信息安全管理制度投標方案

目錄

第一章信息安全管理制度...........................2

1.1.操作員安全管理制度.........................4

1.2.賬號的設置與管理...........................5

1.3.密碼與權限安全管理制度...................6

1.4.數據信息安全管理制度.......................8

1.5.獨立域控服務器...........................10

第二章網絡傳輸安全管理制度.....................13

2.1.網絡安全.................................15

2.2.應用安全.................................16

2.3.系統漏洞掃描與安全加固...................17

第三章信息存儲安全管理.........................30

3.1.數據存儲.................................30

3.2.數據備份.................................31

3.3.終端隔離措施說明.........................32

3.4.數據防泄漏措施...........................33

3.5.建立文件保密制度.........................34

3.6.彌補系統漏洞.............................36

3.7.密切監管重點崗位的核心數據...............37

1

第一章信息安全管理制度

為加強公司各信息系統管理，保證信息系統安全，根據

《中華人民共和國保守國家秘密法》和國家保密局《計算機

信息系統保密管理暫行規定》、國家保密局《計算機信息系

統國際聯網保密管理規定》,及上級信息管理部門的相關規

定和要求，結合公司實際，制定本制度。

信息安全管理，是指數據(包括但不限于委案信息，日

常郵件，查詢資料，財務等信息)使用過程中傳輸、運行、

維護、廢止等操作安全的系列管理活動。

第一條、計算機的使用部門要保持清潔、安全、良好的

計算機設備工作環境，禁止在計算機應用環境中放置易燃、

易爆、強腐蝕、強磁性等有害計算機設備安全的物品。

第二條、非本單位技術人員對我單位的設備、系統等進

行維修、維護時，必須由本單位相關技術人員現場全程監督。

計算機設備送外維修，須經有關部門負責人批準。

第三條、嚴格遵守計算機設備使用、開機、關機等安全

操作規程和正確的使用方法。任何人不允許帶電插撥計算機

外部設備接口，計算機出現故障時應及時向電腦負責部門報

告，不允許私自處理或找非本單位技術人員進行維修及操作。

第四條、未經批準禁止攜帶非公司電子設備進入公司生

產區域(包括個人電腦、手機、相機、U盤、移動硬盤、光

碟等帶入公司，以防止公司網絡感染病毒及數據外泄。公司

2

設備需由專人管理并定期盤點。

第五條、員工不得在互聯網上以任何形式張貼涉及公司

的保密或者敏感信息，如發現，公司保留追究其法律責任的

權利。

第六條、員工在工作過程中未經批準不能通過個人電話、

微信、QQ等通訊工具進行催收及聯系客戶。

第七條、公司內部設立信息安全專項小組，各部門選舉

安全專員負責監督、落實安全制度，定期開展安全培訓加強

員工信息安全意識。

3

1.1.操作員安全管理制度

1、操作賬號是進入各類應用系統進行業務操作、分級

