如何运用安全策略确保计算机桌面应用系统的安全.docVIP

如何运用安全策略确保计算机桌面应用系统的安全 信息全球化、经济全球化是当今世界发展的客观进程，处在现代高科技条件下的经济社会化和国际化的历史阶段，信息经济发展迅速。在当今安全意识逐渐增强的环境中，保护中型企业网络和及存储于其中的数据的纵深方法是非常复杂的事情。 仅仅依靠外围防御和防病毒不再足以保护网络资产和机密信息。 安全机构和专业人员现在已经认识到，有意无意的内部网风险可能甚至比外部攻击更危险。 如何运用安全策略确保计算机桌面应用系统（包括业务系统与操作系统）的安全。为了对付给中型企业带来风险的无数漏洞，企业在修补程序管理、反恶意软件解决方案和身份管理主动权等方面投入了大量的时间和资源。 为了确保这些投资可以在企业中普遍用到以及使投资取得最大的成效，企业必须找到可以高效实施安全策略的方法。 流氓计算机是认为风险不是特别大的系统，因为没有办法确定它们是否符合已建立的安全策略。 流氓计算机可能会为系统管理员和安全专业人员带来麻烦。 系统不一致会招致许多风险，从容易传染恶意软件到成为可能受到攻击的平台不等。 它们一贯都难以管理，也难以使它们符合策略。 对网络行为时时控制，时时记录并保存日志。通过网络行为管理功能，可以对网络中的所有客户机行为进行时时监控并记录。 软件系统的管理，也就是应用系统的管理。在做好了硬件系统的管理后，软件应用系统的安全也是非常必要的。因为你不能想象当一个其他部门的员工因需要临时借用财务用计算机时，可以随意察看和修改公司所有职工的工资。当然，象财务软件这样的应用系统一般都会对数据进行加密，或对用户的密码使用有一定的要求，但我们的机器里面还是有些软件在使用时是没有这些要求的，用户的习惯惰性也很容易促成软件应用系统安全漏洞。因此，根据本单位具体情况来制定相应的软件管理制度也是必要的。对操作系统的管理和配置，当前市场上好多操作系统，只要进行一些合理的配置，就能达到很高的安全等级。如windows Nt和windows 2000的英文版，经过一些设置，就可达到美国国防部的应用安全等级。确保计算机 计算机和计算机网络组成了一个虚拟的数字世界。在数字世界中，一切信息包括用户的身份信息都是由一组特定的数据表示，计算机只能识别用户的数字身份，给用户的授权也是针对用户数字身份进行的。 身份认证通常不要使用： 用户名 / 密码方式 和 IC 卡认证 这两种方法。前者， 简单易行 , 保护非关键性的系统，通常用容易被猜测的字符串作为密码，容易造成密码泄漏；由于密码是静态的数据，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。是极不安全的身份认证方式； 后者简单易行 , 很容易被内存扫描或网络监听等黑客技术窃取. 最好使用 ：动态口令或USB - KEY 生物特征认证。前者，一次一密，安全性较高，但使用烦琐，有可能造成新安全漏洞； 后者安全可靠，成本低廉但依赖硬件的安全性。 　 将风险降到最低的一种方法是使用加密文件系统 (EFS)。 EFS 是 Microsoft 的一项技术，它可以加密您的计算机上的文件，并控制谁可以解密或恢复这些文件。 数据经过加密后，即使入侵者对计算机硬盘具有物理访问权，也不能轻易阅读或修改数据。 （但是，经过加密的数据仍然可被删除。） 要使用 EFS，用户必须具有专门的加密文件系统证书和私钥，以便允许持有者使用 EFS 加密和解密数据。 但是，允许用户使用 EFS 也会产生一些其特有的风险。 首先，如果用户丢失了 EFS 证书和私钥，则将不再能访问加密数据。 因此，有必要在便携式计算机或工作站上备份用于加密数据的证书和私钥。 如果用户不在或突然离开机构，则加密的数据也可能不再能够被访问。 要防止这些潜在的风险，安装和注册数据恢复代理是非常重要的，它可在其管理范围内解密计算机上所有 EFS 加密的文件。 以下最佳做法可以帮助公司有效地使用和管理加密文件和文件夹及时更新丢失的数据恢复私钥。 丢失或破坏隶属于数据恢复代理的私钥对于企业来说是一个潜在的灾难。 恢复代理应将其文件恢复证书备份到安全位置。 将数据恢复证书和私钥导出到可移动的存储介质。 将可移动的介质保存在安全位置。物理保护计算机极其重要。 任何技术都不是天衣无缝的，都无法确保计算机免遭被偷或受到物理损坏，因此应该采取所有预防措施来防止此类事件发生。通常，应加密文件夹而不是加密单个文件，因为这样将加密这些文件夹中存储的所有文件，从而简化数据管理。防止潜在入侵者的一个最重要的预防措施是使用加强密码。Windows 生成和存储的用户帐户密码包含 15 个或更少的字符，而不是明文存储您的用户帐户密码，它有两种不同的密码表示方法（通常称为“哈希”），LAN Manager 哈希（LM 哈希）和 Windows NT 哈希（NT 哈希）