|
校園網(wǎng)絡(luò)安全初探
校園網(wǎng)絡(luò)安全初探 校園網(wǎng)絡(luò)安全初探 三明市第二中學(xué)林穎韜[內(nèi)容摘要] 網(wǎng)絡(luò)安全越來越受到人們的重視��,本文結(jié)合筆者在網(wǎng)絡(luò)管理的一些經(jīng)驗體會��,從密碼安全���、系統(tǒng)安全�����、共享目錄安全和木馬防范方面�����,對校園網(wǎng)的安全談了自己的看法和做法���,供大家參考。 [關(guān)鍵詞] 網(wǎng)絡(luò) 安全 黑客 隨"校校通"工程的深入開展,許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用���,這無疑對加快信息處理��,提高工作效率���,減輕勞動強(qiáng)度,實現(xiàn)資源共享都起到無法估量的作用���。但在積極發(fā)展辦公自動化���、實現(xiàn)資源共享的同時,人們對校園網(wǎng)絡(luò)的安全也越加重視���。尤其最近暴發(fā)的"紅色代碼"、"藍(lán)色代碼"及"尼姆達(dá)"病毒���,使人們更加深刻的認(rèn)識到了網(wǎng)絡(luò)安全的重要����。正如人們所說的:網(wǎng)絡(luò)的生命在于其安全性���。因此�,如何在現(xiàn)有的條件下,如何搞好網(wǎng)絡(luò)的安全�,就成了網(wǎng)絡(luò)管理人員的一個重要課題。 目前��,許多學(xué)校的校園網(wǎng)都以WINDOWS NT做為系統(tǒng)平臺�����,由IIS(Internet Information Server)提供WEB等等服務(wù)�����。下面本人結(jié)合自己對WINDOWS NT網(wǎng)絡(luò)管理的一點經(jīng)驗與體會��,就技術(shù)方面談?wù)勛约簩π@網(wǎng)安全的一些看法��。 一�����、密碼的安全 眾所周知���,用密碼保護(hù)系統(tǒng)和數(shù)據(jù)的安全是最經(jīng)常采用也是最初采用的方法之一�。目前發(fā)現(xiàn)的大多數(shù)安全問題,是由于密碼管理不嚴(yán)����,使 "入侵者"得以趁虛而入。因此密碼口令的有效管理是非����;镜模彩欠浅V匾���。 在密碼的設(shè)置安全上�,首先絕對杜絕不設(shè)口令的帳號存在��,尤其是超級用戶帳號���。一些網(wǎng)絡(luò)管理人員�����,為了圖方便,認(rèn)為服務(wù)服務(wù)器只由自己一個人管理使用����,常常對系統(tǒng)不設(shè)置密碼。這樣,"入侵者"就能通過網(wǎng)絡(luò)輕而易舉的進(jìn)入系統(tǒng)�����。筆者曾經(jīng)就發(fā)現(xiàn)并進(jìn)入多個這樣的系統(tǒng)��。另外�,對于系統(tǒng)的一些權(quán)限,如果設(shè)置不當(dāng)�,對用戶不進(jìn)行密碼驗證,也可能為"入侵者"留下后門�����。比如�����,對WEB網(wǎng)頁的修改權(quán)限設(shè)置�,在WINDOWS NT 4 .0+IIS 4 .0版系統(tǒng)中,就常常將網(wǎng)站的修改權(quán)限設(shè)定為任何用戶都能修改(可能是IIS默認(rèn)安裝造成的)����,這樣,任何一個用戶�����,通過互聯(lián)網(wǎng)連上站點后,都可以對主頁進(jìn)行修改刪除等操作�。 其次,在密碼口令的設(shè)置上要避免使用弱密碼���,就是容易被人猜出字符作為密碼����。筆者就猜過幾個這樣的站點���,他們的共同特點就是利用自己名字的縮寫或6位相同的數(shù)字進(jìn)行密碼設(shè)置����。 密碼的長度也是設(shè)置者所要考慮的一個問題����。在WINDOWS NT系統(tǒng)中,有一個sam文件����,它是windows NT的用戶帳戶數(shù)據(jù)庫,所有NT用戶的登錄名及口令等相關(guān)信息都會保存在這個文件中�。如果"入侵者"通過系統(tǒng)或網(wǎng)絡(luò)的漏洞得到了這個文件,就能通過一定的程序(如L0phtCrack)對它進(jìn)行解碼分析�。