企业网络病毒防护的维护策略（公司内部网络病毒防治计划）

引言

随着科学管理水平的提高，企业管理信息化越来越受到企业的重视，许多企业利用网络实现了管理的信息化，公司网络在给用户、职工带来便利的同时，也面临着国际互联网的种种危险，这里网络上病毒的防护就成了一个重要的问题。这种网络安全问题可以理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。论文就是从这个角度出发，探讨了一整套保证网络安全的策略与制度。

[@more@]

一、系统的设置

由于现在系统大多数都是Windows，包括企业网络服务器也是以微软的产品为主体，所以本文结合自身的工作，主要探讨Windows下的系统的设置，这里系统既包括联网的用户计算机，也包括服务器计算机。

1.1 系统基本设置

1.1.1 合理的分区。对提供服务的机器，可按如下设置分区：分区1，系统分区，安装系统和重要日志文件。分区2，提供给IIS使用。分区3，提供给FTP使用。分区4，放置其他一些资料文件。(以上为示例，可灵活把握)所有磁盘分区必须采用NTFS文件系统，而不要使用FAT32，特别注意要在系统安装时，通过安装程序将系统盘格式化为NTFS，而不要先以FAT32格式安装系统。然后再用Convert转换，因为转换后的磁盘根目录的默认权限过高。

1.1.2 设置服务器为最小。不要按系统的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。典型Web服务器需要的最小组件是：公用文件、Internet服务管理器、WWW服务器。卸载无用的组件。并且不要安装多操作系统，否则给黑客以可乘之机。

1.1.3 安装所需的补丁。尤其注意MDAC为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，且MDAC一般不以补丁形式发放，比较容易漏更新。为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。

1.2 账号与密码设置

给所有用户帐号一个复杂的口令，长度最少在8位以上，且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如Microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等(口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了)。口令必须定期更改(建议至少两周改一次)；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号(包括用户名和口令)(说明：在帐号属性中设立锁定次数，比如该帐号失败登录次数超过5次即锁定该帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕)。

1.3 系统的高级设置

这里可以根据需要设置系统，例如

1.3.1 启用TCP/IP过滤：只允许TCP端口80和443(如果使用SSL)以及其他可能要用的端口；不允许UDP端口；只允许IP Protocol 6 (TCP)。Web服务器就可以，其他如域服务器不行,该规范主要针对WEB服务器。

1.3.2 设置陷阱脚本：既要防范被人启用Telnet服务。又要考虑万一被入侵后的对策。除Telnet服务外，对System32目录下的Telsrv.exe等文件设置访问权限；关闭相关服务；然后再编辑System32ldogin.cmd文件，在其中添加脚本，目的是导致对方登录后出现异常，无法正常连接和工作。脚本的内容可以自由发挥，以阻断对方操作为准。

对于普通的联网计算机可以按照文章所述，对于服务器计算机。还应该对IIS进行安全设置：例如建立自己的站点与系统不在一个分区，删除IIS的部分目录，删除不必要的IIS映射和扩展等等。

二、合理使用与配置防火墙

防火墙的防护和过滤技术虽然有许多种，但总体来讲仍可分为“包过滤型”和“应用代理型”两大类。包过滤型防火墙工作在开放系统互连参考模型(OSI)的网络层和传输层，它根据数据包源头地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤务条件的数据包才被转发到相应的目的地，其余数据包则被丢弃。应用代理型防火墙工作在OSI的最高层—应用层。它完全“阻隔”了网络信息流。通过对每种应用服务编制专门的代理程序，实现监视和控制应用层信息流的作用。总体来说，后者比前者更强大，但也更慢、更贵一些，所以应用根据具体的需要配置一款功能强大的防火墙。防火墙也一定要进行良好的配置：

2.1 一定要有出站审核功能的防火墙，防止反向连接的木马后门；

2.2 设置适当的安全级别，安装初期可采用学习模式并小心配置，随后入为最高安全级别；

2.3 配置好防火墙规则。建议默认为无匹配规则则拒绝，然后一一添加必须的规则；

2.4 防火墙规则要经常备份和检查，发现可疑规则要高度警惕，或者不定期恢复备份规则；(5)常用端口：FTP:21 WEB:80 SMTP:25 POP3:110 终端服务:3389(不建议使用；建议修改)其他如远程管理工具的端口也不建议使用默认端口。

三、管理与维护要到位

要想防护病毒，维护企业网络安全，绝不仅仅是技术上一套防火墙，一些杀毒软件。与此同时管理和维护上也一定要到位。人的因素是信息安全的最重要因素，只有提高了人的安防意识、安防水平才能最大程度的发挥技术的优势。因为无论多好的技术都是靠人来操作的，所以只有将人与技术结合起来才是达到信息安全的最有效途径。

3.1 日志检查

3.1.1 检查包括系统日志、IIS以及SQL等的日志、防火墙日志、自动备份程序的工作日志；检查日志中异常内容；日志是否有明显时间中断现象；是否出现某些日志被清空的现象；有无伪造日志的迹象；

3.1.2 检查检查账户列表、系统服务列表、自动加载的程序列表；

3.1.3 检查异常文件，还可针对特定木马程序的文件名进行搜索(如ca.exe cca.exe findpass.exe pulist.exe 3389.exe等)，特别要注意搜索带有数字“0”或“1”的文件。另外，必要时可根据特定木马程序的特征字串，对站点目录下相关类型的文件进行内容搜索。

3.2 管理制度的完善

3.2.1 为了避免在紧急情况下，预先制定的安全体系无法发挥作用，应考虑采用何种应急方案的问题。

3.2.2 扎实做好网络安全的基础防护工作，定期检查用户的脆弱口令。并通知用户尽快修改。

3.2.3 制定完整的系统数据备份计划，并严格实施。

3.2.4 制定并贯彻安全管理制度，如计算机安全管理制度、机房管理制度、管理员网络维护管理制度等，增强大家的网络安全意识。防止因粗心大意或不贯彻制度而导致安全事故。