论文部分内容阅读
摘要: 网络安全管理是网络管理的重中之重,特别是学校校园网的安全直接关系到教育教学活动的正常进行,必须引起人们的高度重视。对安全问题的来源进行分析,有针对性地预防,可以提高校园网的安全水平。
关键词:网络安全;规划设计;系统安全
中图分类号:TP393.08
随着高校信息化进程的推进,高校校园网上运行的应用系统越来越多,信息系统变得越来越庞大和复杂。外部网主要实现校园网与Internet 的基础接入。校园网络拥有着大规模的、高速的、开放的网络环境;支撑着复杂的网上应用和业务类型;拥有着活跃的、不同使用水平的用户群体。因此,安全风险的防御问题也就变得较为严重和复杂。
1 安全问题来源分析
1.1病毒入侵严重
目前,网络病毒层出不穷,传播速度快、破坏性强、传播范围广,时刻威胁着校园网的安全。大量病毒以电子邮件、网络共享、网页浏览、即时通信或主动扫描等方式,感染校园网的服务器和客户机,导致网络的“拒绝服务”,严重时会造成网络瘫痪。
1.2网络的先天性不足
校园网络一般基于Internet 技术构建,并与Internet 相连。Internet 的互联性和开放性给社会带来极大效益的同时,入侵者也得到了更多的机会。[2]因为Internet 本身缺乏相应的安全机制,不对机密信息和敏感信息提供保护。Web的精华是交互性,这也正是它的致命弱点。
1.3软件系统的漏洞
没有十全十美的软件产品,系统中的安全漏洞和“后门”不可避免地存在。正是由于漏洞的存在,才让黑客有了可乘之机。目前,在操作系统、通信协议、网络应用软件中均不同程度地存在安全漏洞或安全缺陷。
2 配置安全服务器
2.1端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响主机的安全。一般来说,仅打开必须的端口是最明智的安全做法,配置方法是在“网卡属性→TCP/IP协议→高级→选项、→TCP/IP筛选”中启用“TCP/IP筛选”。
2.2IIS
IIS是微软组件中迄今为止发现漏洞最多的一个,特别是它的默认安装、此处应重点进行配置;其一、彻底删除系统盘(一般是C盘)的Inetpub目录、到其它盘新建一个目录、而且起名最好不是Inetpub。
再到IIS管理器中将主目录指向这个新建的非系统盘目录。
其二,删除IIS安装时默认的Scripts等虚拟目录、它们很容易暴露出本地网页物理路径。需要什么权限的目录就自己建立一个,权限也一定要注意,特别是写权限和执行程序的权限。
其三,在IIS管理器中删除必须之外的任何无用映射,必须指出的是ASP、ASA和其它需用到的文件类型%在IIS管理器中右击“主机→属性→www服务编辑→主目录→配置→应用程序映射” ,接着开始单独删除即可。[3]然后到应用程序调试标签内将脚本错误消息更改为发送文本。
最后,还可以使用IIS的备份功能,将上述的设定备份以便随时恢复IIS的安全配置。如果担心IIS负荷过大而导致服务器死机的话,可以在性能中打开CPU限制,将其使用率限制为80%。
2.3帐号安全
Windows 2000 Server默认安装后允许任何用户通过139端口的空连接得到系统所有账号名称及共享列表。本来这是为方便校园局域网用户共享文件设计的,但远程用户同样也能得到这些敏感信息,从而使暴力破解用户密码成为可能。
打开注册表编辑器,在“开始→运行”中填入“Regedit”并确定,找到Hkey_Local_Machines\Svstem\CnrrentControlSet\Control\LSA_RestrictAnonymous、令其值为“1",这样即可禁止139端口的空连接访问。
2.4安全日志
默认情况下Windows 2000 Server未打开任何安全审核,所以必须打开“本地安全策略”→审核策略下的“审核”进行如下的设置:账户管理——(成功、失败),登录事件——(成功、失败),对象访问——(失败), 策略更改——(成功、失败),特权使用——(失败),系统事件——(成功、失败),目录服务访问——(失败),账户登录事件——(成功、失败)。同时在“账户策略→密码策略”中也要设置:密码复杂性——启用,密码长度最小值——6位,强制密码历史——5次,最长存留期——30天;还要在“账户策略→账户锁定策略”中设置:账户锁定——3次错误登录,锁定时间——20分钟,复位锁定计数——20分钟。[4]
3 网络病毒的防护
为保证服务器的安全,除了服务器端的工作外,对网络用户的客户端也采取了相应措施,从有害攻击的源头抓起,对每个网络用户负责。
