[小学美术游戏要符合小学生的身心发育特点]上节提到过，游戏教学在小学美术教学活动中具有激发学生学习兴趣、培养学生综合素质与能力、培养学生创造力与想像力、提高美术教学课堂效率等积极意义，但只有美术游戏的设计符...+阅读

你对自己的系统遵守公司安全策略有几成把握？是不是很有把握、以至于觉得没有必要审计呢？事实上，在2008年战略安全调查当中，63%的调查对象表示，他们所在的公司受到政府或行业法规的监管。对他们而言，遵守安全策略不是什么小事情。

确保合规的一个重要方面是，通过活动目录之类的系统来执行策略；可是一旦你设定好了各种规则，就很难确保它们仍然有效——迅速变化的技术意味着基础设施的改动常常超出了IT人员应对变化的能力，从而导致“正式”的公司策略与实际情况之间出现差距。本来就缺乏这种可见性，再加上远程员工和分支机构，这对管理员来说无疑就是噩梦。

回到正轨的第一步就是，根据监管法规来制定相应的安全准则，然后部署活动目录组策略（Active Directory Group Policy）来执行配置——这绝非易事。一旦完成了这一步，IT人员还得证明实现合规。仅仅定义必要的设置是不够的——审计人员期望你能证明规则得到了正确运用。

厂商们声称，新的活动目录合规工具能够评估策略的有效性，并且为IT部门和业务部门增添价值。配置不当的设备更有可能出现安全问题，导致数据暴露在安全漏洞或者内部滥用这些威胁面前。而相对较少的一部分工作站（通常采用非标准设置，以便用户拥有很大的控制权）往往会带来数量众多的病毒和间谍软件事件。

要是任何一项技术承诺有望降低合规成本，同时大大提高安全性，它就要给出让人信服的理由。但与大多数合规软件一样，面对种种炒作，你很难确定其真正价值。每个产品都不一样，你最不需要的就是另一款名不副实的单点工具。

别误会我们的意思——这种工具还是有价值的。不过为了避免掉入这种陷阱：可能给你虚假的安全感，却没有任何实际改进，那么在选购之前就要打好策略方面的基础工作，并且调查分析最新功能。

你还没有工具吗？

正如大型厂商们承认的那样，微软公司的活动目录提供了能够集中管理端点的内置功能。那么，为什么组策略（解决策略和配置管理难题的自带活动目录）就达不到合规的作用呢？

组策略是一种功能强大的工具，用于部署策略设置——微软已在相对易于使用的图形用户界面（GUI）中采用了数千个配置选项；而且每发布一款新的操作系统版本，会另外增加数百个设置。组策略的底层技术相当强大；已定义的控制措施可应用于用户或设备；而且间隔一定时间加以更新。

但是许多问题会阻挡合适的组策略应用，比如无意中损坏了本地安全策略文件，或者有些试图避开控制措施的人故意改动。这些事件仅仅记录在本地桌面或服务器上，但除非你收集日志，集中分析日志以查找错误——考虑到所需的带宽和开销，这项工作不可能在工作站上进行，否则IT人员对情况一无所知。另外，事件日志只有助于检测应用程序问题；它们无法验证控制设置或者报告违反情况。

复杂性也是让人担心的一个问题。策略数量增加后，人们很容易在配置方面出错，无论是策略本身方面的错误，还是运用多层策略时起作用的优先级排序和继承方面的错误。

安全审计厂商Redspin的首席执行官John Abraham说：“你还记得小时候家里控制同一盏灯的两个电灯开关吗？一个开关总是关着，另一个开关总是开着。为了开灯，就要把开着的那个开关按成关着，这不是老让人觉得奇怪吗？活动目录中的组策略设置就是这种情况，只是现在有成百上千个可能的‘开关’。你怎么知道灯是不是开着？”

如果你希望策略包括许多非微软应用程序的设置，情况就更为复杂了。大多数公司仍在运行Windows 2003版本的组策略；要是不开发模板，这个版本的组策略很难轻松指定自定义的注册表设置。

Windows 2008版本给人带来了希望。它添加的一项重要功能就是组策略首选项（GPP）。GPP增加了可用的配置选项数量，而且堵住了旧版本存在的好多漏洞，比如不创建自定义的管理模板，就无法管理注册表设置。GPP代表了PolicyMaker技术的最新版本。

