隨著各種漏洞不斷地被曝光，不斷地被黑客利用，不僅為企業(yè)本身帶來(lái)了損失，也可能給用戶帶來(lái)巨大的損失，比如去年的鬧得沸沸揚(yáng)揚(yáng)的DNS漏洞，黑客利用該漏洞可以成功的控制任意一個(gè)網(wǎng)站。這個(gè)漏洞會(huì)造成用戶輸入正確的銀行網(wǎng)址卻很可能登錄到黑客偽造的站點(diǎn)，那么用戶的損失可想而知。

治理漏洞已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全管理中重要的一環(huán)。那么面對(duì)眾多的網(wǎng)絡(luò)漏洞，怎么才能保障企業(yè)網(wǎng)絡(luò)的安全呢？很多企業(yè)都會(huì)部署相關(guān)的安全解決方案，例如防病毒網(wǎng)關(guān)、防火墻、入侵防護(hù)系統(tǒng)、VPN、訪問(wèn)控制、身份認(rèn)證等，這些安全產(chǎn)品確實(shí)可以起到安全防護(hù)的作用。

但僅有這些還是不夠的，網(wǎng)絡(luò)管理員還需要做好漏洞防護(hù)工作，保護(hù)好管理員賬戶，只有做到這兩個(gè)基本點(diǎn)才能讓我們的網(wǎng)絡(luò)更加安全，讓我們的企業(yè)在千瘡百孔的網(wǎng)絡(luò)中安全行駛。

主動(dòng)掃描

想要做好漏洞防護(hù)，首先需要知道有哪些漏洞，這樣才能進(jìn)行修補(bǔ)。所以，漏洞防護(hù)的第一項(xiàng)工作就是對(duì)現(xiàn)有主機(jī)進(jìn)行掃描，查清有哪些漏洞?，F(xiàn)在主流的掃描方式有兩種，一是網(wǎng)絡(luò)掃描，即用網(wǎng)絡(luò)中的一臺(tái)主機(jī)對(duì)網(wǎng)絡(luò)內(nèi)的全部主機(jī)進(jìn)行掃描，這里要利用一些網(wǎng)絡(luò)隱患掃描工具（如RJ-iTop），對(duì)網(wǎng)絡(luò)內(nèi)的所有電腦進(jìn)行掃描，可以發(fā)現(xiàn)這些主機(jī)的操作系統(tǒng)的漏洞。

二是主機(jī)掃描，也就是把內(nèi)網(wǎng)上所有主機(jī)都安裝掃描工具，然后每臺(tái)主機(jī)進(jìn)行掃描。利用我們經(jīng)常使用殺毒軟件，像卡巴、瑞星、諾頓、360安全衛(wèi)士等，他們都自帶有漏洞掃描工具，通過(guò)掃描網(wǎng)絡(luò)安全管理員可以非常輕松的找出操作系統(tǒng)中存在的漏洞。

這兩種掃描方式都有自身的不足，第一種方法掃描不夠細(xì)致，第二種方法又太過(guò)費(fèi)時(shí)費(fèi)力，所以筆者建議這兩種方法要交替進(jìn)行，這樣才能得到最全面的漏洞信息。

定期掃描

漏洞可能每天都會(huì)出現(xiàn)，想要得到更高的安全性，當(dāng)然是掃描頻率越高越好，這樣我們可以最早的發(fā)現(xiàn)漏洞。然而我們也都清楚，系統(tǒng)掃描相當(dāng)?shù)南南到y(tǒng)資源，會(huì)對(duì)主機(jī)以及網(wǎng)絡(luò)的性能產(chǎn)生很大的影響，員工的工作效率會(huì)受到影響。這里特別要指出的是，不要在工作時(shí)間采用網(wǎng)絡(luò)掃描，因?yàn)檫@會(huì)大大消耗企業(yè)的網(wǎng)絡(luò)帶寬，經(jīng)過(guò)測(cè)試可以發(fā)現(xiàn)，傳輸同樣大小的文件，開(kāi)啟網(wǎng)絡(luò)掃描要比不開(kāi)啟多用一倍的時(shí)間。

所以在安全和效率間找一個(gè)平衡點(diǎn)是非常重要的，對(duì)于網(wǎng)絡(luò)掃描來(lái)說(shuō)我們建議在夜間進(jìn)行，這樣不會(huì)影響到任何的工作，可以固定為每天凌晨的1-2點(diǎn)來(lái)進(jìn)行。對(duì)于主機(jī)掃描就相對(duì)靈活些，中午的吃飯時(shí)間是個(gè)不錯(cuò)的選擇，可以快速進(jìn)行也不影響員工工作。這樣兩種掃描方式每天各進(jìn)行一次就可以了，更快的頻率會(huì)使系統(tǒng)的負(fù)擔(dān)加重，造成不必要的麻煩。

