人方可在企業范圍內進行Forefront Security的整體部署。這些步驟和流程都應該反映在Forefront Security 部署計劃中。

Forefront Security 測試計劃：該計劃用于對Forefront Security小規模部署和企業范圍內整體部署的效果進行有效性和業務影響測試，部署人可以根據企業業務設置模擬成能的保障Forefront Security的成功部署，并在其后續的運作中切實發揮其保護企業IT架構作用的保障。