校園網(wǎng)絡(luò)安全初探

校園網(wǎng)絡(luò)安全初探

三明市第二中學(xué)林穎韜

[內(nèi)容摘要] 網(wǎng)絡(luò)安全越來(lái)越受到人們的重視，本文結(jié)合筆者在網(wǎng)絡(luò)管理的一些經(jīng)驗(yàn)體會(huì)，從密碼安全、系統(tǒng)安全、共享目錄安全和木馬防范方面，對(duì)校園網(wǎng)的安全談了自己的看法和做法，供大家參考。 [關(guān)鍵詞] 網(wǎng)絡(luò) 安全 黑客

隨"校校通"工程的深入開(kāi)展，許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這無(wú)疑對(duì)加快信息處理，提高工作效率，減輕勞動(dòng)強(qiáng)度，實(shí)現(xiàn)資源共享都起到無(wú)法估量的作用。但在積極發(fā)展辦公自動(dòng)化、實(shí)現(xiàn)資源共享的同時(shí)，人們對(duì)校園網(wǎng)絡(luò)的安全也越加重視。尤其最近暴發(fā)的"紅色代碼"、"藍(lán)色代碼"及"尼姆達(dá)"病毒，使人們更加深刻的認(rèn)識(shí)到了網(wǎng)絡(luò)安全的重要。正如人們所說(shuō)的：網(wǎng)絡(luò)的生命在于其安全性。因此，如何在現(xiàn)有的條件下，如何搞好網(wǎng)絡(luò)的安全，就成了網(wǎng)絡(luò)管理人員的一個(gè)重要課題。

目前，許多學(xué)校的校園網(wǎng)都以WINDOWS NT做為系統(tǒng)平臺(tái)，由IIS（Internet Information Server）提供WEB等等服務(wù)。下面本人結(jié)合自己對(duì)WINDOWS NT網(wǎng)絡(luò)管理的一點(diǎn)經(jīng)驗(yàn)與體會(huì)，就技術(shù)方面談?wù)勛约簩?duì)校園網(wǎng)安全的一些看法。

一、密碼的安全

眾所周知，用密碼保護(hù)系統(tǒng)和數(shù)據(jù)的安全是最經(jīng)常采用也是最初采用的方法之一。目前發(fā)現(xiàn)的大多數(shù)安全問(wèn)題，是由于密碼管理不嚴(yán)，使 "入侵者"得以趁虛而入。因此密碼口令的有效管理是非�；�本的，也是非常重要的。

在密碼的設(shè)置安全上，首先絕對(duì)杜絕不設(shè)口令的帳號(hào)存在，尤其是超級(jí)用戶帳號(hào)。一些網(wǎng)絡(luò)管理人員，為了圖方便，認(rèn)為服務(wù)服務(wù)器只由自己一個(gè)人管理使用，常常對(duì)系統(tǒng)不設(shè)置密碼。這樣，"入侵者"就能通過(guò)網(wǎng)絡(luò)輕而易舉的進(jìn)入系統(tǒng)。筆者曾經(jīng)就發(fā)現(xiàn)并進(jìn)入多個(gè)這樣的系統(tǒng)。另外，對(duì)于系統(tǒng)的一些權(quán)限，如果設(shè)置不當(dāng)，對(duì)用戶不進(jìn)行密碼驗(yàn)證，也可能為"入侵者"留下后門(mén)。比如，對(duì)WEB網(wǎng)頁(yè)的修改權(quán)限設(shè)置，在WINDOWS NT 4 .0+IIS 4 .0版系統(tǒng)中，就常常將網(wǎng)站的修改權(quán)限設(shè)定為任何用戶都能修改（可能是IIS默認(rèn)安裝造成的），這樣，任何一個(gè)用戶，通過(guò)互聯(lián)網(wǎng)連上站點(diǎn)后，都可以對(duì)主頁(yè)進(jìn)行修改刪除等操作。

其次，在密碼口令的設(shè)置上要避免使用弱密碼，就是容易被人猜出字符作為密碼。筆者就猜過(guò)幾個(gè)這樣的站點(diǎn)，他們的共同特點(diǎn)就是利用自己名字的縮寫(xiě)或6位相同的數(shù)字進(jìn)行密碼設(shè)置。

密碼的長(zhǎng)度也是設(shè)置者所要考慮的一個(gè)問(wèn)題。在WINDOWS NT系統(tǒng)中，有一個(gè)sam文件，它是windows NT的用戶帳戶數(shù)據(jù)庫(kù)，所有NT用戶的登錄名及口令等相關(guān)信息都會(huì)保存在這個(gè)文件中。如果"入侵者"通過(guò)系統(tǒng)或網(wǎng)絡(luò)的漏洞得到了這個(gè)文件，就能通過(guò)一定的程序（如L0phtCrack）對(duì)它進(jìn)行解碼分析。在用L0phtCrack破解時(shí)，如果使用"暴力破解" 方式對(duì)所有字符組合進(jìn)行破解，那么對(duì)于5位以下的密碼它最多只要用十幾分鐘就完成，對(duì)于6位字符的密碼它也只要用十幾小時(shí)，但是對(duì)于7位或以上它至少耗時(shí)一個(gè)月左右，所以說(shuō)，在密碼設(shè)置時(shí)一定要有足夠的長(zhǎng)度�？傊�在密碼設(shè)置上，最好使用一個(gè)不常見(jiàn)、有一定長(zhǎng)度的但是你又容易記得的密碼。另外，適當(dāng)?shù)慕徊媸褂么笮��?xiě)字母也是增加被破解難度的好辦法。

