網(wǎng)絡(luò)教育站點(diǎn)安全性能的改進(jìn)

1、網(wǎng)絡(luò)教育站點(diǎn)安全性能的改進(jìn)摘要：網(wǎng)絡(luò)教育站點(diǎn)的安全是網(wǎng)絡(luò)教育機(jī)構(gòu)組織不得 不嚴(yán)肅考慮的問(wèn)題。除了建立網(wǎng)絡(luò)安全策略用于指導(dǎo)和規(guī) 范各網(wǎng)絡(luò)教育管理人員的網(wǎng)絡(luò)安全管理職責(zé)外，對(duì)網(wǎng)絡(luò)教 育站點(diǎn)的安全改進(jìn)是使站點(diǎn)安全運(yùn)行的重要方法。本文從 服務(wù)器主機(jī)選擇、虛擬網(wǎng)絡(luò)（vlan）運(yùn)用和劃分原則、服 務(wù)器主機(jī)和服務(wù)器軟件的配置、服務(wù)器管理等四方面論述 了如何對(duì)網(wǎng)絡(luò)教育站點(diǎn)進(jìn)行安全改進(jìn)。關(guān)鍵詞：vlan；網(wǎng) 絡(luò)隔離；服務(wù)器；安全模式abstractt hesecurity ofnetworke ducationwebsitesisaproblemwhichnetworkeducationorganization

2、shouldconsider. theimprovementofthesecurityonthewebsitesisanimportantwayfortheoperationofthesites,besidestheemphasisoftheestablishedstrategiesforguidanceanddutyofworkingstaff.inthispaper, theimprovementsonthesecurityofthewebsitesarereviewedbasedontheselectionofservers, sortingofnetwork, applicationo

3、fvlan,configurationofserver-hardwareandsoftware, andmana.gementofse rvers.1教育站點(diǎn)服務(wù)器主機(jī)的選擇在選擇教育站點(diǎn)服務(wù)器主機(jī)時(shí)，除了考慮諸如功能、 性能和價(jià)格等因素外，更重要的要考慮安全需求，服務(wù)器 很多，但它們的安全性能是不一樣的，要使教育站點(diǎn)具有 安全性就必須選擇滿足安全需求的服務(wù)器，網(wǎng)絡(luò)教育站點(diǎn) 的安全需求一般包括：較小的易受攻擊性只能由授權(quán)用戶進(jìn)行管理的限制能力拒絕訪問(wèn)服務(wù)器中沒(méi)有發(fā)布的信息的能力關(guān)閉操作系統(tǒng)或服務(wù)器軟件中不必要的網(wǎng)絡(luò)服務(wù)的 能力訪問(wèn)各種外部可執(zhí)行程序(如cgiscr ipts、服務(wù)器 pl ug

4、-ins)的可控能力為偵測(cè)入侵或企圖入侵，記錄教育站點(diǎn)服務(wù)器活動(dòng) 的能力2教育網(wǎng)絡(luò)分段及虛擬網(wǎng)絡(luò)(vlan)運(yùn)用和劃分原則對(duì)局域網(wǎng)來(lái)說(shuō)，網(wǎng)絡(luò)分段和vlan的運(yùn)用是保證教育網(wǎng) 絡(luò)安全的有效措施。教育網(wǎng)絡(luò)分段改善安全性能。教育網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重要措施，同時(shí)也是 一項(xiàng)基本措施，其指導(dǎo)思想在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問(wèn)的目的。教育網(wǎng)絡(luò)分 段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層 （iso/osi模型中的第一層和第二層）上分為若干網(wǎng)段，各網(wǎng) 段相互之間無(wú)法直接通訊。目前，許多交換機(jī)都有一定的 訪問(wèn)控制能力，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的物理分段。

