提高win7下局域網(wǎng)安全系數(shù)的解決方案

　　在互聯(lián)網(wǎng)更加開(kāi)放的環(huán)境里，人們對(duì)外圍的安全事故已經(jīng)有了一定的安全意識(shí)。企業(yè)愿意付出財(cái)力精力安防自己的“大網(wǎng)絡(luò)”，相對(duì)完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。但是，網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅缺乏必要的安全管理措施，使得企業(yè)的“小網(wǎng)絡(luò)”淪為攻擊目標(biāo)的幾率增大。

　　企業(yè)的小網(wǎng)絡(luò)就是企業(yè)局域網(wǎng)(LAN)，是指在小范圍內(nèi)由服務(wù)器和多臺(tái)電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過(guò)交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)每一臺(tái)電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時(shí)局域網(wǎng)采用的技術(shù)比較簡(jiǎn)單，安全措施較少，這樣給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類(lèi)：

　　欺騙性的軟件使數(shù)據(jù)安全性降低

　　由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開(kāi)放性”，導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡(luò)釣魚(yú)攻擊”，釣魚(yú)工具是通過(guò)大量發(fā)送聲稱來(lái)自于一些知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號(hào)ID、ATM PIN碼或信用卡詳細(xì)信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來(lái)騙取用戶的敏感的數(shù)據(jù)，以往此類(lèi)攻擊的冒名的多是大型或著名的網(wǎng)站，但由于大型網(wǎng)站反應(yīng)比較迅速，而且所提供的安全功能不斷增強(qiáng)，網(wǎng)絡(luò)釣魚(yú)已越來(lái)越多地把目光對(duì)準(zhǔn)了較小的網(wǎng)站。同時(shí)由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識(shí)和手段，因此會(huì)造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。

　　服務(wù)器區(qū)域沒(méi)有進(jìn)行獨(dú)立防護(hù)

　　局域網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù)，其中一臺(tái)電腦感染病毒，并且通過(guò)服務(wù)器進(jìn)行信息傳遞，就會(huì)感染服務(wù)器，這樣局域網(wǎng)中任何一臺(tái)通過(guò)服務(wù)器信息傳遞的電腦，就有可能會(huì)感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對(duì)外來(lái)攻擊，但無(wú)法抵擋來(lái)自局域網(wǎng)內(nèi)部的攻擊。

　　計(jì)算機(jī)病毒及惡意代碼的威脅

　　由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁，或未及時(shí)更新防病毒軟件的病毒庫(kù)而造成計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個(gè)弱點(diǎn)。寄生軟件可以修改磁盤(pán)上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。2007年，兩種軟件的結(jié)合推動(dòng)舊有寄生軟件變種增長(zhǎng)3倍之多。2008年，預(yù)計(jì)犯罪軟件社區(qū)對(duì)寄生軟件的興趣將繼續(xù)增長(zhǎng)，寄生軟件的總量預(yù)計(jì)將增長(zhǎng)20%。

　　局域網(wǎng)用戶安全意識(shí)不強(qiáng)

　　許多用戶使用移動(dòng)存儲(chǔ)設(shè)備來(lái)進(jìn)行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過(guò)必要的安全檢查通過(guò)移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部局域網(wǎng)，同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲(chóng)等病毒的進(jìn)入提供了方便同時(shí)增加了數(shù)據(jù)泄密的可能性。另外一機(jī)兩用甚至多用情況普遍，筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用，許多用戶將在In ternet網(wǎng)上使用過(guò)的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用，造成病毒的傳入和信息的泄密。

　　IP地址沖突

　　局域網(wǎng)用戶在同一個(gè)網(wǎng)段內(nèi)，經(jīng)常造成IP地址沖突，造成部分計(jì)算機(jī)無(wú)法上網(wǎng)。對(duì)于局域網(wǎng)來(lái)講，此類(lèi)IP地址沖突的問(wèn)題會(huì)經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡(luò)管理員必須加以解決。

　　正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨(dú)特的特點(diǎn)，造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。作為企業(yè)網(wǎng)絡(luò)管理而言，必須進(jìn)行有效防范，規(guī)避局域網(wǎng)帶來(lái)的種種風(fēng)險(xiǎn)。對(duì)此，局域網(wǎng)管理軟件運(yùn)營(yíng)商 (http://www.gspvenus.com/)提出了有效的解決方案：

