中小企业计算机安全检查表: 保护您的台式机和便携机保证数据安全安全地使用 Internet保护您的网络保护您的服务器保护您的业务应用程序从服务器管理台式机或便携机
一.保护您的台式机和便携机
如果您在保护您经营业务所用计算机方面只做三件事,确保做以下三件事:
更新软件。 防止病毒。 设置防火墙。
它们不能完全防止安全威胁和生产率降低,但同时做好这三件事会为您构筑强有力的第一道防线。
1. 更新软件
黑客喜欢查找和利用常用软件产品的程序错误和漏洞。 这些黑客有的是为了谋利,有的是为了发表看法,也有的仅仅是为了制造麻烦。 他们可能制造的麻烦包括:在网站上公开客户信用卡号码,或者窃取计算机种的密码。 这对于企业的影响可能是致命的。
可以采取的基本措施
Microsoft 或其他公司一旦发现其软件存在漏洞时,通常会发行更新,可在 Internet 上下载。 更新会“修补”程序漏洞或错误,从而防止黑客制造麻烦。 随着时间的推移,软件产品会变得越来越安全。 例如,Windows XP Professional 就比 Windows 95 更安全。 Windows XP Professional Service Pack 2 (SP2) 在防止黑客、病毒和蠕虫等方面提供了更强的安全设置。 这并不意味着发行修补程序后立即下载和安装不重要。
安装 Windows 的更新: - Windows XP Professional:转至 Windows Update 网站,单击查看以寻找更新,网站会自动分析您的计算机并确定您所需的更新。 然后您就可以下载并安装修补程序了。 您也可以启用 Windows XP 中的“自动更新”功能自动完成下载和安装修补程序。 一旦发行重要的更新,例如 SP2,您将会自动接收到它们。
- Windows 2000: 如果您在域中运行 Windows 2000 或单机运行 Windows 2000,请访问 Windows Update 网站,您可以在其中找到最新的 Service Pack、设备驱动程序、应用程序兼容性和系统安全更新。
- Windows 95 和 98:如果您运行的是 Windows 的一个较早版本,您应该知道它们与较高版本的操作系统(例如 Windows XP)相比,安全性会差很多。 Microsoft 强烈鼓励您进行升级,以便确保您的台式机具有最高级别的安全性。 转至 Windows XP 站点以获取详细信息。
要在运行 Windows XP 的计算机上自动下载和安装更新,请遵循以下步骤: 单击开始。 单击控制面板。 单击系统。 在系统属性框中选择自动更新选项卡(见图 1)。 选择自动(推荐)。 从下拉列表中选择要下载和安装更新的日期和时间。 单击确定。
图 1
安装 Microsoft Office 的更新
使用 Office 的安全修补程序使其始终保持最新,可在 Office 更新网站上获取这些修补程序和其他可下载的加载项。
2. 防止病毒
病毒、蠕虫和特洛伊木马都是在计算机上运行的恶意程序。 某些病毒会删除或更改文件。 某些会消耗计算机资源。 某些会允许外部人员访问您的文件。 病毒的一个最可恶的特性是它们可以进行复制或自我复制。 病毒可以从联系人列表中获取电子邮件地址,并将其自身发送到这些地址。 感染病毒的计算机会将病毒传遍整个公司,并导致严重的停机和数据丢失。 同时,也会通过电子邮件感染客户或用户的计算机。
可以采取的基本措施 - 安装防病毒软件。 您的所有台式机或便携机都应具有防病毒保护。 防病毒软件工作过程如下:浏览传入电子邮件的内容(和已存在于计算机上的文件)以检测病毒特征。 如果发现病毒,则将其删除或隔离。 因为每个月都会产生许多病毒,所以所有防病毒软件必须通过最新的特征定义进行定期更新,以便能够可以捕获最新的病毒。 应使用可以从 Internet 自动下载最新的定义和程序的防病毒软件。 以下是部分知名安全软件生产商提供的防病毒程序的链接:
- 切勿打开可疑文件。 确保团队中的每个人都能够明白:应该删除(不打开)那些从未知、可疑或不可靠的来源传入的电子邮件所附加的任何文件。
