　　考虑为备份文件加密，使备份信息不在站点时能够受到保护。但需要注意的是还应该有良好的密钥管理体制，这样才能够在需要时恢复数据。此外，还要确保在将来需要解密时访问必要的解密程序。不要总认为自己的备份完好。有许多这样的例子：计算机安全事故发生了很长一段时间后站点才注意到它，在这种情形中，受损系统中的备份文件也同样遭到破坏。所以需要定期验证备份文件的正确性和完整性。

　　保证数据和程序的原件及副本的安全，除了为恢复的目的要将他们完好保存外，还应该防止备份文件失窃。用记录和存储敏感软件或数据的介质在不使用时也应该从外观上加以识别、保护和控制。

　　设备认证和使用便携工具

　　所有添加到网络基础设施中的新设备都应该符合特定的安全需求。每个特定站点必须指明支持其他安全策略需要哪些安全特性和功能。这些特性可以简单地只提供TACACS+或RADIUS支持，也可以复杂地提供集成有令牌卡验证和日历支持的TACACS+或RADIUS。

　　使用便携式主机也会带来风险。必须保证员工的便携式计算机失窃不会造成严重的后果。考虑制定相应的指导方针，规定哪些类型的数据允许保存在便携式计算机的硬盘上，以及便携式计算机中的数据该如何保护(例如，是否应该加密)。

　　对通信方式以及所有有悖常规行为的记录有可能会成为发现安全突破口的第一条线索。对不同的站点以及同一站点中的不同类型的访问。需要为日志搜集的数据并不一样。通常需要搜集的信息包括：用户名、主机名、源和目的IP地址、源和目的端口号与时间戳。当然，根据系统实际能够提供的信息种类以及可用来存储信息的硬盘空间的大小，还可以搜集更多信息。值得注意的是：不要记录可能会以明文发送的口令，因为如果能够通过不正常的途径获得审计记录的话，记录这些口令就会有可能导致巨大的潜在安全缺口。

　　安全意识培训

　　用户通常没有意识到某些行为有可能导致安全问题。利用计算机网络来开展工作的人总想尽可能有效地完成其工作——因为他们看来，安全措施甚至是比帮助还麻烦的东西。所以每个企业都有必要为员工提供足够的培训，使他们受到有关安全性问题的教育。

　　必须为所有负责设计、使用或维护网络系统的人员提供安全培训机会。培训应该包括与安全类别相关的信息，以及可以集成到网络系统开发、操作和维护等各个方面的内部控制技术。负责网络安全的人员更需要接受深入安全技术、对威胁和脆弱性进行评估的方法学、选择控制的标准和实施、如果无法维持安全，那么了解存在的风险也很重要等几个方面的安全培训。

　　对大型企业网络，为每个连接到企业主干网的LAN都配备一名LAN管理员是一条很好的经验。这些LAN管理员可以是发布关于影响LAN行为的信息和焦点人物。在把LAN连接到企业主干网前就应该制定出需要遵守的规则，如提供关于网络基础设施规划的文档、提供受控的软件下载和提供充分的用户培训。负责发布口令的人员也应该进行培训。必须保证在为用户恢复“被网络”的口令前先检查用户出示的证件是否正确。

　　总结

　　许多入侵者运用社会工程功能比用技术手段更为成功。应该通过严格的培训使员工和用户不轻易相信某些人，这些人给他们打电话并要求他们做一些可能危及安全的事情。你会告诉任何打电话的人你的财务信息或通过电话接受一个新的PIN码吗?但愿没有——因为你还没有完全证实该人的身份。通过电话来询问口令和其他企业机密信息也是一样的，在透露任何机密信息前，必须明确证实对方的身份。企业对员工进行适当的培训以使其了解安全相关问题及其后果，也是十分必要的。为员工制定安全策略，是明确地制定安全策略验证和监控的规则，以确保安全策略的有效实施和加强。

上一篇安全：系统安全利用Windows命令行保护系统

下一篇安全：强！1分钟破解Windows系统开机密码