校園網(wǎng)環(huán)境下服務(wù)器的安全管理

摘要：網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)管理的重中之重，特別是學(xué)校校園網(wǎng)的安全直接關(guān)系到教育教學(xué)活動(dòng)的正常進(jìn)行，必須引起人們的高度重視。對(duì)安全問題的來源進(jìn)行分析，有針對(duì)性地預(yù)防，可以提高校園網(wǎng)的安全水平。

關(guān)鍵詞：網(wǎng)絡(luò)安全；規(guī)劃設(shè)計(jì)；系統(tǒng)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2009)05-1160-02

Constructing a High-Speed and Secure Campus Area Network

JU Fang

(The Library of Nanjing University of Finance Economics， Nanjing 210046， China)

Abstract: Campus network is an important indicators scale of a school information technology and modern management level. A higt-speed， seady， and secure campus network is one of the vital base establishment for sponsor schools. Discusses the high-speed campus are a network design scheme and management about the upgrade reconstruction of the campus network.

Key words: Campus Network; Planning and Design; System Security

1 引言

隨著高校信息化進(jìn)程的推進(jìn)，高校校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來越多，信息系統(tǒng)變得越來越龐大和復(fù)雜。從結(jié)構(gòu)上分，校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括：教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動(dòng)化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對(duì)外服務(wù)的服務(wù)器群、與Internet 的接入以及遠(yuǎn)程移動(dòng)辦公用戶的接入。[1]校園網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng)，主要包括DNS、Web、FTP、Proxy、視頻點(diǎn)播以及Mail服務(wù)等。

外部網(wǎng)主要實(shí)現(xiàn)校園網(wǎng)與Internet 的基礎(chǔ)接入。校園網(wǎng)絡(luò)擁有著大規(guī)模的、高速的、開放的網(wǎng)絡(luò)環(huán)境；支撐著復(fù)雜的網(wǎng)上應(yīng)用和業(yè)務(wù)類型；擁有著活躍的、不同使用水平的用戶群體。因此，安全風(fēng)險(xiǎn)的防御問題也就變得較為嚴(yán)重和復(fù)雜。

2 安全問題來源分析

2.1 病毒入侵嚴(yán)重

目前，網(wǎng)絡(luò)病毒層出不窮，傳播速度快、破壞性強(qiáng)、傳播范圍廣，時(shí)刻威脅著校園網(wǎng)的安全。大量病毒以電子郵件、網(wǎng)絡(luò)共享、網(wǎng)頁瀏覽、即時(shí)通信或主動(dòng)掃描等方式，感染校園網(wǎng)的服務(wù)器和客戶機(jī)，導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”，嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓。

2.2 網(wǎng)絡(luò)的先天性不足

校園網(wǎng)絡(luò)一般基于Internet技術(shù)構(gòu)建，并與Internet相連。Internet的互聯(lián)性和開放性給社會(huì)帶來極大效益的同時(shí)，入侵者也得到了更多的機(jī)會(huì)。[2]因?yàn)镮nternet 本身缺乏相應(yīng)的安全機(jī)制，不對(duì)機(jī)密信息和敏感信息提供保護(hù)。Web的精華是交互性，這也正是它的致命弱點(diǎn)。

2.3 軟件系統(tǒng)的漏洞

沒有十全十美的軟件產(chǎn)品，系統(tǒng)中的安全漏洞和“后門”不可避免地存在。正是由于漏洞的存在，才讓黑客有了可乘之機(jī)。目前，在操作系統(tǒng)、通信協(xié)議、網(wǎng)絡(luò)應(yīng)用軟件中均不同程度地存在安全漏洞或安全缺陷。

3 配置安全服務(wù)器

目前很多校園網(wǎng)服務(wù)器安裝的是Windows 2000 Server操作系統(tǒng)，該系統(tǒng)穩(wěn)定性較強(qiáng)但安全性并不是很好，配置不當(dāng)很容易因遭受攻擊而癱瘓。

3.1 端口

端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障，端口配置正確與否直接影響主機(jī)的安全。一般來說，僅打開必須的端口是最明智的安全做法，配置方法是在“網(wǎng)卡屬性→TCP/IP協(xié)議→高級(jí)→選項(xiàng)→TCP/IP篩選”中啟用“TCP/IP篩選”。

3.2 IIS

IIS是微軟組件中迄今為止發(fā)現(xiàn)漏洞最多的一個(gè)，特別是它的默認(rèn)安裝、此處應(yīng)重點(diǎn)進(jìn)行配置；其一、徹底刪除系統(tǒng)盤（一般是C盤）的Inetpub目錄、到其它盤新建一個(gè)目錄、而且起名最好不是Inetpub。

再到IIS管理器中將主目錄指向這個(gè)新建的非系統(tǒng)盤目錄。

其二，刪除IIS安裝時(shí)默認(rèn)的Scripts等虛擬目錄、它們很容易暴露出本地網(wǎng)頁物理路徑。需要什么權(quán)限的目錄就自己建立一個(gè)，權(quán)限也一定要注意，特別是寫權(quán)限和執(zhí)行程序的權(quán)限。

