防護內網安全的措施

　　限制VPN的訪問

　　虛擬專用網(VPN) 用戶的訪問對內網的安全造成了巨大的威脅。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。所以它們將弱化的桌面操作系統置于企業防火墻的防護之外。很明顯VPN用戶是可以訪問企業內網的，很明顯VPN其實是對內網安全造成威脅的。

　　因此要避免給每一位VPN用戶訪問內網的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別，即只需賦予他們所需要的訪問權限級別即可，如訪問郵件服務器或其他可選擇的網絡資源的權限。

　　為網站建立內網型的邊界防護

　　很多企業都會有網絡上的合作伙伴，例如合作的媒體或者是合作的廠商等，雖然安全管理員雖然知道怎樣利用實際技術來完固防火墻，保護MS-SQL，但是Slammer蠕蟲仍能侵入內網，這就是因為企業給了他們的合作伙伴進入內部資源的訪問權限。

　　既然不能控制合作者的網絡安全策略和活動，那么就應該為每一個合作企業創建一個DMZ，并將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問，建立合作專區還是非常必要的。

　　關掉無用的網絡服務器

　　大型企業一般在采購上由于人為原因重復性選擇或者是不合理選擇經常會出現，因此難免有一家企業上跑著四五臺郵件服務器的情況，而實際的情況是兩臺機器即可完全解決。

　　這些主機中很可能有潛在的郵件服務器的攻擊點。因此要逐個中斷網絡服務器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件服務器在運行但是又不具有文件服務器作用的，關掉該文件的共享協議。

　　創建虛擬邊界防護

　　主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。于是必須解決企業網絡的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的 R&D.因此要實現公司R&D與市場之間的訪問權限控制。大家都知道怎樣建立互聯網與內網之間的邊界防火墻防護，現在也應該意識到建立網上不同商業用戶群之間的邊界防護。

　　身份認證設定訪問等級

　　采用雙因素身份認證的方式，可以達到高強度的安全保護，身份認證可以通過智能卡、一次性口令，或者USB設備的方式進行。當然，啟動前的授權方式必須是可定制的。用戶可以選擇使用密碼或令牌做為授權的方式。真正好的硬盤加密技術，并不是要通過繁瑣的加密步驟來困擾用戶，而是為硬盤本身提供應有的保護。用戶每天都要登錄系統，因此在不影響用戶使用的前提下，簡單的操作和高強度的保護，才能為用戶提供一個安全、便利的環境。當然這基本上是針對文檔加密。

　　數據加密提供基礎安全

　　利用數據加密解決方案可保護筆記本電腦、工作站和服務器等設備的硬盤上所有文件(包括操作系統文件)的安全。即使硬盤被盜，企業依然可放心數據不會被非授權人瀏覽或獲取。雖然黑客可以潛入企業的服務器，但是，也無法對服務器上的數據和信息資產造成破壞，因為這些資產都得到了安全的加密保護。

　　雖然從目前來看，技術是解決安全問題的主要方法，但是從實際的情況來看，合理的安全機制與決策，意識上對安全的重視才是解決安全問題的正途。另外，也許安全問題更多的是來自于內部，僅僅是防范外網遠遠不能解決內部的混亂。