5、邏輯分段則是指將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層（iso/o si模型 中的第三層）上進(jìn)行分段。例如，對(duì)于tcp/ip網(wǎng)絡(luò)，可把 網(wǎng)絡(luò)分成若干ip子網(wǎng)，各子網(wǎng)間必須通過(guò)路由器、路由交 換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備 （含軟件、硬件）的安全機(jī)制來(lái)控制各自網(wǎng)間的訪問(wèn)。在 實(shí)際應(yīng)用過(guò)程中可采取物理分段與邏輯分段相結(jié)合的方法 來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性能控制。運(yùn)用vlan改變安全性能以太網(wǎng)從本質(zhì)基于廣播機(jī)制，但應(yīng)用了交換和vlan技 術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽(tīng)口，信 息交換也不會(huì)存在監(jiān)聽(tīng)和插入（改變）問(wèn)題。由以上運(yùn)行機(jī)制帶來(lái)的網(wǎng)絡(luò)安全的好處是顯而易見(jiàn)的:信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因

6、此、防止了大部分基 于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵手段。通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。vlan之間的劃分原則vla n的劃分方式的目的是保證系統(tǒng)的安全性。因此， 可以按照系統(tǒng)的安全性來(lái)劃分vlan；可以將主要的服務(wù)器 系統(tǒng)單獨(dú)劃分作一個(gè)vl an,如數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服 務(wù)器等。也可以按照教育機(jī)構(gòu)、對(duì)象的設(shè)置來(lái)劃分vl an, 如可以按照教育機(jī)構(gòu)服務(wù)器管理員所在的網(wǎng)絡(luò)單獨(dú)作為一 個(gè)1 eadervlan(lvlan),其它層次的分別作為另一個(gè)或幾 個(gè)vlan,并且控制lvlan與其他v lan之間的單向信息流 向，即允許lvlan查看其他vlan的相關(guān)信息，其

7、他vla n 不能訪問(wèn)lvlan的信息。vlan之內(nèi)的連接采用交換實(shí)現(xiàn)， vlan與vlan之間采用路由實(shí)現(xiàn)。3服務(wù)器主機(jī)和服務(wù)器軟件的配置 教育站點(diǎn)服務(wù)器與內(nèi)部網(wǎng)絡(luò)隔離公用服務(wù)器主機(jī)是一個(gè)供公眾訪問(wèn)的計(jì)算機(jī)，無(wú)論主 機(jī)及其應(yīng)用軟件配置的如何好，總會(huì)有人發(fā)現(xiàn)新的入侵點(diǎn), 入侵者可以觀察或捕獲到內(nèi)部主機(jī)之間的網(wǎng)絡(luò)通信，也可 能進(jìn)入內(nèi)部主機(jī)，獲得更詳細(xì)的信息，為此需要把服務(wù)器 主機(jī)與內(nèi)部網(wǎng)絡(luò)隔離，如圖1所示。圖1web服務(wù)器網(wǎng)絡(luò)結(jié)構(gòu)在一個(gè)更安全的主機(jī)上維持一個(gè)可靠的教育站點(diǎn)內(nèi)容 拷貝。當(dāng)服務(wù)器上的信息完整性受到破壞時(shí)，需要一個(gè)可信 賴的拷貝來(lái)恢復(fù).建議把一個(gè)可靠的信息拷貝存貯于與服 務(wù)器主機(jī)隔離的

