内部防御措施

　　关于这方面，最常见的错误就是耗费大量时间和精力，采用了各种加密和认证措施来保证在边界以外数据传输过程的安全，却假定网络内部的数据传输过程一定是安全的。实际上，即使是在名义上声称完全值得信赖的网络中，我们也应该利用现有的IT设备进行保护。换句话说，即使是理应值得信赖的网络也应被视为不受信任的，它并不是安全的，只是比起互联网本身之类的安全性稍微好一些。我们应当采取的措施包含了，但不限于以下的方面：

　　· 本地系统连接到网络的时间，登陆过程应该得到保护，毕竟在咖啡馆之类的环境下通过公共无线网络接入互联网的时间是不存在边界安全保护措施的。每台系统必须使用防火墙，关闭不必要的服务，将必要的服务设置在最小权限下，最大限度的减少出现漏洞的可能性。即使你认为没人能够破解本地网络的时间，也应该这么做。

　　· 用户在使用网络内部设备的时间必须进行安全认证。如果黑客控制了网络内的一台系统的话，通常情况下它会是一台包含了网络浏览器、电子邮件和即时通讯工具可以与外部网络沟通的桌面系统，他或她也许就可以利用其来攻击网络中的其他系统。如果访问邮件服务器的时间需要安全认证的话，将它变成病毒传输平台的难度就变得比较大了;如果文件服务器要求安全认证的话，数据信息被盗窃的可能就会下降;如果防火墙设定了安全认证的话，它被重新容许接入互联网的机会就很少了。作为安全认证部分的要求，只有通过了安全认证的系统才会被容许进行远程连接。

　　· 为网络设备提供安全保障和灾难恢复等功能，举例来说象数据完整审查和备份服务器，不应该受到来自外部或者内部的攻击威胁。日志服务器应该只是记录，不广播信息;备份服务器绝不容许其它系统从这里复制数据，并进行删除操作;数据完整审查服务器不应当受到可能导致数据完整审查操作受到影响的系统控制。

　　· 整个内部网络中的信息交流也应该始终是加密的。如果使用者采用了是路由器/防火墙级别的网络使用界面，就应该选择安全超文本传输协议进行加密连接。如果使用者采用了Unix系统下的指定命令行处理程序的话，就应该使用OpenSSH，而不是远程指定命令行处理程序或者其它类型的非加密工具。网络文件的分享应该采用安全指定命令行处理程序文件系统，它包含了功能强大并且经过了同行审查的加密算法，而不要采用没有加密、加密效果非常差或者总是部分加密的网络文件系统或者服务器消息块/通用网络文件系统的分享方式。

　　就象一位拳击手在比赛的时间需要带上护齿器以保证牙齿的安全，而不仅仅是抵御住来自对手的重拳就可以成功一样，你应该确保的是整个网络由内而外的全面安全，利用现有的IT设备防范来自渗透或绕过边界让人意想不到的安全威胁。