企業(yè)信息安全解決方案

年4月19日企業(yè)信息安全解決方案文檔僅供參考一、企業(yè)的現(xiàn)狀分析當(dāng)前，信息科技的發(fā)展使得計(jì)算機(jī)的應(yīng)用范圍已經(jīng)遍及世界各個(gè)角落。眾多的企業(yè)都紛紛依靠IT技術(shù)構(gòu)建企業(yè)自身的信息系統(tǒng)和業(yè)務(wù)運(yùn)營(yíng)平臺(tái)。IT網(wǎng)絡(luò)的使用極大地提升了企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)能在信息資訊時(shí)代脫穎而出。企業(yè)利用通信網(wǎng)絡(luò)把孤立的單機(jī)系統(tǒng)連接起來(lái)，相互通信和共享資源。但由于計(jì)算機(jī)信息的共享及互聯(lián)網(wǎng)的特有的開(kāi)放性，使得企業(yè)的信息安全問(wèn)題日益嚴(yán)重。

在企業(yè)對(duì)于信息化系統(tǒng)嚴(yán)重依賴(lài)的情況下，如何有效地增強(qiáng)企業(yè)安全防范能力以及有效的控制安全風(fēng)險(xiǎn)是企業(yè)迫切需要解決的問(wèn)題。同時(shí)中小企業(yè)在獨(dú)特的領(lǐng)域開(kāi)展競(jìng)爭(zhēng)，面對(duì)競(jìng)爭(zhēng)壓力，她們必須有效地管理成本和資源，同時(shí)維護(hù)業(yè)務(wù)完整性和網(wǎng)絡(luò)安全性。二、企業(yè)網(wǎng)絡(luò)可能存在的問(wèn)題外部安全隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來(lái)，計(jì)算機(jī)病毒傳播、蠕蟲(chóng)攻擊、垃圾郵件泛濫、敏感信息泄漏等已成為影響最為廣泛的安全威脅。對(duì)于企業(yè)級(jí)用戶(hù)，每當(dāng)遭遇這些威脅時(shí)，往往會(huì)造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟(jì)損失都很大。內(nèi)部安全網(wǎng)絡(luò)的不正當(dāng)使用，一些員工利用網(wǎng)絡(luò)處理私人事務(wù)、私自下載和安裝一些與工作無(wú)關(guān)的軟件或游戲等，不但消耗了企業(yè)網(wǎng)絡(luò)資源，更有可能因此引入病毒和間諜程序，或者使得不法員工能夠經(jīng)過(guò)網(wǎng)絡(luò)泄漏企業(yè)機(jī)密，導(dǎo)致企業(yè)的損失。企業(yè)業(yè)務(wù)服務(wù)器不但需要來(lái)自互聯(lián)網(wǎng)的安全防護(hù)，對(duì)于內(nèi)網(wǎng)頻發(fā)的內(nèi)部非正常訪問(wèn)及病毒威脅，同樣需要進(jìn)行網(wǎng)絡(luò)及應(yīng)用層的安全防護(hù)。內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全隨著企業(yè)的發(fā)展壯大及移動(dòng)辦公的普及，在以后，很可能會(huì)形成了公司總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。那么，怎樣處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏就是個(gè)不得不考慮的問(wèn)題了。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全性直接會(huì)影響企業(yè)的高效運(yùn)作。上網(wǎng)行為和帶寬的管理需求計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成了支撐企業(yè)業(yè)務(wù)的重要環(huán)節(jié)，同時(shí)也成為了企業(yè)員工日常不可缺少的工作及休閑的一部分。