高校內(nèi)網(wǎng)服務(wù)器安全策略

朱永杰，軒亞光

（許昌學(xué)院 網(wǎng)絡(luò)中心，河南 許昌 461000）

高校內(nèi)網(wǎng)服務(wù)器安全策略

朱永杰，軒亞光

（許昌學(xué)院 網(wǎng)絡(luò)中心，河南 許昌 461000）

隨著校園網(wǎng)的發(fā)展，高校的內(nèi)網(wǎng)服務(wù)器面臨著越來越多的威脅，提出了搭建安全的高校內(nèi)網(wǎng)服務(wù)器的安全策略，培養(yǎng)管理員的良好安全習(xí)慣，做到安全以人為本.

高校內(nèi)網(wǎng)服務(wù)器；安全策略；管理

1 引言

隨著高校校園網(wǎng)絡(luò)的建立和不斷完善，越來越多的用戶接入校園網(wǎng)，由于校園網(wǎng)總的出口帶寬有限，就導(dǎo)致了網(wǎng)速在上網(wǎng)高峰時段變慢.如果利用校園內(nèi)網(wǎng)服務(wù)器大力豐富校園網(wǎng)的資源，讓校園網(wǎng)用戶改變從校外尋找資源的傳統(tǒng)方式為校內(nèi)尋找資源的方式，就可以有效地緩解這種供需矛盾，由于學(xué)生好奇心理比較重，會有人在網(wǎng)絡(luò)上學(xué)習(xí)黑客知識，如何預(yù)防對服務(wù)器的內(nèi)網(wǎng)攻擊、建設(shè)穩(wěn)定高效安全的內(nèi)網(wǎng)服務(wù)器就成了一個亟待解決的問題.由于高校服務(wù)器大部分采用的是windows操作系統(tǒng)，下面就以windows server2003系統(tǒng)為例進行討論.

2 物理安全

服務(wù)器一旦開始提供服務(wù)就要求24*365小時不能間斷，除非遇到特殊情況，這就對周圍環(huán)境要求比較高.一般都要求有專門的相對密閉的機房，做到恒溫恒濕防塵；做到防水防火防盜，防止意外事故發(fā)生.要有專門的人員進行日常的管理，對進入機房的其他人員進行嚴(yán)格限制，從而保證物理上的絕對安全.

3 正確安裝操作系統(tǒng)

3.1 選擇文件系統(tǒng)

Window server 2003系統(tǒng)中常用的文件系統(tǒng)格式是FAT32和NTFS.相對于FAT32來說NTFS文件系統(tǒng)允許為任何一個磁盤分區(qū)單獨設(shè)置訪問權(quán)限，可以把不同的文件放在不同的磁盤分區(qū)中，這樣即使得到了一個分區(qū)的訪問權(quán)限還需要突破系統(tǒng)的安全設(shè)置才能訪問到其他分區(qū)上的文件，增強了服務(wù)器文件的安全性，因此在安裝操作系統(tǒng)的時候要把磁盤格式化為NTFS.

3.2 定制安裝組件

Window server 2003在默認(rèn)情況下會安裝一些常用的組件，但是這個默認(rèn)安裝是非常危險，根據(jù)安全原則“最少的服務(wù)+最小的權(quán)限=最大的安全”，用不到的組件一律不安裝.

3.3 安裝系統(tǒng)補丁

Windows server 2003也存在系統(tǒng)漏洞，系統(tǒng)安裝以后一定要安裝sp2補丁，另外微軟會不定期的發(fā)布最新的漏洞補丁，設(shè)置開啟系統(tǒng)自動更新，或者是用一些工具如360安全衛(wèi)士等及時的安裝最新的補丁，可以有效的防止有些黑客利用最新漏洞攻擊服務(wù)器.

4 服務(wù)器安全設(shè)置

4.1 關(guān)閉不必要的服務(wù)和協(xié)議

Windows server 2003的默認(rèn)安裝會開啟許多服務(wù)，對于不同的功能的服務(wù)器有些服務(wù)是沒有必要開啟的（如Computer Browser、Removable storage等），依據(jù)最小服務(wù)的安全原則，把這些不必要服務(wù)設(shè)置為手動或禁用，對于危險性高的服務(wù)（如Remote Registry Service等）一定要禁用.NETBIOS是一個只能用于局域網(wǎng)的協(xié)議，在局域網(wǎng)內(nèi)對網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通訊，在內(nèi)網(wǎng)服務(wù)器上是一個很大的隱患，因此一定要關(guān)閉.

4.2 關(guān)閉不需要的端口

在windows server 2003中一些敏感的端口如1433、3389等不需要的要關(guān)閉，如果有管理需要用到遠程桌面，最好修改遠程桌面的默認(rèn)3389端口到不常用的端口，這樣就可以避免黑客對這些默認(rèn)端口的進行攻擊.

