经济持续低迷还不见底，企业为了节约成本压缩IT预算已成为必然趋势。紧缩的IT预算，使得当初拍板的网络建设规划纷纷流产或者被无限期搁置。遭此变故，企业网络有些步履维艰，而且“目前的金融危机打破了良好的金融秩序，恶意软件制造者正利用我们注意力分散而给予我们重重一击。”此外，在危机浪潮中人心思变企业中的离职或者跳槽人员也越来越多，信息保密面临严峻考验。所有这些使得网络安全问题日益彰显，作为网络管理者，是需要对企业网络重新进行安全评估并制定应对措施的时候了。

　　一、企业网络安全评估

　　1、主要安全威胁来自Internet

　　接入Internet，一方面改善了企业的网络环境，为员工上网的条件得到改善;另一方面也给企业带来更高的风险，特别是一些结构复杂、规划混乱，安全不到位的网络更是如此。低迷经济为病毒流行推波助澜，再加上黑客攻击更加频繁，而企业的设备升级、网络改造、员工培训等措施都跟不上，所以来自 Internet的安全威胁显得咄咄逼人。

　　2、来自“无知”员工的潜在威胁

    在企业中绝大多数是非IT人员，这些人员中相当一部分只能用PC做自己的本职工作，在他们的意识里安全那是IT人员的事情于己无关。由于他们的安全意识、安全技能普遍不高，往往会有意无意地“制造”一些网络安全事故。下面是在很多企业中非常普遍的现象：

    (1).由于员工的防范意识普遍偏低，防毒措施往往不到位，一旦发生病毒感染，往往扩散到全网络，令网络陷于瘫痪状态。特别是部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞，使得木马、病毒传播迅速，影响规模大，导致网络长时间处于带毒运行、反复发作，而维护人员则疲于奔命。

    (2).个别员工私自安装从网络下载安装的软件，这些从网络上下载的软件安装包多数附带各种插件、木马和病毒，并在安装过程中用户不知情的情况下强行安装在办公电脑上，增加了办公电脑大量的资源消耗，导致计算机反应缓慢，甚至被远程控制。

    (3).部分网站网页含有恶意代码，强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等，增加了办公电脑大量的资源消耗，导致计算机反应缓慢。另外，有些员工使用公司计算机上网聊天、听歌、看电影、打游戏，部分员工全天24小时启用P2P软件下载音乐和影视文件，由于flashget、迅雷和BT等软件并发线程多，导致大量带宽被部分员工占用，网络速度缓慢，导致应用软件系统无法正常开展业务，即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身，PC的业务专注性、管控能力不强。

　　3、来自恶意员工的直接威胁

    经济持续低迷，企业减员增效势在必行，因此有一部分人会被裁掉。另外，面对企业的困境也有个别人会跳槽到其他企业。所有这些人员会往往会有意、无意甚至恶意地窃取企业信息，故意破坏企业网络。其中下列行为是非常普遍的：

    (1).出于报复心理，某些离职的员工会将企业的某些机密信息带出去，更有甚者会非法卖给原企业的竞争对手。就笔者所见、所闻，这样的案例非常多。特别是经济低迷时期，来自企业原员工的泄密、窃密犯罪却愈演愈烈。由于企业的制度不完善、安全措施不到位，对于此类犯罪取证非常困难，不少企业只能吃哑巴亏。

    (2).由于经济持续低迷使得市场紧缩，同行业之间的生存竞争更加激烈。这样的大环境造成企业之间的不正当竞争，相互之间收买对方员工窃取机密信息或者挖对方的人才已经非常普遍。在利益的驱动下，个别人员会通过各种手段收集企业的机密信息，然后待价而沽出卖或者作为跳槽的筹码。以笔者了解，几乎超过一般以上的人会通过CD/DVD、U盘、移动硬盘等移动存储设备将企业数据在未经允许的情况下带走。此外，通过电子邮件转移数据也是这些窃密者采用的一条途径。而当前不少企业对信息的保密措施不到位，在这些人员离开公司前并不会对其进行文件和电子文档的审查。

    (3).除了窃密之外，还有个别人会地对企业的网络或者设备进行恶意的破坏。比如恶意修改网络配置造成网络故障，主动感染病毒破坏企业数据，在客户端种马等等。由于不少企业网络规划不够合理，另外，既没有做好防范措施，又善后措施跟不上。有不少离职者还会去访问企业的网络或设备，他们往往能够如愿。

