企業網路病毒防護的維護策略
引言
隨著科學管理水平的提高,企業管理資訊化越來越受到企業的重視,許多企業利用網路實現了管理的資訊化,公司網路在給使用者、職工帶來便利的同時,也面臨著國際網際網路的種種危險,這裡網路上病毒的防護就成了一個重要的問題。這種網路安全問題可以理解為:透過採用各種技術和管理措施,使網路系統正常執行,從而確保網路資料的可用性、完整性和保密性。論文就是從這個角度出發,探討了一整套保證網路安全的策略與制度。
[@more@]一、系統的設定
由於現在系統大多數都是Windows,包括企業網路伺服器也是以微軟的產品為主體,所以本文結合自身的工作,主要探討Windows下的系統的設定,這裡系統既包括聯網的使用者計算機,也包括伺服器計算機。
1.1 系統基本設定
1.1.1 合理的分割槽。對提供服務的機器,可按如下設定分割槽:分割槽1,系統分割槽,安裝系統和重要日誌檔案。分割槽2,提供給IIS使用。分割槽3,提供給FTP使用。分割槽4,放置其他一些資料檔案。(以上為示例,可靈活把握)所有磁碟分割槽必須採用NTFS檔案系統,而不要使用FAT32,特別注意要在系統安裝時,透過安裝程式將系統盤格式化為NTFS,而不要先以FAT32格式安裝系統。然後再用Convert轉換,因為轉換後的磁碟根目錄的預設許可權過高。
1.1.2 設定伺服器為最小。不要按系統的預設安裝元件,根據安全原則“最少的服務+最小的許可權=最大的安全”,只選擇確實需要的服務安裝即可。典型Web伺服器需要的最小元件是:公用檔案、Internet服務管理器、WWW伺服器。解除安裝無用的元件。並且不要安裝多作業系統,否則給駭客以可乘之機。
1.1.3 安裝所需的補丁。尤其注意MDAC為資料訪問部件,通常程式對資料庫的訪問都透過它,但它也是駭客攻擊的目標,且MDAC一般不以補丁形式發放,比較容易漏更新。為防止以前版本的漏洞可能會被帶入升級後的版本,建議解除安裝後安裝最新的版本。
1.2 賬號與密碼設定
給所有使用者帳號一個複雜的口令,長度最少在8位以上,且必須同時包含字母、數字、特殊字元。同時不要使用大家熟悉的單詞(如Microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數字(如2000)等(口令是駭客攻擊的重點,口令一旦被突破也就無任何系統安全可言了)。口令必須定期更改(建議至少兩週改一次);另外,如果在日誌稽核中發現某個帳號被連續嘗試,則必須立刻更改此帳號(包括使用者名稱和口令)(說明:在帳號屬性中設立鎖定次數,比如該帳號失敗登入次數超過5次即鎖定該帳號。這樣可以防止某些大規模的登入嘗試,同時也使管理員對該帳號提高警惕)。
1.3 系統的高階設定
這裡可以根據需要設定系統,例如
1.3.1 啟用TCP/IP過濾:只允許TCP埠80和443(如果使用SSL)以及其他可能要用的埠;不允許UDP埠;只允許IP Protocol 6 (TCP)。Web伺服器就可以,其他如域伺服器不行,該規範主要針對WEB伺服器。
1.3.2 設定陷阱指令碼:既要防範被人啟用Telnet服務。又要考慮萬一被入侵後的對策。除Telnet服務外,對System32目錄下的Telsrv.exe等檔案設定訪問許可權;關閉相關服務;然後再編輯System32ldogin.cmd檔案,在其中新增指令碼,目的是導致對方登入後出現異常,無法正常連線和工作。指令碼的內容可以自由發揮,以阻斷對方操作為準。
對於普通的聯網計算機可以按照文章所述,對於伺服器計算機。還應該對IIS進行安全設定:例如建立自己的站點與系統不在一個分割槽,刪除IIS的部分目錄,刪除不必要的IIS對映和擴充套件等等。
二、合理使用與配置防火牆
防火牆的防護和過濾技術雖然有許多種,但總體來講仍可分為“包過濾型”和“應用代理型”兩大類。包過濾型防火牆工作在開放系統互連參考模型(OSI)的網路層和傳輸層,它根據資料包源頭地址、目的地址、埠號和協議型別等標誌確定是否允許透過。只有滿足過濾務條件的資料包才被轉發到相應的目的地,其餘資料包則被丟棄。應用代理型防火牆工作在OSI的最高層—應用層。它完全“阻隔”了網路資訊流。透過對每種應用服務編制專門的代理程式,實現監視和控制應用層資訊流的作用。總體來說,後者比前者更強大,但也更慢、更貴一些,所以應用根據具體的需要配置一款功能強大的防火牆。防火牆也一定要進行良好的配置:
2.1 一定要有出站稽核功能的防火牆,防止反向連線的木馬後門;
2.2 設定適當的安全級別,安裝初期可採用學習模式並小心配置,隨後入為最高安全級別;
