隨著各種漏洞不斷地被曝光，不斷地被黑客利用，不僅為企業(yè)本身帶來了損失，也可能給用戶帶來巨大的損失，比如去年的鬧得沸沸揚揚的DNS漏洞，黑客利用該漏洞可以成功的控制任意一個網(wǎng)站。這個漏洞會造成用戶輸入正確的銀行網(wǎng)址卻很可能登錄到黑客偽造的站點，那么用戶的損失可想而知。

治理漏洞已經成為企業(yè)網(wǎng)絡安全管理中重要的一環(huán)。那么面對眾多的網(wǎng)絡漏洞，怎么才能保障企業(yè)網(wǎng)絡的安全呢？很多企業(yè)都會部署相關的安全解決方案，例如防病毒網(wǎng)關、防火墻、入侵防護系統(tǒng)、VPN、訪問控制、身份認證等，這些安全產品確實可以起到安全防護的作用。

但僅有這些還是不夠的，網(wǎng)絡管理員還需要做好漏洞防護工作，保護好管理員賬戶，只有做到這兩個基本點才能讓我們的網(wǎng)絡更加安全，讓我們的企業(yè)在千瘡百孔的網(wǎng)絡中安全行駛。

主動掃描

想要做好漏洞防護，首先需要知道有哪些漏洞，這樣才能進行修補。所以，漏洞防護的第一項工作就是對現(xiàn)有主機進行掃描，查清有哪些漏洞。現(xiàn)在主流的掃描方式有兩種，一是網(wǎng)絡掃描，即用網(wǎng)絡中的一臺主機對網(wǎng)絡內的全部主機進行掃描，這里要利用一些網(wǎng)絡隱患掃描工具（如RJ-iTop），對網(wǎng)絡內的所有電腦進行掃描，可以發(fā)現(xiàn)這些主機的操作系統(tǒng)的漏洞。

二是主機掃描，也就是把內網(wǎng)上所有主機都安裝掃描工具，然后每臺主機進行掃描。利用我們經常使用殺毒軟件，像卡巴、瑞星、諾頓、360安全衛(wèi)士等，他們都自帶有漏洞掃描工具，通過掃描網(wǎng)絡安全管理員可以非常輕松的找出操作系統(tǒng)中存在的漏洞。

這兩種掃描方式都有自身的不足，第一種方法掃描不夠細致，第二種方法又太過費時費力，所以筆者建議這兩種方法要交替進行，這樣才能得到最全面的漏洞信息。

定期掃描

漏洞可能每天都會出現(xiàn)，想要得到更高的安全性，當然是掃描頻率越高越好，這樣我們可以最早的發(fā)現(xiàn)漏洞。然而我們也都清楚，系統(tǒng)掃描相當?shù)南南到y(tǒng)資源，會對主機以及網(wǎng)絡的性能產生很大的影響，員工的工作效率會受到影響。這里特別要指出的是，不要在工作時間采用網(wǎng)絡掃描，因為這會大大消耗企業(yè)的網(wǎng)絡帶寬，經過測試可以發(fā)現(xiàn)，傳輸同樣大小的文件，開啟網(wǎng)絡掃描要比不開啟多用一倍的時間。

所以在安全和效率間找一個平衡點是非常重要的，對于網(wǎng)絡掃描來說我們建議在夜間進行，這樣不會影響到任何的工作，可以固定為每天凌晨的1-2點來進行。對于主機掃描就相對靈活些，中午的吃飯時間是個不錯的選擇，可以快速進行也不影響員工工作。這樣兩種掃描方式每天各進行一次就可以了，更快的頻率會使系統(tǒng)的負擔加重，造成不必要的麻煩。

