- 相關(guān)推薦
校園網(wǎng)絡(luò)安全初探
校園網(wǎng)絡(luò)安全初探
三明市第二中學(xué)林穎韜[內(nèi)容摘要] 網(wǎng)絡(luò)安全越來越受到人們的重視,本文結(jié)合筆者在網(wǎng)絡(luò)管理的一些經(jīng)驗(yàn)體會(huì),從密碼安全、系統(tǒng)安全、共享目錄安全和木馬防范方面,對(duì)校園網(wǎng)的安全談了自己的看法和做法,供大家參考。 [關(guān)鍵詞] 網(wǎng)絡(luò) 安全 黑客
隨"校校通"工程的深入開展,許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用,這無疑對(duì)加快信息處理,提高工作效率,減輕勞動(dòng)強(qiáng)度,實(shí)現(xiàn)資源共享都起到無法估量的作用。但在積極發(fā)展辦公自動(dòng)化、實(shí)現(xiàn)資源共享的同時(shí),人們對(duì)校園網(wǎng)絡(luò)的安全也越加重視。尤其最近暴發(fā)的"紅色代碼"、"藍(lán)色代碼"及"尼姆達(dá)"病毒,使人們更加深刻的認(rèn)識(shí)到了網(wǎng)絡(luò)安全的重要。正如人們所說的:網(wǎng)絡(luò)的生命在于其安全性。因此,如何在現(xiàn)有的條件下,如何搞好網(wǎng)絡(luò)的安全,就成了網(wǎng)絡(luò)管理人員的一個(gè)重要課題。
目前,許多學(xué)校的校園網(wǎng)都以WINDOWS NT做為系統(tǒng)平臺(tái),由IIS(Internet Information Server)提供WEB等等服務(wù)。下面本人結(jié)合自己對(duì)WINDOWS NT網(wǎng)絡(luò)管理的一點(diǎn)經(jīng)驗(yàn)與體會(huì),就技術(shù)方面談?wù)勛约簩?duì)校園網(wǎng)安全的一些看法。
一、密碼的安全
眾所周知,用密碼保護(hù)系統(tǒng)和數(shù)據(jù)的安全是最經(jīng)常采用也是最初采用的方法之一。目前發(fā)現(xiàn)的大多數(shù)安全問題,是由于密碼管理不嚴(yán),使 "入侵者"得以趁虛而入。因此密碼口令的有效管理是非;镜,也是非常重要的。
在密碼的設(shè)置安全上,首先絕對(duì)杜絕不設(shè)口令的帳號(hào)存在,尤其是超級(jí)用戶帳號(hào)。一些網(wǎng)絡(luò)管理人員,為了圖方便,認(rèn)為服務(wù)服務(wù)器只由自己一個(gè)人管理使用,常常對(duì)系統(tǒng)不設(shè)置密碼。這樣,"入侵者"就能通過網(wǎng)絡(luò)輕而易舉的進(jìn)入系統(tǒng)。筆者曾經(jīng)就發(fā)現(xiàn)并進(jìn)入多個(gè)這樣的系統(tǒng)。另外,對(duì)于系統(tǒng)的一些權(quán)限,如果設(shè)置不當(dāng),對(duì)用戶不進(jìn)行密碼驗(yàn)證,也可能為"入侵者"留下后門。比如,對(duì)WEB網(wǎng)頁的修改權(quán)限設(shè)置,在WINDOWS NT 4 .0+IIS 4 .0版系統(tǒng)中,就常常將網(wǎng)站的修改權(quán)限設(shè)定為任何用戶都能修改(可能是IIS默認(rèn)安裝造成的),這樣,任何一個(gè)用戶,通過互聯(lián)網(wǎng)連上站點(diǎn)后,都可以對(duì)主頁進(jìn)行修改刪除等操作。
其次,在密碼口令的設(shè)置上要避免使用弱密碼,就是容易被人猜出字符作為密碼。筆者就猜過幾個(gè)這樣的站點(diǎn),他們的共同特點(diǎn)就是利用自己名字的縮寫或6位相同的數(shù)字進(jìn)行密碼設(shè)置。
密碼的長(zhǎng)度也是設(shè)置者所要考慮的一個(gè)問題。在WINDOWS NT系統(tǒng)中,有一個(gè)sam文件,它是windows NT的用戶帳戶數(shù)據(jù)庫(kù),所有NT用戶的登錄名及口令等相關(guān)信息都會(huì)保存在這個(gè)文件中。如果"入侵者"通過系統(tǒng)或網(wǎng)絡(luò)的漏洞得到了這個(gè)文件,就能通過一定的程序(如L0phtCrack)對(duì)它進(jìn)行解碼分析。在用L0phtCrack破解時(shí),如果使用"暴力破解" 方式對(duì)所有字符組合進(jìn)行破解,那么對(duì)于5位以下的密碼它最多只要用十幾分鐘就完成,對(duì)于6位字符的密碼它也只要用十幾小時(shí),但是對(duì)于7位或以上它至少耗時(shí)一個(gè)月左右,所以說,在密碼設(shè)置時(shí)一定要有足夠的長(zhǎng)度?傊诿艽a設(shè)置上,最好使用一個(gè)不常見、有一定長(zhǎng)度的但是你又容易記得的密碼。另外,適當(dāng)?shù)慕徊媸褂么笮懽帜敢彩窃黾颖黄平怆y度的好辦法。
