第十九章 確保企業信息安全的12招

由於Internet的共享性和對外開外性，如何保證信息安全就成為發展Internet的重要課題。目前，我國整體的Internet安全防護能力很弱，許多應用係統還處於不設防的狀態或係統安全維護得很不夠。隨著企業上網的迅猛發展，網絡安全問題變得尤為重要，因為網絡安全直接關係到企業的生存與發展，確保企業信息安全、以便企業不受損失應該成為各級企業用戶的共識。那麼作為企業，又該采取何種措施來保證自己的信息不受"攻擊"呢？

1、提高安全認識。現在許多企業沒有意識到互聯網的易受攻擊性，盲目相信國外的加密軟件，對於係統的訪問權限和密鑰缺乏有力度的管理。這樣的係統一旦受到攻擊將十分脆弱，其中的機密數據得不到應有的保護。據調查，目前國內90%的網站存在安全問題，其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小，不會成為黑客的攻擊目標，如此態度，網絡安全更是無從談起。

2、企業應將存有重要數據的電腦堅決同網絡隔離，同時設置開機密碼，並將軟驅、硬盤加密鎖定，進行三級保護。

3、要用防火牆將企業的局域網（Intranet）與互聯網之間進行隔離。由於網絡攻擊不斷升級，對應的防火牆軟件也應該及時跟著升級，這樣就要求我們企業的網管人員要經常到有關網站上下載最新的補丁程序，以便進行網絡維護，同時經常掃描整個內部網絡，以發現任何安全隱患並及時更改，才能做到有備無患。

4、如果企業的局域網係統是請他人調試安裝的，企業的網管人員應該注意在網絡調試好以後應及時對整個網絡係統加裝安全保護係統，或者是重新修改調試人員以前設定的密碼。這是一個很容易忽略的細節，許多企業用戶第一次不懂得如何建設或調試內部局域網，於是就請別人來教，這樣企業係統內部設定的密碼將會被調試人員獲知，調試人員記住以後就可以回去盜用服務了。所以，企業用戶最好自己學會如何調試和管理自己的局域網係統，不要經常請別人來協助管理。

5、企業用戶應該注意，不要在自己的係統之內使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切，如Windows下的"keylog"程序，還有些程序能將擊鍵字母記錄到根目錄下的某一特定文件中，而這一文件可以用文本編輯器來查看。密碼就是這樣被泄露出去的，偷盜者隻要在根目錄下看看就可以了，根本無需任何專業知識！

6、企業的網管人員不應該在網上的任何場合下隨意透露自己企業的任何安全信息。網管人員在網上經常需要與別人進行交流溝通，不過他們應該注意在真正了解網上朋友之前，將交流限製在郵件、網上聊天或公共交流區。不要輕信任何人，如他們的姓名、性別、職業、住址和其他信息。統計表明多數網上聊天參加者很少使用真實身份。小心確認向陌生人透露何種個人信息和透露多少。不要隨意在站點的來客登記簿上登錄，這可能會導致收到垃圾郵件。

7、內部網絡係統的密碼要定期修改。由於許多黑客利用窮舉法來破解密碼，像John這一類的密碼破解程序可從因特網上免費下載，隻要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行，就可以獲得需要的帳號及密碼，因此，經常修改密碼對付這種盜用就顯得十分奏效。當然，設定密碼也有很深的學問，隻有隨意性強、有足夠的長度並及時更新的密碼才能算是比較安全的密碼。

8、盡量減少企業資源暴露在外部網上的機會和次數，減少黑客進攻的機會。

9、盡量不要啟動係統資源共享功能。因為共享就意味著允許別人下載文件。當硬盤或文件夾圖標下有一隻手托著時，表明啟動了共享功能，選中該圖標，選擇"文件"選單下的"共享"，再選"不共享"，這隻手就消失了。

10、要經常使用殺毒軟件來維護局域網係統不受病毒攻擊。現在國內的殺毒軟件都推出了清除某些特洛伊木馬的功能，如KV300、KILL98、瑞星等等，可以不定期地在脫機的情況下進行檢查和清除。另外，有的殺毒軟件還提供網絡實時監控功能，這一功能可以在黑客從遠端執行用戶機器上的文件時，提供報警或讓執行失敗，使黑客向用戶機器上載可執行文件後無法正確執行，從而避免了進一步的損失。

11、將網絡的TCP起時限製在15分鍾以內，減少黑客入侵的機會。並擴大連接表，增加黑客填寫整個連接表的難度。

12、同其它企業進行聯合，共同抵製黑客的入侵，一旦被入侵要及時向有關部門彙報，並共同查找入侵來源，鎖定黑客IP地址。