賀偉忠
(西北大學現(xiàn)代學院,陜西 西安 710130)
信息化時代下,由計算機技術(shù)及其分支技術(shù)為基礎(chǔ)逐漸發(fā)展起來的信息技術(shù)在實際應(yīng)用中不斷被更新和優(yōu)化,并不斷蓬勃發(fā)展。 而作為計算網(wǎng)絡(luò)中一項基礎(chǔ)性內(nèi)容,局域網(wǎng)在新的信息環(huán)境下也同樣得到不斷完善,以滿足當前我國大部分行業(yè)的管理和運營需求,其中也包括校園網(wǎng)絡(luò)建設(shè)。 在整個網(wǎng)絡(luò)環(huán)境中,服務(wù)器被認為是最不可或缺的一種硬件設(shè)備,其作用與主機中的硬盤類似,主要負責存儲大量數(shù)據(jù)信息。 從專業(yè)角度看,網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用必定引發(fā)一系列不可預(yù)知的安全問題,任何銜接內(nèi)外部環(huán)境的設(shè)備都有可能成為攻擊對象,局域網(wǎng)服務(wù)器也不例外,因此保證服務(wù)器端口安全便成為實現(xiàn)其安全運行的關(guān)鍵。 現(xiàn)階段,互聯(lián)網(wǎng)技術(shù)已經(jīng)成為當前社會大眾工作、生活中不可或缺的技術(shù)手段之一,大量分支技術(shù)井噴式的發(fā)展與在它們各個領(lǐng)域內(nèi)迅速普及,除了滿足人們應(yīng)用需求外,也給各類木馬病毒、黑客的入侵提供了契機,從而給局域網(wǎng)安全帶來巨大威脅。 局域網(wǎng)服務(wù)器的安全問題成為廣大網(wǎng)絡(luò)用戶關(guān)注的焦點,局域網(wǎng)服務(wù)器安全管理與有效維護成為當前亟待解決的重要網(wǎng)絡(luò)安全問題[1]。
DNS(Domain Name System)服務(wù)器主要功能是實現(xiàn)域名與IP 地址的相互轉(zhuǎn)換,具體會應(yīng)用到域名解析器和域名服務(wù)器,其中,后者用來存儲網(wǎng)絡(luò)中全部主機IP 和域名,在域名被映射成為某一個IP 地址時,域名解析器開始發(fā)揮功能,使“請求”來源能夠被識別,進而促成后續(xù)信息傳遞行為發(fā)生。
一般而言,配置局域網(wǎng)DNS 服務(wù)器需要以下幾個步驟:
(1) 在某一臺主機或?qū)I(yè)服務(wù)器上安裝DNS服務(wù)。
(2)創(chuàng)建DNS 正相解析區(qū)域,包括創(chuàng)建主機記錄。
(3)創(chuàng)建DNS 反向解析區(qū)域。
(4)啟用DNS 循環(huán)復(fù)用功能。
(6)實現(xiàn)DNS 唯高速緩存服務(wù)器。
(7)DNS 子域的轉(zhuǎn)向。
(8)設(shè)置DNS 區(qū)域的動態(tài)更新。
(9)配置DNS 客戶端。
Web 服務(wù)器即網(wǎng)站服務(wù)器(World Wide Web),它是局域網(wǎng)絡(luò)中最為重要的一種服務(wù)器。 Web 服務(wù)器搭建是一個十分詳細且復(fù)雜的過程,這里以普通主機為例,對搭建過程進行簡單描述。
更新服務(wù),即在“程序” 中找到“打開或關(guān)閉Windows 服務(wù)”并雙擊;勾選“Internet 信息服務(wù)”下的全部選項;點擊確認[2]。
環(huán)保稅法從環(huán)保機關(guān)征收環(huán)境保護費改為稅務(wù)機關(guān)征收環(huán)保稅,提高執(zhí)法剛性,強化企業(yè)治污減排的責任。作為一項更加規(guī)范、穩(wěn)定和具有強制性的措施,開征環(huán)保稅向企業(yè)釋放出“控制和減少污染物排放、保護和改善生態(tài)環(huán)境”的明確信號。
在IE 瀏覽器中輸入地址“http:/ /localhost/”,完成后按回車鍵,若有“IIS7”界面出現(xiàn),說明Web 服務(wù)器搭建成功。