8、更安全的主機(jī)上（即放在網(wǎng)絡(luò)防火墻內(nèi)的 內(nèi)部網(wǎng)絡(luò)上），并且除了教育站點(diǎn)管理員可以訪問(wèn)這個(gè)拷貝 外，其它用戶（無(wú)論是內(nèi)部還是外部的）都不能訪問(wèn)拷貝。 教育站點(diǎn)服務(wù)器主機(jī)只提供基本的網(wǎng)絡(luò)服務(wù)現(xiàn)代的計(jì)算機(jī)具有可提供多種服務(wù)和應(yīng)用的功能，如 果多項(xiàng)服務(wù)和應(yīng)用同時(shí)在一臺(tái)主機(jī)上提供，會(huì)使主機(jī)的安 全性能減弱，為此，應(yīng)該按以下方法來(lái)配置教育站點(diǎn)服務(wù) 器：（1）.盡可能多地關(guān)掉服務(wù)和應(yīng)用，然后有選擇地打開(kāi) 那些基本的教育服務(wù)；（2）.確定你打算支持教育服務(wù)器的功能（如cgi腳 本）；（3）.如果有其它的方法提供同樣功能，選擇更安全的 方法；（4）. 一旦最少的教育服務(wù)和應(yīng)用確定后，確保它們?cè)?主機(jī)上是可用的；（

9、5）.當(dāng)所有配置選項(xiàng)確定后，為關(guān)鍵系統(tǒng)軟件生成并 記錄加密校驗(yàn)或其它完整校驗(yàn)信息。配置教育站點(diǎn)服務(wù)器，增加安全性由于不同的機(jī)構(gòu)組織對(duì)公用站點(diǎn)的需求是不一樣的，因此服務(wù)器軟件已提供了各種軟件配置選項(xiàng)以滿足不同站 點(diǎn)的需求.省缺的配置設(shè)定可能是對(duì)“典型”站點(diǎn)的最優(yōu) 設(shè)定，當(dāng)然這是銷售商想象的最優(yōu)化，一般是基于性能需 求或容易安裝來(lái)設(shè)定的.但在安裝教育站點(diǎn)服務(wù)器軟件時(shí), 必須認(rèn)真仔細(xì)地按安全需求配置服務(wù)器.(1) .配置教育站點(diǎn)服務(wù)器日志能力教育站點(diǎn)服務(wù)器日志文件記錄著服務(wù)器對(duì)每一請(qǐng)求的 響應(yīng)行為信息，分析這些日志可以得到有用的用戶信息和 安全信息.目前有許多日志文件分析工具，大部分可對(duì)兩 種標(biāo)準(zhǔn)日

10、志文件格式進(jìn)行分析，這兩種格式是“commonlo gformat"和 “extendedco mmonlogfor mat",服務(wù)器應(yīng)該 配置成能生成兩種格式中任意一種格式的日志文件。(2) .配置教育站點(diǎn)服務(wù)器的輔助網(wǎng)絡(luò)服務(wù)一般教育站點(diǎn)服務(wù)器可同時(shí)提供其它的網(wǎng)絡(luò)服務(wù)，如 文件傳輸協(xié)議(ftp), go pher協(xié)議，電子郵件或按受從客 戶機(jī)來(lái)的文件上載等，為增加教育站點(diǎn)服務(wù)器的安全性， 在確定不需要這些服務(wù)的條件下，建議關(guān)閉所有的輔助服務(wù) (4).配置教育站點(diǎn)服務(wù)器的本地或遠(yuǎn)程管理利用教育站點(diǎn)主機(jī)控制臺(tái)來(lái)管理教育站點(diǎn)，這樣可以 控制在教育站點(diǎn)服務(wù)器(防火墻外)與管理工作

11、站(防火 墻內(nèi))之間的網(wǎng)絡(luò)傳輸，以增加安全性。但是在許多情況下，教育站點(diǎn)服務(wù)器管理不得不從遠(yuǎn)程進(jìn)行管理，這時(shí)必須要保證: 服務(wù)器主機(jī)有很強(qiáng)的驗(yàn)證用戶身份能力，特別要避 免傳送明文口令，除非這是一個(gè)一次性口令。 服務(wù)器主機(jī)只允許從某個(gè)特定遠(yuǎn)程主機(jī)進(jìn)行遠(yuǎn)程管 理 .在管理主機(jī)與服務(wù)器之間的網(wǎng)絡(luò)傳輸不應(yīng)有這樣的 信息，這些信息如果入侵者截獲后，可訪問(wèn)到服務(wù)器或內(nèi) 部網(wǎng)絡(luò)。.確定操作系統(tǒng)提供什么樣的訪問(wèn)控制有些操作系統(tǒng)可以對(duì)教育站點(diǎn)服務(wù)的遠(yuǎn)程訪問(wèn)文件加 以限制，這些進(jìn)程可以限制為對(duì)某些文件的只讀訪問(wèn)，而 對(duì)一些文件不允許訪問(wèn)。（6）.利用文件訪問(wèn)控制來(lái)實(shí)現(xiàn)： 公用教育站點(diǎn)的內(nèi)容文件只能讀，不能由服務(wù)器

