(1)物理訪問控制。評估包括機房的門禁系統(tǒng)、空調、承重、防火及防水等。因為保證物理安全是構造安全系統(tǒng)的前提。

　　(2)VLAN的訪問控制。集中化改造把BOSS系統(tǒng)的大部分服務器集中在中心節(jié)點，按不同的應用把服務器劃分到不同的VLAN，VLAN之間的訪問控制策略不但可以控制BOSS系統(tǒng)承載網絡的流量，還可防止服務器被作為“跳板”攻擊其他VLAN的服務器。

　　(3)防病毒。檢查BOSS系統(tǒng)的防病毒體系是否完善，防病毒體系應是一個多層次的縱深防護體系。在BOSS系統(tǒng)中主要應部署企業(yè)桌面防毒、服務器防毒、網關防毒等防病毒體系，使其整合在一起完成全面的防病毒工作。 　　

• BOSS系統(tǒng)中擁有大量的客戶端，每一個連接BOSS系統(tǒng)的客戶端均被強制性地安裝了防病毒產品。所有客戶端防病毒產品的更新升級、定期掃描等工作都由企業(yè)級桌面系統(tǒng)的中央控制中心統(tǒng)一管理(中央控制中心服務器應該部署在區(qū)域中心或省中心)，這樣做可以保證BOSS系統(tǒng)的客戶端防病毒系統(tǒng)都是最新的版本，并被有效定期地執(zhí)行。



• 文件服務器是內部網絡中傳播計算機病毒的主要渠道，現在大部分運營商的BOSS系統(tǒng)中都存在文件服務器，例如：省中心的清單服務器下發(fā)清單到區(qū)域中心的清單服務器就是采用文件的形式。防病毒系統(tǒng)應部署在文件服務器中文件的存儲和訪問區(qū)中，查找并清除計算機病毒。



• 在Internet和BOSS系統(tǒng)之間部署網關防病毒是目前解決Internet病毒傳播的重要手段。防毒網關一般部署在Internet和BOSS系統(tǒng)之間，可以和網絡防火墻配合，形成一個安全網關。

　　(4)認證機制。評估系統(tǒng)賬號是否具有不可抵賴性，若發(fā)生事故是否可以確定操作人，對其進行責任追究。BOSS系統(tǒng)中存在多個承載著重要業(yè)務數據的系統(tǒng)與服務器，例如AIX、HPUnix、數據庫服務器、業(yè)務服務器及測試服務器等，這些系統(tǒng)與服務器建立的賬號特別是權限較高的帳號應具有唯一性，只有這樣才能審計每個用戶對系統(tǒng)與服務器的操作，具有不可抵賴性。

ChinaByte(e.chinabyte.com)