朱克華

隨著高校信息化進(jìn)程的推進(jìn)，高校校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來越多，信息系統(tǒng)變得越來越龐大和復(fù)雜。從結(jié)構(gòu)上分，校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括：教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對外服務(wù)的服務(wù)器群、與Internet的接入以及遠(yuǎn)程移動辦公用戶的接入。因此，安全風(fēng)險的防御問題也就變得較為嚴(yán)重和復(fù)雜。

一、安全問題來源分析

1病毒入侵嚴(yán)重目前，網(wǎng)絡(luò)病毒層出不窮，傳播速度快、破壞性強(qiáng)、傳播范圍廣，時刻威脅著校園網(wǎng)的安全。大量病毒以電子郵件、網(wǎng)絡(luò)共享、網(wǎng)頁瀏覽、即時通信或主動掃描等方式，感染校園網(wǎng)的服務(wù)器和客戶機(jī)，導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”，嚴(yán)重時會造成網(wǎng)絡(luò)癱瘓。

2網(wǎng)絡(luò)的先天性不足校園網(wǎng)絡(luò)一般基于Internet技術(shù)構(gòu)建，并與Internet相連。Internet的互聯(lián)性和開放性給社會帶來極大效益的同時．入侵者也得到了更多的機(jī)會。因?yàn)镮nternet本身缺乏相應(yīng)的安全機(jī)制，不對機(jī)密信息和敏感信息提供保護(hù)。Web的精華是交互性，這也正是它的致命弱點(diǎn)。

二、配置安全服務(wù)器

目前很多校園網(wǎng)服務(wù)器安裝的是Windows 2000 Server操作系統(tǒng)，該系統(tǒng)穩(wěn)定性較強(qiáng)但安全性并不是很好，配置不當(dāng)很容易因遭受攻擊而癱瘓。

1端口

端口是計算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計算機(jī)的第一道屏障，端口配置正確與否直接影響主機(jī)的安全。一般來說，僅打開必需的端口是最明智的安全做法，配置方法是在“網(wǎng)卡屬性→TCP／IP協(xié)議→高級→選項、→TCP／IP篩選”中啟用“TCP／IP篩選”。

2IIS

IIS是微軟組件中迄今為止發(fā)現(xiàn)漏洞最多的一個，特別是它的默認(rèn)安裝、此處應(yīng)重點(diǎn)進(jìn)行配置；其一、徹底刪除系統(tǒng)盤(一般是C盤)的Inetpub目錄、到其他盤新建一個目錄、而且起名最好不是Inetpub。

其二，刪除IIS安裝時默認(rèn)的Scripts等虛擬目錄、它們很容易暴露出本地網(wǎng)頁物理路徑。需要什么權(quán)限的目錄就自己建立一個。權(quán)限也一定要注意，特別是寫權(quán)限和執(zhí)行程序的權(quán)限。

其三，在IIs管理器中刪除必須之外的任何無用映射，必須指出的是ASP、ASA：和其他需用到的文件類型％在IIS管理器中右擊“主機(jī)一屬性一www服務(wù)編輯一主目錄一配置一應(yīng)用程序映射”，接著開始單獨(dú)刪除即可。

3賬號安全

Windows 2000 Server默認(rèn)安裝后允許任何用戶通過139端口的空連接得到系統(tǒng)所有賬號名稱及共享列表。本來這是為方便校園局域網(wǎng)用戶共享文件設(shè)計的，但遠(yuǎn)程用戶同樣也能得到這些敏感信息，從而使暴力破解用戶密碼成為可能。

打開注冊表編輯器，在“開始一運(yùn)行”中填入“Regedit”并確定，找到Hkey_Local Machines＼Svstem＼CnrrentControlSet＼Control＼LSA RestrictAnonymous、令其值為“1”，這樣即可禁止139端口的空連接訪問。

三、管理員的安全意識

網(wǎng)絡(luò)安全涉及網(wǎng)絡(luò)系統(tǒng)本身的復(fù)雜性、管理員和用戶的安全意識等因素，除網(wǎng)絡(luò)管理員和用戶應(yīng)具備足夠的網(wǎng)絡(luò)知識外，還要有較好的管理模式。

1管理模式從網(wǎng)絡(luò)管理角度來看，在網(wǎng)絡(luò)管理中應(yīng)實(shí)施“A-C-S角色管理模型”，即A：Administrator系統(tǒng)管理員，負(fù)責(zé)承擔(dān)日常的例行維護(hù)，他是管理計算機(jī)系統(tǒng)的主要人員；C：Configuation Manager配置管理員，負(fù)責(zé)進(jìn)行計算機(jī)設(shè)備的資產(chǎn)管理、網(wǎng)絡(luò)參數(shù)(如網(wǎng)絡(luò)地址子網(wǎng)掩碼)的分配和登記；S：SecurityConsultant,安全管理員，負(fù)責(zé)評估和審核計算機(jī)系統(tǒng)的安全狀況，關(guān)注網(wǎng)絡(luò)安全動態(tài)，調(diào)整相關(guān)安全設(shè)置，進(jìn)行入侵防范，發(fā)出安全公告，緊急修復(fù)系統(tǒng)。

2口令安全策略大多數(shù)黑客入侵，就是通過各種途徑取得管理員口令，因此．校園網(wǎng)管理員的口令安全策略顯得尤其重要。管理員口令安全策略主要有：

(1)不要使用比較容易猜的口令，最好使用字符和數(shù)字的混合口令。

(2)定期更換管理員口令。

(3)設(shè)置系統(tǒng)安全策略，限制用戶錯誤口令登錄次數(shù)，防止用戶枚舉性地試探猜測管理員口令。

四、結(jié)束語：

教育信息化，校園網(wǎng)的建設(shè)是基礎(chǔ)，而網(wǎng)絡(luò)信息安全是保障。安全防范不僅要在技術(shù)上采取安全措施，更重要是在管理上加強(qiáng)安全措施。