當企業(yè)在找出了可能的威脅來源和可能導致的損害以后，制定適當?shù)陌踩呗院捅Ｗo措施就變得比較容易了。企業(yè)可以選擇多種技術(shù)――從殺毒軟件包到專用的網(wǎng)絡安全硬件(例如防火墻和入侵檢測系統(tǒng))，來為網(wǎng)絡的所有部分提供保護。

　　與一個建筑物一樣，網(wǎng)絡也需要多層保護才能真正安全。

　　在確定了這種解決方案以后，就可以部署能夠周期性地檢測網(wǎng)絡中的安全漏洞，提供持續(xù)、主動的安全保護的工具。另外還需要聘請專業(yè)的網(wǎng)絡安全顧問來幫助企業(yè)為網(wǎng)絡設計合適的安全解決方案，或者確?，F(xiàn)有的解決方案的及時和安全。在所有這些選擇都準備好以后，就可以在不嚴重影響用戶對于快速、方便地訪問信息的需求的前提下，實現(xiàn)足夠的保護。

　　十大安全注意事項

　　1. 鼓勵或者要求員工選擇比較復雜的密碼。

　　2. 要求員工每90天更換一次密碼。

　　3. 確保您的殺毒軟件的版本是最新的。

　　4. 讓員工了解電子郵件附件的安全風險。

　　5. 實施一個完整的、全面的網(wǎng)絡安全解決方案。

　　6. 定期評估您的安全狀況。

　　7. 當一個員工離開公司時，立刻取消該員工的網(wǎng)絡訪問權(quán)限。

　　8. 如果您讓員工在家工作，就要為遠程數(shù)據(jù)流量提供一個安全的、集中管理的服務器。

　　9. 定期升級您的Web服務器軟件。

　　10. 不要運行任何不必要的網(wǎng)絡服務。

　　殺毒軟件包

　　大多數(shù)計算機都裝有殺毒軟件，如果該軟件被及時更新并正確維護，它就可以抵御大多數(shù)病毒攻擊。殺毒軟件行業(yè)依靠一個龐大的用戶網(wǎng)絡來提供對新病毒的早期預警，以便迅速地開發(fā)和發(fā)放殺毒程序。由于每個月誕生的新病毒數(shù)以千計，所以保持最新的病毒數(shù)據(jù)庫非常重要。病毒數(shù)據(jù)庫是殺毒軟件包中含有的病毒記錄，它可以用于發(fā)現(xiàn)已知的病毒。著名的殺毒軟件供應商將在它們的網(wǎng)頁上公布最新的殺毒程序，以及用于提醒用戶定期地采集新數(shù)據(jù)的軟件。網(wǎng)絡安全策略應當保證網(wǎng)絡上的所有計算機都都具有最新的病毒數(shù)據(jù)庫，并且最好是由同一個殺毒軟件包提供保護――這有助于最大限度地降低維護和升級成本。定期地升級軟件本身也很重要。病毒的設計者們通常會將通過殺毒軟件包的檢測作為他們的首要目標。

　　安全策略

　　在設置一個網(wǎng)絡時，無論它是一個局域網(wǎng)(LAN)、虛擬LAN(VLAN)還是廣域網(wǎng)(WAN)，在剛開始時設置最基本的安全策略非常重要。安全策略是一些根據(jù)安全需求，以電子化的方式設計和存儲的規(guī)則，用于控制訪問權(quán)限等領(lǐng)域。當然，安全策略也包括一個企業(yè)所執(zhí)行的書面的或者口頭的規(guī)定。另外，企業(yè)必須決定由誰來實施和管理這些策略，以及怎樣通知員工這些規(guī)則。

　　安全策略、設備和多設備管理的作用相當于一個中央安全控制室，安全人員在其中監(jiān)控建筑物或者園區(qū)的安全，進行巡邏或者發(fā)出警報

　　(1) 采用什么策略?

　　所實施的策略應當控制誰可以訪問網(wǎng)絡的哪個部分，以及如何防止未經(jīng)授權(quán)的用戶進入訪問受限的領(lǐng)域。例如，通常只有人力資源部門的成員有權(quán)查看員工的薪資歷史。密碼通?？梢苑乐箚T工進入受限的領(lǐng)域。一些基本的書面策略，例如警告員工不要在工作場所張貼他們的密碼等，通?？梢灶A先防止安全漏洞。可以訪問網(wǎng)絡的某些部分的客戶或者供應商也必須受到策略的適當管理。

　　(2) 誰來實施和管理策略?

