校園網(wǎng)網(wǎng)絡安全技術研究

摘要:該文主要闡述了校園網(wǎng)網(wǎng)絡面臨的安全威脅和相應的對策。介紹了校園網(wǎng)網(wǎng)絡安全的現(xiàn)狀，安全性面臨的主要威脅，介紹了幾種有效的安全控制方案:密碼安全、系統(tǒng)安全、目錄共享安全等。

關鍵詞:校園網(wǎng);安全;病毒

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10233-02

Research of Network Security Technology for Campus Net

YAO Zhi-hong

(Shangqiu Medical College， Shangqiu 476000， China)

Abstract: This paper describes campus network security threats and the corresponding countermeasures. Describes the status of campus network security， security， the major threats to introduce several effective security control program: password security， system security， directory， shared security.

Key words: campus; safe; virus

隨著Internet的迅速發(fā)展，許多學校都建立了校園網(wǎng)絡并投入使用，這無疑對加快信息處理，提高工作效率，減輕勞動強度，實現(xiàn)資源共享都起到無法估量的作用。但在積極發(fā)展辦公自動化、實現(xiàn)資源共享的同時，人們對校園網(wǎng)絡的安全也越加重視。正如人們所說:網(wǎng)絡的生命在于其安全性。因此，如何在現(xiàn)有的條件下，如何搞好網(wǎng)絡的安全，就成了網(wǎng)絡管理人員的一個重要課題。本人就技術方面談談自己對校園網(wǎng)安全的一些看法

1 密碼的安全

眾所周知，用密碼保護系統(tǒng)和數(shù)據(jù)的安全是最經(jīng)常采用也是最初采用的方法之一。目前發(fā)現(xiàn)的大多數(shù)安全問題，是由于密碼管理不嚴，使 入侵者得以趁虛而入。因此密碼口令的有效管理是非?；镜?，也是非常重要的。 在密碼的設置安全上，首先絕對杜絕不設口令的帳號存在，尤其是超級用戶帳號。一些網(wǎng)絡管理人員，為了圖方便，認為服務器只由自己一個人管理使用，常常對系統(tǒng)不設置密碼。這樣，入侵者就能通過網(wǎng)絡輕而易舉的進入系統(tǒng)。另外，對于系統(tǒng)的一些權限，如果設置不當，對用戶不進行密碼驗證，也可能為入侵者留下后門。比如，對WEB網(wǎng)頁的修改權限設置，在WINDOWS NT 4 .0+IIS 4 .0版系統(tǒng)中，就常常將網(wǎng)站的修改權限設定為任何用戶都能修改(可能是IIS默認安裝造成的)，這樣，任何一個用戶，通過互聯(lián)網(wǎng)連上站點后，都可以對主頁進行修改刪除等操作。 其次，在密碼口令的設置上要避免使用弱密碼，就是容易被人猜出字符作為密碼。筆者就猜過幾個這樣的站點，他們的共同特點就是利用自己名字的縮寫或6位相同的數(shù)字進行密碼設置。 密碼的長度也是設置者所要考慮的一個問題。在WINDOWS NT系統(tǒng)中，有一個sam文件，它是windows NT的用戶帳戶數(shù)據(jù)庫，所有NT用戶的登錄名及口令等相關信息都會保存在這個文件中。如果入侵者通過系統(tǒng)或網(wǎng)絡的漏洞得到了這個文件，就能通過一定的程序(如L0phtCrack)對它進行解碼分析。在用L0phtCrack破解時，如果使用暴力破解 方式對所有字符組合進行破解，那么對于5位以下的密碼它最多只要用十幾分鐘就完成，對于6位字符的密碼它也只要用十幾小時，但是對于7位或以上它至少耗時一個月左右，所以說，在密碼設置時一定要有足夠的長度。總之在密碼設置上，最好使用一個不常見、有一定長度的但是你又容易記得的密碼。另外，適當?shù)慕徊媸褂么笮懽帜敢彩窃黾颖黄平怆y度的好辦法。

