网络防护层应用策略、过程和意识

　　安全更新策略

　　客户端、服务器和网络防护都应该已经具有某种形式的安全更新管理系统。这样的系统可以作为范围更广的企业修补程序管理解决方案的一部分提供。应该定期检查主机和设备的操作系统是否有供应商提供的更新。这些安全更新策略还应该为用于将安全更新应用到组织系统的过程提供操作准则。此过程应该包括以下阶段：

　　1. 检查更新。某种类型的自动通知过程应该已经存在，以通知用户可用的更新。

　　2. 下载更新。系统应该能够下载更新，且对用户和网络产生最小影响。

　　3. 测试更新。如果更新要应用于关键任务主机，则您应该确保在产品环境中部署每个更新之前，在合适的非产品系统上对其进行测试。

　　4. 部署更新。在测试和验证更新之后，应该可以使用简单的部署机制帮助分发它。

　　如果在您环境中被更新的系统不需要此列表中的测试阶段，则您的组织可能希望考虑自动为系统执行整个过程。例如，使用 Microsoft Windows Update 网站上的"Automated Updates"（自动更新）选项，可以通知并更新您的客户端计算机，而无须用户干预。使用此选项，有助于确保您的系统尽快运行最新的安全更新。但是，此方法在安装更新之前不测试它。如果这是您组织的要求，则不建议使用此选项。

　　确保使用最新的安全更新维护您组织的系统，应该成为组织系统管理的常规部分。

　　基于风险的策略

　　如果在深层病毒防护模型的外围网络层和内部网络层上连接了太多的客户端、服务器和网络设备，则创建单个有效的安全策略来管理组织中的所有要求和配置就会很困难。您可以用来组织策略的一种方法是，将组织中的主机根据其类型和风险级别归入不同类别。

　　Microsoft 建议对于组织的以客户端为中心的风险评估策略考虑以下配置类别：

　　• 标准客户端配置。此配置类别通常适用于基于办公室的台式计算机，它们物理摆放在办公室建筑物中的地点。这些台式机客户端受到现有的外部和内部网络防护的持续保护，而且在组织建筑物内是受保护的。

　　• 高风险客户端配置。此配置类别旨在满足移动计算机用户和移动设备（如 PDA 和移动电话）的需要。这些设备经常移动到组织网络防护的保护之外，因此风险级别较高。

　　• 来宾客户端配置。此配置类别设计用于您的组织并不拥有或支持的客户端计算机。管理这些计算机的配置也许是不可能的，因为您不大可能具有其配置的控制权。但是，您可以设置策略，以限制这些计算机连接到组织网络的能力。来宾客户端计算机通常是以下类型之一：

　　• 员工的家用计算机。

　　• 合作伙伴或供应商的计算机。

　　• 来宾计算机。

　　Microsoft 还建议为服务器角色建立风险类别，并建议对服务器也进行与客户端一样的风险评估。作为服务器策略的起点，您可能考虑以下配置类别：

　　• 标准服务器配置。此配置类别旨在作为您环境中多数服务器配置的共同点。它提供最低级别的安全性，但不限制常用的服务。此后，您可以将高风险和角色特定的配置类别策略修改为包括相应级别的所有策略要求。

　　• 高风险服务器配置。处于外围网络中的服务器或直接暴露于外部连接和文件的服务器应该在此配置类别中考虑。例如，此类别可能包括外围 Web 服务器、防火墙服务器和消息服务器。包含特别敏感数据的服务器（如 HR 数据库服务器）也可能需要采用此配置，而不管其网络位置。

　　• 角色特定的配置。您的组织也可能选择将特定的服务器角色组织到不同的配置中，以便更加符合服务器应用程序的要求。例如，您可能选择将角色特定的配置用于消息服务器、数据库服务器或防火墙。除了根据需要使用标准配置类别或高风险配置类别外，您还可以选择使用此方法。

　　使用基于风险的策略是组织中规划小组的最终选择，并且您可以将引用的配置分类用作进一步开发的基础。最终目标是减少管理系统必须支持的配置数。通常，标准化方法比分别配置环境中每个主机的安全性更有可能产生安全的配置。