网管员需要留意10点安全技能

核心提示：结合工作经验，在这里笔者给企业网管员提供1些保障企业网络安全的建议，帮助他们用以抵抗网络进侵、恶意软件和垃圾邮件。

结合工作经验，在这里笔者给企业网管员提供1些保障企业网络安全的建议，帮助他们用以抵抗网络进侵、恶意软件和垃圾邮件。

1.定义用户完成相干任务的恰当权限

具有治理员权限的用户也就具有履行破坏系统的活动能力，例如：

• 偶然对系统做出改变，结果下降了网络安全的整体水平。
• 受骗上当运行了恶意软件，后者会利用用户的治理权限达其不可告人的目的。
• 使得登录停息泄漏，造成第3方可以登录并履行破坏活动。

为了增强安全性，1定要保证你的用户具有其需要完成任务的恰当权限，并将具有治理员用户名和口令的用户数目限制到最少的程度。

2.仅从可信任的站点下载文件

很多文件可从互联网上的多个位置下载，不过并非所有的位置都是同等的。有1些站点要比其它的站点更加安全。你需要保证你的用户只能从可信的站点下载，这些站点通常还是其它方面主要的源站点，而不单单是文件共享的普通站点。如笔者喜欢的天空软件站等。还要考虑哪些人需要从web站点下载文件和利用程序：要考虑限制这类许可，只能将许可给那些要求下载文件的可信任用户，并要保障这些经过选择的用户遭到相干的培训，使其知道如何安全地下载文件。

3.实行网络共享的审核

大量的恶意代码可以通过网络传播。这通常是由于网络中有很少的或根本就缺少网络共享的安全措施。你需要清除没必要要的共享并保障其它共享的安全，要禁止网络共享被恶意代码利用作为其传播的工具。

4.控制网络连接

在计算机连接到1个网络时,它们在特定的会话期间要采取此网络的安全设置。假设这个网络是外部的或不遭到治理员控制的网络,其安全设置有多是不充分的并且会将计算机置于风险当中。您需要限制用户连接到未认证的域或网络，在多数情况下，多数用户只需要连接到公司的主要网络。

5.改变网络的默许IP地址范围

计算机网络常常使用标准的IP范围，例如10.1.x.x 或 192.168.x.x。这类标准化意味着这样1种事实：那些配置来雾里查找这个范围的计算机可能意外地连接到不受你控制的网络上。通过改变默许的IP地址范围，计算机就不太可能找到1个类似的范围。你还可以增加防火墙规则，如添加1种防范措施，只答应经过授权的用户可以连接。

6.常常审核网络的开放端口并禁止未用的端口

端口就像1座屋子中的窗口。假设你长时间开放着1些端口却不对其进行审核，也就增加了让黑客或未授权的用户进进系统的权利。假设端口开放着，它们便可被特洛伊木马和蠕虫利用来与未授权的第3方（多是恶意的）通讯。因此，你1定要保障所有的端口都定期审核，还要保证所有未用的端口都要加以禁止。

7.定期审核网络的进进点

你的网络可能在不断地在改变大小和增加进进点，因此定期地检查进进组织内网络的所有途径。1定要当心所有的进进点。你应当考虑如何最充分地保障所有途径的安全，禁止非法的文件和利用程序进进，禁止未检测的或敏感的信息泄漏出往。

8.考虑将企业关键的业务系统放置到不同的网络上

在企业的关键系统遭到影响时，它们可以极大地延误业务进程。为了保护业务的进程，可以考虑将其放置到与平常活动所用的网络不同的网络上。

9.在部署之前在1个虚拟的网络上测试新的软件

固然多数软件的开发职员尽可能多地测试其软件，不过其软件不太可能具有你的网络的根本特性和配置。为了保证1次新的安装或更新不会引发任何题目，你最好在1个虚拟网络系统进行测试，并在部署到真实的网络之前检查其效率。

10.禁用不用的USB端口

很多设备在连接到1个USB端口时，会被自动地检测并装载为1个驱动器。USB端口还可以答应设备自动运行连接到其上的所有软件。多数用户其实不清楚即使最安全的和多数受信任的设备都有可能将恶意软件引进到网络中。为避免危险的事件产生，禁用所有不用的端口是比较安全的措施。

评论加载中... 内容： 评论者： 验证码：