對數據存取進行控制的唯一憑證。賬號等級分為系統管理員

賬號、二級管理員賬號及普通用戶賬號。

2、系統管理員賬號授權二級管理員賬號相應管理權限，

二級管理員根據普通用戶崗位需求不同授予相應的技能權

限組。

3、系統管理員賬號必須經過經營管理者授權取得；

4、系統管理員負責各項應用系統的環境生成、維護，

負責一般賬號的生成和維護，負責故障恢復等管理及維護；

5、系統管理員對業務系統進行數據整理、故障恢復等

操作，必須有其上級授權；

6、系統管理員不得使用他人密碼進行業務操作；

7、系統管理員及二級管理員調離崗位，上級管理員(或

相關負責人)應及時注銷其賬號并生產新的系統管理員賬號。

4

1.2.賬號的設置與管理

1、普通用戶賬號由系統管理員根據各類應用系統操作

要求生成，應按每用戶一賬號設置。

2、所有用戶不得使用其他用戶賬號進行業務操作。

3、用戶調離崗位，系統管理員應及時注銷其使用賬號

或更改到新崗位對于技能權限組。

5

1.3.密碼與權限安全管理制度

1、密碼設置應具有安全性、保密性，不能使用簡單的

數字。密碼是保護系統和數據安全的控制代碼，也是保護用

戶自身權益的控制代碼，密碼分設為用戶密碼和操作密碼，

用戶密碼是登陸系統時所設的密碼，操作密碼是進入各應用

系統的操作員密碼。密碼設置不應是名字、生日，重復、順

序、規律數字等容易猜測的數字和字符串；

2、管理員密碼應定期修改，間隔時間不得超過一個月，

如發現或懷疑密碼遺失或泄漏應立即修改，并在相應登記簿

記錄用戶名、修改時間、修改人等內容。

3、服務器、路由器等重要設備的超級用戶密碼由運行

機構負責人指定專人(不參與系統開發和維護的人員)設置

和管理，并由密碼設置人員將密碼裝入密碼信封，在騎縫處

加蓋個人名章或簽字后交給密碼管理人員存檔并登記(暫時

放在經理辦公室的保管箱中)。如遇特殊情況需要啟用封存

的密碼，必須經過經理同意，由密碼使用人員向密碼管理人

員索取，使用完畢后，須立即更改并封存，同時在“密碼管

理登記簿”中登記。

4、催收系統維護用戶的密碼只能一個人知道，每次更

改密碼需要將密碼裝入密碼信封，有密碼保管員存檔保存。

如遇特殊情況需要啟用封存的密碼，必須經過經理同意，由

密碼使用人員向密碼管理人員索取，使用完畢后，須立即更

6

改并封存，同時在“密碼管理登記簿”中登記。

5、有關密碼授權工作人員調離崗位，有關部門負責人

須指定專人接替并對密碼立即修改或用戶刪除，同時在“密

碼管理登記簿”中登記。

7

1.4.數據信息安全管理制度

1、存放備份數據的介質必須具有明確的標識。備份數據

必須雙機備份，設置自動備份。

2、催收錄音，監控錄像儲存時間不得少于3年。

3、任何數據的使用及存放數據的設備或介質的調撥、轉

讓、廢棄或銷毀必須嚴格按照程序進行審批，以保證備份數

據安全完整。

4、數據恢復前，必須對原環境的數據進行備份，防止有

用數據的丟失。數據恢復過程中要嚴格按照數據恢復手冊執

行，出現問題時由技術部門進行現場技術支持。數據恢復后，

必須進行驗證、確認，確保數據恢復的完整性和可用性。

5、數據清理前必須對數據進行備份，在確認備份正確后

方可進行清理操作。歷次清理前的備份數據要根據備份策略

進行定期保存或永久保存，并確?？梢噪S時使用。數據清理

的實施應避開業務高峰期，避免對聯機業務運行造成影響。

6、需要長期保存的數據，數據管理部門需與相關部門制

定轉存方案，根據轉存方案和查詢使用方法要在介質有效期

內進行轉存，防止存儲介質過期失效，通過有效的查詢、使