在用L0phtCrack破解時,如果使用"暴力破解" 方式對所有字符組合進(jìn)行破解�����,那么對于5位以下的密碼它最多只要用十幾分鐘就完成��,對于6位字符的密碼它也只要用十幾小時���,但是對于7位或以上它至少耗時一個月左右�,所以說��,在密碼設(shè)置時一定要有足夠的長度������?傊诿艽a設(shè)置上,最好使用一個不常見�、有一定長度的但是你又容易記得的密碼。另外����,適當(dāng)?shù)慕徊媸褂么笮懽帜敢彩窃黾颖黄平怆y度的好辦法����。 二����、系統(tǒng)的安全 最近流行于網(wǎng)絡(luò)上的"紅色代碼"、"藍(lán)色代碼"及"尼姆達(dá)"病毒都利用系統(tǒng)的漏洞進(jìn)行傳播���。從目前來看���,各種系統(tǒng)或多或少都存在著各種的漏洞,系統(tǒng)漏洞的存在就成網(wǎng)絡(luò)安全的首要問題���,發(fā)現(xiàn)并及時修補(bǔ)漏洞是每個網(wǎng)絡(luò)管理人員主要任務(wù)�。當(dāng)然����,從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的,但是及早地發(fā)現(xiàn)有報告的漏洞���,并進(jìn)行升級補(bǔ)丁卻是我們應(yīng)該做的����。而發(fā)現(xiàn)有報告的漏洞最常用的方法,就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站����,對于我們有使用的軟件和服務(wù)��,應(yīng)該密切關(guān)注其程序的最新版本和安全信息�,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對軟件進(jìn)行必要的補(bǔ)丁和升級。比如上面提及引起"紅色代碼"��、"藍(lán)色代碼"及"尼姆達(dá)"病毒的傳播流行的Unicode解碼漏洞�,早在去年的10月就被發(fā)現(xiàn),且沒隔多久就有了解決方案和補(bǔ)丁�����,但是許多的網(wǎng)絡(luò)管理員并沒有知道及時的發(fā)現(xiàn)和補(bǔ)丁���,以至于過了將近一年�,還能掃描到許多機(jī)器存在該漏洞����。 在校園網(wǎng)中服務(wù)器,為用戶提供著各種的服務(wù)�,但是服務(wù)提供的越多�,系統(tǒng)就存在更多的漏洞�����,也就有更多的危險�。因些從安全角度考慮,應(yīng)將不必要的服務(wù)關(guān)閉�����,只向公眾提供了他們所需的基本的服務(wù)����。最典型的是,我們在校園網(wǎng)服務(wù)器中對公眾通常只提供WEB服務(wù)功能����,而沒有必要向公眾提供FTP功能,這樣����,在服務(wù)器的服務(wù)配置中,我們只開放WEB服務(wù)�����,而將FTP服務(wù)禁止。如果要開放FTP功能���,就一定只能向可能信賴的用戶開放���,因為通過FTP用戶可以上傳文件內(nèi)容,如果用戶目錄又給了可執(zhí)行權(quán)限�����,那么�,通過運(yùn)行上傳某些程序���,就可能使服務(wù)器受到攻擊����。所以����,信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個因素。 在WINDOWS NT使用的IIS����,是微軟的組件中漏洞最多的一個�����,平均兩三個月就要出一個漏洞����,而微軟的IIS默認(rèn)安裝又實在不敢恭維�����,為了加大安全性�,在安裝配置時可以注意以下幾個方面: 首先,不要將IIS安裝在默認(rèn)目錄里(默認(rèn)目錄為C:\Inetpub)����,可以在其它邏輯盤中重新建一個目錄,并在IIS管理器中將主目錄指向新建的目錄���。 其次����,IIS在安裝后�,會在目錄中產(chǎn)生如scripts等默認(rèn)虛擬目錄,而該目錄有執(zhí)行程序的權(quán)限,這對系統(tǒng)的安全影響較大���,許多漏洞的利用都是通過它進(jìn)行的�。因此�,在安裝后,應(yīng)將所有不用的虛擬目錄都刪除掉�����。 第三�����,在安裝IIS后,要對應(yīng)用程序進(jìn)行配置�����,在IIS管理器中刪除必須之外的任何無用映射�,只保留確實需要用到的文件類型。對于各目錄的權(quán)限設(shè)置一定要慎重��,盡量不要給可執(zhí)行權(quán)限���。 