校园网络安全初探

　　安全越来越受到人们的重视，本文结合笔者在网络管理的一些经验体会，从密码安全、系统安全、共享目录安全和木马防范方面，对校园网的安全谈谈自己的看法和做法，供大家参考。
　　关键词:网络、安全、黑客。
　　随着“校校通”工程的深入开展，许多学校都建立了校园网络并投入使用，这无疑对加快信息处理，提高工作效率，减轻劳动强度，实现资源共享都起到无法估量的作用。但在积极办公自动化、实现资源共享的同时，人们对校园网络的安全也越加重视，尤其最近爆发的“红色代码”“蓝色代码”及“尼姆达”病毒，使人们更加深刻的认识到网络安全的重要，正如人们所说的：网络的生命在于其安全性。因此，如何在现有的条件下，搞好网络的安全就成了网络管理人员的一个重要课题。
　　许多学校的校园网都以WINDOWSNT做为系统平台，由IIS(InternetInformationSetver)提供WEB等等服务。下面本人结合自己对WINDOWSNT网络管理的一点经验与体会，就技术方面谈谈自己对校园网络安全的一些看法。
　　一、密码的安全
　　众所周知，用密码保护系统和数据的安全是最经常采用也是最初采用之一。目前发现的大多数安全，是由于密码管理不严，使“入侵者”得以趁虚而入。因此密码口令的有效管理是非常基本的，也是非常重要的。
　　在密码设置安全上，首先绝对杜绝不设口令的账号存在，尤其是超级用户账号。一些网络管理人员，为了图方便，认为服务器只有自己一个管理使用，常常对系统不设置密码，这样“入侵者”就能通过网络轻而易举的进入系统。笔者曾经就发现并进入多个这样的系统，另外，对于系统的一些权限如果设置不当，对用户不进行密码验证，也可能为“入侵者”留下后门，比如，对WEB网页的修改权限设置，在WINDOWSNT4.0+IIS4.0版系统中，就常常将网站的修改权限设定为任何用户都能修改（可能是IIS默认安装造成的），这样，任何一个用户，通过互联网连上站点后，都可以对主业进行修改删除等操作。其次，在密码口令的设置上要避免使用弱密码，就是容易被人猜出字符作为密码。笔者就猜过几个这样的站点，他们的共同特点就是利用自己记名字的缩写或6位相同的数字进行密码设置。
　　第三密码的长度也是设置者所要考虑的一个问题。在WINDOWSNT系统中，有一个sam文件，它是windowsNT的用户账户数据库，所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果“入侵者”通过系统或网络的漏洞得到了这个文件，就能通过一定的程序（如LOphtCrack）对它进行解码。在用LOphTcrack破解时，如果使用“暴力破解”方式对所有字符组合进行破解，那么对于5位以下的密码它最多只要用十几分钟就完成，对于6位字符的密码然它也只要用十几小时就完成，但是对于7位或以上它至少耗时一个月左右，所以说在密码设置时一定要有足够的长度。宗旨在密码设置上，最好是用一个不常见、有一定长度的但是你又容易记得的密码，另外，适当的交叉使用大小写字母也是增加被破解难度的好办法。
　　二、 系统的安全
　　最近流行于网络上的“红色代码”、“蓝色代码”及“尼姆达”或多或少都存在着各种的漏洞，系统漏洞的存在就成网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。
　　当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早的发现有报告的漏洞，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一切发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起“红色代码”、“蓝色代码”及“尼姆达”病毒的传播流行的Unicode解码漏洞，早在去年的10月就被发现，且每隔多久就有了解决方案和补丁，以至于过了将近一年，还能扫描到许多机器存在该漏洞。
　　在校园网中的服务器，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭，只向公众提供了他们所需的基本的服务。最经典的是，我们在校园网服务器中对公众通常只提供WEB服务功能，而没有必要向公众提供FTP功能，这样，在服务器的服务配置中，我们只开放WEB服务，而将FTP服务禁止。如果要开放FTP功能，就一定只能向可能信赖的用户开放，因为通过FTP用户可以上传文件内容，如果用户目录又给了可执行权，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
　　在WINDOWSNT使用IIS，使微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，为了加大安全性，在安全配置时可以注意以下几个方面：
　　首先，不要将IIS安装在默认目录里（默认目录为\Inetpub），可以在其他逻辑盘中重新建立一个目录，并在IIS管理器中将主目录指向新建的目录。
　　其次，IIS在安装后，会在目录中产生如Scripts等默认虚拟目录，而该目录有执行程序的权限，这对系统的安全较大，许多漏洞的利用都是通过它进行的，因此在安装后，应该所有不用的虚拟目录都删除掉。
　　第三，在安装IIS后，要对程序进行设置，在IIS管理器中删除必须之外的任何无用映射，只保留确实需要用到的文件类型。对于个目录的权限设置一定要慎重，尽量不要给可执行权限。
　　三、 目录共享的安全
　　在校园中，利用在对等网中对机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个。但在设置过程中，要充分认识到当一个目录共享后，就不光是校园网内的用户可以访问到，而是连载网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。笔者曾搜索过外地机器的一个C类IP网段，发现共享的机器就有十几台，而且许多机器是将整个C盘、D盘进行共享，并且在共享时将属性设置为完全共享，且不进行密码保护，这样只要将其映射成一个网络硬盘，就能对上面的资料、文档进行查看、修改、删除。所以为了防止资料的外泄，在设置共享时一定要设定访问密码。只有这样，才能保证共享目录资料的安全。

《校园网络安全初探》

本文由职称驿站首发，您身边的高端论文发表学术顾问

文章名称： 校园网络安全初探

文章地址： https://www.zhichengyz.com/lunwen/keji/wangluo/8667.html