- 使用电子邮件安全功能。 Outlook 2003 和 Outlook Express 6.0 都具有帮助检测和删除可能感染病毒的电子邮件的设置。 如果尚未使用它们,请升级至这些程序。
若要设置 Outlook 2003 中的垃圾邮件选项,请执行以下操作: - 单击动作菜单。
- 选择垃圾邮件并单击垃圾邮件选项。
- 从选择列表中选择所需的垃圾邮件保护级别(见图 2)。
- 单击确定。
图 2
3. 设置防火墙
如果您具有长期宽带连接,贵公司的计算机网络会不时受到犯罪性黑客的入侵。 他们一旦获取有效的计算机地址,就会试图利用软件漏洞或者破解密码以获取对您的网络的访问权,最终可以访问网络中的各台计算机和所有内容。
可以采取的基本措施
类似于城堡的护城河,防火墙可以阻止入侵者访问您的专用网络。 有两种基本类型的防火墙: 硬件防火墙阻止 Internet 与您的网络之间的所有未经明确允许的通信。 例如,您可以配置防火墙接受某些特定类型的电子邮件和 web 流量,但对于所有其他类型,则一概拒绝。 这些防火墙还可以隐藏防火墙后计算机的地址,使您的网络中的各计算机对于网络外部不可见。 ISP 提供的路由器或 DSL/电缆调制解调器可能集成了防火墙。 软件防火墙,例如内置到 Windows XP Professional SP2 的 Windows 防火墙。 如果使用 Windows XP SP2,默认情况下会启用防火墙。 这意味着,默认情况下,所有连接(包括 LAN(有线和无线)、拨号和虚拟专用网络 (VPN) 连接)都受 Windows 防火墙保护。
如果未安装 Windows XP,则可以购买商业软件防火墙。 ZoneLabs、McAfee 和 Symantec 均销售防火墙产品。 二.
保证数据安全 执行定期备份过程是保护重要业务数据的一个简单方法。 设置权限和使用加密技术也会有帮助。 小型企业遇到的大部分不幸可归咎于外部因素 - 经济不景气、自然灾害、重要员工离职的决定。 可以度过这些艰难时刻的企业通常都通过采取一些基本的预防措施而使风险降到了最低,这一点勿庸置疑。 其中最基本的一点是保护关键的业务数据。
试想一下,当您某天早上走进办公室,却发现您的所有销售记录、客户联系信息和订单历史记录全部都不见了。 需要花费多长时间才能恢复? 会造成多少困扰和延误? 对您造成多少浪费?
数据丢失很可能会发生,不乏这样的例子。 发生的原因可能是硬件故障、水灾、火灾、安全问题,或仅仅是意外地删除了重要的文件。 不管是什么原因,采取预防措施以降低影响就像是保险单,使您的企业能够迅速地恢复并运转。
可以采取的基本措施
保护关键的业务数据有许多种方法,但以下三种是基本方法:
1. 备份关键的数据。
备份数据就是在其他介质上保存数据的副本。 例如,可以将所有重要的文件烧录到一张 CD-ROM 或第二个硬盘上。 有两种基本的备份方法:完整备份和增量备份。 完整备份会将所选的数据完整地复制到其他介质。 增量备份仅备份上次完整备份以来添加或更改的数据。
通过增量备份扩充完整备份通常较快且占用较少的存储空间。 可以考虑每周进行一次完整备份,然后每天进行增量备份。 但是,如果要在崩溃后恢复数据,则将花费较长的时间,因为首先必须要恢复完整备份,然后才恢复每个增量备份。 如果对此感到担扰,则可以采取另一种方案,每晚进行完整备份;只需使备份在下班后自动运行即可。
通过实际将数据恢复到测试位置来经常测试备份是个好主意。 这具有以下作用: - 确保备份介质和备份数据状况良好
- 确定恢复过程中的问题
- 可提供一定程度的信心,这在实际发生危机时将十分有用
图 1 显示了一种 Windows 操作系统下的备份实用程序,这是一种内置的工具,可使备份更方便。
图 1
2. 建立权限。
您的操作系统和服务器都可对由于员工的活动所造成的数据丢失提供保护。 通过 Windows XP 和 Windows 2000 以及 Windows Small Business Server 2003、Windows Server 2003 和 Windows 2000 Server,可以根据用户在组织内的角色和职责而为其分配不同级别的权限。 不应为所有用户提供“管理员”访问权,这并不是维护安全环境的最佳做法,而是应制定“赋予最低权限”策略,将服务器配置为赋予各个用户仅能使用特定的程序并明确定义用户权限。
