公司网络安全使用规章制度.doc

*公司网络安全使用规章制度计算机网络安全使用规章制度：（包括1、故障是如何发生的，是什么原因导致了故障的发生，以后如何避免类似故障的发生，拟订相应的对策，采取必要的措施，制定严格的规章制度；2、网络安全使用规章制定，如何安全使用网络，各部门之间访问策略、各部门流量控制选择以及原因说明。）1、例如某一常见网络安全问题，为防止该问题发生而制定策略为员工策略，该策略如何防止该问题发生，该策略的使用好处，该策略对个人网络访问的限制原因等）以下为基本策略内容的一部分 可选择其中可用条目使用 以下没有具体的部门之间的访问控制 网络规划时的安全策略 网络的安全性最佳在网络规划阶段就要考虑进去，一些安全策略在网络规划时就要实施。 明确网络安全的责任人和安全策略的实施者。人是制定和执行网络安全策略的主体。对于小型网络来说网络管理员能是网络安全责任人。 对网络上所有的服务器和网络设备，设置物理上的安全措施（防火、防盗）和环境上的安全措施（供电、温度）。对小型的局域网最佳将网络上的公用服务器和主交换设备安置在一间中心机房内集中放置。 网络规划应考虑容错和备份。安全策略不可能确保网络绝对安全和硬件不出故障。我们的网络应允许网络出现的一些故障，并且能非常快从灾难中恢复。网络的主备份系统应位于中心机房。 如果你的网络和Internet有固定连接（静态的IP地址），只要资金允许最佳在网络和Internet之间安装防火墙。 网络使用代理服务器访问Internet。不仅能降低访问成本，而且隐藏了网络规模和特性，加强了网络的安全性。 网络管理员的安全策略 对于小型网络来说网络管理员一般承担安全管理员的角色。网络管理员采取的安全策略，最重要的是确保服务器的安全和分配好各类用户的权限。1.网络管理员必须了解整个网络中的重要公共数据(限制写)和机密数据(限制读)分别是哪些，他在哪儿，哪些人使用，属于哪些人，丢失或泄密会造成怎样的损失。这些重要数据集中至位于中心机房的务器上，置于有安全经验的专人管理之下。 2定期对各类用户进行安全培训。 3服务器上只安装NT。不要安装视窗系统9x和DOS，确保服务器只能从NT启动。 4服务器上所有的卷全部使用NTFS。 5使用最新的Service Pack升级你的NT。 6设置服务器的BIOS，不允许从可移动的存储设备(软驱、光驱、ZIP、SCIS设备)启动。确保服务器从NT启动置于NT安全机制管理之下。 bitsCN_com 7通过BIOS设置软驱无效，并设置BIOS口令。防止非法用户利用控制台获取敏感数据，及由软驱感染病毒到服务器。 8取消服务器上不用的服务和协议种类。网络上的服务和协议越多安全性越差。 9将服务器注册表HKEY_LOCAL_ MACHINESOFTWAREMicrosoft 视窗系统NTCurrentVersionWinlogon项中的Dont Display Last User Name串数据修改为1，隐藏上次登陆控制台的用户名。 10不要将服务器的视窗系统 NT设置为自动登录，应使用NT Security对话框(Ctrl+Alt+Del)注册。 11C/S软件的服务器端如果是用户模式运行的(即需要从服务器端登录)，用NT Resource Kit中的Autoexnt将设为启动时自动运行形式。12系统文件和用户数据文件分别存储在不同的卷上。方便日常的安全管理和数据备份。 13修改默认Administrator用户名,加上强口令(多于10个字符且必须包括数字和符号)，最佳再创建一个具有强口令的管理员特权的账号，使网络管理员账号不易被攻破。 14管理员账号仅用于网络管理，不要在所有客户机上使用管理员账号。对属于Administrator组和备份组的成员用户要特别慎重。 15记住口令文件保存在WINNT SYSTEM32CONFIG目录的SAM文件中，WINNTREPAIR目录中有SAM备份。对SAM文件写入、更改权限等进行审计。 16鼓励用户将数据保存到服务器上。DOS和视窗系统9x客户机没有NT提供的安全性，所以不建议用户在本地硬盘上共享文件。 17限制能登录到有敏感数据的服务器的用户数。这样在出现问题时能缩小怀疑范围。 bitsCN.Com 18利用视窗系统9x的系统策略编辑器建立策略文件，存入服务器，控制的视窗系统9x客户机的注册表。建议打开计算机策略中的需要使用Network for 视窗系统 Access进行验证、登录到视窗系统NT/禁用域口令缓冲，控制视窗系统9x用户必须首先注册到网上。