针对网络时代病毒新的特点,在校园网上布置诺顿网络防病毒系统,网络中心安装诺顿防病毒服务器,每个校园网用户可方便下载、安装客户端软件,整个系统自动、快速升级,实现实时防毒控制。[5]这样,有效地控制了造成重大危害的蠕虫病毒在校园网上的传播。
校园网设置防病毒、垃圾邮件网关,对进出的邮件实时扫描、过滤,滤除有害的病毒邮件、垃圾邮件,并可设置灵活的针对特殊关键字的过滤,滤除有害信息。
4 管理员的安全意识
4.1管理模式
从网络管理角度来看,在网络管理中应实施“A-C-S 角色管理模型”,即A:Administrator 系统管理员,负责承担日常的例行维护,他是管理计算机系统的主要人员;C :Configuation Manager 配置管理员,负责进行计算机设备的资产管理、网络参数( 如网络地址子网掩码)的分配和登记;S:Security Consultant安全管理员,负责评估和审核计算机系统的安全状况,关注网络安全动态,调整相关安全设置,进行入侵防范,发出安全公告,紧急修复系统。上述三角色各有分工又相互协作,系统管理员接受安全管理员在安全方面的监督,接纳其安全建议;配置管理员统管网络资源分配,进行整个网络的调整,向系统管理员和安全管理员提供网络参数;安全管理员必须及时通知系统管理员相关的安全操作。
4.2坚持“最小授权”原则
网络管理员要经常性地查看服务器打开的服务端口和服务器的运行状态,关闭无需的服务端口。此外,管理员要经常性地总结经验,通过查看服务器性能及运行状态,判断服务器是否存在可能的危险,关闭不清楚的或不知的进程,尽可能地做到防微杜渐。[6]“最小授权”原则还要求网络中帐号设置、服务配置、主机间信任关系配置等,应该设为网络正常运行所需的最小限度。
4.3口令安全策略
大多数黑客入侵,就是通过各种途径取得管理员口令,因此,校園网管理员的口令安全策略显得尤其重要。管理员口令安全策略主要有:
(1)不要使用比较容易猜的口令,最好使用字符和数字的混合口令。
(2)定期更换管理员口令。
(3 )设置系统安全策略,限制用户错误口令登录次数,防止用户枚举性地试探猜测管理员口令。
参考文献:
[1] 龚静. 高校校园网的安全与防护[J]. 教育信息化 ,2005,(04) .
[2] 董慧娟. 校园网的网络安全策略[J]. 无锡职业技术学院学报 ,2005,(02) .
关键词:网络安全;规划设计;系统安全
中图分类号:TP393.08
随着高校信息化进程的推进,高校校园网上运行的应用系统越来越多,信息系统变得越来越庞大和复杂。外部网主要实现校园网与Internet 的基础接入。校园网络拥有着大规模的、高速的、开放的网络环境;支撑着复杂的网上应用和业务类型;拥有着活跃的、不同使用水平的用户群体。因此,安全风险的防御问题也就变得较为严重和复杂。
1 安全问题来源分析
1.1病毒入侵严重
目前,网络病毒层出不穷,传播速度快、破坏性强、传播范围广,时刻威胁着校园网的安全。大量病毒以电子邮件、网络共享、网页浏览、即时通信或主动扫描等方式,感染校园网的服务器和客户机,导致网络的“拒绝服务”,严重时会造成网络瘫痪。
1.2网络的先天性不足
校园网络一般基于Internet 技术构建,并与Internet 相连。Internet 的互联性和开放性给社会带来极大效益的同时,入侵者也得到了更多的机会。[2]因为Internet 本身缺乏相应的安全机制,不对机密信息和敏感信息提供保护。Web的精华是交互性,这也正是它的致命弱点。
1.3软件系统的漏洞
没有十全十美的软件产品,系统中的安全漏洞和“后门”不可避免地存在。正是由于漏洞的存在,才让黑客有了可乘之机。目前,在操作系统、通信协议、网络应用软件中均不同程度地存在安全漏洞或安全缺陷。
2 配置安全服务器
2.1端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响主机的安全。一般来说,仅打开必须的端口是最明智的安全做法,配置方法是在“网卡属性→TCP/IP协议→高级→选项、→TCP/IP筛选”中启用“TCP/IP筛选”。
2.2IIS
IIS是微软组件中迄今为止发现漏洞最多的一个,特别是它的默认安装、此处应重点进行配置;其一、彻底删除系统盘(一般是C盘)的Inetpub目录、到其它盘新建一个目录、而且起名最好不是Inetpub。
再到IIS管理器中将主目录指向这个新建的非系统盘目录。