二、系統(tǒng)的安全

最近流行于網(wǎng)絡(luò)上的"紅色代碼"、"藍(lán)色代碼"及"尼姆達(dá)"病毒都利用系統(tǒng)的漏洞進(jìn)行傳播。從目前來(lái)看，各種系統(tǒng)或多或少都存在著各種的漏洞，系統(tǒng)漏洞的存在就成網(wǎng)絡(luò)安全的首要問(wèn)題，發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員主要任務(wù)。當(dāng)然，從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的，但是及早地發(fā)現(xiàn)有報(bào)告的漏洞，并進(jìn)行升級(jí)補(bǔ)丁卻是我們應(yīng)該做的。而發(fā)現(xiàn)有報(bào)告的漏洞最常用的方法，就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站，對(duì)于我們有使用的軟件和服務(wù)，應(yīng)該密切關(guān)注其程序的最新版本和安全信息，一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問(wèn)題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)。比如上面提及引起"紅色代碼"、"藍(lán)色代碼"及"尼姆達(dá)"病毒的傳播流行的Unicode解碼漏洞，早在去年的10月就被發(fā)現(xiàn)，且沒(méi)隔多久就有了解決方案和補(bǔ)丁，但是許多的網(wǎng)絡(luò)管理員并沒(méi)有知道及時(shí)的發(fā)現(xiàn)和補(bǔ)丁，以至于過(guò)了將近一年，還能掃描到許多機(jī)器存在該漏洞。

在校園網(wǎng)中服務(wù)器，為用戶提供著各種的服務(wù)，但是服務(wù)提供的越多，系統(tǒng)就存在更多的漏洞，也就有更多的危險(xiǎn)。因些從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉，只向公眾提供了他們所需的基本的服務(wù)。最典型的是，我們?cè)谛�園網(wǎng)服務(wù)器中對(duì)公眾通常只提供WEB服務(wù)功能，而沒(méi)有必要向公眾提供FTP功能，這樣，在服務(wù)器的服務(wù)配置中，我們只開(kāi)放WEB服務(wù)，而將FTP服務(wù)禁止。如果要開(kāi)放FTP功能，就一定只能向可能信賴(lài)的用戶開(kāi)放，因?yàn)橥ㄟ^(guò)FTP用戶可以上傳文件內(nèi)容，如果用戶目錄又給了可執(zhí)行權(quán)限，那么，通過(guò)運(yùn)行上傳某些程序，就可能使服務(wù)器受到攻擊。所以，信賴(lài)了來(lái)自不可信賴(lài)數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個(gè)因素。

在WINDOWS NT使用的IIS，是微軟的組件中漏洞最多的一個(gè)，平均兩三個(gè)月就要出一個(gè)漏洞，而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維，為了加大安全性，在安裝配置時(shí)可以注意以下幾個(gè)方面：

首先，不要將IIS安裝在默認(rèn)目錄里（默認(rèn)目錄為C:\Inetpub），可以在其它邏輯盤(pán)中重新建一個(gè)目錄，并在IIS管理器中將主目錄指向新建的目錄。

其次，IIS在安裝后，會(huì)在目錄中產(chǎn)生如scripts等默認(rèn)虛擬目錄，而該目錄有執(zhí)行程序的權(quán)限，這對(duì)系統(tǒng)的安全影響較大，許多漏洞的利用都是通過(guò)它進(jìn)行的。因此，在安裝后，應(yīng)將所有不用的虛擬目錄都刪除掉。

第三，在安裝IIS后，要對(duì)應(yīng)用程序進(jìn)行配置，在IIS管理器中刪除必須之外的任何無(wú)用映射，只保留確實(shí)需要用到的文件類(lèi)型。對(duì)于各目錄的權(quán)限設(shè)置一定要慎重，盡量不要給可執(zhí)行權(quán)限。