12、管 理進(jìn)程來(lái)寫 存貯教育站點(diǎn)內(nèi)容的目錄不能由服務(wù)器管理進(jìn)程來(lái) 寫 公用教育站點(diǎn)內(nèi)容文件只能由服務(wù)器管理進(jìn)程來(lái)寫 教育站點(diǎn)服務(wù)器日志文件可由服務(wù)器進(jìn)程寫，但不 能作為教育站點(diǎn)內(nèi)容來(lái)讀 教育站點(diǎn)服務(wù)器日志文件只能由管理進(jìn)程讀 任何由教育站點(diǎn)服務(wù)器進(jìn)程生成的臨時(shí)文件（如在 生成動(dòng)態(tài)頁(yè)面時(shí)所需的臨時(shí)文件）必須限制在某個(gè)特定的 子目錄下。.不允許目錄列表服務(wù)按照教育站點(diǎn)協(xié)議(http ), 一個(gè)以斜杠結(jié)束的url是 請(qǐng)求列出一個(gè)目錄中的文件。按一般的規(guī)則，即使該目錄 下的所有文件都是準(zhǔn)備發(fā)布的文件，也不允許服務(wù)器對(duì)這 類請(qǐng)求有響應(yīng)。這類請(qǐng)求表示試圖用非教育站點(diǎn)提供的方 法來(lái)定位信息，當(dāng)瀏覽有困難或鏈接斷

13、裂了，用戶就可能 企圖重新排序。入侵者可用此方法定位那些由教育站點(diǎn)接 口隱藏的信息。可以從服務(wù)器日志文件中查出這類請(qǐng)求o.配置服務(wù)器使之不能提供指定文件目錄數(shù)以外文件的服務(wù)。具體的實(shí)現(xiàn)可以通過(guò)服務(wù)器軟件本身的配置選擇，也可以通過(guò)操作系統(tǒng)選擇。必須避免在文件目錄樹(shù)中使用鏈 接或別名，因?yàn)樗赋隽朔?wù)器主機(jī)或網(wǎng)絡(luò)中的其它文 件。(9)確保服務(wù)器日志文件或配置文件不能作為公用教育站點(diǎn)內(nèi)容文件。日志文件應(yīng)該存貯在服務(wù)器主機(jī)上，而不是傳送到內(nèi) 部網(wǎng)絡(luò)的另一臺(tái)主機(jī)上，同樣，服務(wù)器配置文件或參考文 件也應(yīng)保持在服務(wù)器主機(jī)上。利用服務(wù)器配置選項(xiàng)和操作系統(tǒng)訪問(wèn)控制，確保這些文件不能傳送給用戶，即使用戶知道這些文

