校園網(wǎng)安全防護(hù)策略

葉　涌　陳曉本

摘 要：本文通過對當(dāng)前校園網(wǎng)面臨的潛在安全威脅的具體分析，提出了校園網(wǎng)安全防護(hù)策略，其中重點(diǎn)闡述了信息安全防范策略。筆者長期從事軍訓(xùn)網(wǎng)的管理及維護(hù)工作，根據(jù)實(shí)際工作經(jīng)驗(yàn)總結(jié)出了如何通過編寫設(shè)備層ACL、如何配置網(wǎng)絡(luò)服務(wù)器（Windows Server），來保障校園網(wǎng)的信息安全，具有較高的實(shí)用價(jià)值。

關(guān)鍵詞：校園網(wǎng) 信息安全 密鑰 ACL

中圖分類號：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1673-8454（2009）09-0028-03

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，教育信息化、校園網(wǎng)絡(luò)化作為網(wǎng)絡(luò)時(shí)代的教育方式和環(huán)境，已經(jīng)成為教育發(fā)展的方向。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)中存在著自然和人為等諸多不確定因素威脅著網(wǎng)上信息和設(shè)備安全。

一、威脅網(wǎng)絡(luò)安全的因素

（1）自然災(zāi)害；（2）人禍，如計(jì)算機(jī)病毒、失職；（3）事故，如火災(zāi)、停電等意外事故；（4）犯罪和非法使用。

二、威脅網(wǎng)絡(luò)安全的常見方式

（1）計(jì)算機(jī)病毒；（2）信息泄密、篡改；（3）非授權(quán)訪問；（4）資源的錯(cuò)誤使用。

三、校園網(wǎng)安全防護(hù)策略

1.物理安全策略

物理安全策略的目的是保護(hù)網(wǎng)絡(luò)硬件設(shè)備和通信鏈路免受自然災(zāi)害、人為破壞，確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。

2.設(shè)備層的訪問控制策略

訪問控制是網(wǎng)絡(luò)信息安全防范和保護(hù)的主要策略，是保護(hù)網(wǎng)絡(luò)體系的基本機(jī)制。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。防火墻和所有的三層交換設(shè)備都支持訪問控制。防火墻為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源；三層交換設(shè)備則通過合理劃分VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）和配置ACL（Access Control List，訪問控制列表）對內(nèi)網(wǎng)用戶進(jìn)行分類，抑制網(wǎng)絡(luò)風(fēng)暴、保護(hù)用戶終端安全。

（１）防火墻

防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止黑客訪問校園網(wǎng)的屏障。防火墻的主要功能是：根據(jù)安全規(guī)則，對于任何外網(wǎng)對內(nèi)網(wǎng)的行為進(jìn)行認(rèn)證，對外網(wǎng)應(yīng)盡可能地屏蔽內(nèi)網(wǎng)的信息、結(jié)構(gòu)和運(yùn)行狀態(tài)，而對合法用戶則允許進(jìn)入內(nèi)網(wǎng)并僅限于進(jìn)行合法操作，對未經(jīng)授權(quán)的用戶應(yīng)限制在防火墻之外。此外通過在防火墻上實(shí)現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有來自外網(wǎng)的訪問。

（２）交換設(shè)備的安全控制

三層交換設(shè)備通過劃分VLAN有效減少廣播風(fēng)暴。管理子網(wǎng)和服務(wù)器子網(wǎng)不允許其他網(wǎng)段訪問。在關(guān)鍵業(yè)務(wù)子網(wǎng)設(shè)置ACL，實(shí)現(xiàn)單向訪問。在端口上針對特殊用戶做端口安全保護(hù)，結(jié)合ACL實(shí)現(xiàn)端口間不能互訪。通過IP與MAC綁定對用戶身份進(jìn)行鑒別。為確保交換設(shè)備安全，除管理VLAN能Telnet到任意交換機(jī)外，其它任何IP不能登錄到交換機(jī)。

我們以CISCO設(shè)備為例，來看一下如何通過合理配置交換機(jī)的ACL來實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)子網(wǎng)的單向訪問并限制非法IP登錄交換機(jī)（只有管理子網(wǎng)可以登錄）。假設(shè)管理子網(wǎng)為192.168.1.0/24；關(guān)鍵業(yè)務(wù)子網(wǎng)為192.168.2.0/24（vlan 4）。

ACL配置

(編寫訪問控制列表)

