論windows系統下校園網絡的安全配置

侯曉磊

（鄭州工業應用技術學院 信息工程學院，河南 新鄭 451100）

在目前的校園網絡當中，校園網在帶給我們全體師生方便、快捷、高效的同時，也充斥著形形色色的安全威脅，因此，加強網絡安全的配置就顯得尤為重要.

1 校園網絡安全中存在的威脅

如今的校園網絡當中，充斥著各種各樣的安全威脅，我們在這里大體總結如下：

（1）計算機病毒的威脅.由于計算機病毒具有強有力的破壞性、隱蔽性和強大的自我衍生能力，對校園網的威脅是非常大的，特別是網絡病毒的攻擊能力比單機病毒還要大.隨著校園網與外部Internet網絡逐漸的融為一體，也會為各類計算機病毒敞開大門，在校園網中下載信息、傳遞數據、收發電子郵件等都將受到威脅.

（2）有害信息的傳播.在如今的網絡當中，充斥著各種各樣的信息，有對我們的教育教學起到幫助作用的，同時，也有許多不健康的、不符合國家法律法規的、甚至是違反社會道德的壞信息，如果安全管理不到位，有可能會在校園網中廣泛傳播，造成不好的影響.

（3）木馬等惡意攻擊和破壞行為.一些別有用心的人，會專門針對我們校園網中防護比較薄弱的地方，或者利用我們系統中軟、硬件設施的漏洞，移植木馬程序等實施遠程控制；或者直接采取攻擊行為，監視信息流、會話劫持、盜取我們網絡中的有價值信息數據；或者產生一定的破壞行為.而我們的校園網也不能做到24小時全天候的專人監管，惡意攻擊行為，有可能會導致網絡的癱瘓，給我們造成無法想象的損失.

（4）不合法用戶的非法訪問.

（5）網絡協議的缺陷.比較典型的就是如今在網絡當中運用較多的TCP/IP協議本身所具有的安全缺陷問題.

（6）數字信息的間諜行為.例如對通信數據流量的分析、信息的直接盜取等.

（7）人為行為.例如黑客的入侵破壞、網絡釣魚，或者內部人員使用不當等.

（8）網絡安全意識不強，管理制度不健全，法律法規不完善.

因此，校園網的安全威脅，有技術方面的，也有管理意識淡薄和制度缺失等因素.目前，我校幾乎各個院系部辦公室都配有電腦，連有網絡，但是有很多的使用者安全防范意識比較差.學校的規章制度還不夠完善，還不能夠有效的規范和約束師生們的不良上網行為.

2 校園網安全技術和管理機制

校園網絡的安全機制是保證校園網絡信息安全的必要措施，這些安全機制大都是針對目前高校網絡中潛在的安全威脅，但在具體實施過程中可以根據各高校的實際情況單獨或組合使用.如何在有限的投資中，安全機制盡可能的合理，盡可能地降低安全風險，是一個值得探討的問題.校園網絡的安全體系的建設，我們應集中于兩個方面：一是現代化選擇機制；二是不斷改進的管理機制.

之前我們已經介紹了在校園網中的各種潛在安全威脅，主要是通過硬件和軟件，以及網絡系統的缺陷和漏洞、技術不到位等，對我們的校園網絡發動攻擊.因此，為了有效防范這些威脅，我們首先需要在技術方面增強安全機制，進一步充實網絡的檢測能力，彌補系統漏洞，盡而實現校園網安全的目的.大體上應包括如下安全技術機制：

（1）加密和隱藏技術.一般情況下，加強計算機網絡安全的最簡單、也是最常規的一個方法就是加密技術.對重要信息進行加密，是保護網絡安全的最基本的手段和方法.即使攻擊者通過某種非法手段獲取了相關內容，也無法直接了解到其核心信息從而達到一定的保護作用.而隱藏技術則是將重要信息以某種方式隱藏在其他信息當中，讓黑客等攻擊者很難發現.

（2）完整性、不可否認性的保證.利用密碼學等一些安全技術可以很好地對付非法用戶有意無意的篡改、竊取等惡意行為，很好的保護數據信息的完整性.當數據信息的完整性得以保證后，還可提供不可抵賴服務.

（3）權限和存取控制技術.針對網絡系統中各種不同身份級別的用戶，分別賦予不同的操作權限，限制其越級越權行為，達到不同的管理目的.并且在安全的校園網系統中,還可以采用存取控制機制來保護目標應用對象.

（4）安全審計和定位技術.通過在網絡使用過程中，對一些重要的事件內容進行的記錄、審計，從而在系統中可以跟蹤入侵者的入侵行為、發現錯誤或受到攻擊時能定位攻擊目的地并找到切實有效的防范措施，為日后的事故調查取證等打下基礎.

（5）安全認證和授權.校園網絡設備之間為了進一步加強安全建設，應相互認證對方的身份和所授予的權力，以保證其以合法的身份，合理的使用校園網的權力；同時，校園網也必須對用戶的身份進行認證，以確保由權威和法律授權的合法用戶合理的操作.

（6）任務填充技術.在通信過程中，通過發送仿真性能好的隨機數據和信息，通過對通信數據流量和獲取信息的分析來增加攻擊者的難度，進一步提高網絡的安全性.

根據對當前校園網絡安全現狀的了解，校園網絡的信息安全不僅是個技術問題，也是一個管理問題.正所謂“三分技術，七分管理”.要想真正的把校園網絡建設的更加完善，必須首先從制度上制定出更加嚴格、規范的管理制度，設計出更加行之有效的技術方案，確定合理的資金分配，采用相應的管理措施和完善相關的法律法規制度.