　　制定策略和維護網(wǎng)絡及其安全的個人或者群體必須有權(quán)訪問網(wǎng)絡的每個部分。而且，網(wǎng)絡策略管理部門應當獲得極為可靠，擁有所需要的技術(shù)能力的人員。如前所述，大部分網(wǎng)絡安全漏洞都來自于內(nèi)部，所以這個負責人或者群體必須確保其本身不是一個潛在的威脅。一旦被任命，網(wǎng)絡管理人員就可以利用復雜的軟件工具，來幫助他們通過基于瀏覽器的界面，制定、分配、實施和審核安全策略。

　　(3) 您怎樣向員工傳達這些策略?

　　如果相關(guān)各方都不知道和了解規(guī)則，那規(guī)則實際上沒有任何用處。為傳達現(xiàn)有的策略、策略的更改、新的策略以及對于即將到來的病毒或者攻擊的安全警報制定有效的機制是非常重要的。

　　身份識別

　　您的策略一旦確定，就必須采用身份識別方法和技術(shù)來幫助進行準確的身份認證，并驗證用戶和他們的用戶缺陷。

　　訪問控制服務器的作用相當于負責地點安全的準入卡和門衛(wèi)，它可以為流量和用戶提供集中的身份認證、授權(quán)和記帳(AAA)。

　　密碼

　　確保網(wǎng)絡的特定領(lǐng)域都得到了"密碼保護"――只有那些具有專門的密碼的人才能進入――是確保只有那些擁有特定權(quán)限的人才能進入網(wǎng)絡的某個特定領(lǐng)域的最簡單、最常用的方法。在上面提到的物理安全系統(tǒng)中，密碼的作用類似于準入卡。但是，如果用戶沒有保管好他的密碼，最強大的網(wǎng)絡安全基礎設施實際上也是沒有用的。很多用戶選擇用便于記憶的數(shù)字或者單詞來作為自己的密碼，例如生日、電話號碼或者寵物的名字，其他一些用戶則永遠不更改他們的密碼，并且不注意保密。關(guān)于密碼的黃金規(guī)則或者策略是：

　　1. 定期更改密碼

　　2. 盡可能讓密碼不具有任何意思

　　3. 決不要將密碼泄露給任何人，直到離開公司為止

　　將來，一些密碼可能會被生物技術(shù)所取代，這種技術(shù)可以根據(jù)用戶的生理特征來辨別用戶的身份，例如指紋、眼紋或者聲紋。

　　數(shù)字認證

　　數(shù)字認證或者公共密鑰認證是駕駛執(zhí)照和護照的電子式等價物，由制定的認證授權(quán)機構(gòu)(CA)發(fā)布。數(shù)字認證主要用于在通過互聯(lián)網(wǎng)建立加密通道時，例如在虛擬專用網(wǎng)(VPN)中時進行認證。

　　訪問控制

　　在一個用戶通過密碼獲得對網(wǎng)絡的訪問權(quán)限之前，網(wǎng)絡必須判斷該密碼的有效性。訪問控制服務器可以根據(jù)所存儲的用戶簡歷，驗證用戶的身份，判斷該用戶可以訪問哪部分信息。在與之類似的物理安全系統(tǒng)中，訪問控制服務器的作用相當于檢查準入卡的門衛(wèi)。

