打造安全的信息网络

本文是一篇安全向导，以帮助管理员和安全专家更健康的配置windows平台。

防火墙和它们充当的角色

防火墙是被连接到互联网任一个网络的整体部分。如果没有安装防火墙，许多攻击可能在管理员不知道的情况下发生。许多这样的攻击可能是很致命的，会直接导致计算机宕机，如果没有防火墙，可用路由器过滤掉易被入侵者利用来攻击网络的不需要的协议和端口。最多被使用的是TCP/IP协议。低端的TCP端口135，139，和445 ，以及UDP端口135，137，和445应该被阻拦，还有其他所有未使用的端口。你可以认为防火墙是修筑在您的网络附近的物理墙壁。 每次您打开端口，就在墙壁打了一个孔来安装窗口。 一些窗口向外，另外一些向内。 入侵者能利用窗口但只能看到网络里面有什么。您安装窗口(端口)越多，您的墙壁将变得更加透明。

Service packs

Service packs是为了修补已发售的产品的一些错误以及产品的一些新的应用的一个补丁合集。没有这些补丁包，一些windows的应用将无法实现。 安全补丁也被发布用于修补有弱点并且程序员未注意的区域。当漏洞被发现后也许要几天甚至几星期才会有一个有效的补丁发布。 这期间， 您的机器将可能被扫描并且漏洞被人利用。 应当让你在网络上的机器随时关注windows的升级中心并随时升级补丁程序，这样你的机器将会安全些。如果您不想为您的机器打补丁，一旦中招，你将花费许多的时间来修复当机的后果，损失将无法计算。

帐户考虑

如果您使用Windows NT 或以上的版本，确保你的管理员的帐号是安全的。 给管理员帐户改名，然后再创造其它帐户将之命名为管理员。并且给原来的那个管理员帐户最低的权限，这样入侵者将花费更多的时间才能猜解得到可以存取的管理员帐户。

反病毒

病毒发展迅速，并且许多新病毒每周被发布。如果您的机器有互联网连接或有传输介质与其他的计算机连接，抗病毒就是必需的。定期升级抗病毒软件，这样中毒的风险将大大减少。 使用有安全证书的软件，扫描你接收的电子邮件，以及使用的光盘等传输介质。 将网络浏览器的安全级别设置为高。不要用服务器或其他重要机器来上网浏览网页。使用安装了补丁并且安装了杀毒软件的测试系统来下载必要的软件 这样可以保证软件系统的安全。不要下载形式未知的数据包。从文件共享服务器下载软件不仅危险，并且可能减弱整个网络的性能。一些病毒在执行后被传播到整个网络，根据病毒的危害性将有可能导致网络瘫痪，造成财政损失。

病毒软件设置需要被设置为最高安全性。保证任一种恶意病毒活动的形式都被禁止。可以设置修复被病毒传染的文件，但如果文件不可修复而又不是系统必须的，就没有保留的必要了。木马类型的病毒可轻易地打开你的您的网络，既使您的防火墙将所有的端口关闭。当机器感染特洛伊木马，它可以让你的网络后门大开。 在您的邮件服务器禁止所有潜在地恶意文件类型。 如VBS 、EXE ，COM 等。如果这些文件为企业目的必须使用，可由信任的用户执行。 如果用户需要发送包含.exe的邮件，建议他们给文件改名，并以不同的方式发送。 设置您的抗病毒扫描包含选择的方式确保病毒无法通行。

拨号接入或远程网络连接

限制拨号用户的接入和限制用户从远程登入的功能。并且记录用户活动。 使用VPN访问网络是一种可信任的安全方法。比正常PPP 连接，VPN 连接的数据相是较不易受拦截。 在高安全环境下设定远程连接要求证件检验。 在客户端证明上使用强的密码认证方法。 远程存取依然是最微弱的链接，如果不正确地实施，在许多情况下将会被入侵者寻找利用。

从公司网络划分出独立的网段给拨号用户是一个不错的方法。 这种解答可能有许多功能特点。 如果您的网络用户需要拨号回到被预先决定的数字是一个好方式，这样可以保证后面设置连接确实连接到用户的家里。 另一考虑是, 用户不能在本地机器存放密码，他访问网络的密码不应该被保存，应该在每次连接时键入。


上述图代表通过一条安全VPN 路线远程网接入连接互联网和一个拨号的计算机。 注意防火墙是根据被设置在防火墙的允许规则将这些用户作为外在网络用户和被创造的虚拟网络接入。

入侵检测

入侵检测是强化windows网络的一重要部份，有许多的入侵检测软件，也有很多安全组织可以帮你的忙。如 www.windowsecurity.com

安全的密码- 怎样才算一个好密码?

