系统安全方案

安全方案

目录

一、概述 (3)

二、安全方案 (3)

一.服务器配置方案 (3)

1）安装防病毒软件并及时更新病毒库 (3)

2）及时安装最新版本的SP和Hotfixes补丁程序 (3)

3）关掉不需要的服务 (4)

4）对系统帐户进行安全设置 (4)

5）开启审核策略 (7)

6）限制LAS信息不被匿名访问 (7)

7）禁止对注册表的远程访问 (8)

8）关闭不需要的端口 (8)

9）IIS的安全设置 (9)

二.网络安全方案 (12)

1)、使用防火墙 (12)

2)、使用VPN技术 (13)

3)、使用SSL安全机制 (13)

4)、安装入侵检测系统 (13)

三.数据安全方案 (14)

1.安全审核 (14)

2.使用安全的密码策略 (14)

四.软件安全方案 (15)

一、概述

现代计算机系统功能日渐复杂，信息化日渐强大，正在对社会各行各业产生巨大深远的影响，但同时由于其开放性特点，使得安全问题越来越突出。然而，随着人们对计算机网络依赖程度的日渐加深，信息化安全也表现得越来越重要。为防止不同类型的系统安全隐患，所以构建一个安全的系统是非常重要的。

二、安全方案

一.服务器配置方案

对于各类服务器的操作系统要有严格的操作管理流程，对服务器的操作严格按照操作流程来做，这是最基本的要求，另外还要按照以下流程对操作系统进行安全设置：

1）安装防病毒软件并及时更新病毒库

计算机病毒的危害日益加重，我们必须在服务器上安装防病毒软件，并做到及时更新。

2）及时安装最新版本的SP和Hotfixes补丁程序

要及时跟踪Microsoft公司发布SP以及hotfixes的消息，从而根据具体环境，在机器中安装最新的SP及hotfixes补丁程序。微

软公司的产品补丁分为2类：SP（Service Pack）和HotFixes。SP 是集合一段时间发布的HotFixes的大补丁，一般命名为SP1、SP2，一段时间才发布一次。HotFixes是小补丁，它位于当前SP和下一个SP之间，是为解决微软网站上最新安全告示（Security bulletin）中的系统漏洞而发布的，一般命名为“MS年份-序号”，比如MS01-044表示2001第44个HotFixes。可以设置系统为自动下载更新系统补丁。

3）关掉不需要的服务

安装完Windows 2003 Server后，我们就应该禁止掉该服务器不承担的任何网络服务程序。特别要考虑的是，是否需要运行文件和打印机共享服务。另外，除非特别需要，我们也不要在服务器上安装其他应用程序。比如说，不要安装电子邮件客户端程序、office产品等等。总之，不是必须运行的程序，不安装！

4）对系统帐户进行安全设置

(1)禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

(2)限制不必要的用户

去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。(3)创建两个管理员账号

创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators 权限的用户只在需要的时候使用。

(4)把系统Administrator账号改名

大家都知道，Windows 2003 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

(5)创建一个陷阱用户

什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。

(6)把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“Everyone”组，包括

打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。(7)开启用户策略

使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

(8)不让系统显示上次登录的用户名

默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\ Dont-DisplayLastUserName”，把REG_SZ的键值改成1。

(9)密码安全设置

使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。

开启密码策略

注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。

考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

5）开启审核策略

全审核是win2003最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：

策略设置：

审核系统登陆事件成功，失败

审核帐户管理成功，失败

审核登陆事件成功，失败

审核对象访问成功

审核策略更改成功，失败

审核特权使用成功，失败

审核系统事件成功，失败

6）限制LAS信息不被匿名访问

LSA 是Local Security Authority的缩写，即本地安全颁发机构，