中小學校園網服務器安全策略簡析

■劉小明

中小學校園網服務器安全策略簡析

■劉小明

隨著走現教進教育普師信通人息中手化小一的學機推校。進，電，比腦電較和腦先互和進聯網的網絡地的現區應在甚用已至打經實通了中小學教師聯系外面廣闊世界的通道，促進教師教學理念的提升和教學方法的改變，也擴大了中小學生獲取知識的途徑。

而隨著網絡應用的不斷增長以及上網人數的增加，網絡的安全問題日益顯現出來。在校園網中，服務器擔負著學校的各種網絡應用服務，安全性尤為重要。服務器面臨的主要威脅有病毒和木馬的感染、未授權訪問、網絡攻擊等幾個方面。下面是筆者在校園網和服務器管理工作中的一些思考。

操作系統的安全策略

安裝操作系統補丁

當服務器安裝好操作系統之后，配置好網絡，就要給系統打補丁。如果是Windows系列的服務器，可以開啟自動更新，安裝所有的關鍵更新。筆者建議使用360安全衛士或者金山衛士等工具進行更新。因為補丁并不是安裝的越多越好，如果安裝了不需要安裝的補丁，不但浪費系統資源，還有可能導致其他的問題。安全工具會根據服務器環境的情況智能安裝補丁，節省系統資源，保證安全。

BSD和Linux的默認安裝就是很安全的系統，并且性能非常好，還是免費的，如果沒有特殊需要，建議安裝這樣的開源系統。

安裝殺毒軟件

殺毒軟件不能解決所有的問題，但是殺毒軟件可以避免很多問題。Windows系列的操作系統，建議安裝賽門鐵克殺毒軟件的企業版，并配置為每天更新。如果服務器安裝的是BSD或者Linux操作系統，殺毒軟件可以不考慮，遇到能在這些操作系統上面運行的病毒的幾率和中500萬大獎的幾率差不多。

限制不必要的用戶，并使用安全的密碼

普通教師賬號、共享賬號等應設置相應權限，并且經常檢查系統的賬戶，刪除已經不再使用的賬戶。系統的賬戶越多，被人得到合法用戶的權限的可能性一般也就越大。一個安全的密碼應該有足夠的長度，包含大小寫字母、數字和特殊符號，并且定期更換。

網絡部分的安全策略

啟動防火墻或安裝防火墻

防火墻可以防止黑客對服務器中端口和漏洞的掃描、蠕蟲入侵以及校園網內的惡意掃描。Windows2003操作系統已經自帶防火墻程序，可以在本地連接屬性中的“高級”菜單中啟用，并設置它。如果覺得還不夠安全的話，可以安裝Norton Personal Firewall，提供多層防御機制，可自動攔截入侵行為，控制所有的傳入和傳出通信，保護服務器的安全。

關閉不必要的服務

Windows服務很容易被攻擊者利用，以獲取訪問本地和遠程系統資源的權限。作為一種防范措施，應該禁用系統和應用程序不需要的Windows服務，如Alerter、Browser、Messenger、Netlogon等。通過禁用不必要的服務，能夠減小受攻擊面，同時減少維護方面的工作，比如補丁程序、服務賬號等。

BSD和Linux操作系統也有一些不必要的系統服務，如果不需要就盡量關掉。其實在安裝這些網絡操作系統的時候，選擇最小安裝，然后根據需要再安裝相應的服務，這樣不僅可以徹底解決安全的問題，還有效地提升系統的運行效率。

應用程序的安全策略

中小學校園網主要的服務器應用程序，一般可分為B/S結構的Web服務器程序和C/S結構的應用程序。因為結構的不同，它們的安

服務器面臨的主要威脅有病毒和木馬的感染、未授權訪問、網絡攻擊等。全側重點也不同。在此主要談一談Windows Web服務器IIS的安全策略。

1）網站目錄放置在NTFS分區上，并對目錄設置相應權限。許多網絡管理員為了方便，設置為everyone的權限，是很不安全的。設置為Internet來賓賬號或IIS_WPG組的賬號權限就可以有效地提高安全性。

2）ASP、ASP.NET程序所在目錄的權限設置。如果這些程序是要執行的，那么需要設置“讀取”權限，并且設置執行權限為“純腳本”。不要設置“寫入”和“腳本資源訪問”，更不要設置執行權限為“純腳本和可執行程序”。

3）上傳目錄的權限設置。現在許多的網絡攻擊，都是通過ASP、ASP.NET等程序上傳木馬或者病毒來實現的。這時需要注意，一定要將上傳目錄的執行權限設為“無”，這樣即使上傳了ASP或者exe等木馬或者病毒，也不會在用戶瀏覽器里就觸發執行。

4）數據庫所在目錄的權限設置。將Access所在目錄或者文件的“讀取”“寫入”權限都去掉，可以防止被人下載或篡改。Web應用程序需要的是NTFS上Internet來賓賬號或IIS_WPG組賬號的權限，管理員只要將這些用戶的權限設置為可讀可寫，就可以保證程序正確運行。

數據的安全

除了采用各種技術防止各種安全隱患外，還要有數據備份與恢復的應急措施，保證受到網絡攻擊后，能盡快地恢復校園網服務。定期備份校園網服務器的數據，并且異地存儲，是校園網安全最重要的措施，也是最后的保障。

校園網服務器安全工作不是一勞永逸的，新的安全問題總在不斷地出現，必須根據情況的變化和出現的問題，不斷地修正和更新，保證校園網服務器和網絡的正常運行。

10.3969/j.issn.1671-489X.2011.02.057

作者：劉小明，大學本科，中學一級教師。

山東省淄博市張店區教師進修學校）