漏洞掃描到了，那么趕快安裝漏洞補丁吧。別急，修補前需要做好測試工作。

測試兼容性

相信多數(shù)人都有這樣的習慣，一旦發(fā)現(xiàn)了漏洞，就會馬上下載相關的補丁程序并安裝運行。但是經驗告訴我們，如果這個補丁與你的主機的一個程序有沖突，你的麻煩可就多了。所以在這里提醒大家，我們在打漏洞補丁時，最好還是在幾臺電腦上進行試運行，看看是否和其他軟件有沖突。

雖然例如微軟操作系統(tǒng)及其辦公軟件所公布的補丁在發(fā)布前也會進行一些測試。但是，他們測試的內容很可能不涉及你的企業(yè)所用到的軟件程序。所以為了避免事后后悔，就別怕麻煩，裝補丁前好好測試下兼容性。

漏洞修補完了就萬事大吉了嗎？當然不是，漏洞只是攻擊者的入口，攻擊者想要得到的是網(wǎng)絡管理員的權限，那么管理員的賬戶和密碼就是網(wǎng)絡安全的關鍵，一起來看看有哪些好的方法來保護我們的網(wǎng)絡安全。

檢查是否有隱性帳戶的存在

微軟操作系統(tǒng)是支持多用戶，一個操作系統(tǒng)中，可以有多個用戶。在控制面板的帳戶設置中，就可以查看當前操作系統(tǒng)的所有用戶記錄。然而你是否知道，帳戶記錄是可以隱形的。很多攻擊者在取得管理員帳戶之后通常不會使用這個帳戶進行非法操作，而是利用管理員的權限，創(chuàng)建一個新的用戶名，然后將它隱藏。這樣，控制面板用戶帳戶里就看不到這個帳戶的信息的，攻擊者也就可以肆虐你的網(wǎng)絡了。

那么當我們懷疑電腦被黑的時候，就要先檢查是否有隱型用戶名，并及時將其刪除它。

在圖形界面下，我們是無法看到該隱形帳戶的存在，自然不能對其進行修改刪除。所以想要查看是否有隱形帳戶的存在，只能在DOS狀態(tài)下查看或者利用相關軟件?？矗詈笤谧员碇羞M行修改或刪除。看到這里相信有些用戶可以想到，這個方法也可以讓管理員使用啊。沒錯，把管理員賬戶設置成隱形的既可以防止普通用戶，也能阻止一部分攻擊者，能使我們的網(wǎng)絡更加的安全。

不顯示上次登陸名

不在登陸界面顯示上次登陸的帳戶，這也可以提高管理員賬戶的安全性。由于系統(tǒng)默認是顯示登錄帳戶的，所以我們要對其進行修改。首先，雙擊“我的電腦”，打開“控制面板”，打開“管理工具”，打開“本地安全策略”。其次，在打開的窗口中，選擇“本地策略”，選擇“安全選項”，最后找到“交互式登陸：不顯示上次的用戶名”。這樣在下次登陸電腦時，就不會顯示上次登陸的用戶名，設置完了別忘了試一試哦。

修改管理員帳戶名稱

攻擊者一般都會認為Administrator是管理員帳號，其實我們可以將計就計，把賬戶名改了，把Administrator設為最低權限。對于真正的管理員賬號我們要把名字起的簡單，越普通越好。

不定期的更改密碼策略

作為網(wǎng)絡管理員，我們要不定期的修改密碼，從而避免因為密碼泄露而造成損失。設置密碼更改的頻率不用太高，但時間要不固定，三天一變，一周一變等都可以。雖然會增加一定的工作量，但可以提高密碼的安全性。另外，密碼的復雜程度也很重要，簡單來說就是越復雜越好，字母數(shù)字的組合是必須的，長度最好超過10位。

總結

上面介紹的都是企業(yè)網(wǎng)絡防護的基礎，但也是最容易被忽視的地方?，F(xiàn)在的網(wǎng)絡漏洞、網(wǎng)絡威脅雖多，但并不全是無法阻止的，只要網(wǎng)絡管理員更加的用心更加的細心一些，企業(yè)的網(wǎng)絡安全性也會有很高的提升的。