校園網(wǎng)絡(luò)安全初探

1、校園網(wǎng)絡(luò)安全初探特征碼標(biāo)簽:特征碼校園網(wǎng)絡(luò)安全初探三明市第二中學(xué)林穎韜內(nèi)容摘要 網(wǎng)絡(luò)安全越來越受到人們的重視，*結(jié)合筆者在網(wǎng)絡(luò)管理的一些經(jīng)驗體會，從密碼安全、系統(tǒng)安全、共享目錄安全和木馬防范方面，對校園網(wǎng)的安全談了自己的看法和做法，供大家參考。關(guān)鍵詞 網(wǎng)絡(luò) 安全 黑客隨校校通工程的深入開展，許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這無疑對加快信息處理，提高工作效率，減輕勞動強度，實現(xiàn)資源共享都起到無法估量的作用。但在積極發(fā)展辦公自動化、實現(xiàn)資源共享的同時，人們對校園網(wǎng)絡(luò)的安全也越加重視。尤其最近暴發(fā)的紅色代碼、藍色代碼及尼姆達病毒，使人們更加深刻的認(rèn)識到了網(wǎng)絡(luò)安全的重要。正如人們所說的：網(wǎng)絡(luò)的生命

2、在于其安全性。因此，如何在現(xiàn)有的條件下，如何搞好網(wǎng)絡(luò)的安全，就成了網(wǎng)絡(luò)管理人員的一個重要課題。目前，許多學(xué)校的校園網(wǎng)都以windows nt做為系統(tǒng)平臺，由iis（internet information server）提供web等等服務(wù)。下面本人結(jié)合自己對windows nt網(wǎng)絡(luò)管理的一點經(jīng)驗與體會，就技術(shù)方面談?wù)勛约簩π@網(wǎng)安全的一些看法。一、密碼的安全眾所周知，用密碼保護系統(tǒng)和數(shù)據(jù)的安全是最經(jīng)常采用也是最初采用的方法之一。目前發(fā)現(xiàn)的大多數(shù)安全問題，是由于密碼管理不嚴(yán)，使 入侵者得以趁虛而入。因此密碼口令的有效管理是非常基本的，也是非常重要的。在密碼的設(shè)置安全上，首先絕對杜絕不設(shè)口令的帳號

3、存在，尤其是超級用戶帳號。一些網(wǎng)絡(luò)管理人員，為了圖方便，認(rèn)為服務(wù)服務(wù)器只由自己一個人管理使用，常常對系統(tǒng)不設(shè)置密碼。這樣，入侵者就能通過網(wǎng)絡(luò)輕而易舉的進入系統(tǒng)。筆者曾經(jīng)就發(fā)現(xiàn)并進入多個這樣的系統(tǒng)。另外，對于系統(tǒng)的一些權(quán)限，如果設(shè)置不當(dāng)，對用戶不進行密碼驗證，也可能為入侵者留下后門。比如，對web網(wǎng)頁的修改權(quán)限設(shè)置，在windows nt 4 .0+iis 4 .0版系統(tǒng)中，就常常將網(wǎng)站的修改權(quán)限設(shè)定為任何用戶都能修改（可能是iis默認(rèn)安裝造成的），這樣，任何一個用戶，通過互聯(lián)網(wǎng)連上站點后，都可以對主頁進行修改刪除等操作。其次，在密碼口令的設(shè)置上要避免使用弱密碼，就是容易被人猜出字符作為密碼。筆

4、者就猜過幾個這樣的站點，他們的共同特點就是利用自己名字的縮寫或6位相同的數(shù)字進行密碼設(shè)置。密碼的長度也是設(shè)置者所要考慮的一個問題。在windows nt系統(tǒng)中，有一個sam文件，它是windows nt的用戶帳戶數(shù)據(jù)庫，所有nt用戶的登錄名及口令等相關(guān)信息都會保存在這個文件中。如果入侵者通過系統(tǒng)或網(wǎng)絡(luò)的漏洞得到了這個文件，就能通過一定的程序（如l0phtcrack）對它進行解碼分析。在用l0phtcrack破解時，如果使用暴力破解 方式對所有字符組合進行破解，那么對于5位以下的密碼它最多只要用十幾分鐘就完成，對于6位字符的密碼它也只要用十幾小時，但是對于7位或以上它至少耗時一個月左右，所以說，

5、在密碼設(shè)置時一定要有足夠的長度。總之在密碼設(shè)置上，最好使用一個不常見、有一定長度的但是你又容易記得的密碼。另外，適當(dāng)?shù)慕徊媸褂么笮懽帜敢彩窃黾颖黄平怆y度的好辦法。二、系統(tǒng)的安全最近流行于網(wǎng)絡(luò)上的紅色代碼、藍色代碼及尼姆達病毒都利用系統(tǒng)的漏洞進行傳播。從目前來看，各種系統(tǒng)或多或少都存在著各種的漏洞，系統(tǒng)漏洞的存在就成網(wǎng)絡(luò)安全的首要問題，發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡(luò)管理人員主要任務(wù)。當(dāng)然，從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的，但是及早地發(fā)現(xiàn)有報告的漏洞，并進行升級補丁卻是我們應(yīng)該做的。而發(fā)現(xiàn)有報告的漏洞最常用的方法，就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站，對于我們有使用的軟件和服務(wù)，應(yīng)該