用方法保證數據的完整性和可用性。轉存的數據必須有詳細

的文檔記錄。

7、非本單位技術人員對本公司的設備、系統等進行維修、

維護時，必須由本公司相關技術人員現場全程監督。計算機

8

設備送外維修，須經設備管理機構負責人批準。送修前，需

將設備存儲介質內應用軟件和數據等信息備份后刪除，并進

行登記。對修復的設備，設備維修人員應對設備進行驗收、

病毒檢測和登記。

8、管理部門應對報廢設備中存有數據資料進行備份后清

除，并妥善處理廢棄無用的資料和介質，防止泄密。

9、運行維護部門需指定專人負責計算機病毒的防范工作，

建立本單位的計算機病毒防治管理制度，經常進行計算機病

毒檢查，發現病毒及時清除。

10、用于生產計算機未經有關部門允許不準私自安裝其它

軟件。如工作需要必須使用其它軟件，需向部門負責人審批

后，由相關技術人員安裝正規渠道軟件。

9

1.5.獨立域控服務器

1、權限管理集中、管理成本下降

1.1、域環境，所有網絡資源，包括用戶，均是在域控制

器上維護，便于集中管理。所有用戶只要登入到域，在域內

均能進行身份驗證，管理人員可以較好的管理計算機資源，

管理網絡的成本大大降低。

1.2、防止公司員工在客戶端隨意安裝軟件，能夠增強客

戶端安全性、減少客戶端故障，降低維護成本。

1.3、通過域管理可以有效的分發和指派軟件、補丁等，

實現網絡內的一起安裝，保證網絡內軟件的統一性。

1.4、配合ISA的話就可以根據用戶來確定可不可以上網。

不然只能根據IP。

2、安全性能加強、權限更加分明

2.1、有利于企業的一些保密資料的管理，比如說某個盤允

許某個人可以讀寫，但另一個人就不可以讀寫；哪一個文件

只讓哪個人看；或者讓某些人可以看，但不可以刪/改/移等。

2.2、可以封掉客戶端的USB端口，防止公司機密資料的

外泄。

2.3、安全性完全與活動目錄(ActiveDirectory)集成。

不僅可在目錄中的每個對象上定義訪問控制，而且還可在每

個對象的屬性上定義?；顒幽夸?ActiveDirectory)提供安

全策略的存儲和應用范圍。安全策略可包含帳戶信息：如域

10

范圍內的密碼限制或對特定域資源的訪問權；通過組策略設

置下發并執行安全策略。

3、賬戶漫游和文件夾重定向

3.1、個人賬戶的工作文件及數據等可以存儲在服務器上，

統一進行備份、管理，用戶的數據更加安全、有保障。當客

戶機故障時，只需使用其他客戶機安裝相應軟件以用戶帳號

登錄即可，用戶會發現自己的文件仍然在“原來的位置”(比

如，我的文檔),沒有丟失，從而可以更快地進行故障修復。

3.2、卷影副本技術可以讓用戶自行找回文件以前的版本

或者誤刪除的文件(限保存過的32個版本)。在服務器離線

時(故障或其他情況),“脫機文件夾”技術會自動讓用戶使

用文件的本地緩存版本繼續工作，并在注銷或登錄系統時與

服務器上的文件同步，保證用戶的工作不會被打斷。

4、方便用戶使用各種共享資源

4.1、可由管理員指派登錄腳本映射分布式文件系統根目

錄，統一管理。用戶登錄后就可以像使用本地盤符一樣，使

用網絡上的資源，且不需再次輸入密碼，用戶也只需記住一

對用戶名/密碼即可。

4.2、各種資源的訪問、讀取、修改權限均可設置，不同

的賬戶可以有不同的訪問權限。即使資源位置改變，用戶也

不需任何操作，只需管理員修改鏈接指向并設置相關權限即

可，用戶甚至不會意識到資源位置的改變，不用像從前那樣，

11

必須記住哪些資源在哪臺服務器上。

5、SMS系統管理服務(SystemManagementServer)