S1 (config) #access-list 101 permit tcp any 192.168.2.00.0.0.255 established

S1 (config) #access-list 101 permit udp any any

S1 (config) #access-list 101 permit icmp any any echo-reply

S1 (config) #access-list 12 permit 192.168.1.0

S1 (config-if) #interface vlan 4 （進(jìn)入ＶＬＡＮ ４ 配置模式）

S1 (config-if) #ip access-group 101 out（應(yīng)用訪問控制列表）

S1 (config-if) #exit

S1 (config) #line vty 0 4

S1 (config-line) # access-class 12 in（應(yīng)用訪問控制列表）

S1 (config) #snmp-serverr community public RO（添加ＳＮＭＰ協(xié)議讀字符串）

S1 (config) #snmp-serverr community private RW （添加ＳＮＭＰ協(xié)議寫字符串）

S1 (config) #end （離開全局模式）

S1 #copy running-config start-config（保存設(shè)置）

3.服務(wù)器安全控制

目前，被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)都存在各種各樣的安全問題，許多新型計(jì)算機(jī)病毒利用操作系統(tǒng)的漏洞進(jìn)行傳染。若不對操作系統(tǒng)進(jìn)行及時(shí)更新，彌補(bǔ)各種漏洞，計(jì)算機(jī)即使安裝了防毒軟件也會(huì)反復(fù)感染。

任何操作系統(tǒng)的主要漏洞都是由于用戶和組、文件系統(tǒng)、策略、系統(tǒng)默認(rèn)值以及Bug等因素造成的。Windows還有一個(gè)其他操作系統(tǒng)所未具備的且易受攻擊的漏洞，即注冊表。Windows的注冊表必須要安全保護(hù)。除了及時(shí)更新系統(tǒng)漏洞、升級病毒庫外，針對Windows Server網(wǎng)絡(luò)操作系統(tǒng)，建議具體安全設(shè)置如下。

（１）停掉Ｇｕｅｓｔ賬號

在計(jì)算機(jī)管理用戶里把Gｕｅｓｔ賬號停用。為保險(xiǎn)起見給Gｕｅｓｔ加一個(gè)復(fù)雜的密碼。

（２）限制不必要的用戶數(shù)量

去掉所有Dｕｐｌｉｃａｔｅ Uｓｅｒ賬戶和測試用賬戶。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的賬戶，刪除已經(jīng)不使用的賬戶。

（３）創(chuàng)建兩個(gè)管理員用賬號

創(chuàng)建一個(gè)一般權(quán)限賬號用來收信以及處理一些日常事物，另一個(gè)擁有Ａｄｍｉｎｉｓｔｒａｔｏｒｓ權(quán)限的賬戶只在需要的時(shí)候使用?？梢宰尮芾韱T使用“ＲｕｎＡＳ”命令來執(zhí)行一些需要特權(quán)才能做的工作，以方便管理。

（４）把系統(tǒng)Aｄｍｉｎｉｓｔｒａｔｏｒ賬號改名

眾所周知，ｗｉｎ２０００的Aｄｍｉｎｉｓｔｒａｔｏｒ賬號是不能被停用的。把Ａｄｍｉｎｉｓｔｒａｔｏｒ賬戶改名，偽裝成普通用戶，可以防止惡意攻擊。

（５）創(chuàng)建陷阱賬號

什么是陷阱賬號?創(chuàng)建一個(gè)名為“Administrator”的本地賬戶，把它的權(quán)限設(shè)置成最低，不能執(zhí)行任何任務(wù)，并且加上一個(gè)超過16位的超級復(fù)雜密碼。這樣可以讓那些惡意攻擊者忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)他們的入侵企圖?；蛘咴谒膌ogin scripts上面進(jìn)行修改。

（６）把共享文件的權(quán)限從“ｅｖｅｒｙｏｎｅ”組改成“授權(quán)用戶”

“everyone”在win2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時(shí)候都不要把共享文件的用戶設(shè)置成“everyone”組。

（７）關(guān)閉不必要的服務(wù)

win2000的Terminal Services，IIS（Inter-IC Sound bus）和RAS（Remote Access Sytem）都可能給你的系統(tǒng)帶來安全漏洞。為了實(shí)現(xiàn)遠(yuǎn)程管理服務(wù)，很多機(jī)器的終端服務(wù)都是開啟的，如果你的也開了，要確認(rèn)你已經(jīng)正確地配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄地運(yùn)行。用戶要留意服務(wù)器上面開啟的所有服務(wù)，每天檢查它們。

（８）關(guān)閉不必要的端口

關(guān)閉端口意味著減少功能，在安全和功能上面需要你做一點(diǎn)決策。用端口掃描器掃描系統(tǒng)所開放的端口，確定開放了哪些服務(wù)是黑客入侵你的系統(tǒng)的第一步。

關(guān)閉端口的具體方法為：

網(wǎng)上鄰居>屬性>本地連接>屬性>internet 協(xié)議(tcp/ip)>屬性>高級>選項(xiàng)>tcp/ip篩選>屬性，打開tcp/ip篩選，添加需要的tcp，udp協(xié)議即可。

（９）打開審核策略

開啟安全審核是win2000最基本的入侵檢測方法。當(dāng)有人嘗試對你的系統(tǒng)進(jìn)行某些方式入侵的時(shí)候，都會(huì)被安全審核記錄下來。

