(1)物理訪問(wèn)控制。評(píng)估包括機(jī)房的門禁系統(tǒng)、空調(diào)、承重、防火及防水等。因?yàn)楸ＷC物理安全是構(gòu)造安全系統(tǒng)的前提。

　　(2)VLAN的訪問(wèn)控制。集中化改造把BOSS系統(tǒng)的大部分服務(wù)器集中在中心節(jié)點(diǎn)，按不同的應(yīng)用把服務(wù)器劃分到不同的VLAN，VLAN之間的訪問(wèn)控制策略不但可以控制BOSS系統(tǒng)承載網(wǎng)絡(luò)的流量，還可防止服務(wù)器被作為“跳板”攻擊其他VLAN的服務(wù)器。

　　(3)防病毒。檢查BOSS系統(tǒng)的防病毒體系是否完善，防病毒體系應(yīng)是一個(gè)多層次的縱深防護(hù)體系。在BOSS系統(tǒng)中主要應(yīng)部署企業(yè)桌面防毒、服務(wù)器防毒、網(wǎng)關(guān)防毒等防病毒體系，使其整合在一起完成全面的防病毒工作。 　　

• BOSS系統(tǒng)中擁有大量的客戶端，每一個(gè)連接BOSS系統(tǒng)的客戶端均被強(qiáng)制性地安裝了防病毒產(chǎn)品。所有客戶端防病毒產(chǎn)品的更新升級(jí)、定期掃描等工作都由企業(yè)級(jí)桌面系統(tǒng)的中央控制中心統(tǒng)一管理(中央控制中心服務(wù)器應(yīng)該部署在區(qū)域中心或省中心)，這樣做可以保證BOSS系統(tǒng)的客戶端防病毒系統(tǒng)都是最新的版本，并被有效定期地執(zhí)行。



• 文件服務(wù)器是內(nèi)部網(wǎng)絡(luò)中傳播計(jì)算機(jī)病毒的主要渠道，現(xiàn)在大部分運(yùn)營(yíng)商的BOSS系統(tǒng)中都存在文件服務(wù)器，例如：省中心的清單服務(wù)器下發(fā)清單到區(qū)域中心的清單服務(wù)器就是采用文件的形式。防病毒系統(tǒng)應(yīng)部署在文件服務(wù)器中文件的存儲(chǔ)和訪問(wèn)區(qū)中，查找并清除計(jì)算機(jī)病毒。



• 在Internet和BOSS系統(tǒng)之間部署網(wǎng)關(guān)防病毒是目前解決Internet病毒傳播的重要手段。防毒網(wǎng)關(guān)一般部署在Internet和BOSS系統(tǒng)之間，可以和網(wǎng)絡(luò)防火墻配合，形成一個(gè)安全網(wǎng)關(guān)。

　　(4)認(rèn)證機(jī)制。評(píng)估系統(tǒng)賬號(hào)是否具有不可抵賴性，若發(fā)生事故是否可以確定操作人，對(duì)其進(jìn)行責(zé)任追究。BOSS系統(tǒng)中存在多個(gè)承載著重要業(yè)務(wù)數(shù)據(jù)的系統(tǒng)與服務(wù)器，例如AIX、HPUnix、數(shù)據(jù)庫(kù)服務(wù)器、業(yè)務(wù)服務(wù)器及測(cè)試服務(wù)器等，這些系統(tǒng)與服務(wù)器建立的賬號(hào)特別是權(quán)限較高的帳號(hào)應(yīng)具有唯一性，只有這樣才能審計(jì)每個(gè)用戶對(duì)系統(tǒng)與服務(wù)器的操作，具有不可抵賴性。

ChinaByte(e.chinabyte.com)