通過能夠分發應用程序、系統補丁等，用戶可以選擇安裝，

也可以由系統管理員指派自動安裝。并能集中管理系統補丁

(如WindowsUpdates),不需每臺客戶端服務器都下載同樣

的補丁，從而節省大量網絡帶寬。

6、靈活的查詢機制

用戶和管理員可使用“開始”菜單、“網上鄰居”或“Active

Directory用戶和計算機”上的“搜索”命令，通過對象屬

性快速查找網絡上的對象。例如，您可通過名字、姓氏、電

子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶。

通過使用全局編錄來優化查找信息。

7、擴展性能較好

WIN2K的活動目錄具有很強的可擴展性，管理員可以在計

劃中增加新的對象類，或者給現有的對象類增加新的屬性。

計劃包括可以存儲在目錄中的每一個對象類的定義和對象

類的屬性。

8、方便在MS軟件方面集成

如ISA、Exchange、TeamFoundationServer、SharePoint、

SQLServer等。

12

第二章網絡傳輸安全管理制度

第一條、公司網絡的安全管理，應當保障網絡系統設備

和配套設施的安全，保障信息的安全，保障運行環境的安全。

第二條、任何單位和個人不得從事下列危害公司網絡安

全的活動：

1、任何單位或者個人利用公司網絡從事危害公司計算

機網絡及信息系統的安全。

2、對于公司網絡主結點設備、光纜、網線布線設施，

以任何理由破壞、挪用、改動。

3、未經允許，對信息網絡功能進行刪除、修改或增加。

4、未經允許，對計算機信息網絡中的共享文件和存儲、

處理或傳輸的數據和應用程序進行刪除、修改或增加。

5、故意制作、傳播計算機病毒等破壞性程序。

6、利用公司網絡，訪問帶有“黃、賭、毒”、反動言論

內容的網站。

7、向其它非本單位用戶透露公司網絡登錄用戶名和密

碼。

8、其他危害信息網絡安全的行為。

第三條、各單位信息管理部門負責本單位網絡的安全和

信息安全工作，對本單位單位所屬計算機網絡的運行進行巡

檢，發現問題及時上報信息中心。

第四條、連入公司網絡的用戶必須在其本機上安裝防病

13

毒軟件，一經發現個人計算機由感染病毒等原因影響到整體

網絡安全，信息中心將立即停止該用戶使用公司網絡，待其

計算機系統安全之后方予開通。

第五條、嚴禁利用公司網絡私自對外提供互聯網絡接入

服務，一經發現立即停止該用戶的使用權。

第六條、對網絡病毒或其他原因影響整體網絡安全的子

網，信息中心對其提供指導，必要時可以中斷其與骨干網的

連接，待子網恢復正常后再恢復連接。

14

2.1.網絡安全

1、生產和作業網絡均部署單獨VLAN并部署相關防火墻策

略且斷開和互聯網的連接。

2、存放服務商敏感數據均部署單獨VLAN并部署相關防火

墻策略且斷開和互聯網的連接，防止數據外泄。

3、已通過防火墻策略關閉所有外部開放端口，只開放生

產必須端口。

4、已安裝監控和端口監聽系統及syslog日志審計系統，

對各網絡和硬件設備進行監控和監聽，并按時對機房物理設

備進行巡檢。

15

2.2.應用安全

1、對生產PC統一部署殺毒軟件，實際病毒的查殺和監控。

定期自動更新病毒庫和制定查殺策略。

2、購買并部署殺毒軟件同時部署相關策略。

3、針對敏感數據終端設備，封鎖必要的網絡傳輸端口，

禁止安裝傳輸軟件。

16

2.3.系統漏洞掃描與安全加固

1、身份鑒別

1.1、密碼安全策略

要求：操作系統和數據庫系統管理用戶身份鑒別信息應具

有不易被冒用的特點，口令應有復雜度要求并定期更換。

目的：設置有效的密碼策略，防止攻擊者破解出密碼。

操作步驟：

【位置】開始—管理工具一本地安全策略—帳戶策略—密碼

策略，加固設置為下圖所示：

策略安全設置

密碼必須符合復雜性要求已啟用

密碼長度最小值8個字符

密碼最短使用期限2天

密碼最長使用期限90天

強制密碼歷史5個記住的密碼

用可還原的加密來儲存密碼已禁用

1.2、帳號鎖定策略

要求：應啟用登錄失敗處理功能，可采取結束會話、限制

非法登錄次數和自動退出等措施。

目的：遭遇密碼破解時，暫時鎖定帳號，降低密碼被猜解

