防范外部入侵 維護網絡安全

隨著網絡技術的不斷發展和Internet的日益普及，許多學校都建立了校園網絡并投入使用，這對加快信息處理，提高工作效率，實現資源共享都起到了積極的作用。但教師和學生在使用校園網絡的同時，忽略了網絡安全問題，登錄一些非法網站或使用帶病毒的軟件，則導致校園計算機系統崩潰，不僅給計算機教師帶來了大量的工作負擔，也嚴重影響了校園網的正常運行。因此，在積極發展辦公自動化、實現資源共享的同時，教師和學生都應加強對校園網絡的安全重視。如何在現有的條件下，搞好網絡的安全，成為校園網絡管理人員的一個重要課題。

校園網的安全問題可以分為許多種，為了便于理解，這里分為兩類。一類是硬件系統的安全問題，另一類是軟件系統的安全問題。下面，我們就圍繞著服務器及其應用來談談如何解決校園網的安全問題。

一、硬件系統的安全防護

硬件的安全問題可以分為3種，分別是系統安全、設置安全和物理安全。

1.系統安全。

系統安全包括主機和服務器的運行安全，主要措施有反病毒、入侵檢測、審計分析等技術。

計算機病毒是引起計算機故障、破壞計算機數據的程序，它能夠傳染其他程序，并進行自我復制，特別是在網絡環境下，計算機病毒有著不可估量的威脅性和破壞力。因此，對計算機病毒的防范是校園網絡安全建設的一個重要環節，具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測，或者在工作站上用防病毒芯片對網絡目錄及文件設置訪問權限等。如，我校安裝了遠程教育中心配置的金山毒霸進行實時監控，效果不錯。

入侵檢測，即通過對計算機網絡或計算機系統中的若干關鍵點收集信息，并對它們進行分析，從中發現是否有違反安全策略的行為和被攻擊的跡象，以提高系統管理員的安全管理能力，及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件，主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等。

2.設置安全。

許多網絡管理員沒有在服務器或交換機上設置必要的密碼，懂網絡設備管理技術的人可以通過網絡來取得服務器或交換機的控制權，這是非常危險的。因為，路由器屬于接入設備，必然要暴露在互聯網黑客攻擊的視野之中，我們必須采取嚴格的安全管理措施。與硬件系統相比，軟件系統的安全問題是最多的，也是最復雜的。下面我們就重點談一下軟件系統的安全問題。

網絡不安全的另一個因素是因為人們很容易從Internet上獲得相關的核心技術資料，特別是有關Internet自身的技術資料及各類黑客軟件，很容易造成網絡安全問題。尤其是在學校，學生的好奇心、破壞欲給校園網帶來了很多安全問題。

3.物理安全。

物理安全是指防止意外事件或人為破壞具體的物理設備，如服務器、交換機、路由器、機柜、線路等。機房和機柜的鑰匙一定要管理好，不要讓無關人員隨意進入機房，尤其是網絡中心機房，防止人為的蓄意破壞。

二、安全防護的措施

面對層出不窮的網絡安全問題，我們可從以下幾個方面著手，做到防患于未然。

1.安裝和設置防火墻。

防火墻具有很好的保護作用。對于校園網來說，不僅要安裝防火墻，還需要進行適當的設置才能起作用。如果對防火墻的設置不了解，需要請技術支持人員協助設置。

2.安裝補丁程序。

任何操作系統都有漏洞，作為網絡系統管理員，就要及時地將“補丁”(Patch)打上，修補這個漏洞。由于病毒的更新較快，所以要經常更新補丁。

3.安裝網絡殺毒軟件。

要在網絡服務器上安裝網絡版的殺毒軟件來控制病毒的傳播。目前，網絡版的殺毒軟件 (如瑞星、卡巴斯基、趨勢等)都已經普及;同時，在網絡版的殺毒軟件使用中，必須要定期對其升級。

4.賬號和密碼保護。

賬號和密碼保護可以說是系統的第一道防線，目前，網上的大部分對系統的攻擊都是從截獲或猜測密碼開始的。一旦黑客進入了系統，那么前面的防衛措施幾乎就沒有作用，所以對服務器系統管理員的賬號和密碼進行管理是保證系統安全非常重要的措施。

在設置密碼時應該注意不要與賬號(用戶號)相同，很多破解軟件都有一項功能叫“Try user name”，即以用戶名做口令進行破解。有些用戶在設置密碼時，喜歡使用自己的姓氏或是一些常用英文單詞，如love、china、good等，或使用有特定意義的日期作為密碼，如自己生日、父母生日、兒女生日、個人紀念日等，這幾點應該盡量避免。還有些用戶用數字設置密碼時圖吉利、便于記憶，如520、886等，這些密碼極易破解，十分危險。

除了設置好密碼以外，還要注意密碼的保存。不少用戶圖方便，上網時選擇“保存密碼”，這一點是十分危險的。

系統管理員密碼的位數一定要多，至少應該在8位以上，設置一定的賬號管理策略，如強制用戶每個月更改一次密碼。對于一些不常用的賬戶要關閉，比如匿名登錄賬號。

5.關閉不需要的服務和端口。

在安裝服務器操作系統時，會啟動一些不需要的服務，這樣就占用了系統的資源，埋下了安全隱患。在假期期間，可以完全關閉服務器，若假期期間還要使用服務器，也應關閉不需要的服務，如Telnet等，還要關掉沒有必要開的TCP端口。

6.定期對服務器進行備份。

數據庫的備份問題常常被忽視，許多校園網管理人員認為，數據庫只要安裝好后就可以了，有些雖然進行了備份的設置，但備份的策略卻沒有做好。管理員應根據數據庫的重要性來確定數據的備份策略。在備份方式的選擇上，可選擇人工備份或自動備份，本地備份或是異地備份。出于更安全的選擇，最好采用集群式雙機熱備份。這樣，當一臺數據庫服務器出現了故障，另一臺就會馬上接替工作。如果學校的條件允許，還可多做一個硬盤的鏡像。只有進行形式多樣的備份，數據庫才會更安全。

以上只是對防范外部入侵，維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施，健康正常的校園網絡需要廣大師生共同來維護。■

"(作者單位:南京市第三高級中學)