(3)、一些企业有时会每月或每周印制一份企业内部刊物，来传达企业的经营理论，为企业内部营造一个良好的企业文化环境。在这些内部刊物中有时会刊载一些与企业经营相关的重要信息，但这些企业内部刊物的发行却没有被严格控制，不仅内部员工随意将这些承载有企业重要信息的刊物随意丢放，而且有时会无意流通到企业外部，这也就给黑客多了一个了解企业内部信息的重要途径。

    (4)、一个企业的运作总会与其它的企业或机构进行接触，有时还会在其它机构中留下一些与企业相关的信息。一些企业有时太过随意，在各种第三方机构中留下太多与企业相关的重要信息。但这些第三方机构不可能100%地保证企业留下的这些数据的安全，这也就使得黑客可以通过这些机构间接获得与企业相关的数据。

    (5)、每个企业都有一个记录有雇员家庭地址、家庭联系电话，工作经历，家庭背景等信息的员工花名册，而一些企业有时却无意地将这些信息放到了互联网中，以至于黑客只需要使用搜索引擎就可以轻松地得到这些信息。

    (6)、一些企业内部的物理防范工作做的不到位，有的企业甚至没有物理防范措施，这就给黑客有机会通过物理接触的方式获取需要的信息。

    (7)、企业对员工的网络操作系统没有严格控制，使用一些员工意外地将企业的重要信息放到了网络上，例如博客或论坛中。

    (8)、企业员工对企业或企业中某个领导不满，或离职的员工有意泄漏公司内部信息到网络中。

    以上这个列表中描述的内容只说明了企业存在的一小部分问题，一些企业有时会泄漏出更多的信息，以至于黑客不需要进行进一步的攻击就可以得到他想要的信息。对于被攻击的对象而言，如果将与企业相关的重要信息过多地公布在各种公共场合，那么，当发现攻击事件时就为时以晚，面临的将是损失的大小问题。

    要解决这个问题，企业应当严格控制可以向外公布的信息，规范员工的网络操作和其它工作行为，制定处罚制度。并可以要求一些会保留企业重要信息的第三方机构，例如工商行政管理部门、域名注册机构及网络设备供应商等修改一些与企业相关的机密信息。企业应当严密控制各种会向外公布的信息，例如新闻稿、通知，产品发布会及电子邮件等方式。尽量减少一些重要信息出现在互联网上。只有这样做，才不会给黑客留下太多的有用信息，这也就会提高企业的安全级别。

    但是，这种能保护企业网络安全的方法却不被人们所重视。人们往往将安全防范的目光只专注于黑客进行的剩下的10%的攻击方面，而能防止黑客产生这剩下的百分之十攻击的安全方法却无人关注。这也是为什么企业花费了大量的资金放到购买安全防范设备上，却依然不断被攻击的主要原因所在。

    3、 利用缺省设置

    当一个黑客攻击某个目标网络时，发现目标网络使用的安全设备或网络设备都是以供应商或厂商设定的缺省值在使用时，没有什么攻击会比遇到这种情况更简单的了。现在，有许多攻击工具和利用脚本最先的攻击方式都是假设被攻击目标是以缺省配置方式工作来进行的。因此，一个最有效的但常常被人们遗忘的安全防范措施仅仅只需要修改设备的默认设置。

    如果我们在互联网搜索引擎中以“缺省密码”或“default password”作为关键字来进行搜索，不一会儿，我们就会看到许多网站提供许多安全设备、网络设备、数据库及其它应用程序的缺省值列表。黑客只要了解攻击目标使用的网络设备是什么类型，如果恰巧攻击目标的用户没能修改这些网络设备的缺省值，那么，通过搜索到的缺省值就可以轻松侵入目标网络或系统。而要解决这个问题，只需要用户多一点责任心，在开始使用某个软件或硬件时，先将其默认的缺省值进行相应的修改就可以达到防范此种黑客攻击的目的。

    但是，需要修改的默认值并不仅仅只是缺省的用户名和密码，还应当包括软件默认安全路径、安装文件夹的名称、组件、服务、配置和设置等。每一个可以被用户自己定制的设置项都应该被检测和定制，尽量避免将软件按软件厂商设置的默认安装路径方式安装到指定的位置。一些特别重要的软件在安装时要自己定制其安装文件夹的名称，最好修改一个与原来名称完全不同的文件夹名称。这样就能防止黑客按软件或硬件默认安装或配置来攻击目标网络或系统。

    4、 来自企业内部的黑客攻击

    现在，许多企业仍然将所有的安全防范重点放到了如何防止外部黑客的攻击之上，但实际证明，真正最严重的黑客攻击事件都是来自企业内部。这是由于外部黑客一般没有任何访问企业内部网络的权限，也不可能轻易就能接触到企业网络中的各类设备，而且企业通常都使用了相应的安全防范措施来防止这种方式的黑客攻击。

    但是，一个企业内部员工要想实施某种黑客攻击行为就要比外部黑客攻击来得轻松得多。这是由于企业内部员工都有某种使用企业网络资源的权限，他可以直接利用这种权限做他任何想做的事情。

    对于企业内部黑客攻击来说，也存在两种不同的方式：一种方式就是企业内部员工在利益的驱使之下，或者为了报复自己在企业中的不公平待遇(通常是员工与某个部门或企业领导意见不和，或都认为自己的薪资待遇不公平等原因所致)而发起的黑客攻击行为。也有可能是与外部黑客共同合作，来个里应外合的攻击;另一种方式就是黑客为了能得到某个企业中的重要信息，在由外向内攻击的方式不成功的前提下，他也可能利用此企业招工的机会成为该企业的员工，然后再利用获得的企业内部员工权限来实施下一步的攻击活动。这一幕与电影无间道中的安插在警察队伍中的黑社会卧底一样，只有要机会就会发动攻击。 

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点