趙國(guó)琴

摘 要： 隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，校園網(wǎng)在帶來了前所未有的海量信息和全新的信息的傳遞、共享方式的同時(shí)，其開放性和自由性令信息安全問題正日益突出顯現(xiàn)出來，已受到A越來越多的關(guān)注。構(gòu)建一套有效的網(wǎng)絡(luò)安全防御體系是解決校園網(wǎng)主要威脅和隱患的必要途徑和措施。本文在分析校園網(wǎng)絡(luò)系統(tǒng)安全隱患的基礎(chǔ)上，結(jié)合我校實(shí)際，經(jīng)過實(shí)踐從構(gòu)建安全防御體系和加強(qiáng)安全管理兩方面進(jìn)行了探討，并給出一些相關(guān)安全管理措施。

關(guān)鍵詞：校園網(wǎng) Windows Server 2003 安全管理 網(wǎng)絡(luò)攻擊

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2016）10-0009-01

一、概述

Internet的開放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安全問題。為了解決這些安全問題，各種安全機(jī)制、策略、管理和技術(shù)被研究和應(yīng)用。然而，即使在使用了現(xiàn)有的安全工具和技術(shù)的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這些安全隱患主要可以包括為以下幾點(diǎn)：

1.BUG難以防范。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會(huì)產(chǎn)生日志，幾乎無據(jù)可查。

2.黑客攻擊手段在不斷地升級(jí)。安全工具更新速度慢，且大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)

以前未知的安全問題，這就使得對(duì)新出現(xiàn)的安全問題總是反應(yīng)遲鈍。

二、我校校園網(wǎng)存在的安全問題

1.我校校園網(wǎng)的現(xiàn)狀

我校校園網(wǎng)集計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、多項(xiàng)信息管理、辦公自動(dòng)化和信息發(fā)布等功能于一體，提高了學(xué)校辦公質(zhì)量和效率，促進(jìn)了學(xué)校整體教學(xué)水平的提高。學(xué)?？偟男畔Ⅻc(diǎn)有300個(gè)左右。信息節(jié)點(diǎn)的分布涉及到圖書館、實(shí)驗(yàn)樓、教學(xué)樓、宿舍樓等。主控室在教學(xué)樓的一層，圖書館、實(shí)驗(yàn)樓和教學(xué)樓為信息點(diǎn)密集區(qū)。 根據(jù)學(xué)校實(shí)際應(yīng)用，配備服務(wù)器5臺(tái)，用途如下： 網(wǎng)絡(luò)服務(wù)器1臺(tái)：負(fù)責(zé)遠(yuǎn)程服務(wù)管理及WEB站點(diǎn)的管理。WEB服務(wù)器采用現(xiàn)在比較流行的IIS服務(wù)器，用.net語言進(jìn)行開發(fā)，連接MS SQL Server數(shù)據(jù)庫，形成了完整的動(dòng)態(tài)網(wǎng)站。具體如下： 數(shù)據(jù)庫服務(wù)器1臺(tái)：存儲(chǔ)應(yīng)用系統(tǒng)數(shù)據(jù)； 應(yīng)用服務(wù)器1臺(tái)：負(fù)責(zé)整個(gè)校園網(wǎng)的應(yīng)用系統(tǒng)的服務(wù)和管理，教育資源管理等。裝有DNS服務(wù)，負(fù)責(zé)整個(gè)校園網(wǎng)中各個(gè)域名的解析。并裝有電子郵件系統(tǒng)，負(fù)責(zé)整個(gè)校園網(wǎng)中各個(gè)用戶的郵件管理； 教案服務(wù)器1臺(tái)：教師備課、課件制作、資料查詢等文件管理等。 圖書管理服務(wù)器1臺(tái)：負(fù)責(zé)圖書資料管理。

2.我校校園網(wǎng)拓?fù)浣Y(jié)構(gòu)

我校校園網(wǎng)拓?fù)浣Y(jié)構(gòu)圖如圖1所示。采用千兆以太網(wǎng)技術(shù)，具有高帶寬1000Mbps 速率的主干，100Mbps 到桌面，足以滿足目前的各種應(yīng)用系統(tǒng)的運(yùn)行需求，還可應(yīng)對(duì)將來一段較短時(shí)間內(nèi)的應(yīng)用要求；提供國(guó)際互聯(lián)網(wǎng)DDN專線接入，實(shí)現(xiàn)與公共網(wǎng)的連接；有綜合網(wǎng)絡(luò)辦公系統(tǒng)及其他應(yīng)用系統(tǒng)，初步實(shí)現(xiàn)了辦公自動(dòng)化，管理信息化； 有以WEB數(shù)據(jù)庫為中心的綜合信息平臺(tái)，可進(jìn)行消息發(fā)布，形象宣傳、課業(yè)輔導(dǎo)、教案參考展示、資料查詢、郵件服務(wù)及遠(yuǎn)程教學(xué)等。

三、我校園網(wǎng)絡(luò)的安全技術(shù)

