如何保障局域网内共享文件安全性？

在企业的网络中，最常用的功能莫过于“共享文件”了。财务部门需要当月员工的考勤信息，人事部门可能不会亲自拿过去，而是在网络上共享；生产部门的生产报表也不会用书面的资料分发，而是放在网络的共享文件夹下，谁需要的话，就自己去查看就可以了，等等。类似的需求还有很多。\x0d\x0a可见，共享文件的功能，提高了企业办公的效率，使企业局域网应用中的一个不可缺的功能。但是，由于共享文件夹管理不当，往往也给企业带来了一些安全上的风险。如某些共享文件莫名其妙的被删除或者修改；有些对于企业来说数据保密的内容在网络上被共享，所有员工都可以访问；共享文件成为病毒、木马等传播的最好载体，等等。\x0d\x0a一、实时查看谁在访问我的共享文件\x0d\x0a第二步：依次选择“系统工具”、共享文件夹、打开文件，此时，在窗口中就会显示本机上的一些共享资源，被哪些电脑在访问。同时，在这个窗口中还会显示一些有用的信息，如其打开了哪一个共享文件；是什么时候开始访问的；已经闲置了多少时间。也就是所，只要其打开了某个共享文件夹，即使其没有打开共享文件，也会在这里显示。\x0d\x0a另外，我们有时候可能出于某些目的，如员工可能认为不能让这个人访问这个文件。此时，我们就可以直接右键点击这个会话，然后从快捷菜单中选择关闭会话，我们就可以阻止这个用户访问这个共享文件，而不会影响其他用户的正常访问。\x0d\x0a二、设置共享文件夹时，最好把文件与文件夹设置为只读\x0d\x0a在大部分时候，用户都只需要查看或者复制这个共享文件即可，而往往不会在共享文件夹上进行直接修改。但是，有些员工为了贪图方便，就直接以可读写的方式共享某个文件夹以及文件。这是非常危险的。\x0d\x0a一方面，这些不受限制的共享文件家与共享文件成为了病毒传播的载体。笔者在工作中发现，有些用户在共享文件的时候，没有权限限制。一段时间后，再去看这个共享文件，发现有些共享文件或者共享文件夹中有病毒或者木马的踪影。原来由于这个共享文件夹有写的权限，所以，其他用户如何打开这个文件，恰巧这台电脑中有病毒或者木马的话，就会传染给这个共享文件夹。从而让其他访问这个共享文件夹的电脑也中招。可见，没有保护措施的共享文件夹以及里面的共享文件，已经成为了病毒传播的一个很好的载体。\x0d\x0a另一方面，当数据非法更改时，很难发现是谁在恶作剧。虽然可以通过相关的日志信息可以查询到有哪些人访问过这个共享文件，以及是否进行了更改的动作。但是，光凭这些信息的话，是不能够知道这个用户对这个共享文件夹作了哪些更改。有时候，我们打开一个共享文件，会不小心的按了一个空格键或者一个字符键，不小心的把某个字覆盖了，等等。这些情况在实际工作中经常会遇到。有时候，即使找到了责任人，他也不知道到底修改了哪些内容。所以，当把共享文件设置为可写的话，则很难防止员工有意或者无意的更改。\x0d\x0a第三，若以可写的方式共享文件的话，可能无法保证数据的统一。如人事部门以可读写的方式共享了一个考勤文件。此时，若财务部门修改了这个文件，而人事部门并不知道。因为财务人员可能忘记告诉了人事部门，此时，就会导致两个部门之间的数据不一致，从而可能会造成一些不必要的麻烦。而且，由于没有相关的证据，到时候谁对谁错，大家都说不清楚。\x0d\x0a为了解决这些问题，笔者建议企业用户，在共享文件夹的时候，最好把文件夹的权限设置为只读。若这个共享文件夹有时候其他用户需要往这个文件夹中存文件，不能设置为只读。那我们也可以把共享文件夹中的文件设置为只读。如此的话，由于文件夹为只读的，则病毒、木马也就不能够感染这些文件夹，从而避免成为散播病毒的污染源；而且，也可以防止用户未经授权的更改，从而导致数据的不统一等等。\x0d\x0a三、建立文件共享服务器，统一管理共享文件的访问权限\x0d\x0a另外，若把企业的共享文件分散在各个用户终端管理的话，有一个问题，就是用户对于共享 *** 作的熟悉程度不同或者安全观念有差异，所以，很难从部署一个统一的文件共享安全策略。如分散在用户主机的共享文件，员工一般不会定期对其进行备份，以防止因为意外损害而进行及时恢复；一般也不会设置具体的访问权限，如只允许一些特定的员工访问等等。因为这些 *** 作的话，一方面可能需要一些专业知识，另一方面，设置企业也比较繁琐。所以，即使我们出了相关的制度，但是，员工一般很难遵守。\x0d\x0a所以，笔者建议，在一些有条件的企业，部署一个文件共享服务器，来统一管理共享文件。采取这种策略的话，有如下好处。\x0d\x0a一是可以定时的对共享文件进行备份，从而减少因为意外修改或者删除而导致的损失。若能够把共享文件夹都放在文件服务器上，则我们就可以定时的对文件服务器上的文件进行备份。如此的话，即使因为权限设置不合理，导致文件被意外修改或者删除；有时会，员工自己也会在不经意中删除不该删的文件，遇到这种情况的时候，则我们可以通过文件恢复作业，把原有的文件恢复过来，从而减少这些不必要的损失。\x0d\x0a二是可以统一制定文件访问权限策略。在共享文件服务器上，我们可以根据各个员工的需求，在文件服务中预先设置一些文件夹，并设置好具体的权限。如此的话，放到共享文件服务器中的文件就自动继承了文件服务器文件夹的访问权限，从而实现统一管理文件访问权限的目的。如对于一些全公司都可以访问的行政通知类文件，我们可以为此设立一个通知类文件夹，这个文件夹只有行政人员具有读写权限，而其他职工都只有只读权限。如此的话，其他员工就不能够对这些通知进行更改或者删除。所以，对共享文件夹进行统一的管理，可以省去用户每次设置权限的麻烦，从而提高共享文件的安全性。\x0d\x0a三是可以统一进行防毒管理。对于共享文件来说，我们除了要关心其数据是否为泄露或者非法访问外，另外一个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网络安全的第一把杀手，而共享文件又是其很好的载体。若能够有效的解决共享文件的病毒木马感染问题，必定可以有效的抑制病毒或者木马在企业网络中为非作歹。而我们若能够在企业中统一部署文件服务器，则我们就可以利用下班的空闲时间，对文件服务器上的共享文件统一进行杀毒，以保证共享文件服务器上的文件都是干净的，没有被木马或者病毒所感染，从而避免其成为病毒或者木马的有效载体。\x0d\x0a综上所述，共享文件夹以及共享文件的安全性问题，是企业网络安全管理中的一个比较薄弱的环节，但是，又是一个十分重要的环节。笔者相信，做好这件工作，必定可以提高企业网络的利用价值，减少网络安全事故。

