培训_网络安全知识

合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)计算机安全体系的建立和安全防御第一部分建立“干净”、安全的系统第二部分计算机日常使用安全第三部分系统安全性评估和安全检测第四部分校内安全服务简介合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)第一部分建立“干净”、安全的系统1、系统安装前的安全准备2、安装系统完毕后要做的安全工作合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)1、系统安装前的安全准备■安装系统先物理断网■安装材料要安全■合理规划硬盘分区■安装操作系统遵从“最小安装原则”合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)安装系统先物理断网●没有整合Windows安全补丁的安装光盘不具备防御典型漏洞的能力；●WindowsXP等即插即用特性可能导致安装成功时网卡被自动驱动，并上网导致蠕虫感染●SP2以前的旧版本的WindowsXP的防火墙加载时机滞后合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)安装材料要安全●一些自制的安全光盘可能带毒；●驱动程序可能被病毒感染；●习惯性工具可能暗藏间谍后门；●材料不齐需上网搜集时可能受到最新病毒的攻击。合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)合理规划硬盘分区●按功能划分多个分区；●尽量使用NTFS文件系统；●分区大小要有规律性；●磁盘卷标不容忽视；●多操作系统并存时注意备份引导信息；●尽量避免中途转换文件系统格式。合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)安装操作系统遵从“最小安装原则”●能够不装的组件尽量不装；●卸载任何不需要的组件；●无把握、非必需的应用程序也不装。合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)2、安装系统完毕后要做的安全工作■安装成功首先设置端口筛选■立即修改账户和口令■启用系统自带防火墙和自动更新功能■在线升级系统补丁■安装可靠杀毒软件并立即设置、升级■设置浏览器和免疫网络恶意插件■关闭非必须的服务■配置组策略■系统安全加强设置（SafeXP等）■基础备份要建立（注册表、文件列表、系统状态）合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)安装成功首先设置端口筛选●端口筛选可以极大地降低木马的威胁；●端口筛选的原则是只允许已知的端口通行；默认浏览器需要TCP80，FTP服务为TCP21，QQ为UDP4000和8000.根据本机服务的需要灵活把握。●设置方法是：连接属性→TCP/IP属性→高级→选项→TCP/IP筛选→属性→启用并设置；●设置端口筛选后必须立即重启才能生效；●部署好其他安全措施后端口筛选可小心关闭。合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)安装成功首先设置端口筛选合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)立即修改账户和口令●一定要修改默认的管理员账户名称；●已经自建账户的系统，要特别注意Administrator账户的配置！（计算机管理工具）●禁用或删除任何不需要的账户；●结合组策略配置，对账户实施限制策略；●设计一套合理的口令。合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)立即修改账户和口令计算机管理、用户管理合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)立即修改账户和口令组策略中的账户限制合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)立即修改账户和口令口令不在过长，而在一定的复杂度。一般的口令原则：1.口令应该不少于8个字符；2.不包含常用单词、不包括姓氏汉语拼音，不使用家庭或单位电话号码；3.同时包含多种类型的字符，比如大写字母(A,B,C,..Z)，小写字母(a,b,c..z)，数字(0,1,2,…9)，标点符号(@,#,!,$,%,&…)为方便记忆，建议使用以下信息的多重混杂组合作为您的口令：○您喜欢的名言的拼音首字母（或五笔第一个编码）○您老家的一句特殊方言○一句英语格言的首字母○您的个人特殊纪念日对上述信息进行组合后，再稍加变化，可大小写、形似字母（如字母O和数字0的变换、某些字母在键盘上某种规律的位置变换等），再适当添加一个或多个符号，这样既不会忘记又比较安全。比如：L@h0ngCun这个密码的生成是这样的：原始信息：爱在宏村变换为简单英语：Loveathongcun上述Love的第一个字母＋at的符号＋hong中的字母O与形似的数字0对换。Love可以稍加修改为：l0^E等。这样的口令虽不算最好的口令，但对于普通用户而言安全程度已经足够！另外，口令必须不定期更改！口令设置原则合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)启用系统自带防火墙和自动更新■合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)在线升级系统补丁注意：在线升级后，一些盗版Windows系统可能会被锁死！可重新安装正版可激活版本，并以修复的方式安装，以保护现有数据不会丢失。合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)安装杀毒软件并立即设置、升级推荐：●卡巴斯基（KasperSky）●MACFee●Symantec（诺顿杀毒）●朝华安博士特别当心：●有明显后门事件的产品●只杀不防的产品●杀毒能力太差的产品●防护策略非常不合理的产品●不要同时安装两套以上的杀毒产品合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)重要系统安装专业防火墙并配置好规则Windows单机：●ZoneAlarm●卡巴斯基防火墙●天网防火墙个人版●Look‘n’Stop（资源占用极小）Windows服务器：●DeerfieldVisNeticFirewall●ZoneAlarm●其他专业防火墙合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)防火墙规则配置●安全级别的选择极其重要●开始时可采取学习模式，并认真配置●经常检查防火墙规则并注意备份●规则配置遵从权限最小化原则●特别注意应用程序的网络访问和更改●适当的日志策略实现安全与性能相均衡●注意隐私保护功能可能影响浏览器的正常工作●防火墙本身的安全问题（如设置口令、关闭则断开等）合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)防火墙规则配置示例合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)设置浏览器和免疫网络恶意插件●尽量使用Maxthon、FireFox等浏览器替代IE；●使用其他电子邮件客户端替代OutLookExpress；●适当提高Internet选项中的安全级别；●严格控制ActiveX组件的安装（但注意不要影响系统自动更新功能）●免疫网络恶意插件；（国内的插件免疫和Spybot-Search&Destroy）●备份浏览器的注册表项目[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer]合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)设置浏览器和免疫网络恶意插件合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)设置浏览器和免疫网络恶意插件合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)关闭非必须的服务合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)关闭非必须的服务*Alerter(disable)*ClipBookServer(disable)*ComputerBrowser(disable)*DHCPClient(disable)*DirectoryReplicator(disable)*FTPpublishingservice(disable)*LicenseLoggingService(disable)*Messenger(disable)*Netlogon(disable)*NetworkDDE(disable)*NetworkDDEDSDM(disable)*NetworkMonitor(disable)****PlugandPlay(disableafterallhardwareconfiguration)*****RemoteAccessServer(disable)*RemoteProcedureCall(RPC)locater(disable)合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)关闭非必须的服务*Server(disable)*SimpleServices(disable)*Spooler(disable)*TCP/IPNetbiosHelper(disable)****TelephoneService(disable)****在必要时禁止如下服务：*SNMPservice(optional)*SNMPtrap(optional)*UPS(optional设置如下服务为自动启动：*Eventlog(required)*NTLMSecurityProvider(required)*RPCservice(required)*(required)*Workstation(leaveserviceon:willbedisabledlaterinthedocument．*MSDTC(required)*ProtectedStorage(required)合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)配置组策略合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)转移默认的用户文档目录使用TweakUI或直接修改注册表的方法，将“我的文档”、“收藏夹”等任何默认位置在C盘的、值得保存的文件夹都指向其他分区的特定路径下！合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)设置重要文件夹的访问权限●小心使用NTFS的文件加密功能；●一般情况下只需设置重要目录的访问列表；●注意各分区根目录的默认权限，这些权限可能被其他账户继承而获得特别权限。合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)系统安全加强设置■使用工具软件对系统进行安全加强设置（如SafeXP等）■建立基础备份（注册表、文件列表、系统状态等）合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)系统安全加强设置合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseTeam)系统安全加强设置合肥工业大学网络安全及紧急响应组(HFUTComputerEmergencyResponseT