2 系統(tǒng)的安全

最近流行于網(wǎng)絡上的紅色代碼、藍色代碼、木馬及ARP欺騙都利用系統(tǒng)的漏洞進行傳播。從目前來看，各種系統(tǒng)或多或少都存在著各種的漏洞，系統(tǒng)漏洞的存在就成網(wǎng)絡安全的首要問題，發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡管理人員主要任務。當然，從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡管理人員所能做的，但是及早地發(fā)現(xiàn)有報告的漏洞，并進行升級補丁卻是我們應該做的。而發(fā)現(xiàn)有報告的漏洞最常用的方法，就是經(jīng)常登錄各有關網(wǎng)絡安全網(wǎng)站，對于我們有使用的軟件和服務，應該密切關注其程序的最新版本和安全信息，一旦發(fā)現(xiàn)與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。比如上面提及引起紅色代碼、藍色代碼及尼姆達病毒的傳播流行的Unicode解碼漏洞，早在去年的10月就被發(fā)現(xiàn)，且沒隔多久就有了解決方案和補丁，但是許多的網(wǎng)絡管理員并沒有知道及時的發(fā)現(xiàn)和補丁，以至于過了將近一年，還能掃描到許多機器存在該漏洞。 在校園網(wǎng)中服務器，為用戶提供著各種的服務，但是服務提供的越多，系統(tǒng)就存在更多的漏洞，也就有更多的危險。因些從安全角度考慮，應將不必要的服務關閉，只向公眾提供了他們所需的基本的服務。最典型的是，我們在校園網(wǎng)服務器中對公眾通常只提供WEB服務功能，而沒有必要向公眾提供FTP功能，這樣，在服務器的服務配置中，我們只開放WEB服務，而將FTP服務禁止。如果要開放FTP功能，就一定只能向可能信賴的用戶開放，因為通過FTP用戶可以上傳文件內容，如果用戶目錄又給了可執(zhí)行權限，那么，通過運行上傳某些程序，就可能使服務器受到攻擊。所以，信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡不安全的一個因素。 在WINDOWS NT使用的IIS，是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，為了加大安全性，在安裝配置時可以注意以下幾個方面: 首先，不要將IIS安裝在默認目錄里(默認目錄為C:\\Inetpub)，可以在其它邏輯盤中重新建一個目錄，并在IIS管理器中將主目錄指向新建的目錄。 其次，IIS在安裝后，會在目錄中產(chǎn)生如scripts等默認虛擬目錄，而該目錄有執(zhí)行程序的權限，這對系統(tǒng)的安全影響較大，許多漏洞的利用都是通過它進行的。因此，在安裝后，應將所有不用的虛擬目錄都刪除掉。第三，在安裝IIS后，要對應用程序進行配置，在IIS管理器中刪除必須之外的任何無用映射，只保留確實需要用到的文件類型。對于各目錄的權限設置一定要慎重，盡量不要給可執(zhí)行權限。

3 目錄共享的安全

在校園網(wǎng)絡中，利用在對等網(wǎng)中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但在設置過程中，要充分認識到當一個目錄共享后，就不光是校園網(wǎng)內的用戶可以訪問到，而是連在網(wǎng)絡上的各臺計算機都能對它進行訪問。這也成了數(shù)據(jù)資料安全的一個隱患。筆者曾搜索過外地機器的一個C類IP網(wǎng)段，發(fā)現(xiàn)共享的機器就有十幾臺，而且許多機器是將整個C盤、D盤進行共享，并且在共享時將屬性設置為完全共享，且不進行密碼保護，這樣只要將其映射成一個網(wǎng)絡硬盤，就能對上面的資料、文檔進行查看、修改、刪除。所以，為了防止資料的外泄，在設置共享時一定要設定訪問密碼。只有這樣，才能保證共享目錄資料的安全。 四、木馬的防范 相信木馬對于大多數(shù)人來說不算陌生。它是一種遠程控制工具，以簡便、易行、有效而深受廣大黑客青睞。一臺電腦一旦中上木馬，它就變成了一臺傀儡機，對方可以在你的電腦上上傳下載文件，偷窺你的私人文件，偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前，隱私?不復存在!木馬，應該說是網(wǎng)絡安全的大敵。并且在進行的各種入侵攻擊行為中，木馬都起到了開路先鋒的作用。 木馬感染通常是執(zhí)行了一些帶毒的程序，而駐留在你的計算機當中，在以后的計算機啟動后，木馬就在機器中打開一個服務，通過這個服務將你計算機的信息、資料向外傳遞，在各種木馬中，較常見的是冰河，筆者也曾用冰河掃描過網(wǎng)絡上的計算機。發(fā)現(xiàn)每個C類IP網(wǎng)段中(個人用戶)，偶爾都會發(fā)現(xiàn)一、二個感染冰河的機器。由此可見，個人用戶中感染木馬的可能性還是比較高的。如果是服務器感染了木馬，危害更是可怕。 木馬的清除一般可以通過各種殺毒軟件來進行查殺。但對于新出現(xiàn)的木馬，我們的防治可以通過端口的掃描來進行，端口是計算機和外部網(wǎng)絡相連的邏輯接口，我們平時多注意一下服務器中開放的端口，如果有一些新端口的出現(xiàn)，就必須查看一下正在運行的程序，以及注冊表中自動加載運行的程序，來監(jiān)測是否有木馬存在。

以上只是筆者對防范外部入侵，維護網(wǎng)絡安全的一些粗淺看法，當然對于這些方面的安全還可以通過設置必要的防火墻，建立健全的網(wǎng)絡管理制度來實現(xiàn)。但是在網(wǎng)絡內部數(shù)據(jù)安全上，還必須定時進行數(shù)據(jù)安全備份。對于硬盤中數(shù)據(jù)備份的方法很多種，在WINDOWS 2000 SERVER版本上，我們提倡通過鏡像卷的設置來進行實時數(shù)據(jù)備份，這樣即使服務器中的一個硬盤損壞，也不至于使數(shù)據(jù)丟失。

總之，網(wǎng)絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略以及高素質的網(wǎng)絡管理人才才能完好、實時地保證信息的完整性和確證性，為網(wǎng)絡提供強大的安全服務——這也是21世紀網(wǎng)絡安全領域的迫切需要。

參考文獻:

[1] 劉淵.因特網(wǎng)防火墻技術[M].北京:機械工業(yè)出版社，2001.

[2] 王盈英.網(wǎng)絡信息安全技術[J].教育信息化，2002(11):32.

[3] 黃賢英，龔箭.大型企業(yè)計算機網(wǎng)絡安全實施方案[J].計算機安全，2003(2):69-71.