企业内每日的文档传输可能会发生成千上万次以上，已经成为最容易泄密的环节。在日常工作中，我们无法避免通过即时通讯工具、网络、邮件、移动设备等方式传输机密文档，那么我们该如何保障文档传输安全呢？为此我们终端管理系统提供针对性的管控方案，可以帮助企业对各类文档传输行为进行管控，确保机密文档传输过程安全可控。

赛虎信息丨企业防泄密方案，保护文档传输安全

1、加密文档，保护文档内外传输安全

文档加密系统可以为企业提供严密的文档加密保护，加密的文档无论流转到何处，始终保持加密状态，加密文档传输到企业外，也不用担心里面的机密外泄，结合文档权限管理，可以避免无关人访问、修改、复制文档内的机密内容。

2、管控网络外传文档，防止有意无意泄密

桌面管理系统支持对QQ、微信、企业微信、钉钉等主流即时通讯工具的文档、图片和截屏的外传行为进行管控，记录文件收发以供安全审计。

3、管控移动设备使用，消除泄密隐患

许多企业避免不了会使用移动硬盘、U盘等传输机密文档，特别是传输大文件，然而移动设备的便捷以及大容量，很容易成为泄密的口子。赛虎信息可以帮助管控移动设备的接入，管理员也可以将U盘制作成加密盘，仅允许加密盘接入内部电脑，外来私人U盘如需使用可申请临时放开，确保文档传输的安全可控。

