安装安全补

唯一要做的是安装安全补丁。

作为持续软件漏洞消除的证据，可关注来自软件厂商源源不断的安

全补丁。这种持续的安全补丁更新过程是这些供应商尽职勤勉和专业客

户支持的标志。这些补丁中有许多是“白帽”黑客代表供应商执行检测行

为的成果。

（

10）虚拟专用网络

虚拟专用网络（VPN）使用不安全的互联网创建进入组织环境的安

全路径或“隧道”。隧道是高度加密的。VPN允许用户和内部网络之间通

信，通过使用多重身份验证元素连接到组织环境外围的防火墙。然后，

VPN对所有传送数据进行强加密。

11.数据安全类型

数据安全不仅涉及防止不当访问，还涉及对数据的适当访问。应通

过授予权限（选择加入）来控制对敏感数据的访问。未经许可，不允许

用户在系统内查看数据或执行操作。“最小权限”是一项重要的安全原

则。仅允许用户、进程或程序访问其合法目的所允许的信息。

（

1）设施安全

设施安全（

Facility Security）是抵御恶意行为人员的第一道防线。

设施上至少应具有一个锁定能力的数据中心，其访问权限仅限于授权员

工。社会工程威胁将“人”视为设施安全中最薄弱的环节。应确保员工拥

有保护设施数据的工具和接受相关培训。

（

2）设备安全

移动设备，包括笔记本计算机、平板计算机和智能手机，由于可能

丢失、被盗以及遭受犯罪黑客的物理/电子攻击，本身并不安全。移动

设备通常存有公司的电子邮件、电子表格、地址和文档，如果遭公开，

那么就可能对组织、员工或客户造成损害。

随着便携式设备的爆炸式增长，这些设备（包括公司拥有和个人所

有）的安全性管理计划必须作为公司整体战略安全架构的一部分。该计

划应包括软件和硬件工具。

设备安全（Device Security）的标准包括：

1）使用移动设备连接的访问策略。2）在便携式设备（如笔记本计算机、DVD、CD或USB驱动器）上

存储数据。

3）符合记录管理策略的设备数据擦除和处置。

4）反恶意软件和加密软件安装。

5）安全漏洞的意识。

（

3）凭据安全

凭据安全是为每个用户分配访问系统时使用的。大多数凭据是用户

ID和密码的组合。基于系统数据敏感性以及系统链接到凭据存储库的能

力，在同一环境的系统之间使用凭据有多种不同方式。

1）身份管理系统。

传统上对于每个独立资源、平台、应用系统或工作站，用户都有不

同的账户和密码。此方法要求用户管理多套密码和账户。具有企业用户

目录的组织可以在异构资源之间建立同步机制，以简化用户密码管理。

在这种情况下，用户只需一次性输入密码（通常是在登录工作站时），

之后所有身份验证和授权都通过引用企业用户目录来执行。实现此功能

的身份管理系统称为“单点登录”，从用户角度来看是最佳的。

2）电子邮件系统的用户ID标准。