企业网络安全策略白皮书.docxVIP

个人收集整理资料， 仅供交流学习， 勿作商业用途 微软企业网络安全策略 工作站软件的安 限制用户对网络工作站软件的安装权限，进一步 装限制 防止病毒或某些破坏程序利用工作站使用者的 账.号进行自行传播 工作站软件的版 对各个工作站上安装的软件定期实施自动扫描, 本跟踪 监测安装软件的类型和版木，判断是否安装了合 法的软件、是否安装了最新的软件补丁包、以 及.是否有可疑的“软件”入侵企业网络 软件补丁包的强 对没有安装最新的软件补丁包的工作站，实施强 行安装 行安装机制；利用“推”的原则或在用户登陆网. 络时，自动安装软件的补丁包 工作站登陆的安 对所有工作站的登陆实施登陆的安全设置，只有 全设置 有权限和合法的用户才能登陆工作站. 工作站信息的安 对工作站存储的内容设置用户访问的权限和共 全设置 享的权限，确保有足够权限的用户才能访问可访 问的信息. 防毒软件的强制 对所有的工作站强制安装有效的防毒软件，并且 安装和自动更新 自动更新工作站防毒软件的版本和相关的病 毒.库 不必要的工作站 对工作站上的某些不必要的应用服务，实施禁用 服务的禁用 服务.政策；比如：不必在工作站上启用IIS 工作站的浏览器 的安全设置 强行）设置工作站中的浏览器的内容安全级〈别， 防止可执行Script语句和相关控件对客户.端 或网络可能造成的伤害 工作站应用软件 的安全设置 对工作站上安装的应用软件，开启相应的安全选 项，以保证其对系统运行的安全，如：微软 Office的宏安全性设置等. 工作站个人防火 墙的部署 在工作站上部署个人防火墙，特别是笔记本、家 PC庭等，以基于各种协议和端口设置，来防止. 各种恶意破坏的程序对工作站的入侵 工作站的安全列 表监测 对所有基于 Windows NT/Windows 2000/Windows （见附件的工作站，按照工作站的安全列表XP 一），逐项监测. 服务器/域的口令 策略 域的口令策略，并要求所有制定相应的服务器/. 的用户定期更改口令 服务器操作的日 志 对服务器的关键的操作和运行状况，实行日志纪 1/8 个人收集整理资料， 仅供交流学习， 勿作商业用途 纪录 录；用以检测某些无意或恶意的人为的操作. 软件补丁包的定 定期检测服务器的软件版本和补丁包的版本，及  期安装 时安装相应的补丁包. 服务器信息的安 全设置 对服务器存储的内容设置用户访问的权限和共 享的权限，确保有足够权限的用户才能访问可访 问的信息. 服务器性能的监 测和警告机制 自动监测服务器的各项性能指标，并警报各种异 常状况，以及时发现各种可能的破坏性的恶意操 作. 防毒软件的安装 和更新 对所有的服务器安装有效的防毒软件，并且自动 /定期更新防毒软件的版本和相关的病毒库. 加密策略的制定 和实施 对服务器中的内容，如：文件、数据、邮件等， 定制和实施相应的加密策略，以防止机密信息的 外源 备份策略的定制 和实施 对服务器中的内容，如：文件、数据、邮件等， 定制和实施相应的备份策略，以最小化有不可抗 力造成的损失. 服务器的安全Web 列表检测 对企业所有的基于IIS的Web服务器施行Web服 务器的安全列表〈见附件二）检测，以加强对Web 服务器的保护. 服务器的对外安 全发布 对Internet可以访问的服务器，实行安全的发 布措施，如：IP地址的转换等，以防止外界对 服务器的直接存取和访问，如：电子邮件服务器.  电子邮件的病毒 过滤 对进出企业的电子邮件实行病毒过滤的措施，防 止某些病毒通过电子邮件的方式入侵企业网络. 电子邮件及其附 件的限制策略 对进出企业的电子邮件实行相应的限制策略， 如：限制邮件的大小、限制附件的类型等. 数据库服务器的 安全策略 对企业中的数据可服务器，实行相应的安全策 略，如：字段、索引、表、试图、库等不同级别 的安全等级等 服务器的安全列 表监测 对所有基于Windows XT/Windows 2000的服务 器，按照服务器的安全列表〈见附件三），逐项监 测. 企业防火墙的部 署 在企业局域网与外界网络〈如：Internet等）或 企业的各个子网之间部署防火墙，并实施相应的 通讯协议、IP包和端口的过滤. 2/8 个人收集整理资料，仅供交流学习， 勿作商业用途 企业防毒墙的部 署 在企业局域网与外界网络〈如：Internet等）或 企业的各个子网之间部署防毒墙，对通过的任何 信息实行病毒的检测. 半军事化管制区 （DMZ的部署 部署企业的半军事化管制区（DMZ,以保护对外 界公开的服务器、工作站，网络设备，以及相应 的文件、数据和信息等.  网络监测、警告和 部署网络监测和警告设备，及时捕获某些异常的 入侵检测机制 网络通讯情况，以防止各种恶意的和非法的网络 访问和各种对网络通讯的破坏.