2006年年底，微软收购了组策略扩展领域的领导厂商：DesktopStandard公司，顺便获得了这项技术。幸好，PolicyMaker技术的强大功能完好无损地保留了下来。优秀特性包括：增加了数量的一组预定义配置项可以解决棘手问题，比如本地帐户密码、电源选项、打印机、驱动器映射和环境变量等。

的地方是，它实际上就是免费的；你不必把活动目录域升级到Windows 2008版本，就可以开始使用它。你只需要一台安装了Windows 2008的服务器或者安装了Vista的工作站、远程服务器管理工具包，以及部署到现有机器上的一个小小的客户端更新程序。

高级组策略管理（AGPM）更是增强了性能，它具有变更管理、恢复原状和增强型报告等功能。AGPM由DesktopStandard公司的另一款产品GPOVault移植而来。遗憾的是，微软利用该工具来竭力推动人们采用Windows Vista——目前，要得到这项诱人的附加功能，惟一的办法就是获得“微软软件保证桌面优化包（Microsoft Desktop Optimization Pack for Software Assurance）。如果你能满足许可要求，我们强烈建议你利用充分AGPM。

在一些关键领域，连这些新的组策略工具都无能为力，比如审计、端点验证以及对非活动目录计算机的支持。断断续续连接的工作站也带来了难题，比如经常出差的销售人员或在家上班的虚拟专用网（VPN）用户使用的工作站，因为并不总是能够及时地部署设置。报告功能仅限于单独的工作站，必须针对每个设备来手动创建。

管理风险，而不是管理工具

随着活动目录策略合规工具数量激增，有效管理将成为一个挑战。审计厂商Redspin公司的首席技术官Brian Hayes表示，他看到一些IT部门购买了太多的监控和报告工具，结果却管理不了。他说：“有时候，拥有太多工具会适得其反。”

有什么解决办法呢？可以运用风险管理原则来指导采购。要不要决定部署一款新工具，取决于有没有有条理的风险管理方法。

弄清楚某款工具适合现有产品组合的情况，这有助于避免“单点产品过多综合症”：在这种混乱状况中，面对一大堆难以管理、考试.大提示又没有很好集成的控制台——它们提供重叠或冗余的功能，IT管理员被搞得晕头转向。

维护一定数量的管理套件是不可避免的，因为没有哪一款产品解决得了所有合规问题，但合理的风险分类有助于确保你的工具箱没有失去平衡。

不会让你失望的一条指导原则就是：策略放在首位。不管你是决定购买一款套件还是利用公司内部的资源，都不要忽视较高层面的治理问题。工具再好，要是没有精心设计、得到管理班子支持的安全策略作为后盾，也没有太大作用。遗憾的是，你在策略方面很可能有工作要做：2008年战略安全调查发现，54%的公司仍没有落实安全策略。

如果你还没有购买这种工具，还是暂时缓一缓为好——你需要证实及制订必不可少的策略框架。一旦你定义了安全策略，就可以完善决定如何部署策略的技术设置。

在这个过程当中，一定要充分利用组策略的功能；而许多公司没有这么做。如果你希望自己的实际安全状况得到明显改善，要做的不仅仅是定义屏幕保护程序超时值、实施基本的密码策略，还要开展更深入的工作。

平息风暴

加强服务器和工作站的安全势必会限制用户的自由，这是一个不可回避的事实。诀窍在于如何在所需的业务功能与的安全设置之间取得平衡。

如果你的新配置会显着加大对工作站的限制，就要确认已得到管理班子的认可，并且根据策略要求来制订技术控制措施，从而对不可避免的强烈反对作好防备。

这时候，风险管理原则可以助一臂之力，因为它们可以提供一种定量的方式来确定哪些控制措施是合理的。

至于获得购买这些工具所需的资金，如果你遵守上司的规定，这可能不成问题。但为了充分利用合规资金，还是需要事先开展调查工作。

不要忽视了大局：全面了解自己的系统在合规方面存在哪些漏洞，从而确定工具适合整体风险管理战略当中的哪些方面。合规方面没有巨大压力的IT部门要获得批准可能比较难——尽管IT部门不断预测可能出现可怕的安全事件，首席财务官们不把这当回事，这是有道理的；所以要采用有条理的方法，证明你选择的产品能够如何应对量化风险。

避免基于假设性的最坏情况场景来计算不明确的投资回报：如果管理班子觉得你的理由有点牵强，你就得不到对方的信任。

单单工具解决不了你在组策略合规方面的难题。但要是打下了稳固的基础，合适的产品就能在满足审计人员的要求、改善端点安全方面起到重要作用。虽然满足合规义务是值得为之努力的目标，但更重要的是获得这样的信心：策略在有效地保护资产。