3. 对敏感数据加密。
对数据加密意味着将其转换为一种可伪装数据的格式。 加密用于在网络间存储或移动数据时确保其机密性和完整性。 仅那些具有工具来对加密文件进行解密的授权用户可以访问这些文件。 加密对其他访问控制方法是一种补充,且对容易被盗的计算机(例如便携式计算机)上的数据或网络上共享的文件提供多一层保护。 Windows XP 和 Windows Small Business Server 2003 支持加密文件系统对文件和文件夹加密。
将这三种方法结合起来,应该可以为大多数企业提供保证数据安全所需的保护级别。 三.安全地使用 Internet 恶意网站、弹出窗口和动画可能是危险的。 设置 Internet 使用规则以保护您的企业和员工。 如果您的企业没有关于 Internet 使用的策略,则应该制定这样的策略。 尽管 Web 是非常有用的工作场所工具,它也可能对工作场所造成严重危害,导致生产效率降低。 应设置一些规则以保护您的企业 … 以及您的员工。
您的企业为什么会有危险
Web 页面包含一些通常无害的程序,有时很有用,例如动画和弹出菜单。 但有一些可疑的甚至是恶意的网站,它们具有自己的日程,有时会对您造成危害。 当您在网上冲浪时,站点操作员可在 Internet 上识别您的计算机、识别您所访问的网页、使用 cookies 为您设置配置文件并在您的计算机上安装间谍软件,而您毫无察觉。 破坏性的蠕虫病毒也可能通过您的 Web 浏览器进入您的系统。
除了外部发起的恶意活动,内部员工在工作时间在公司电脑上进行非法和/或不允许的 Web 活动也会使企业易于受到攻击。
您的 Internet 策略应该包括的内容
当建立公司范围的 Internet 使用策略时,应解决以下问题: - 是否允许员工因公和因私浏览 Web
- 员工何时可以因私使用 Web(午餐时间、下班后等)
- 公司是否监控及如何监控 Web 使用,以及员工可具有怎样的隐私级别
- 不允许的 Web 活动。 详细说明不允许的行为。 在许多公司中,不允许的行为包括:
- 下载攻击性的内容
- 恫吓或暴力行为
- 非法活动
- 商业广告(与业务无关)
应向员工提供两份策略:一份由其保存,另一份由其签名并返回给您。
安全地进行浏览的诀窍
除了制定相关策略,以下建议也可以有助于您安全地进行 Web 浏览: - 仅浏览受信任的网站
- 不使用工作电脑进行闲置浏览
- 切勿从服务器浏览网站。 始终应使用客户端计算机或便携机
- 使用防火墙/路由器。 它使您能够过滤 Web 地址并阻挡来自或去往危险站点的 Internet 流量
- 考虑使用 Web 过滤软件。 Websense 和 Secure Computing 等公司提供了一些可根据各种条件过滤 Internet 使用的软件
惕是有好处的。
可以采取的基本措施
有四种基本措施可以有助于降低您的网络安全风险。
1. 使用防火墙。
防火墙可以控制对网络的访问。 它可以阻止 Internet 入侵者探查您的专用网络中的数据。 它还可以控制员工在网络外部可以访问的内容。
有两种基本类型的防火墙:硬件和软件。 它们的工作原理都是检查传入您的网络的数据,如果其不符合特定的条件则将其丢弃。 硬件防火墙最适合于网络,因为它们可以保护网络中的所有计算机。 它们还可以增加一层防御,因为它们可有效地使外部“看不到”您的网络计算机。 软件防火墙(例如内置到 Windows XP Professional 的 Windows 防火墙)仅保护运行它们的计算机,且对硬件防火墙提供了很好的防御支持。
2. 使用加强密码
大多数小企业使用密码来在计算机、收银机或报警系统上验证身份。 尽管有更先进的验证系统(例如智能卡和指纹或虹膜扫描),密码仍是最常用的,因为它易于使用。 但是密码也容易盗用。 黑客具有自动的工具,可帮助他们在几分钟之内提供简单的密码。 黑客还可以利用圈套使员工泄漏密码。
而且由于以下一些原因,密码常常起不到防护作用: - 敏感文档未进行密码保护,使任何人可以使用未设保护的计算机并登录
- 密码简单且/或从不更改
- 密码写在计算机旁边容易看到的地方
