侯曉磊

（鄭州工業(yè)應(yīng)用技術(shù)學(xué)院 信息工程學(xué)院，河南 新鄭 451100）

在目前的校園網(wǎng)絡(luò)當(dāng)中，校園網(wǎng)在帶給我們?nèi)w師生方便、快捷、高效的同時(shí)，也充斥著形形色色的安全威脅，因此，加強(qiáng)網(wǎng)絡(luò)安全的配置就顯得尤為重要.

1 校園網(wǎng)絡(luò)安全中存在的威脅

如今的校園網(wǎng)絡(luò)當(dāng)中，充斥著各種各樣的安全威脅，我們?cè)谶@里大體總結(jié)如下：

（1）計(jì)算機(jī)病毒的威脅.由于計(jì)算機(jī)病毒具有強(qiáng)有力的破壞性、隱蔽性和強(qiáng)大的自我衍生能力，對(duì)校園網(wǎng)的威脅是非常大的，特別是網(wǎng)絡(luò)病毒的攻擊能力比單機(jī)病毒還要大.隨著校園網(wǎng)與外部Internet網(wǎng)絡(luò)逐漸的融為一體，也會(huì)為各類計(jì)算機(jī)病毒敞開大門，在校園網(wǎng)中下載信息、傳遞數(shù)據(jù)、收發(fā)電子郵件等都將受到威脅.

（2）有害信息的傳播.在如今的網(wǎng)絡(luò)當(dāng)中，充斥著各種各樣的信息，有對(duì)我們的教育教學(xué)起到幫助作用的，同時(shí)，也有許多不健康的、不符合國家法律法規(guī)的、甚至是違反社會(huì)道德的壞信息，如果安全管理不到位，有可能會(huì)在校園網(wǎng)中廣泛傳播，造成不好的影響.

（3）木馬等惡意攻擊和破壞行為.一些別有用心的人，會(huì)專門針對(duì)我們校園網(wǎng)中防護(hù)比較薄弱的地方，或者利用我們系統(tǒng)中軟、硬件設(shè)施的漏洞，移植木馬程序等實(shí)施遠(yuǎn)程控制；或者直接采取攻擊行為，監(jiān)視信息流、會(huì)話劫持、盜取我們網(wǎng)絡(luò)中的有價(jià)值信息數(shù)據(jù)；或者產(chǎn)生一定的破壞行為.而我們的校園網(wǎng)也不能做到24小時(shí)全天候的專人監(jiān)管，惡意攻擊行為，有可能會(huì)導(dǎo)致網(wǎng)絡(luò)的癱瘓，給我們?cè)斐蔁o法想象的損失.

（4）不合法用戶的非法訪問.

（5）網(wