台式机和服务器系统

桌面系统往往具有最宽松的安全问题，因为个别员工经常管理自己的机器或有特殊的特权，并获得各自的系统。 它往往是不可行的，为信息技术人员来管理所有的桌面工作站，因此，发展一种安全政策，管自己的创造和使用是很重要的。 该幅土地及基础设施的安全政策为台式机系统，建立标准，用来建立，其中包括作业系统，应用程式及水电费。 在安全方面的限制，一般包括配置信息，由管理员可以复制桌面系统，在一个已知的安全水准。 该政策也在场指导方针，为桌面系统的相互作用与服务器和网络。

给予谅解，即桌面系统，有可能会失控的，由它的工作人员，有效的基础设施政策，企图以最小的数据量，应用程式及其他资料还停留在桌面系统。 这可以增进双方的安全和可用性内部的信息组织。 许多公司集中存放用户数据和应用程序，一台服务器或一组服务器。 在发生故障的桌面，而必须做出的努力，使功能性又是最小-所有的必要和重要数据，是在服务器上并没有成为丢失或需要相当多的时间和精力来挽回。

服务器系统成为一个联络点，因为他们有责任提供可靠的商店，并提供访问共享数据，私人用户的信息，应用和服务，为组织的。

一台服务器的安全政策应包括以下部分：

•服务配置

•共享数据的权限和访问控制

•用户私人数据的权限和访问控制

•备份和恢复程序

•事件反应

服务配置，即是指初次使用的方法，以确保服务器。 大多数的操作系统提供了大量的潜在服务和能力，但不是所有这些都需要或期望的，由该组织。 每个这些服务有其自身安全的影响，其中时，应考虑到有利于或致残。 决定允许一项服务往往是成本的问题与风险分析。 如果服务提供了所需的功能，具有固有的安全风险，系统管理员应确定是否有合适的替代服务。 如果有任何替代品的情况下，成本和精力，为实施这些行动所需加以权衡安全风险和成本的正本。 这是很重要的文件，以内部安全政策的基础上作出决定，并确定了已知的安全风险，接受该组织。 此外，相关的是维护该软件和操作系统上运行的服务器的安全措施应经常更新，因为新的漏洞被发现。 更新，应适用与监测。 人民群众以书面的安全政策可能不会经常受雇在组织，因此明知背景决定的前途有重大关系的维护者的安全政策。

公司z的服务器安全政策的具体内容如下：

•服务器应该配置成只支持所需要的服务，并禁用不必要的软件和服务，以最大限度地减少安全风险。

•服务器系统应肢体担保，只允许行政准入。

•服务器操作系统和软件应该更新，当新的安全漏洞和随后的补丁发布。

-在发生的事件，例如硬件故障，系统妥协，或其他的攻击，服务器，应予删除，从网络和遗留在其目前的状态，以使有效的取证工作。

•一个应急计划，要努力创造随后收回，由灾害。

着眼于安全政策，而不是系统配置，该公司z服务器安全政策，留下大部分的技术细节，相关的安全封锁的服务器和操作系统。 标准配置，访问和保养是重要的组成部分，应纳入政策。 事件响应的服务器，是在合理的复杂;为了避免潜在破坏性的证据，在袭击发生后发现，该系统应原封不动，为安全分析和取证工作。

共享数据往往是主要目的，一台服务器，让雇员获得的共同文件，应用程序，数据和其他数据。 服务器操作系统普遍支持多种方法所提供的多用户数据存取。 在建立基础设施的安全政策，在技术细节周边共享数据，应该清清楚楚。

该幅土地及基础设施的安全政策，为公司z确定了以下的标准，共享数据服务器：

-没有数据共享，应被初始化经"人人"集团对w indows服务器或"世界"读/写访问u nix系统。

•获得由"人人"集团和"世界"读/写权限应予撤销或残疾人士，从共享数据。

•全球或共同使用的所有雇员应控制在经籍，在专门设立的"打工仔"组服务器。

-必要时，规模较小的特权团体也应创造和共享数据协调与这些团体，以满足访问控制的要求，建立以用户为。

公司z的政策强调严格程度的安全共享数据。 它确定和区分无条件地共享数据和真实需要共享数据。 数据共享，只有员工之间，以及安全控制权行使，以确保只有授权的个人有机会接触资讯科技。 在这个模型中，访问控制，是取得经成员在各个用户群体，并批准相应的调整。

用户私人数据，包括用户的各自的"家"目录或在哪些领域，他的个人档案存放。 因为这些文件也常常是保存在服务器上，这是很重要的勾画出级别的安全，用户可以预期，以及采用何种方法，它提供了依据。

公司z的细节，这种安全政策，为用户目录和私人存储领域：

•基于服务器的用户目录下提供了用于储存私人及个人资料。

-关于w indows服务器，权限应设置了允许各自的用户完全的读写权限，为一个目录，同时还允许将系统备份过程中，以获取数据时，备份存储系统。

•没有其他用户应该有机会出席任何目录中，除了他们自己。

-鼓励用户使用其基于服务器的目录，为数据存储，以提供安全和方便简单的数据恢复，在发生的一件事。

员工经常储存个人和敏感的资料，他们的系统作为工作和个人生活中不能被完全隔离。 为了提供数据安全，并避免数据丢失，在一台台式机，用户在公司z鼓励其存储数据的服务器，并提供高度保护，安全。

备份和恢复程序提供许多功能，在一个组织。 这些措施包括数据的保护，在发生灾难性事件后，恢复意外删除档案，并提供一般基础设施的可靠性。 备份数据通常被用来在法医的安全事件，以评估数据的可靠性数据，变造的，由攻击的人往往可以发现一个比较，它与版本，是对备份媒体。 物理存储的媒体上，其中备份做也是很重要的安全问题。 许多组织使用特别的外存储组织，以确保它的备份，安全储存。

公司z的安全方面的考虑，为系统的备份，包括：

-所有备份都被储存在一间上锁的存储区域之前，离线存储。

•每周备份搬进离线存储通过存储公司代表在预定出发时间。

•备份，构成一个完整系统备份，每个系统，每星期与每夜增量备份所有的数据修改。

•使用备份和恢复申请应当限于授权管理员只。

-在发生灾害时，硬件故障，或其他活动中造成的损失数据，雇员必须事先与资讯科技人员。

•信息会恢复正常，从上次的全部档案，与增量变化层状以上，最多的时候，这项活动。

备份提供一定程度的可靠性和安全性，以信息储存及使用本组织内部。 安全政策规定的方法进行备份，恢复期间的事件，及特权需要查阅资料。 人身安全的备份数据中也强调，为了建立一个综合性的政策，有效地保障了该组织。

事故应急需对若干含义，但大致可归纳为最佳的行动过程，在发生异常情况。 为宗旨的本次讨论，但实际情况并不那么重要，反应给他们。 安全政策提供的主要好处在该地区的事件的反应，确定和组织信息的非常重要的一个安全的反应。 安全政策应包括建议的方法作出反应的事件和有关的联络资料。 首要目标是事件响应的指导方针，是为了避免本能的反应，情绪反应，动机往往发生很快，并没有仔细的分析。 有一个循序渐进的方式来处理事件已经在手，包括适当的步骤，以查明，控制和解决问题-那些参与反应平安