新的Web 服務(wù)器創(chuàng)建成功后,需要將被開發(fā)好的網(wǎng)站安裝到Web 目錄中。
設(shè)置防火墻,區(qū)別局域網(wǎng)內(nèi)外主機訪問本地網(wǎng)站行為。
除了上述兩種服務(wù)器外,文件傳輸協(xié)議(File Transfer Protocol,FTP)與動態(tài)主機配置協(xié)議(Dynamic Host Configuration Protocol,DHCP)服務(wù)器也是局域網(wǎng)絡(luò)搭建需要用到的服務(wù)器,前者主要用來實現(xiàn)各類軟件和音/視頻上傳與下載,一般通過IIS 進行架設(shè);后者主要用來實現(xiàn)局域網(wǎng)內(nèi)IP 地址和子網(wǎng)掩碼的自動分配,一般要求在Windows Server2003 環(huán)境下來進行搭建[3]。
在局域網(wǎng)服務(wù)器所面臨的威脅中,最常見的威脅是由于系統(tǒng)自身存在的一些漏洞所帶來的安全威脅。在常用的軟件或操作系統(tǒng)中,如Windows 系統(tǒng)等在開發(fā)過程中,由于各種客觀因素都有可能造成系統(tǒng)程序存在缺陷,而一些黑客、惡意軟件等則會利用這些系統(tǒng)的漏洞去攻擊整個系統(tǒng),最終獲得對系統(tǒng)的控制權(quán),通過在計算機或者局域網(wǎng)中植入木馬病毒,對計算機原有系統(tǒng)或網(wǎng)絡(luò)進行入侵破壞,進而對局域網(wǎng)造成破壞,導致網(wǎng)絡(luò)癱瘓,系統(tǒng)自身的缺陷不僅局限于局域網(wǎng)服務(wù)器,交換機系統(tǒng)甚至防火墻系統(tǒng)都有可能存在各種類型的安全漏洞[4]。
隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展,計算機病毒在不斷進行更新?lián)Q代,其種類越來越豐富,且偽裝技術(shù)越來越高超,其對網(wǎng)絡(luò)系統(tǒng)所產(chǎn)生的破壞力在不斷地增強。例如:CIH 病毒(CIH_14 virus)不僅對網(wǎng)絡(luò)系統(tǒng)造成破壞,而且能夠?qū)τ嬎銠C主板CMOS(Complementary Metal Oxide Semiconductor)中的程序造成破壞,進而造成電腦主板硬件的損壞。 隨著我國技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)病毒呈現(xiàn)多樣化發(fā)展,如:比較常見的勒索軟件,一旦入侵計算機系統(tǒng)當中,會對計算機中所儲存的文檔等數(shù)據(jù)信息進行加密,導致計算機用戶無法順利打開文檔獲取相關(guān)數(shù)據(jù),用戶想要獲取文檔必須支付贖金解除加密。 除了勒索軟件病毒之外,還有僵尸網(wǎng)絡(luò)病毒等。 這些電腦病毒對用戶網(wǎng)絡(luò)信息安全、自身利益都造成了嚴重的威脅。
隨著信息時代的到來,物聯(lián)網(wǎng)已經(jīng)走進千家萬戶,小到家庭日常使用的智能家居,大到高校智能信息化網(wǎng)絡(luò)管理,物聯(lián)網(wǎng)技術(shù)發(fā)展已經(jīng)成為推進社會步入人工智能時代的重要舉措。 然而,互聯(lián)網(wǎng)技術(shù)在給人們的工作、生活帶來便利的同時,其安全問題亦逐漸凸顯。 由于當前大部分人們對物聯(lián)網(wǎng)安全的重視程度相對較低,進而導致物聯(lián)網(wǎng)安全防護措施較為簡陋,為一些黑客等不法分子帶來可乘之機,繼而為局域網(wǎng)服務(wù)器帶來一定的安全威脅[5]。
人工智能作為當前信息化時代發(fā)展過程中的重大突破,當前各個領(lǐng)域都在開發(fā)與應(yīng)用人工智能設(shè)備,例如:智能機器人、智能汽車、智能家用電器等,雖然這些人工智能設(shè)備本身擁有一定的安全保護措施,對一些常見的網(wǎng)絡(luò)病毒以及黑客有一定的抵御能力,但是隨著AI 技術(shù)的不斷進步,當人工智能程序被植入相關(guān)代碼指令之后,人工智能設(shè)備會進行自主學習,對自身的程序系統(tǒng)進行升級優(yōu)化,也正是因為人工智能這一特點,一些安全性問題逐漸凸顯出來,智能機器人、智能汽車失控事件屢見不鮮。
