企业网络病毒防护的维护策略
企业网络病毒防护的维护策略
随着科学管理水平的提高,企业管理信息化越来越受到企业的重视,许多企业利用网络实现了管理的信息化,公司网络在给用户、职工带来便利的同时,也面临着国际互联网的种种危险,这里网络上病毒的防护就成了一个重要的问题。这种网络安全问题可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。论文就是从这个角度出发,探讨了一整套保证网络安全的策略与制度。
一、系统的设置
由于现在系统大多数都是Windows,包括企业网络服务器也是以微软的产品为主体,所以本文结合自身的工作,主要探讨Windows下的系统的设置,这里系统既包括联网的用户计算机,也包括服务器计算机。
1.1 系统基本设置
1.1.1 合理的分区。对提供服务的机器,可按如下设置分区:分区1,系统分区,安装系统和重要日志文件。分区2,提供给IIS使用。分区3,提供给FTP使用。分区4,放置其他一些资料文件。(以上为示例,可灵活把握)所有磁盘分区必须采用NTFS文件系统,而不要使用FAT32,特别注意要在系统安装时,通过安装程序将系统盘格式化为NTFS,而不要先以FAT32格式安装系统。然后再用Convert转换,因为转换后的磁盘根目录的默认权限过高。
1.1.2 设置服务器为最小。不要按系统的默认安装组件,根据安全原则“最少的服务+最小的权限=最大的安全”,只选择确实需要的服务安装即可。典型Web服务器需要的最小组件是:公用文件、Internet服务管理器、WWW服务器。卸载无用的组件。并且不要安装多操作系统,否则给黑客以可乘之机。
1.1.3 安装所需的补丁。尤其注意MDAC为数据访问部件,通常程序对数据库的访问都通过它,但它也是黑客攻击的目标,且MDAC一般不以补丁形式发放,比较容易漏更新。为防止以前版本的漏洞可能会被带入升级后的版本,建议卸载后安装最新的版本。
1.2 账号与密码设置
给所有用户帐号一个复杂的口令,长度最少在8位以上,且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如Microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等(口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了)。口令必须定期更改(建议至少两周改一次);另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令)(说明:在帐号属性中设立锁定次数,比如该帐号失败登录次数超过5次即锁定该帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕)。
1.3 系统的高级设置
这里可以根据需要设置系统,例如
1.3.1 启用TCP/IP过滤:只允许TCP端口80和443(如果使用SSL)以及其他可能要用的端口;不允许UDP端口;只允许IP Protocol 6 (TCP)。Web服务器就可以,其他如域服务器不行,该规范主要针对WEB服务器。
1.3.2 设置陷阱脚本:既要防范被人启用Telnet服务。又要考虑万一被入侵后的对策。除Telnet服务外,对System32目录下的Telsrv.exe等文件设置访问权限;关闭相关服务;然后再编辑System32\\ldogin.cmd文件,在其中添加脚本,目的是导致对方登录后出现异常,无法正常连接和工作。脚本的内容可以自由发挥,以阻断对方操作为准。
对于普通的联网计算机可以按照文章所述,对于服务器计算机。还应该对IIS进行安全设置:例如建立自己的站点与系统不在一个分区,删除IIS的部分目录,删除不必要的IIS映射和扩展等等。
二、合理使用与配置防火墙
防火墙的防护和过滤技术虽然有许多种,但总体来讲仍可分为“包过滤型”和“应用代理型”两大类。包过滤型防火墙工作在开放系统互连参考模型(OSI)的网络层和传输层,它根据数据包源头地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤务条件的数据包才被转发到相应的目的地,其余数据包则被丢弃。应用代理型防火墙工作在OSI的最高层—应用层。它完全“阻隔”了网络信息流。通过对每种应用服务编制专门的代理程序,实现监视和控制应用层信息流的作用。总体来说,后者比前者更强大,但也更慢、更贵一些,所以应用根据具体的需要配置一款功能强大的防火墙。防火墙也一定要进行良好的配置:
2.1 一定要有出站审核功能的防火墙,防止反向连接的木马后门;
2.2 设置适当的安全级别,安装初期可采用学习模式并小心配置,随后入为最高安全级别;
2.3 配置好防火墙规则。建议默认为无匹配规则则拒绝,然后一一添加必须的规则;
2.4 防火墙规则要经常备份和检查,发现可疑规则要高度警惕,或者不定期恢复备份规则;(5)常用端口:FTP:21 WEB:80 SMTP:25 POP3:110 终端服务:3389(不建议使用;建议修改)其他如远程管理工具的端口也不建议使用默认端口。
三、管理与维护要到位
要想防护病毒,维护企业网络安全,绝不仅仅是技术上一套防火墙,一些杀毒软件。与此同时管理和维护上也一定要到位。人的因素是信息安全的最重要因素,只有提高了人的安防意识、安防水平才能最大程度的发挥技术的优势。因为无论多好的技术都是靠人来操作的,所以只有将人与技术结合起来才是达到信息安全的最有效途径。
3.1 日志检查
3.1.1 检查包括系统日志、IIS以及SQL等的日志、防火墙日志、自动备份程序的工作日志;检查日志中异常内容;日志是否有明显时间中断现象;是否出现某些日志被清空的现象;有无伪造日志的迹象;
3.1.2 检查检查账户列表、系统服务列表、自动加载的程序列表;
3.1.3 检查异常文件,还可针对特定木马程序的文件名进行搜索(如ca.exe cca.exe findpass.exe pulist.exe 3389.exe等),特别要注意搜索带有数字“0”或“1”的文件。另外,必要时可根据特定木马程序的特征字串,对站点目录下相关类型的文件进行内容搜索。
3.2 管理制度的完善
3.2.1 为了避免在紧急情况下,预先制定的安全体系无法发挥作用,应考虑采用何种应急方案的问题。
3.2.2 扎实做好网络安全的基础防护工作,定期检查用户的脆弱口令。并通知用户尽快修改。
3.2.3 制定完整的系统数据备份计划,并严格实施。
3.2.4 制定并贯彻安全管理制度,如计算机安全管理制度、机房管理制度、管理员网络维护管理制度等,增强大家的网络安全意识。防止因粗心大意或不贯彻制度而导致安全事故