的可能性。

操作步驟：

【位置】開始—管理工具一本地安全策略—帳戶策略—帳號

鎖定策略，加固后如下圖所示：

17

策略▲安全設置

帳戶鎖定時間10分鐘

帳戶鎖定閾值10次無效登錄

重置帳戶鎖定計數器10分鐘之后

1.3、安全的遠程管理方式

要求：當對服務器進行遠程管理時，應采取必要措施，防

止鑒別信息在網絡傳輸過程中被竊聽。

目的：防止遠程管理過程中，密碼等敏感信息被竊聽

操作步驟：

【位置】開始—管理工具一遠程桌面服務—遠程桌面會話主

機配置，右鍵“RDP-Tcp”,選擇“屬性”—“常規”,加固

后如下圖所示：

18

RDF-Tep民性區

遠程控制客戶端設置網絡適配器安全

常規登錄設置會話環境

類型：RDP-Tep

傳輸：tep

備注@):

-安全性

安全層():SSL(TLS1.0)

SSL(TL1.Q),掙用于服務器身份驗證，并用于加密服務器和客

戶滿之間像輸的所有數據。

加密級別區):客戶端兼容

根據客戶端支持的最長密鑰長度，所有在客戶端和服務器之間發

送的數據都變加密保護。

口僅允許運行使用網絡級別身份驗證的遠程桌面的計算機連接L)

證書：已自動生成

選擇(C)默認值@)

了解關于配置安全設置的更多信息

確定取消應用(A)

2、訪問控制

2.1、關閉默認共享

要求：應啟用訪問控制功能，依據安全策略控制用戶對資

源的訪問。

目的：如果沒有關閉系統默認共享，攻擊者通過IPC$方

式暴力破解帳戶的密碼，而后利用系統默認共享如：C$、D$等，

對系統的硬盤進行訪問

操作步驟：

【位置】開始—管理工具一共享和存儲管理，記錄當前配置，

默認如下圖所示：

19

共享名協議本地路徑配額|文件屏蔽|卷影副本可用空間

曰協議：SB(4項)

3ADRIN$SMBC;\Windows5.94GB

8*SMBc:(5.94GB

SMBD:\6.38GB

IPC$SMB

右鍵依次點擊C$、D$、ADMIN$,停止共享，加固后如下圖所

示：

netshareC$/del

netshareD$/del

netshareADMIN$/del

共享名協議本地路徑配額文件屏蔽|卷影副本|可用空間

曰協議：SMB(1項)

IPC$SMB

操作步驟：

【位置】運行一regedit進入注冊表，在HKEY_LOCAL_MACHINE

—SYSTEM—CurrentControlSet—Services—LanmanServer

—Parameters下，新增AutoShareServer、AutoShareWks兩

個鍵，類型為DWORD(32位),值為0,如下圖所示：

20

名稱類型數據

ab賦認)RBG_SZ(數值未設置)

AdjustedfullSessionfipesREG_DWORD0x000000033)

autedisconneetRPG_DWORDOx0000000f(15)

解EnableAuthentieatelserSharingRPG_DNORDOx0O000000(0)

enablefercedlogoffREG_DWORDOx00000001(1)

enablesecuritysignatureREG_WORD0x00000000(0)

GuidRBG_BINARTfeb097c9dd802c46ad9fef994d73.

LenounceREG_DWORD0x00000000(0)

abWullSessionPipesREG_MULTI_SZ

解requiresecuritysiatureREG_DWORD0x00000000(0)

restrietnullsesssceessRPG_DWORD0x000000014)

ab]Servieell1PCEIPA_SZSystenRootk\systen32\srvave.dl1

ServicelllVnloadOnStPPEDWORDOx00000001l)

SiuREG_DWORD0x00000003(3)

AnteShareServerREG_DWORD0x00000000(0)W

AoteShare?ksREG_DWORD0x00000000(0)