三、目錄共享的安全

在校園網(wǎng)絡(luò)中，利用在對(duì)等網(wǎng)中對(duì)計(jì)算機(jī)中的某個(gè)目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個(gè)方法。但在設(shè)置過(guò)程中，要充分認(rèn)識(shí)到當(dāng)一個(gè)目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問(wèn)到，而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問(wèn)。這也成了數(shù)據(jù)資料安全的一個(gè)隱患。筆者曾搜索過(guò)外地機(jī)器的一個(gè)C類(lèi)IP網(wǎng)段，發(fā)現(xiàn)共享的機(jī)器就有十幾臺(tái)，而且許多機(jī)器是將整個(gè)C盤(pán)、D盤(pán)進(jìn)行共享，并且在共享時(shí)將屬性設(shè)置為完全共享，且不進(jìn)行密碼保護(hù)，這樣只要將其映射成一個(gè)網(wǎng)絡(luò)硬盤(pán)，就能對(duì)上面的資料、文檔進(jìn)行查看、修改、刪除。所以，為了防止資料的外泄，在設(shè)置共享時(shí)一定要設(shè)定訪問(wèn)密碼。只有這樣，才能保證共享目錄資料的安全。

四、木馬的防范

相信木馬對(duì)于大多數(shù)人來(lái)說(shuō)不算陌生。它是一種遠(yuǎn)程控制工具，以簡(jiǎn)便、易行、有效而深受廣大黑客青睞。一臺(tái)電腦一旦中上木馬，它就變成了一臺(tái)傀儡機(jī)，對(duì)方可以在你的電腦上上傳下載文件，偷窺你的私人文件，偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前，隱私？不復(fù)存在！木馬，應(yīng)該說(shuō)是網(wǎng)絡(luò)安全的大敵。并且在進(jìn)行的各種入侵攻擊行為中，木馬都起到了開(kāi)路先鋒的作用。

木馬感染通常是執(zhí)行了一些帶毒的程序，而駐留在你的計(jì)算機(jī)當(dāng)中，在以后的計(jì)算機(jī)啟動(dòng)后，木馬就在機(jī)器中打開(kāi)一個(gè)服務(wù)，通過(guò)這個(gè)服務(wù)將你計(jì)算機(jī)的信息、資料向外傳遞，在各種木馬中，較常見(jiàn)的是"冰河"，筆者也曾用冰河掃描過(guò)網(wǎng)絡(luò)上的計(jì)算機(jī)。發(fā)現(xiàn)每個(gè)C類(lèi)IP網(wǎng)段中（個(gè)人用戶），偶爾都會(huì)發(fā)現(xiàn)一、二個(gè)感染冰河的機(jī)器。由此可見(jiàn)，個(gè)人用戶中感染木馬的可能性還是比較高的。如果是服務(wù)器感染了木馬，危害更是可怕。

木馬的清除一般可以通過(guò)各種殺毒軟件來(lái)進(jìn)行查殺。但對(duì)于新出現(xiàn)的木馬，我們的防治可以通過(guò)端口的掃描來(lái)進(jìn)行，端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，我們平時(shí)多注意一下服務(wù)器中開(kāi)放的端口，如果有一些新端口的出現(xiàn)，就必須查看一下正在運(yùn)行的程序，以及注冊(cè)表中自動(dòng)加載運(yùn)行的程序，來(lái)監(jiān)測(cè)是否有木馬存在。

以上只是筆者對(duì)防范外部入侵，維護(hù)網(wǎng)絡(luò)安全的一些粗淺看法，當(dāng)然對(duì)于這些方面的安全還可以通過(guò)設(shè)置必要的防火墻，建立健全的網(wǎng)絡(luò)管理制度來(lái)實(shí)現(xiàn)。但是在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)安全上，還必須定時(shí)進(jìn)行數(shù)據(jù)安全備份。對(duì)于硬盤(pán)中數(shù)據(jù)備份的方法很多種，在WINDOWS 2000 SERVER版本上，我們提倡通過(guò)鏡像卷的設(shè)置來(lái)進(jìn)行實(shí)時(shí)數(shù)據(jù)備份，這樣即使服務(wù)器中的一個(gè)硬盤(pán)損壞，也不至于使數(shù)據(jù)丟失。

[作者簡(jiǎn)介] 現(xiàn)任三明二中教研室副主任 中學(xué)高級(jí)教師；三明市達(dá)標(biāo)中學(xué)現(xiàn)代教育技術(shù)中心教研組副秘書(shū)長(zhǎng)；福建省教育學(xué)會(huì)計(jì)算機(jī)研究會(huì)理事；三明市生物教學(xué)研究會(huì)理事長(zhǎng)。

     

【校園網(wǎng)絡(luò)安全初探】相關(guān)文章：

“愉快教學(xué)”初探08-19

校園網(wǎng)絡(luò)安全管理制度10-23

校園網(wǎng)絡(luò)安全自查報(bào)告01-10

校園網(wǎng)絡(luò)安全心得體會(huì)03-07

寫(xiě)話教學(xué)初探08-23

班級(jí)評(píng)優(yōu)模式初探08-18

孟子經(jīng)濟(jì)思想初探08-18

校園網(wǎng)絡(luò)安全自查報(bào)告4篇03-18

校園網(wǎng)絡(luò)安全自查報(bào)告15篇01-10

校園網(wǎng)絡(luò)安全自查報(bào)告(15篇)01-10