信息等级保护中一些安全防护措施

开篇：润墨网以专业的文秘视角，为您筛选了一篇信息等级保护中一些安全防护措施范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

【 摘 要 】 论文研究的主要内容是在计算机或网络中的安全防护产品，其中包括防火墙、主机监控系统、入侵检测系统、防病毒系统、介质管理、终端安全登录系统等防护设置步骤和检查手段，阐述了这些防护产品的共性检查以及特殊性检查方法，同时还介绍了网络设备防护措施及检查方法。其目的就是让网络设备和安全防护产品在计算机和网络中，发挥应有防护作用和优化网络使用的安全性和效率。论文结合等级保护相关标准和要求详细介绍了针对计算机和网络的检查步骤、检查手段、运行操作等检查方式方法，其结果是为该单位建立一个安全、可靠、符合标准、高性能的网络办公环境。

【 关键词 】 终端安全;网络安全;检查步骤和检查手段

Introduction to Safety Protective Measures for the Classified Protection of Information

Xiong Yu-fei

（China Institute of Nuclear Science and Technology Information and Economic Beijing 100048）

【 Abstract 】 Is the main content of the thesis research work on the computer or in the network safe protection products including firewall， host monitor system， intrusion detection system， anti-virus system， media management， terminal security protection setup steps and check the means such as login system， expounds the common examination of the protective products and special inspection method， at the same time also introduces the network equipment protection measures and examination methods. Its purpose is to make the network equipment and safety protection products should play a protective role in the computer and network and optimize the network USES the safety and efficiency. Paper combining with the relevant standards and requirements are introduced in detail level to protect against the inspection steps of computer and network， inspection method， inspection methods， such as for operating the result for the unit to build a safe， reliable and conform to the standard， high-performance network office environment。

【 Keywords 】 terminal security; network security; inspection procedures and inspection method

1 引言

目前很多单位均对计算机和网络完全隐患非常担忧，通过大量部署安全防护产品，构建防护体系，但这些设备不是摆设，要充分发挥它的作用，并且管理人员通过这些设备掌控单位的安全状况。本文通过对计算机与网络安全防护措施的研究，介绍它的使用、配置和检查手段具有重要的现实意义。其目的是使单位计算机等级保护工作做得更好，使单位的计算机和网络更加安全可靠运行。

2 终端防护措施与检查

在计算机的安全防护加固过程中，应首先拟定加固步骤、加固工具和手段、方式方法等，应有序地把安全防护工作按照标准要求认真仔细地完成好。首先目测计算机的放置地点是否符合要求，然后查看开机运行项目并结合标准要求做深入检查，加固工作主要包括几个步骤。

第一步：正确设置BIOS密码，开机启动项应仅为硬盘启动。在这两种加固中我们必须进入到Cmos程序中对System（系统管理员）和User（用户）两种选项进行设置，普通人员是不能进行修改操作，而操作过程必须由系统管理员来完成。采用系统管理员和普通用户账号登录密码，该两项密码的设置同样由系统管理员设置完成，而普通用户无权修改密码口令，具体操作应由系统管理员登录进入Windows，它可以在计算机管理的选项中，用户中对系统管理员和普通用户进行密码设置。而用户的Windows登录方式一般有两种，即采取双因子认证的身份鉴别措施或用户名与密码相结合的方式登录。这里应注意不同的密级应有不同的口令要求，根据不同等级设置口令长度和复杂度、更换周期、密码登录尝试次数的锁定等，该设置可以在安全防护产品中设置，如主机监控系统等，也可以在域控策略中进行统一设置，然后对用户终端进行策略下发;还有一种就是在Windows系统本身自带的安全策略中设置;这三种设置方法中，只要有一种进行了设置工作都符合口令安全加固要求。

第二步：完成上述设置后应有序的开始下面的检查内容，如计算机或终端安装安全防护产品，因为安全产品是用来对计算机的安全进行加固的工具，目前可以对计算机终端进行安全加固的产品应该包括主机监控系统、终端安全登录系统等。在系统安全加固中，不是每个产品措施都很全面，应有互补，所以尽量把每个产品中的安全设置都配置全面，避免有漏洞。我们在检查安全产品中也要检查防护措施的有效性和使用情况。例如在主机监控系统中，检查安全加固设置内容、监控客户端行为、介质管理、身份认证等。在管理层面上，进一步检查防护产品的进程是否正常工作，检查计算机系统内的各种软件安装是否在白名单内，硬件和外设安装是否有审批手续。 在防病毒系统中检查是否病毒库及时升级，注意检查普通用户不能非法关闭防病毒的监控功能，在实际中我们可以测试禁用监控功能，查看是否能操作，如果不能操作说明我们管理员对防病毒的设置是正确的。要正确设置计算机符合标准要求的屏保（设置屏保不超过10分钟），该项设置可以在域控策略中进行，可以在安全产品中进行，也可以在Windows系统本身的屏保设置中进行。三种设置中，只要有一个作了，措施就有效。在检查安全策略配置别要注意账户锁定策略：账户锁定时间、账户锁定阀值，这些都可以通过Windows本身的密码策略设置或域控策略设置或安全产品策略设置中完成。