三、目錄共享的安全 在校園網(wǎng)絡(luò)中�����,利用在對等網(wǎng)中對計算機(jī)中的某個目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個方法。但在設(shè)置過程中����,要充分認(rèn)識到當(dāng)一個目錄共享后�����,就不光是校園網(wǎng)內(nèi)的用戶可以訪問到���,而是連在網(wǎng)絡(luò)上的各臺計算機(jī)都能對它進(jìn)行訪問����。這也成了數(shù)據(jù)資料安全的一個隱患�����。筆者曾搜索過外地機(jī)器的一個C類IP網(wǎng)段�����,發(fā)現(xiàn)共享的機(jī)器就有十幾臺���,而且許多機(jī)器是將整個C盤����、D盤進(jìn)行共享�,并且在共享時將屬性設(shè)置為完全共享,且不進(jìn)行密碼保護(hù)�,這樣只要將其映射成一個網(wǎng)絡(luò)硬盤,就能對上面的資料�����、文檔進(jìn)行查看�、修改�����、刪除��。所以,為了防止資料的外泄���,在設(shè)置共享時一定要設(shè)定訪問密碼��。只有這樣�����,才能保證共享目錄資料的安全�。 四����、木馬的防范 相信木馬對于大多數(shù)人來說不算陌生。它是一種遠(yuǎn)程控制工具��,以簡便����、易行、有效而深受廣大黑客青睞����。一臺電腦一旦中上木馬,它就變成了一臺傀儡機(jī)����,對方可以在你的電腦上上傳下載文件����,偷窺你的私人文件�,偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前,隱私�?不復(fù)存在!木馬����,應(yīng)該說是網(wǎng)絡(luò)安全的大敵。并且在進(jìn)行的各種入侵攻擊行為中�����,木馬都起到了開路先鋒的作用���。 木馬感染通常是執(zhí)行了一些帶毒的程序���,而駐留在你的計算機(jī)當(dāng)中��,在以后的計算機(jī)啟動后����,木馬就在機(jī)器中打開一個服務(wù)�����,通過這個服務(wù)將你計算機(jī)的信息�、資料向外傳遞���,在各種木馬中�����,較常見的是"冰河"��,筆者也曾用冰河掃描過網(wǎng)絡(luò)上的計算機(jī)�。發(fā)現(xiàn)每個C類IP網(wǎng)段中(個人用戶)���,偶爾都會發(fā)現(xiàn)一����、二個感染冰河的機(jī)器���。由此可見����,個人用戶中感染木馬的可能性還是比較高的。如果是服務(wù)器感染了木馬��,危害更是可怕�。 木馬的清除一般可以通過各種殺毒軟件來進(jìn)行查殺。但對于新出現(xiàn)的木馬���,我們的防治可以通過端口的掃描來進(jìn)行���,端口是計算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,我們平時多注意一下服務(wù)器中開放的端口�����,如果有一些新端口的出現(xiàn)���,就必須查看一下正在運(yùn)行的程序��,以及注冊表中自動加載運(yùn)行的程序��,來監(jiān)測是否有木馬存在��。 以上只是筆者對防范外部入侵����,維護(hù)網(wǎng)絡(luò)安全的一些粗淺看法�,當(dāng)然對于這些方面的安全還可以通過設(shè)置必要的防火墻,建立健全的網(wǎng)絡(luò)管理制度來實現(xiàn)���。但是在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)安全上�,還必須定時進(jìn)行數(shù)據(jù)安全備份��。對于硬盤中數(shù)據(jù)備份的方法很多種�,在WINDOWS 2000 SERVER版本上,我們提倡通過鏡像卷的設(shè)置來進(jìn)行實時數(shù)據(jù)備份����,這樣即使服務(wù)器中的一個硬盤損壞,也不至于使數(shù)據(jù)丟失�����。 [作者簡介] 現(xiàn)任三明二中教研室副主任 中學(xué)高級教師����;三明市達(dá)標(biāo)中學(xué)現(xiàn)代教育技術(shù)中心教研組副秘書長;福建省教育學(xué)會計算機(jī)研究會理事;三明市生物教學(xué)研究會理事長����。
|