随着网络在教育教学中的大量使用, 许多学校都建立了校园网络并投入使用, 这无疑对加快信息处理, 提高工作效率, 减轻劳动强度, 实现资源共享都起到了无法估量的作用。但在积极发展办公自动化、实现资源共享的同时, 人们对校园网络的安全也越加重视。尤其在网络上爆发病毒数量惊人, 计算机内的软件资源和数据信息易受到非法的窃取的情况下, 人们更加深刻的认识到了网络安全的重要。因此, 如何在现有的条件下搞好网络的安全, 就成了网络管理的重要话题。下面本人结合自己对网络方面的认识谈谈自己对校园网安全的一点基本看法。
1密码的安全
用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。目前发现的大多数安全问题, 是由于密码管理不严, 使“入侵者”得以趁虚而入。因此密码口令的有效管理是非常基本的, 也是非常重要的。
在密码的设置安全上, 首先绝对杜绝不设口令的帐号存在, 尤其是超级用户帐号。一些网络管理人员, 为了图方便, 认为服务器只由自己一个人管理使用, 常常对系统不设置密码。这样, “入侵者”就能通过网络轻而易举的进入系统。笔者就曾经发现并进入多个这样的系统。另外, 对于系统的一些权限, 如果设置不当, 对用户不进行密码验证, 也可能为“入侵者”留下后门。比如, 对WEB网页的修改权限设置, 在WINDOWS NT 4.0+IIS 4.0版系统中, 就常常将网站的修改权限设定为任何用户都能修改 (可能是IIS默认安装造成的) , 这样, 任何一个用户, 通过互联网连上站点后, 都可以对主页进行修改删除等操作。
其次, 在密码口令的设置上要避免使用弱密码, 就是容易被人猜出的字符作为密码。笔者就猜过几个这样的站点, 他们的共同特点就是利用自己名字的缩写或6位相同的数字进行密码设置。
密码的长度也是设置者所要考虑的一个问题。在WINDOWS NT系统中, 有一个sam文件, 它是windows NT的用户账户数据库, 所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果“入侵者”通过系统或网络的漏洞得到了这个文件, 就能通过一定的程序 (如L0pht Crack) 对它进行解码分析。在用L0pht Crack破解时, 如果使用“暴力破解”方式对所有字符组合进行破解, 那么对于5位以下的密码它最多只要用十几分钟就完成, 对于6位字符的密码它也只要用十几小时, 但是对于7位或以上它至少耗时一个月左右, 所以说, 在密码设置时一定要有足够的长度。总之在密码设置上, 最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外, 适当的交叉使用大小写字母也是增加被破解难度的好办法。
2系统的安全
在校园网中, 服务器为用户提供着各种的服务, 但是服务提供得越多, 系统就存在越多的漏洞, 也就有更多的危险。因些从安全角度考虑, 应将不必要的服务关闭, 只向公众提供他们所需的基本的服务。最典型的是, 我们在校园网服务器中对公众通常只提供WEB服务功能, 而没有必要向公众提供FTP功能, 这样, 在服务器的服务配置中, 我们只开放WEB服务, 而将FTP服务禁止。如果要开放FTP功能, 就一定只能向可以信赖的用户开放, 因为通过FTP用户可以上传文件内容, 如果用户目录又给了可执行权限, 那么, 通过运行上传某些程序, 就可能使服务器受到攻击。所以, 信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
如果用瑞星或者其他的放火墙软件扫描, 就会发现在WINDOWS NT使用的IIS, 是微软的组件中漏洞最多的一个, 平均两三个月就要出一个漏洞, 而微软的IIS默认安装又实在不敢恭维, 为了加大安全性, 在安装配置时可以注意以下几个方面:
首先, 不要将IIS安装在默认目录里 (默认目录为C:Inetpub) , 可以在其它逻辑盘中重新建一个目录, 并在IIS管理器中将主目录指向新建的目录。
其次, IIS在安装后, 会在目录中产生如scripts等默认虚拟目录, 而该目录有执行程序的权限, 这对系统的安全影响较大, 许多漏洞的利用都是通过它进行的。因此, 在安装后, 应将所有不用的虚拟目录都删除掉。
最后, 在安装IIS后, 要对应用程序进行配置, 在IIS管理器中删除必须之外的任何无用映射, 只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重, 尽量不要给可执行权限。
3目录共享的安全
在校园网络中, 利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但在设置过程中, 要充分认识到当一个目录共享后, 就不光是校园网内的用户可以访问到, 而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。在校园网络教学的过程中很多机器都将整个C盘、D盘进行共享, 并且在共享时将属性设置为完全共享, 且不进行密码保护, 这样只要将其映射成一个网络硬盘, 就能对上面的资料、文档进行查看、修改、删除。所以, 为了防止资料的外泄, 在设置共享时一定要设定访问密码。只有这样, 才能保证共享目录资料的安全。
4木马的防范
相信木马对于大多数人来说不算陌生。它是一种远程控制工具, 以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马, 它就变成了一台傀儡机, 对方可以在你的电脑上上传下载文件, 偷窥你的私人文件, 偷取你的各种密码及口令信息。中了木马你的一切秘密都将暴露在别人面前。木马, 应该说是网络安全的大敌。因此我们应该定时利用木马查杀软件扫描系统木马并清除它。
木马感染通常是执行了一些带毒的程序, 而驻留在你的计算机当中, 在以后的计算机启动后, 木马就在机器中打开一个服务, 通过这个服务将你计算机的信息、资料向外传递。
木马的清除一般可以通过各种杀毒软件来进行查杀。但对于新出现的木马, 我们的防治可以通过端口的扫描来进行, 端口是计算机和外部网络相连的逻辑接口, 我们平时多注意一下服务器中开放的端口, 如果有一些新端口出现, 就必须查看一下正在运行的程序, 以及注册表中自动加载运行的程序, 来监测是否有木马存在。
5网关防病毒技术的应用
在现今的网络时代, 病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥、病毒破坏性更大、制作病毒的方法更简单、病毒传播速度更快, 传播渠道更多、病毒感染对象越来越广。因此, 一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案, 以抵御来自黑客和病毒的威胁。
蠕虫病毒产生以前, 计算机病毒主要是以移动存储介质传播的;自蠕虫病毒出现之后, 网络则取代了移动存储介质的位置。那么可以得出的结论是, 只要斩断邮件自动转发这一主要传播途径, 就可以有效控制计算机病毒的扩散, 网关防毒则是斩断其传播途径的最为有效的手段之一。
网关防病毒技术主要有两部分, 一是对进出网关的数据进行查杀;二是对要查杀的数据进行检测与清除。
所以, 利用网关防木马和病毒是一个有效实施的方法。
以上只是维护网络安全的一些粗浅看法, 当然对于这些方面的安全还可以通过设置必要的防火墙, 建立健全的网络管理制度来实现。但是在网络内部数据安全上, 还必须定时进行数据安全备份。对于硬盘中数据备份的方法很多种, 在WINDOWS2000 SERVER版本上, 我们提倡通过镜像卷的设置来进行实时数据备份, 这样即使服务器中的一个硬盘损坏, 也不至于使数据丢失。
总之, 网络安全是一个综合性的课题, 涉及技术、管理、使用等许多方面, 既包括信息系统本身的安全问题, 也有物理的和逻辑的技术措施, 一种技术只能解决一方面的问题, 而不是万能的。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性, 为网络提供强大的安全服务——这也是21世纪网络安全领域的迫切需要。