2.2、用戶權限分配

要求：應根據管理用戶的角色分配權限，實現管理用戶的

權限分離，僅授予管理用戶所需的最小權限。

目的：如果系統沒有對帳號進行嚴格的權限分配，則黑客

可以利用低權限的帳號登陸終端，甚至關閉系統。

操作步驟：

【位置】開始—管理工具一本地安全策略—本地策略—用戶

權限分配，“關閉系統”,記錄當前配置，默認如下圖所示：

關閉系統屬性

本地安全設置說明

關閉系統

Administrators

BackupOperator

只保留Administrators組、其它全部刪除

21

“允許通過遠程桌面服務登錄”,記錄當前配置，默認如下

圖所示：

允許通過遠程桌面服務登錄民性

本地安全設置說明

允許通過遠程桌面服務登錄

Administrators

RemoteDesktopUsers

只保留Administrators組、其它全部刪除。

2.3、禁止未登錄前關機

目的：禁止系統在未登錄前關機，防止非法用戶隨意關閉

系統。

操作步驟：

【位置】開始—管理工具一本地安全策略—本地策略—安全

選項—“關機：允許系統在未登錄的情況下關閉”,默認如

下圖所示：

關機：允許系統在未登錄的情況下關閉屬性

本地安全設置說明

關機：允許系統在未登錄的情況下關閉

已啟用(E)

◎已禁用(S)

2.4、重命名默認帳號

22

要求：應嚴格限制默認帳戶的訪問權限，重命名系統默認

帳戶，修改這些帳戶的默認口令。

目的：修改默認帳號，防止攻擊者破解密碼。

操作步驟：

【位置】開始—管理工具一計算機管理—系統工具一本地用

戶和組一用戶，可修改成下圖所示：

名稱全名」描述

Admini008管理計算機(域)的內置帳戶

Guest008供來賓訪問計算機或訪問域的內置帳戶

2.5、多余帳號

要求：應及時刪除多余的、過期的帳戶，避免共享帳戶的

存在。

目的：刪除或禁用臨時、過期及可疑的帳號，防止被非法

利用。

操作步驟：

【位置】開始—管理工具一計算機管理一系統工具一本地用

戶和組—用戶，詢問管理員每個帳號的用途，確認多余的帳

號，然后右鍵點擊“刪除”或“禁用”?？墒褂胣etuser用

戶名命令查看該用戶的詳細信息，如下所示：

23

\Users\Administrator>netNseradministrator

戶名

用名Administrator

釋管理計算機(域)的內置帳戶

用戶的注釋

國家/地區代碼000(系統默認值)

Ves

多鵬從不

上相的提世

次設置密碼2017/2/1510:15:07

碼到期2017/5/1610:15:07

碼可更改2017/2/1710:15:07

要密碼

Ves

戶可

以更改密碼Ves

允許的工作站A11

童錄腳本

用戶配置文件

主目錄

上次登錄2017/2/279:08:12

可允許的登錄小時數A11

本地組成員×Adninistratorsxora_dba

全局組成員×None

命令成功完成。

3、安全審計

要求：

審計范圍應覆蓋到服務器和重要客戶端上的每個操作系

統用戶和數據庫用戶；

審計內容應包括重要用戶行為、系統資源的異常使用和重

要系統命令的使用等系統內重要的安全相關事件；

審計記錄應包括事件的日期、時間、類型、主體標識、客

體標識和結果等；應能夠根據記錄數據進行分析，并生成審

計報表；

應保護審計進程，避免受到未預期的中斷；

應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。

24

3.1、審核策略設置

目的：開啟審核策略，若日后系統出現故障、安全事故則

可以查看系統日志文件，排除故障、追查入侵者的信息等。

操作步驟：

【位置】運行一管理工具一本地安全策略—本地策略—審核

策略，策略建議設置為：

策略安全設置

審核策略更改成功，失敗

審核登錄事件成功，失敗

審核對象訪問失敗

審核進程跟蹤無審核

審核目錄服務訪問失敗

審核特權使用失敗

審核系統事件成功，失敗

審核帳戶登錄事件成功，失敗

審核帳戶管理成功，失敗

3.2、安全日志屬性設置

目的：防止重要日志信息被覆蓋

操作步驟：

【位置】開始—管理工具一事件查看器—Windows日志，“應

用程序”、“系統”、“安全”依次如下操作：

25

日志民性-應用程序(類型：管理的)