4、安全U盘，让U盘数据流转更安全

安全U盘系统可以对U盘内数据进行加密保护，系统会对U盘使用者进行严格的身份认证，确保只有合法用户才可以访问U盘，并可通过限制密码尝试次数，有效防止不法分子企图通过多次尝试的方法，获取U盘密码，同时还能设置多长时间没有对U盘进行 *** 作，则自动关闭并退出。确保离开电脑或U盘忘记拔掉的情况下，U盘里面的数据不被他人窃取。管理员还可以查看用户的所有 *** 作日志，按相关内容进行筛选，追溯U盘 *** 作的整个过程。有效保障U盘内部的数据安全。

5、对外发文档进行加密，防止机密外泄

当需要把文档外发给客户、经销商、供应商时，企业可以通过赛虎信息对文档进行外发授权管控，指定外部人员在特定机器打开查看文档，又或者指定外发文档的查看期限（支持过期删除文档）、打开次数、打开密码以及复制、编辑、打印、截屏等权限，还可以设置外发文档打印水印，防止被二次泄密。

6、水印及文档追溯，实现快速精准追踪

支持设置屏幕水印、打印水印以及文档水印。文档传输时，支持在文档中加入流转信息，以记录文档在企业内各个计算机节点上的流通情况，当文档通过移动盘、即时通讯工具、邮件、网页等外传时，可自动添加水印或流转信息，若是文档出现泄密时，可借助文档的水印或流转信息，轻松查询出文档在流通的各环节涉及的人员、 *** 作、时间等信息，实现快速精准追踪。

终端应用在不断推陈出新，面对品类繁多的网络应用、移动设备，防不胜防的泄密风险，赛虎信息可以帮助企业提前对重要文档进行加密，确保重要文档时刻都在保护中，结合文档传输渠道的细致管控和审计溯源，可以消除更多泄密隐患，保证重要文档的传输安全。

网络安全是个广而深的领域，为加强网络安全防护、避免漏洞所引发的威胁，漏洞管理成为重要IT策略。本篇文章主要给大家介绍下文件上传漏洞，请看下文：

文件上传漏洞是指：由于程序员未对上传的文件进行严格的验证和过滤，而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本文件。如常见的

头像上传，图片上传，oa办公文件上传，媒体上传，允许用户上传文件的地方如果过滤不严格，恶意用户利用文件上传漏洞，上传有害的可以执行脚本文件到服务器中，可以获取服务器的权限，或进一步危害服务器。

非法用户可以上传的恶意文件控制整个网站，甚至是控制服务器，这个恶意脚本文件，又被称为webshell，上传webshell后门之后可查看服务器信息、目录、执行系统命令等。

文件上传的类型：

1、前端js绕过

在文件上传时，用户选择文件时，或者提交时，有些网站会对前端文件名进行验证，一般检测后缀名，是否为上传的格式。如果上传的格式不对，则d出提示文字。此时数据包并没有提交到服务器，只是在客户端通过js文件进行校验，验证不通过则不会提交到服务器进行处理。

2、修改content-type绕过

有些上传模块，会对http类型头进行检测，如果是图片类型，允许上传文件到服务器，否则返回上传失败，因为服务端是通过content-type判断类型，content-type在客户端可被修改。

3、绕黑名单

上传模块，有时候会写成黑名单限制，在上传文件的时获取后缀名，再把后缀名与程序中黑名单进行检测，如果后缀名在黑名单的列表内，文件将禁止文件上传。

4、htaccess重写解析绕过

上传模块，黑名单过滤了所有的能执行的后缀名，如果允许上传.htaccess。htaccess文件的作用是：可以帮我们实现包括：文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表，以及使用其他文件作为index文件等一些功能。

在htaccess里写入SetHandler

application/x-httpd-php则可以文件重写成php文件。要htaccess的规则生效，则需要在apache开启rewrite重写模块，因为apache是多数都开启这个模块，所以规则一般都生效。

5、大小写绕过

有的上传模块 后缀名采用黑名单判断，但是没有对后缀名的大小写进行严格判断，导致可以更改后缀大小写可以被绕过，如PHP、Php、phP、pHp。

---