Office Communications是微软公司设计的一款即时通信工具。通过这个工具，可以让企业员工进行实时的对话。而且，这个工具可以跟微软的办公软件、邮件客户端、ERP系统等等实现无缝的集成，大大提高了其工作的效率。但是，随之也带来了一系列的问题，为病毒的传播和扩散打开了方便之门。

　　一、Forefront能够为Office Communications做什么

　　在现实工作中，IM已经成为了企业病毒传播和扩散的主要渠道之一。所以现在即时通信应用环境中，需要一种能够提供病毒防护、文件筛选、内容筛选等等综合性的解决方案。Forefront就能够满足这个需求。为了更好的满足用户的需要，微软公司在Forefront框架下，专门为这个应用设计了一个工具，简称FSOCS。通过这个工具即能够实时扫描所有通过IM服务器来传送的消息和文件，而且对服务器的性能也不会造成很大的不利影响。

　　如上图所示，Forefront主要能够提供如下功能。

　　一是文件筛选功能，可以根据文件名称、类型、扩展名或者大小来筛选问题。如通过IM来传送文件，可以规定其可以传输的最大容量是多少。毕竟IM不是专业的文件传输工具。如果使用其来传输大文件的话，会对企业的网络带来比较大的负担。故一般情况下，只允许其传输比较小的文件，如2M之内的文件等等。企业网络管理人员可以根据自己的网络状况来进行设置。

　　二是病毒防护功能，可以里用多个防病毒扫描引擎来进行病毒扫描。以前邮件是病毒传播的良好途径。但是随着反病毒垃圾邮件系统的完善，其能够发挥的地方已经大大的缩小了。随着IM服务器应用的普及，病毒已经开始向这个领域蔓延。如某个用户需要向另一个用户发送一封Word文档。如果发送者的电脑已经中毒，此时就可以在传送的过程中在Word文档里加入恶意的代码，从而让接收者也中招。从而实现病毒的传播过程。通过这个病毒防护功能，就可以避免通过IM来进行病毒的传播。特别是Forefront可以同时支持多个扫描引擎。虽然目前防病毒供应商能会设法尽快发布病毒特征库。但是事实上是不同的供应商器发布的时间往往是有先后的。在这种情况下，如果采用多个防病毒扫描引擎的话，用户就可以享受多样化带来的好处。如现在在Forefront中使用三个扫描引擎。这三个不同的供应商对于同一种病毒其响应的时间是不同的。为此在病毒爆发的时候，很可能只有一家供应商提供了病毒的特征库。所以这笔只采用一个防病毒引擎要安全许多。也就是说，其命中的概率会比较高。

　　三是相关的预警与通知功能。IM服务器的性能如何、最近一段时间有哪些安全事件等等，系统都可以通过邮件等形式向管理员进行汇报。这可以让管理员在第一时间内掌握充分的信息。对于后续的维护与优化提供必要的数据支持。

　　二、FSOCS多扫描引擎的配置及注意事项

　　在上面的防病毒防护功能中，笔者已经谈到过，可以通过配置多个病毒扫描引擎来提高IM应用环境的安全性。即不要将鸡蛋都放在一个篮子里。在这部分内容中，笔者就谈谈这个配置过程中需要注意的内容。

　　第一是需要注意数量的限制。在FSOCS中，其最多可以支持同时使用五个病毒扫描引擎。一般来说，这个数量已经足够了。从另一个侧面也在提醒管理员，在选择使用病毒扫描引擎的时候，最好选择那些反映比较快的供应商。根据笔者的经验，只要选择适当，通常情况下配置三个防病毒扫描引擎就已经足够。同时在选择防病毒扫描引擎产品的时候，需要注意与FSOCS的兼容性。具体信息可以向供应商求证。一个通用的判断标准就是看这个扫描引擎，有没有通过英国西海岸实验室或者国际计算机安全协会实验室的认证。只要通过了这两个认证的其中一个，FSOCS都是与其兼容的。

　　第二是需要注意其使用的优先级。当配置了多个扫描引擎之后，到底哪个引擎的优先级比较高呢?这也是必须要解决的一个问题。一般情况下，只要扫描过程中使用的任何一个引擎检测到某些可以的内容(有病毒或者木马的特征)，FSOCS便会认为其已经感染了病毒。此时系统便会根据预先定义的规则来采取行动，防止病毒的扩善。在这个过程中，还需要关注“引擎分级”的内容。系统会自动根据配置的每个引擎的以前的表现以及使用年限来对其进行分级。系统就是根据这个分级的结果，在各个引擎之间进行均衡，以便在扫描期间更多的使用性能与效果比较好的引擎，并确定某文件是否被感染时侧重要考虑哪些扫描引擎的结果。如此的话，就可以确保最新(病毒特征库版本)和性能非常好的的引擎在扫描过程中具有更大的影响力。总结起来就是三句话。一是以票否决，即只要一个引擎认为其有病毒，就被否决掉了。二是自动判断，系统会自动根据相关的规则来确定优先使用的防病毒引擎。三是求同存异、和平共处。多个扫描引擎之间并不会自动同步更新，而是保证相对的独立性。

　　第三是需要在性能与安全之间取得一个均衡。通常情况下，增加引擎的数量确实可以提高企业IM应用环境的安全性。但是同时需要注意的是，使用的引擎越多，系统的性能也会下降。也就是说，对于扫描引擎来说，随着其数量的增多，安全与性能是曾一个反向变动的关系。此时管理人员就需要在两者之间取得一个均衡。要选择一个合适的数据引擎数量，让其即能够满足企业的安全需求，也不会对用户的正常使用产生不利的影响。笔者的建议是，可以先选择一个中间数，如三个扫描引擎。然后根据实际的使用效果，来进行上下的调整。另外一个就是可以在不改变数据引擎的条件下，通过选择技术实力比较强的扫描引擎，来提高企业的安全性。此时也不会因为数据引擎的增加，而影响服务器的性能。

　　三、配置事件通知来提高管理员的响应能力

　　FSOCS只能够识别并清除在传输过程中的病毒，而不能够彻底查杀客户端(发送者)主机那边的病毒。这需要防病毒软件来负责进行。为此当FSOCS发现有病毒或者木马的时候，系统要及时的告知给管理员。然后管理员根据相关的信息来定位客户端，最后再进行“大扫除”工作。只有如此，才能够最终将病毒清除干净。所以在使用FSOCS的时候，需要同时配置事件功能，来提高管理员的响应能力，提高整体应用环境的安全。