淺探校園網絡安全

摘 要：校園網絡的安全越來越受到人們的重視。本文從密碼安全、系統安全、共享目錄安全和木馬防范等方面，對校園網的安全談了自己的看法和做法，供大家參考。

關鍵詞：網絡 安全 黑客

高等教育和科研機構是互聯網誕生的搖籃，也是最早的應用環境。各國的高等教育都是最早建設和應用互聯網技術的行業之一，中國的高校校園網一般都最先應用最先進的網絡技術，網絡應用普及，用戶群密集而且活躍。然而校園網由于自身的特點也是安全問題比較突出的地方，安全管理也更為復雜、困難。尤其最近暴發的“紅色代碼”、“藍色代碼”及“尼姆達”等病毒，使人們更加深刻地認識到了網絡安全的重要。正如人們所說的：網絡的生命在于其安全性。因此，如何在現有的條件下搞好網絡的安全，就成了網絡管理人員的一個重要課題。

許多學校的校園網都以Windows2000Server做為系統平臺，由IIS（Internet Information Server）提供Web等等服務。下面本人結合自己對Windows2000Server網絡管理的一點經驗與體會，就技術方面談談自己對校園網安全的一些看法。

一、密碼的安全

眾所周知，用密碼保護系統和數據的安全是最經常采用也是最初采用的之一。目前發現的大多數安全問題，是由于密碼管理不嚴，使“入侵者”得以趁虛而入。因此密碼口令的有效管理是非常基本的，也是非常重要的。

在密碼的設置安全上，首先絕對杜絕不設口令的帳號存在，尤其是超級用戶帳號。一些網絡管理人員，為了圖方便，認為服務服務器只由自己一個人管理使用，常常對系統不設置密碼。這樣，“入侵者”就能通過網絡輕而易舉地進入系統。筆者曾經發現并進入多個這樣的系統。另外，對于系統的一些權限，如果設置不當，對用戶不進行密碼驗證，也可能為“入侵者”留下后門。

其次，在密碼口令的設置上要避免使用弱密碼，就是容易被人猜出字符作為密碼。筆者就猜過幾個這樣的站點，它們的共同特點就是利用自己名字的縮寫或6位相同的數字進行密碼設置。

密碼的長度也是設置者所要考慮的一個問題。在Windows2000Server系統中，有一個sam文件，它是Windows2000Server的用戶帳戶數據庫，所有用戶的登錄名及口令等相關信息都會保存在這個文件中。如果“入侵者”通過系統或網絡的漏洞得到了這個文件，就能通過一定的程序（如L0phtCrack）對它進行解碼。在用L0phtCrack破解時，如果使用“暴力破解”方式對所有字符組合進行破解，那么對于5位以下的密碼它最多只要用十幾分鐘就完成，對于6位字符的密碼它也只要用十幾小時，但是對于7位或以上它至少耗時一個月左右，所以說，在密碼設置時一定要有足夠的長度。總之在密碼設置上，最好使用一個不常見、有一定長度的，但是你又容易記得的密碼。另外，適當地交叉使用大小寫字母也是增加被破解難度的好辦法。

二、系統的安全

曾經流行于網絡上的“紅色代碼”、“藍色代碼”及“尼姆達”病毒都利用系統的漏洞進行傳播。從目前來看，各種系統或多或少都存在著各種的漏洞。系統漏洞的存在就成為網絡安全的首要問題，發現并及時修補漏洞是每個網絡管理人員主要任務。當然，從系統中找到發現漏洞不是我們一般網絡管理人員所能做的，但是及早地發現有報告的漏洞并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法，就是經常登錄各有關網絡安全網站，對于我們使用的軟件和服務，應該密切關注其程序的最新版本和安全信息，一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。比如上面提及引起“紅色代碼”、“藍色代碼”及“尼姆達”病毒的傳播流行的Unicode解碼漏洞，早就被發現，且沒隔多久就有了解決方案和補丁，但是許多的網絡管理員并沒有及時地發現和補丁，以致于過了很久還能掃描到許多機器存在該漏洞。

在校園網中服務器為用戶提供著各種的服務，但是服務提供得越多，系統就存在越多的漏洞，也就有更多的危險。因此從安全角度考慮，應將不必要的服務關閉，只向公眾提供他們所需的基本的服務。最典型的是，我們在校園網服務器中對公眾通常只提供Web服務功能，而沒有必要向公眾提供FTP功能，這樣，在服務器的服務配置中，我們只開放Web服務，而將FTP服務禁止。如果要開放FTP功能，就一定只能向可信賴的用戶開放，因為通過FTP用戶可以上傳文件內容，如果用戶目錄又給了可執行權限，那么，通過運行上傳某些程序，就可能使服務器受到攻擊。所以，信賴來自不可信賴數據源的數據也是造成網絡不安全的一個因素。

三、目錄共享的安全

在校園中，利用在對等網中對機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個。但在設置過程中，要充分認識到當一個目錄共享后，就不光是校園網內的用戶可以訪問到，而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。筆者曾搜索過外地機器的一個C類IP網段，發現共享的機器就有十幾臺，而且許多機器是將整個C盤、D盤進行共享，并且在共享時將屬性設置為完全共享，且不進行密碼保護，這樣只要將其映射成一個網絡硬盤，就能對上面的資料、文檔進行查看、修改、刪除。所以，為了防止資料的外泄，在設置共享時一定要設定訪問密碼。只有這樣，才能保證共享目錄資料的安全。

四、木馬的防范

相信木馬對于大多數人來說不算陌生。它是一種遠程控制工具，以簡便、易行、有效而深受廣大黑客青睞。一臺電腦一旦中上木馬，它就變成了一臺傀儡機，對方可以在你的電腦上上傳下載文件，偷窺你的私人文件，偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前，隱私？不復存在！木馬應該說是網絡安全的大敵，并且在進行的各種入侵攻擊行為中，木馬都起到了開路先鋒的作用。

木馬感染通常是執行了一些帶病毒的程序而駐留在你的計算機當中，計算機啟動后，木馬就在計算機中打開一個服務，通過這個服務將你計算機的信息、資料向外傳遞，在各種木馬中，較常見的是“冰河”，筆者也曾用冰河掃描過網絡上的計算機。發現每個C類IP網段中（個人用戶），偶爾都會發現一、二個感染冰河的計算機。由此可見，個人用戶中感染木馬的可能性還是比較高的。如果是服務器感染了木馬，危害更是可怕。

木馬的清除一般可以通過各種殺毒軟件來進行查殺。對于新出現的木馬，我們的防治可以通過端口的掃描來進行，端口是計算機和外部網絡相連的邏輯接口，我們平時多注意一下服務器中開放的端口，如果有一些新端口的出現，就必須查看一下正在運行的程序，以及注冊表中自動加載運行的程序，來監測是否有木馬存在。

以上只是筆者對防范外部入侵、維護網絡安全的一些粗淺看法，當然對于這些方面的安全還可以通過設置必要的防火墻，建立健全的網絡管理制度來實現。但是在網絡內部數據安全上，還必須定時進行數據安全備份。對于硬盤中數據備份的方法很多種，我們提倡通過鏡像卷的設置來進行實時數據備份，這樣即使服務器中的一個硬盤損壞，也不至于數據丟失。

參考文獻：

［1］王永良.Windows技術叢書——配置Windows 2000 Server安全.2001.

［2］魏茂林.Windows 2000 Server應用基礎.2003.