把安全威胁拒之门外

　　提升信息部门地位

　　由于企业的发展水平所限，很多非IT企业的管理层对信息技术不了解，使得信息部门在企业中的重要性得不到体现，并不能真正介入到企业的管理中，只是作为一种辅助性的部门，或者是后勤部门来看待。这种状况使得信息部门人才寥寥，职能低下，对个别不合理的规定或决策只能委曲求全，对于其他部门一些信息技术方面的违规操作也无可奈何。而这正是我国信息安全水平低下的症结所在。

　　要提高信息安全的水平，保护企业机密，拒绝外来入侵，第一道门槛也是决定性的措施就是——改变传统管理模式，提升信息部门的权限，提高信息技术人员的水平。

　　取缔不必要的出口

　　对于管理来说，越简单越好。简单不但意味着易于管理，节约成本，更容易达到预定的效果。同理，企业的网络拓扑也一样，只有一个出口的局域网与多个出口的局域网相比，管理起来是简单而且有效率的。

　　造成网络多出口的原因很多，比如有些部门可能因为工作需要申请了独立的专线。这些专线甚至不受信息部门的管理，但绝对与企业内部网直接相连，可能给外来病毒和攻击提供了绝好的平台。要最大限度地杜绝外来入侵和主动泄密，把守出口是关键。

　　因此，企业应该尽量取缔不必要的出口。即便不能取缔，也必须纳入信息部门统一管理，以便在必要时把与专线相连的计算机与局域网隔离。

　　摒弃工作组模式

　　摒弃工作组模式，有条件的话使用文件服务器取代传统的网络共享。

　　传统的网络共享模式简单、方便，但不便进行集中控制，容易受到口令攻击，且很难被发现。如果采用文件服务器，可以为重要数据提供更好的保护和备份，受到攻击时也易于发现、追查和切断攻击源。

　　如果没有条件，只能采用网络共享模式的话，要做好账户密码的强度限制，以及定时强制更改密码，加强对员工网络安全培训。而且，信息部门还要定期检查，避免出现低级错误，导致安全漏洞。

　　采用域级组策略

　　内部计算机如果不做好管理，很容易就会让不怀好意的人利用来做泄密工具，风险很大。对于这类问题，可以使用组策略限制客户端只能使用与工作相关的程序，并允许对不同的用户进行单独设置，以适应要求。

　　需要安装其他程序或补丁时，必须通过信息部门审核，并统一下推安装。

　　客户端的系统安装由信息部门专权负责，封锁管理员权限，所有域用户的权限不能具有安装，删除软硬件的功能，包括使用软驱、U盘等可移动存储设备的权限，最好就是只拥有USER权限。这样就可以避免病毒或用户自己安装执行间谍软件，防止源于内部的安全问题。

　　控制客户端

　　安装可控制客户端的网络版杀毒软件和防火墙。由服务器统一管理客户端向外部发送数据的程序许可，使用自定义规则尽量拒绝外来不相关的连接，减少被病毒和木马搜索到的可能。

　　同时，信息部门要定期检查日志记录，找出受到频繁攻击的计算机及其原因，或者建立预警系统，及时阻断可能入侵的行为。

　　启用网络监控

　　大多数的泄密都是属于主动泄密，或者内外串通所致。除了把外来威胁阻挡在门外，最重要的还是让内部威胁主动消除。因此，如果有可能，启用网络监控。

　　企业可以限制一些具有威胁性的通信软件的使用，封堵不必要的端口；还可以限制加密文件的传输；对于网页浏览，建议限制可以访问的网站，这样可以避免用户随意访问网站，给管理带来太大的难度；还可以设立公用机解决各类限制造成的矛盾。同时，应该加强宣传甚至夸大宣传网络监控的作用，让大家知道，所有的网络行为都在控制之中，自己的行为随时都会被记录。

　　在无法做到对网络进行监控的情况下，应避免使用ADSL Modem的路由功能直接上网，可以使用网关来代理，代理服务软件也会有一些简单的过滤设置。要知道，多一重关卡对于入侵就会多一重难度。

　　加强账户管理

　　包括Windows账户、数据库账户等等，避免使用公用账户，尽量做到一人一个账户，责任到个人。员工离职时做好账户的撤销工作，专人负责。

　　强化日志记录

　　强化各类日志记录，为追查攻击源提供必要的信息。

　　避免死角

　　对于许多管理达不到的死角，一定要制定行政纪律加以限制。

　　善待员工

　　企业要善待员工，一身正气体恤下士的企业自然会赢得员工的拥戴，特别是对于各类技术人员，尤其是计算机技术人员。

　　信息安全是一项非常复杂的系统工程，没有严谨的管理制度是绝对不可行的。不要寄希望于其他员工会听从指引，只有从管理上做到滴水不漏，技术和管理相结合，才能真正把绝大多数的安全威胁据于门外。