这样能防止用户通过放弃使用视窗系统9x降低客户机安全。 19通过系统策略编辑器能进一步控制一般用户或组在视窗系统9x客户机上的行为。 20不允许一般用户在服务器上拥有除读/执行以外的权限。NT本身不支持用户空间限制，这一点对校园网安全特别重要。 21限制Guest账号的权限，最佳不允许使用Guest账号。不要在Everyone组增加所有权限，因为Guest也属于该组。 22一般不直接给用户赋权，而通过用户组分配用户权限。 23新增用户时分配一个口令，并控制用户首次登录必须更改口令，最佳进一步设置成口令的不低于6个字符，杜绝安全漏洞。 www.bitsCN.com 24至少对用户登录和注销网络、重新启动、关机及系统、安全规则更改活动进行审计，但不要忘了过多的审计将影响系统性能。 针对提供Internet访问服务网络的策略 25文件服务器不和Internet直接连接，设专用代理服务器；不允许客户机通过Modem连到Internet，形成在防火墙内的连接。 26能利用TCP/IP安全对话框，关闭Internet上机器不用的TCP/UDP端口，过滤流入服务器的请求，特别是限制使用TCP/UDP的137、138、139端口。 27能考虑将对外的Web服务器放诜阑鹎街?猓?衾胪饨缍阅诘姆梦室员；诓康拿舾惺?荨?/P 28对只提供内部访问的服务器和客户机能采用非TCP/IP协议实现连接，这样能隔离Internet访问。 bitsCN_com 29利用端口扫描工具，定期在防火墙外对网络内所有的服务器和客户进行端口扫描。 以下的策略针对提供远程访问服务情况。 30不允许除NT的RAS以外的机器应答远程访问请求。最佳设专门的远程访问服务器，并将该服务器置于中心机房。 31对于偶尔使用远程访问能采用人工控制RAS服务的启动和停止。 32对固定的用户最佳采取回叫的方式实现远程连接。 33通过RAS服务器的IP地址分配，限制远程用户的IP地址，进而利用防火墙控制和隔离远程访问客户。 34对于远程访问的口令采取某种加密鉴别(如:MS-CHAP)，以确保用户口令在远程线路上安全传送。 网络用户的安全策略 BBS.bitsCN.com网管论坛 网络的安全不仅仅是网络管理员的事，网络上的每一个用户都有责任。网络用户应该了解下列安全策略： 1用一个长且难猜的口令。不要将自己的口令告诉所有人。 2清晰自己私有数据存储的位置，知道怎么备份和恢复。 3定期参加网络知识和网络安全的培训，了解网络安全知识，养成注意安全的工作习惯。 4尽量不要在本地硬盘上共享文件，因为这样做将影响自己的机器安全。最佳将共享文件存放在服务器上，既较安全又方便了他人随时使用文件。 bitsCN_com 5设置客户机的BIOS，不允许从软驱启动。 6通过系统策略编辑器/注册表编辑器控制在视窗系统9x工作站上不显示最后一次登录的用户名和禁止使用口令缓存。防止口令从缓存中被获取和最后一次登录的用户被利用。 7设置有显示的(即非黑屏，防止误认为关机)屏幕保护，并且加上口令保护。 8当你较长时间离开机器时一定要退出网络。 9安装启动时病毒扫描软件。虽然绝大多数病毒对NT服务器不构成威胁，但会通过NT网在客户端非常快传播开来。 Internet有权用户需要了解的安全策略 由于Internet是在网络外部的，访问Internet有可能将机器至于不安全的环境，需要在上述安全策略基础上进一步采取下述的安全策略： 10确认你的机器没有安装文件和打印机共享服务。因为Internet上的黑客，有机会通过这个服务获取和共享文件，从而可能造成对局部数据及网络安全的威胁。 11不要通过Modem直接连接Internet。 12不要下载安装未经安全认证的软件和插件。 13WEB页面中的ActiveX，Java小应用、脚本可能泄漏你的秘密，能禁止其在浏览器上运行。 14发出电子邮件如果没有加密，信件有内容可能泄漏。收到的电子邮件不能完全确认是由寄件人发出。对特别机密的文件和具有法律效力的文件请加密发送和使用数字认证确认寄件人。 网络上的远程访问用户除需要了解上面两类用户的安全策略，还要遵循下列安全策略： 15用户在局域网和远程登录分别使用不同的用户账号和口令。因有些方式的远程登录(如Telnet)，账号和口令没有加密，有可能被截获。 DL.bitsCN.com网管软件下载 16不用所有未经网络安全管理员确