二、系統(tǒng)的安全
最近流行于網(wǎng)絡(luò)上的"紅色代碼"、"藍(lán)色代碼"及"尼姆達(dá)"病毒都利用系統(tǒng)的漏洞進(jìn)行傳播。從目前來看,各種系統(tǒng)或多或少都存在著各種的漏洞,系統(tǒng)漏洞的存在就成網(wǎng)絡(luò)安全的首要問題,發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員主要任務(wù)。當(dāng)然,從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的,但是及早地發(fā)現(xiàn)有報(bào)告的漏洞,并進(jìn)行升級(jí)補(bǔ)丁卻是我們應(yīng)該做的。而發(fā)現(xiàn)有報(bào)告的漏洞最常用的方法,就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站,對(duì)于我們有使用的軟件和服務(wù),應(yīng)該密切關(guān)注其程序的最新版本和安全信息,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)。比如上面提及引起"紅色代碼"、"藍(lán)色代碼"及"尼姆達(dá)"病毒的傳播流行的Unicode解碼漏洞,早在去年的10月就被發(fā)現(xiàn),且沒隔多久就有了解決方案和補(bǔ)丁,但是許多的網(wǎng)絡(luò)管理員并沒有知道及時(shí)的發(fā)現(xiàn)和補(bǔ)丁,以至于過了將近一年,還能掃描到許多機(jī)器存在該漏洞。
在校園網(wǎng)中服務(wù)器,為用戶提供著各種的服務(wù),但是服務(wù)提供的越多,系統(tǒng)就存在更多的漏洞,也就有更多的危險(xiǎn)。因些從安全角度考慮,應(yīng)將不必要的服務(wù)關(guān)閉,只向公眾提供了他們所需的基本的服務(wù)。最典型的是,我們?cè)谛@網(wǎng)服務(wù)器中對(duì)公眾通常只提供WEB服務(wù)功能,而沒有必要向公眾提供FTP功能,這樣,在服務(wù)器的服務(wù)配置中,我們只開放WEB服務(wù),而將FTP服務(wù)禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因?yàn)橥ㄟ^FTP用戶可以上傳文件內(nèi)容,如果用戶目錄又給了可執(zhí)行權(quán)限,那么,通過運(yùn)行上傳某些程序,就可能使服務(wù)器受到攻擊。所以,信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個(gè)因素。
在WINDOWS NT使用的IIS,是微軟的組件中漏洞最多的一個(gè),平均兩三個(gè)月就要出一個(gè)漏洞,而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維,為了加大安全性,在安裝配置時(shí)可以注意以下幾個(gè)方面:
首先,不要將IIS安裝在默認(rèn)目錄里(默認(rèn)目錄為C:\Inetpub),可以在其它邏輯盤中重新建一個(gè)目錄,并在IIS管理器中將主目錄指向新建的目錄。
其次,IIS在安裝后,會(huì)在目錄中產(chǎn)生如scripts等默認(rèn)虛擬目錄,而該目錄有執(zhí)行程序的權(quán)限,這對(duì)系統(tǒng)的安全影響較大,許多漏洞的利用都是通過它進(jìn)行的。因此,在安裝后,應(yīng)將所有不用的虛擬目錄都刪除掉。
第三,在安裝IIS后,要對(duì)應(yīng)用程序進(jìn)行配置,在IIS管理器中刪除必須之外的任何無用映射,只保留確實(shí)需要用到的文件類型。對(duì)于各目錄的權(quán)限設(shè)置一定要慎重,盡量不要給可執(zhí)行權(quán)限。
三、目錄共享的安全