員工們習(xí)慣了早上打開(kāi)電腦訪問(wèn)新聞網(wǎng)站，到淘寶網(wǎng)上去購(gòu)買(mǎi)商品，到開(kāi)心網(wǎng)去停車(chē)、偷菜，經(jīng)過(guò)炒股軟件觀覽大盤(pán)走勢(shì)、在線交易，甚至下載和在線觀看電影視頻、玩網(wǎng)絡(luò)游戲……企業(yè)連接網(wǎng)絡(luò)的初衷是加快業(yè)務(wù)效率、提高生產(chǎn)力，而原本用來(lái)收發(fā)郵件、查詢(xún)信息、視頻會(huì)議等用途的網(wǎng)絡(luò)變?yōu)閵蕵?lè)工具時(shí)，這對(duì)公司來(lái)說(shuō)是個(gè)很大的損失，如何有效的管理網(wǎng)絡(luò)，讓網(wǎng)絡(luò)流量健康、提高工作效率、限制或禁止上班時(shí)間的非工作行為，已成為各個(gè)公司必須直接面正確問(wèn)題。三、企業(yè)泄密的途徑當(dāng)前的企業(yè)泄密大致有以下這些途徑：內(nèi)部人員將資料經(jīng)過(guò)軟盤(pán)、U盤(pán)或移動(dòng)硬盤(pán)從電腦中拷出帶走；內(nèi)部人員經(jīng)過(guò)互聯(lián)網(wǎng)將資料經(jīng)過(guò)電子郵件、QQ、MSN等發(fā)送出去或發(fā)送到自己的郵箱內(nèi)；將電腦上的文件打印后帶出公司；將文件復(fù)印后帶出公司；將辦公用便攜式電腦直接帶回家中；電腦易手后，原來(lái)的資料沒(méi)有處理，導(dǎo)致泄密；隨意將文件設(shè)成共享，導(dǎo)致非相關(guān)人員獲取資料；移動(dòng)存儲(chǔ)設(shè)備共用，導(dǎo)致非相關(guān)人員獲取資料；將自己的筆記本帶到公司，連上局域網(wǎng)，竊取資料；10、趁同事不在，開(kāi)啟同事電腦，瀏覽、復(fù)制同事電腦里的資料；11、非法進(jìn)入公司盜走目標(biāo)機(jī)密或機(jī)密載體；

12、網(wǎng)絡(luò)黑客經(jīng)過(guò)網(wǎng)絡(luò)進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，竊取機(jī)密文件；

13、病毒、木馬非法竊取文件。四、公司當(dāng)前的信息管理現(xiàn)狀由于公司當(dāng)前信息化還未到普及的程度，加上對(duì)此的重視程度和投入力度都遠(yuǎn)遠(yuǎn)不夠，因此總的來(lái)說(shuō)，公司當(dāng)前的管理是比較落后的，很多地方都是靠管理維護(hù)人員手動(dòng)來(lái)控制，不但效率不高，而且隱患和弊端也不少。當(dāng)前公司網(wǎng)絡(luò)應(yīng)用主要有四個(gè)區(qū)域：佳美購(gòu)物，利生科技，行政、財(cái)務(wù)和數(shù)碼，以及各地分支機(jī)構(gòu)，具體管理情況如下：XX購(gòu)物主要包括下面三個(gè)方面：IT設(shè)備（服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)等）CallCenter資源（語(yǔ)音中繼線路、可編程智能語(yǔ)音交換機(jī)、CTI等）業(yè)務(wù)應(yīng)用（BAS軟件系統(tǒng)）當(dāng)前管理情況：BAS系統(tǒng)權(quán)限設(shè)置情況：超級(jí)管理員兩個(gè)（XX和XX），管理員（各部門(mén)經(jīng)理和特殊應(yīng)用人員），操作員（座席）。權(quán)限說(shuō)明超級(jí)管理員：具有一切權(quán)限。部門(mén)管理員：可針對(duì)本部門(mén)的通話(huà)、銷(xiāo)售等進(jìn)行查詢(xún)和統(tǒng)計(jì)，分配早釋?zhuān)?tīng)取本部門(mén)員工錄音，撤銷(xiāo)、修改錯(cuò)單等。操作員：接線，查詢(xún)自己銷(xiāo)售情況。