4.3 關(guān)閉默認(rèn)共享的空連接

為了方便管理員進行網(wǎng)絡(luò)管理，Windows server 2003默認(rèn)開啟共享功能，這些默認(rèn)的共享都有“$”標(biāo)志，意為隱含的，包括所有的邏輯盤（C$，D $，E$……）和系統(tǒng)目錄Windows（admin$）.只要知道了管理員密碼，網(wǎng)絡(luò)上的任何人都可以通過共享硬盤隨意進入服務(wù)器，因此這對于內(nèi)網(wǎng)服務(wù)器來說是安全隱患.為了保證系統(tǒng)的安全，要關(guān)閉默認(rèn)共享，可以通過修改注冊表編輯器實現(xiàn).

打開注冊表編輯器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”項，雙擊右側(cè)窗口中的“AutoShareServer”項將鍵值由1改為0，這樣就能關(guān)閉硬盤各分區(qū)的共享.如果沒有AutoShare-Server項，可自己新建一個再改鍵值.然后還是在這一窗口下再找到“AutoShareWks”項，也把鍵值由1改為0，關(guān)閉admin$共享.最后到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”項處找到“restrictanonymous”，將鍵值設(shè)為1，關(guān)閉IPC$共享.重啟服務(wù)器就可以永遠停止共享.

4.4 帳戶安全策略

①系統(tǒng)帳戶數(shù)要盡可能少，本著權(quán)限盡可能低的原則為不同的帳戶分配合適的權(quán)限.②給所有的帳戶設(shè)置有足夠密碼復(fù)雜度的密碼，一般要求長度在8位以上，要字母、數(shù)字和特殊字符相結(jié)合并且無明顯規(guī)律.擁有特殊權(quán)限的帳戶密碼要隔一段更換新的密碼.③將Administrator重名為一個不容易猜測的名字，另外重新建立一個Administrator帳戶作為一個陷阱帳戶，分配最低權(quán)限.④部分黑客通過將Guset帳戶提升為管理員權(quán)限從而控制服務(wù)器，因此將guest帳號重新命名設(shè)置復(fù)雜密碼并且禁用.⑤經(jīng)常查看帳號的登錄審核日志，一旦發(fā)現(xiàn)某個帳號被反復(fù)嘗試登陸，要更換帳號名和密碼；可以在帳號屬性中設(shè)置帳號的登錄次數(shù)，一旦帳號嘗試登陸失敗3次以上就鎖定該帳戶，這樣可以防范某些黑客的暴力破解.

5 安裝防火墻和殺毒軟件

在內(nèi)網(wǎng)服務(wù)器上安裝單機防火墻，或者在內(nèi)網(wǎng)服務(wù)器群前面架設(shè)硬件防火墻（如圖1），利用防火墻制定詳細的規(guī)則過濾掉不安全的服務(wù)，讓精心選擇的應(yīng)用協(xié)議通過防火墻，這樣就可以攔截可疑的網(wǎng)絡(luò)入侵，保護內(nèi)部服務(wù)器免受很多外部攻擊，為服務(wù)器提供一個技術(shù)屏障.可以有選擇的對WEB服務(wù)器、BBS服務(wù)器等和用戶有交互的服務(wù)器安裝殺毒軟件，定期對服務(wù)器上面的文件進行掃描，以防有黑客通過網(wǎng)頁等的漏洞上傳木馬、病毒等對服務(wù)器造成威脅.

圖1 內(nèi)網(wǎng)服務(wù)器前架設(shè)硬件防火墻示意圖

6 管理以人為本

所有的安全策略歸根結(jié)底要由人去實施，那么服務(wù)器管理員的安全意識就顯得非常重要.不同的學(xué)校要根據(jù)自己的實際情況制定自己的服務(wù)器管理規(guī)定和各種操作規(guī)程.作為管理員要嚴(yán)格按照服務(wù)器管理規(guī)定和操作規(guī)程進行操作，要具有良好的安全意識，要具有責(zé)任心，養(yǎng)成良好的安全習(xí)慣.定期對服務(wù)器的安全狀況進行監(jiān)測；向影視、下載等提供資源的服務(wù)器上面上傳文件時一定要進行病毒查殺，確保無毒；要關(guān)注最新的攻擊手段和方法，及時的對不適宜策略做出調(diào)整，這樣才能最大限度的保證內(nèi)網(wǎng)服務(wù)器的安全.

7 結(jié)束語

本文根據(jù)大多數(shù)高校面臨的校園網(wǎng)內(nèi)網(wǎng)服務(wù)器安全問題，以windows server 2003為例提出了從系統(tǒng)的安裝到各種服務(wù)選擇等綜合的一個安全策略，并且提出了服務(wù)器管理最終要以人為本的理念，對各個高校內(nèi)網(wǎng)服務(wù)器的安全策略的制定具有較大的參考價值.

〔1〕周亞峰,高仲合.校園網(wǎng)Web服務(wù)器的安全配置[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(12).

〔2〕寧博,張保杰.網(wǎng)絡(luò)安全技術(shù)及防火墻在校園網(wǎng)的應(yīng)用[J].西安郵電學(xué)院學(xué)報,2007(12).

〔3〕解大龍，楊寧.校園網(wǎng)中Web服務(wù)器的配置及安全防護[J].遼寧師專學(xué)報，2008(3).

〔4〕張宇.內(nèi)網(wǎng)服務(wù)器特點分析及安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008(4).

TP393

A

1673-260X（2010）06-0036-02