一般性安全指南

目的

本指南提供了保護SCIEX采集和處理工作站的補充說明。本指南僅為補充并不是替代您當前的IT政策、需求和實踐。我們建議您在實施任何更改建議之前咨詢您的IT部門。

介紹

盡管SCIEX工作站自帶的操作系統(tǒng)是通用的，但我們建議您將計算機視為是儀器本身的一個擴展的專用系統(tǒng)。為了保護計算機，請將該工作站僅用于執(zhí)行LCMS工作流程所需的操作，而不要用于其他用途，同時我們建議您遵循本文檔中針對采集和數據處理的工作站部分的安全最佳實踐。

不要使用過時的操作系統(tǒng)

過時的操作系統(tǒng)存在安全漏洞，容易被進攻者利用。 為了保護計算機，請確保運行具有增強安全功能的 Windows 7 或 Windows 10操作系統(tǒng)。

禁用USB端口

USB設備可以通過編程將病毒傳播到接觸的任何計算機上，它們可以在防病毒工具介入之前的引導階段感染計算機。為了保護計算機，請關閉計算機前面板上的USB接口并確保后面板上的USB端口為“服務使用”狀態(tài)。

不用該工作站瀏覽互聯(lián)網

使用該計算機瀏覽互聯(lián)網會大大增加感染惡意軟件的風險。某些惡意網站只通過訪問無需任何操作就可以自動感染您的計算機。 從互聯(lián)網下載和安裝應用程序更會增加被攻擊的機會，因此強烈建議不要這樣做。

?

不要使用電子郵件

電子郵件是惡意軟件的第一大攻擊媒介。大多數惡意軟件是通過電子郵件附件或電子郵件中的惡意鏈接傳遞的。 在計算機上使用電子郵件會大大增加被惡意軟件感染的風險。 我們強烈建議不要在計算機上使用電子郵件。

不要安裝第三方軟件

在您的計算機上安裝其他軟件會增加被感染的風險。 惡意軟件作者經常利用第三方應用程序（如 Adobe Flash）中的漏洞來利用底層操作系統(tǒng)。 我們建議您盡可能不要在采集計算機做LCMS工作用途以外的工作。相反，請使用專為此類用途而設計的受到保護的計算機。 如果必須安裝第三方應用程序，我們建議使用最新的安全補丁使它們保持最新。

建立更安全的密碼策略

確保您的密碼至少是8個字符長，最好是10個字符長，并且包含大寫和小寫字母、數字和特殊字符的混合。啟用帶密碼的屏幕保護和屏幕超時設置。我們建議超時時間為10分鐘。離開電腦時鎖定電腦。不要與他人分享您的密碼。

啟用 Windows 更新

請確保安裝了重要的安全補丁，這對于維護計算機的安全至關重要。 我們推薦的設置是通知可用的更新并允許您選擇安裝哪些補丁以及何時安裝。 此選項提供了靈活性，以確保安裝不會對儀器的采集產生影響。 您的組織也必須在安裝發(fā)布的最新補丁時考慮自身安全需求和風險承受能力。 但是，我們也建議您在 SCIEX 軟件采集和數據處理期間不要運行任何 Windows 更新。

安裝殺毒軟件

雖然安裝殺毒和備份軟件是一種給廣泛被認可的做法，但這些應用程序可能會干擾正在實時采集數據的SCIEX采集軟件。一些殺毒和備份軟件默認配置為在創(chuàng)建文件后立即執(zhí)行自動掃描和存檔。由于SCIEX采集軟件可以在采集序列期間對單個數據文件執(zhí)行多次寫入，因此必須禁用這類實時功能，以防止殺毒或備份軟件在 SCIEX 軟件應用程序仍需要讀取數據文件時鎖定該文件。大多數的應用程序可以配置為禁用實時保護或忽略某些文件類型和路徑。 如果不禁用可能會導致采集失敗或導致比預期更長的時間才能完成數據采集。

在采集計算機上配置殺毒軟件時，請遵循以下原則:

• 禁用文件實時掃描和歸檔功能。

• 忽略以下文件類型:
  atmsc, rdb, atds, scan, journal, wiff, qsession, wiff2

• 忽略以下文件夾和路徑:
  

  Analyst?軟件:

  • 32-位系統(tǒng): C:\Program Files\Analyst
  • 64-位系統(tǒng): C:\Program Files (x86)\Analyst
  • D:\Analyst Data
  
  SCIEX OS軟件:
  • C:\Program Data\SCIEX
  • C:\Program Files\SCIEX
  • D:\SCIEX OS Data

同時包含忽略任何連接設備驅動程序的文件夾，例如 Eksigent LC 系統(tǒng)。

注意： Analyst Data 文件夾的默認安裝位置是 D:\。 這些文件夾可能安裝在不同的驅動器上。

例如，在 Symantec Endpoint 軟件中，按照以下內容配置軟件，可提高數據采集期間的性能：

• 病毒和間諜軟件保護設置:
  • Auto-Protect >高級>掃描文件時:當文件被修改時進行掃描。
  • 提前啟動反惡意軟件：禁用Symantec提前啟動反惡意軟件