常規訂閱

全名(E:Application

日志路徑山%SystemRoot%\System32\Winevt\Logs\Application.evtx

日志大小：13.07MB(13,701,120個字節)

創建時間：2014年8月5日11:03:14

修改時間：2017年2月26日18:06:09

訪問時間：2014年8月5日11:03;14200M

?啟用日志記錄(E

日志最大大小(KB)兇20480d3

達到事件日志最大大小時：

按需要要蓋事件(B事件優先)WD

C日志滿時格其存檔，不覆蓋事件(A)l

C不要蓋事件(手動清除日志)(N)

4、剩余信息保護

4.1、不記住用戶名和密碼

目的：應保證操作系統和數據庫管理系統用戶的鑒別信息

所在的存儲空間，被釋放或再分配給其他用戶前得到完全清

除，無論這些信息是存放在硬盤上還是在內存中。

操作步驟：

【位置】開始—管理工具一本地安全策略—本地策略—安全

選項

“交互式登錄：不顯示最后的用戶名”,默認如下圖所示：

26

交互式登錄：不顯示最后的用戶名屬性

本地安全設置說明

交互式登錄：不顯示最后的用戶名

C已啟用E)

○已禁用G)

選擇“已啟用”

4.2、清理內存信息

要求：應確保系統內的文件、目錄和數據庫記錄等資源所

在的存儲空間，被釋放或重新分配給其他用戶前得到完全清

除。

目的：及時清理存放在系統中的用戶鑒別信息，防止信息

外泄，被黑客利用

操作步驟：

【位置】開始—管理工具一本地安全策略—本地策略—安全

選項一關機：清除虛擬內存頁面文件，設定如下所示：

機：清除虛擬內存頁面文件屬性

本地安全設置說明

關機：清除虛擬內存頁面文件

已啟用C)

已禁用S)

27

4.3、關閉調試信息

目的：系統啟動失敗時，為了分析啟動失敗的原因，內存

信息會自動轉儲到硬盤中。其中數據對普通用戶無用，及時

清理存這些信息或禁止出錯轉儲，防止外泄被黑客利用。

操作步驟：

【位置】開始一計算機一右鍵“屬性”—高級系統設置—高

級—啟動和故障恢復一設置，設定如下所示：

動和故障恢復

系統啟動

默認操作系統(S):

WindowsServer2008R2

?顯示操作系統列表的時間(T):秒

?在需要時顯示恢復選項的時間@):同日秒

系統失敗

?將事件寫入系統日志(@

□自動重新啟動R)

寫入調試信息

(無)

轉儲文件：

KSystenRoot%\MEMORY.DMP

?覆蓋任何現有文件@

5、入侵防范

5.1、卸載冗余組件

28

要求：操作系統遵循最小安裝的原則，僅安裝需要的組件

和應用程序，并通過設置升級服務器等方式保持系統補丁及

時得到更新。

目的：卸載WScript.Shell,Shell.application這兩個

組件，防止黑客通過腳本來提權。

操作步驟：

【位置】運行一cmd,執行如下信息：

C:\Users\Administrator>regsur32/uwshom.0cx

C:\Users\Administrator>regsur32/ushel132.d11

5.2、關閉不必要服務

目的：關閉與系統業務無關或不必要的服務，減小系統被

黑客被攻擊、滲透的風險。

操作步驟：

【位置】開始—管理工具一服務，可禁用如下服務：

IPHelper(Ipv6技術啟動類型：禁用服務狀

態：停止)

RemoteRegistry(Ipv6技術啟動類型：禁用服

務狀態：停止)

Themes(主題管理