论文部分内容阅读
摘 要:教育系统信息网络的安全的问题已经变得越来越重要,根据现有的校园网络实际需求情况建立一道有效的校园网络系统的安全防线是必须的。
关键词:校园网;安全系统;服务器;Internet;网络
1 引言
伴随着各种网上教育系统和办公系统的应用,带来了许多工作的方便和效果,但随之而来的黑客、木马、病毒猖獗入侵,也给许多学校工作造成了许多麻烦和损失。教育系统信息网络的安全的问题已经变得越来越重要,而其中最为重要的便是服务器的安全防范。
2 建立校园网络安全系统
学校要建立自己的计算机安全系统,需根据自己单位的实际情况来选择安全级别,选择相应的软硬件设施和资金投入。下面以我们学校为例,具体介绍一下我们学校网络安全系统的建立。我学校采用10M光纤接入,由一个硬件防火墙,控制路由和数据的过滤分析功能。
所有内部系统的网络访问都要通过防火墙。防火墙只开放网站系统需要的部分端口。
2.1 图书馆网络安全系统
图书馆有许多重要的数据资料系统,但是只在图书馆内部局域网运行,服务器不接外网,只需要建立初级的计算机网络安全系统。我们学校图书馆目前有一台服务器,两台借阅系统机及几台查阅机。首先要注重的是图书馆管理员的管理。图书馆管理员正确的操作方法和权限管理是保证图书馆网络安全系统正常运行最为重要的部分。其次是杜绝外来的安全隐患,一般禁止外来光盘、软盘和U盘的使用。 最后是要做好备份,对于图书馆服务器来说,最为重要的是数据安全,每天做一次数据备份到专用的备份U盘或移动硬盘,每个星期对以前的数据刻录一张光盘备份。
2.2 学校内部访问的网站系统
这类网站系统的特点是学校的服务器上装有学校办公系统,教务管理系统等一些只供学校内部各处室及老师内部访问的网站,安全稳定级别相对较高。对于这种服务器级别的安全管理需要做好以下几点:
(1)在校园内部网中,尤其是服务器上,应尽量使用高版本的操作系统软件如Windows 2003 server等。对操作系统的安全级别应使用系统软件所能提供的最高级。
(2)一般只开放网站要求的几个端口,其它端口一律不开放。这类服务器只提供内网访问,不连接上internet。
(3)定期做好资料及系统备份,便于及时恢复。
2.3 对外开放的web服务器
这类电脑网络系统的特点是:要在互联网上发布web网站及实时地处理各类信息,所以会遇到各种复杂情况。这类服务器系统一般包含学校校园网站系统,资源管理系统,学校论坛等。这类服务器是对外开放的。较容易受到攻击,安全防范设置方面要求最高。
首先必须认真设置操作系统:值得注意的是,操作系统的许多缺省值都已被黑客利用来作为入侵系统的突破口,所以,尽量不要使用系统缺省值。具体地说,主要注意以下几点:
(1)改变Administrator账户的名字,为系统管理员和备份操作员创建特殊账户,使黑客猜不到系统管理员和备份操作员的账户名。禁止所有具有Administrator和备份特权的账户浏览Web,以防黑客网上即时侦听。不要设置缺省的Guest账户。
(2)确保sam文件在每次ERD更新后对所有人不可读。因为Windows NT把用户信息和加密口令保存于NT Registry中的SAM文件中,即安全账户管理(Security Accounts Management)数据库。
(3)限制远程管理员访问NT平台。因为任何一个用户都可以在命令行下,键入 IPaddress\C$(或者 IPaddress\D$, IPaddress\WINNT$)试图连接任意一个NT平台上管理系统的共享资源。
(4)在域控制器上,修改Registry中Winlogon的设置为“OFF”,以免Windows NT在注册对话框中显示最近一次注册的用户名,给潜在的黑客提供信息。
(5)严格限制NT域中Windows NT工作站上的管理员特权,决不用缺省值。因为任何人可能通过访问内存来获取加密的口令,以获得缺省管理员的访问权。
