校園網環境下服務器的安全管理

摘要：網絡安全管理是網絡管理的重中之重，特別是學校校園網的安全直接關系到教育教學活動的正常進行，必須引起人們的高度重視。對安全問題的來源進行分析，有針對性地預防，可以提高校園網的安全水平。

關鍵詞：網絡安全；規劃設計；系統安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044(2009)05-1160-02

Constructing a High-Speed and Secure Campus Area Network

JU Fang

(The Library of Nanjing University of Finance Economics， Nanjing 210046， China)

Abstract: Campus network is an important indicators scale of a school information technology and modern management level. A higt-speed， seady， and secure campus network is one of the vital base establishment for sponsor schools. Discusses the high-speed campus are a network design scheme and management about the upgrade reconstruction of the campus network.

Key words: Campus Network; Planning and Design; System Security

1 引言

隨著高校信息化進程的推進，高校校園網上運行的應用系統越來越多，信息系統變得越來越龐大和復雜。從結構上分，校園網總體上分為校園內網和校園外網。校園內網主要包括：教學局域網、圖書館局域網、辦公自動化局域網等。校園外網主要指學校提供對外服務的服務器群、與Internet 的接入以及遠程移動辦公用戶的接入。[1]校園網的服務器群構成了校園網的服務系統，主要包括DNS、Web、FTP、Proxy、視頻點播以及Mail服務等。

外部網主要實現校園網與Internet 的基礎接入。校園網絡擁有著大規模的、高速的、開放的網絡環境；支撐著復雜的網上應用和業務類型；擁有著活躍的、不同使用水平的用戶群體。因此，安全風險的防御問題也就變得較為嚴重和復雜。

2 安全問題來源分析

2.1 病毒入侵嚴重

目前，網絡病毒層出不窮，傳播速度快、破壞性強、傳播范圍廣，時刻威脅著校園網的安全。大量病毒以電子郵件、網絡共享、網頁瀏覽、即時通信或主動掃描等方式，感染校園網的服務器和客戶機，導致網絡的“拒絕服務”，嚴重時會造成網絡癱瘓。

2.2 網絡的先天性不足

校園網絡一般基于Internet技術構建，并與Internet相連。Internet的互聯性和開放性給社會帶來極大效益的同時，入侵者也得到了更多的機會。[2]因為Internet 本身缺乏相應的安全機制，不對機密信息和敏感信息提供保護。Web的精華是交互性，這也正是它的致命弱點。

2.3 軟件系統的漏洞

沒有十全十美的軟件產品，系統中的安全漏洞和“后門”不可避免地存在。正是由于漏洞的存在，才讓黑客有了可乘之機。目前，在操作系統、通信協議、網絡應用軟件中均不同程度地存在安全漏洞或安全缺陷。

3 配置安全服務器

目前很多校園網服務器安裝的是Windows 2000 Server操作系統，該系統穩定性較強但安全性并不是很好，配置不當很容易因遭受攻擊而癱瘓。

3.1 端口

端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響主機的安全。一般來說，僅打開必須的端口是最明智的安全做法，配置方法是在“網卡屬性→TCP/IP協議→高級→選項→TCP/IP篩選”中啟用“TCP/IP篩選”。

3.2 IIS

IIS是微軟組件中迄今為止發現漏洞最多的一個，特別是它的默認安裝、此處應重點進行配置；其一、徹底刪除系統盤（一般是C盤）的Inetpub目錄、到其它盤新建一個目錄、而且起名最好不是Inetpub。

再到IIS管理器中將主目錄指向這個新建的非系統盤目錄。

其二，刪除IIS安裝時默認的Scripts等虛擬目錄、它們很容易暴露出本地網頁物理路徑。需要什么權限的目錄就自己建立一個，權限也一定要注意，特別是寫權限和執行程序的權限。

其三，在IIS管理器中刪除必須之外的任何無用映射，必須指出的是ASP、ASA和其它需用到的文件類型%在IIS管理器中右擊“主機→屬性→www服務編輯→主目錄→配置→應用程序映射” ，接著開始單獨刪除即可。[3]然后到應用程序調試標簽內將腳本錯誤消息更改為發送文本。

最后，還可以使用IIS的備份功能，將上述的設定備份以便隨時恢復IIS的安全配置。如果擔心IIS負荷過大而導致服務器死機的話，可以在性能中打開CPU限制，將其使用率限制為80%。

3.3 帳號安全

Windows 2000 Server默認安裝后允許任何用戶通過139端口的空連接得到系統所有賬號名稱及共享列表。本來這是為方便校園局域網用戶共享文件設計的，但遠程用戶同樣也能得到這些敏感信息，從而使暴力破解用戶密碼成為可能。

打開注冊表編輯器，在“開始→運行”中填入“Regedit”并確定，找到Hkey_Local_Machines\\Svstem\\CnrrentControlSet\\Control\\LSA_RestrictAnonymous、令其值為“1\"，這樣即可禁止139端口的空連接訪問。