漏洞掃描到了，那么趕快安裝漏洞補(bǔ)丁吧。別急，修補(bǔ)前需要做好測(cè)試工作。

測(cè)試兼容性

相信多數(shù)人都有這樣的習(xí)慣，一旦發(fā)現(xiàn)了漏洞，就會(huì)馬上下載相關(guān)的補(bǔ)丁程序并安裝運(yùn)行。但是經(jīng)驗(yàn)告訴我們，如果這個(gè)補(bǔ)丁與你的主機(jī)的一個(gè)程序有沖突，你的麻煩可就多了。所以在這里提醒大家，我們?cè)诖蚵┒囱a(bǔ)丁時(shí)，最好還是在幾臺(tái)電腦上進(jìn)行試運(yùn)行，看看是否和其他軟件有沖突。

雖然例如微軟操作系統(tǒng)及其辦公軟件所公布的補(bǔ)丁在發(fā)布前也會(huì)進(jìn)行一些測(cè)試。但是，他們測(cè)試的內(nèi)容很可能不涉及你的企業(yè)所用到的軟件程序。所以為了避免事后后悔，就別怕麻煩，裝補(bǔ)丁前好好測(cè)試下兼容性。

漏洞修補(bǔ)完了就萬(wàn)事大吉了嗎？當(dāng)然不是，漏洞只是攻擊者的入口，攻擊者想要得到的是網(wǎng)絡(luò)管理員的權(quán)限，那么管理員的賬戶和密碼就是網(wǎng)絡(luò)安全的關(guān)鍵，一起來(lái)看看有哪些好的方法來(lái)保護(hù)我們的網(wǎng)絡(luò)安全。

檢查是否有隱性帳戶的存在

微軟操作系統(tǒng)是支持多用戶，一個(gè)操作系統(tǒng)中，可以有多個(gè)用戶。在控制面板的帳戶設(shè)置中，就可以查看當(dāng)前操作系統(tǒng)的所有用戶記錄。然而你是否知道，帳戶記錄是可以隱形的。很多攻擊者在取得管理員帳戶之后通常不會(huì)使用這個(gè)帳戶進(jìn)行非法操作，而是利用管理員的權(quán)限，創(chuàng)建一個(gè)新的用戶名，然后將它隱藏。這樣，控制面板用戶帳戶里就看不到這個(gè)帳戶的信息的，攻擊者也就可以肆虐你的網(wǎng)絡(luò)了。

那么當(dāng)我們懷疑電腦被黑的時(shí)候，就要先檢查是否有隱型用戶名，并及時(shí)將其刪除它。

在圖形界面下，我們是無(wú)法看到該隱形帳戶的存在，自然不能對(duì)其進(jìn)行修改刪除。所以想要查看是否有隱形帳戶的存在，只能在DOS狀態(tài)下查看或者利用相關(guān)軟件?？矗詈笤谧?cè)表中進(jìn)行修改或刪除?？吹竭@里相信有些用戶可以想到，這個(gè)方法也可以讓管理員使用啊。沒(méi)錯(cuò)，把管理員賬戶設(shè)置成隱形的既可以防止普通用戶，也能阻止一部分攻擊者，能使我們的網(wǎng)絡(luò)更加的安全。

不顯示上次登陸名

不在登陸界面顯示上次登陸的帳戶，這也可以提高管理員賬戶的安全性。由于系統(tǒng)默認(rèn)是顯示登錄帳戶的，所以我們要對(duì)其進(jìn)行修改。首先，雙擊“我的電腦”，打開(kāi)“控制面板”，打開(kāi)“管理工具”，打開(kāi)“本地安全策略”。其次，在打開(kāi)的窗口中，選擇“本地策略”，選擇“安全選項(xiàng)”，最后找到“交互式登陸：不顯示上次的用戶名”。這樣在下次登陸電腦時(shí)，就不會(huì)顯示上次登陸的用戶名，設(shè)置完了別忘了試一試哦。

修改管理員帳戶名稱

攻擊者一般都會(huì)認(rèn)為Administrator是管理員帳號(hào)，其實(shí)我們可以將計(jì)就計(jì)，把賬戶名改了，把Administrator設(shè)為最低權(quán)限。對(duì)于真正的管理員賬號(hào)我們要把名字起的簡(jiǎn)單，越普通越好。

不定期的更改密碼策略

作為網(wǎng)絡(luò)管理員，我們要不定期的修改密碼，從而避免因?yàn)槊艽a泄露而造成損失。設(shè)置密碼更改的頻率不用太高，但時(shí)間要不固定，三天一變，一周一變等都可以。雖然會(huì)增加一定的工作量，但可以提高密碼的安全性。另外，密碼的復(fù)雜程度也很重要，簡(jiǎn)單來(lái)說(shuō)就是越復(fù)雜越好，字母數(shù)字的組合是必須的，長(zhǎng)度最好超過(guò)10位。

總結(jié)

上面介紹的都是企業(yè)網(wǎng)絡(luò)防護(hù)的基礎(chǔ)，但也是最容易被忽視的地方?，F(xiàn)在的網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)威脅雖多，但并不全是無(wú)法阻止的，只要網(wǎng)絡(luò)管理員更加的用心更加的細(xì)心一些，企業(yè)的網(wǎng)絡(luò)安全性也會(huì)有很高的提升的。