教育职员使其认识到密码的重要性是使密码成为有效的网络安全工具的基础。 员工应象对待办公室钥匙一样对待密码。 也就是说,不要随处放置密码,也不要让别人知道密码。 还应该避免使用简单且易于猜到的密码,包括: - 他们的真名、用户名或公司名
- 常见的字典词,这使其容易受到“字典攻击”
- 常见的密码,例如 "password"、"letmein" 或 "1,2,3,4"
- 广为人知的字母替换,例如将 "i" 替换为 "!" 或将 "s" 替换为 "$"
- 为人所知的密码
五.保护您的服务器 服务器是您的网络的命令中心。 如果以上所述的安全因素没有得到满足,您的整个网络就会具有危险。 要保护您的企业,请保护您的服务器。 如果将服务器视为网络的命令中心,则容易理解保持安全避免攻击为什么是一个关键任务。 一旦危及服务器的安全,您的整个网络都处于危险之中。 虽然有些服务器攻击仅仅是骚扰,但是有些可以引起严重损害。 要保护您的企业,请保护您的服务器。
如果为小型企业,可能不具有多个服务器。 但是无论正在运行的服务器是多还是少,您的网络都依靠这些服务器。 它们为您的团队进行工作所需的应用程序、Web 页或电子邮件提供服务。 它们存储有价值的和/或机密的信息资源。 它们为您的客户提供与您联系的方法,可能从您这里购买货物或服务。
因此,如果服务器停机,则会降低生产率并损坏客户关系…… 而且,甚至可能受到经济打击。
可以采取的基本措施
已经讨论的许可步骤可帮助您保护服务器。 因此,如果您尚未采取以下步骤,请优先执行这些步骤: - 步骤 1:保护您的台式机和便携机
- 步骤 2:保证数据安全
- 步骤 3:安全地使用 Internet
- 步骤 4:保护您的网络
即使采用了列出的那些安全措施,还可以采取其他措施来保护您的服务器。
1. 保持服务器在安全的位置。 企业必须确保其服务器不易遇到物理灾难。 将这些机器放置在安全的、通风良好的房间,而不要放在走廊或桌子底下,在这些地方人们可能会无意识地踢到机器或将咖啡溅在机器上。 或者对其进行随意的处理。 您的服务器房间应该没有窗户,且只有一个门,您可以锁住这个门。 服务器机箱也应该被锁,以防止有人动内部组件。 了解哪些员工持有服务器房间的钥匙。 您还应该保存服务器的序列号记录,并将其标记为公司信息,以便被盗后可以识别和发现它们。
2. 赋予最低权限。 通过 Windows 2000 Server、Windows Server 2003 和 Small Business Server 2003,可以为用户分配不同的权限级别。 不应为所有用户提供“管理员”访问权,这并不是为计算机或服务器维护安全环境的最佳做法,而是应使用服务器来管理客户端计算机。 Windows 服务器可以配置为指定各个用户仅对特定的程序具有访问权,并定义服务器上允许哪种用户权限。 这确保用户不能在对服务器或客户端计算机操作很关键的地方进行更改。 它还可防止用户安装可能引入病毒的软件,或者危及网络的完整性。
3. 了解您的安全性选项。 目前的服务器比以前的服务器安全,但是 Windows 服务器产品中的功能强大的安全性设置仅当正确使用并加强监控时才有效。 如果您的团队中没有 IT 专家且/或不具有安全问题方面的专业知识,则应考虑雇用一个外部顾问,与您一起工作以适当地保护您的服务器。 什么样的密码是“加强”密码? 它具有以下特征: - 至少有八位字符长;越长越好
- 是小写和大写字母、数字和符号的组合
- 至少每 90 天要进行更改,而且更改时应与先前的密码有较大区别
3. 使用无线安全功能部件。
无线网络使用无线电而不是电缆来连接计算机。 这样,处于无线电范围内的任何人理论上都可以在网络上进行侦听或传输数据。 一些易于获取的工具使入侵者可以“察觉到”不安全的网络。 由于无线网络的安全漏洞较高,精于计算机的黑客具有一些工具可帮助他们侵入所有类型的计算机系统。
有一些安全功能内置到 Wi-Fi 产品中,默认情况下制造商通常将其关闭,因为这样使网络更容易设置。 如果您使用无线网络,应确保打开这些功能并使用可配置的加密和访问控制功能,这会使您的网络更安全。
还应该考虑以下事项: - 将无线访问限制在工作时间或需要使用网络的任何时间(如果您的访问点允许)
