企业网络安全策略白皮书.docx

个人收集整理资料，仅供交流学习，勿作商业用途 个人收集整理资料， 仅供交流学习， 勿作商业用途 PAGE PAGE 1 / 8 微软企业网络安全策略 工作站的安全策略 工作站软件的安装限制 工作站软件的版本跟踪 软件补丁包的强行安装 工作站登陆的安全设置 工作站信息的安全设置 防毒软件的强制安装和自动更新 不必要的工作站服务的禁用 工作站的浏览器的安全设置 工作站应用软件的安全设置 工作站个人防火墙的部署 工作站的安全列表监测 服务器 / 域的口令策略 服务器操作的日志 限制用户对网络工作站软件的安装权限，进一步防止病毒或某些破坏程序利用工作站使用者的账号进行自行传播. 对各个工作站上安装的软件定期实施自动扫描， 监测安装软件的类型和版本，判断是否安装了合法的软件、是否安装了最新的软件补丁包、以及是否有可疑的“软件”入侵企业网络. 对没有安装最新的软件补丁包的工作站，实施强行安装机制；利用“推”的原则或在用户登陆网络时，自动安装软件的补丁包. 对所有工作站的登陆实施登陆的安全设置，只有有权限和合法的用户才能登陆工作站. 对工作站存储的内容设置用户访问的权限和共享的权限，确保有足够权限的用户才能访问可访问的信息. 对所有的工作站强制安装有效的防毒软件，并且自动更新工作站防毒软件的版本和相关的病毒 库. 对工作站上的某些不必要的应用服务，实施禁用政策；比如：不必在工作站上启用IIS 服务. 强行）设置工作站中的浏览器的内容安全级 别，防止可执行 Script 语句和相关控件对客户端或网络可能造成的伤害. 对工作站上安装的应用软件，开启相应的安全选项，以保证其对系统运行的安全，如：微 软Office 的宏安全性设置等. 在工作站上部署个人防火墙，特别是笔记本、家庭 PC 等，以基于各种协议和端口设置，来防止各种恶意破坏的程序对工作站的入侵. 对所有基于 Windows NT/Windows 2000/Windows XP 的工作站，按照工作站的安全列表 见附件一），逐项监测. 服务器的安全策略 制定相应的服务器/域的口令策略，并要求所有的用户定期更改口令. 对服务器的关键的操作和运行状况，实行日志纪 纪录 软件补丁包的定期安装 服务器信息的安全设置 服务器性能的监测和警告机制 防毒软件的安装和更新 加密策略的制定和实施 备份策略的定制和实施 Web 服务器的安全列表检测 服务器的对外安全发布 电子邮件的病毒过滤 电子邮件及其附件的限制策略 数据库服务器的安全策略 服务器的安全列表监测 企业防火墙的部署 录；用以检测某些无意或恶意的人为的操作. 定期检测服务器的软件版本和补丁包的版本，及时安装相应的补丁包. 对服务器存储的内容设置用户访问的权限和共享的权限，确保有足够权限的用户才能访问可访问的信息. 自动监测服务器的各项性能指标，并警报各种异常状况，以及时发现各种可能的破坏性的恶意操作. 对所有的服务器安装有效的防毒软件，并且自动 /定期更新防毒软件的版本和相关的病毒库. 对服务器中的内容，如：文件、数据、邮件等， 定制和实施相应的加密策略，以防止机密信息的外洩. 对服务器中的内容，如：文件、数据、邮件等， 定制和实施相应的备份策略，以最小化有不可抗力造成的损失. 对企业所有的基于IIS 的Web 服务器施行Web 服务器的安全列表 见附件二）检测，以加强对Web 服务器的保护. 对 Internet 可以访问的服务器，实行安全的发布措施，如： IP 地址的转换等，以防止外界对服务器的直接存取和访问，如：电子邮件服务 器. 对进出企业的电子邮件实行病毒过滤的措施，防止某些病毒通过电子邮件的方式入侵企业网络. 对进出企业的电子邮件实行相应的限制策略， 如：限制邮件的大小、限制附件的类型等. 对企业中的数据可服务器，实行相应的安全策 略，如：字段、索引、表、试图、库等不同级别的安全等级等 对所有基于 Windows NT/Windows 2000 的服务器，按照服务器的安全列表 见附件三），逐项监测. 网络访问的安全策略 在企业局域网与外界网络如：Internet 等）或企业的各个子网之间部署防火墙，并实施相应的通讯协议、IP 包和端口的过滤. 企业防毒墙的部署 在企业局域网与外界网络如：Internet 等）或 企业的各个子网之间部署防毒墙，对通过的任何信息实行病毒的检测. 半军事化管制区 部署企业的半军事化管制区 (DMZ，以保护对外(DMZ的部署 界公开的服务器、工作站，网络设备，以及相应 的文件、数据和信息等. 网络监测、警告和 部署网络监测和警告设备，及时捕获某些异常的入侵检测机制 网络通讯情况，以防止各种恶意的和非法的网络 访问和各种对网络通讯的破坏. 网络通讯的加密策 在企业的子网之间，以及基于 Internet