校園網(wǎng)絡(luò)服務(wù)器安全研究

摘 要：教育系統(tǒng)信息網(wǎng)絡(luò)的安全的問(wèn)題已經(jīng)變得越來(lái)越重要，根據(jù)現(xiàn)有的校園網(wǎng)絡(luò)實(shí)際需求情況建立一道有效的校園網(wǎng)絡(luò)系統(tǒng)的安全防線是必須的。

關(guān)鍵詞：校園網(wǎng)；安全系統(tǒng)；服務(wù)器；Internet；網(wǎng)絡(luò)

1 引言

伴隨著各種網(wǎng)上教育系統(tǒng)和辦公系統(tǒng)的應(yīng)用，帶來(lái)了許多工作的方便和效果，但隨之而來(lái)的黑客、木馬、病毒猖獗入侵，也給許多學(xué)校工作造成了許多麻煩和損失。教育系統(tǒng)信息網(wǎng)絡(luò)的安全的問(wèn)題已經(jīng)變得越來(lái)越重要，而其中最為重要的便是服務(wù)器的安全防范。

2 建立校園網(wǎng)絡(luò)安全系統(tǒng)

學(xué)校要建立自己的計(jì)算機(jī)安全系統(tǒng)，需根據(jù)自己?jiǎn)挝坏膶?shí)際情況來(lái)選擇安全級(jí)別，選擇相應(yīng)的軟硬件設(shè)施和資金投入。下面以我們學(xué)校為例，具體介紹一下我們學(xué)校網(wǎng)絡(luò)安全系統(tǒng)的建立。我學(xué)校采用10M光纖接入，由一個(gè)硬件防火墻，控制路由和數(shù)據(jù)的過(guò)濾分析功能。

所有內(nèi)部系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)都要通過(guò)防火墻。防火墻只開(kāi)放網(wǎng)站系統(tǒng)需要的部分端口。

2.1 圖書(shū)館網(wǎng)絡(luò)安全系統(tǒng)

圖書(shū)館有許多重要的數(shù)據(jù)資料系統(tǒng)，但是只在圖書(shū)館內(nèi)部局域網(wǎng)運(yùn)行，服務(wù)器不接外網(wǎng)，只需要建立初級(jí)的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)。我們學(xué)校圖書(shū)館目前有一臺(tái)服務(wù)器，兩臺(tái)借閱系統(tǒng)機(jī)及幾臺(tái)查閱機(jī)。首先要注重的是圖書(shū)館管理員的管理。圖書(shū)館管理員正確的操作方法和權(quán)限管理是保證圖書(shū)館網(wǎng)絡(luò)安全系統(tǒng)正常運(yùn)行最為重要的部分。其次是杜絕外來(lái)的安全隱患，一般禁止外來(lái)光盤(pán)、軟盤(pán)和U盤(pán)的使用。 最后是要做好備份，對(duì)于圖書(shū)館服務(wù)器來(lái)說(shuō)，最為重要的是數(shù)據(jù)安全，每天做一次數(shù)據(jù)備份到專(zhuān)用的備份U盤(pán)或移動(dòng)硬盤(pán)，每個(gè)星期對(duì)以前的數(shù)據(jù)刻錄一張光盤(pán)備份。

2.2 學(xué)校內(nèi)部訪問(wèn)的網(wǎng)站系統(tǒng)

這類(lèi)網(wǎng)站系統(tǒng)的特點(diǎn)是學(xué)校的服務(wù)器上裝有學(xué)校辦公系統(tǒng)，教務(wù)管理系統(tǒng)等一些只供學(xué)校內(nèi)部各處室及老師內(nèi)部訪問(wèn)的網(wǎng)站，安全穩(wěn)定級(jí)別相對(duì)較高。對(duì)于這種服務(wù)器級(jí)別的安全管理需要做好以下幾點(diǎn):

（1）在校園內(nèi)部網(wǎng)中，尤其是服務(wù)器上，應(yīng)盡量使用高版本的操作系統(tǒng)軟件如Windows 2003 server等。對(duì)操作系統(tǒng)的安全級(jí)別應(yīng)使用系統(tǒng)軟件所能提供的最高級(jí)。

（2）一般只開(kāi)放網(wǎng)站要求的幾個(gè)端口，其它端口一律不開(kāi)放。這類(lèi)服務(wù)器只提供內(nèi)網(wǎng)訪問(wèn)，不連接上internet。