(6)对于注册表Registry,严格限制为只可进行本地注册,不可远程访问。因为Registry的缺省权限设置是对“所有人”、“安全控制”(Full Control)和“创建”(Create)。这种设置可能引起Registry文件的删除或者替换。
(7)对关键目录,应改变其缺省权限为“读”。缺省权限设置允许“所有人”对关键目录具有“变更”级的访问权。其中,“关键目录”包括:每个NTFS卷的根目录,System32目录,以及Win32App目录。
(8)合理配置FTP,确保服务器必须验证所有FTP申请。因为FTP有一个设置选项,允许客户直接进入一个账户,使无需授权而访问用户的文件和文件夹成为可能。
其次,加强计算机系统的保安工作:
(1)关闭系统管理员的远程能力,只允许他直接访问控制台。
(2)未经许可,不得重新安装WindowsNT软件。因为重新安装整个的操作系统,覆盖原来的系统,就可以获得Administrator特权。
最终,建立信息系统防火墙。
在防火墙上,应截止从端口135到142的所有TCP和UDP连接,这样有利于控制。最安全的方法是利用代理(Proxy)来限制或者完全拒绝网络上基于SMB的连接。SMB是指服务消息块(Server Message Block)。SMB有很多尚未公开的“后门”,能不用授权就可以存取SAM和NT服务器上的其他文件。SMB协议允许远程访问共享目录,Registry数据库,以及其他一些系统服务。
3 设置校园网络安全服务器系统
3.1 外网服务器
此服务器主要是放一些外部访问的web网站及一些供教师们上传下载的ftp空间。一般可只开放这台服务器的web网站的端口和ftp的端口。因这台服务器可能容易受外部黑客攻击,可装在硬件防火墙的外部接口上,与学校内部网络隔离开来。学校内部的机器只有通过internet网络才能访问这台服务器,局域网无法访问。这样可以防止这台服务器被黑客攻击后,连带校内其它机器同时受到攻击。外网服务器的数据资料可定期进行下载备份到内网机器上。
3.2 内网服务器
此服务器主要是放一些内部访问的web网站及一些供教师们上传下载的ftp空间及其它一些重要资料。一般可只开放这台服务器的web网站的端口和ftp的端口。因这台服务器处于内部网络,不开放其internet功能,不容易受外部黑客攻击,可装在硬件防火墙的内部接口上,与外部网络隔离开来。学校内部的机器只有通过内部局域网络才能访问这台服务器。这样可以防止这台服务器被黑客攻击,有利于保存一些重要的数据。
3.3 备份服务器
此服务器的主要功能也就是备份,一般不开放外部端口,可设定为对一些服务器的资料定时下载备份功能。
3.4 镜像系统
根据学校教育网的特点,可为学校内部网机器定期备份镜像系统,并把这些镜象系统刻成光盘,这样有利于提高维护的效率及安全性。
在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。负责安全的任何一个人都必须决定谁什么时候在具体的设备上进行合适的操作。当涉及到学校安全的时候什么是适宜的操作,但是任何一个校园网络都必须具有一个解决适宜性、从属性和物理安全问题的安全策略。一道有效的校园网络系统的安全防线,对于校园网络的稳定性和高效性是重要的。以上的一些方法能保证校园网络的运行达到基本的稳定要求。但具体实施应根据学校的实际情况出发。
许多网络系统都是从内部攻破的,由于学校学生电脑及部分办公室电脑的使用人员的复杂性,较难管理,而且大部分网络系统都是因为内部中了木马后被攻破,鉴于这种情况,我们需要一些措施来解决。除了给内部客户端更新防火墙和操作系统漏洞外,我们在内部几台重要服务器上也对内部网络客户端的访问用户做了端口和其它权限的限制。
