5、關(guān)掉無用的網(wǎng)絡(luò)服務(wù)器

大型企業(yè)網(wǎng)可能同時(shí)支持四到五個(gè)服務(wù)器傳送e-mail，有的企業(yè)網(wǎng)還會(huì)出現(xiàn)幾十個(gè)其他服務(wù)器監(jiān)視SMTP端口的情況。這些主機(jī)中很可能有潛在的郵件服務(wù)器的攻擊點(diǎn)。因此要逐個(gè)中斷網(wǎng)絡(luò)服務(wù)器來進(jìn)行審查。若一個(gè)程序(或程序中的邏輯單元)作為一個(gè)window文件服務(wù)器在運(yùn)行但是又不具有文件服務(wù)器作用的，關(guān)掉該文件的共享協(xié)議。

6、首先保護(hù)重要資源

若一個(gè)內(nèi)網(wǎng)上連了千萬臺(tái)(例如30000臺(tái))機(jī)子，那么要期望保持每一臺(tái)主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實(shí)的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問題。這樣，首先要對(duì)服務(wù)器做效益分析評(píng)估，然后對(duì)內(nèi)網(wǎng)的每一臺(tái)網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器(例如實(shí)時(shí)跟蹤客戶的服務(wù)器)并對(duì)他們進(jìn)行限制管理。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。

7、建立可靠的無線訪問

審查網(wǎng)絡(luò)，為實(shí)現(xiàn)無線訪問建立基礎(chǔ)。排除無意義的無線訪問點(diǎn)，確保無線網(wǎng)絡(luò)訪問的強(qiáng)制性和可利用性，并提供安全的無線訪問接口。將訪問點(diǎn)置于邊界防火墻之外，并允許用戶通過VPN技術(shù)進(jìn)行訪問。

8、建立安全過客訪問

對(duì)于過客不必給予其公開訪問內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實(shí)時(shí)跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網(wǎng)絡(luò)塊。

9、創(chuàng)建虛擬邊界防護(hù)

主機(jī)是被攻擊的主要對(duì)象。與其努力使所有主機(jī)不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機(jī)來攻擊內(nèi)網(wǎng)方面努力。于是必須解決企業(yè)網(wǎng)絡(luò)的使用和在企業(yè)經(jīng)營范圍建立虛擬邊界防護(hù)這個(gè)問題。這樣，如果一個(gè)市場用戶的客戶機(jī)被侵入了，攻擊者也不會(huì)由此而進(jìn)入到公司的R&D。因此要實(shí)現(xiàn)公司R&D與市場之間的訪問權(quán)限控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護(hù)，現(xiàn)在也應(yīng)該意識(shí)到建立網(wǎng)上不同商業(yè)用戶群之間的邊界防護(hù)。

10、可靠的安全決策

網(wǎng)絡(luò)用戶也存在著安全隱患。有的用戶或許對(duì)網(wǎng)絡(luò)安全知識(shí)非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網(wǎng)關(guān)和分組過濾防火墻之間的不同等等，但是他們作為公司的合作者，也是網(wǎng)絡(luò)的使用者。因此企業(yè)網(wǎng)就要讓這些用戶也容易使用，這樣才能引導(dǎo)他們自動(dòng)的響應(yīng)網(wǎng)絡(luò)安全策略。

另外，在技術(shù)上，采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測系統(tǒng)等等措施也不可缺少。