14、件的名字(urls) o如果可能，把這些文件放在公用數(shù)據(jù)目錄樹(shù)以 外的地方。(10)當(dāng)所有的的配置選擇完成好后，要為服務(wù)器軟件生 成一個(gè)密碼校驗(yàn)或其它的完整檢驗(yàn)基準(zhǔn)信息。4網(wǎng)絡(luò)教育站點(diǎn)服務(wù)器管理用安全模式管理教育站點(diǎn)服務(wù)器教育站點(diǎn)服務(wù)器管理包括為服務(wù)器增加新內(nèi)容，檢查服務(wù)器日志，安裝新的外部程序以及改變服務(wù)器配置等等。這些管理可以在服務(wù)器控制臺(tái)上完成，也可以通過(guò)網(wǎng)絡(luò)在 另一主機(jī)上來(lái)管理，無(wú)論從哪里來(lái)管，一定要確保其安全 性，特別是以遠(yuǎn)程主機(jī)管理服務(wù)器時(shí)，安全更加重要。(1).當(dāng)選用遠(yuǎn)程主機(jī)來(lái)管理教育站點(diǎn)服務(wù)器時(shí)，應(yīng)選 用安全的方式來(lái)管理 .教育站點(diǎn)服務(wù)器主機(jī)應(yīng)有很強(qiáng)的用戶身份驗(yàn)證功 能，要避免

15、使用明文形式傳輸密碼口令。 .教育站點(diǎn)服務(wù)器從某一特定主機(jī)進(jìn)行管理，主機(jī) 的驗(yàn)證不依賴于網(wǎng)絡(luò)解析信息，如ip地址或dns名等。 .在管理員主機(jī)與服務(wù)器之間的網(wǎng)絡(luò)傳輸過(guò)程中， 不應(yīng)給入侵者提供訪問(wèn)服務(wù)器或內(nèi)部網(wǎng)絡(luò)的信息。(2).如果允許，可使用活動(dòng)存貯介質(zhì)把教育站點(diǎn)的內(nèi)容拷貝到教育站點(diǎn)服務(wù)器上。.當(dāng)需要在另一臺(tái)主機(jī)上檢查服務(wù)器的日志文件時(shí),要用安全方法把日志文件傳送到那臺(tái)主機(jī)上。（4）.當(dāng)服務(wù)器的配置或站點(diǎn)內(nèi)容改變后，要生成一個(gè)新的加密校驗(yàn)或其它的完整校驗(yàn)信息。檢查目錄和文件有無(wú)意外的改變網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包括了大量軟件和數(shù)據(jù)文件， 目錄和文件的意外改變，特別是那些訪問(wèn)受到限制的目錄 和文件的

16、意外改變，表明發(fā)生了某種入侵。入侵者為了隱 藏他們?cè)谙到y(tǒng)中的存在，通常用相同功能的程序替換系統(tǒng) 的原有程序并修改日志文件，或在系統(tǒng)中生成新的文件。所以，利用檢查系統(tǒng)的目錄和文件的更改信息的方法，可 盡早發(fā)現(xiàn)入侵。（1）.為系統(tǒng)文件建立優(yōu)先級(jí)和檢查時(shí)間表。對(duì)關(guān)鍵文件和目錄一個(gè)權(quán)威參考數(shù)據(jù)，這些數(shù)據(jù)包括:在文件系統(tǒng)中的位置可選擇的路徑文件的內(nèi)容、目錄的入口實(shí)際長(zhǎng)度、如可能還應(yīng)有分配的單元文件和目錄生成和最后修改的時(shí)間、日期所屬權(quán)和訪問(wèn)許可設(shè)定（3）.按照建立的計(jì)劃，用權(quán)威參考數(shù)據(jù)比較文件的屬性(4) .查驗(yàn)丟失的文件或目錄(5) 查驗(yàn)任何新的文件和目錄(6) 調(diào)查已發(fā)現(xiàn)的任何意外改變的原因檢查系統(tǒng)