（１０）禁止建立空連接

默認(rèn)情況下，任何用戶通過空連接連上服務(wù)器，進(jìn)而枚舉出賬號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous的值改成“1”即可。

（１１）禁止ｄｕｍｐ ｆｉｌｅ的產(chǎn)生

dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問題的資料。然而，它也能夠給黑客提供一些敏感信息。要禁止它，需打開“控制面板>系統(tǒng)屬性>高級>啟動(dòng)和故障恢復(fù)”把“ 寫入調(diào)試信息”改成無。

（１２）使用文件加密系統(tǒng)ＥＦＳ

Win2000強(qiáng)大的加密系統(tǒng)能夠給磁盤、文件夾、文件加上一層安全保護(hù)。這樣可以防止別人把你的硬盤掛到別的機(jī)器上以讀出里面的數(shù)據(jù)。

（１３）加密ｔｅｍｐ文件夾

一些應(yīng)用程序在安裝和升級的時(shí)候，會(huì)把一些東西拷貝到temp文件夾，但是當(dāng)程序升級完畢或關(guān)閉的時(shí)候，它們并不會(huì)自己清除temp文件夾的內(nèi)容。所以，給temp文件夾加密可以給你的文件多一層保護(hù)。

（１４）關(guān)機(jī)時(shí)清除掉頁面文件

頁面文件也就是調(diào)度文件，是win2000用來存儲(chǔ)沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒有加密的密碼存在內(nèi)存中，頁面文件中也可能含有另外一些敏感的資料。要想在關(guān)機(jī)的時(shí)候清除頁面文件，可以通過編輯注冊表：

HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management

把ClearPageFileAtShutdown的值設(shè)置成1。

此外，還有諸如使用安全密碼、關(guān)閉默認(rèn)共享、開啟賬戶策略、鎖住注冊表等常用手段，本文就不再詳述了。

4.信息傳輸?shù)募用懿呗?/p>

信息在網(wǎng)上傳輸過程中極易被黑客非法截獲，如果信息以明文的形式存在，信息安全就會(huì)受到巨大威脅，信息加密的目的是保護(hù)網(wǎng)上傳輸數(shù)據(jù)的安全。網(wǎng)絡(luò)信息傳輸常用的加密算法有對稱密鑰加密、非對稱密鑰加密和單向加密。

在常規(guī)密碼（對稱密鑰）中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價(jià)的。常規(guī)密碼中影響最大的是DES密碼。常規(guī)密碼的優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度，且經(jīng)受住時(shí)間的檢驗(yàn)和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。

在公鑰密碼（非對稱密鑰）中，收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰。最有影響的公鑰密碼算法是RSA，它能抵抗目前為止已知的大部分密碼攻擊。公鑰密碼的優(yōu)點(diǎn)是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，且密鑰管理問題也較為簡單，尤其可方便地實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證（用于身份鑒別）。但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。

在實(shí)際應(yīng)用中，我們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，在強(qiáng)度和效率之間尋求最佳契合點(diǎn)，同時(shí)完成對身份有效性的驗(yàn)證。實(shí)踐中可以通過PGP（第三方加密軟件）利用DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）或者IDEA（國際數(shù)據(jù)加密算法）來加密信息，采用RSA來傳遞會(huì)話密鑰。

密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。

四、結(jié)束語

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)作為重要信息交換手段，將會(huì)逐步滲透到社會(huì)生活、工作、學(xué)習(xí)的各個(gè)領(lǐng)域。網(wǎng)絡(luò)安全所涉及的因素繁雜，而不同的安全策略和安全服務(wù)要由不同的安全機(jī)制來落實(shí)。因此，在網(wǎng)絡(luò)建立時(shí)要綜合利用操作系統(tǒng)的安全管理能力和多種安全機(jī)制增強(qiáng)網(wǎng)絡(luò)的安全性，在網(wǎng)絡(luò)運(yùn)行過程中要不斷地檢測網(wǎng)絡(luò)入侵、審核安全記錄、檢查是否有安全漏洞，以便及時(shí)發(fā)現(xiàn)問題并處理。在安全策略中還應(yīng)考慮對網(wǎng)內(nèi)用戶進(jìn)行素質(zhì)教育，提高安全意識(shí)，通過完善的安全管理規(guī)章制度來規(guī)范上網(wǎng)人員的行為，只有全方位地考慮才

能真正保證網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)：

[1]劉德軍,喬佩利.數(shù)據(jù)加密及其在數(shù)字簽名中的應(yīng)用[J].信息技術(shù)，2002(3).

[2](美)韋斯特耐特.TCP/IP與網(wǎng)絡(luò)體系結(jié)構(gòu)[M].北京：中國電力出版社,2000.