基于Windows Server 2003的校園網(wǎng)安全管理探討

趙國琴

摘 要： 隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，校園網(wǎng)在帶來了前所未有的海量信息和全新的信息的傳遞、共享方式的同時，其開放性和自由性令信息安全問題正日益突出顯現(xiàn)出來，已受到A越來越多的關(guān)注。構(gòu)建一套有效的網(wǎng)絡(luò)安全防御體系是解決校園網(wǎng)主要威脅和隱患的必要途徑和措施。本文在分析校園網(wǎng)絡(luò)系統(tǒng)安全隱患的基礎(chǔ)上，結(jié)合我校實際，經(jīng)過實踐從構(gòu)建安全防御體系和加強安全管理兩方面進行了探討，并給出一些相關(guān)安全管理措施。

關(guān)鍵詞：校園網(wǎng) Windows Server 2003 安全管理 網(wǎng)絡(luò)攻擊

中圖分類號：TP393 文獻標識碼：A 文章編號：1003-9082（2016）10-0009-01

一、概述

Internet的開放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計算機系統(tǒng)存在很多安全問題。為了解決這些安全問題，各種安全機制、策略、管理和技術(shù)被研究和應(yīng)用。然而，即使在使用了現(xiàn)有的安全工具和技術(shù)的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這些安全隱患主要可以包括為以下幾點：

1.BUG難以防范。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設(shè)計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會產(chǎn)生日志，幾乎無據(jù)可查。

2.黑客攻擊手段在不斷地升級。安全工具更新速度慢，且大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)

以前未知的安全問題，這就使得對新出現(xiàn)的安全問題總是反應(yīng)遲鈍。

二、我校校園網(wǎng)存在的安全問題

1.我校校園網(wǎng)的現(xiàn)狀

我校校園網(wǎng)集計算機網(wǎng)絡(luò)技術(shù)、多項信息管理、辦公自動化和信息發(fā)布等功能于一體，提高了學(xué)校辦公質(zhì)量和效率，促進了學(xué)校整體教學(xué)水平的提高。學(xué)?？偟男畔Ⅻc有300個左右。信息節(jié)點的分布涉及到圖書館、實驗樓、教學(xué)樓、宿舍樓等。主控室在教學(xué)樓的一層，圖書館、實驗樓和教學(xué)樓為信息點密集區(qū)。 根據(jù)學(xué)校實際應(yīng)用，配備服務(wù)器5臺，用途如下： 網(wǎng)絡(luò)服務(wù)器1臺：負責遠程服務(wù)管理及WEB站點的管理。WEB服務(wù)器采用現(xiàn)在比較流行的IIS服務(wù)器，用.net語言進行開發(fā)，連接MS SQL Server數(shù)據(jù)庫，形成了完整的動態(tài)網(wǎng)站。具體如下： 數(shù)據(jù)庫服務(wù)器1臺：存儲應(yīng)用系統(tǒng)數(shù)據(jù)； 應(yīng)用服務(wù)器1臺：負責整個校園網(wǎng)的應(yīng)用系統(tǒng)的服務(wù)和管理，教育資源管理等。裝有DNS服務(wù)，負責整個校園網(wǎng)中各個域名的解析。并裝有電子郵件系統(tǒng)，負責整個校園網(wǎng)中各個用戶的郵件管理； 教案服務(wù)器1臺：教師備課、課件制作、資料查詢等文件管理等。 圖書管理服務(wù)器1臺：負責圖書資料管理。

2.我校校園網(wǎng)拓撲結(jié)構(gòu)

我校校園網(wǎng)拓撲結(jié)構(gòu)圖如圖1所示。采用千兆以太網(wǎng)技術(shù)，具有高帶寬1000Mbps 速率的主干，100Mbps 到桌面，足以滿足目前的各種應(yīng)用系統(tǒng)的運行需求，還可應(yīng)對將來一段較短時間內(nèi)的應(yīng)用要求；提供國際互聯(lián)網(wǎng)DDN專線接入，實現(xiàn)與公共網(wǎng)的連接；有綜合網(wǎng)絡(luò)辦公系統(tǒng)及其他應(yīng)用系統(tǒng)，初步實現(xiàn)了辦公自動化，管理信息化； 有以WEB數(shù)據(jù)庫為中心的綜合信息平臺，可進行消息發(fā)布，形象宣傳、課業(yè)輔導(dǎo)、教案參考展示、資料查詢、郵件服務(wù)及遠程教學(xué)等。

三、我校園網(wǎng)絡(luò)的安全技術(shù)

