操作系统安全：安全策略的制定与实施.docxVIP

Window安全策略的制定与实施 一、安全策略一：给系统打补丁 1、加强windows用户账户认证和访问控制权限控制 通过经常给电脑打补丁来保护电脑数据，这是一个保护电脑、防护很多病毒的有效措施。因为大多数电脑病毒都是通过WINDOWS操作系统的漏洞进行攻击、破坏电脑的正常使用，给用户造成不可估量的损失。而补丁是修复瑕疵以及安全漏洞的。在已经习惯给防病毒软件升级的今天，打补丁同样重要。打补丁的频率一般是每月检查一次，使用Windows 打开自动更新功能将使Windows随时使用最新的补丁，而其他应用程序可以相关厂商的网站寻找补丁进行更新。 二、安全策略二：对系统管理员账号进行管理 1、重要数据进行加密传输 常见的是传密码的时候对密码进行MD5（本质是一种散列算法，和AES等加密算法不一样，因为不是加密，所以不可以解密，网上的所谓MD5解密，其实是在海量数据里的一种反推）加密。 三、安全制定Windows重要安全计划——12步纲要 1. 明确一位决策发起者 一位决策发起者——位于管理层或者是副总裁——会拥护并支持企业战略性的安全规划。 2. 找到一位安全程序的管理者 那就是你，Windows IT经理。你也许每天都要管理Windows IT安全程序和活动，还要组织和管理一个跨职能的团队。你可能还要负责技术安全检查，制定实现不同安全策略的标准和实施计划;此外，还要向公司董事会汇报为了保证Windows环境的安全，你都采取了哪些措施。 　3. 定义关键的安全目标 你和你的团队需要定义明确的企业关键Windows安全目标，并设置它们的优先级别。对于你要保证其安全的Windows数据，有三个方面需要考虑：可用性、完整性和机密的级别。 　4. 建立检查部门 公司里应该有两个独立的特许的检查部门。第一个是主管级别的，提供企业范围内关于Windows安全问题的指导、目标和策略。第二个由高级分析师和专家组成，负责评估由主管部门提出的安全策略和建议的技术可行性;同时制定需强制实施的安全标准和流程。 明确需求，并将其分类，同时设置优先级别 来自两个检查部门的代表应该通过讨论明确需求，并根据安全问题涉及的领域对其进行分类。 　6. 评价当前的安全状况 你和你的团队必须列出当前Windows中所有与安全相关的项目，明确哪些已经解决，哪些还需要开发或者购买。 建立一个Windows安全机构 现在已经有了两个检查部门讨论的结果，需求列表，当前的安全策略、工具和标准的清单，在这些基础上建立一个由Windows安全经理领导的集中的安全部门。 制定策略 基于现有的Windows安全策略清单，排除那些过时或者无效的策略，通过修改制定出必备的新策略。 　9. 组建设计团队 ?针对两个安全检查部门提出的Windows安全策略、流程、方法和工具，建立一个跨职能的团队来开发其实施计划。 　10. 检查并通过该计划 主管Windows安全检查部门应该检查Windows安全实施计划，同时从有效性和效率两个方面，对策略、预算、进度和优先级别进行讨论。 　11. 评估Windows安全计划的技术可行性 Windows安全检查部门应该从技术可行性和是否符合标准两个方面对Windows安全实施计划进行评估。 　12. 分配任务，制定进度，实施计划 ?将任务及其相应的进度表分配给个人或团队，开始执行Windows安全计划。计划实施后，应对其有效性进行评估。另外，评估人员应该监督员工，确保他们按照计划实施，同时履行个人职责。