17、和網(wǎng)絡(luò)日志日志文件記錄了系統(tǒng)和網(wǎng)絡(luò)中發(fā)生的異常和意外活動(dòng),入侵者經(jīng)常在日志文件中留下了其活動(dòng)的足跡，因此定期 地檢查系統(tǒng)和網(wǎng)絡(luò)日志是發(fā)現(xiàn)入侵者的方法之一。日志文 件依操作系統(tǒng)、運(yùn)行的應(yīng)用軟件和配置的不同而不同，表1 給出了典型的日志文件包含的信息。表1日志文件的信息 活動(dòng)類型日志包含的信息用戶活動(dòng)登記活動(dòng)用戶身份改變用戶訪問(wèn)文件授權(quán)信息驗(yàn)證信息處理活動(dòng)用戶運(yùn)行的命令運(yùn)行進(jìn)程信息，包括程序名、用戶、開(kāi)始和停止時(shí) 間、以及執(zhí)行參數(shù)系統(tǒng)活動(dòng)系統(tǒng)的啟動(dòng)和關(guān)閉管理登錄網(wǎng)絡(luò)連接試圖與系統(tǒng)連接、已經(jīng)與系統(tǒng)連接的細(xì)節(jié)（時(shí)間、 地點(diǎn)、類型）從系統(tǒng)建立連接的細(xì)節(jié)網(wǎng)絡(luò)通訊監(jiān)控所有網(wǎng)絡(luò)通訊事務(wù)的記錄web服務(wù)活動(dòng)遠(yuǎn)程

18、主機(jī)名或ip地址、請(qǐng)求的日期和時(shí)間請(qǐng)求成功與否的回答碼用戶的遠(yuǎn)程登錄名日志文件至少每天檢查一次，當(dāng)發(fā)現(xiàn)任何異?；蛞馔?的活動(dòng)，應(yīng)做好記錄，并對(duì)這些活動(dòng)進(jìn)行分析，以確定是 否確有入侵者入侵。經(jīng)過(guò)一定時(shí)間的定期檢查后，就會(huì)熟 悉正常和期望的活動(dòng)跡象，使識(shí)別異常和意外變得容易， 表2總結(jié)了各種日志文件可能報(bào)告的異?；蛞馔獾幕顒?dòng)。表2異常或意外的活動(dòng)日志類型異?；蛞馔饣顒?dòng)用戶活動(dòng)連續(xù)登錄失敗從一個(gè)意外的地點(diǎn)登錄在某一異常的時(shí)間登錄異常地企圖改變用戶標(biāo)識(shí)用戶運(yùn)行的異常進(jìn)程未經(jīng)授權(quán)企圖訪問(wèn)受限文件進(jìn)程活動(dòng)在意外的時(shí)間內(nèi)運(yùn)行的進(jìn)程過(guò)早中止的進(jìn)程異常的進(jìn)程系統(tǒng)活動(dòng)意外的關(guān)機(jī)意外的再啟動(dòng)網(wǎng)絡(luò)連接與或從異常的接點(diǎn)連接連續(xù)的連接失敗在異常的時(shí)間進(jìn)行的連接意外的網(wǎng)絡(luò)通信（如：與你的防火墻配置相反，或 意外的通信量）網(wǎng)絡(luò)通訊監(jiān)控掃描各種服務(wù)的網(wǎng)絡(luò)地址空間，表明企圖識(shí)別你的 網(wǎng)絡(luò)和服務(wù)器主機(jī)連續(xù)地半打開(kāi)連接（表明企圖ip欺騙或服務(wù)活動(dòng)拒 絕）成功地連接到網(wǎng)絡(luò)主機(jī)的異常服務(wù)起源于你的網(wǎng)絡(luò)外部的事務(wù)，而其目標(biāo)也是網(wǎng)絡(luò)的外部（表明該通信不應(yīng)該橫穿你的網(wǎng)絡(luò)）連續(xù)地連接某個(gè)特定服務(wù)，表明有人企圖運(yùn)用網(wǎng)絡(luò) 探測(cè)工具來(lái)對(duì)付你的網(wǎng)絡(luò)系統(tǒng)web服務(wù)器活動(dòng)連續(xù)企圖濫用服務(wù)器（表明有人想破壞站點(diǎn)）引起拒絕服務(wù)的大量活