如何保障局域網(wǎng)內共享文件安全性？

在企業(yè)的網(wǎng)絡中，最常用的功能莫過于“共享文件”了。財務部門需要當月員工的考勤信息，人事部門可能不會親自拿過去，而是在網(wǎng)絡上共享；生產部門的生產報表也不會用書面的資料分發(fā)，而是放在網(wǎng)絡的共享文件夾下，誰需要的話，就自己去查看就可以了，等等。類似的需求還有很多。\x0d\x0a可見，共享文件的功能，提高了企業(yè)辦公的效率，使企業(yè)局域網(wǎng)應用中的一個不可缺的功能。但是，由于共享文件夾管理不當，往往也給企業(yè)帶來了一些安全上的風險。如某些共享文件莫名其妙的被刪除或者修改；有些對于企業(yè)來說數(shù)據(jù)保密的內容在網(wǎng)絡上被共享，所有員工都可以訪問；共享文件成為病毒、木馬等傳播的最好載體，等等。\x0d\x0a一、實時查看誰在訪問我的共享文件\x0d\x0a第二步：依次選擇“系統(tǒng)工具”、共享文件夾、打開文件，此時，在窗口中就會顯示本機上的一些共享資源，被哪些電腦在訪問。同時，在這個窗口中還會顯示一些有用的信息，如其打開了哪一個共享文件；是什么時候開始訪問的；已經閑置了多少時間。也就是所，只要其打開了某個共享文件夾，即使其沒有打開共享文件，也會在這里顯示。\x0d\x0a另外，我們有時候可能出于某些目的，如員工可能認為不能讓這個人訪問這個文件。此時，我們就可以直接右鍵點擊這個會話，然后從快捷菜單中選擇關閉會話，我們就可以阻止這個用戶訪問這個共享文件，而不會影響其他用戶的正常訪問。\x0d\x0a二、設置共享文件夾時，最好把文件與文件夾設置為只讀\x0d\x0a在大部分時候，用戶都只需要查看或者復制這個共享文件即可，而往往不會在共享文件夾上進行直接修改。但是，有些員工為了貪圖方便，就直接以可讀寫的方式共享某個文件夾以及文件。這是非常危險的。\x0d\x0a一方面，這些不受限制的共享文件家與共享文件成為了病毒傳播的載體。筆者在工作中發(fā)現(xiàn)，有些用戶在共享文件的時候，沒有權限限制。一段時間后，再去看這個共享文件，發(fā)現(xiàn)有些共享文件或者共享文件夾中有病毒或者木馬的蹤影。原來由于這個共享文件夾有寫的權限，所以，其他用戶如何打開這個文件，恰巧這臺電腦中有病毒或者木馬的碰衡大話，就會傳染給這個共享文件夾。從而讓其他訪問這個共享文件夾的電腦也中招?？梢?，沒有保護措施的共享文件夾以及里面的共享文件，已經成為了病毒傳播的一個很好的載體。\x0d\x0a另一方面，當數(shù)據(jù)非法更改時，很難發(fā)現(xiàn)是誰在惡作劇。雖然可以通過相關的日志信息可以查詢到有哪些人訪問過這個共享文件，以及是否進行了更改的動作。但是，光憑這些信息的話，是笑豎不能夠知道這個用戶對這個共享文件夾作了哪些更改。有時候，我們打開一個共享文件，會不小心的按了一個空格鍵或者一個字符鍵，不小心的把某個字覆蓋了，等等。這些情況在實際工作中經常會遇到。有時候，即使找到了責任人，他也不知道到底修改了哪些內容。所以，當把共享文件設置為可寫的話，則很難防止員工有意或者無意的更改。\x0d\x0a第三，若以可寫的方式共享文件的話，可能無法保證數(shù)據(jù)的統(tǒng)一。如人事部門以可讀寫的方式共享了一個考勤文件。此時，若財務部門修改了這個文件，而人事部門并不知道。因為財務人員可能忘記告訴了人事部門，此時，就會導致兩個部門之間的數(shù)據(jù)不一致，從而可能會造成一些不必要的麻煩。而且，由于沒有相關的證據(jù)，到時候誰對誰錯，大家都說不清楚。