企業寶典：網管員需要注意十點安全技巧

【原創文章，版權所有，賽迪獨家發佈，合作網站如欲轉載，請註明出處「賽迪網」和文章作者「freedom」！謝絕非合作網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

結合工作經驗，在這裡筆者給企業網管員提供一些保障企業網絡安全的建議，幫助他們用以抵禦網絡入侵、惡意軟體和垃圾郵件。

定義用戶完成相關任務的恰當權限

擁有管理員權限的用戶也就擁有執行破壞系統的活動能力，例如：

・偶然對系統做出改變，結果降低了網絡安全的總體水平。

・受騙上當運行了惡意軟體，後者會利用用戶的管理權限達其不可告人的目的。

・使得登錄停息洩漏，造成第三方可以登錄並執行破壞活動。

為了增強安全性，一定要保證你的用戶擁有其需要完成任務的恰當權限，並將擁有管理員用戶名和口令的用戶數量限制到最少的程度。

僅從可信任的站點下載文件

許多文件可從互聯網上的多個位置下載，不過並非所有的位置都是等同的。有一些站點要比其它的站點更加安全。你需要保證你的用戶只能從可信的站點下載，這些站點通常還是其它方面主要的源站點，而不僅僅是文件共享的普通站點。如筆者喜歡的天空軟體站等。還要考慮哪些人需要從web站點下載文件和應用程序：要考慮限制這種許可，只能將許可給那些要求下載文件的可信任用戶，並要保障這些經過選擇的用戶受到相關的培訓，使其知道如何安全地下載文件。

履行網絡共享的審核

大量的惡意代碼可以通過網絡傳播。這通常是由於網絡中有很少的或根本就缺乏網絡共享的安全措施。你需要清除不必要的共享並保障其它共享的安全，要阻止網絡共享被惡意代碼利用作為其傳播的工具。

控制網絡連接

在計算機連接到一個網絡時,它們在特定的會話期間要採用此網絡的安全設置。如果這個網絡是外部的或不受到管理員控制的網絡,其安全設置有可能是不充分的並且會將計算機置於風險之中。您需要限制用戶連接到未認證的域或者網絡，在多數情況下，多數用戶只需要連接到公司的主要網絡。

改變網絡的默認IP地址範圍

計算機網絡經常使用標準的IP範圍，例如10.1.x.x 或者 192.168.x.x。這種標準化意味著這樣一種事實：那些配置來霧裡查找這個範圍的計算機可能意外地連接到不受你控制的網絡上。通過改變默認的IP地址範圍，計算機就不太可能找到一個類似的範圍。你還可以增加防火牆規則，如添加一種防範措施，只允許經過授權的用戶可以連接。

經常審核網絡的開放端口並阻止未用的端口

端口就像一座房子中的窗口。如果你長期開放著一些端口卻不對其進行審核，也就增加了讓黑客或未授權的用戶進入系統的權利。如果端口開放著，它們就可被特洛伊木馬和蠕蟲利用來與未授權的第三方（多是惡意的）通信。因此，你一定要保障所有的端口都定期審核，還要保證所有未用的端口都要加以阻止。

定期審核網絡的進入點

你的網絡可能在不斷地在改變大小和增加進入點，因此定期地檢查進入組織內網絡的所有途徑。一定要當心所有的進入點。你應當考慮如何最充分地保障所有途徑的安全，阻止非法的文件和應用程序進入，阻止未檢測的或敏感的信息洩漏出去。

考慮將企業關鍵的業務系統放置到不同的網絡上

在企業的關鍵系統受到影響時，它們可以極大地延誤業務進程。為了保護業務的進程，可以考慮將其放置到與日常活動所用的網絡不同的網絡上。

在部署之前在一個虛擬的網絡上測試新的軟體

雖然多數軟體的開發人員盡量多地測試其軟體，不過其軟體不太可能擁有你的網絡的根本特性和配置。為了保證一次新的安裝或更新不會引起任何問題，你最好在一個虛擬網絡系統進行測試，並在部署到真實的網絡之前檢查其效率。

禁用不用的USB端口

許多設備在連接到一個USB端口時，會被自動地檢測並裝載為一個驅動器。USB端口還可以允許設備自動運行連接到其上的所有軟體。多數用戶並不清楚即使最安全的和多數受信任的設備都有可能將惡意軟體引入到網絡中。為防止危險的事件發生，禁用所有不用的端口是比較安全的措施。

(