企業網路病毒防護的維護策略

引言

隨著科學管理水平的提高，企業管理資訊化越來越受到企業的重視，許多企業利用網路實現了管理的資訊化，公司網路在給使用者、職工帶來便利的同時，也面臨著國際網際網路的種種危險，這裡網路上病毒的防護就成了一個重要的問題。這種網路安全問題可以理解為：透過採用各種技術和管理措施，使網路系統正常執行，從而確保網路資料的可用性、完整性和保密性。論文就是從這個角度出發，探討了一整套保證網路安全的策略與制度。

[@more@]

一、系統的設定

由於現在系統大多數都是Windows，包括企業網路伺服器也是以微軟的產品為主體，所以本文結合自身的工作，主要探討Windows下的系統的設定，這裡系統既包括聯網的使用者計算機，也包括伺服器計算機。

1.1 系統基本設定

1.1.1 合理的分割槽。對提供服務的機器，可按如下設定分割槽：分割槽1，系統分割槽，安裝系統和重要日誌檔案。分割槽2，提供給IIS使用。分割槽3，提供給FTP使用。分割槽4，放置其他一些資料檔案。(以上為示例，可靈活把握)所有磁碟分割槽必須採用NTFS檔案系統，而不要使用FAT32，特別注意要在系統安裝時，透過安裝程式將系統盤格式化為NTFS，而不要先以FAT32格式安裝系統。然後再用Convert轉換，因為轉換後的磁碟根目錄的預設許可權過高。

1.1.2 設定伺服器為最小。不要按系統的預設安裝元件，根據安全原則“最少的服務+最小的許可權=最大的安全”，只選擇確實需要的服務安裝即可。典型Web伺服器需要的最小元件是：公用檔案、Internet服務管理器、WWW伺服器。解除安裝無用的元件。並且不要安裝多作業系統，否則給駭客以可乘之機。

1.1.3 安裝所需的補丁。尤其注意MDAC為資料訪問部件，通常程式對資料庫的訪問都透過它，但它也是駭客攻擊的目標，且MDAC一般不以補丁形式發放，比較容易漏更新。為防止以前版本的漏洞可能會被帶入升級後的版本，建議解除安裝後安裝最新的版本。

1.2 賬號與密碼設定

給所有使用者帳號一個複雜的口令，長度最少在8位以上，且必須同時包含字母、數字、特殊字元。同時不要使用大家熟悉的單詞(如Microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數字(如2000)等(口令是駭客攻擊的重點，口令一旦被突破也就無任何系統安全可言了)。口令必須定期更改(建議至少兩週改一次)；另外，如果在日誌稽核中發現某個帳號被連續嘗試，則必須立刻更改此帳號(包括使用者名稱和口令)(說明：在帳號屬性中設立鎖定次數，比如該帳號失敗登入次數超過5次即鎖定該帳號。這樣可以防止某些大規模的登入嘗試，同時也使管理員對該帳號提高警惕)。

1.3 系統的高階設定

這裡可以根據需要設定系統，例如

1.3.1 啟用TCP/IP過濾：只允許TCP埠80和443(如果使用SSL)以及其他可能要用的埠；不允許UDP埠；只允許IP Protocol 6 (TCP)。Web伺服器就可以，其他如域伺服器不行,該規範主要針對WEB伺服器。

1.3.2 設定陷阱指令碼：既要防範被人啟用Telnet服務。又要考慮萬一被入侵後的對策。除Telnet服務外，對System32目錄下的Telsrv.exe等檔案設定訪問許可權；關閉相關服務；然後再編輯System32ldogin.cmd檔案，在其中新增指令碼，目的是導致對方登入後出現異常，無法正常連線和工作。指令碼的內容可以自由發揮，以阻斷對方操作為準。

對於普通的聯網計算機可以按照文章所述，對於伺服器計算機。還應該對IIS進行安全設定：例如建立自己的站點與系統不在一個分割槽，刪除IIS的部分目錄，刪除不必要的IIS對映和擴充套件等等。

二、合理使用與配置防火牆

防火牆的防護和過濾技術雖然有許多種，但總體來講仍可分為“包過濾型”和“應用代理型”兩大類。包過濾型防火牆工作在開放系統互連參考模型(OSI)的網路層和傳輸層，它根據資料包源頭地址、目的地址、埠號和協議型別等標誌確定是否允許透過。只有滿足過濾務條件的資料包才被轉發到相應的目的地，其餘資料包則被丟棄。應用代理型防火牆工作在OSI的最高層—應用層。它完全“阻隔”了網路資訊流。透過對每種應用服務編制專門的代理程式，實現監視和控制應用層資訊流的作用。總體來說，後者比前者更強大，但也更慢、更貴一些，所以應用根據具體的需要配置一款功能強大的防火牆。防火牆也一定要進行良好的配置：

2.1 一定要有出站稽核功能的防火牆，防止反向連線的木馬後門；

2.2 設定適當的安全級別，安裝初期可採用學習模式並小心配置，隨後入為最高安全級別；

2.3 配置好防火牆規則。建議預設為無匹配規則則拒絕，然後一一新增必須的規則；

2.4 防火牆規則要經常備份和檢查，發現可疑規則要高度警惕，或者不定期恢復備份規則；(5)常用埠：FTP:21 WEB:80 SMTP:25 POP3:110 終端服務:3389(不建議使用；建議修改)其他如遠端管理工具的埠也不建議使用預設埠。

三、管理與維護要到位

要想防護病毒，維護企業網路安全，絕不僅僅是技術上一套防火牆，一些防毒軟體。與此同時管理和維護上也一定要到位。人的因素是資訊保安的最重要因素，只有提高了人的安防意識、安防水平才能最大程度的發揮技術的優勢。因為無論多好的技術都是靠人來操作的，所以只有將人與技術結合起來才是達到資訊保安的最有效途徑。

3.1 日誌檢查

3.1.1 檢查包括系統日誌、IIS以及SQL等的日誌、防火牆日誌、自動備份程式的工作日誌；檢查日誌中異常內容；日誌是否有明顯時間中斷現象；是否出現某些日誌被清空的現象；有無偽造日誌的跡象；

3.1.2 檢查檢查賬戶列表、系統服務列表、自動載入的程式列表；

3.1.3 檢查異常檔案，還可針對特定木馬程式的檔名進行搜尋(如ca.exe cca.exe findpass.exe pulist.exe 3389.exe等)，特別要注意搜尋帶有數字“0”或“1”的檔案。另外，必要時可根據特定木馬程式的特徵字串，對站點目錄下相關型別的檔案進行內容搜尋。

3.2 管理制度的完善

3.2.1 為了避免在緊急情況下，預先制定的安全體系無法發揮作用，應考慮採用何種應急方案的問題。

3.2.2 紮實做好網路安全的基礎防護工作，定期檢查使用者的脆弱口令。並通知使用者儘快修改。

3.2.3 制定完整的系統資料備份計劃，並嚴格實施。

3.2.4 制定並貫徹安全管理制度，如電腦保安管理制度、機房管理制度、管理員網路維護管理制度等，增強大家的網路安全意識。防止因粗心大意或不貫徹制度而導致安全事故。