校园网络安全 浅探校园网络安全
时间:2018-12-23 19:38:54 来源:雅意学习网 本文已影响 人 
摘 要:校园网络的安全越来越受到人们的重视。本文从密码安全、系统安全、共享目录安全和木马防范等方面,对校园网的安全谈了自己的看法和做法,供大家参考。 关键词:网络 安全 黑客
高等教育和科研机构是互联网诞生的摇篮,也是最早的应用环境。各国的高等教育都是最早建设和应用互联网技术的行业之一,中国的高校校园网一般都最先应用最先进的网络技术,网络应用普及,用户群密集而且活跃。然而校园网由于自身的特点也是安全问题比较突出的地方,安全管理也更为复杂、困难。尤其最近暴发的“红色代码”、“蓝色代码”及“尼姆达”等病毒,使人们更加深刻地认识到了网络安全的重要。正如人们所说的:网络的生命在于其安全性。因此,如何在现有的条件下搞好网络的安全,就成了网络管理人员的一个重要课题。
许多学校的校园网都以Windows2000Server做为系统平台,由IIS(Internet Information Server)提供Web等等服务。下面本人结合自己对Windows2000Server网络管理的一点经验与体会,就技术方面谈谈自己对校园网安全的一些看法。
一、密码的安全
众所周知,用密码保护系统和数据的安全是最经常采用也是最初采用的之一。目前发现的大多数安全问题,是由于密码管理不严,使“入侵者”得以趁虚而入。因此密码口令的有效管理是非常基本的,也是非常重要的。
在密码的设置安全上,首先绝对杜绝不设口令的帐号存在,尤其是超级用户帐号。一些网络管理人员,为了图方便,认为服务服务器只由自己一个人管理使用,常常对系统不设置密码。这样,“入侵者”就能通过网络轻而易举地进入系统。笔者曾经发现并进入多个这样的系统。另外,对于系统的一些权限,如果设置不当,对用户不进行密码验证,也可能为“入侵者”留下后门。
其次,在密码口令的设置上要避免使用弱密码,就是容易被人猜出字符作为密码。笔者就猜过几个这样的站点,它们的共同特点就是利用自己名字的缩写或6位相同的数字进行密码设置。
密码的长度也是设置者所要考虑的一个问题。在Windows2000Server系统中,有一个sam文件,它是Windows2000Server的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。如果“入侵者”通过系统或网络的漏洞得到了这个文件,就能通过一定的程序(如L0phtCrack)对它进行解码。在用L0phtCrack破解时,如果使用“暴力破解”方式对所有字符组合进行破解,那么对于5位以下的密码它最多只要用十几分钟就完成,对于6位字符的密码它也只要用十几小时,但是对于7位或以上它至少耗时一个月左右,所以说,在密码设置时一定要有足够的长度。总之在密码设置上,最好使用一个不常见、有一定长度的,但是你又容易记得的密码。另外,适当地交叉使用大小写字母也是增加被破解难度的好办法。
二、系统的安全
曾经流行于网络上的“红色代码”、“蓝色代码”及“尼姆达”病毒都利用系统的漏洞进行传播。从目前来看,各种系统或多或少都存在着各种的漏洞。系统漏洞的存在就成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起“红色代码”、“蓝色代码”及“尼姆达”病毒的传播流行的Unicode解码漏洞,早就被发现,且没隔多久就有了解决方案和补丁,但是许多的网络管理员并没有及时地发现和补丁,以致于过了很久还能扫描到许多机器存在该漏洞。
在校园网中服务器为用户提供着各种的服务,但是服务提供得越多,系统就存在越多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供Web服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放Web服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖来自不可信赖数据源的数据也是造成网络不安全的一个因素。
三、目录共享的安全
在校园中,利用在对等网中对机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个。但在设置过程中,要充分认识到当一个目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。笔者曾搜索过外地机器的一个C类IP网段,发现共享的机器就有十几台,而且许多机器是将整个C盘、D盘进行共享,并且在共享时将属性设置为完全共享,且不进行密码保护,这样只要将其映射成一个网络硬盘,就能对上面的资料、文档进行查看、修改、删除。所以,为了防止资料的外泄,在设置共享时一定要设定访问密码。只有这样,才能保证共享目录资料的安全。
四、木马的防范
相信木马对于大多数人来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!木马应该说是网络安全的大敌,并且在进行的各种入侵攻击行为中,木马都起到了开路先锋的作用。
木马感染通常是执行了一些带病毒的程序而驻留在你的计算机当中,计算机启动后,木马就在计算机中打开一个服务,通过这个服务将你计算机的信息、资料向外传递,在各种木马中,较常见的是“冰河”,笔者也曾用冰河扫描过网络上的计算机。发现每个C类IP网段中(个人用户),偶尔都会发现一、二个感染冰河的计算机。由此可见,个人用户中感染木马的可能性还是比较高的。如果是服务器感染了木马,危害更是可怕。
木马的清除一般可以通过各种杀毒软件来进行查杀。对于新出现的木马,我们的防治可以通过端口的扫描来进行,端口是计算机和外部网络相连的逻辑接口,我们平时多注意一下服务器中开放的端口,如果有一些新端口的出现,就必须查看一下正在运行的程序,以及注册表中自动加载运行的程序,来监测是否有木马存在。
以上只是笔者对防范外部入侵、维护网络安全的一些粗浅看法,当然对于这些方面的安全还可以通过设置必要的防火墙,建立健全的网络管理制度来实现。但是在网络内部数据安全上,还必须定时进行数据安全备份。对于硬盘中数据备份的方法很多种,我们提倡通过镜像卷的设置来进行实时数据备份,这样即使服务器中的一个硬盘损坏,也不至于数据丢失。
参考文献:
[1]王永良.Windows技术丛书――配置Windows 2000 Server安全.2001.
[2]魏茂林.Windows 2000 Server应用基础.2003.