改造了学校的网络系统后,经过一年多的试用情况,目前整个网络环境情况还算是稳定,但还需要进一步的验证和改进。
关键词:校园网;安全系统;服务器;Internet;网络
1 引言
伴随着各种网上教育系统和办公系统的应用,带来了许多工作的方便和效果,但随之而来的黑客、木马、病毒猖獗入侵,也给许多学校工作造成了许多麻烦和损失。教育系统信息网络的安全的问题已经变得越来越重要,而其中最为重要的便是服务器的安全防范。
2 建立校园网络安全系统
学校要建立自己的计算机安全系统,需根据自己单位的实际情况来选择安全级别,选择相应的软硬件设施和资金投入。下面以我们学校为例,具体介绍一下我们学校网络安全系统的建立。我学校采用10M光纤接入,由一个硬件防火墙,控制路由和数据的过滤分析功能。
所有内部系统的网络访问都要通过防火墙。防火墙只开放网站系统需要的部分端口。
2.1 图书馆网络安全系统
图书馆有许多重要的数据资料系统,但是只在图书馆内部局域网运行,服务器不接外网,只需要建立初级的计算机网络安全系统。我们学校图书馆目前有一台服务器,两台借阅系统机及几台查阅机。首先要注重的是图书馆管理员的管理。图书馆管理员正确的操作方法和权限管理是保证图书馆网络安全系统正常运行最为重要的部分。其次是杜绝外来的安全隐患,一般禁止外来光盘、软盘和U盘的使用。 最后是要做好备份,对于图书馆服务器来说,最为重要的是数据安全,每天做一次数据备份到专用的备份U盘或移动硬盘,每个星期对以前的数据刻录一张光盘备份。
2.2 学校内部访问的网站系统
这类网站系统的特点是学校的服务器上装有学校办公系统,教务管理系统等一些只供学校内部各处室及老师内部访问的网站,安全稳定级别相对较高。对于这种服务器级别的安全管理需要做好以下几点:
(1)在校园内部网中,尤其是服务器上,应尽量使用高版本的操作系统软件如Windows 2003 server等。对操作系统的安全级别应使用系统软件所能提供的最高级。
(2)一般只开放网站要求的几个端口,其它端口一律不开放。这类服务器只提供内网访问,不连接上internet。
(3)定期做好资料及系统备份,便于及时恢复。
2.3 对外开放的web服务器
这类电脑网络系统的特点是:要在互联网上发布web网站及实时地处理各类信息,所以会遇到各种复杂情况。这类服务器系统一般包含学校校园网站系统,资源管理系统,学校论坛等。这类服务器是对外开放的。较容易受到攻击,安全防范设置方面要求最高。
首先必须认真设置操作系统:值得注意的是,操作系统的许多缺省值都已被黑客利用来作为入侵系统的突破口,所以,尽量不要使用系统缺省值。具体地说,主要注意以下几点:
(1)改变Administrator账户的名字,为系统管理员和备份操作员创建特殊账户,使黑客猜不到系统管理员和备份操作员的账户名。禁止所有具有Administrator和备份特权的账户浏览Web,以防黑客网上即时侦听。不要设置缺省的Guest账户。
(2)确保sam文件在每次ERD更新后对所有人不可读。因为Windows NT把用户信息和加密口令保存于NT Registry中的SAM文件中,即安全账户管理(Security Accounts Management)数据库。
(3)限制远程管理员访问NT平台。因为任何一个用户都可以在命令行下,键入 IPaddress\C$(或者 IPaddress\D$, IPaddress\WINNT$)试图连接任意一个NT平台上管理系统的共享资源。
(4)在域控制器上,修改Registry中Winlogon的设置为“OFF”,以免Windows NT在注册对话框中显示最近一次注册的用户名,给潜在的黑客提供信息。
(5)严格限制NT域中Windows NT工作站上的管理员特权,决不用缺省值。因为任何人可能通过访问内存来获取加密的口令,以获得缺省管理员的访问权。