（3）定期做好資料及系統(tǒng)備份，便于及時(shí)恢復(fù)。

2.3 對(duì)外開(kāi)放的web服務(wù)器

這類(lèi)電腦網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)是：要在互聯(lián)網(wǎng)上發(fā)布web網(wǎng)站及實(shí)時(shí)地處理各類(lèi)信息，所以會(huì)遇到各種復(fù)雜情況。這類(lèi)服務(wù)器系統(tǒng)一般包含學(xué)校校園網(wǎng)站系統(tǒng)，資源管理系統(tǒng)，學(xué)校論壇等。這類(lèi)服務(wù)器是對(duì)外開(kāi)放的。較容易受到攻擊，安全防范設(shè)置方面要求最高。

首先必須認(rèn)真設(shè)置操作系統(tǒng)：值得注意的是，操作系統(tǒng)的許多缺省值都已被黑客利用來(lái)作為入侵系統(tǒng)的突破口，所以，盡量不要使用系統(tǒng)缺省值。具體地說(shuō)，主要注意以下幾點(diǎn)：

(1)改變Administrator賬戶的名字，為系統(tǒng)管理員和備份操作員創(chuàng)建特殊賬戶，使黑客猜不到系統(tǒng)管理員和備份操作員的賬戶名。禁止所有具有Administrator和備份特權(quán)的賬戶瀏覽Web，以防黑客網(wǎng)上即時(shí)偵聽(tīng)。不要設(shè)置缺省的Guest賬戶。

(2)確保sam文件在每次ERD更新后對(duì)所有人不可讀。因?yàn)閃indows NT把用戶信息和加密口令保存于NT Registry中的SAM文件中，即安全賬戶管理(Security Accounts Management)數(shù)據(jù)庫(kù)。

(3)限制遠(yuǎn)程管理員訪問(wèn)NT平臺(tái)。因?yàn)槿魏我粋€(gè)用戶都可以在命令行下，鍵入 \\\\ IPaddress＼C$(或者 \\\\ IPaddress＼D$， \\\\ IPaddress＼WINNT$)試圖連接任意一個(gè)NT平臺(tái)上管理系統(tǒng)的共享資源。

(4)在域控制器上，修改Registry中Winlogon的設(shè)置為“OFF”，以免Windows NT在注冊(cè)對(duì)話框中顯示最近一次注冊(cè)的用戶名，給潛在的黑客提供信息。

(5)嚴(yán)格限制NT域中Windows NT工作站上的管理員特權(quán)，決不用缺省值。因?yàn)槿魏稳丝赡芡ㄟ^(guò)訪問(wèn)內(nèi)存來(lái)獲取加密的口令，以獲得缺省管理員的訪問(wèn)權(quán)。

(6)對(duì)于注冊(cè)表Registry，嚴(yán)格限制為只可進(jìn)行本地注冊(cè)，不可遠(yuǎn)程訪問(wèn)。因?yàn)镽egistry的缺省權(quán)限設(shè)置是對(duì)“所有人”、“安全控制”(Full Control)和“創(chuàng)建”(Create)。這種設(shè)置可能引起Registry文件的刪除或者替換。

(7)對(duì)關(guān)鍵目錄，應(yīng)改變其缺省權(quán)限為“讀”。缺省權(quán)限設(shè)置允許“所有人”對(duì)關(guān)鍵目錄具有“變更”級(jí)的訪問(wèn)權(quán)。其中，“關(guān)鍵目錄”包括：每個(gè)NTFS卷的根目錄，System32目錄，以及Win32App目錄。

(8)合理配置FTP，確保服務(wù)器必須驗(yàn)證所有FTP申請(qǐng)。因?yàn)镕TP有一個(gè)設(shè)置選項(xiàng)，允許客戶直接進(jìn)入一個(gè)賬戶，使無(wú)需授權(quán)而訪問(wèn)用戶的文件和文件夾成為可能。

其次，加強(qiáng)計(jì)算機(jī)系統(tǒng)的保安工作：

(1)關(guān)閉系統(tǒng)管理員的遠(yuǎn)程能力，只允許他直接訪問(wèn)控制臺(tái)。

(2)未經(jīng)許可，不得重新安裝WindowsNT軟件。因?yàn)橹匦掳惭b整個(gè)的操作系統(tǒng)，覆蓋原來(lái)的系統(tǒng)，就可以獲得Administrator特權(quán)。

最終，建立信息系統(tǒng)防火墻。

在防火墻上，應(yīng)截止從端口135到142的所有TCP和UDP連接，這樣有利于控制。最安全的方法是利用代理(Proxy)來(lái)限制或者完全拒絕網(wǎng)絡(luò)上基于SMB的連接。SMB是指服務(wù)消息塊(Server Message Block)。SMB有很多尚未公開(kāi)的“后門(mén)”，能不用授權(quán)就可以存取SAM和NT服務(wù)器上的其他文件。SMB協(xié)議允許遠(yuǎn)程訪問(wèn)共享目錄，Registry數(shù)據(jù)庫(kù)，以及其他一些系統(tǒng)服務(wù)。

