3.网络安全是一种“补充”

　　多数的企业网络建设中都会将有限资金放到网络边界和基础设施上，但是对计算环境尤其是终端安全的资金投入和重视程度不高。这种资金投入的比例严重失调必然会造成“短板效应”。

　　网络安全是一个系统，它不是防火墙，不是入侵检测系统，也不是我们虚拟专用网，当然，也不是哪个网管员根据厂商或者网上的一些资料加固系统范例。

　　我们常说的访问控制列表，它能够基于主机防火墙、文件访问控制为您提供网络层面和文件层面的控制，但它不是一个系统。对于一个真正的网络安全系统，以需要应用特定的威胁防御方法作为技术补充。例如在NTFS文件系统中，如果您针对了用户设置“读取访问权限”，那么这些访问文件的用户真的就不能修改这些文件了吗?答案是否定的。

　　我们设想一下，如果这个用户将可读取的文件存储为副本，那么这个文件的从属权是不是已经丢失了。所以，在文件访问控制列表的基础上增加数字证书或者水印功能，都是对访问控制列表的补充应用。

　　建议

　　如此看来，仅有防火墙和加密显然不够。网络管理员不仅要确保自己运行的软件版本最新、最安全，还要时时关注操作系统的漏洞报告，时时密切关注网络，寻找可疑活动的迹象。此外，他们还要对使用网络的最终用户给出明确的指导，劝他们不要安装没有经过测试的新软件，打开电子邮件的可执行附件，访问文件共享站点、运行对等软件，配置自己的远程访问程序和不安全的无线接入点，等等。