數(shù)據(jù)導(dǎo)出權(quán)限開(kāi)通情況：超級(jí)管理員，XX（與XX物流接洽）網(wǎng)絡(luò)方面部門(mén)經(jīng)理、XX（負(fù)責(zé)與XX對(duì)接）可訪問(wèn)外網(wǎng)，座席全部與外網(wǎng)隔絕存儲(chǔ)方面所有電腦移動(dòng)存儲(chǔ)接口全部屏蔽，U盤(pán)、移動(dòng)硬盤(pán)、存儲(chǔ)卡等存儲(chǔ)設(shè)備均不能用。服務(wù)器方面服務(wù)器由專(zhuān)人維護(hù)，需要遠(yuǎn)程維護(hù)時(shí)才向軟件開(kāi)發(fā)商指定人員開(kāi)放對(duì)外接口，平常與外界隔絕。XX科技由于XX科技的客戶(hù)資源全部是注冊(cè)于XX總部的服務(wù)器，主要針對(duì)她們的網(wǎng)絡(luò)應(yīng)用進(jìn)行適當(dāng)?shù)目刂?，以避免員工在上班的時(shí)候從事與工作無(wú)關(guān)的內(nèi)容，結(jié)合她們部門(mén)經(jīng)理的意見(jiàn)，除主管級(jí)以上人員和一些講師以外，普通員工只有連接X(jué)X軟件和XX主頁(yè)的權(quán)限。行政、XX和財(cái)務(wù)適當(dāng)屏蔽了一些網(wǎng)站和資源，電腦使用方面則是各人保管自己使用的電腦密碼，專(zhuān)人專(zhuān)用。各分支結(jié)構(gòu)由于當(dāng)前各分支結(jié)構(gòu)都是獨(dú)立的網(wǎng)絡(luò)，沒(méi)有與公司總部形成直接聯(lián)系，因此無(wú)法對(duì)其進(jìn)行控制和監(jiān)控。五、公司未來(lái)的信息安全管理方案針對(duì)公司當(dāng)前的現(xiàn)狀和當(dāng)前企業(yè)信息安全面臨的嚴(yán)峻形式，我認(rèn)為，必須從管理和技術(shù)兩方面入手。管理方面信息安全管理所面正確三個(gè)重要對(duì)象分別是：人員、數(shù)據(jù)和技術(shù)資源，針對(duì)這三個(gè)對(duì)象的信息安全管理措施需要與其管理流程相配套。針對(duì)人員的管理公司建立一整套規(guī)范的安全保密制度并嚴(yán)格執(zhí)行。相關(guān)員工一律簽署保密合同，定期進(jìn)行保密教育，使她們認(rèn)識(shí)到保密工作的重要意義。新入職員工一律簽署保密合同，并接受公司《IT信息管理制度》的學(xué)習(xí)。新入職員工需使用電腦者，一律填寫(xiě)《電腦領(lǐng)用申請(qǐng)表》針對(duì)數(shù)據(jù)和技術(shù)資源的管理數(shù)據(jù)集中管理，完善服務(wù)器，各部門(mén)重要文件全部存放于服務(wù)器的相應(yīng)目錄，工作站電腦僅共日常工作使用，不做任何重要文件的存儲(chǔ)建立機(jī)房管理制度，加強(qiáng)機(jī)房安全管理，服務(wù)器指派專(zhuān)人維護(hù)，除系統(tǒng)維護(hù)員進(jìn)行日常維護(hù)之外，其余人等不得接觸服務(wù)器。嚴(yán)格控制上網(wǎng)權(quán)限，原則上，私人攜帶的電腦不允許使用公司內(nèi)網(wǎng)資源，如有特殊需求，報(bào)相關(guān)部門(mén)批準(zhǔn)，并做相應(yīng)技術(shù)手段處理后方可入網(wǎng)。制訂信息安全責(zé)任準(zhǔn)則：責(zé)任與崗位職責(zé)相關(guān)，而不是與人員相關(guān)，崗位變化，責(zé)任隨之變化；管理制度與責(zé)任相關(guān)，責(zé)任不同，適用的管理制度不同針對(duì)公司打印機(jī)、復(fù)印機(jī)等打印資源的管理建立相關(guān)的外設(shè)管理?xiàng)l例和條規(guī)，原則上各工作站不允許隨意連接打印機(jī)，如需打印權(quán)限，可先在信息部領(lǐng)取《打印權(quán)限開(kāi)通申請(qǐng)表》，闡述打印需求，經(jīng)行政部審批經(jīng)過(guò)之后，由信息部記錄備案，再與其連接指定的打印機(jī)。復(fù)印機(jī)由專(zhuān)人管理，所有復(fù)印的文件或資料須詳細(xì)記錄在案，包括復(fù)印內(nèi)容，時(shí)間等等。