- 通过将访问点设置为限制网络仅访问受信任的媒体访问控制 (MAC) 地址,过滤掉偶然的入侵者
- 如果您使用的是较旧的设备,应升级至功能更强大的 Wi-Fi 保护访问 (WPA) 加密
4. 关闭不需要的网络端口。
网络端口启用客户端计算机和服务器之间的通信。 为了加强网络安全并阻止未授权的访问,您应该关闭未使用或不需要的网络端口,方法是使用专用的防火墙、基于主机的防火墙或“Internet 协议安全”过滤器。 提示:Microsoft 服务器产品使用各种编号的网络端口和协议来与客户端和服务器系统进行通信。 阻止 Windows Server System 所使用的端口可能会使服务器无法响应合法的客户端请求,这意味着服务器无法正常工作。
六.保护您的业务应用程序 确保对于业务操作至关重要的软件始终是安全的。 内部或外部漏洞会导致生产率降低或更为严重。 许多公司使用专业的业务程序用于会计任务、运行销售点系统、跟踪库存以及管理供应链。
这些程序有时称为业务(line-of-business,LOB)应用程序,通常在服务器上运行并与数据库一起操作。 这种集成安装有很多优点。 多个员工可以使用一个 LOB 程序并可同时访问数据库信息。 例如,在管理员创建自定义的财务报告时,销售人员可以使用此程序记录她的销售号。
但也存在安全风险。 位于网络服务器上的客户信息、销售情况、损益表和其他重要业务数据易于受入侵者的攻击。 并且,您可能并不希望所有员工可以访问所有种类的数据。
问题在于创建一种安全计划,既可以保护 LOB 程序数据完整性和隐私性又支持有效的数据访问和协作。 下面介绍了计划中应包含的三种措施。
1. 实施基本的安全措施 首先应在您的工作场所建立基本的计算机安全措施,以保护您的数据库免受不必要的探听者的威胁以及其他威胁。 如其他小型企业安全中心文章中所述,您应该: 设置防火墙。 防火墙可帮助您在 internet 上阻止入侵者访问您的计算机和业务数据。 使用硬件防火墙效果最好,因为它对企业网络中的所有计算机提供保护。 使用软件防火墙提供进一步保护也是一个不错的主意。 Windows Small Business Server 2003(许多小型企业将其与业务应用程序一起运行)附带了防火墙技术。 服务器软件的高级版本包括 Microsoft Internet Security and Acceleration (ISA) Server,一种高级防火墙解决方案。 在所有计算机上安装防病毒软件。 在服务器上运行防病毒软件与在客户端计算机上运行防病毒软件同样重要。 应使用不仅检测和禁用病毒,而且可以定期更新以筛选新病毒的程序。 使用加强密码。 在您的工作场所登录到任何计算机和服务器都应输入密码。 加强密码由大小写字母、数字和符号组成。 确保要求用户定期更改密码。 备份文件。 如果发生灾难,且您没有在一个单独的存储系统上保存您的重要文件和信息,则您的所有重要业务应用程序数据将会丢失。 Windows Small Business Server 2003 包含容易使用的备份功能。 更新软件。 软件更新通常包括最新的安全功能。 Microsoft 产品的更新可以从 Windows Update 和 Microsoft 下载中心获取。 2. 管理对信息的访问权
并非所有人都应该具有对工作场所内所有信息的访问权。 如果您的企业运行的是 Windows Server 操作系统,您可以允许和限止员工访问文档、电子表格或其他业务文件。 还可以指定是允许用户只能读取文件还是可更改文件。 下面介绍了管理访问权的窍门。 - 创建多组用户,为这些组(而不是为单个用户)分配权限和优先权。 这样可以为管理访问权限节省时间。
- 根据角色(例如销售代表)创建您的用户组。 然后分配一组权限,这些权限与执行为角色确定的任务有关。
- 将每个角色的访问权限设置为用户进行工作所需的最低级别。 例如,如果销售代表组只需要读取客户档案,则不要给他们共享或删除文件的访问权限。