\x0d\x0a為了解決這些問題，筆者建議企業(yè)用戶，在共享文件夾的時候，最好把文件夾的權限設置為只讀。若這個共享文件夾有時候其他用戶需要往這個文件夾中存文件，不能設置攔羨為只讀。那我們也可以把共享文件夾中的文件設置為只讀。如此的話，由于文件夾為只讀的，則病毒、木馬也就不能夠感染這些文件夾，從而避免成為散播病毒的污染源；而且，也可以防止用戶未經授權的更改，從而導致數(shù)據(jù)的不統(tǒng)一等等。\x0d\x0a三、建立文件共享服務器，統(tǒng)一管理共享文件的訪問權限\x0d\x0a另外，若把企業(yè)的共享文件分散在各個用戶終端管理的話，有一個問題，就是用戶對于共享操作的熟悉程度不同或者安全觀念有差異，所以，很難從部署一個統(tǒng)一的文件共享安全策略。如分散在用戶主機的共享文件，員工一般不會定期對其進行備份，以防止因為意外損害而進行及時恢復；一般也不會設置具體的訪問權限，如只允許一些特定的員工訪問等等。因為這些操作的話，一方面可能需要一些專業(yè)知識，另一方面，設置企業(yè)也比較繁瑣。所以，即使我們出了相關的制度，但是，員工一般很難遵守。\x0d\x0a所以，筆者建議，在一些有條件的企業(yè)，部署一個文件共享服務器，來統(tǒng)一管理共享文件。采取這種策略的話，有如下好處。\x0d\x0a一是可以定時的對共享文件進行備份，從而減少因為意外修改或者刪除而導致的損失。若能夠把共享文件夾都放在文件服務器上，則我們就可以定時的對文件服務器上的文件進行備份。如此的話，即使因為權限設置不合理，導致文件被意外修改或者刪除；有時會，員工自己也會在不經意中刪除不該刪的文件，遇到這種情況的時候，則我們可以通過文件恢復作業(yè)，把原有的文件恢復過來，從而減少這些不必要的損失。\x0d\x0a二是可以統(tǒng)一制定文件訪問權限策略。在共享文件服務器上，我們可以根據(jù)各個員工的需求，在文件服務中預先設置一些文件夾，并設置好具體的權限。如此的話，放到共享文件服務器中的文件就自動繼承了文件服務器文件夾的訪問權限，從而實現(xiàn)統(tǒng)一管理文件訪問權限的目的。如對于一些全公司都可以訪問的行政通知類文件，我們可以為此設立一個通知類文件夾，這個文件夾只有行政人員具有讀寫權限，而其他職工都只有只讀權限。如此的話，其他員工就不能夠對這些通知進行更改或者刪除。所以，對共享文件夾進行統(tǒng)一的管理，可以省去用戶每次設置權限的麻煩，從而提高共享文件的安全性。\x0d\x0a三是可以統(tǒng)一進行防毒管理。對于共享文件來說，我們除了要關心其數(shù)據(jù)是否為泄露或者非法訪問外，另外一個問題就是共享文件是否會被病毒感染。病毒或者木馬是危害企業(yè)網(wǎng)絡安全的第一把殺手，而共享文件又是其很好的載體。若能夠有效的解決共享文件的病毒木馬感染問題，必定可以有效的抑制病毒或者木馬在企業(yè)網(wǎng)絡中為非作歹。而我們若能夠在企業(yè)中統(tǒng)一部署文件服務器，則我們就可以利用下班的空閑時間，對文件服務器上的共享文件統(tǒng)一進行殺毒，以保證共享文件服務器上的文件都是干凈的，沒有被木馬或者病毒所感染，從而避免其成為病毒或者木馬的有效載體。\x0d\x0a綜上所述，共享文件夾以及共享文件的安全性問題，是企業(yè)網(wǎng)絡安全管理中的一個比較薄弱的環(huán)節(jié)，但是，又是一個十分重要的環(huán)節(jié)。筆者相信，做好這件工作，必定可以提高企業(yè)網(wǎng)絡的利用價值，減少網(wǎng)絡安全事故。