針對(duì)U盤(pán)、移動(dòng)硬盤(pán)、各種內(nèi)存卡等移動(dòng)存儲(chǔ)設(shè)備的使用管理建立相關(guān)的移動(dòng)存儲(chǔ)設(shè)備管理?xiàng)l例和條規(guī)，原則上各工作站不允許隨意使用USB接口，如需使用移動(dòng)存儲(chǔ)設(shè)備，可先在信息部領(lǐng)取《USB接口開(kāi)通申請(qǐng)表》，經(jīng)行政部審批經(jīng)過(guò)之后，由信息部記錄備案，再與其開(kāi)通USB接口。技術(shù)方面改進(jìn)網(wǎng)絡(luò)結(jié)構(gòu)，配置專(zhuān)門(mén)的技術(shù)設(shè)備，經(jīng)過(guò)相應(yīng)技術(shù)手段封鎖各種可能泄密的途徑。考慮到一些成本因素，并結(jié)合公司現(xiàn)在及以后發(fā)展的實(shí)際情況，總體的網(wǎng)絡(luò)布局構(gòu)思如下：一、外網(wǎng)管理在公司內(nèi)網(wǎng)與Internet之內(nèi)，增加一臺(tái)企業(yè)級(jí)防火墻，其主要作用有以下幾個(gè)方面：可防范來(lái)自外網(wǎng)的各種攻擊、病毒木馬公司信息化普及后，經(jīng)過(guò)VPN專(zhuān)用通道，可使各地分支結(jié)構(gòu)安全訪問(wèn)公司內(nèi)網(wǎng)資源對(duì)內(nèi)網(wǎng)用戶(hù)的QQ、MSN等聊天工具和郵件內(nèi)容進(jìn)行過(guò)濾，避免內(nèi)部人員經(jīng)過(guò)利用Internet泄密合理分配網(wǎng)絡(luò)帶寬，對(duì)一些與工作無(wú)關(guān)的內(nèi)容進(jìn)行封鎖。嚴(yán)格控制上網(wǎng)權(quán)限所有需要上網(wǎng)的用戶(hù)都要填《上網(wǎng)權(quán)限開(kāi)通申請(qǐng)表》。操作流程：先在信息部領(lǐng)取表格，闡述上網(wǎng)理由和上網(wǎng)的具體需求，經(jīng)行政部審批經(jīng)過(guò)之后，再報(bào)信息部記錄備案，然后開(kāi)通相關(guān)的上網(wǎng)權(quán)限。如果采用VPN方式連接各個(gè)子網(wǎng)，需要使用VPN的用戶(hù)都要填寫(xiě)《VPN權(quán)限開(kāi)通申請(qǐng)表》，經(jīng)行政部審批經(jīng)過(guò)之后，再報(bào)信息部記錄備案，然后領(lǐng)取VPN用戶(hù)名和密碼及使用說(shuō)明。二、內(nèi)網(wǎng)管理改變現(xiàn)有的單一工作組模式，添加域服務(wù)器，采用域管理，其優(yōu)點(diǎn)如下：權(quán)限管理比較集中，管理成本大大下降。域環(huán)境，所有網(wǎng)絡(luò)資源，包括用戶(hù)，均是在域控制器上維護(hù)，便于集中管理。所有用戶(hù)只要登入到域，在域內(nèi)均能進(jìn)行身份驗(yàn)證，管理人員能夠較好的管理計(jì)算機(jī)資源，管理網(wǎng)絡(luò)的成本大大降低。防止公司員工在客戶(hù)端亂裝軟件,能夠增強(qiáng)客戶(hù)端安全性、減少客戶(hù)端故障，降低維護(hù)成本。安全性加強(qiáng)。有利于企業(yè)的一些保密資料的管理,比如說(shuō)某個(gè)盤(pán)某個(gè)人能夠進(jìn)，但另一個(gè)人就不能夠進(jìn)；哪一個(gè)文件只讓哪個(gè)人看；或者讓某些人能夠看,但不能夠刪/改/移等。能夠封掉客戶(hù)端的USB端口，防止公司機(jī)密資料的外泄。使用漫游賬戶(hù)和文件夾重定向技術(shù)。個(gè)人賬戶(hù)的工作文件及數(shù)據(jù)等能夠存儲(chǔ)在服務(wù)器上，統(tǒng)一進(jìn)行備份、管理，用戶(hù)的數(shù)據(jù)更加安全、有保障。當(dāng)客戶(hù)機(jī)故障時(shí)，只需使用其它客戶(hù)機(jī)安裝相應(yīng)軟件以用戶(hù)帳號(hào)登錄即可，用戶(hù)會(huì)發(fā)現(xiàn)自己的文件依然在“原來(lái)的位置”（比如，我的文檔），沒(méi)有丟失，從而能夠更快地進(jìn)行故障修復(fù)。