核心提示：随着企业信息化管理的普及，网络安全在企业中的作用可以说日益重要。不过可惜的是，很多IT负责人对于内网安全这一块，还只是停留在口号上。对于安全方面的设计存在着种种弊病。笔者在这里做了一些总结，希望对各位提高内网的安全有一定的警示作用。

弊病一：客户端补丁升级依赖于员工的自觉

现在企业中大部分用户采用的都是Windows客户端。而这个客户端的特点就是补丁特别的多，包括IE补丁、Offcie办公软件补丁等等。如果不及时打上补丁的话，则很容易病毒利用，成为其传播的便捷渠道。不过可惜的是，有不少的IT 负责人不重视补丁方面的管理与控制。如有些管理员，纯粹依靠用户的自觉，来进行补丁的管理。如在客户端上通过自动更新服务来对给系统打补丁。采取这个操作是，需要客户端用户的手工操作。如需要进行手工确认是否需要进行补丁升级、升级完成后可能还需要重新启动等等。现实的情况是有些用户认为这么操作比较麻烦，为此都不会自觉的去升级补丁。如此的话，就给内网的安全造成了比必要的安全隐患。

为此笔者建议，对于补丁的管理，最好采取统一的解决方案。如微软有一个补丁管理的工具，可以在服务器上控制强制对客户端系统打补丁。如在下次启动之前给系统自动打补丁等等。这么设计即可以保障内部网络的安全，也可以对用户的不利影响降至到最低。总之笔者认为，最好不要将补丁更新的权利交给用户。大部分用户并不会正确行使这个权力。

弊病二：自签名证书不兼容会惹祸

IE浏览器一直是微软操作系统与服务器的安全重灾区。其中用户的不正确设置是其总要的一个原因。微软为了改善这种情况，在微软的一些产品中，如Exchange中加入了自签名证书。简单的说，就是当企业用户没有采取任何安全措施的话，那么系统就会自动启用自签名证书，以启用一定的安全加密机制，如SSL加密等等。

这种默认的安全措施在一定程度上提高了系统应用的安全性。特别是对于那些没有安全观念的用户来说，能够启动不少的帮助。但是到现在为止，这个自签名证书的作用只限于微软的产品。如企业现在使用的是Exchange的服务器，然后采用IE浏览器去访问这个邮箱的话，没有问题。但是如果采用其他的浏览器去访问的话，就可能会出现不兼容的问题。如浏览器会提示用户系统并不信任这一类的证书。有些管理员为了减少这种麻烦，就索性将自签名证书的功能也禁用掉。这无疑减弱了企业内部网络服务器的安全性。

弊病三：不注重后续的追踪

有不少的企业，在网络设计与组建时，非常关注企业内部网络的安全。如禁用不必要的服务、禁止使用移动设备等等。但是在这方面他们也存在着一定的误区。就是非常重视前期的设计与配置，但是却缺少后续的追踪机制。

如对于文件服务器来说，企业可能有比较安全的权限访问机制等安全措施。但是却缺少访问审核机制。也就是说无法判断这个安全措施是否到位，也无法分析用户是否存在着越权的访问。在这种情况下，可能只有在最后出现问题的时候，才能够发现这方面的不足。笔者建议，在前期做好安全设计与相关的配置固然重要，但是在后续日常工作中也需要最好追踪分析的工作。当发现原有的配置跟不上企业安全的需求时，需要进行及时的调整。如对于文件服务器来说，可以启用审计功能。将用户的未经授权的访问都记录在案。然后对这个数据进行分析，以判断用户可能的攻击行为。