6、密切關(guān)注其程序的最新版本和安全信息，一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對軟件進行必要的補丁和升級。比如上面提及引起紅色代碼、藍色代碼及尼姆達病毒的傳播流行的unicode解碼漏洞，早在去年的10月就被發(fā)現(xiàn)，且沒隔多久就有了解決方案和補丁，但是許多的網(wǎng)絡(luò)管理員并沒有知道及時的發(fā)現(xiàn)和補丁，以至于過了將近一年，還能掃描到許多機器存在該漏洞。在校園網(wǎng)中服務(wù)器，為用戶提供著各種的服務(wù)，但是服務(wù)提供的越多，系統(tǒng)就存在更多的漏洞，也就有更多的危險。因些從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉，只向公眾提供了他們所需的基本的服務(wù)。最典型的是，我們在校園網(wǎng)服務(wù)器中對公眾通常只提供web服務(wù)功能，而沒有必要向公眾

7、提供ftp功能，這樣，在服務(wù)器的服務(wù)配置中，我們只開放web服務(wù)，而將ftp服務(wù)禁止。如果要開放ftp功能，就一定只能向可能信賴的用戶開放，因為通過ftp用戶可以上傳文件內(nèi)容，如果用戶目錄又給了可執(zhí)行權(quán)限，那么，通過運行上傳某些程序，就可能使服務(wù)器受到攻擊。所以，信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個因素。在windows nt使用的iis，是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的iis默認(rèn)安裝又實在不敢恭維，為了加大安全性，在安裝配置時可以注意以下幾個方面：首先，不要將iis安裝在默認(rèn)目錄里（默認(rèn)目錄為c:inetpub），可以在其它邏輯盤中重新建一

8、個目錄，并在iis管理器中將主目錄指向新建的目錄。其次，iis在安裝后，會在目錄中產(chǎn)生如scripts等默認(rèn)虛擬目錄，而該目錄有執(zhí)行程序的權(quán)限，這對系統(tǒng)的安全影響較大，許多漏洞的利用都是通過它進行的。因此，在安裝后，應(yīng)將所有不用的虛擬目錄都刪除掉。第三，在安裝iis后，要對應(yīng)用程序進行配置，在iis管理器中刪除必須之外的任何無用映射，只保留確實需要用到的文件類型。對于各目錄的權(quán)限設(shè)置一定要慎重，盡量不要給可執(zhí)行權(quán)限。三、目錄共享的安全在校園網(wǎng)絡(luò)中，利用在對等網(wǎng)中對計算機中的某個目錄設(shè)置共享進行資料的傳輸與共享是人們常采用的一個方法。但在設(shè)置過程中，要充分認(rèn)識到當(dāng)一個目錄共享后，就不光是校園網(wǎng)內(nèi)

9、的用戶可以訪問到，而是連在網(wǎng)絡(luò)上的各臺計算機都能對它進行訪問。這也成了數(shù)據(jù)資料安全的一個隱患。筆者曾搜索過外地機器的一個c類ip網(wǎng)段，發(fā)現(xiàn)共享的機器就有十幾臺，而且許多機器是將整個c盤、d盤進行共享，并且在共享時將屬性設(shè)置為完全共享，且不進行密碼保護，這樣只要將其映射成一個網(wǎng)絡(luò)硬盤，就能對上面的資料、文檔進行查看、修改、刪除。所以，為了防止資料的外泄，在設(shè)置共享時一定要設(shè)定訪問密碼。只有這樣，才能保證共享目錄資料的安全。四、木馬的防范相信木馬對于大多數(shù)人來說不算陌生。它是一種遠程控制工具，以簡便、易行、有效而深受廣大黑客青睞。一臺電腦一旦中上木馬，它就變成了一臺傀儡機，對方可以在你的電腦上上傳

10、下載文件，偷窺你的私人文件，偷取你的各種密碼及口令信息中了木馬你的一切秘密都將暴露在別人面前，隱私？不復(fù)存在！木馬，應(yīng)該說是網(wǎng)絡(luò)安全的大敵。并且在進行的各種入侵攻擊行為中，木馬都起到了開路先鋒的作用。木馬感染通常是執(zhí)行了一些帶毒的程序，而駐留在你的計算機當(dāng)中，在以后的計算機啟動后，木馬就在機器中打開一個服務(wù)，通過這個服務(wù)將你計算機的信息、資料向外傳遞，在各種木馬中，較常見的是冰河，筆者也曾用冰河掃描過網(wǎng)絡(luò)上的計算機。發(fā)現(xiàn)每個c類ip網(wǎng)段中（個人用戶），偶爾都會發(fā)現(xiàn)一、二個感染冰河的機器。由此可見，個人用戶中感染木馬的可能性還是比較高的。如果是服務(wù)器感染了木馬，危害更是可怕。木馬的清除一般可以通過各種殺毒軟件來進行查殺。但對于新出現(xiàn)的木馬，我們的防治可以通過端口的掃描來進行，端口是計算機和外部網(wǎng)絡(luò)相連的邏輯接口，我們平時多注意一下服務(wù)器中開放的端口，如果有一些新端口的出現(xiàn)，就必須查看一下正在運行的程序，以及注冊表中自動加載運行的程序，來監(jiān)測是否有木馬存在。以上只是筆者對防范外部入侵，維護網(wǎng)絡(luò)安全的一些粗淺看法，當(dāng)然對于這些方面的安全還可以通過設(shè)置必要的防火墻，建立健全的網(wǎng)絡(luò)管理制度來實現(xiàn)。但是在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)安全上，還必須定時進行數(shù)據(jù)安全備份。對于