便民公告
计算机网络安全防范措施
发布:霍州市公安局    时间:2013/5/8 15:18:28
口令管理

1)各级系统管理员必须对口令严格保密,未经授权,不得将口令告诉任何人。

2)各路由器、局域网交换机、代理服务器、服务器(如WWWEmail等)的超级用户口令应定期更换,口令长度至少六位,必须混用大小写字母、数字和特殊字符。口令装入信封密封,编号并进行登记后交由主管领导负责保管。特殊情况下经由主管领导同意,由使用人签字后才可拆封使用。口令登记记录应保存半年以上。

3)服务器的用户管理由网络管理人员负责,严格控制系统管理员和应用系统管理员之外的人具备终端访问权限(Telnet,严格控制非信息制作人员具备文件访问权限(FTP),服务器上的普通用户口令每月修改一次,由该用户自行掌握。

权限管理

1)服务器的管理由网络管理员和服务器管理人员共同负责,根据服务器的用途及相关用户的工作职责及权限制定相应的安全策略。严格控制普通用户对服务器的透明操作(如对WWW服务器文件的管理应采用FTP方式,而不是一般的共享目录方式)。

2)路由器、局域网交换机、防火墙的管理只能由网络管理员和经授权的人员进行。严禁其他人员随意关闭开启路由器、局域网交换机的电源,改变路由器、局域网交换机的连接方式及配置。

3)统计信息网络和国家公众互联网的访问管理由网络管理员根据相关文件制定相应的策略。严禁下载无用文件,以防感染病毒。

日志管理

1)操作日志,记录操作内容(包括添加及移除软件),具体格式由网络管理员统一制定。操作日志应保留半年。

2)系统日志,每月备份一次服务器中的系统日志。系统日志应保存三个月。

系统升级

由网络管理员和相关人员组成网络安全技术小组。网络安全技术小组一旦发现安全漏洞,应迅速制定相应措施,并协调相关人员进行具体操作解决。具体情况及过程应作详细记录并存档。

网络日常监控

网络管理员应每天对路由器、局域网交换机、代理服务器、应用服务器(WWWEmail等)进行监控,并查看系统资源、网络连接、病毒入侵等。

系统的完整性检查

网络管理员应每周对网络的完整性进行检查。

必须将服务器上含有机密数据的区域全部转换成NTFS格式;存储和读取网络上的任何数据皆须通过密码登录。

经常运行NetWare提供的“SECURITY”实用程序,找出网络系统中最薄弱的环节,检查并堵塞潜在漏洞。“SECURITY”能发现网络中的许多问题,诸如口令不保密、未指定用户口令、与管理员同等权限、在任何卷的根目录下都有访问特权、在标准目录中的权限超过了应有范围等问题。

 

正确设置文件属性,合理规范用户的访问权限。

 

 NetWare提供了目录与文件访问权限和属性两种安全性措施,可有效地防止病毒侵入,具体措施如下:

·一般不允许多个用户对同一目录有“Read”和“Write”权,不允许对其他用户的私人目录有“Read”和“Scan”权。

·将扩展名为.EXE.COM的文件属性设为“Read Only”和“Execute Only”,这种设置还可将文件属性“Delete Inhibit”和“Rename Inhibit”等赋予文件。

· 组目录只允许含有数据文件,一般用户只能“Read”和“Scan”等。
    ·把所有用户对Public,Login等目录的权限设置为"Read""Scan".
   
·特殊情况下授权一个用户在某目录中有“Access Control“和“Supervisory”权。

对非共享软件,将其执行文件和覆盖文件如*.COM、*.EXE、*.OVL等备份到文件服务器上,定期从服务器上拷贝到本地硬盘上进行重写操作。

接收远程文件输入时,一定不要将文件直接写入本地硬盘,而应将远程输入文件写到软盘上,然后对其进行查毒,确认无毒后再拷贝到本地硬盘上。

 

工作站的安全问题

由于工作站是进入服务器的大门,加强工作站的安全管理能够提高整体网络的安全性。工作站(PC)的管理由具体使用者负责,禁止不相干人员未经授权使用。工作站上应加装防病毒软件,严格控制使用外来软盘、光盘,不安装非工作相关软件,日常重要数据应经常备份。

 

经常执行最新修补程序

微软公司内部有一组人力专门检查并修补安全漏洞,这些修补程序(补丁)通常被收集成service pack(服务包)发布,象NT的一些安全漏洞,在新的补丁程序中已经解决。

一个服务包有时好几个月才发行一次,但只要有严重点的漏洞被发现,微软公司会定期将重要的修补程序发布在它的FTP站上,所以要经常留意最新修补程序,并按要求安装。切记,修补程序一定要按时间顺序来使用,若使用错乱的话,可能会导致一些文件的版本错误,甚者可造成Windows NT宕机。

 

加装防火墙,精心配置路由器。

防火墙是网络规划中很重要的一部份,它是网络安全的第一道防线;而路由器的访问控制列表ACL是网络安全的第二道防线;它们能使一个局域网系统不受外界恶意破坏。因此,对网络防火墙和路由器要精心配置,反复核查,严格把关。

首先,不要公布非必要的IP地址。至少要有一个对外的IP地址,所有的网络通讯都必须经由此地址。如果还有DNS注册的Web服务器或是电子邮件服务器,这些IP地址也要穿过防火墙对外公布。但是,工作站和其他服务器的IP地址则必须隐藏。

还可以查看所有的通讯端口,确定不常用的端口已经悉数关闭。例如,TCP/IP port80是用于HTTP流量,因此不能堵掉这个端口,也许port81应该永远都用不着,所以就应该关掉。可以在网络上查到每个端口的详细