把安全威胁拒之门外(1)

提升信息部门地位

由于企业的发展水平所限，很多非IT企业的管理层对信息技术不了解，使得信息部门在企业中的重要性得不到体现，并不能真正介入到企业的管理中，只是作为一种辅助性的部门，或者是后勤部门来看待。这种状况使得信息部门人才寥寥，职能低下，对个别不合理的规定或决策只能委曲求全，对于其他部门一些信息技术方面的违规操作也无可奈何。而这正是我国信息安全水平低下的症结所在。
要提高信息安全的水平，保护企业机密，拒绝外来入侵，第一道门槛也是决定性的措施就是——改变传统管理模式，提升信息部门的权限，提高信息技术人员的水平。

取缔不必要的出口

对于管理来说，越简单越好。简单不但意味着易于管理，节约成本，更容易达到预定的效果。同理，企业的网络拓扑也一样，只有一个出口的局域网与多个出口的局域网相比，管理起来是简单而且有效率的。
造成网络多出口的原因很多，比如有些部门可能因为工作需要申请了独立的专线。这些专线甚至不受信息部门的管理，但绝对与企业内部网直接相连，可能给外来病毒和攻击提供了绝好的平台。要最大限度地杜绝外来入侵和主动泄密，把守出口是关键。
因此，企业应该尽量取缔不必要的出口。即便不能取缔，也必须纳入信息部门统一管理，以便在必要时把与专线相连的计算机与局域网隔离。

摒弃工作组模式

摒弃工作组模式，有条件的话使用文件服务器取代传统的网络共享。
传统的网络共享模式简单、方便，但不便进行集中控制，容易受到口令攻击，且很难被发现。如果采用文件服务器，可以为重要数据提供更好的保护和备份，受到攻击时也易于发现、追查和切断攻击源。
如果没有条件，只能采用网络共享模式的话，要做好账户密码的强度限制，以及定时强制更改密码，加强对员工网络安全培训。而且，信息部门还要定期检查，避免出现低级错误，导致安全漏洞。

采用域级组策略

内部计算机如果不做好管理，很容易就会让不怀好意的人利用来做泄密工具，风险很大。对于这类问题，可以使用组策略限制客户端只能使用与工作相关的程序，并允许对不同的用户进行单独设置，以适应要求。
需要安装其他程序或补丁时，必须通过信息部门审核，并统一下推安装。
客户端的系统安装由信息部门专权负责，封锁管理员权限，所有域用户的权限不能具有安装，删除软硬件的功能，包括使用软驱、U盘等可移动存储设备的权限，最好就是只拥有USER权限。这样就可以避免病毒或用户自己安装执行间谍软件，防止源于内部的安全问题。