|
工作站的安全策略 | |
|
工作站软件的安装限制 |
限制用户对网络工作站软件的安装权限,进一步防止病毒或某些破坏程序利用工作站使用者的账号进行自行传播。 |
|
工作站软件的版本跟踪 |
对各个工作站上安装的软件定期实施自动扫描,监测安装软件的类型和版本,判断是否安装了合法的软件、是否安装了最新的软件补丁包、以及是否有可疑的“软件”入侵企业网络。 |
|
软件补丁包的强行安装 |
对没有安装最新的软件补丁包的工作站,实施强行安装机制;利用“推”的原则或在用户登陆网络时,自动安装软件的补丁包。 |
|
工作站登陆的安全设置 |
对所有工作站的登陆实施登陆的安全设置,只有有权限和合法的用户才能登陆工作站。 |
|
工作站信息的安全设置 |
对工作站存储的内容设置用户访问的权限和共享的权限,确保有足够权限的用户才能访问可访问的信息。 |
|
防毒软件的强制安装和自动更新 |
对所有的工作站强制安装有效的防毒软件,并且自动更新工作站防毒软件的版本和相关的病毒库。 |
|
不必要的工作站服务的禁用 |
对工作站上的某些不必要的应用服务,实施禁用政策;比如:不必在工作站上启用IIS服务。 |
|
工作站的浏览器的安全设置 |
(强行)设置工作站中的浏览器的内容安全级别,防止可执行Script语句和相关控件对客户端或网络可能造成的伤害。 |
|
工作站应用软件的安全设置 |
对工作站上安装的应用软件,开启相应的安全选项,以保证其对系统运行的安全,如:微软Office的宏安全性设置等。 |
|
工作站个人防火墙的部署 |
在工作站上部署个人防火墙,特别是笔记本、家庭PC等,以基于各种协议和端口设置,来防止各种恶意破坏的程序对工作站的入侵。 |
|
工作站的安全列表监测 |
对所有基于Windows NT/Windows 2000/Windows XP的工作站,按照工作站的安全列表(见附件一),逐项监测。 |
|
服务器的安全策略 | |
|
服务器/域的口令策略 |
制定相应的服务器/域的口令策略,并要求所有的用户定期更改口令。 |
|
服务器操作的日志纪录 |
对服务器的关键的操作和运行状况,实行日志纪录;用以检测某些无意或恶意的人为的操作。 |
|
软件补丁包的定期安装 |
定期检测服务器的软件版本和补丁包的版本,及时安装相应的补丁包。 |
|
服务器信息的安全设置 |
对服务器存储的内容设置用户访问的权限和共享的权限,确保有足够权限的用户才能访问可访问的信息。 |
|
服务器性能的监测和警告机制 |
自动监测服务器的各项性能指标,并警报各种异常状况,以及时发现各种可能的破坏性的恶意操作。 |
|
防毒软件的安装和更新 |
对所有的服务器安装有效的防毒软件,并且自动/定期更新防毒软件的版本和相关的病毒库。 |
|
加密策略的制定和实施 |
对服务器中的内容,如:文件、数据、邮件等,定制和实施相应的加密策略,以防止机密信息的外洩。 |
|
备份策略的定制和实施 |
对服务器中的内容,如:文件、数据、邮件等,定制和实施相应的备份策略,以最小化有不可抗力造成的损失。 |
|
Web服务器的安全列表检测 |
对企业所有的基于IIS的Web服务器施行Web服务器的安全列表(见附件二)检测,以加强对Web服务器的保护。 |
|
服务器的对外安全发布 |
对Internet可以访问的服务器,实行安全的发布措施,如:IP地址的转换等,以防止外界对服务器的直接存取和访问,如:电子邮件服务器。 |
|
电子邮件的病毒过滤 |
对进出企业的电子邮件实行病毒过滤的措施,防止某些病毒通过电子邮件的方式入侵企业网络。 |
|
电子邮件及其附件的限制策略 |
对进出企业的电子邮件实行相应的限制策略,如:限制邮件的大小、限制附件的类型等。 |
|
数据库服务器的安全策略 |
对企业中的数据可服务器,实行相应的安全策略,如:字段、索引、表、试图、库等不同级别的安全等级等 |
|
服务器的安全列表监测 |
对所有基于Windows NT/Windows 2000的服务器,按照服务器的安全列表(见附件三),逐项监测。 |
|
网络访问的安全策略 | |
|
企业防火墙的部署 |
在企业局域网与外界网络(如:Internet等)或企业的各个子网之间部署防火墙,并实施相应的通讯协议、IP包和端口的过滤。 |
|
企业防毒墙的部署 |
在企业局域网与外界网络(如:Internet等)或企业的各个子网之间部署防毒墙,对通过的任何信息实行病毒的检测。 |
|
半军事化管制区(DMZ)的部署 |
部署企业的半军事化管制区(DMZ),以保护对外界公开的服务器、工作站,网络设备,以及相应的文件、数据和信息等。 |
|
网络监测、警告和入侵检测机制 |
部署网络监测和警告设备,及时捕获某些异常的网络通讯情况,以防止各种恶意的和非法的网络访问和各种对网络通讯的破坏。 |
|
网络通讯的加密策略 |
在企业的子网之间,以及基于Internet联接的虚拟专用网中,实施基于IP包的加密技术,防止网络中传输的信息被窃取。 |
|
远程用户访问的安全策略 |
制定相应的远程用户访问的安全策略,如:用户验证、定时访问和回拨策略等。 |
|
无线网络的安全策略 |
对公司部署的无线网络实施高度的安全策略,如用户口令的加密验证、采用802.1X协议传输等。 |
|
网络冗余性策略 |
对网络的关键部分,实施冗余性策略,以确保企业网络的不间断运作,如:服务器的冗余、防火墙的冗余、路由器的冗余等。 |
|
网络安全工具 | |
|
IIS锁合工具 |
该工具使您能够立即将您的IIS 4.0或5.0服务器配置为安全配置。该工具同时提供了快速(express)锁合模式和高级模式,允许您挑选Web站点将提供的服务。 |
|
Microsoft个人安全性顾问 |
这个新的工具让您确保您的工作站安装了所有最新的补丁,并为安全操作进行了配置。 |
|
HFNetChk |
HFNetChk允许管理员扫描他们的服务器(包括远程服务器),确保这些服务器安装了Windows NT 4.0, Windows 2000, IIS 4.0, IIS 5.0, IE and SQL Server的最新安全性补丁。 |
|
红色代码II蠕虫清除工具 |
该工具消除红色代码II蠕虫明显的影响。 |
企业网络安全策略附件一:工作站的安全列表
|
Windows NT 4.0 WorkStation安全列表 |
|
Verify that the Administrator account has a strong password |
|
Disable unnecessary services |
|
Disable or delete unnecessary accounts |
|
Make sure the Guest account is disabled |
|
Protect files and directories |
|
Protect the registry from anonymous access |
|
Apply appropriate registry ACLs |
|
Restrict access to public Local Security Authority (LSA) information |
|
Enable SYSKEY protection |
|
Set stronger password policies |
|
Set account lockout policy |
|
Configure the Administrator account |
|
Remove all unnecessary file shares |
|
Set appropriate ACLS on all necessary file shares |
|
Install antivirus software and updates |
|
Install the latest Service Pack |
|
Install the appropriate post-Service Pack security hotfixes |
