(1)物理訪問控制。評估包括機房的門禁系統(tǒng)、空調(diào)、承重、防火及防水等。因為保證物理安全是構(gòu)造安全系統(tǒng)的前提。

　　(2)VLAN的訪問控制。集中化改造把BOSS系統(tǒng)的大部分服務(wù)器集中在中心節(jié)點，按不同的應(yīng)用把服務(wù)器劃分到不同的VLAN，VLAN之間的訪問控制策略不但可以控制BOSS系統(tǒng)承載網(wǎng)絡(luò)的流量，還可防止服務(wù)器被作為“跳板”攻擊其他VLAN的服務(wù)器。

　　(3)防病毒。檢查BOSS系統(tǒng)的防病毒體系是否完善，防病毒體系應(yīng)是一個多層次的縱深防護體系。在BOSS系統(tǒng)中主要應(yīng)部署企業(yè)桌面防毒、服務(wù)器防毒、網(wǎng)關(guān)防毒等防病毒體系，使其整合在一起完成全面的防病毒工作。 　　

• BOSS系統(tǒng)中擁有大量的客戶端，每一個連接BOSS系統(tǒng)的客戶端均被強制性地安裝了防病毒產(chǎn)品。所有客戶端防病毒產(chǎn)品的更新升級、定期掃描等工作都由企業(yè)級桌面系統(tǒng)的中央控制中心統(tǒng)一管理(中央控制中心服務(wù)器應(yīng)該部署在區(qū)域中心或省中心)，這樣做可以保證BOSS系統(tǒng)的客戶端防病毒系統(tǒng)都是最新的版本，并被有效定期地執(zhí)行。



• 文件服務(wù)器是內(nèi)部網(wǎng)絡(luò)中傳播計算機病毒的主要渠道，現(xiàn)在大部分運營商的BOSS系統(tǒng)中都存在文件服務(wù)器，例如：省中心的清單服務(wù)器下發(fā)清單到區(qū)域中心的清單服務(wù)器就是采用文件的形式。防病毒系統(tǒng)應(yīng)部署在文件服務(wù)器中文件的存儲和訪問區(qū)中，查找并清除計算機病毒。



• 在Internet和BOSS系統(tǒng)之間部署網(wǎng)關(guān)防病毒是目前解決Internet病毒傳播的重要手段。防毒網(wǎng)關(guān)一般部署在Internet和BOSS系統(tǒng)之間，可以和網(wǎng)絡(luò)防火墻配合，形成一個安全網(wǎng)關(guān)。

　　(4)認證機制。評估系統(tǒng)賬號是否具有不可抵賴性，若發(fā)生事故是否可以確定操作人，對其進行責(zé)任追究。BOSS系統(tǒng)中存在多個承載著重要業(yè)務(wù)數(shù)據(jù)的系統(tǒng)與服務(wù)器，例如AIX、HPUnix、數(shù)據(jù)庫服務(wù)器、業(yè)務(wù)服務(wù)器及測試服務(wù)器等，這些系統(tǒng)與服務(wù)器建立的賬號特別是權(quán)限較高的帳號應(yīng)具有唯一性，只有這樣才能審計每個用戶對系統(tǒng)與服務(wù)器的操作，具有不可抵賴性。

ChinaByte(e.chinabyte.com)