企业网络安全策略白皮书

《企业网络安全策略白皮书》由会员分享，可在线阅读，更多相关《企业网络安全策略白皮书（9页珍藏版）》请在装配图网上搜索。

1、微软企业网络安全策略工作站软件的安装 限制限制用户对网络工作站软件的安装权限，进一步 防止病毒或某些破坏程序利用工作站使用者的账 号进行自行传播.工作站软件的版本跟踪对各个工作站上安装的软件定期实施自动扫描， 监测安装软件的类型和版本，判断是否安装了合 法的软件、是否安装了最新的软件补丁包、以及 是否有可疑的“软件”入侵企业网络.软件补丁包的强行 安装对没有安装最新的软件补丁包的工作站，实施强 行安装机制；利用“推”的原则或在用户登陆网 络时，自动安装软件的补丁包.工作站登陆的安全设置对所有工作站的登陆实施登陆的安全设置，只有 有权限和合法的用户才能登陆工作站.工作站信息的安全设置对工作站存储

2、的内容设置用户访问的权限和共享 的权限，确保有足够权限的用户才能访问可访问 的信息.防毒软件的强制安 装和自动更新对所有的工作站强制安装有效的防毒软件，并且 自动更新工作站防毒软件的版本和相关的病毒 库.不必要的工作站服 务的禁用对工作站上的某些不必要的应用服务，实施禁用 政策；比如：不必在工作站上启用I IS服务.工作站的浏览器的 安全设置强行）设置工作站中的浏览器的内容安全级 另U，防止可执行Script语句和相关控件对客户 端或网络可能造成的伤害.工作站应用软件的 安全设置对工作站上安装的应用软件，开启相应的安全选 项，以保证其对系统运行的安全，如：微 软 Office的宏安全性设置等.

3、工作站个人防火墙 的部署在工作站上部署个人防火墙，特别是笔记本、家 庭PC等，以基于各种协议和端口设置，来防止 各种恶意破坏的程序对工作站的入侵.工作站的安全列表监测对所有基于 Windows NT/Windows 2000/Windows XP的工作站，按照工作站的安全列表见附件 一），逐项监测.服务器/域的口令策略制定相应的服务器/域的口令策略，并要求所有 的用户定期更改口令.服务器操作的日志对服务器的关键的操作和运行状况，实行日志纪纪录录；用以检测某些无意或恶意的人为的操作.软件补丁包的定期 安装定期检测服务器的软件版本和补丁包的版本，及 时安装相应的补丁包.服务器信息的安全 设置对服务

4、器存储的内容设置用户访问的权限和共享 的权限，确保有足够权限的用户才能访问可访问 的信息.服务器性能的监测和警告机制自动监测服务器的各项性能指标，并警报各种异 常状况，以及时发现各种可能的破坏性的恶意操 作.防毒软件的安装和 更新对所有的服务器安装有效的防毒软件，并且自动 /定期更新防毒软件的版本和相关的病毒库.加密策略的制定和 实施对服务器中的内容，如：文件、数据、邮件等， 定制和实施相应的加密策略，以防止机密信息的 外曳.备份策略的定制和 实施对服务器中的内容，如：文件、数据、邮件等， 定制和实施相应的备份策略，以最小化有不可抗 力造成的损失.Web服务器的安全 列表检测对企业所有的基于I

5、IS的Web服务器施行Web服 务器的安全列表见附件二）检测，以加强对 Web服务器的保护.服务器的对外安全 发布对Internet可以访问的服务器，实行安全的发 布措施，如：IP地址的转换等，以防止外界对 服务器的直接存取和访问，如：电子邮件服务 器.电子邮件的病毒过 滤对进出企业的电子邮件实行病毒过滤的措施，防 止某些病毒通过电子邮件的方式入侵企业网络.电子邮件及其附件 的限制策略对进出企业的电子邮件实行相应的限制策略， 如：限制邮件的大小、限制附件的类型等.数据库服务器的安 全策略对企业中的数据可服务器，实行相应的安全策 略，如：字段、索引、表、试图、库等不同级别 的安全等级等服务器的安