卷影副本技術(shù)能夠讓用戶(hù)自行找回文件以前的版本或者誤刪除的文件（限保存過(guò)的32個(gè)版本）。在服務(wù)器離線時(shí)（故障或其它情況），“脫機(jī)文件夾”技術(shù)會(huì)自動(dòng)讓用戶(hù)使用文件的本地緩存版本繼續(xù)工作，并在注銷(xiāo)或登錄系統(tǒng)時(shí)與服務(wù)器上的文件同步，保證用戶(hù)的工作不會(huì)被打斷。方便用戶(hù)使用各種資源。可由管理員指派登錄腳本映射分布式文件系統(tǒng)根目錄，統(tǒng)一管理。用戶(hù)登錄后就能夠像使用本地盤(pán)符一樣，使用網(wǎng)絡(luò)上的資源，且不需再次輸入密碼，用戶(hù)也只需記住一對(duì)用戶(hù)名/密碼即可。而且各種資源的訪問(wèn)、讀取、修改權(quán)限均可設(shè)置，不同的賬戶(hù)能夠有不同的訪問(wèn)權(quán)限。即使資源位置改變，用戶(hù)也不需任何操作，只需管理員修改鏈接指向并設(shè)置相關(guān)權(quán)限即可，用戶(hù)甚至不會(huì)意識(shí)到資源位置的改變，不用像從前那樣，必須記住哪些資源在哪臺(tái)服務(wù)器上。SMS（SystemManagementServer）能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，用戶(hù)能夠選擇安裝，也能夠由系統(tǒng)管理員指派自動(dòng)安裝。并能集中管理系統(tǒng)補(bǔ)丁（如WindowsUpdates），不需每臺(tái)客戶(hù)端服務(wù)器都下載同樣的補(bǔ)丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。6、信息的安全性大大增強(qiáng)安裝活動(dòng)目錄后信息的安全性完全與活動(dòng)目錄集成，活動(dòng)目錄集中控制用戶(hù)授權(quán)，進(jìn)行控制不但僅在每一個(gè)目錄中的對(duì)象上定義，而且還能在每一個(gè)對(duì)象的每個(gè)屬性上定義。除此之外，活動(dòng)目錄還能夠提供存儲(chǔ)和應(yīng)用程序作用域的安全策略，提供安全策略的存儲(chǔ)和應(yīng)用范圍。安全策略能夠包含帳戶(hù)信息，如域范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問(wèn)權(quán)限等。具體應(yīng)用：比如在工作組下面有3臺(tái)計(jì)算機(jī)，分別是A、B、C，各有一個(gè)帳號(hào)a、b、c，如果B上有一個(gè)文檔要給a用戶(hù)訪問(wèn)，b就要在B計(jì)算機(jī)上創(chuàng)立一個(gè)帳號(hào)a’給a，讓a用a’去訪問(wèn)，或者b把自己的帳號(hào)密碼告訴a，讓a來(lái)訪問(wèn)，同理，其它資源也是一樣處理。結(jié)果就是每一個(gè)用戶(hù)要記好幾個(gè)帳號(hào)密碼來(lái)訪問(wèn)不同的資源，或者就是網(wǎng)絡(luò)里有很多額外的帳號(hào)密碼存在，或者很多人的密碼告訴給其它人，最終網(wǎng)絡(luò)安全變成一句空話(huà)。可是如果實(shí)現(xiàn)了域就不一樣了，b只要在資源上設(shè)置a的訪問(wèn)權(quán)限就能夠了，不用額外創(chuàng)立帳號(hào)，也不用把自己的帳號(hào)密碼告訴別人，a來(lái)訪問(wèn)的時(shí)候，如果權(quán)限合適就能夠直接進(jìn)行操作。用戶(hù)a也不需要記錄額外的帳號(hào)密碼。再比如，經(jīng)理m有一臺(tái)計(jì)算機(jī)M，為了保證安全性，M計(jì)算機(jī)只能由m來(lái)登錄，在AD中只要簡(jiǎn)單的設(shè)置一下就能夠了。再有一臺(tái)打印機(jī)，如果有這這樣的安全要求，上班時(shí)間大家都能夠使用，下了班就不能打印了。