企業(yè)要建立自己的計(jì)算機(jī)安全系統(tǒng)，也應(yīng)根據(jù)自己?jiǎn)挝坏膶?shí)際情況來(lái)選擇安全級(jí)別，選擇相應(yīng)的軟硬件設(shè)施和資金投入。對(duì)于已經(jīng)建立了企業(yè)內(nèi)部網(wǎng)絡(luò)的用戶，根據(jù)其在Internet上開(kāi)展業(yè)務(wù)量的多少，分三種情況詳細(xì)說(shuō)明。

    一、未連接Internet

    這類單位只需要建立初級(jí)的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)，主要包括以下幾點(diǎn)：

    1.選好系統(tǒng)管理員。這是最后的防線，如果系統(tǒng)管理員也成了黑客，那損失就不可避免了。

    2.對(duì)系統(tǒng)管理員應(yīng)有制度上的制約，以消除安全隱患。比如限制管理員的操作權(quán)限，對(duì)管理員的行動(dòng)進(jìn)行監(jiān)控等。

    3.對(duì)計(jì)算機(jī)操作人員必須明確具體的權(quán)限，每個(gè)人的密碼應(yīng)進(jìn)行定期或不定期的修改，口令最好由數(shù)字和字母混合組成，并盡量用足規(guī)定的字符長(zhǎng)度。

    4.防止病毒入侵系統(tǒng)。嚴(yán)格限制外來(lái)盤(pán)片的使用，應(yīng)該備有經(jīng)國(guó)家計(jì)算機(jī)安全產(chǎn)品檢測(cè)中心檢測(cè)合格的殺病毒軟件，發(fā)現(xiàn)可疑情況及時(shí)查殺病毒。

    5.加強(qiáng)機(jī)房管理，嚴(yán)格限制外來(lái)人員進(jìn)入機(jī)房使用計(jì)算機(jī)。

    二、偶爾使用Internet

    這類單位的特點(diǎn)是：每天需要查閱幾個(gè)固定站點(diǎn)的信息，如報(bào)刊雜志，股票行情以及本行業(yè)的相關(guān)站點(diǎn)。這些單位除了應(yīng)該做到上述五點(diǎn)要求以外，還應(yīng)采取下列措施：

    1.建立代理服務(wù)器，每天由專人負(fù)責(zé)定時(shí)接收這些固定站點(diǎn)的信息，接收完畢就立即與國(guó)際互聯(lián)網(wǎng)斷開(kāi)。進(jìn)行接收時(shí)，代理服務(wù)器最好脫離開(kāi)企業(yè)內(nèi)部網(wǎng)。

    2.在企業(yè)內(nèi)部網(wǎng)中，尤其是服務(wù)器上，應(yīng)盡量使用高版本的操作系統(tǒng)軟件如UNIX Open Server 5.0.4，Windows NT 4.0等。對(duì)操作系統(tǒng)的安全級(jí)別應(yīng)使用系統(tǒng)軟件所能提供的最高級(jí)。

    三、大量使用Internet

    這類企業(yè)的特點(diǎn)是：要在國(guó)際互聯(lián)網(wǎng)上實(shí)時(shí)地處理業(yè)務(wù)，所以會(huì)遇到各種復(fù)雜情況。這類企業(yè)除了練好上述兩類企業(yè)的基本功以外，還應(yīng)該做到以下幾點(diǎn)(說(shuō)明：以下的條目中，有些漏洞在高版本的操作系統(tǒng)中已經(jīng)消除。)：

    1.必須認(rèn)真設(shè)置操作系統(tǒng)：值得注意的是，操作系統(tǒng)的許多缺省值都已被黑客利用來(lái)作為入侵系統(tǒng)的突破口，所以，盡量不要使用系統(tǒng)缺省值。具體地說(shuō)，主要注意以下幾點(diǎn)：

    (1)改變Administrator賬戶的名字，為系統(tǒng)管理員和備份操作員創(chuàng)建特殊賬戶。使黑客猜不到系統(tǒng)管理員和備份操作員的賬戶名。禁止所有具有Administrator和備份特權(quán)的賬戶瀏覽Web，以防黑客網(wǎng)上即時(shí)偵聽(tīng)。不要設(shè)置缺省的Guest賬戶。