木馬與網(wǎng)絡(luò)病毒有異曲同工之效,都是在入侵局域網(wǎng)服務(wù)器之后,再對網(wǎng)絡(luò)、計算機采取一系列的控制。 木馬一般是通過合法的手段隱藏在正常的程序或代碼當中,通過正常的手段進入局域網(wǎng)絡(luò)。 在入侵計算機之后,木馬病毒能夠控制計算機,包括攝像頭、鍵盤等設(shè)備,同時記錄用戶一些相關(guān)操作以及一些加密型文件數(shù)據(jù),如:用戶名、密碼等個人信息,并通過事先預(yù)設(shè)好的路徑將其所收集記錄的數(shù)據(jù)發(fā)送至木馬植入者。 間諜軟件與木馬的入侵原理大致相同,通過軟件或者電子郵件,在用戶正常下載運行軟件或者讀取相關(guān)電子郵件時,植入用戶的計算機,進而竊取用戶的信息。
局域網(wǎng)服務(wù)器安全運行的實現(xiàn)主要依靠防入侵的針對性措施。 通常而言,服務(wù)器入侵行為發(fā)生前,需要確定好IP 地址,以此為突破口實施進一步入侵行為。對于安全防護來說,做好IP 隱藏是十分重要的,將全部敏感端口屏蔽掉。
但這樣還遠遠不夠,在局域網(wǎng)中,防火墻的主要作用就是阻止一切危險行為發(fā)生,隨著病毒攔截經(jīng)驗不斷積累,病毒庫內(nèi)容會越來越豐富,病毒查殺范圍會逐漸擴大,精確性也越來越高。 按照以往的經(jīng)驗,管理員需要定期對服務(wù)器端口進行檢測,可選擇netstat-a DOS 命令,也可直接使用病毒檢測軟件。
對于針對性較強的入侵行為,防范措施要求會更高。 以服務(wù)器遠程維護為例,Windows 2008 環(huán)境下的操作方式如下:
打開注冊表編輯器后進行定位:
HTKEY _ LOCAL _ MACHINE SYSTEM Current Control Set Services lanman server.
若是在Windows 2000 Pro 環(huán)境下,首先需要新建AutoShare Wks,對DWORD 進行“0”賦值,然后關(guān)閉admin $ 共享。
若在Windows 2000 Server 環(huán)境下, 首先新建AutoShareServer,對DWORD 進行“0”賦值;然后再定位HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet\Control\Lsa;最后對“restrictanonymous”進行“1”賦值,并關(guān)閉IPC $ 共享。
待上述操作在各自系統(tǒng)環(huán)境下被完成后,重新啟動服務(wù)器,默認共享便會被關(guān)閉。
除了有針對性的服務(wù)器防入侵措施作為安全運行保障外,防入侵工具對于進一步實現(xiàn)服務(wù)器安全運行也發(fā)揮了積極作用。 其中,系統(tǒng)防火墻、第三方防火墻、蜜罐技術(shù),是比較常用的3 種防入侵工具。 所謂“系統(tǒng)防火墻”應(yīng)用,其實就是禁止ICMP 功能,確?!霸试S傳入的回顯請求”在ICMP 選項卡中未被勾選。第三方防火墻在組織較大的局域網(wǎng)建設(shè)和運行中被更多應(yīng)用,它有著比較系統(tǒng)的防風險規(guī)則,防入侵邏輯較完整、嚴謹,因此效果要比前一種更好。 蜜罐技術(shù)則與前兩種完全不同。 蜜罐就是一個服務(wù)器情報收集系統(tǒng),通過對存在漏洞的服務(wù)器進行虛擬,等待外界的惡意入侵者進入陷阱。 入侵者看到相應(yīng)的端口后并不能入侵,從而起到對服務(wù)器的保護作用。