其三，在IIS管理器中刪除必須之外的任何無用映射，必須指出的是ASP、ASA和其它需用到的文件類型%在IIS管理器中右擊“主機(jī)→屬性→www服務(wù)編輯→主目錄→配置→應(yīng)用程序映射” ，接著開始單獨(dú)刪除即可。[3]然后到應(yīng)用程序調(diào)試標(biāo)簽內(nèi)將腳本錯(cuò)誤消息更改為發(fā)送文本。

最后，還可以使用IIS的備份功能，將上述的設(shè)定備份以便隨時(shí)恢復(fù)IIS的安全配置。如果擔(dān)心IIS負(fù)荷過大而導(dǎo)致服務(wù)器死機(jī)的話，可以在性能中打開CPU限制，將其使用率限制為80%。

3.3 帳號(hào)安全

Windows 2000 Server默認(rèn)安裝后允許任何用戶通過139端口的空連接得到系統(tǒng)所有賬號(hào)名稱及共享列表。本來這是為方便校園局域網(wǎng)用戶共享文件設(shè)計(jì)的，但遠(yuǎn)程用戶同樣也能得到這些敏感信息，從而使暴力破解用戶密碼成為可能。

打開注冊(cè)表編輯器，在“開始→運(yùn)行”中填入“Regedit”并確定，找到Hkey_Local_Machines\\Svstem\\CnrrentControlSet\\Control\\LSA_RestrictAnonymous、令其值為“1\"，這樣即可禁止139端口的空連接訪問。

3.4 安全日志

默認(rèn)情況下Windows 2000 Server未打開任何安全審核，所以必須打開“本地安全策略”→審核策略下的“審核”進(jìn)行如下的設(shè)置：賬戶管理——（成功、失敗），登錄事件——（成功、失?。?，對(duì)象訪問——（失敗），策略更改——（成功、失?。?，特權(quán)使用——（失敗），系統(tǒng)事件——（成功、失敗），目錄服務(wù)訪問——（失?。?，賬戶登錄事件——（成功、失?。Ｍ瑫r(shí)在“賬戶策略→密碼策略”中也要設(shè)置：密碼復(fù)雜性——啟用，密碼長(zhǎng)度最小值——6位，強(qiáng)制密碼歷史——5次，最長(zhǎng)存留期——30天；還要在“賬戶策略→賬戶鎖定策略”中設(shè)置：賬戶鎖定——3次錯(cuò)誤登錄，鎖定時(shí)間——20分鐘，復(fù)位鎖定計(jì)數(shù)——20分鐘。[4]

3.5 目錄和文件權(quán)限

為了控制好服務(wù)器上用戶的權(quán)限，同時(shí)也是為了預(yù)防以后可能的入侵和溢出攻擊，我們必須非常小心地設(shè)置目錄和文件的訪問權(quán)限。其原則為：1) 權(quán)限是累計(jì)的，如果一個(gè)用戶同時(shí)屬于兩個(gè)組，那么他就有這兩個(gè)組所允許的所有權(quán)限；2) 拒絕的權(quán)限比允許的權(quán)限高；3) 文件權(quán)限比文件夾權(quán)限高；4) 利用戶組來進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣；5) 僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障。

4 網(wǎng)絡(luò)病毒的防護(hù)

為保證服務(wù)器的安全，除了服務(wù)器端的工作外，對(duì)網(wǎng)絡(luò)用戶的客戶端也采取了相應(yīng)措施，從有害攻擊的源頭抓起，對(duì)每個(gè)網(wǎng)絡(luò)用戶負(fù)責(zé)。

針對(duì)網(wǎng)絡(luò)時(shí)代病毒新的特點(diǎn)，在校園網(wǎng)上布置諾頓網(wǎng)絡(luò)防病毒系統(tǒng)，網(wǎng)絡(luò)中心安裝諾頓防病毒服務(wù)器，每個(gè)校園網(wǎng)用戶可方便下載、安裝客戶端軟件，整個(gè)系統(tǒng)自動(dòng)、快速升級(jí)，實(shí)現(xiàn)實(shí)時(shí)防毒控制。[5]這樣，有效地控制了造成重大危害的蠕蟲病毒在校園網(wǎng)上的傳播。

校園網(wǎng)設(shè)置防病毒、垃圾郵件網(wǎng)關(guān)，對(duì)進(jìn)出的郵件實(shí)時(shí)掃描、過濾，濾除有害的病毒郵件、垃圾郵件，并可設(shè)置靈活的針對(duì)特殊關(guān)鍵字的過濾，濾除有害信息。

5 管理員的安全意識(shí)

網(wǎng)絡(luò)安全涉及網(wǎng)絡(luò)系統(tǒng)本身的復(fù)雜性、管理員和用戶的安全意識(shí)等因素，除網(wǎng)絡(luò)管理員和用戶應(yīng)具備足夠的網(wǎng)絡(luò)知識(shí)外，還要有較好的管理模式。

