結合工(gōng)作經驗，在這裏給企業網管員(yuán)提供一(yī)些保障企業網絡安全的建議，幫助他們用以抵禦網絡入侵、惡意軟件和垃圾郵件。

定義用戶完成相關任務的恰當權限

擁有管理員(yuán)權限的用戶也就擁有執行破壞系統的活動能力，例如：

偶然對系統做出改變，結果降低了網絡安全的總體(tǐ)水平。
受騙上當運行了惡意軟件，後者會利用用戶的管理權限達其不可告人的目的。
使得登錄停息洩漏，造成第三方可以登錄并執行破壞活動。
爲了增強安全性，一(yī)定要保證你的用戶擁有其需要完成任務的恰當權限，并将擁有管理員(yuán)用戶名和口令的用戶數量限制到最少的程度。

僅從可信任的站點下(xià)載文件

許多文件可從互聯網上的多個位置下(xià)載，不過并非所有的位置都是等同的。有一(yī)些站點要比其它的站點更加安全。你需要保證你的用戶隻能從可信的站點下(xià)載，這些站點通常還是其它方面主要的源站點，而不僅僅是文件共享的普通站點。如筆者喜歡的天空軟件站等。還要考慮哪些人需要從web站點下(xià)載文件和應用程序：要考慮限制這種許可，隻能将許可給那些要求下(xià)載文件的可信任用戶，并要保障這些經過選擇的用戶受到相關的培訓，使其知(zhī)道如何安全地下(xià)載文件。

履行網絡共享的審核

大(dà)量的惡意代碼可以通過網絡傳播。這通常是由于網絡中(zhōng)有很少的或根本就缺乏網絡共享的安全措施。你需要清除不必要的共享并保障其它共享的安全，要阻止網絡共享被惡意代碼利用作爲其傳播的工(gōng)具。

控制網絡連接

在計算機連接到一(yī)個網絡時,它們在特定的會話(huà)期間要采用此網絡的安全設置。如果這個網絡是外(wài)部的或不受到管理員(yuán)控制的網絡,其安全設置有可能是不充分(fēn)的并且會将計算機置于風險之中(zhōng)。您需要限制用戶連接到未認證的域或者網絡，在多數情況下(xià)，多數用戶隻需要連接到公司的主要網絡。

改變網絡的默認IP地址範圍

計算機網絡經常使用标準的IP範圍，例如10.1.x.x 或者 192.168.x.x。這種标準化意味着這樣一(yī)種事實：那些配置來霧裏查找這個範圍的計算機可能意外(wài)地連接到不受你控制的網絡上。通過改變默認的IP地址範圍，計算機就不太可能找到一(yī)個類似的範圍。你還可以增加防火(huǒ)牆規則，如添加一(yī)種防範措施，隻允許經過授權的用戶可以連接。

經常審核網絡的開(kāi)放(fàng)端口并阻止未用的端口

端口就像一(yī)座房子中(zhōng)的窗口。如果你長期開(kāi)放(fàng)着一(yī)些端口卻不對其進行審核，也就增加了讓黑客或未授權的用戶進入系統的權利。如果端口開(kāi)放(fàng)着，它們就可被特洛伊木馬和蠕蟲利用來與未授權的第三方（多是惡意的）通信。因此，你一(yī)定要保障所有的端口都定期審核，還要保證所有未用的端口都要加以阻止。

定期審核網絡的進入點

你的網絡可能在不斷地在改變大(dà)小(xiǎo)和增加進入點，因此定期地檢查進入組織内網絡的所有途徑。一(yī)定要當心所有的進入點。你應當考慮如何最充分(fēn)地保障所有途徑的安全，阻止非法的文件和應用程序進入，阻止未檢測的或敏感的信息洩漏出去(qù)。

考慮将企業關鍵的業務系統放(fàng)置到不同的網絡上

在企業的關鍵系統受到影響時，它們可以極大(dà)地延誤業務進程。爲了保護業務的進程，可以考慮将其放(fàng)置到與日常活動所用的網絡不同的網絡上。

在部署之前在一(yī)個虛拟的網絡上測試新的軟件

雖然多數軟件的開(kāi)發人員(yuán)盡量多地測試其軟件，不過其軟件不太可能擁有你的網絡的根本特性和配置。爲了保證一(yī)次新的安裝或更新不會引起任何問題，你最好在一(yī)個虛拟網絡系統進行測試，并在部署到真實的網絡之前檢查其效率。

禁用不用的USB端口

許多設備在連接到一(yī)個USB端口時，會被自動地檢測并裝載爲一(yī)個驅動器。USB端口還可以允許設備自動運行連接到其上的所有軟件。多數用戶并不清楚即使最安全的和多數受信任的設備都有可能将惡意軟件引入到網絡中(zhōng)。爲防止危險的事件發生(shēng)，禁用所有不用的端口是比較安全的措施。