6、全列表 监测对所有基于Windows NT/Windows 2000的服务 器，按照服务器的安全列表见附件三），逐项 监测.企业防火墙的部署在企业局域网与外界网络如：Internet等）或 企业的各个子网之间部署防火墙，并实施相应的 通讯协议、IP包和端口的过滤.企业防毒墙的部署在企业局域网与外界网络如：Internet等）或 企业的各个子网之间部署防毒墙，对通过的任何 信息实行病毒的检测.半军事化管制区（DMZ的部署部署企业的半军事化管制区（DMZ，以保护对外 界公开的服务器、工作站，网络设备，以及相应 的文件、数据和信息等.网络监测、警告和 入侵检测机制部署网络监测和警告设备，及时捕获某些

7、异常的 网络通讯情况，以防止各种恶意的和非法的网络 访问和各种对网络通讯的破坏.网络通讯的加密策 略在企业的子网之间，以及基于Internet联接的 虚拟专用网中，实施基于IP包的加密技术，防 止网络中传输的信息被窃取.远程用户访问的安 全策略制定相应的远程用户访问的安全策略，如：用户 验证、定时访问和回拨策略等.无线网络的安全策 略对公司部署的无线网络实施高度的安全策略，如 用户口令的加密验证、采用802.1X协议传输等.网络冗余性策略对网络的关键部分，实施冗余性策略，以确保企 业网络的不间断运作，如：服务器的冗余、防火 墙的冗余、路由器的冗余等.该工具使您能够立即将您的IIS 4.0或5.

8、0服务 器配置为安全配置.该工具同时提供了快速 express）锁合模式和高级模式，允许您挑选 Web站点将提供的服务.Microsoft个人安 全性顾问这个新的工具让您确保您的工作站安装了所有最 新的补丁，并为安全操作进行了配置.HFNetChkHFNetChk允许管理员扫描他们的服务器包括远 程服务器），确保这些服务器安装了 Windows NT 4.0, Windows 2000, IIS 4.0, IIS 5.0, IE and SQL Server的最新安全性补丁.红色代码II蠕虫 清除工具该工具消除红色代码II蠕虫明显的影响.企业网络安全策略附件一：工作站的安全列表Verify t

9、hat the Administrator account has a strong passwordDisable unnecessary servicesDisable or delete unnecessary accountsMake sure the Guest account is disabledProtect files and directoriesProtect the registry from anonymous accessApply appropriate registry ACLsRestrict access to public Local Security A

10、uthority (LSA informationEnable SYSKEY protectionSet stronger password policiesSet account lockout policyConfigure the Administrator accountRemove all unnecessary file sharesSet appropriate ACLS on all necessary file sharesInstall antivirus software and updatesInstall the latest Service PackInstall

11、the appropriate post-Service Pack security hotfixesVerify that all disk partitions are formatted with NTFSVerify that the Administrator account has a strong passwordDisable unnecessary servicesDisable or delete unnecessary accountsProtect files and directoriesMake sure the Guest account is disabledP

12、rotect the registry from anonymous accessApply appropriate registry ACLsRestrict access to public Local Security Authority (LSA informationSet stronger password policiesSet account lockout policyConfigure the Administrator accountRemove all unnecessary file sharesSet appropriate ACLs on all necessar

13、y file sharesInstall antivirus software and updatesInstall the latest Service PackInstall the appropriate post-Service Pack security hotfixes企业网络安全策略附件二：Web服务器的安全列表安装所需的最小Internet服务设置正确的身份验证方式设置正确的虚拟目录权限并划分Web应用程序空间设置正确的IIS日志文件访问权限列表启用日志安装 SSL informationEnable SYSKEY protectionSet stronger password

14、 policiesSet account lockout policyConfigure the Administrator accountRemove all unnecessary file sharesSet appropriate ACLS on all necessary file sharesInstall antivirus software and updatesInstall the latest Service PackInstall the appropriate post-Service Pack security hotfixesHIMVerify that all

15、disk partitions are formatted with NTFSVerify that the Administrator account has a strong passwordDisable unnecessary servicesDisable or delete unnecessary accountsProtect files and directoriesMake sure the Guest account is disabledProtect the registry from anonymous accessApply appropriate registry

16、 ACLsRestrict access to public Local Security Authority (LSA informationSet stronger password policiesSet account lockout policyConfigure the Administrator account个人收集整理资料，仅供交流学习，勿作商业用途Remove all unnecessary file sharesSet appropriate ACLs on all necessary file sharesInstall antivirus software and updatesInstall the latest Service PackInstall the appropriate post-Service Pack security hotfixes 申明：所有资料为本人收集整理，仅限个人学习使用，勿做商业用途。申明：所有资料为本人收集整理，仅限个人学习使用，勿做商业用途。