(完整版)企业网络安全策略白皮书.doc

微软企业网络安全策略

工作站的安全策略

工作站软件的安装限制用户对网络工作站软件的安装权限，进一步

限制防止病毒或某些破坏程序利用工作站使用者的账

号进行自行传播 .

工作站软件的版本对各个工作站上安装的软件定期实施自动扫描，

跟踪监测安装软件的类型和版本，判断是否安装了合

法的软件、是否安装了最新的软件补丁包、以及

是否有可疑的“软件”入侵企业网络 .

软件补丁包的强行对没有安装最新的软件补丁包的工作站，实施强

安装行安装机制；利用“推”的原则或在用户登陆网

络时，自动安装软件的补丁包 .

工作站登陆的安全对所有工作站的登陆实施登陆的安全设置，只有

设置有权限和合法的用户才能登陆工作站 .

工作站信息的安全对工作站存储的内容设置用户访问的权限和共享

设置的权限，确保有足够权限的用户才能访问可访问

的信息 .

防毒软件的强制安对所有的工作站强制安装有效的防毒软件，并且

装和自动更新自动更新工作站防毒软件的版本和相关的病毒

库.

不必要的工作站服对工作站上的某些不必要的应用服务，实施禁用

务的禁用政策；比如：不必在工作站上启用 IIS 服务 .

工作站的浏览器的<强行）设置工作站中的浏览器的内容安全级

安全设置别，防止可执行 Script 语句和相关控件对客户

端或网络可能造成的伤害 .

工作站应用软件的对工作站上安装的应用软件，开启相应的安全选

安全设置项，以保证其对系统运行的安全，如：微软

Office 的宏安全性设置等 .

工作站个人防火墙在工作站上部署个人防火墙，特别是笔记本、家

的部署庭 PC 等，以基于各种协议和端口设置，来防止

各种恶意破坏的程序对工作站的入侵 .

工作站的安全列表对所有基于 Windows NT/Windows 2000/Windows 监测XP 的工作站，按照工作站的安全列表<见附件

一），逐项监测 .

服务器的安全策略

服务器 / 域的口令制定相应的服务器 / 域的口令策略，并要求所有

策略的用户定期更改口令 .

服务器操作的日志对服务器的关键的操作和运行状况，实行日志纪

纪录录；用以检测某些无意或恶意的人为的操作 . 软件补丁包的定期定期检测服务器的软件版本和补丁包的版本，及安装时安装相应的补丁包 .

服务器信息的安全对服务器存储的内容设置用户访问的权限和共享设置的权限，确保有足够权限的用户才能访问可访问

的信息 .

服务器性能的监测自动监测服务器的各项性能指标，并警报各种异和警告机制常状况，以及时发现各种可能的破坏性的恶意操

作.

防毒软件的安装和对所有的服务器安装有效的防毒软件，并且自动更新/ 定期更新防毒软件的版本和相关的病毒库 . 加密策略的制定和对服务器中的内容，如：文件、数据、邮件等，实施定制和实施相应的加密策略，以防止机密信息的

外洩 .

备份策略的定制和对服务器中的内容，如：文件、数据、邮件等，实施定制和实施相应的备份策略，以最小化有不可抗

力造成的损失 .

Web 服务器的安全对企业所有的基于 IIS 的 Web服务器施行 Web 服

列表检测务器的安全列表 <见附件二）检测，以加强对

Web服务器的保护 .

服务器的对外安全对 Internet 可以访问的服务器，实行安全的发发布布措施，如： IP 地址的转换等，以防止外界对

服务器的直接存取和访问，如：电子邮件服务

器.

电子邮件的病毒过对进出企业的电子邮件实行病毒过滤的措施，防滤止某些病毒通过电子邮件的方式入侵企业网络 . 电子邮件及其附件对进出企业的电子邮件实行相应的限制策略，

的限制策略如：限制邮件的大小、限制附件的类型等 .

数据库服务器的安对企业中的数据可服务器，实行相应的安全策

全策略略，如：字段、索引、表、试图、库等不同级别

的安全等级等

服务器的安全列表对所有基于Windows NT/Windows 2000 的服务监测器，按照服务器的安全列表 <见附件三），逐项

监测 .

网络访问的安全策略

企业防火墙的部署在企业局域网与外界网络 <如： Internet 等）或

企业的各个子网之间部署防火墙，并实施相应的

通讯协议、 IP 包和端口的过滤 .

企业防毒墙的部署在企业局域网与外界网络<如： Internet等）或

企业的各个子网之间部署防毒墙，对通过的任何

信息实行病毒的检测 .

半军事化管制区部署企业的半军事化管制区(DMZ>，以保护对外(DMZ>的部署界公开的服务器、工作站，网络设备，以及相应

的文件、数据和信息等 .

网络监测、警告和部署网络监测和警告设备，及时捕获某些异常的

入侵检测机制网络通讯情况，以防止各种恶意的和非法的网络

访问和各种对网络通讯的破坏 .

网络通讯的加密策在企业的子网之间，以及基于 Internet 联接的

略虚拟专用网中，实施基于 IP 包的加密技术，防

止网络中传输的信息被窃取 .

远程用户访问的安制定相应的远程用户访问的安全策略，如：用户

全策略验证、定时访问和回拨策略等 .

无线网络的安全策对公司部署的无线网络实施高度的安全策略，如

略用户口令的加密验证、采用 802.1X 协议传输等 . 网络冗余性策略对网络的关键部分，实施冗余性策略，以确保企

业网络的不间断运作，如：服务器的冗余、防火

墙的冗余、路由器的冗余等 .

网络安全工具

IIS 锁合工具该工具使您能够立即将您的 IIS 4.0 或 5.0 服务

器配置为安全配置. 该工具同时提供了快速

Web站点将提供的服务 .

Microsoft 个人安这个新的工具让您确保您的工作站安装了所有最

全性顾问新的补丁，并为安全操作进行了配置 .

HFNetChk HFNetChk允许管理员扫描他们的服务器 <包括远

程服务器），确保这些服务器安装了Windows

NT 4.0, Windows 2000, IIS 4.0, IIS 5.0, IE

and SQL Server 的最新安全性补丁 .

红色代码II蠕虫该工具消除红色代码II蠕虫明显的影响.

清除工具

企业网络安全策略附件一：工作站的安全列表

Windows NT 4.0 WorkStation安全列表

Verify that the Administrator account has a strong password

Disable unnecessary services

Disable or delete unnecessary accounts