1，弱口令：所謂弱口令就是容易被猜測或重復(fù)的口令，弱口令會對信息安全造成嚴(yán)重安全隱患。不要令測試賬戶擁有的口令強(qiáng)度弱且沒有幾乎沒有有效監(jiān)控。由于弱口令引發(fā)的網(wǎng)絡(luò)安全事件不勝枚舉，就在我們身邊也是時常發(fā)生的。很多人，可能為了懶省事或方便自己，最終也方便了黑客。注意：不要在系統(tǒng)或互聯(lián)網(wǎng)站點(diǎn)，使用重復(fù)相同的安全口令。

2，軟件補(bǔ)丁更新：軟件補(bǔ)丁更新，是提升網(wǎng)絡(luò)安全的一種有效方式之一。因為存在漏洞，當(dāng)然補(bǔ)丁修補(bǔ)后會解決發(fā)現(xiàn)相應(yīng)的漏洞。修補(bǔ)漏洞原則上也是減少信息系統(tǒng)攻擊面。沒有打過安全補(bǔ)丁、過時的、有漏洞的或仍處于默認(rèn)配置狀態(tài)的軟件，會為信息系統(tǒng)帶來嚴(yán)重風(fēng)險。大多數(shù)漏洞都可以通過及時打上安全補(bǔ)丁和測試予以避免。

3，遠(yuǎn)程訪問點(diǎn)：無安全措施或無監(jiān)控的遠(yuǎn)程訪問點(diǎn)，等于為企業(yè)網(wǎng)絡(luò)被隨意訪問打開了一條“捷徑”。有時，最大的隱患是公司前雇員的賬號沒有關(guān)閉。也就是內(nèi)部人員轉(zhuǎn)變成外部人員過程中，授權(quán)沒有及時收回，可能為系統(tǒng)帶來嚴(yán)重風(fēng)險。

4，信息泄漏：信息泄漏使攻擊者可以了解有關(guān)操作系統(tǒng)和應(yīng)用程序的版本、用戶、組、共享以及DNS的信息。使用諸如百度、谷歌、Facebook、校園網(wǎng)、QQ、微信諸如此類工具，可以為攻擊者提供巨量的信息。

5，非必要的服務(wù)：運(yùn)行不必要的服務(wù)（諸如：FTP、DNS、RPC等）的主機(jī)，為攻擊者提供了更大的攻擊面。非必要的服務(wù)或軟件，是我們在測評中強(qiáng)調(diào)的安全風(fēng)險，我們在測評中會訪談形式先問一下，然后再上機(jī)進(jìn)行驗證是否存在非必要多余的服務(wù)或安裝了非必須的軟件。

6，配置不當(dāng)?shù)姆阑饓?/strong>：防火墻規(guī)則可能變得非常復(fù)雜，或許可能引發(fā)彼此互相沖突。常常增加的測試規(guī)則，或緊急情況時打上的補(bǔ)丁后來忘記刪除，從而防火墻規(guī)則可能允許攻擊者訪問DMZ或內(nèi)部網(wǎng)絡(luò)。一個正確合理的配置策略，是有利于保護(hù)網(wǎng)絡(luò)的。反之，則對網(wǎng)絡(luò)是巨大的風(fēng)險。