不少企業認為，自己單位無論是名氣還是規模都不顯眼，別人不會平白無故地攻擊自己。其實，在一無法紀二無制度的虛擬網絡世界中，現實生活中所有的陰險和卑鄙都表現得一覽無余，那些平時不注意的人，往往在遭受攻擊并付出慘重代價后才后悔不已。在網絡里，幾乎每個人都面臨著安全威脅，每個人都有必要對網絡安全有所了解，并能處理安全危機。

　　本期編發的一組保護企業網安全的措施，分別從策略、防護措施、防病毒措施以及預防垃圾郵件等幾個影響企業網安全的關鍵層面著手，希望讀者能從中體會企業網安全的防護方法。

　　主動預防5大策略

　　1、充分認識內外攻擊

　　在進行企業網安全設計時，首先要了解自己的網絡可能面臨的攻擊。在網絡中，各類不同的企業所面臨的危險是不相同的，每個企業都有自己獨特的漏洞及安全隱患。隨著企業網絡逐步延伸到供應商、顧客及合作伙伴處，外部威脅正變得日益嚴重。外部威脅主要指: 未授權用戶，如黑客、惡意破壞者或網絡盜竊分子等對系統進行的破壞;對企業離職員工的管理不當，使他們在離開企業后仍能訪問公司網絡，形成威脅; 此外，企業還必須考慮因設備故障及自然災害，如火災等帶來的危險。

　　2、尋找漏洞

　　有時，尋找企業網弱點就像大海撈針一樣，并不是所有的威脅都很明顯，特別是當缺乏專業的信息安全技術專家幫助時。識別潛在威脅的一種方法是求助第三方，讓他們對您企業的計算機系統進行掃描評估，查出是否有漏洞。現在市場上的許多安全產品能對整個系統進行完全掃描，這有利于管理員識別并修補漏洞。

　　許多用戶明明已經知道局域網系統存在著安全漏洞，但思想上并沒有引起重視，只是僥幸地認為這樣小的安全漏洞不會引起麻煩。但是，總會有對網絡的復雜性和安全性理解更深刻的闖入者，小漏洞說不定能引起整個局域網系統的致命創傷。為確保萬無一失，用戶在工作中發現安全隱患時，應在第一時間堵住。

　　3、預防

　　各色各樣的新型病毒層出不窮，在過去幾年里曾造成全球上千萬美元的損失。與大多數安全威脅類似，病毒既襲擊小公司，也會攻擊大公司。要確保免受病毒入侵，不丟失數據，必須要經常使用殺毒軟件。

　　4、定期做檢查

　　局域網每天遭受的攻擊類型是在不斷變化的，因此針對這種攻擊類型而采取的防范軟件也必須及時更新，用戶應該及時將防火墻或防病毒軟件升級。

　　不要以為設置了密碼，入侵者就不能攻擊系統了，其實許多密碼很容易被破解，像John這一類的密碼破解程序可從因特網上免費下載，經常修改密碼對付這種盜用十分奏效。

　　局域網中的共享訪問功能雖給用戶操作帶來了方便，但也給整個系統帶來了安全隱患，目前許多攻擊是通過共享方式實現。筆者建議對局域網中每一次共享資源的訪問，都應該使用身份驗證機制，保證訪問者的合法性。

　　5、杜絕犯小錯誤

　　一些用戶常犯的錯誤可能會為黑客攻擊留下把柄，例如及應用程序默認安裝、密碼設置不當、數據備份不完全、打開不必要的端口、發送與接收的數據包不進行過濾等。

　　不要在自己的系統之內使用任何具有記憶命令的程序，這些程序能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切，如Windows下的“keylog”程序等。

　　如果企業的局域網系統是請他人調試安裝的，網管人員應該注意在網絡調試好以后及時對整個網絡系統加裝安全保護。

　　此外，任何情況下，網管員不能隨意透露自己企業網的任何安全信息。

　　基本防護5大措施

　　1.建立實用有效的密碼，防止口令入侵

　　所謂口令入侵，是指黑客利用一些軟件解開被加密的口令文檔，獲得一定的權限進入他人計算機。有為數不少的企業員工習慣使用“password”或“pass”作為密碼，這極易被黑客猜到，利用密碼管理軟件選擇一個安全性好的密碼十分必要; 不依照常規、不定期更換密碼也非常重要。一個好的密碼應包括：

　　● 至少8位字符以上;

　　● 大小寫字符混合;

　　● 字母和數字任意組合在一起;

　　● 包括一些特殊字符(如&、$、 #、 *等)。

　　2.持續更新反病毒程序

　　對復雜多變的網絡環境和層出不窮的電腦病毒，一次性安裝病毒防護程序并不能防范不斷出現的新病毒，應該運行最新的防病毒系統，安裝的病毒防護程序需要不斷更新、升級。目前，更新殺毒軟件主要依靠防病毒軟件公司，一般都提供網上在線自動更新。

