对于任何一家企业来说，网络安全都应该是最首要解决的问题。下面，我将列出十点建议，帮助企业实现尽可能高的安全水平。

    1: 尽可能减少被攻击范围

     强化系统安全的第一步，就是减少系统被攻击的范围。一台系统运行的代码越多，就越有可能出现漏洞。因此，加强安全性的第一步就是卸载那些不必要的操作系统组件和应用程序。

    2: 只是用信誉良好的软件

    鉴于目前的经济环境还不够好，很多企业都试图尝试免费软件，廉价软件或者开源软件。首先，我必须承认，我在自己的公司里曾经使用过小部分此类软件。在这种情况下，最重要的是在使用前对软件进行调研和评估。一些免费软件或廉价软件本身设计时就考虑通过广告来盈利，另外一些则是通过收集用户信息或者跟踪用户上网浏览行为来获利。

    3:尽可能以普通用户权限进行操作

    在日常工作中，管理员最好以普通用户权限登录进行一般性工作。如果此时发生了恶意软件入侵，恶意软件通常都会获取与当前用户权限相同的权限。因此，如果管理员经常以管理员权限登录，一旦发生此类问题，就会造成较大的破坏。

　  4: 建立多个管理员账户

    如果你的企业有多个网络管理员，那么应该给每个网管创建一个个人的管理员账号。这样做可以让管理员知道每一项网络管理工作都是谁操作的。比如，公司有个网管叫John Doe，你就应该给这个管理员建立两个账号。其中一个是具有普通用户权限的账号，用于日常工作，另一个是具有管理权限的账号，只在需要进行管理操作时才使用。这两个账户可以叫做JohnDoe以及Admin-JohnDoe。

    5: 监控记录不要太多

    很多网管都喜欢建立审查策略，记录每一个系统事件，但是系统发生的事件太多了，大部分都是良性的。如果将所有系统事件都记录下来，那么审计日志将迅速膨胀，管理员将很难从中找到自己所需的内容。因此，与其将所有事件都记录下来，不如只选择记录那些可能造成问题的事件。

    6: 利用本地安全策略

    使用基于活动目录的组策略并不意味着就可以不用设置本地安全策略了。记住，组策略只针对那些使用域账号登陆的用户才有效。如果有人以本地用户账户登陆，则不会受到组策略限制。本地安全策略此时就可以帮助网管来保护系统安全。

    7: 检查防火墙配置

    企业应该通过防火墙来保护网络以及网络中的每一台电脑，但是这并不表示有了防火墙就足够了。网管应该定期检查防火墙的端口异常日志，确保只开放了必须的端口。

    终点关注的端口是Windows系统常用的各个端口，另外还要在防火墙规则中注意1433和1434端口。这两个端口是用来监控和远程连接SQL服务器的，也是黑客最喜欢利用的端口。

　　8: 隔离服务

如果可能，你应该为每个服务器设置它专属的工作内容。一旦某个服务器被黑客入侵，那么黑客也只能获取相应服务内容的访问权限。我注意到由于财务压力，很多企业的服务器都在身兼数职。在这种情况下，企业可以通过虚拟化技术，再不怎么增加成本的前提下尽可能提高安全性。在一些环境下，微软可以让企业实现多个运行Windows Server 2008 R2系统的虚拟服务器，而只需要一个服务器操作系统许可证。

 

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。