计算机系统与数据安全策略.docVIP

计算机系统与数据安全策略 系统安全： 面对日益严峻的网络安全形势，系统的应用层次却面临越来越高的需求，一个单位的内外网已经很难以从物理上进行隔离。而各种类型的杀毒软件，防火墙，都不可能百分之百地清除网络病毒，无法根除网络安全隐患。 实际上，如果我平时在计算机的使用上，电脑的系统设置中，多注意一点，堵住所有可能的后门隐患，就能起到很好的防范作用，从而起到事半功倍效果。 首先，我们强烈推荐的服务器操作系统是Windows2003SP1 版，站点机器操作系统是WindowsXP SP2版。这两种系统都自带强大的防火墙。现阶段基本上不再建议使用其他版本的操作系统。保证每台机器都要安装杀毒软件，单机的网络的都可以，软件厂家任选择一种即可。 以下安全措施，每一步都是非常重要的。适用于所有的站点机器、办公电脑，服务器等等。 磁盘分区： 建议至少分3个逻辑分区，操作系统在C，应用系统及数据在D，安装备份在E； 没有特别需要，分区必须是NTFS格式，不仅可以方便权限管理，灵活使用也将是对付病毒有效手段。 用户管理： 鼠标操作：我的电脑\右键属性\管理\本地用户及组 使Guest用户失效，但不要删除； 建立单独的超级用户，作为本地登录的工作用户； 3、为Administrator设置一个较复杂的密码，建议所有机器是一样的，有管理员并妥善保管。一般不要在本地使用，必要时，可以使用此密码登陆安全模式，或者使用Netmeeting进行远程控制之用。 防火墙设置： 操作：本地连接\属性\高级\(Windows防火墙)设置 如果无特别原因必须设置为“启用”； “例外”选项卡中,如果本机不需要对外文件目录或打印机共享,则”文件和打印机共享”绝对不要选择； “例外”中，增加端口1503，作为Netmeeting远程控制之用。远程维护的拨号接口机器，还需要添加VPN端口1723； 检查“例外”中，不要存在莫名其妙的可疑项目。 当运行程序时，对防火墙的“是否解除阻止”提示，要有正确的判断，是正常的程序，就选择“解除阻止”，不能确定的东西，选择“保持阻止”。 严密的防火墙策略可将大部分蠕虫病毒拒之门外，没有可乘之机。 文件共享权限： 某些时候，建立共享文件夹便于大家访问是必须的，这个时候，务必要有精确的权限控制。首先要允许防火墙中的“文件和打印机共享”。 1、对于2003与XP系统，默认的共享权限就是对Everyone只读。如果是其他操作系统，请手工设置为只读。 2、添加针对Administrators组的完全访问权限，此举是方便在维护时传递文件。 针对特定访问用户，根据需要设置特定的权限。 文件夹选项： 操作：我的电脑\工具\文件夹选项 1、“常规”选项中，使用Windows传统风格的文件夹； 2、“查看”选项中， 不选择“隐藏受保护的操作系统文件”； 选择“显示所有文件和文件夹”； 不选择“隐藏已知文件类型的扩展名； 3、如果存在脱机文件的任何选择，都必须取消； 此处设置不仅可以防范某些脚本病毒在文件夹打开时自动运行，也将极大地方便维护操作。 关闭自动播放： 在运行中输入Gpedit.msc ，在用户配置\管理模板\系统中，选择“关闭自动播放”，针对“所有驱动器”为“已启用”状态。 通过光盘、U盘、移动硬盘的自动播放来运行病毒程序，是各种病毒最常见的传播方式之一。 服务程序： 操作：我的电脑\右键属性\管理\服务及应用程序\服务 停止并禁用服务“Remote Registry”，防止远程恶意修改注册表； 不是特别需要，停止并禁用服务“Task Scheduler”，这是黑客最常利用的功能之一； 停止并禁用服务“Terminal Services”； 停止并禁用服务“Telnet”； 以下适用与SERVER操作系统，如果没有特别需要，但又存在以下服务程序，则一定要停止并禁用： “FTP Publishing Service”，FTP文件传输服务； “Simple Mail Transport Protocol (SMTP)”，邮件服务，一旦被某些病毒或黑客利用，将成为病毒中转站，并占用网络资源； “World Wide Web Publishing Service”，WWW网站服务，也叫IIS服务，是漏洞最多的程序之一，最容易被入侵的地方。 很多病毒都是以服务形式存在，因此建议经常检查服务中的项目，一旦发现可疑的服务，务必及时停止并禁用。 停止并禁用这些服务，不仅可以防范部分病毒，也能大大降低系统的资源消耗，提高系统运行速度。 以上操作需谨慎，如果停止了其他正常的服务，将可能导致应用系统无法运行。 浏览网页： 尽量不要使用IE浏览器，建议使用FireFox, GreenBrowser?等等，可以大幅度降低因为IE漏洞带来的危险。 大部分木马