當(dāng)有大文檔打印時(shí)，如果經(jīng)理m要打印文檔，能夠中間插入打印，m打印完了，原來(lái)的那個(gè)大文檔繼續(xù)打印下去。諸如此類(lèi)的設(shè)置，在AD中都能夠非常方便的設(shè)置。7、引入基于策略的管理，使系統(tǒng)的管理更加明朗活動(dòng)目錄服務(wù)包括目錄對(duì)象數(shù)據(jù)存儲(chǔ)和邏輯分層結(jié)構(gòu)，作為目錄，它存儲(chǔ)著分配給特定環(huán)境的策略，稱(chēng)為組策略對(duì)象。作為邏輯結(jié)構(gòu)，它為策略應(yīng)用程序提供分層的環(huán)境。組策略對(duì)象表示了一套商務(wù)規(guī)則，它包括與要應(yīng)用的環(huán)境有關(guān)的設(shè)置，組策略是用戶(hù)或計(jì)算機(jī)初始化時(shí)用到的配置設(shè)置。所有的組策略設(shè)置都包含在應(yīng)用到活動(dòng)目錄，域，或組織單元的組策略對(duì)象(GPOs)中。GPOs設(shè)置決定目錄對(duì)象和域資源的進(jìn)入權(quán)限，什么樣的域資源能夠被用戶(hù)使用，以及這些域資源怎樣使用等。例如，組策略對(duì)象能夠決定當(dāng)用戶(hù)登錄時(shí)用戶(hù)在她們的計(jì)算機(jī)上看到什么應(yīng)用程序，當(dāng)它在服務(wù)器上啟動(dòng)時(shí)有多少用戶(hù)可連接至Server，以及當(dāng)用戶(hù)轉(zhuǎn)移到不同的部門(mén)或組時(shí)她們可訪問(wèn)什么文件或服務(wù)。組策略對(duì)象使您能夠管理少量的策略而不是大量的用戶(hù)和計(jì)算機(jī)。經(jīng)過(guò)活動(dòng)目錄，您可將組策略設(shè)置應(yīng)用于適當(dāng)?shù)沫h(huán)境中，不論它是您的整個(gè)單位還是您單位中的特定部門(mén)。具體應(yīng)用：比如單位里面為了放置病毒感染和信息安全，要求所有的計(jì)算機(jī)只能使用USB的鼠標(biāo)和鍵盤(pán)，U盤(pán)和移用硬盤(pán)不能使用。為了控制USB接口的使用類(lèi)型，工作組下面就只有一臺(tái)一臺(tái)計(jì)算機(jī)去設(shè)置組策略了，而AD下僅僅一條組策略就能夠完成，花費(fèi)不到10秒鐘!在比如，為了防止員工修改系統(tǒng)配置導(dǎo)致系統(tǒng)崩潰，或?yàn)榱私箚T工上班時(shí)間玩游戲，需要禁止某些組件的使用，用AD自帶的組策略功能也非常方便。至于給所有員工發(fā)送一個(gè)信息或安裝一個(gè)軟件之類(lèi)的常規(guī)性管理任務(wù)，AD的組策略也很容易就實(shí)現(xiàn)。而且這些策略的設(shè)置能夠依據(jù)單位的部門(mén)或職稱(chēng)架構(gòu)來(lái)實(shí)現(xiàn)。非常方便。8、具有很強(qiáng)的可擴(kuò)展性WIN2K3的活動(dòng)目錄具有很強(qiáng)的可擴(kuò)展性，管理員能夠在計(jì)劃中增加新的對(duì)象類(lèi)，或者給現(xiàn)有的對(duì)象類(lèi)增加新的屬性。計(jì)劃包括能夠存儲(chǔ)在目錄中的每一個(gè)對(duì)象類(lèi)的定義和對(duì)象類(lèi)的屬性。例如，在電子商務(wù)上你能夠給每一個(gè)用戶(hù)對(duì)象增加一個(gè)購(gòu)物授權(quán)屬性，然后存儲(chǔ)每一個(gè)用戶(hù)購(gòu)買(mǎi)權(quán)限作為用戶(hù)帳號(hào)的一部分。具體應(yīng)用：比如單位將來(lái)用實(shí)現(xiàn)郵件系統(tǒng)和企業(yè)內(nèi)部通訊系統(tǒng)，實(shí)現(xiàn)依據(jù)網(wǎng)絡(luò)來(lái)完成企業(yè)內(nèi)部的文件，信息，語(yǔ)音等等的通訊，這樣能夠大大節(jié)省企業(yè)運(yùn)行成本。