(6)对于注册表Registry,严格限制为只可进行本地注册,不可远程访问。因为Registry的缺省权限设置是对“所有人”、“安全控制”(Full Control)和“创建”(Create)。这种设置可能引起Registry文件的删除或者替换。
(7)对关键目录,应改变其缺省权限为“读”。缺省权限设置允许“所有人”对关键目录具有“变更”级的访问权。其中,“关键目录”包括:每个NTFS卷的根目录,System32目录,以及Win32App目录。
(8)合理配置FTP,确保服务器必须验证所有FTP申请。因为FTP有一个设置选项,允许客户直接进入一个账户,使无需授权而访问用户的文件和文件夹成为可能。
其次,加强计算机系统的保安工作:
(1)关闭系统管理员的远程能力,只允许他直接访问控制台。
(2)未经许可,不得重新安装WindowsNT软件。因为重新安装整个的操作系统,覆盖原来的系统,就可以获得Administrator特权。
最终,建立信息系统防火墙。
在防火墙上,应截止从端口135到142的所有TCP和UDP连接,这样有利于控制。最安全的方法是利用代理(Proxy)来限制或者完全拒绝网络上基于SMB的连接。SMB是指服务消息块(Server Message Block)。SMB有很多尚未公开的“后门”,能不用授权就可以存取SAM和NT服务器上的其他文件。SMB协议允许远程访问共享目录,Registry数据库,以及其他一些系统服务。
3 设置校园网络安全服务器系统
3.1 外网服务器
此服务器主要是放一些外部访问的web网站及一些供教师们上传下载的ftp空间。一般可只开放这台服务器的web网站的端口和ftp的端口。因这台服务器可能容易受外部黑客攻击,可装在硬件防火墙的外部接口上,与学校内部网络隔离开来。学校内部的机器只有通过internet网络才能访问这台服务器,局域网无法访问。这样可以防止这台服务器被黑客攻击后,连带校内其它机器同时受到攻击。外网服务器的数据资料可定期进行下载备份到内网机器上。
3.2 内网服务器
此服务器主要是放一些内部访问的web网站及一些供教师们上传下载的ftp空间及其它一些重要资料。一般可只开放这台服务器的web网站的端口和ftp的端口。因这台服务器处于内部网络,不开放其internet功能,不容易受外部黑客攻击,可装在硬件防火墙的内部接口上,与外部网络隔离开来。学校内部的机器只有通过内部局域网络才能访问这台服务器。这样可以防止这台服务器被黑客攻击,有利于保存一些重要的数据。
3.3 备份服务器
此服务器的主要功能也就是备份,一般不开放外部端口,可设定为对一些服务器的资料定时下载备份功能。
3.4 镜像系统
根据学校教育网的特点,可为学校内部网机器定期备份镜像系统,并把这些镜象系统刻成光盘,这样有利于提高维护的效率及安全性。
在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。负责安全的任何一个人都必须决定谁什么时候在具体的设备上进行合适的操作。当涉及到学校安全的时候什么是适宜的操作,但是任何一个校园网络都必须具有一个解决适宜性、从属性和物理安全问题的安全策略。一道有效的校园网络系统的安全防线,对于校园网络的稳定性和高效性是重要的。以上的一些方法能保证校园网络的运行达到基本的稳定要求。但具体实施应根据学校的实际情况出发。
许多网络系统都是从内部攻破的,由于学校学生电脑及部分办公室电脑的使用人员的复杂性,较难管理,而且大部分网络系统都是因为内部中了木马后被攻破,鉴于这种情况,我们需要一些措施来解决。除了给内部客户端更新防火墙和操作系统漏洞外,我们在内部几台重要服务器上也对内部网络客户端的访问用户做了端口和其它权限的限制。
改造了学校的网络系统后,经过一年多的试用情况,目前整个网络环境情况还算是稳定,但还需要进一步的验证和改进。