    (2)確保%system%reparirsam.—在每次ERD更新后，對(duì)所有人不可讀。因?yàn)椋琖indows NT把用戶信息和加密口令保存于NT Registry中的SAM文件中，即安全賬戶管理(Security Accounts Management)數(shù)據(jù)庫(kù)。

    (3)限制遠(yuǎn)程管理員訪問(wèn)NT平臺(tái)。因?yàn)槿魏我粋€(gè)用戶都可以在命令行下，鍵入IPaddressC$(或者IPad?dressD$，IPaddressWINNT$)試圖連接任意一個(gè)NT平臺(tái)上管理系統(tǒng)的共享資源。

    (4)在域控制器上，修改Registry中Winlogon的設(shè)置為“OFF”。以免Windows NT在注冊(cè)對(duì)話框中顯示最近一次注冊(cè)的用戶名，給潛在的黑客提供信息。

    (5)嚴(yán)格限制NT域中Windows NT工作站上的管理員特權(quán)，決不用缺省值。因?yàn)槿魏稳丝赡芡ㄟ^(guò)訪問(wèn)內(nèi)存來(lái)獲取加密的口令，以獲得缺省管理員的訪問(wèn)權(quán)。

    (6)對(duì)于注冊(cè)表Registry，嚴(yán)格限制為只可進(jìn)行本地注冊(cè)，不可遠(yuǎn)程訪問(wèn)。因?yàn)椋琑egistry的缺省權(quán)限設(shè)置是對(duì)“所有人”“安全控制”(Full Control)和“創(chuàng)建”(Create)。這種設(shè)置可能引起Registry文件的刪除或者替換。

    (7)對(duì)關(guān)鍵目錄，應(yīng)改變其缺省權(quán)限為“讀”。缺省權(quán)限設(shè)置允許“所有人”對(duì)關(guān)鍵目錄具有“變更”級(jí)的訪問(wèn)權(quán)。其中，“關(guān)鍵目錄”包括：每個(gè)NTFS卷的根目錄，System32目錄，以及Win32App目錄。

    (8)在賦予打印操作員權(quán)限時(shí)，要限制人數(shù)。因?yàn)榇蛴〔僮鲉T組中的任何一個(gè)成員對(duì)打印驅(qū)動(dòng)程序具有系統(tǒng)級(jí)的訪問(wèn)權(quán)，這會(huì)被黑客利用來(lái)在打印驅(qū)動(dòng)程序中插入惡意病毒。

    (9)合理配置FTP，確保服務(wù)器必須驗(yàn)證所有FTP申請(qǐng)。因?yàn)镕TP有一個(gè)設(shè)置選項(xiàng)，允許客戶直接進(jìn)入一個(gè)賬戶，使無(wú)需授權(quán)而訪問(wèn)用戶的文件和文件夾成為可能。

    2.加強(qiáng)計(jì)算機(jī)系統(tǒng)的保安工作：

    (1)關(guān)閉系統(tǒng)管理員的遠(yuǎn)程能力，只允許他直接訪問(wèn)控制臺(tái)。

    (2)未經(jīng)許可，不得重新安裝WindowsNT軟件。因?yàn)橹匦掳惭b整個(gè)的操作系統(tǒng)，覆蓋原來(lái)的系統(tǒng)，就可以獲得Administrator特權(quán)。

    3.對(duì)金融等安全性特別重要的系統(tǒng)應(yīng)建立信息系統(tǒng)防火墻：

    在防火墻上，應(yīng)截止從端口135到142的所有TCP和UDP連接，這樣有利于控制。最安全的方法是利用代理(Proxy)來(lái)限制或者完全拒絕網(wǎng)絡(luò)上基于SMB的連接。SMB是指服務(wù)消息塊(ServerMessageBlock)。SMB有很多尚未公開(kāi)的“后門(mén)”，能不用授權(quán)就可以存取SAM和NT服務(wù)器上的其他文件。SMB協(xié)議允許遠(yuǎn)程訪問(wèn)共享目錄，Registry數(shù)據(jù)庫(kù)，以及其他一些系統(tǒng)服務(wù)。