從技術(shù)角度看，目前常用的安全手段有內(nèi)外網(wǎng)隔離技術(shù)、加密技術(shù)、身份認(rèn)證、訪問控制、安全路由等，這些技術(shù)有的通過硬件來實(shí)現(xiàn)，有的需要軟件來實(shí)現(xiàn)，以下就結(jié)合我們校園網(wǎng)的情況，對(duì)相關(guān)技術(shù)和設(shè)備進(jìn)行分析。

四、我校園網(wǎng)安全防范措施

我校校園網(wǎng)在對(duì)目前已知系統(tǒng)漏洞和常見安全隱患方面進(jìn)行以下的技術(shù)防護(hù)。

1.防止Administrator賬號(hào)被破解？Windows Server 2003系統(tǒng)的Administrator賬號(hào)是不能被停用的，也不能設(shè)置安全策略，這樣黑客就可以一遍又一遍地嘗試這個(gè)賬號(hào)的密碼，直到被破解，為了防止這種侵入，我們可以把Administrator賬號(hào)更名：在“組策略”窗口中，依次展開“本地計(jì)算機(jī)策略”/“計(jì)算機(jī)配置”/“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”功能分支。重命名系統(tǒng)管理員帳戶“屬性”對(duì)話框，在此輸入新的管理員名稱，盡量把它為普通用戶，然后另建一個(gè)超過10位的超級(jí)復(fù)雜密碼，并對(duì)該賬號(hào)啟用審核，這樣即使黑客費(fèi)力破解到密碼也將一無所獲。另外為了防止黑客通過Guest賬號(hào)登錄計(jì)算機(jī)，可以在“組策略”中刪除Guest賬號(hào)。

2.防止賬號(hào)被暴力破解？黑客攻擊入侵，大部分利用漏洞，通過提升權(quán)限成為管理員，這一切都跟用戶賬號(hào)緊密相連。 防范方法：通過修改注冊(cè)表來禁用空用戶連接。在注冊(cè)表編輯器中找到如下子鍵 HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼LSA，在其窗口新建一個(gè)名為RestrictAnonymous的DWORD值將其設(shè)為1。

3.關(guān)閉默認(rèn)共享的空連接 Windows Server 2003系統(tǒng)在默認(rèn)安裝時(shí)，都會(huì)產(chǎn)生默認(rèn)的共享文件夾，每個(gè)盤符都被 Windows 自動(dòng)設(shè)置了共享，其共享名為盤符后面加一個(gè)符號(hào)$（共享名稱分別為c$ 、d$ 、ipc$ 以及admin$）。也就是說，只要攻擊者知道了該系統(tǒng)的管理員密碼，就有可能通過“＼工作站名共享名稱”的方法，來打開系統(tǒng)的指定文件夾，這是個(gè)非常大的安全隱患。為此，有必要將 Windows Server 2003 系統(tǒng)默認(rèn)的共享隱患，從系統(tǒng)中清除掉?？赏ㄟ^“net share C$ /del”類似命令來清除系統(tǒng)默認(rèn)的共享。 空連接是在沒有信任的情況下與服務(wù)器建立的會(huì)話，是一個(gè)到服務(wù)器的匿名訪問。 會(huì)帶給攻擊者列舉系統(tǒng)信息的機(jī)會(huì)。將主鍵HKEY_ LOCAL_MACHINE/ SYSTEM/CurrentControlSet/Control/LSA的Restrict Anonymous（DWORD）的鍵值改為00000001即可關(guān)閉默認(rèn)共享的空連接。

4.對(duì)磁盤權(quán)限進(jìn)行設(shè)置 一般系統(tǒng)盤C盤只給administrators和system訪問和修改的權(quán)限。并將Windows目錄加上給users的默認(rèn)權(quán)限。 將net.exe NET、cmd.exe、tftp.exe、netstat.exe、regedit.exe、attrib.exe、cacls.exe、format.exe等文件設(shè)置只允許administrator訪問。

結(jié)束語

Internet的各種安全威脅時(shí)刻影響著校園網(wǎng)的運(yùn)行和管理，加強(qiáng)校園網(wǎng)的安全管理是當(dāng)前的重要任務(wù)。但是，校園網(wǎng)絡(luò)安全問題是一個(gè)永久的課題，校園網(wǎng)絡(luò)的威脅和校園網(wǎng)絡(luò)的防護(hù)也會(huì)一直較量下去。本文采用的技術(shù)也不能說是非常完善的，一方面因?yàn)榫W(wǎng)絡(luò)防護(hù)技術(shù)都是在不斷發(fā)展中，另一方面是因?yàn)樵O(shè)計(jì)者的水平有限，且網(wǎng)絡(luò)安全本身是一個(gè)十分復(fù)雜的技術(shù)問題，解決的手段也是多樣的，所以，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)是個(gè)永無止境的研究課題。

參考文獻(xiàn)

[1]胡道元，閔京華.網(wǎng)絡(luò)安全（第2版）[M]. 北京：清華大學(xué)出版社，2008.10.

[2]王群.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M]，北京：清華大學(xué)出版社.2008.08.

[3]石志國(guó)，薛為民，尹浩.計(jì)算機(jī)網(wǎng)絡(luò)安全教程（修訂本） [M]， 北京：北方交通大學(xué)出版社.2007.1.