(1)網絡設備和服務
1.合理配置邊防設備,如防火墻。具備基本的訪問過濾功能,在條件允許的情況下使用屏蔽子網結構。默認情況下,防火墻策略拒絕。如果願意安裝入侵檢測系統就更好了。
2.使用具有相關安全技術的路由器。比如很多新路由器都有壹定的抵禦ARP攻擊的能力。
3.善於使用代理服務器(比如反向代理)和web網關(比如壹些檢測xss的軟件)。
4.內部辦公室工作被設計為僅由內部網用戶執行。對於子公司,使用VPN技術。
5.郵件系統應具備防止假郵件和垃圾郵件的基本能力。
6.全網終端機至少應使用可靠的可更新的安全殺毒軟件。
7.如無必要,不要在企業內部配置公共***Wifi。必要時限制公共***Wifi的權限,使用有效密碼,至少使用WPA2的安全設置,有條件的話隱藏SSID。
8.企業內部的通信使用加密,可以防竊聽,防中間人。
(2)安全管理
1.企業制定安全政策,分配責任,雇用背景清楚的安全人員。
2.在企業制度允許的情況下,合理使用強制休假、輪崗等方式。
3.企業中有壹定權限的管理者(如人事部門)應該有合理的分權和最低權限,不能把最高權限集中在壹部分人身上。特殊領導同誌要主動放棄最高權力。
4.進出公司都要仔細檢查。比如離職時,要有人監督他收拾東西走人,避免最後壹刻走後門,及時清賬。使用該證書的企業也將停止其證書。
5.要建立日誌審核制度,有專人對邊防設備記錄的重要信息進行審核。
6.企業建立合理的打卡和門禁制度。作為壹種確定用戶通勤時間的方式,在其下班時間的陌生訪問很可能是攻擊。
7.員工定期清理桌面(不是電腦桌面),確保機密文件不被隨意放置。
8.員工系統使用強密碼,並使用需要密碼的計算機屏幕保護程序。
9.員工使用的電子設備有基本的防盜能力,至少有鎖屏模式,最好有遠程數據擦除,如果有全設備加密就更好了。
10.及時將公司操作系統更新為穩定的安全版本,可以有效對抗新的攻擊。尤其是網絡服務器。
11.設置壹定的監督記錄,比如員工不使用電驢,可能會泄露敏感信息。
12.聘請有資質的單位對員工進行安全培訓,讓員工了解基本的安全知識。
(3)人身安全
1.建築要有壹定的防盜設計,比如人造吊頂的設計,重要的門要有B型以上的鎖。
2.在高度機密的環境下,可以使用電磁屏蔽技術,壹般在機房使用。
3.雇傭必要的安保人員,設置攝像頭。
(4)網絡安全
1.企業的Web服務器很可能被攻擊,所以要配置基本的安全防護軟件,盡量使用適當加固的系統(如果可能,配置Linux而不是Windows,刪除不必要的功能和服務)。
2.企業的Web應用,如果不具備安全開發的能力,應該外包給有資質的企業,尤其是經濟條件正常的企業。避免使用小企業來省錢。
3.如果內網(如內部辦公)有Web服務,應適當與外網分開。
4.隱藏壹些可能泄露服務器軟件類型和版本的信息。
(5)長期安全維護
1.雇傭有明確安全細節的合格的安全人員,或者咨詢外部公司。
2.定期使用缺陷掃描器、端口掃描器等。接受檢查。
3.有條件的企業要配備蜜罐或蜜網。
4.建立安全基準有助於識別未知的安全攻擊。