利用活動(dòng)目錄的可擴(kuò)展性，只不過(guò)是在用戶(hù)帳號(hào)上多了郵箱屬性或MSN屬性而已，用戶(hù)甚至能夠使用IE來(lái)安全的收發(fā)郵件，連Outlook都不需要!9、具有很強(qiáng)的可伸縮性活動(dòng)目錄可包含在一個(gè)或多個(gè)域，每個(gè)域具有一個(gè)或多個(gè)域控制器，以便您能夠調(diào)整目錄的規(guī)模以滿(mǎn)足任何網(wǎng)絡(luò)的需要。多個(gè)域可組成為域樹(shù)，多個(gè)域樹(shù)又可組成為樹(shù)林，活動(dòng)目錄也就隨著域的伸縮而伸縮，較好地適應(yīng)了單位網(wǎng)絡(luò)的變化。目錄將其架構(gòu)和配置信息分發(fā)給目錄中所有的域控制器，該信息存儲(chǔ)在域的第一個(gè)域控制器中，而且復(fù)制到域中任何其它域控制器。當(dāng)該目錄配置為單個(gè)域時(shí)，添加域控制器將改變目錄的規(guī)模，而不影響其它域的管理開(kāi)銷(xiāo)。將域添加到目錄使您能夠針對(duì)不同策略環(huán)境劃分目錄，并調(diào)整目錄的規(guī)模以容納大量的資源和對(duì)象。10、具有靈活的查詢(xún)?nèi)魏斡脩?hù)可使用“開(kāi)始”菜單、“網(wǎng)上鄰居”或“活動(dòng)目錄用戶(hù)和計(jì)算機(jī)”上的“搜索”命令，經(jīng)過(guò)對(duì)象屬性快速查找網(wǎng)絡(luò)上的對(duì)象。如您可經(jīng)過(guò)名字、姓氏、電子郵件名、辦公室位置或用戶(hù)帳戶(hù)的其它屬性來(lái)查找用戶(hù)，反之亦然。具體應(yīng)用：比如在A地的一個(gè)員工要給B地的員工發(fā)送一份文檔，她不需要將文檔打印出來(lái)再快遞過(guò)去，她完全能夠在AD中搜索B地員工辦公室(或附近辦公地點(diǎn))的某臺(tái)打印機(jī)就能夠了，然后直接將文檔發(fā)送到那臺(tái)打印機(jī)上，B的用戶(hù)就能夠直接拿到文檔了。而A的用戶(hù)不知道B地的打印機(jī)沒(méi)有關(guān)系，她能夠根據(jù)地名，樓層，辦公室等等信息，很快定位到正確的打印機(jī)。缺點(diǎn)：容易出故障，對(duì)專(zhuān)業(yè)知識(shí)有一定的要求，須每天管理、備份及維護(hù)，工作量比較大，需配備專(zhuān)門(mén)的維護(hù)人員三、對(duì)重要文件和數(shù)據(jù)可進(jìn)行加密管理當(dāng)前市面上此類(lèi)軟件較多，能夠考慮購(gòu)買(mǎi)一套加密軟件，所有重要文件和數(shù)據(jù)經(jīng)此軟件加密后，只能在公司電腦上使用，一旦離開(kāi)公司，文件均無(wú)法識(shí)別。四、針對(duì)不同的部門(mén)，靈活采用管理制度和模式如XX購(gòu)物：改進(jìn)BAS系統(tǒng)權(quán)限分配的細(xì)化，可靈活設(shè)置部門(mén)與菜單應(yīng)用的權(quán)限（可聯(lián)系軟件提供商修改）超級(jí)管理員由專(zhuān)人負(fù)責(zé)。新入職員工一律填寫(xiě)《BAS權(quán)限開(kāi)通申請(qǐng)表》，經(jīng)部門(mén)領(lǐng)導(dǎo)簽字后，由管理員開(kāi)通BAS用戶(hù)名和密碼及相關(guān)權(quán)限。員工離職后，須由管理員關(guān)閉其用戶(hù)名，并簽字確認(rèn)之后方可辦理離職手續(xù)。權(quán)限與崗位職責(zé)相關(guān)，而不是與人員相關(guān)，崗位變化，權(quán)限隨之變化，做到權(quán)限的明確分工。對(duì)服務(wù)器及重要數(shù)據(jù)定時(shí)定期進(jìn)行檢查維護(hù)和備份劃成單獨(dú)的子網(wǎng)。禁用所有的USB移動(dòng)存儲(chǔ)接口，所有光驅(qū)軟驅(qū)一律拆除。工作場(chǎng)所內(nèi)斷絕可能與外界聯(lián)系的一切通訊工具或手段，如手機(jī)，上網(wǎng)等等。