創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務，包含不限于成都網(wǎng)站設計、網(wǎng)站制作、大方網(wǎng)絡推廣、微信平臺小程序開發(fā)、大方網(wǎng)絡營銷、大方企業(yè)策劃、大方品牌公關、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務，您的肯定，是我們最大的嘉獎；創(chuàng)新互聯(lián)公司為所有大學生創(chuàng)業(yè)者提供大方建站搭建服務，24小時服務熱線：18980820575，官方網(wǎng)址：www.cdcxhl.com

如何保護內網(wǎng)安全

唯昌內網(wǎng)是網(wǎng)絡應用中的一個主要組成部分，其安全性也受到越來越多的重視。今天就給大家腦補一下內網(wǎng)安全的保護方法。

對于大多數(shù)企業(yè)局域網(wǎng)來說，路由器已經成為正在使用之中的最重要的安全設備之一。一般來說，大多數(shù)網(wǎng)絡都有一個主要的接入點。這就是通常與專用防火墻一起使用的“邊界路由器”。

經過恰當?shù)脑O置，邊緣路由器能夠把幾乎所有的最頑固的壞分子擋在網(wǎng)絡之外。如果你愿意的話，這種路由器還能夠讓好人進入網(wǎng)絡。不過，沒有恰當設置的路由器只是比根本就沒有安全措施稍微好一點。

在下列指南中，我們將研究一下你可以用來保護網(wǎng)絡安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護你的網(wǎng)絡的磚墻，而不是一個敞開的大門。

1.修改默認的口令!

據(jù)國外調查顯示，80%的安全突破事件是由薄弱的口令引起的。網(wǎng)絡上有大多數(shù)路由器的廣泛的默認口令列表。你可以肯定在某些地方的某個人會知道你的生日。SecurityStats點抗 網(wǎng)站維護一個詳盡的可用/不可用口令列表，以及一個口令的可靠性測試。

2.關閉IP直接廣播(IP Directed Broadcast)

你的服務器是很聽話的。讓它做什么它就做什么，而且不管是誰發(fā)出的指令。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網(wǎng)絡廣播地址發(fā)送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應。這種情況至少會降低你的網(wǎng)絡性能。

參考你的路由器信息文件，了解如何關閉IP直接廣播。例如指迅扒，“Central(config)#no ip source-route”這個指令將關閉思科路由器的IP直接廣播地址。

3.如果可能，關閉路由器的HTTP設置

正如思科的技術說明中簡要說明的那樣，HTTP使用的身份識別協(xié)議相當于向整個網(wǎng)絡發(fā)送一個未加密的口令。然而，遺憾的是，HTTP協(xié)議中沒有一個用于驗證口令或者一次性口令的有效規(guī)定。

雖然這種未加密的口令對于你從遠程位置(例如家里)設置你的路由器也許是非常方便的，但是，你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認的口令!如果你必須遠程管理路由器，你一定要確保使用SNMPv3以上版本的協(xié)議，因為它支持更嚴格的口令。

4.封鎖ICMP ping請求

ping的主要目的是識別目前正在使用的主機。因此，ping通常用于更大規(guī)模的協(xié)同性攻擊之前的偵察活動。通過取消昌悶遠程用戶接收ping請求的應答能力，你就更容易避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的'目標的“腳本小子”(script kiddies)。

請注意，這樣做實際上并不能保護你的網(wǎng)絡不受攻擊，但是，這將使你不太可能成為一個攻擊目標。

5.關閉IP源路由

IP協(xié)議允許一臺主機指定數(shù)據(jù)包通過你的網(wǎng)絡的路由，而不是允許網(wǎng)絡組件確定最佳的路徑。這個功能的合法的應用是用于診斷連接故障。但是，這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網(wǎng)絡進行鏡像，或者用于攻擊者在你的專用網(wǎng)絡中尋找一個后門。除非指定這項功能只能用于診斷故障，否則應該關閉這個功能。

6.確定你的數(shù)據(jù)包過濾的需求

封鎖端口有兩項理由。其中之一根據(jù)你對安全水平的要求對于你的網(wǎng)絡是合適的。

對于高度安全的網(wǎng)絡來說，特別是在存儲或者保持秘密數(shù)據(jù)的時候，通常要求經過允許才可以過濾。在這種規(guī)定中，除了網(wǎng)路功能需要的之外，所有的端口和IP地址都必要要封鎖。例如，用于web通信的端口80和用于SMTP的110/25端口允許來自指定地址的訪問，而所有其它端口和地址都可以關閉。

大多數(shù)網(wǎng)絡將通過使用“按拒絕請求實施過濾”的方案享受可以接受的安全水平。當使用這種過濾政策時，可以封鎖你的網(wǎng)絡沒有使用的端口和特洛伊木馬或者偵查活動常用的端口來增強你的網(wǎng)絡的安全性。例如，封鎖139端口和445(TCP和UDP)端口將使黑客更難對你的網(wǎng)絡實施窮舉攻擊。封鎖31337(TCP和UDP)端口將使Back Orifice木馬程序更難攻擊你的網(wǎng)絡。