想要有效降低系統(tǒng)自身漏洞缺陷所帶來的安全威脅,用戶應(yīng)當在局域網(wǎng)內(nèi)部的信息網(wǎng)絡(luò)中,布置相應(yīng)的漏洞掃描以及補丁分發(fā)的服務(wù)器,通過服務(wù)器設(shè)置來提升系統(tǒng)的安全性。 該服務(wù)器主要包含兩大功能,其一是對系統(tǒng)漏洞的掃描,其主要是通過網(wǎng)絡(luò)系統(tǒng)預(yù)設(shè)的攻擊方案對當前局域網(wǎng)中所有的計算機終端的端口進行全面的掃描。 在掃描過程中,一旦局域網(wǎng)中的某臺計算機存在開放端口,就對針對這一端口的可能存在漏洞進行整合,最終通過對整個局域網(wǎng)全面掃描,形成一個漏洞掃描數(shù)據(jù)信息報告,相關(guān)網(wǎng)絡(luò)管理人員結(jié)合掃描報告采取相應(yīng)的補救措施,進而提升局域網(wǎng)服務(wù)器的安全性。 其二是補丁下載功能,在對局域網(wǎng)的系統(tǒng)漏洞進行掃描時,能夠針對系統(tǒng)存在的漏洞自動將補丁下載至局域網(wǎng)服務(wù)器中,并為終端計算機發(fā)送相應(yīng)的補丁,讓網(wǎng)絡(luò)終端客戶自行進行系統(tǒng)更新或漏洞修復(fù),進而提升其局域網(wǎng)服務(wù)器的安全性。
一般來說,用戶每周需要對系統(tǒng)日志文件進行1次清理工作,與此同時,對相關(guān)記錄進行仔細檢查,確保記錄數(shù)據(jù)信息的準確性,依靠系統(tǒng)日志程序的運行方式,使得系統(tǒng)能夠真實記錄全部用戶對系統(tǒng)的應(yīng)用情況。 這一過程涵蓋了最近的登錄時間、運用的賬號以及開展的活動等。 借助日志程序,以定期的形式形成相應(yīng)的報表,然后加以科學分析,能夠有效了解存在的異常情況。
積極開展數(shù)據(jù)備份工作,能夠體現(xiàn)出信息儲存的完整性。 對局域網(wǎng)服務(wù)器來說,如果安全性無法獲得保障,必然將產(chǎn)生數(shù)據(jù)信息流失的現(xiàn)象。 強化數(shù)據(jù)備份管理有利于規(guī)避此種現(xiàn)象的產(chǎn)生。 具體來說,一方面,應(yīng)該確保數(shù)據(jù)備份的及時性。 因為很多安全問題均屬于突然產(chǎn)生的,增加了判斷的難度。 為此,針對服務(wù)器當中的數(shù)據(jù)信息,需要合理進行備份,從而規(guī)避個人遺忘和錯誤情況的發(fā)生。 另一方面,科學實施區(qū)域的劃分,完成備份存儲的任務(wù)。 在無法確保計算機網(wǎng)絡(luò)相同區(qū)域不產(chǎn)生相關(guān)問題的基礎(chǔ)上,可以借助眾多的區(qū)域,實施數(shù)據(jù)備份存儲,以便增強一定的安全性,進而避免出現(xiàn)數(shù)據(jù)信息流失的情況。
通常情況下,受到網(wǎng)絡(luò)信息數(shù)據(jù)日益擴展的影響,基于增強對資源有效存儲的目的,應(yīng)該加大對相關(guān)存儲設(shè)備的擴充力度,假如沒有實現(xiàn),一方面,將會導致有關(guān)硬件設(shè)備的性能難以得到真正發(fā)揮;另一方面,則減少了相關(guān)設(shè)備的使用年限。 基于處理此項難題的目的,具體而言,其一,應(yīng)該深入了解有關(guān)內(nèi)存存儲設(shè)備,體現(xiàn)出良好的兼容性,對有關(guān)內(nèi)存設(shè)備進行選取時,需要將規(guī)格一樣的當作首選,然后明確服務(wù)器具有硬盤支架和接口,具備更加完整的電源插口。 由此可見,經(jīng)過上文的論述與分析,加大對相關(guān)存儲設(shè)備的擴充力度顯得尤為必要。
總而言之,局域網(wǎng)服務(wù)器作為網(wǎng)絡(luò)系統(tǒng)中的重要環(huán)節(jié),加強對局域網(wǎng)服務(wù)器的安全管理與維護,是保障其安全運行的重要舉措。 因此,相關(guān)網(wǎng)絡(luò)管理維護人員應(yīng)當加強對威脅網(wǎng)絡(luò)安全因素的分析,并針對不同威脅因素的特點,避免網(wǎng)絡(luò)安全隱患和安全事故的發(fā)生,切實保證網(wǎng)絡(luò)服務(wù)器的安全穩(wěn)定運行。