3 設(shè)置校園網(wǎng)絡(luò)安全服務(wù)器系統(tǒng)

3.1 外網(wǎng)服務(wù)器

此服務(wù)器主要是放一些外部訪問(wèn)的web網(wǎng)站及一些供教師們上傳下載的ftp空間。一般可只開(kāi)放這臺(tái)服務(wù)器的web網(wǎng)站的端口和ftp的端口。因這臺(tái)服務(wù)器可能容易受外部黑客攻擊，可裝在硬件防火墻的外部接口上，與學(xué)校內(nèi)部網(wǎng)絡(luò)隔離開(kāi)來(lái)。學(xué)校內(nèi)部的機(jī)器只有通過(guò)internet網(wǎng)絡(luò)才能訪問(wèn)這臺(tái)服務(wù)器，局域網(wǎng)無(wú)法訪問(wèn)。這樣可以防止這臺(tái)服務(wù)器被黑客攻擊后，連帶校內(nèi)其它機(jī)器同時(shí)受到攻擊。外網(wǎng)服務(wù)器的數(shù)據(jù)資料可定期進(jìn)行下載備份到內(nèi)網(wǎng)機(jī)器上。

3.2 內(nèi)網(wǎng)服務(wù)器

此服務(wù)器主要是放一些內(nèi)部訪問(wèn)的web網(wǎng)站及一些供教師們上傳下載的ftp空間及其它一些重要資料。一般可只開(kāi)放這臺(tái)服務(wù)器的web網(wǎng)站的端口和ftp的端口。因這臺(tái)服務(wù)器處于內(nèi)部網(wǎng)絡(luò)，不開(kāi)放其internet功能，不容易受外部黑客攻擊，可裝在硬件防火墻的內(nèi)部接口上，與外部網(wǎng)絡(luò)隔離開(kāi)來(lái)。學(xué)校內(nèi)部的機(jī)器只有通過(guò)內(nèi)部局域網(wǎng)絡(luò)才能訪問(wèn)這臺(tái)服務(wù)器。這樣可以防止這臺(tái)服務(wù)器被黑客攻擊，有利于保存一些重要的數(shù)據(jù)。

3.3 備份服務(wù)器

此服務(wù)器的主要功能也就是備份，一般不開(kāi)放外部端口，可設(shè)定為對(duì)一些服務(wù)器的資料定時(shí)下載備份功能。

3.4 鏡像系統(tǒng)

根據(jù)學(xué)校教育網(wǎng)的特點(diǎn)，可為學(xué)校內(nèi)部網(wǎng)機(jī)器定期備份鏡像系統(tǒng)，并把這些鏡象系統(tǒng)刻成光盤(pán)，這樣有利于提高維護(hù)的效率及安全性。

在網(wǎng)絡(luò)環(huán)境里的安全指的是一種能夠識(shí)別和消除不安全因素的能力。負(fù)責(zé)安全的任何一個(gè)人都必須決定誰(shuí)什么時(shí)候在具體的設(shè)備上進(jìn)行合適的操作。當(dāng)涉及到學(xué)校安全的時(shí)候什么是適宜的操作，但是任何一個(gè)校園網(wǎng)絡(luò)都必須具有一個(gè)解決適宜性、從屬性和物理安全問(wèn)題的安全策略。一道有效的校園網(wǎng)絡(luò)系統(tǒng)的安全防線，對(duì)于校園網(wǎng)絡(luò)的穩(wěn)定性和高效性是重要的。以上的一些方法能保證校園網(wǎng)絡(luò)的運(yùn)行達(dá)到基本的穩(wěn)定要求。但具體實(shí)施應(yīng)根據(jù)學(xué)校的實(shí)際情況出發(fā)。

許多網(wǎng)絡(luò)系統(tǒng)都是從內(nèi)部攻破的，由于學(xué)校學(xué)生電腦及部分辦公室電腦的使用人員的復(fù)雜性，較難管理，而且大部分網(wǎng)絡(luò)系統(tǒng)都是因?yàn)閮?nèi)部中了木馬后被攻破，鑒于這種情況，我們需要一些措施來(lái)解決。除了給內(nèi)部客戶端更新防火墻和操作系統(tǒng)漏洞外，我們?cè)趦?nèi)部幾臺(tái)重要服務(wù)器上也對(duì)內(nèi)部網(wǎng)絡(luò)客戶端的訪問(wèn)用戶做了端口和其它權(quán)限的限制。

改造了學(xué)校的網(wǎng)絡(luò)系統(tǒng)后，經(jīng)過(guò)一年多的試用情況，目前整個(gè)網(wǎng)絡(luò)環(huán)境情況還算是穩(wěn)定，但還需要進(jìn)一步的驗(yàn)證和改進(jìn)。