　　訪問控制列表和防火墻類似于建筑物外墻上的門鎖，只讓經(jīng)過授權(quán)的用戶(擁有鑰匙或者胸牌的用戶)進出。

　　防火墻

　　防火墻是一個部署在網(wǎng)絡基礎設施中的硬件或者軟件解決方案，它可以通過限制對于某些特定的網(wǎng)絡資源的訪問，實施一個企業(yè)的安全策略。在類似的物理安全系統(tǒng)中，防火墻的作用相當于通往建筑物內(nèi)的一個房間的外門上的門鎖――它只允許那些經(jīng)過授權(quán)的用戶，例如那些擁有鑰匙和準入卡的用戶進入。有些版本的防火墻技術(shù)甚至適用于家庭使用。防火墻可以在網(wǎng)絡和外部世界之間創(chuàng)建一個保護層。事實上，防火墻在接入點處復制了網(wǎng)絡，以便它可以在沒有嚴重延遲的情況下接收和發(fā)送經(jīng)過授權(quán)的數(shù)據(jù)。但是，它具有內(nèi)置的過濾器，這些過濾器可以不讓未經(jīng)授權(quán)的或者可能具有危險的數(shù)據(jù)進入實際的系統(tǒng)。它還會把所有嘗試過的入侵記錄下來，提交給網(wǎng)絡管理員。

　　加密

　　加密技術(shù)確保了消息不會被除經(jīng)過授權(quán)的接受者以外的任何人阻截或者讀取。加密通常用于保護那些在某個公共網(wǎng)絡上傳輸?shù)臄?shù)據(jù)，它可以利用先進的數(shù)學算法來"攪亂"消息和它們的附件。目前存在多種加密算法，但是有些算法更為安全。加密提供了維持日益流行的VPN技術(shù)所必須的安全性。VPN是基于公共網(wǎng)絡(例如互聯(lián)網(wǎng))的專用連接或者隧道。它們用于將遠程辦公人員、移動員工、分支機構(gòu)和業(yè)務伙伴連接到企業(yè)網(wǎng)絡，或者互相連接到一起。所有VPN硬件和軟件設備都支持先進的加密技術(shù)，從而可以為它們所傳輸?shù)臄?shù)據(jù)提供最大程度的保護。

　　虛擬專用網(wǎng)(VPN)類似于攜帶著重要的貨物駛向某個指定地點的裝甲車，它們可以確保安全的、保密的傳輸。

　　入侵檢測

　　企業(yè)繼續(xù)部署防火墻，將其作為它們的中央門衛(wèi)，以防止未經(jīng)授權(quán)的用戶進入它們的系統(tǒng)。但是，網(wǎng)絡安全技術(shù)在很多地方類似于物理的安全系統(tǒng)，其中之一就是沒有任何一種技術(shù)可以滿足所有需要――因而一個層次化的防御系統(tǒng)可以帶來最佳的效果。越來越多的企業(yè)開始尋求利用其他的安全技術(shù)來抵御防火墻本身無法消除的風險和漏洞?；诰W(wǎng)絡的入侵檢測系統(tǒng)(IDS)可以提供全天候的網(wǎng)絡監(jiān)控。IDS可以分析網(wǎng)絡中的分組數(shù)據(jù)流，查找未經(jīng)授權(quán)的活動(例如黑客的攻擊)，讓用戶在系統(tǒng)受到危害之前對安全漏洞采取措施。當檢測到未經(jīng)授權(quán)的活動時，IDS可以向管理控制臺發(fā)送警告，其中含有詳細的活動信息，還可以要求其他系統(tǒng)(例如路由器)中斷未經(jīng)授權(quán)的進程。在類似的物理系統(tǒng)中，IDS類似于一個攝像機和移動傳感器;它可以檢測未經(jīng)授權(quán)的或者值得懷疑的活動，并可以與自動執(zhí)行的響應系統(tǒng)(例如守衛(wèi)系統(tǒng))合作阻止該活動。

　　入侵檢測類似于一個監(jiān)控攝像機和移動傳感器，可以檢測活動、發(fā)送警告，采取防御措施。掃描系統(tǒng)類似于一個安全守衛(wèi)，可以在有人闖入之前，檢查和關(guān)閉敞開的門和窗戶。

　　網(wǎng)絡掃描

　　網(wǎng)絡掃描器可以對網(wǎng)絡系統(tǒng)進行詳細的分析，以生成一個網(wǎng)絡資產(chǎn)的電子式庫存列表，并檢測可能會帶來安全危害的漏洞。這種技術(shù)讓網(wǎng)絡管理人員可以在入侵者發(fā)現(xiàn)安全漏洞之前，找到并修補這些安全漏洞。在類似的物理安全系統(tǒng)中，掃描類似于執(zhí)行周期性的建筑物巡邏，以確保門被鎖好，窗戶被關(guān)好。它有助于評估和了解風險，從而讓用戶可以采取糾正措施。