這項工作應該在網(wǎng)絡規(guī)劃階段確定，這時候安全水平的要求應該符合網(wǎng)絡用戶的需求。查看這些端口的列表，了解這些端口正常的用途。

7.建立準許進入和外出的地址過濾政策

在你的邊界路由器上建立政策以便根據(jù)IP地址過濾進出網(wǎng)絡的違反安全規(guī)定的行為。除了特殊的不同尋常的案例之外，所有試圖從你的網(wǎng)絡內部訪問互聯(lián)網(wǎng)的IP地址都應該有一個分配給你的局域網(wǎng)的地址。例如，192.168.0.1 這個地址也許通過這個路由器訪問互聯(lián)網(wǎng)是合法的。但是，216.239.55.99這個地址很可能是欺騙性的，并且是一場攻擊的一部分。

相反，來自互聯(lián)網(wǎng)外部的通信的源地址應該不是你的內部網(wǎng)絡的一部分。因此，應該封鎖入網(wǎng)的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最后，擁有源地址的通信或者保留的和無法路由的目標地址的所有的通信都應該允許通過這臺路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。

8.保持路由器的物理安全

從網(wǎng)絡嗅探的角度看，路由器比集線器更安全。這是因為路由器根據(jù)IP地址智能化地路由數(shù)據(jù)包，而集線器相所有的節(jié)點播出數(shù)據(jù)。如果連接到那臺集線器的一個系統(tǒng)將其網(wǎng)絡適配器置于混亂的模式，它們就能夠接收和看到所有的廣播，包括口令、POP3通信和Web通信。

然后，重要的是確保物理訪問你的網(wǎng)絡設備是安全的，以防止未經允許的筆記本電腦等嗅探設備放在你的本地子網(wǎng)中。

9.花時間審閱安全記錄

審閱你的路由器記錄(通過其內置的防火墻功能)是查出安全事件的最有效的方法，無論是查出正在實施的攻擊還是未來攻擊的征候都非常有效。利用出網(wǎng)的記錄，你還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟件程序。用心的安全管理員在病毒傳播者作出反應之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。

此外，一般來說，路由器位于你的網(wǎng)絡的邊緣，并且允許你看到進出你的網(wǎng)絡全部通信的狀況。

局域網(wǎng)安全有哪些防護措施

應對網(wǎng)絡攻擊我們應該采取這樣的防護 措施 呢?以下我整理的 局域網(wǎng)安全 的防護措施，供大家參考，希望大家能夠有所收獲!

局域網(wǎng)安全的防護措施：

(1)、物理安全

存放位置：將關鍵設備集中存放到一個單獨的機房中，并提供良好的通風、消防

電氣設施條件

人員管理：對進入機房的人員進行嚴格管理，盡可能減少能夠直接接觸物理設備

的人員數(shù)量

硬件冗余：對關鍵硬件提供硬件冗余，如RAID磁盤陣列、熱備份路由、UPS不

間斷電清緩源等

(2)、網(wǎng)絡安全

端口管理：關閉非必要開放的端口，若有可能，網(wǎng)絡服務盡量使用非默認端口，

如遠程桌面連接所使用的3389端口，最好將其更改為其他端口

加密傳輸：盡量使用加密的通信方式傳輸數(shù)據(jù)據(jù)，如HTTPS、，IPsec...，

一般只對TCP協(xié)議的端口加密，UDP端口不加密

入侵檢測：啟用入侵檢測，對所有的訪問請求進行特征識別，及時丟棄或封鎖攻

擊請求，并發(fā)送擊擊警告

(3)、 系統(tǒng)安全

系統(tǒng)/軟件漏巧賀洞：選用正版應用軟件，并及時安裝各種漏洞及修復補丁

賬號/權限管理：對系統(tǒng)賬號設置高強度的復雜密碼，并定期進行更換，對特定

人員開放其所需的最小權限

軟件/服務管理：卸載無關軟件，關閉非必要的系統(tǒng)服務

病毒/木馬防護：統(tǒng)一部答寬模署防病毒軟件，并啟用實時監(jiān)控

(4)、數(shù)據(jù)安全

數(shù)據(jù)加密：對保密性要求較高的數(shù)據(jù)據(jù)進行加密，如可以使用微軟的EFS

(Encrypting File System)來對文件系統(tǒng)進行加密

用戶管理：嚴格控制用戶對關鍵數(shù)據(jù)的訪問，并記錄用戶的訪問日志

數(shù)據(jù)備份：對關鍵數(shù)據(jù)進行備份，制定合理的備份方案，可以將其備份到遠程

服務器、或保存到光盤、磁帶等物理介質中，并保證備份的可用性