　　4、来自网络管理者的无作为

　　不少企业的网络管理者，更多的时候就象“救火队队长”，出没于网络故障现场。通常的情况是这样的：为给企业中的用户电脑提供正常的标准的工作环境，安装操作系统和应用软件已经耗费了信息管理中心人员一定的精力和时间。同时又难以限制用户安装软件，导致管理人员必须花费其50%以上的精力用于维护用户的PC系统。比如，局域网共享，包括默认共享(无意)，文件共享(有意)，一些病毒比如ARP通过广播四处泛滥，影响到整个片区办公电脑的正常工作。所有这些，让信息维护人员疲于奔命无所作为，更无法集中精力去开发网络系统的深层次功能，提升整个企业网络的性能和价值。

　　二、管理和应对策略

　　上面的评估结果是笔者结合自身企业网络管理的经验，以及与同行交流中的所见、所闻得出的，应该说具有普遍性。而且在当前经济低迷期，企业网络、信息安全问题陡然升级，作为企业的网络管理者应该应该有应对的策略和措施。

　　1、制定并完善制度

光靠技术是不能彻底解决问题的，还需要制定规范、细致的制度。当然，出台制度需要企业老总的支持并由IT负责人牵头制定和实施。因为相关行政与技术关系不大。需要说明的上面所说的制度，主要是企业信息的保密制度和员工IT技术培训制度。另外，制度一定要细化，责任和义务要明晰。

　　2、从技术上有效控制

    因为企业IT预算紧缩，不可能购置硬件通过改造来加强网络安全，所以我们决定通过部署域来提升网络安全。域环境的作用是显而易见的，首先，通过部署统一的安全策略，方便安全集中管理;其次，按照企业要求限定所有机器只能运行必需的应用软件，方便软件集中管理;再次，利用AD可以统一客户端桌面，IE、TCP/IP等设置，方便环境集中管理;最后，以活动目录作为企业基础架构的根本，为公司整体统一管理做基础，而且其它ISA、防病毒服务器、补丁分发服务器、文件服务器等服务都可通过域服务器来实施有效管理。当然，建立域服务器来统一定义客户端机器的安全策略，规范，引导用户安全使用办公电脑。下面是具体的实施措施：

    (1).限制用户权限和实名制

    建立域控制器，并规定所有办公电脑必须加入域，接受域控制器的管理，同时严格控制用户的权限。员工帐号只有标准user权限，不允许信息系统管理员泄露域管理员密码和本地管理员密码。因为，在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中，普通员工只具备标准的power user权限，实际上是对工作环境有效的保护。

    员工的工作PC必须严格遵守OU命名规则，同时实现实名负责制。指定员工对该PC负责，这不但是固定资产管理的要求，也是网络安全管理的要求。对PC实施员工实名负责是至关重要的，一旦发现该员工电脑中毒和在广播病毒包，信息系统管理员能准确定位，迅速做出反应，避免扩大影响。

    (2).限制PC权限

    即使是管理员，使用Administrator权限上网，稍有不慎，便掉入网络陷阱。非授权不得开放管理员密码，否则增加的风险和工作量将由本人承担。所有办公电脑的本地管理员密码由域控制器负责人掌握、设定或变更。

    (3).防火墙上封锁端口

    在防火墙上只开放常用或业务系统需要的端口，如80、25、21、110、443，其它端口一律封锁，有效实施对P2P和BT软件的封锁。公司部分使用证券软件，需要另作过滤。

    (4).信息中心安全

    接入网络的计算机必须接受信息中心的管理。通过在防火墙上设置相关的策略，允许经信息中心核准的某些IP组可以在本机上直接访问 Internet，或某些IP组只能连接局域网的应用服务器，对于不遵守OU命名规则的机器IP和没有经过信息系统管理员授权的机器IP，不允许访问 Internet和Intranet，只能单机使用。

    (5).WSUS服务器

    部署WSUS服务器，统一管理PC的系统更新，这样就该能够实现补丁的安全可靠。另外，对于SQL Server、Exchange的安全更新也由WSUS实现同样管理。WSUS服务器与域服务器相配合，通过组策略设定客户端PC和服务器系统的自动更新服务。

    (6).防病毒服务器

    建立防病毒服务器(比如瑞星、诺顿)，通过防病毒及时更新计算机的病毒库，增强整体的病毒抵御能力，及时消灭网内病毒。

    (7).加强组策略

    检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络，不具备相应安全条件的用户计算机，不允许上网。这样从根本上提高了企业用户计算机的安全性，减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。

    (8).其它措施

    除了上面安全措施之外，还有以下几个方面也不能忽视。数据过滤，在主干设备上做数据过滤，屏蔽掉非办公应用的数据流。远程维护，使用远程管理软件进行远程维护，实现快速的维护响应。入侵检测防御系统，借助于入侵检测防御系统，使得管理员可以根据记录进行统计分析，发现有潜在危险的办公计算机，可以有针对性地进行预防性检查。