摘 要: 随着计算机网络技术的飞速发展和广泛应用,校园网在带来了前所未有的海量信息和全新的信息的传递、共享方式的同时,其开放性和自由性令信息安全问题正日益突出显现出来,已受到A越来越多的关注。构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。本文在分析校园网络系统安全隐患的基础上,结合我校实际,经过实践从构建安全防御体系和加强安全管理两方面进行了探讨,并给出一些相关安全管理措施。
关键词:校园网 Windows Server 2003 安全管理 网络攻击
中图分类号:TP393 文献标识码:A 文章编号:1003-9082(2016)10-0009-01
一、概述
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略、管理和技术被研究和应用。然而,即使在使用了现有的安全工具和技术的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以包括为以下几点:
1.BUG难以防范。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。
2.黑客攻击手段在不断地升级。安全工具更新速度慢,且大多数情况需要人为的参与才能发现
以前未知的安全问题,这就使得对新出现的安全问题总是反应迟钝。
二、我校校园网存在的安全问题
1.我校校园网的现状
我校校园网集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体,提高了学校办公质量和效率,促进了学校整体教学水平的提高。学校总的信息点有300个左右。信息节点的分布涉及到图书馆、实验楼、教学楼、宿舍楼等。主控室在教学楼的一层,图书馆、实验楼和教学楼为信息点密集区。 根据学校实际应用,配备服务器5台,用途如下: 网络服务器1台:负责远程服务管理及WEB站点的管理。WEB服务器采用现在比较流行的IIS服务器,用.net语言进行开发,连接MS SQL Server数据库,形成了完整的动态网站。具体如下: 数据库服务器1台:存储应用系统数据; 应用服务器1台:负责整个校园网的应用系统的服务和管理,教育资源管理等。装有DNS服务,负责整个校园网中各个域名的解析。并装有电子邮件系统,负责整个校园网中各个用户的邮件管理; 教案服务器1台:教师备课、课件制作、资料查询等文件管理等。 图书管理服务器1台:负责图书资料管理。
2.我校校园网拓扑结构
我校校园网拓扑结构图如图1所示。采用千兆以太网技术,具有高带宽1000Mbps 速率的主干,100Mbps 到桌面,足以满足目前的各种应用系统的运行需求,还可应对将来一段较短时间内的应用要求;提供国际互联网DDN专线接入,实现与公共网的连接;有综合网络办公系统及其他应用系统,初步实现了办公自动化,管理信息化; 有以WEB数据库为中心的综合信息平台,可进行消息发布,形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远程教学等。
三、我校园网络的安全技术
从技术角度看,目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由等,这些技术有的通过硬件来实现,有的需要软件来实现,以下就结合我们校园网的情况,对相关技术和设备进行分析。
四、我校园网安全防范措施
我校校园网在对目前已知系统漏洞和常见安全隐患方面进行以下的技术防护。
1.防止Administrator账号被破解?Windows Server 2003系统的Administrator账号是不能被停用的,也不能设置安全策略,这样黑客就可以一遍又一遍地尝试这个账号的密码,直到被破解,为了防止这种侵入,我们可以把Administrator账号更名:在“组策略”窗口中,依次展开“本地计算机策略”/“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“安全选项”功能分支。重命名系统管理员帐户“属性”对话框,在此输入新的管理员名称,尽量把它为普通用户,然后另建一个超过10位的超级复杂密码,并对该账号启用审核,这样即使黑客费力破解到密码也将一无所获。另外为了防止黑客通过Guest账号登录计算机,可以在“组策略”中删除Guest账号。
2.防止账号被暴力破解?黑客攻击入侵,大部分利用漏洞,通过提升权限成为管理员,这一切都跟用户账号紧密相连。 防范方法:通过修改注册表来禁用空用户连接。在注册表编辑器中找到如下子键 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA,在其窗口新建一个名为RestrictAnonymous的DWORD值将其设为1。
3.关闭默认共享的空连接 Windows Server 2003系统在默认安装时,都会产生默认的共享文件夹,每个盘符都被 Windows 自动设置了共享,其共享名为盘符后面加一个符号$(共享名称分别为c$ 、d$ 、ipc$ 以及admin$)。也就是说,只要攻击者知道了该系统的管理员密码,就有可能通过“\工作站名共享名称”的方法,来打开系统的指定文件夹,这是个非常大的安全隐患。为此,有必要将 Windows Server 2003 系统默认的共享隐患,从系统中清除掉。可通过“net share C$ /del”类似命令来清除系统默认的共享。 空连接是在没有信任的情况下与服务器建立的会话,是一个到服务器的匿名访问。 会带给攻击者列举系统信息的机会。将主键HKEY_ LOCAL_MACHINE/ SYSTEM/CurrentControlSet/Control/LSA的Restrict Anonymous(DWORD)的键值改为00000001即可关闭默认共享的空连接。
4.对磁盘权限进行设置 一般系统盘C盘只给administrators和system访问和修改的权限。并将Windows目录加上给users的默认权限。 将net.exe NET、cmd.exe、tftp.exe、netstat.exe、regedit.exe、attrib.exe、cacls.exe、format.exe等文件设置只允许administrator访问。
结束语
Internet的各种安全威胁时刻影响着校园网的运行和管理,加强校园网的安全管理是当前的重要任务。但是,校园网络安全问题是一个永久的课题,校园网络的威胁和校园网络的防护也会一直较量下去。本文采用的技术也不能说是非常完善的,一方面因为网络防护技术都是在不断发展中,另一方面是因为设计者的水平有限,且网络安全本身是一个十分复杂的技术问题,解决的手段也是多样的,所以,计算机网络安全技术是个永无止境的研究课题。
参考文献
[1]胡道元,闵京华.网络安全(第2版)[M]. 北京:清华大学出版社,2008.10.
[2]王群.计算机网络安全技术[M],北京:清华大学出版社.2008.08.
[3]石志国,薛为民,尹浩.计算机网络安全教程(修订本) [M], 北京:北方交通大学出版社.2007.1.