　　3. 定期給系統打補丁

　　一個好的網絡安全方案不應僅包括防火墻、入侵探測系統等，還應該有正確的使用和恰當的維護。通常，許多應用軟件、系統程序(、網頁瀏覽器、郵件閱讀器等)總是在應用過程中會不斷發現新漏洞或安全隱患，軟件開發公司會就此發布公告，發布相應的補丁，它對小型企業和個人電腦所使用的相對不復雜的系統維護是有益的。但在將補丁程序應用于大系統前時，必須詳細分析，以防與系統中運行的其他程序發生沖突。

　　4.使用過濾工具

　　目前，許多ISP都提供過濾工具，用于過濾訪問的網頁，對不允許訪問的網頁限制訪問;大多數ISP還允許用戶通過使用郵件列表過濾郵件，用于阻止不明郵件的接收。

　　另外，當前許多新的計算機病毒通常是以電子郵件方式傳播，所以個人電腦使用者應特別注意收到的不明郵件，尤其是帶附件的電子郵件，可以考慮用專業工具來控制垃圾郵件的接收。

　　5.在寬帶處安裝安全設備

　　伴隨著各類接入因特網方式的不斷出現和普及(如使用寬頻、DSL、衛星通訊等)，在增加了網絡速度和效率的同時，也提出了特殊的挑戰。因為在線連接就意味著自身大量的數據能被持續發送出去，從而使企業的計算機系統一直處于不安全狀態中，為黑客攻擊計算機系統提供了條件。因此，使用寬帶方式接入的系統應該安裝額外的設備，即防火墻。

　　防火墻可以阻止非法連接，對訪問者設置檢查和進入許可，只接收部分經過安全確認的訪問者。盡管防火墻可以將部分惡意用戶屏蔽于企業網絡之外，可是，因為所有的防火墻都暴露在外，所以會受到外部的攻擊或被以各種方式避開。鑒于防火墻提供的防護十分有限，企業應考慮設置入侵偵測系統用以補充防火墻技術的不足。

　　防火墻和入侵偵測系統應不斷從供應商處獲得更新版本。

　　對抗垃圾郵件5招

　　據IDC表示，目前全世界每天散布的網上垃圾郵件高達730億封之多;而Gartner調查公司的調查數據表明，目前企業用戶每天收到的郵件中有一半左右都是垃圾郵件。垃圾郵件的內容從各種小廣告到成人網站，再到“如何快速致富”、“快速減肥”等內容，幾乎無所不包，垃圾郵件已經成為了當今互聯網上一個頗令人頭痛的問題。

　　由于在反垃圾郵件方面措施不利，國內許多ISP和免費郵件提供商的網站都受到過國際組織的投訴，甚至直接被列入垃圾源而導致地址被封，造成經濟損失和用戶不滿。同時，因為垃圾郵件大量占用網絡資源和員工的精力，企業也蒙受很大的損失。這一切都迫使我們嚴肅地看待反垃圾郵件的問題，從技術上、從管理上來減少這方面的隱患。

　　垃圾郵件的表現多種多樣，如何定義垃圾郵件現在國際上開始出現了大家認可的標準，但是從技術上，如何判斷垃圾郵件、如何減少誤判帶來的郵件丟失同時達到滿意的過濾效果，卻成為當前熱門的研究課題。對于企業網絡，當前對抗垃圾郵件的措施并不少，但通常每一種獨立使用都不夠，需要綜合使用多種方式進行保護和過濾，才能達到令人滿意的效果。

　　1.過濾黑名單“壞蛋”地址。包括兩種做法：其一是過濾國際幾個重要組織已經通報的垃圾源，例如MAPS等;其二是過濾自己企業用戶報告的垃圾源。這里的垃圾源包括發送垃圾郵件的郵件地址和服務器。

　　2.確認垃圾郵件中的“發送者”的真實性。有兩種做法：其一是確認其域名的真實性;其二是測試一下其是否能夠接收郵件，因為大多數垃圾郵件的發送者都不愿接受返回郵件。

　　3.從郵件的實際內容智能判斷。有四個層次的做法：其一是從郵件接收者的數目來看，數量太大的有垃圾郵件的傾向;其二是內容分析，過濾掉那些包含房屋租賃、工作招聘之類的廣告信息;其三是定義過濾的模式，例如“快速致富”、“Lose pounds!”等;其四最為復雜，為了更徹底地對抗垃圾郵件，有些情況下還需要部署能夠進行多語種分析的過濾軟件，來對抗全球范圍內的垃圾郵件。

　　4.保護自己的網絡不被用作垃圾郵件中轉站、甚至源頭。關閉郵件中的匿名轉發功能，對郵件轉發進行認證等措施可以幫助做到這一點。

　　5.對抗惡意郵件攻擊。鑒于業界已經出現過利用郵件進行拒絕服務攻擊的先例，所以，建立相應的郵件防護系統，防止自己的郵件服務器被淹沒或者因過載而崩潰非常重要。另外還應該采取措施防止潛在的垃圾郵件者利用暴力猜測自己的郵件服務器上的賬號列表。