防范着力点在何处

　　我们知道网络**好比守护办公大楼或是住房，给门上加一道锁，将不速之客拒之门外，防火墙就是网络上的一把锁，它控制着访问网络的权限，只允许特许用户进出网络。当然，守护大楼不仅仅是给门上锁，网络**也不仅仅是在网络周边设置防火墙，为了*有效地满足网络**需求，还需要其它技术，如用户验证、虚拟专用网和入侵检测。

　　不管是安装防火墙还是入侵检测系统，企业的着眼点往往是放在外部的威胁上，企业网内部的**管理，就常常被忽略了。随着网络技术的演进，整个网络世界已与以前大大不同，不再只是单纯的有线环境，网络控管也变得较为困难。而企业往往习惯于攘外再安内，以往对于企业网络的攻击主要来自于企业外部，所以企业习惯先部署防御外在威胁的**架构，如防火墙、入侵检测系统等;然而现今的网络攻击模式，如间谍软件等，都是先在企业内部网络进行档案破坏或密码解译等动作，更有甚者是在之后再将企业内部信息打包送出，这种攻击模式已经变成一种新的趋势。因此，企业网络**要做得透彻，应该要从连上网络的那一刻便开始注意防范。

　　**应从哪里入手

　　随着可选择的网络连结方式增加，企业网络的发展正逐步摆脱传统的思考模式与过去的约束。现在的企业开始认识到，互联网联机的普遍性所带来的弹性和赋予的能力，必须与完善详尽的**措施达到一个平衡点，以保持企业的优势不受到负面影响。

　　一、要想真正保障企业网络的**，必须从网络规划开始。如果网络规划时就没有考虑到**，后期的**岂不是亡羊补牢，为时已晚?在网络**形势严峻的今天，网络**应该从网络规划开始。为了方便管理，网管还会为企业网络搭建网管平台，其目的是监控网络工作状态，也可以更改网络配置。网管平台方便网管管理网络的同时，也是一种风险，因为网管平

　　台的权限非常大，为此，规划网管平台时，也不要忘记**。网管平台的*大风险，来自登录验证这一块。传统的登录模式是基于用户名和密码的验证，通过嗅探及种植木马的方法，可以非常轻松的套取到用户名和密码，这样，企业网络将再无**可言。为此，建议网管平台使用基于IP+帐号+密码的验证方式，这样*大限度的保障网管平台的**。同时，定期更改网管平台的登录密码，定期检查日志文件，查看有无可疑的登录行为。

　　二、越来越多的员工现在都使用笔记本电脑在家工作，或是出差时在旅馆或机场内工作。不过一个非常重要的环节却可能被忽略：公司网络内部的接入控制。因此在员工直接联机到企业内部网络时，审慎控制接入流程(包括员工的身份认证、检查PC或笔记本电脑的**状态等) 是非常重要的。由此可见，企业控制管理要有三大层面，除了管制使用者能否上网之外，接下来要管制使用者的上网行为，让其符合公司的**规范;*后一个部分则是分层管理，也就是针对使用者取得内部网络使用授权之后的资源管理，像是每个部门都应该受到不同的权限要求与保障。

　　从病毒发展趋势上看，有很多的病毒具有不可预知性，当有病毒攻击时，企业需要有能够缩短病毒响应时间、快速自动升级等一系列必要措施。所以，应对目前的混合式病毒，利用架设在网关处的**产品，在病毒进入企业网络之前就将其拦截在企业大门之外是更加有效的方法。

　　编者按：俗话说病从口入，这句话也同样适用于企业。事实证明，80%以上**威胁是从网关进入到企业内部。如果网关端有防御机制，就可以不让员工接触危险网页、隔离未修补漏洞的计算机等等**机制，企业的网络就可以做到零接触、零感染、零威胁，实现企业网络****步。（完）