一些 LOB 应用程序通过设置访问权限执行大部分工作。 其中一个例子是 Microsoft Business Solutions CRM,一种跟踪客户销售和支持关系的高级程序(通常与 Microsoft Small Business Server 2003 一起运行)。 Microsoft CRM 提供时具有八种预先定义的角色(从 CEO 到业务经理到客户销售代表到专业营销人员)。 此程序还预先定义了您可以分配权限的一般商业元素,如销售线索、商机、联系人、帐户、竞争对手、产品、销售文献、报价、订单、发票和合同。
3. 注意数据库。
由于特定于业务的程序通常使用数据库存储应用程序数据,请记住要特别注意数据库的安全性。 下面介绍了您可以做的一些事情: - 安装最新的数据库 Service Pack。 Windows Small Business Server 2003 提供了 Microsoft SQL Server 2000 Desktop Edition (MSDE 2000)。 服务器软件的高级版本提供了更高级的 Microsoft SQL Server 2000。 当这些数据库程序与业务程序一起使用时,确保安装最新的 Service Pack 和更新以提高安全性。 Microsoft 下载中心有最新的服务器应用程序更新。
- 使用 MBSA 评估服务器的安全性。 Microsoft Baseline Security Analyzer (MBSA) 是一个在某些 Microsoft 产品(包括 SQL Server 和 MSDE 2000)中搜索常见的不安全配置的工具。
- 使用 Windows 身份验证模式。 无论何时,要连接到 SQL Server,应要求使用 Windows 身份验证模式。 这将通过将连接限制为 Microsoft Windows 用户和域用户帐户来防止您的 SQL Server 安装受到基于 Internet 的攻击。
- 隔离您的服务器并定期备份。 物理和逻辑隔离是 SQL Server 安全的基础。 托管数据库的计算机应位于受到物理保护的位置。 定期备份所有数据并在安全的远程位置存储副本。
七.从服务器管理台式机或便携机 如果没有严格的管理过程,用来保护企业的安全措施可能会被用户无意识地破坏。
| 正当您认为您已经遵循了保护企业资产免受病毒、黑客和盗贼侵害的所有规则时,某位员工有了“更好”的主意。 即使不是更好的主意,它清楚地表明您迄今实施的所有精明的安全措施。
它基本保证了适当地保护您的企业免受外部威胁。 如果开始执行该过程(更新软件和病毒防护以及安装防火墙),您已经投入了大量时间、精力和金钱。
不幸的是,缺乏严格的管理程序会在无意中破坏安全投资,改变您所作的更改或无意中引起新的风险。 用户可能无法获得最近的更新和修补程序,他们可能会下载未经授权的和有潜在危害的软件,用户可能无法觉察到有人对计算机上的数据进行未经授权的访问。
可以采取的基本措施
一种解决方法是从服务器管理台式机和便携机。 此方法不但将降低破坏您的安全措施的风险,而且它还会因提高效率而节省大量的时间和金钱。 其中包括: - 正确的安装。 您从一开始就可以确保在所有 PC 和便携机上安装操作系统和应用程序的正确版本。 它确保符合许可问题的要求以及在组织中保持一致,以便进行文件共享和其他用途。
- 及时更新。 修补程序和错误修复与新版本软件可以从服务器部署到用户的 PC 和便携机上。 这样您可了解它已正确和及时地得到处理,您不必依靠用户自己记住做这些事情。
- 特殊配置。 对于每个用户使用的操作系统或应用程序,如果组织具有首选设置,则可以从服务器在组织范围内管理、更新和实施这些设置。 另外,您可以通过限制用户从 CD-ROM 和其他可移动驱动器中运行程序或从 internet 下载程序来防止用户安装未授权的程序。
- 监控。 如果 PC 上出现未授权的访问,或在单个机器上存在某种类型的系统故障,则可通过受管 PC/便携机环境下可用的监控功能立即检测到此情况。
如果正在考虑购买您的企业的第一台服务器或进行第一次服务器升级,则对于 Windows Server 2003 管理功能的改进以及 Windows XP Professional(带 Service Pack 2)中增强的安全功能等方面可值得您留意,它们可提供强大的防护来应对来自内部和外部的威胁。 
正在加载中...
