最重要的应该是员工的安全意识。

这么做：

1. 设立专门的信息技术管理机构、落实信息管理人员的责任

（1）成立专门负责计算机、服务器及网络等设备的管理机构，明确各信息管理人员岗位分工和岗位职责，制定相应规章制度。

（2）加强对机房的监管，严格按照机房巡检要求，认真做好机房巡查工作，及时处理出现的故障，保障机房安全稳定运行。

2. 加强网络安全教育

定期在企业开展计算机网络知识、计算机应用及网络安全的宣传教育活动。普及相关知识，提高企业人员的计算机应用水平，及网络安全保密意识。

1、企业员工内部安全知识

2、企业应该加强网络安全、信息安全的意识

3、企业员工和内部人员时不时进行安全知识、安全意识的加强

4、企业的网站、资产等，可进行加强安全设备来防范。

5、可以请安全公司的人员来进行公司的内部安全、测试漏洞等进行防范

6、一切终归与网络安全意识，只有多了解，多防范，这是公司发展中不可或缺的一步。

最重要还是意识和细节吧，假如说企业员工的账户密码弱口令，不小心被爆破出来，进去了系统那就有风险了，往往好多企业只注重前台的安全，后台防护措施不怎么样，那么一个弱口令就能直接被穿了。

企业的操作系统安全：

公司内部大多都是内网系统也以Win7为主，会存在很多的漏洞，网络对外不通或者害怕更新补丁引起业务系统不可用而导致使用者拒绝去及时更新系统漏洞补丁。

只要有一台主机被攻击，攻击者把它当作跳板可以很容易的在内网里漫游。

所以要有专门的人员去负责维护系统Windows平台特别是Windows XP的漏洞防护工作，势必要时刻监测漏洞的产生并进行快速响应。 

（一）提高企业人员的网络安全意识，企业内部应该定期开展计算机安全知识、网络信息安全知识普及宣传活动。

（二）使用硬件/软件安全设备对企业资产进行防护，提高企业资产的安全性。

（三）定期开展企业内部的渗透测试，针对重点资产进行漏洞测试，防范不法网络攻击。

（四）明晰运维管理人员的职责，制定相关制度，成立管理机构对负责企业内部计算机、信息资产的保护。

（五）使用漏洞监控设备，实时监控企业资产安全，一旦发现有不法攻击，及时上报处理。

1.增强公司员工安全意识,账号不外泄,链接(邮件)不乱点

2.对外网访问的服务器架设硬件和软件防火墙,内网也一样最好架一个VPN,且所有员工用户权限设为访问

3.当出现应急事故时,处理应急事件的速度,并且对此次事故进行分析,避免下次再出现类似情况

4.当网上出现在野0day或1day时,及时修补,避免漏洞被不法份子利用

5.对公司用户账号进行登记,并定期检查是否存在可疑账号

6.上SRC,让白帽子去挖掘漏洞,并给予奖金

企业内部的安全意识，一要设置专门的管理人员，对企业漏洞防护进行查缺补漏，要明确相关责任人。二要对员工进行网络安全意识的相关培训，最好是放到入职培训中。

一、管理的规范化。我们需要制定详细的网络安全管理规范制度，要求所有员工必须遵守。对不同管理人员的权限、角色要求都不尽相同，为了保证安全管理，避免内部管理中出现安全问题，建议作如下要求：严格划分管理人员的角色及其对应的权限，避免一权独揽，引起安全隐患。

二、安装杀毒软件并加强网络安全教育。杀毒软件能有效地阻止病毒在企业网络内部中传播。

三、使用复杂的强密码。

四、定期网络安全漏洞扫描并更新补丁。

五、最小授权原则。最小特权原则可以说是系统安全中最基本的原则之一。

六、做好数据备份与恢复。数据备份是容灾的基础。

基础设施的防护，理清资产数量，重视弱口令问题，定期巡查，打补丁等，关注最新公布的漏洞，和对己方资产是否有使用爆出漏洞的系统。

纵深防御考虑，从个人经验来看，梳理对外网的暴露面最为重要。

1. 对外暴露的资产（ip、域名）覆盖（资产管理系统）
2. 对外新增资产的监控（早发现、早测试、早修复）
3. 往往被入侵的是未知资产或者是误操作导致的临时对外开放的资产