网络防护层应用策略、过程和意识

【 tulaoshi.com - 网络基础知识 】

　　• 防病毒扫描例程。理想情况下，您的防病毒应用程序应该支持自动扫描和实时扫描。但是，如果不是这样，则您应该实施一个过程，以便提供有关组织中的用户应该在何时运行完整系统扫描的指导。

　　• 防病毒签名更新例程。大多数的现代防病毒应用程序支持下载病毒签名更新的自动方法，您应该定期实施这样的方法。但是，如果您的组织要求在部署这些更新之前先对其进行测试，则通常将无法使用这样的方法。如果是这样，请确保您的支持人员尽快识别、下载、测试和更新签名文件。

　　• 允许的应用程序和服务的相关策略。应该存在明确传达的策略，以说明在组织的计算机上允许使用哪些应用程序以及哪些可以访问组织资源。可以导致问题的应用程序的示例包括：对等网络应用程序和用户可能直接从恶意网站下载的应用程序。

　　Microsoft 建议至少对组织网络防护层中的所有设备应用以下策略和过程。

　　• 变更控制。网络设备的重要安全过程是控制影响它们的变更。理想情况下，应该以可控和记录的方式提议、测试和实施所有变更。因一时冲动对外围网络中设备进行的变更，很可能引入攻击可以利用的配置错误或缺陷。

　　• 网络监视。正确地配置网络设备以优化其安全性，并不意味着可以忽视其他防病毒过程。持续监视网络中的所有设备是尽快检测出恶意软件攻击所必需的。监视是一个复杂的过程，它要求从许多源（如防火墙路由器和交换机）收集信息，以编辑可以用来识别异常行为的"正常"行为基准。

　　• 攻击检测过程。如果检测到可疑的恶意软件攻击，则您的组织应该具有一组可以遵循的明确定义并记录的步骤，以确保攻击得到确认、控制和清除，且对最终用户带来最小的破坏。有关此主题的详细信息，请参阅第 4 章"突发控制和恢复"。

　　• 家用计算机网络访问策略。应该建立一组最低要求，员工必须满足这些要求才能将家用计算机或网络通过 VPN 连接连接到您组织的网络。

　　• 访问者网络访问策略。应该建立一组最低要求，仅允许满足这些要求的访问者连接到您组织的网络。这些要求应该同时适用于无线连接和有线连接。

　　• 无线网络策略。连接到内部网络的所有无线设备都应该先满足最低安全配置要求，才能进行连接。此策略应该为组织指定所需的最低配置。

　　您可以实施许多其他策略和过程提高网络设备的安全性；应该将本节列出的策略和过程视为一个良好的起点。但是，由于其他策略提供常规安全设置而不是防病毒特定的设置，因此它们超出了本指南的范围。

　　安全更新策略

　　客户端、服务器和网络防护都应该已经具有某种形式的安全更新管理系统。这样的系统可以作为范围更广的企业修补程序管理解决方案的一部分提供。应该定期检查主机和设备的操作系统是否有供应商提供的更新。这些安全更新策略还应该为用于将安全更新应用到组织系统的过程提供操作准则。此过程应该包括以下阶段：

　　1. 检查更新。某种类型的自动通知过程应该已经存在，以通知用户可用的更新。

　　2. 下载更新。系统应该能够下载更新，且对用户和网络产生最小影响。

　　3. 测试更新。如果更新要应用于关键任务主机，则您应该确保在产品环境中部署每个更新之前，在合适的非产品系统上对其进行测试。

　　4. 部署更新。在测试和验证更新之后，应该可以使用简单的部署机制帮助分发它。

　　如果在您环境中被更新的系统不需要此列表中的测试阶段，则您的组织可能希望考虑自动为系统执行整个过程。例如，使用 Microsoft Windows Update 网站上的"Automated Updates"（自动更新）选项，可以通知并更新您的客户端计算机，而无须用户干预。使用此选项，有助于确保您的系统尽快运行最新的安全更新。但是，此方法在安装更新之前不测试它。如果这是您组织的要求，则不建议使用此选项。

　　确保使用最新的安全更新维护您组织的系统，应该成为组织系统管理的常规部分。

　　基于风险的策略

　　如果在深层病毒防护模型的外围网络层和内部网络层上连接了太多的客户端、服务器和网络设备，则创建单个有效的安全策略来管理组织中的所有要求和配置就会很困难。您可以用来组织策略的一种方法是，将组织中的主机根据其类型和风险级别归入不同类别。

　　Microsoft 建议对于组织的以客户端为中心的风险评估策略考虑以下配置类别：

　　• 标准客户端配置。此配置类别通常适用于基于办公室的台式计算机，它们物理摆放在办公室建筑物中的地点。这些台式机客户端受到现有的外部和内部网络防护的持续保护，而且在组织建筑物内是受保护的。

　　• 高风险客户端配置。此配置类别旨在满足移动计算机用