3.4 安全日志

默認情況下Windows 2000 Server未打開任何安全審核，所以必須打開“本地安全策略”→審核策略下的“審核”進行如下的設置：賬戶管理——（成功、失敗），登錄事件——（成功、失敗），對象訪問——（失敗），策略更改——（成功、失敗），特權使用——（失敗），系統事件——（成功、失敗），目錄服務訪問——（失敗），賬戶登錄事件——（成功、失敗）。同時在“賬戶策略→密碼策略”中也要設置：密碼復雜性——啟用，密碼長度最小值——6位，強制密碼歷史——5次，最長存留期——30天；還要在“賬戶策略→賬戶鎖定策略”中設置：賬戶鎖定——3次錯誤登錄，鎖定時間——20分鐘，復位鎖定計數——20分鐘。[4]

3.5 目錄和文件權限

為了控制好服務器上用戶的權限，同時也是為了預防以后可能的入侵和溢出攻擊，我們必須非常小心地設置目錄和文件的訪問權限。其原則為：1) 權限是累計的，如果一個用戶同時屬于兩個組，那么他就有這兩個組所允許的所有權限；2) 拒絕的權限比允許的權限高；3) 文件權限比文件夾權限高；4) 利用戶組來進行權限控制是一個成熟的系統管理員必須具有的優良習慣；5) 僅給用戶真正需要的權限，權限的最小化原則是安全的重要保障。

4 網絡病毒的防護

為保證服務器的安全，除了服務器端的工作外，對網絡用戶的客戶端也采取了相應措施，從有害攻擊的源頭抓起，對每個網絡用戶負責。

針對網絡時代病毒新的特點，在校園網上布置諾頓網絡防病毒系統，網絡中心安裝諾頓防病毒服務器，每個校園網用戶可方便下載、安裝客戶端軟件，整個系統自動、快速升級，實現實時防毒控制。[5]這樣，有效地控制了造成重大危害的蠕蟲病毒在校園網上的傳播。

校園網設置防病毒、垃圾郵件網關，對進出的郵件實時掃描、過濾，濾除有害的病毒郵件、垃圾郵件，并可設置靈活的針對特殊關鍵字的過濾，濾除有害信息。

5 管理員的安全意識

網絡安全涉及網絡系統本身的復雜性、管理員和用戶的安全意識等因素，除網絡管理員和用戶應具備足夠的網絡知識外，還要有較好的管理模式。

5.1 管理模式

從網絡管理角度來看，在網絡管理中應實施“A-C-S 角色管理模型”，即A：Administrator 系統管理員，負責承擔日常的例行維護，他是管理計算機系統的主要人員；C：ConfiguationManager 配置管理員，負責進行計算機設備的資產管理、網絡參數（如網絡地址子網掩碼）的分配和登記；S：Security Consultant安全管理員，負責評估和審核計算機系統的安全狀況，關注網絡安全動態，調整相關安全設置，進行入侵防范，發出安全公告，緊急修復系統。上述三角色各有分工又相互協作，系統管理員接受安全管理員在安全方面的監督，接納其安全建議；配置管理員統管網絡資源分配，進行整個網絡的調整，向系統管理員和安全管理員提供網絡參數；安全管理員必須及時通知系統管理員相關的安全操作。

5.2 堅持“最小授權”原則

網絡管理員要經常性地查看服務器打開的服務端口和服務器的運行狀態，關閉無需的服務端口。此外，管理員要經常性地總結經驗，通過查看服務器性能及運行狀態，判斷服務器是否存在可能的危險，關閉不清楚的或不知的進程，盡可能地做到防微杜漸。[6]“最小授權”原則還要求網絡中帳號設置、服務配置、主機間信任關系配置等，應該設為網絡正常運行所需的最小限度。

5.3 口令安全策略

大多數黑客入侵，就是通過各種途徑取得管理員口令，因此，校園網管理員的口令安全策略顯得尤其重要。管理員口令安全策略主要有：

1) 不要使用比較容易猜的口令，最好使用字符和數字的混合口令。

2) 定期更換管理員口令。

3) 設置系統安全策略，限制用戶錯誤口令登錄次數，防止用戶枚舉性地試探猜測管理員口令。

6 結束語

教育信息化，校園網的建設是基礎，而網絡信息安全是保障。為了應付比以往更嚴峻的“安全性”挑戰，安全不應再僅僅停留于追堵和攔截，而應該積極主動地運用各種手段直面來自各個方面的挑戰。校園網的安全策略也不能一勞永逸，必須應用新的防御技術和安全策略，努力改善并提升校園網的安全防護能力，形成全方面的、立體的安全防護體系，才能確保校園網安全、有效、安全技術與應用快速運行。安全防范不僅要在技術上采取安全措施，更重要是在管理上加強安全措施。使計算機網絡能實現以下安全目標：保護網絡系統的可用性；保護網絡系統服務的連續性；防范網絡資源的非法訪問及非授權訪問；防范入侵者的惡意攻擊與破壞；保護學校信息通過網上傳輸過程中的保密性、完整性；防范病毒的侵害；實現網絡的安全管理等。

參考文獻：

[1] 龔靜. 高校校園網的安全與防護[J]. 教育信息化，2005，(04).

[2] 董慧娟. 校園網的網絡安全策略[J]. 無錫職業技術學院學報，2005，(02).

[3] 喬春源. 校園網資源庫建設的實踐與認識[J]. 教育信息化，2005，(03).

[4] 牛龍平，張勇. 校園網綜合管理研究與對策[J]. 教育信息化，2005，(04).

[5] 李永斌. 校園網安全策略分析[J]. 教育信息化，2005，(04).

[6] 桑玉民. 淺談校園網安全體系的建立[J]. 晉中師院學報，2005，(03).