特此總結出以下幾點校園網絡安全管理機制：

（1）為了使安全設備和制度更加豐富完善，可以采用一致的網絡監控設備，包括對網絡接口的配置問題，就有可能預防相當一部分的網絡攻擊和入侵行為.一般常見的方法有：在內外網之間安裝正版的主流殺毒軟件、軟件防火墻、入侵檢測及漏洞掃描設備等.對我們的校園網絡進行較為系統、完整的檢測、防護和預警，防止非法用戶的不正常訪問和越權使用等.

（2）進一步完善校園網絡管理制度，建立健全網絡的整體架構.對一個合理的校園網絡進出口進行有效管理，并提供最基本的安全保證.

（3）為教師和學生盡快解決互聯網身份問題，提高統一身份認證系統的安全級別.校園網絡必須首先解決好所有教師和學生的在線身份問題，而身份認證系統是整個校園網絡安全系統的最基本的組成部分.所以，必須要引起學校相關部門的重視.

（4）集中監控和管理學校機房等公共上網場所.所有上網師生不但要通過學校統一的校級身份認證系統的認證，其上網的安全日志，安全記錄也要集中保存在中心服務器上，以便及時備份今后查驗.

（5）根據學校相關部門的要求，配備專門的安全管理人員，建立健全網絡安全管理制度和體系.

3 安全策略的相關配置

為了進一步加強校園網絡的安全，我們需要從各個方面入手，這里我們主要針對windows服務器運行的程序和服務以及本地計算機兩方面出發，制定相關的安全策略.現大體總結如下：

（1）安裝比較流行的殺毒軟件.如果從安全角度去考慮的話，最好是去購買比較流行的、正版的專業殺毒軟件，并且最好可以實現在線實時升級.這樣，就可以有效的防治計算機病毒、木馬的入侵和其他惡意攻擊行為的出現.

（2）及時下載安裝并更新系統補丁.一般我們認為，幾乎任何的計算機互聯網軟件和硬件都是有漏洞的，而我們所廣泛使用的操作系統也不例外，因此，就需要我們所有用戶，特別是經常上網的用戶，及時的下載并更新系統補丁程序，進一步完善軟硬件功能特性的同時，也能很好的彌補系統漏洞，盡可能的規避各種各樣的風險.

（3）相關賬戶管理.對系統默認的管理員帳戶進行重新命名并加以密碼，密碼的長度也應該至少8位以上，可以使用字母、數字、特殊符號等來增加密碼復雜度.另外，最好禁用不經常使用的來賓帳戶，減少相關賬戶的數量，增加非法用戶嘗試破解的難度和成本.

（4）禁用無用或暫時不用的服務.比如說，無線服務、遠程協助服務、遠程注冊表操作等這些服務要么不用，要么不經常使用，最好將其關閉，避免我們不用，卻留下來成為他人攻擊我們電腦或網絡的跳板.

（5）刪除系統默認的共享.在校園網中共享文件的同時，給我們提供了方便，但同時也是一個很大的安全風險.因此，最好用的時候開通，不用的時候將其關閉或刪除.可以通過編輯注冊表的操作，找到Hkey_local_machine系統currentcontrolset服務lanmanserver參數，將REG_DWORD的AutoShareServer值修改成0即可.

（6）禁止IPC空連接.可以通過打開注冊表，在HKEY_LOCAL_MACHINE根鍵中，找到LSA-RestrictAnonymous選項，把它的值改為1即可.

（7）運用組策略進行安全配置.通過相關的Gpedit.msc命令打開組策略，找到計算機配置中的本地策略，然后可以按照下面操作進行相關的安全配置.

·試著將Power Users和Backup Operators兩個不常用的選項，在用戶權限的分配下刪除；

·啟動不允許匿名訪問系統帳號和局域網共享；

·在文件共享目錄中刪除允許匿名登錄的兩個選項；

·啟用在下一次密碼變更時不存儲LANMAN哈希值；

·盡量設置不顯示上次登錄的用戶名；

·禁止IIS匿名用戶在本地登錄；

·限制嘗試登錄的次數和規定鎖定賬戶的時間；

·設置密碼策略要求，如所需要的最小密碼長度，復雜性等.

（8）本地安全策略設置.在開始菜單管理工具中，對本地安全策略中的9個審核策略，都可以將其成功、失敗的都進行審核，這樣就可以在事件查看器中進行定期不定期的查看.還可以在其中對用戶權限分配、安全選項、軟件限制策略等進行自定義設置.

（9）重命名或卸載不安全的部分.現在很多程序或軟件都捆綁了不少相關的組件，而有些組件對我們的校園網根本就是沒用的，留下來就有可能成為安全隱患，因此，完全可以將其卸載掉.

因此，通過上述對服務器和本地計算機系統進行的相關設置和策略的制定，可以有效的防止計算機病毒、黑客的攻擊，增加服務器和本地計算機的有效自身防御能力，讓我們的校園網絡環境得到進一步的凈化，為全體師生營造良好的學習氛圍.

〔1〕周海剛，肖軍模.一種基于移動代理的入侵檢測系統框架[J].電子科技大學學報，2003，12.

〔2〕賀也平.惡意代碼在計算機取證中的應用[R].首屆全國計算機取證技術研討會，2004，11.

〔3〕陳建，張亞萍，李艷.基于流量分析的入侵檢測系統研究[J].天津理工學院學報，2008，9.

〔4〕單國棟,戴英俠,王航.計算機漏洞分類研究[J].計算機工程，2002,28(10):3-6.