從技術(shù)角度看，目前常用的安全手段有內(nèi)外網(wǎng)隔離技術(shù)、加密技術(shù)、身份認證、訪問控制、安全路由等，這些技術(shù)有的通過硬件來實現(xiàn)，有的需要軟件來實現(xiàn)，以下就結(jié)合我們校園網(wǎng)的情況，對相關(guān)技術(shù)和設(shè)備進行分析。

四、我校園網(wǎng)安全防范措施

我校校園網(wǎng)在對目前已知系統(tǒng)漏洞和常見安全隱患方面進行以下的技術(shù)防護。

1.防止Administrator賬號被破解？Windows Server 2003系統(tǒng)的Administrator賬號是不能被停用的，也不能設(shè)置安全策略，這樣黑客就可以一遍又一遍地嘗試這個賬號的密碼，直到被破解，為了防止這種侵入，我們可以把Administrator賬號更名：在“組策略”窗口中，依次展開“本地計算機策略”/“計算機配置”/“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項”功能分支。重命名系統(tǒng)管理員帳戶“屬性”對話框，在此輸入新的管理員名稱，盡量把它為普通用戶，然后另建一個超過10位的超級復(fù)雜密碼，并對該賬號啟用審核，這樣即使黑客費力破解到密碼也將一無所獲。另外為了防止黑客通過Guest賬號登錄計算機，可以在“組策略”中刪除Guest賬號。

2.防止賬號被暴力破解？黑客攻擊入侵，大部分利用漏洞，通過提升權(quán)限成為管理員，這一切都跟用戶賬號緊密相連。 防范方法：通過修改注冊表來禁用空用戶連接。在注冊表編輯器中找到如下子鍵 HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼LSA，在其窗口新建一個名為RestrictAnonymous的DWORD值將其設(shè)為1。

3.關(guān)閉默認共享的空連接 Windows Server 2003系統(tǒng)在默認安裝時，都會產(chǎn)生默認的共享文件夾，每個盤符都被 Windows 自動設(shè)置了共享，其共享名為盤符后面加一個符號$（共享名稱分別為c$ 、d$ 、ipc$ 以及admin$）。也就是說，只要攻擊者知道了該系統(tǒng)的管理員密碼，就有可能通過“＼工作站名共享名稱”的方法，來打開系統(tǒng)的指定文件夾，這是個非常大的安全隱患。為此，有必要將 Windows Server 2003 系統(tǒng)默認的共享隱患，從系統(tǒng)中清除掉?？赏ㄟ^“net share C$ /del”類似命令來清除系統(tǒng)默認的共享。 空連接是在沒有信任的情況下與服務(wù)器建立的會話，是一個到服務(wù)器的匿名訪問。 會帶給攻擊者列舉系統(tǒng)信息的機會。將主鍵HKEY_ LOCAL_MACHINE/ SYSTEM/CurrentControlSet/Control/LSA的Restrict Anonymous（DWORD）的鍵值改為00000001即可關(guān)閉默認共享的空連接。

4.對磁盤權(quán)限進行設(shè)置 一般系統(tǒng)盤C盤只給administrators和system訪問和修改的權(quán)限。并將Windows目錄加上給users的默認權(quán)限。 將net.exe NET、cmd.exe、tftp.exe、netstat.exe、regedit.exe、attrib.exe、cacls.exe、format.exe等文件設(shè)置只允許administrator訪問。

結(jié)束語

Internet的各種安全威脅時刻影響著校園網(wǎng)的運行和管理，加強校園網(wǎng)的安全管理是當前的重要任務(wù)。但是，校園網(wǎng)絡(luò)安全問題是一個永久的課題，校園網(wǎng)絡(luò)的威脅和校園網(wǎng)絡(luò)的防護也會一直較量下去。本文采用的技術(shù)也不能說是非常完善的，一方面因為網(wǎng)絡(luò)防護技術(shù)都是在不斷發(fā)展中，另一方面是因為設(shè)計者的水平有限，且網(wǎng)絡(luò)安全本身是一個十分復(fù)雜的技術(shù)問題，解決的手段也是多樣的，所以，計算機網(wǎng)絡(luò)安全技術(shù)是個永無止境的研究課題。

參考文獻

[1]胡道元，閔京華.網(wǎng)絡(luò)安全（第2版）[M]. 北京：清華大學(xué)出版社，2008.10.

[2]王群.計算機網(wǎng)絡(luò)安全技術(shù)[M]，北京：清華大學(xué)出版社.2008.08.

[3]石志國，薛為民，尹浩.計算機網(wǎng)絡(luò)安全教程（修訂本） [M]， 北京：北方交通大學(xué)出版社.2007.1.