组策略：取代还是增强？

活动目录合规工具有望提高可见性、简化管理工作，但厂商采用的方法大不相同。大型套件试图满足活动目录或整个企业内部的多项合规需求；而比较有针对性的产品旨在满足网络访问控制、身份管理和日志聚合等特定需求。

致力于组策略的产品一般走两条路线当中的某一条：一条是通过堵住最常见漏洞的扩展来增强组策略，常常辅以增强型图形用户界面和报告功能；另一条是完全用一大批部署和监控工具来取代组策略。

你要决定到底是需要针对组策略的单点产品（IT基础架构中很狭窄但很重要的组件），还是选择一款更全面的合规套件，走更具战略性的道路？你要认真研究一下手头拥有的工具。

如果你愿意费一点劲，就会发现需要的核心功能可能已摆在你面前。资产管理套件往往拥有资产清查和报告功能，稍稍配置一番，就能够收集必要的信息。比方说，微软的系统管理服务器（Systems Management Server）中的“期望配置管理器”（Desired Configuration Manager）功能可以用来按照名为“清单”（manifest）的预定义设置模板，进行审计和报告。

不过要注意：DCM不适合胆小怕事者，如果你还没有升级到系统管理服务器的最新版本：系统中心配置管理器2007（System Center Configuration Manager 2007），更是如此。

附文：按部就班

·下面教你如何在提高端点安全的同时，满足活动目录策略合规需求：

·评估风险。采用有条理的方法来确定威胁的严重程度，首先着眼于最严重的威胁。

·明确定义策略。使用可适用的合规要求，依赖相关方面的实践。

·根据策略来制订技术控制措施。充分利用组策略及其他现有工具来执行设置。

·堵住漏洞。确定是开发还是购买能够处理审计和报告工作的工具。

以下为关联文档：

崔玉涛谈生长发育的问题符合这些情况就说明孩子健康在孩子出生以后，宝妈们最关心的就是宝宝的健康成长问题了，所以在宝宝出生以后，家长们对于孩子的饮食都是非常小心的，就害怕自己没有注意会给孩子造成影响！可能很多家长都已经发现...

六举措确保“十一五”教育规划实施我国“十一五”时期教育发展的主要目标是：全面普及九年义务教育，“普九”人口覆盖率接近100％。学前教育和特殊教育得到进一步发展。高中阶段教育毛入学率争取达到80％左右。中等...

雾霾天这么做确保宝贝健康成长近年来，雾霾情况愈发严重，生活在这种环境下的人们生活、健康或多或少受到影响。尤其是婴幼儿，因免疫力和抵抗力较低，往往容易导致呼吸道问题，不利于他们健康成长。 雾霾直接影响...

儿童床色彩要符合宝贝心理1、儿童床要尽量避免棱角的出现、边角要采用圆弧收边。 2、边角用手摸起来要光滑、不能有木刺和金属钉头等危险物。 确保床的牢固性 宝贝的天性就是好动的。他们总是喜欢在...

扎扎实实搞好培训，确保课改顺利实施此文被“全国中小学教师继续教育网”收录 扎扎实实搞好培训，确保课改顺利实施 ------基础教育课程改革教师培训工作介绍 从2002年9月起，我们连山区作为省级实验区，进行课改实验...

体格发育不符合标准怎么办现在的妈妈流行“一切照书养”，一旦发现宝宝比“国际标准”胖了、瘦了、出牙少了、开口晚了、睡眠少了、夜奶喝多了……妈妈就陷入了无尽的烦恼。 爸妈除了关心宝宝的身体健...

普及安全知识确保生命安全——三岔河小学第18个安全教普及安全知识 确保生命安全 三岔河小学第18个安全教育日国旗下讲话 2013年3月25日是第十八个全国中小学生安全教育日，主题是 普及安全知识,确保生命安全 。为加强安全宣传教...

非常符合小班孩子的一个情景，运用情景式的引导散步是一项轻松、愉悦的活动，我们应该尽可能的为孩子创设一种自由、宽松的氛围，让孩子心情舒畅的散步。散步活动有一定的自由度，可以是集体的观察和探索，也可以是自由的交流和玩...

教学设计要符合学生的认知规律《小学英语教学设计》读《小学英语教学设计》是一本集小学英语教师综合教学技能指导的教材，仔细阅读过后，我学到了很多教学方法和教学设计，总结出教学活动设计有以下几项要点： 1.激活学生的已有经验。...