附錄：《電腦領(lǐng)用申請(qǐng)表》《上網(wǎng)權(quán)限開(kāi)通申請(qǐng)表》《VPN權(quán)限開(kāi)通申請(qǐng)表》《打印權(quán)限開(kāi)通申請(qǐng)表》《USB接口開(kāi)通申請(qǐng)表》《BAS權(quán)限開(kāi)通申請(qǐng)表》申請(qǐng)人姓名部門(mén)職務(wù)聯(lián)絡(luò)電話(huà)（分機(jī)）手機(jī)領(lǐng)用日期申請(qǐng)領(lǐng)用設(shè)備：□臺(tái)式電腦□筆記本□外設(shè)及其它申請(qǐng)領(lǐng)用原因(約80~200字)：電腦配件及備注（由信息部填寫(xiě)）：資產(chǎn)編號(hào)資產(chǎn)型號(hào)購(gòu)置時(shí)間機(jī)箱電源主板CPU內(nèi)存硬盤(pán)顯卡顯示器光驅(qū)鍵、鼠同意領(lǐng)用□不同意領(lǐng)用領(lǐng)用人簽字：不同意領(lǐng)用請(qǐng)闡述理由：部門(mén)領(lǐng)導(dǎo)意見(jiàn)：□同意□不同意簽字：日期：年月日行政領(lǐng)導(dǎo)意見(jiàn)：□同意□不同意簽字：日期：年月日信息部意見(jiàn)：□同意□不同意簽字：日期：年月日承辦人簽字：日期：年月日電腦領(lǐng)用注意事項(xiàng)：電腦經(jīng)領(lǐng)用后，領(lǐng)用人須負(fù)責(zé)財(cái)產(chǎn)保管及維護(hù)該電腦之責(zé)。各部門(mén)負(fù)責(zé)人負(fù)連帶監(jiān)督責(zé)任。申請(qǐng)電腦請(qǐng)?zhí)崆疤岢鰰?shū)面申請(qǐng)單（不含節(jié)假日）。電腦領(lǐng)用申請(qǐng)表上網(wǎng)權(quán)限開(kāi)通申請(qǐng)表申請(qǐng)人姓名部門(mén)職務(wù)聯(lián)絡(luò)電話(huà)（分機(jī)）手機(jī)申請(qǐng)日期資產(chǎn)編號(hào)IP地址域用戶(hù)名申請(qǐng)項(xiàng)目：□開(kāi)通權(quán)限□取消權(quán)限申請(qǐng)開(kāi)通原因(約80~200字)：申請(qǐng)人簽字日期年月日部門(mén)領(lǐng)導(dǎo)簽字意見(jiàn)□同意□不同意行政領(lǐng)導(dǎo)簽字意見(jiàn)□同意□不同意………………以下內(nèi)容由信息部填寫(xiě)………………管理員簽字：建立時(shí)間年月日注：①填寫(xiě)此表前請(qǐng)?jiān)敿?xì)閱讀公司《IT信息管理制度》的上網(wǎng)行為管理部分②申請(qǐng)理由一欄須詳細(xì)填寫(xiě)與工作相關(guān)的網(wǎng)絡(luò)應(yīng)用方面，以便管理員開(kāi)通相應(yīng)網(wǎng)絡(luò)端口③如崗位變動(dòng)或離職，須上報(bào)信息部以取消或重新分配相應(yīng)權(quán)限VPN權(quán)限開(kāi)通申請(qǐng)表申請(qǐng)人姓名部門(mén)職務(wù)聯(lián)絡(luò)電話(huà)（分機(jī)）手機(jī)申請(qǐng)日期申請(qǐng)項(xiàng)目：□開(kāi)通權(quán)限□取消權(quán)限申請(qǐng)開(kāi)通原因(約80~200字)：申請(qǐng)人簽字日期年月日部門(mén)領(lǐng)導(dǎo)簽字意見(jiàn)□同意□不同意行政領(lǐng)導(dǎo)簽字意見(jiàn)□同意□不同意………………以下內(nèi)容由信息部填寫(xiě)………………管理員簽字：建立時(shí)間年月日注：①填寫(xiě)此表前請(qǐng)?jiān)敿?xì)閱讀公司《IT信息管理制度》的上網(wǎng)行為管理部分②申請(qǐng)理由一欄須詳細(xì)填寫(xiě)與工作相關(guān)的網(wǎng)絡(luò)應(yīng)用方面，以便管理員開(kāi)通相應(yīng)網(wǎng)絡(luò)端口③如崗位變動(dòng)或離職