5.1 管理模式

從網(wǎng)絡(luò)管理角度來看，在網(wǎng)絡(luò)管理中應(yīng)實(shí)施“A-C-S 角色管理模型”，即A：Administrator 系統(tǒng)管理員，負(fù)責(zé)承擔(dān)日常的例行維護(hù)，他是管理計(jì)算機(jī)系統(tǒng)的主要人員；C：ConfiguationManager 配置管理員，負(fù)責(zé)進(jìn)行計(jì)算機(jī)設(shè)備的資產(chǎn)管理、網(wǎng)絡(luò)參數(shù)（如網(wǎng)絡(luò)地址子網(wǎng)掩碼）的分配和登記；S：Security Consultant安全管理員，負(fù)責(zé)評(píng)估和審核計(jì)算機(jī)系統(tǒng)的安全狀況，關(guān)注網(wǎng)絡(luò)安全動(dòng)態(tài)，調(diào)整相關(guān)安全設(shè)置，進(jìn)行入侵防范，發(fā)出安全公告，緊急修復(fù)系統(tǒng)。上述三角色各有分工又相互協(xié)作，系統(tǒng)管理員接受安全管理員在安全方面的監(jiān)督，接納其安全建議；配置管理員統(tǒng)管網(wǎng)絡(luò)資源分配，進(jìn)行整個(gè)網(wǎng)絡(luò)的調(diào)整，向系統(tǒng)管理員和安全管理員提供網(wǎng)絡(luò)參數(shù)；安全管理員必須及時(shí)通知系統(tǒng)管理員相關(guān)的安全操作。

5.2 堅(jiān)持“最小授權(quán)”原則

網(wǎng)絡(luò)管理員要經(jīng)常性地查看服務(wù)器打開的服務(wù)端口和服務(wù)器的運(yùn)行狀態(tài)，關(guān)閉無需的服務(wù)端口。此外，管理員要經(jīng)常性地總結(jié)經(jīng)驗(yàn)，通過查看服務(wù)器性能及運(yùn)行狀態(tài)，判斷服務(wù)器是否存在可能的危險(xiǎn)，關(guān)閉不清楚的或不知的進(jìn)程，盡可能地做到防微杜漸。[6]“最小授權(quán)”原則還要求網(wǎng)絡(luò)中帳號(hào)設(shè)置、服務(wù)配置、主機(jī)間信任關(guān)系配置等，應(yīng)該設(shè)為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度。

5.3 口令安全策略

大多數(shù)黑客入侵，就是通過各種途徑取得管理員口令，因此，校園網(wǎng)管理員的口令安全策略顯得尤其重要。管理員口令安全策略主要有：

1) 不要使用比較容易猜的口令，最好使用字符和數(shù)字的混合口令。

2) 定期更換管理員口令。

3) 設(shè)置系統(tǒng)安全策略，限制用戶錯(cuò)誤口令登錄次數(shù)，防止用戶枚舉性地試探猜測(cè)管理員口令。

6 結(jié)束語

教育信息化，校園網(wǎng)的建設(shè)是基礎(chǔ)，而網(wǎng)絡(luò)信息安全是保障。為了應(yīng)付比以往更嚴(yán)峻的“安全性”挑戰(zhàn)，安全不應(yīng)再僅僅停留于追堵和攔截，而應(yīng)該積極主動(dòng)地運(yùn)用各種手段直面來自各個(gè)方面的挑戰(zhàn)。校園網(wǎng)的安全策略也不能一勞永逸，必須應(yīng)用新的防御技術(shù)和安全策略，努力改善并提升校園網(wǎng)的安全防護(hù)能力，形成全方面的、立體的安全防護(hù)體系，才能確保校園網(wǎng)安全、有效、安全技術(shù)與應(yīng)用快速運(yùn)行。安全防范不僅要在技術(shù)上采取安全措施，更重要是在管理上加強(qiáng)安全措施。使計(jì)算機(jī)網(wǎng)絡(luò)能實(shí)現(xiàn)以下安全目標(biāo)：保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性；保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性；防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問；防范入侵者的惡意攻擊與破壞；保護(hù)學(xué)校信息通過網(wǎng)上傳輸過程中的保密性、完整性；防范病毒的侵害；實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理等。

參考文獻(xiàn)：

[1] 龔靜. 高校校園網(wǎng)的安全與防護(hù)[J]. 教育信息化，2005，(04).

[2] 董慧娟. 校園網(wǎng)的網(wǎng)絡(luò)安全策略[J]. 無錫職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2005，(02).

[3] 喬春源. 校園網(wǎng)資源庫建設(shè)的實(shí)踐與認(rèn)識(shí)[J]. 教育信息化，2005，(03).

[4] 牛龍平，張勇. 校園網(wǎng)綜合管理研究與對(duì)策[J]. 教育信息化，2005，(04).

[5] 李永斌. 校園網(wǎng)安全策略分析[J]. 教育信息化，2005，(04).

[6] 桑玉民. 淺談校園網(wǎng)安全體系的建立[J]. 晉中師院學(xué)報(bào)，2005，(03).