2.3 配置好防火牆規則。建議預設為無匹配規則則拒絕,然後一一新增必須的規則;
2.4 防火牆規則要經常備份和檢查,發現可疑規則要高度警惕,或者不定期恢復備份規則;(5)常用埠:FTP:21 WEB:80 SMTP:25 POP3:110 終端服務:3389(不建議使用;建議修改)其他如遠端管理工具的埠也不建議使用預設埠。
三、管理與維護要到位
要想防護病毒,維護企業網路安全,絕不僅僅是技術上一套防火牆,一些防毒軟體。與此同時管理和維護上也一定要到位。人的因素是資訊保安的最重要因素,只有提高了人的安防意識、安防水平才能最大程度的發揮技術的優勢。因為無論多好的技術都是靠人來操作的,所以只有將人與技術結合起來才是達到資訊保安的最有效途徑。
3.1 日誌檢查
3.1.1 檢查包括系統日誌、IIS以及SQL等的日誌、防火牆日誌、自動備份程式的工作日誌;檢查日誌中異常內容;日誌是否有明顯時間中斷現象;是否出現某些日誌被清空的現象;有無偽造日誌的跡象;
3.1.2 檢查檢查賬戶列表、系統服務列表、自動載入的程式列表;
3.1.3 檢查異常檔案,還可針對特定木馬程式的檔名進行搜尋(如ca.exe cca.exe findpass.exe pulist.exe 3389.exe等),特別要注意搜尋帶有數字“0”或“1”的檔案。另外,必要時可根據特定木馬程式的特徵字串,對站點目錄下相關型別的檔案進行內容搜尋。
3.2 管理制度的完善
3.2.1 為了避免在緊急情況下,預先制定的安全體系無法發揮作用,應考慮採用何種應急方案的問題。
3.2.2 紮實做好網路安全的基礎防護工作,定期檢查使用者的脆弱口令。並通知使用者儘快修改。
3.2.3 制定完整的系統資料備份計劃,並嚴格實施。
3.2.4 制定並貫徹安全管理制度,如電腦保安管理制度、機房管理制度、管理員網路維護管理制度等,增強大家的網路安全意識。防止因粗心大意或不貫徹制度而導致安全事故。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/26058737/viewspace-1052999/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 淺談大型網際網路的企業入侵檢測及防護策略
- 淺談大型網際網路企業入侵檢測及防護策略
- 2020年,企業如何維護網路安全?
- 網站怎樣利用整體性防護策略維護資料安全?網站
- DDoS防護——中國網際網路企業的“出海之盾”
- 企業及個人如何有效防護網路攻擊?
- 網站安全維護公司解決防護方案網站
- 企業網站後期如何維護?網站
- NSACE|如何正確地維護企業的網路資訊保安?
- 守護工業網際網路安全|綠盟工業網際網路平臺企業安全綜合防護方案榮獲嘉獎
- 如何使用代理保護企業網路?
- 亞太區56%的中小企業遭受網路攻擊,企業雲上安全該如何防護?
- 怎麼永久關閉win10的病毒防護 win10病毒防護徹底關閉方法Win10
- 企業網站被攻擊篡改的安全維護方案網站
- 網路安全防護之主機病毒查殺
- 網路安全守護錦囊丨醫療機構如何防禦勒索病毒?
- MacTotalSecurity for mac(系統病毒防護軟體)Mac
- 網際網路企業如何選擇網路安全防護公司?
- 網路安全常用的防護技術有哪些?
- 做好企業網站維護需要具備哪些知識網站
- 常見的攻擊方式以及防護策略
- 電腦保安防護策略有什麼?計算機網路安全學習計算機網路
- 築牢網路安全“防護牆”,讓企業數字化轉型更有底氣!
- win10如何關閉防毒防護 win10病毒防護徹底關閉Win10防毒
- 企業維護好客戶關係的重要技巧
- 2020年,企業網路安全防護怎麼做?
- win10病毒威脅與防護打不開怎麼辦 win10病毒防護無法開啟的方法Win10
- Win10病毒和威脅防護如何關閉_win10系統關閉病毒和威脅防護的方法Win10
- win10病毒和威脅防護怎麼永久關閉 win10病毒和威脅防護永久關閉的方法Win10
- MySQL日誌維護策略彙總MySql
- 企業檔案加密:資料保護的實戰策略加密
- 資料網路安全時代,摩杜雲DDoS防護保障企業業務平穩執行
- 企業防護DDoS的注意事項,你知道幾個?
- 掃路車的維護,掃路車專業保養
- 中小型企業如何進行網路安全防護?
- 無線網路攻擊有哪些?如何防護?
- 私有云盤防護企業檔案的幾個要點
- Docker 企業級映象倉庫 Harbor 的搭建與維護Docker
- 網路網賭網站出款埠維護升級銀行維護不給提現該怎麼辦?網站