局域网流量控制（网络管理员网络安全维护要点）-静雅生活网

导读：作为一名网络管理员，须制定详细的网络维护计划，并严格按照计划实施，确保网络的稳定安全、网络通信传输畅通、掌控主干设备的配置情况及配置参数变更情况、备份各个设备的配

　　作为一名网络管理员，须制定详细的网络维护计划，并严格按照计划实施，确保网络的稳定安全、网络通信传输畅通、掌控主干设备的配置情况及配置参数变更情况、备份各个设备的配置文档，对运行关键业务网络的主干设备配备相应的备份设备，对相关网络需要定期清洁，就像人们的住所、汽车一样。如果安全条件差便会留下安全隐患，

　　一、实时检查第三方访问和策略

　　网络管理员和IT工作人员应该有一个正式的系统来审查和删除他们已经发出的第三方访问权限和凭证，但不知道为什么，这其中总会有一些纰漏。一般来说，每年至少需要一次重点检查有哪些第三方服务可以访问你所在的网络或VPN，删除不再活跃的服务器信息，并确保每个活跃的服务器的信息。例如，如果你设置一个临时账户，为访问者提供特殊访问权限，但忘记在访问结束后将其删除，那么便会在系统中留下安全隐患。

　　只要可以，请务必使用最小权限原则。这同样适用于防火墙策略。常常会有管理员出于某种原因添加临时策略，但事后会忘记删除。例如，如果有第三方需要定期远程传输文件，IT部门可能会启动临时FTP服务器并设置策略，让第三方能够通过防火墙远程访问数据。一个月后，不再需要传输文件，但管理员忘记了这件事。六个月后，这个被遗忘的服务器没有被修补，便有可能受到攻击。好消息是，很多防火墙和UTM都具有能够显示用户经常使用的策略以及哪些在长时间内未被使用的功能，这些功能可以帮助管理员快速清除这些过时的隐患。

　　二、适当增加软硬件防火墙设备，并定时检查升级相关设备固件

　　着网络的发展，对于技术方面的掌握也要随之升级。每年一次，针对你使用的网络，确认有什么变动，以及评估当前的硬件和软件安全性是否在线，随着物联网设备的增多，针对端点的安全防御措施也需要增加。随着网络速度的提高，防火墙设备也需要足够的资源来处理增加的网络流量，同时执行原本的安全扫描工作。在不降低网络性能或跳过重要安全服务的前提下，确保网络流量不会超过安全控制范围。

提高全网人员的网络钓鱼防范意识

　　网络钓鱼”并不像其他的病毒或黑客袭击会对用户计算机造成破坏，更多的是利用人心理上的弱点来欺骗用户的敏感数据。其主要欺骗方式如下：

　　1、发送电子邮件，以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。

　　2、建立假冒网上银行、网上证券网站，或者发送假链接，骗取用户账号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。

　　3、利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。

　　网络管理员应该定期进行网络钓鱼培训，并且每年一次进行企业范围内的测试，以确认员工是否具备识别网络钓鱼邮件以及正确响应能力。另外，请考虑增强或改进网络钓鱼培训的方式。例如，能否教会员工识别最新的鱼叉式网络钓鱼攻击?能否识别出虚假的银行登录页面?或者当用户点击恶意链接时，能否立即提供反馈?安全意识到位的员工也是一项安全资产。

　　四、不规则的修补及更改密码并考虑MFA解决方案

　　对于普通台式机和服务器，应当有一个固定的补丁周期。无论是针对有问题的服务器或设备，或是未更新的物联网设备，又或者是旧的操作系统，请至少每年清点一次。检查所有硬件设备上的固件是否保持更新，并随时考虑更换旧服务器、设备等。漏洞和补丁管理软件并不总是能及时反馈出你的服务器或物联网设备问题，而这些设备在企业终端中占据的比例也越来越大。定期检查是确保设备安全的有效方法。