第三步：终端的访问控制措施和安全策略设置，这是一个重要的安全加固步骤。它包括系统管理员设置的账户应符合最小授权的访问控制原则（不能存在多用户、 Guest账号、目录共享或默认共享设置）。该项设置中我们可以进入到Windows系统的计算机管理项目中，查看对用户的权限设置，如User用户具有Administrator权限，就不符合最小授权原则，应予与纠正为User权限。查看是否有Guest账号，如有说明权限过大，形成危险的帐号，该账号应禁用。而检查共享设置中，可在计算机管理中的共享文件选项中查看是否有$c＼$d＼$e$ipc等默认共享设置，也可以在域控策略中查看、核实。

第四步：设置介质绑定，这是一个重要的安全防护内容，如果未采取对介质进行绑定技术措施，容易造成该系统或计算机间接连接互联网或非密计算机，即间接破坏了物理隔离措施。在该项检查中可以对照注册表或采用检查工具，查看介质的使用记录，在与其它网络或计算机比对时，查看是否有同种记录的介质，如有说明没有采取对介质的技术绑定。

剩下的就是进一步细化检查，如检查是否禁止使用无线鼠标和键盘、物理拆除无线模块。（建议具有相关资质的专业公司集中在单位拆除，注意本单位陪同人员配合）。关闭远程协助功能、远程桌面、禁用错误报告、关闭系统还原功能等（设置在域控或windows系统中做）。

针对上面安全加固工作，我们可以参考几列执行命令。

系统用户能满足工作前提下，应符合最小授权，用户一般包括：Administrator――具有计算机的完全且无限制的访问权限，由系统管理员掌控;Power user ――具有较多的受限管理权限如共享文件、安装本地打印机、更改系统时间等;User――受限权限。

采用如下命令可以查找当前用户和权限：Net User――查看有哪些用户;Quser.exe――用户登录信息;Net User用户名――查看用户添加信息;Lusrmgr.msc――本机用户和组;Compmgmt.msc――计算机管理。

Secpol.msc――设置本地安全策略。

严禁开启共享：Net Share――查看共享;Fsmgmt.msc――查看共享文件夹管理器;Net Start、Msconfig――查看是否启用共享服务;Net View――查看网络共享;

第五步：在设置终端的服务方法中原则上禁止使用FTP、Telnet、Netbios等不必要的服务进程，但根据某些应用或网络管理可以有限开放或临时开放，因为攻击者很容易利用此后门的漏洞进行破坏。

所以如果按照下面步骤操作，完全可以降低风险。比如：根据需要开放80或8080端口;根据需要开放25端口，即Simple Mail Transport Protocol （SMTP）服务，它提供传送电子邮件;有限开放21端口：即FTP Publishing Service， FTP 连接和管理;除信任管理主机外，其它主机关掉23端口;关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序;一般情况下关闭Server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享;根据邮件系统的应用需要开放25、110端口，即SMTP和POP3协议;应关闭TCP 135、139、445端口服务。关闭dhcp-client＼wireless zero configuration＼telnet＼romote registry和messenger服务，禁止Netbios协议;关闭139端口，139端口是NetBIOS Session端口，用来文件和打印共享。在“网络和拨号连接”中“本地连接”中选取“Internet协议（TCP/IP）”属性，进入“高级TCP/IP设置”“WINS 设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。可以在各项服务属性设置中设为“禁用”。

上述设置也可在域控或安全产品中进行，也可以在Windows本身的服务选项中进行设置。

另外还需要关闭的其它服务包括：Clipbook服务，即启用“剪贴查看”存储信息并与远程计算机共享，服务中止后，无法共享;DHCP Client 服务，即通过注册或更改IP地址以及DNS名称管理网络;IMAPI CD-Burning COM服务，即禁止CD操作;Messenger服务，即Alerter消息不会被传输;NetMeeting Remote Desktop Sharing服务，即禁用远程桌面;Performance Logs and Alerts，即禁止收集性能信息;Routing and Remote Access服务，即禁止路由服务;Remote Desktop Help Session Manager服务，即远程协助禁用;Remote Registry服务，即禁止远程修改注册表;System Restore Service服务，即禁止系统还原;TCP/IP Netbios Helper服务，即禁用Netbios协议;Terminal Services服务，即禁止远程桌面操作;Wireless Zero Configuration服务，即禁止无限网络.