其二,删除IIS安装时默认的Scripts等虚拟目录、它们很容易暴露出本地网页物理路径。需要什么权限的目录就自己建立一个,权限也一定要注意,特别是写权限和执行程序的权限。
其三,在IIS管理器中删除必须之外的任何无用映射,必须指出的是ASP、ASA和其它需用到的文件类型%在IIS管理器中右击“主机→属性→www服务编辑→主目录→配置→应用程序映射” ,接着开始单独删除即可。[3]然后到应用程序调试标签内将脚本错误消息更改为发送文本。
最后,还可以使用IIS的备份功能,将上述的设定备份以便随时恢复IIS的安全配置。如果担心IIS负荷过大而导致服务器死机的话,可以在性能中打开CPU限制,将其使用率限制为80%。
2.3帐号安全
Windows 2000 Server默认安装后允许任何用户通过139端口的空连接得到系统所有账号名称及共享列表。本来这是为方便校园局域网用户共享文件设计的,但远程用户同样也能得到这些敏感信息,从而使暴力破解用户密码成为可能。
打开注册表编辑器,在“开始→运行”中填入“Regedit”并确定,找到Hkey_Local_Machines\Svstem\CnrrentControlSet\Control\LSA_RestrictAnonymous、令其值为“1",这样即可禁止139端口的空连接访问。
2.4安全日志
默认情况下Windows 2000 Server未打开任何安全审核,所以必须打开“本地安全策略”→审核策略下的“审核”进行如下的设置:账户管理——(成功、失败),登录事件——(成功、失败),对象访问——(失败), 策略更改——(成功、失败),特权使用——(失败),系统事件——(成功、失败),目录服务访问——(失败),账户登录事件——(成功、失败)。同时在“账户策略→密码策略”中也要设置:密码复杂性——启用,密码长度最小值——6位,强制密码历史——5次,最长存留期——30天;还要在“账户策略→账户锁定策略”中设置:账户锁定——3次错误登录,锁定时间——20分钟,复位锁定计数——20分钟。[4]
3 网络病毒的防护
为保证服务器的安全,除了服务器端的工作外,对网络用户的客户端也采取了相应措施,从有害攻击的源头抓起,对每个网络用户负责。
针对网络时代病毒新的特点,在校园网上布置诺顿网络防病毒系统,网络中心安装诺顿防病毒服务器,每个校园网用户可方便下载、安装客户端软件,整个系统自动、快速升级,实现实时防毒控制。[5]这样,有效地控制了造成重大危害的蠕虫病毒在校园网上的传播。
校园网设置防病毒、垃圾邮件网关,对进出的邮件实时扫描、过滤,滤除有害的病毒邮件、垃圾邮件,并可设置灵活的针对特殊关键字的过滤,滤除有害信息。
4 管理员的安全意识
4.1管理模式
从网络管理角度来看,在网络管理中应实施“A-C-S 角色管理模型”,即A:Administrator 系统管理员,负责承担日常的例行维护,他是管理计算机系统的主要人员;C :Configuation Manager 配置管理员,负责进行计算机设备的资产管理、网络参数( 如网络地址子网掩码)的分配和登记;S:Security Consultant安全管理员,负责评估和审核计算机系统的安全状况,关注网络安全动态,调整相关安全设置,进行入侵防范,发出安全公告,紧急修复系统。上述三角色各有分工又相互协作,系统管理员接受安全管理员在安全方面的监督,接纳其安全建议;配置管理员统管网络资源分配,进行整个网络的调整,向系统管理员和安全管理员提供网络参数;安全管理员必须及时通知系统管理员相关的安全操作。
4.2坚持“最小授权”原则
网络管理员要经常性地查看服务器打开的服务端口和服务器的运行状态,关闭无需的服务端口。此外,管理员要经常性地总结经验,通过查看服务器性能及运行状态,判断服务器是否存在可能的危险,关闭不清楚的或不知的进程,尽可能地做到防微杜渐。[6]“最小授权”原则还要求网络中帐号设置、服务配置、主机间信任关系配置等,应该设为网络正常运行所需的最小限度。
4.3口令安全策略
大多数黑客入侵,就是通过各种途径取得管理员口令,因此,校園网管理员的口令安全策略显得尤其重要。管理员口令安全策略主要有:
(1)不要使用比较容易猜的口令,最好使用字符和数字的混合口令。
(2)定期更换管理员口令。
(3 )设置系统安全策略,限制用户错误口令登录次数,防止用户枚举性地试探猜测管理员口令。
参考文献:
[1] 龚静. 高校校园网的安全与防护[J]. 教育信息化 ,2005,(04) .
[2] 董慧娟. 校园网的网络安全策略[J]. 无锡职业技术学院学报 ,2005,(02) .