提高win7下局域网安全系数的解决方案

　　在互联网更加开放的环境里，人们对外围的安全事故已经有了一定的安全意识。企业愿意付出财力精力安防自己的“大网络”，相对完善的安全防御体系，防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。但是，网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，使得企业的“小网络”沦为攻击目标的几率增大。

　　企业的小网络就是企业局域网(LAN)，是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，这样给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类：

　　欺骗性的软件使数据安全性降低

　　由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATM PIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据，以往此类攻击的冒名的多是大型或著名的网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因此会造成经常性的信息丢失等现象发生。

　　服务器区域没有进行独立防护

　　局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击。

　　计算机病毒及恶意代码的威胁

　　由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件，在自己寄生的文件中注入新的代码。最近几年，随着犯罪软件汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。2007年，两种软件的结合推动旧有寄生软件变种增长3倍之多。2008年，预计犯罪软件社区对寄生软件的兴趣将继续增长，寄生软件的总量预计将增长20%。

　　局域网用户安全意识不强

　　许多用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍，笔记本电脑在内外网之间平凡切换使用，许多用户将在In ternet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。

　　IP地址冲突

　　局域网用户在同一个网段内，经常造成IP地址冲突，造成部分计算机无法上网。对于局域网来讲，此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须加以解决。

　　正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。作为企业网络管理而言，必须进行有效防范，规避局域网带来的种种风险。对此，局域网管理软件运营商 (http://www.wiseuc.com/)提出了有效的解决方案：

　　共享文件审计系统：一款专门用来监视和记录局域网内部用户访问局域网内部服务器、其他主机共享资源的内网共享文件安全审计系统。可以详细审计局域网电脑访问服务器共享资源的情况，包括新建、拷贝、修改、删除、重命名等操作，也即：某个电脑访问共享文件后的一切操作、访问日志都被详细地记录下来，同时用户对共享文件的所有操作记录都将存储到服务器的数据库中，并可以导出成word、excel等格式，便于提供给相关人员进行审计。

　　禁止局域网外用户访问共享资源：集成了对外来主机访问共享资料的自动限制功能。私自接入到单位内部局域网的外来电脑，即便各项设置都正确，也无法访问共享资源，并且这种限制是全自动、无人值守的情况下完成的，从而有力地保护了企业关键数据的安全。

　　局域网主机强制隔离功：集成了对局域网危险主机的强制隔离功能，当发现局域网某些主机遭遇蠕虫、冲击波等病毒攻击时，会自动将其隔离，被隔离的电脑将中断对局域网其他主机的访问，避免感染其他电脑或服务器，防止危害整个局域网;同时，被隔离的电脑也将中断访问因特网，防止病毒运行时对带宽的大肆占用，发送垃圾数据报文堵塞网络的风险!此外，系统通过集成的警报工具，可以实时侦测局域网关键服务器、工作站的运行状况。当这些关键服务器、工作站出现异常时，警报工具会通过手机短息、邮件等方式通知网络管理员，便于采取紧急修复、维护，防止出现关键应用中断而无人得知和响应的状况，保证关键业务的不间断运行。

　　IP-MAC绑定：系统支持对局域网主机进行IP-MAC绑定，一旦发现非法主机，即可以将其隔离网络。

　　除此之外，针对局域网安全还提供安全嗅探主机扫描、断开主机公网连接、ARP攻击、ARP病毒专项检测、监控局域网内混杂模式节点、检测其他非法网管软件等等功能，真正为企业的网络安全保驾护航。

　　当然，提高企业员工的安全意识也是十分必要的，如定期培训，加强规则制度管理等等。面对日趋严峻的安全形势，从技术和管理的各个层面增强“小网络”的安全系数是保证企业高速发展的前提。