　　共享文件審計(jì)系統(tǒng)：一款專門(mén)用來(lái)監(jiān)視和記錄局域網(wǎng)內(nèi)部用戶訪問(wèn)局域網(wǎng)內(nèi)部服務(wù)器、其他主機(jī)共享資源的內(nèi)網(wǎng)共享文件安全審計(jì)系統(tǒng)。可以詳細(xì)審計(jì)局域網(wǎng)電腦訪問(wèn)服務(wù)器共享資源的情況，包括新建、拷貝、修改、刪除、重命名等操作，也即：某個(gè)電腦訪問(wèn)共享文件后的一切操作、訪問(wèn)日志都被詳細(xì)地記錄下來(lái)，同時(shí)用戶對(duì)共享文件的所有操作記錄都將存儲(chǔ)到服務(wù)器的數(shù)據(jù)庫(kù)中，并可以導(dǎo)出成word、excel等格式，便于提供給相關(guān)人員進(jìn)行審計(jì)。

　　禁止局域網(wǎng)外用戶訪問(wèn)共享資源：集成了對(duì)外來(lái)主機(jī)訪問(wèn)共享資料的自動(dòng)限制功能。私自接入到單位內(nèi)部局域網(wǎng)的外來(lái)電腦，即便各項(xiàng)設(shè)置都正確，也無(wú)法訪問(wèn)共享資源，并且這種限制是全自動(dòng)、無(wú)人值守的情況下完成的，從而有力地保護(hù)了企業(yè)關(guān)鍵數(shù)據(jù)的安全。

　　局域網(wǎng)主機(jī)強(qiáng)制隔離功：集成了對(duì)局域網(wǎng)危險(xiǎn)主機(jī)的強(qiáng)制隔離功能，當(dāng)發(fā)現(xiàn)局域網(wǎng)某些主機(jī)遭遇蠕蟲(chóng)、沖擊波等病毒攻擊時(shí)，會(huì)自動(dòng)將其隔離，被隔離的電腦將中斷對(duì)局域網(wǎng)其他主機(jī)的訪問(wèn)，避免感染其他電腦或服務(wù)器，防止危害整個(gè)局域網(wǎng);同時(shí)，被隔離的電腦也將中斷訪問(wèn)因特網(wǎng)，防止病毒運(yùn)行時(shí)對(duì)帶寬的大肆占用，發(fā)送垃圾數(shù)據(jù)報(bào)文堵塞網(wǎng)絡(luò)的風(fēng)險(xiǎn)!此外，系統(tǒng)通過(guò)集成的警報(bào)工具，可以實(shí)時(shí)偵測(cè)局域網(wǎng)關(guān)鍵服務(wù)器、工作站的運(yùn)行狀況。當(dāng)這些關(guān)鍵服務(wù)器、工作站出現(xiàn)異常時(shí)，警報(bào)工具會(huì)通過(guò)手機(jī)短息、郵件等方式通知網(wǎng)絡(luò)管理員，便于采取緊急修復(fù)、維護(hù)，防止出現(xiàn)關(guān)鍵應(yīng)用中斷而無(wú)人得知和響應(yīng)的狀況，保證關(guān)鍵業(yè)務(wù)的不間斷運(yùn)行。

　　IP-MAC綁定：系統(tǒng)支持對(duì)局域網(wǎng)主機(jī)進(jìn)行IP-MAC綁定，一旦發(fā)現(xiàn)非法主機(jī)，即可以將其隔離網(wǎng)絡(luò)。

　　除此之外，針對(duì)局域網(wǎng)安全還提供安全嗅探主機(jī)掃描、斷開(kāi)主機(jī)公網(wǎng)連接、ARP攻擊、ARP病毒專項(xiàng)檢測(cè)、監(jiān)控局域網(wǎng)內(nèi)混雜模式節(jié)點(diǎn)、檢測(cè)其他非法網(wǎng)管軟件等等功能，真正為企業(yè)的網(wǎng)絡(luò)安全保駕護(hù)航。

　　當(dāng)然，提高企業(yè)員工的安全意識(shí)也是十分必要的，如定期培訓(xùn)，加強(qiáng)規(guī)則制度管理等等。面對(duì)日趨嚴(yán)峻的安全形勢(shì)，從技術(shù)和管理的各個(gè)層面增強(qiáng)“小網(wǎng)絡(luò)”的安全系數(shù)是保證企業(yè)高速發(fā)展的前提。