·大于8个字符
·包含元素从至少三到四个字符集
·大写体字符
·小写字母
·数字
·非alpha数字字符
·不包含某些帐户、用户名或其部分，或任何共同的词的部份
·使用ALT 字符。 ALT 字符是那些您键入由持续Alt键(FN+ALT笔记本) 并且键入三或四数字数字在数字小键盘。 多数密码探测器不能测试大多数ALT 字符。
·不要允许密码缓存的存贮。

通过密码过滤器强制执行这些策略，必要时使用组政策管理器。

安装的服务

服务作为注册的进程运行在多数windows机器上。这些服务是入侵者试图发现弱点的目标。 关闭无用的服务可减少被入侵者利用的机会。还可以减少硬件资源的消耗。

文件系统

应该选择可以给文件以最高安全性的文件系统。。NTFS是一个强的安全文件系统。让管理员和用户按照各自被分配的允许控制对文件的访问。这种控制不仅保护用户免受潜在的入侵者入侵，而且可以防止病毒在计算机上的安装运行。 这是一个好想法用NTFS格式化所有分区，这样在机器被窃取或被误置的情况下，也能保障数据安全。数据不不会像在Fat 分区那样脆弱，不过现在有几个公司开发了能读NTFS文件系统的文件的软件，在许可的条件下还是可以读取的。

BIOS

不要将你的BIOS处于开放状态，。应当给BIOS设置一个密码。 如果用户想要改变启动的驱动器她首先必须进入BIOS将首要启动项设为CD-ROM 。设置BIOS密码可以增加系统的安全性。 如果BIOS被锁定，使用者就无法进行启动项更改，从而使其不得门而入。 请注意某些早期的BIOS设置有万能密码，所以应当选用没有万能密码的设备。

启动驱动器

在BIOS将启动设为C Only 像CD-ROM和软驱给入侵者提供的一条大道。 入侵者也许需要安装或装载第三方应用软件以绕开操作系统的限制。

在独立网段安装IIS

IIS被发现许多漏洞，因为它非常方便并且被广泛应用。 但是由于蠕虫的流行使得网络中的计算机并不安全，我们极力推荐将运行IIS的系统安装在被隔离的网段，并注意安装最新的服务补丁包。 微软发行了IIS的 锁定工具可用于用锁定IIS已知的漏洞，请在微软的升级中心下载这个工具。 IIS 服务器需要由用户在互联网连接，这使服务器特别易受影响。 通过ISA 服务器发布IIS 服务也许帮助缓和所有已知的弱点，将帮助在增加安全额外层数到您的IIS 窗口服务器。同样，SQL 服务器也要从网络被连接，也可以通过ISA 服务器发布。更多信息参观 www.ISAsever.org .

划分网段

网络的物理分割总是百利无害的。如果您的硬件允许，建议你实施这个方案。对网络划分VLAN 并且设置访问许可列表让特定的计算机只能访问许可范围内的网段。分割您的网络是一个好想法，如果您想测试从一个不可信来源的软件，这些软件也许包含会在网络传播的病毒。如 Opaserv 病毒。

VPN远程存取。 网络的分割可能并且增加网络的安全性，例如你可以设定所有用户能访问服务器但用户不能互相访问。这减少了用户数据被非法读取的可能性。如果机器感染会对LAN 扫描并传播的病毒，病毒将不能传播，因为它会发现自己被其它计算机隔离。



被分段的网段

部门划分

各部门之间并行连接的网络可能存在一定的危险性。各个部门应该被视为局域网的一段，而不应该视为整体，各个部门在网络上应该被划分开，相互之间不能直接访问，除了机器象mail 服务器和目录服务器之类的公共服务器，部门间发送的路由包应当被限制，以确保企业网络的畅通。 如果您看适合这也许是一个好想法，将各个部门放在防火墙之后并且之让合乎规则的通信能通过防火墙。它将保持双方的安全。并阻止从不允许的突破口进入的企图。

备份

在任一组织，灾害补救战略应该是事务连续性的一部分，并且备份将是这个战略的一部分。 所有数据都应该被备份并可以迅速的被恢复。备份非常重要，并且应当采用非在线的方式存储 。 在线存储的方式无法恢复物理损坏的站点。非在线存储需要特定的安全条件。

总结

现在有很多工具可以帮助你检察你的网络的安全性，它们可以帮助你监视网络事件以维护网络的性能，并检察出系统的漏洞以便修补，从而防止被攻击。 在这篇文章里涵盖了大部分的网络和windows平台，建议你执行以上的规则。[作者：Ricky M. Magalhaes]
（出处：PConline）

关键词：打造安全的信息网络