• 例外 > 安全風險例外：
  • 擴展：確保擴展列表包括先前指定的擴展。
  • 文件夾：添加之前指定的文件夾。

• 主動威脅防護設置：
  • 常規(guī)：禁用 SONAR。
  • 可疑行為檢測：禁用可疑行為檢測。

• 網絡和主機漏洞緩解
  • 防火墻：禁用智能 DHCP、智能 DNS 和智能 WINS。
  • 內存防護策略：禁用內存防護策略

使用 TripleTOF?、QTRAP? 和 X500 QTOF 系統(tǒng)上運行 IDA 和 Scheduled MRM? 采集方式的用戶，防病毒軟件可能會干擾數據采集并導致數據點采集延遲。我們建議您使用上述采集方式時禁用實時殺毒保護、殺毒計劃掃描和其他數據密集型后臺任務，或者執(zhí)行驗證過或特定殺毒和掃描任務。一旦采集完成后，再重新啟用實時防病毒任務。

關于如何最優(yōu)地配置您的殺毒和備份軟件，請聯(lián)系您的軟件供應商。

啟用Windows防火墻(目前默認啟用)

Windows防火墻作為一種額外的安全層，我們建議保持為啟用狀態(tài)。Windows防火墻在默認情況下已經打開，并且只允許最小數量的必要Windows服務。

保持應用程序為最新

SCIEX電腦配有Adobe Reader軟件，為了操作人員能夠查看我們的用戶指南和文檔，因此可以根據更新建議安裝更新程序，以減少可能攻擊途徑。同時我們也建議用戶指南和文檔應在采集以外的計算機上查看。

關閉網絡發(fā)現

網絡發(fā)現功能是允許計算機發(fā)現網絡上的其他計算機，但也允許其他計算機發(fā)現這臺計算機。如果計算機是可發(fā)現的，則可以對其進行漏洞掃描。禁用此設置不會影響您訪問其他任何資源。

關閉自動播放(目前為啟用CD/DVD和固定驅動器)

惡意軟件可以利用自動播放(自動運行)功能作為一種機制來感染計算機。由于2008年Conflicker病毒在全球大規(guī)模爆發(fā)，微軟改變了僅針對可移動設備的自動播放行為。我們建議禁用所有媒體類型的自動播放，包括可移動和CD/DVD設備。

備份

計算機備份的頻率應符合您的組織要求和生成數據的重要性。確保備份正常工作是整體數據管理的重要組成部分，并且對于在發(fā)生惡意攻擊、硬件故障或軟件故障時進行恢復至關重要。請勿在數據采集期間備份計算機，或確保備份軟件忽略前面提到的文件。我們強烈建議在安裝任何安全更新之前對計算機進行完整備份。如遇到極少數情況下安全補丁影響任何應用程序功能時，這將有助于數據回滾。

啟用Internet Explorer瀏覽器安全設置(如果一定要瀏覽互聯(lián)網)

盡管我們強烈建議不要在電腦上瀏覽互聯(lián)網，但如果您必須這么做，那么請您啟用安全設置以幫助保護您的電腦。這些包括:

• 啟用Internet Explorer瀏覽器增強保護模式
  
  為了使Internet Explorer瀏覽器能夠保護您的計算機和個人數據，增強保護模式可以將不受信任的網站隔離在一個稱為AppContainer的受限環(huán)境中。這種模式限制了惡意軟件、間諜軟件和其他潛在的有害代碼對系統(tǒng)的訪問。

• 啟用 SmartScreen 過濾器
  
  SmartScreen 過濾器可幫助您識別和報告釣魚網站和惡意軟件，還可以幫助您下載時做出明智的決定。如果可能，請將 Internet 區(qū)域的安全設置為“高”，該設置可最大限度地提高瀏覽器的保護措施。但是，部分瀏覽將受到限制。例如，此設置阻止運行腳本和下載文件。

• 安全事件日志審核
  
  審核安全事件日志是一種記錄和跟蹤系統(tǒng)活動的強大工具。日志可用于確保滿足法規(guī)遵從性要求、監(jiān)視關鍵用戶活動、檢測異常行為等。由于審核在提供合規(guī)性證據方面起著關鍵作用，所以在進行任何建議的更改之前，應咨詢相關人員。為了提供一個安全的環(huán)境，我們建議使用以下自定義審核設置:

?

如果您對系統(tǒng)的安全性有任何疑問，請通過 http://www.signorinitartufi.net.cn/support 聯(lián)系我們

如果您希望SCIEX提供現場的安全配置服務，請發(fā)送電子郵件至 professionalservices@sciex.com

?

?