校園網(wǎng)服務(wù)器的配置及安全防護(hù)

朱克華

隨著高校信息化進(jìn)程的推進(jìn)，高校校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來(lái)越多，信息系統(tǒng)變得越來(lái)越龐大和復(fù)雜。從結(jié)構(gòu)上分，校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括：教學(xué)局域網(wǎng)、圖書(shū)館局域網(wǎng)、辦公自動(dòng)化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對(duì)外服務(wù)的服務(wù)器群、與Internet的接入以及遠(yuǎn)程移動(dòng)辦公用戶的接入。因此，安全風(fēng)險(xiǎn)的防御問(wèn)題也就變得較為嚴(yán)重和復(fù)雜。

一、安全問(wèn)題來(lái)源分析

1病毒入侵嚴(yán)重目前，網(wǎng)絡(luò)病毒層出不窮，傳播速度快、破壞性強(qiáng)、傳播范圍廣，時(shí)刻威脅著校園網(wǎng)的安全。大量病毒以電子郵件、網(wǎng)絡(luò)共享、網(wǎng)頁(yè)瀏覽、即時(shí)通信或主動(dòng)掃描等方式，感染校園網(wǎng)的服務(wù)器和客戶機(jī)，導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”，嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓。

2網(wǎng)絡(luò)的先天性不足校園網(wǎng)絡(luò)一般基于Internet技術(shù)構(gòu)建，并與Internet相連。Internet的互聯(lián)性和開(kāi)放性給社會(huì)帶來(lái)極大效益的同時(shí)．入侵者也得到了更多的機(jī)會(huì)。因?yàn)镮nternet本身缺乏相應(yīng)的安全機(jī)制，不對(duì)機(jī)密信息和敏感信息提供保護(hù)。Web的精華是交互性，這也正是它的致命弱點(diǎn)。

二、配置安全服務(wù)器

目前很多校園網(wǎng)服務(wù)器安裝的是Windows 2000 Server操作系統(tǒng)，該系統(tǒng)穩(wěn)定性較強(qiáng)但安全性并不是很好，配置不當(dāng)很容易因遭受攻擊而癱瘓。

1端口

端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障，端口配置正確與否直接影響主機(jī)的安全。一般來(lái)說(shuō)，僅打開(kāi)必需的端口是最明智的安全做法，配置方法是在“網(wǎng)卡屬性→TCP／IP協(xié)議→高級(jí)→選項(xiàng)、→TCP／IP篩選”中啟用“TCP／IP篩選”。

2IIS

IIS是微軟組件中迄今為止發(fā)現(xiàn)漏洞最多的一個(gè)，特別是它的默認(rèn)安裝、此處應(yīng)重點(diǎn)進(jìn)行配置；其一、徹底刪除系統(tǒng)盤(pán)(一般是C盤(pán))的Inetpub目錄、到其他盤(pán)新建一個(gè)目錄、而且起名最好不是Inetpub。

其二，刪除IIS安裝時(shí)默認(rèn)的Scripts等虛擬目錄、它們很容易暴露出本地網(wǎng)頁(yè)物理路徑。需要什么權(quán)限的目錄就自己建立一個(gè)。權(quán)限也一定要注意，特別是寫(xiě)權(quán)限和執(zhí)行程序的權(quán)限。

其三，在IIs管理器中刪除必須之外的任何無(wú)用映射，必須指出的是ASP、ASA：和其他需用到的文件類型％在IIS管理器中右擊“主機(jī)一屬性一www服務(wù)編輯一主目錄一配置一應(yīng)用程序映射”，接著開(kāi)始單獨(dú)刪除即可。

3賬號(hào)安全

Windows 2000 Server默認(rèn)安裝后允許任何用戶通過(guò)139端口的空連接得到系統(tǒng)所有賬號(hào)名稱及共享列表。本來(lái)這是為方便校園局域網(wǎng)用戶共享文件設(shè)計(jì)的，但遠(yuǎn)程用戶同樣也能得到這些敏感信息，從而使暴力破解用戶密碼成為可能。

打開(kāi)注冊(cè)表編輯器，在“開(kāi)始一運(yùn)行”中填入“Regedit”并確定，找到Hkey_Local Machines＼Svstem＼CnrrentControlSet＼Control＼LSA RestrictAnonymous、令其值為“1”，這樣即可禁止139端口的空連接訪問(wèn)。

三、管理員的安全意識(shí)

網(wǎng)絡(luò)安全涉及網(wǎng)絡(luò)系統(tǒng)本身的復(fù)雜性、管理員和用戶的安全意識(shí)等因素，除網(wǎng)絡(luò)管理員和用戶應(yīng)具備足夠的網(wǎng)絡(luò)知識(shí)外，還要有較好的管理模式。

1管理模式從網(wǎng)絡(luò)管理角度來(lái)看，在網(wǎng)絡(luò)管理中應(yīng)實(shí)施“A-C-S角色管理模型”，即A：Administrator系統(tǒng)管理員，負(fù)責(zé)承擔(dān)日常的例行維護(hù)，他是管理計(jì)算機(jī)系統(tǒng)的主要人員；C：Configuation Manager配置管理員，負(fù)責(zé)進(jìn)行計(jì)算機(jī)設(shè)備的資產(chǎn)管理、網(wǎng)絡(luò)參數(shù)(如網(wǎng)絡(luò)地址子網(wǎng)掩碼)的分配和登記；S：SecurityConsultant,安全管理員，負(fù)責(zé)評(píng)估和審核計(jì)算機(jī)系統(tǒng)的安全狀況，關(guān)注網(wǎng)絡(luò)安全動(dòng)態(tài)，調(diào)整相關(guān)安全設(shè)置，進(jìn)行入侵防范，發(fā)出安全公告，緊急修復(fù)系統(tǒng)。

2口令安全策略大多數(shù)黑客入侵，就是通過(guò)各種途徑取得管理員口令，因此．校園網(wǎng)管理員的口令安全策略顯得尤其重要。管理員口令安全策略主要有：

(1)不要使用比較容易猜的口令，最好使用字符和數(shù)字的混合口令。

(2)定期更換管理員口令。

(3)設(shè)置系統(tǒng)安全策略，限制用戶錯(cuò)誤口令登錄次數(shù)，防止用戶枚舉性地試探猜測(cè)管理員口令。

四、結(jié)束語(yǔ)：

教育信息化，校園網(wǎng)的建設(shè)是基礎(chǔ)，而網(wǎng)絡(luò)信息安全是保障。安全防范不僅要在技術(shù)上采取安全措施，更重要是在管理上加強(qiáng)安全措施。