在校園網(wǎng)絡(luò)中,利用在對(duì)等網(wǎng)中對(duì)計(jì)算機(jī)中的某個(gè)目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個(gè)方法。但在設(shè)置過程中,要充分認(rèn)識(shí)到當(dāng)一個(gè)目錄共享后,就不光是校園網(wǎng)內(nèi)的用戶可以訪問到,而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問。這也成了數(shù)據(jù)資料安全的一個(gè)隱患。筆者曾搜索過外地機(jī)器的一個(gè)C類IP網(wǎng)段,發(fā)現(xiàn)共享的機(jī)器就有十幾臺(tái),而且許多機(jī)器是將整個(gè)C盤、D盤進(jìn)行共享,并且在共享時(shí)將屬性設(shè)置為完全共享,且不進(jìn)行密碼保護(hù),這樣只要將其映射成一個(gè)網(wǎng)絡(luò)硬盤,就能對(duì)上面的資料、文檔進(jìn)行查看、修改、刪除。所以,為了防止資料的外泄,在設(shè)置共享時(shí)一定要設(shè)定訪問密碼。只有這樣,才能保證共享目錄資料的安全。
四、木馬的防范
相信木馬對(duì)于大多數(shù)人來說不算陌生。它是一種遠(yuǎn)程控制工具,以簡(jiǎn)便、易行、有效而深受廣大黑客青睞。一臺(tái)電腦一旦中上木馬,它就變成了一臺(tái)傀儡機(jī),對(duì)方可以在你的電腦上上傳下載文件,偷窺你的私人文件,偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前,隱私?不復(fù)存在!木馬,應(yīng)該說是網(wǎng)絡(luò)安全的大敵。并且在進(jìn)行的各種入侵攻擊行為中,木馬都起到了開路先鋒的作用。
木馬感染通常是執(zhí)行了一些帶毒的程序,而駐留在你的計(jì)算機(jī)當(dāng)中,在以后的計(jì)算機(jī)啟動(dòng)后,木馬就在機(jī)器中打開一個(gè)服務(wù),通過這個(gè)服務(wù)將你計(jì)算機(jī)的信息、資料向外傳遞,在各種木馬中,較常見的是"冰河",筆者也曾用冰河掃描過網(wǎng)絡(luò)上的計(jì)算機(jī)。發(fā)現(xiàn)每個(gè)C類IP網(wǎng)段中(個(gè)人用戶),偶爾都會(huì)發(fā)現(xiàn)一、二個(gè)感染冰河的機(jī)器。由此可見,個(gè)人用戶中感染木馬的可能性還是比較高的。如果是服務(wù)器感染了木馬,危害更是可怕。
木馬的清除一般可以通過各種殺毒軟件來進(jìn)行查殺。但對(duì)于新出現(xiàn)的木馬,我們的防治可以通過端口的掃描來進(jìn)行,端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,我們平時(shí)多注意一下服務(wù)器中開放的端口,如果有一些新端口的出現(xiàn),就必須查看一下正在運(yùn)行的程序,以及注冊(cè)表中自動(dòng)加載運(yùn)行的程序,來監(jiān)測(cè)是否有木馬存在。
以上只是筆者對(duì)防范外部入侵,維護(hù)網(wǎng)絡(luò)安全的一些粗淺看法,當(dāng)然對(duì)于這些方面的安全還可以通過設(shè)置必要的防火墻,建立健全的網(wǎng)絡(luò)管理制度來實(shí)現(xiàn)。但是在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)安全上,還必須定時(shí)進(jìn)行數(shù)據(jù)安全備份。對(duì)于硬盤中數(shù)據(jù)備份的方法很多種,在WINDOWS 2000 SERVER版本上,我們提倡通過鏡像卷的設(shè)置來進(jìn)行實(shí)時(shí)數(shù)據(jù)備份,這樣即使服務(wù)器中的一個(gè)硬盤損壞,也不至于使數(shù)據(jù)丟失。
[作者簡(jiǎn)介] 現(xiàn)任三明二中教研室副主任 中學(xué)高級(jí)教師;三明市達(dá)標(biāo)中學(xué)現(xiàn)代教育技術(shù)中心教研組副秘書長(zhǎng);福建省教育學(xué)會(huì)計(jì)算機(jī)研究會(huì)理事;三明市生物教學(xué)研究會(huì)理事長(zhǎng)。
【校園網(wǎng)絡(luò)安全初探】相關(guān)文章:
“愉快教學(xué)”初探08-19
校園網(wǎng)絡(luò)安全自查報(bào)告01-10
校園網(wǎng)絡(luò)安全心得體會(huì)03-07
寫話教學(xué)初探08-23
孟子經(jīng)濟(jì)思想初探08-18
校園網(wǎng)絡(luò)安全自查報(bào)告4篇03-18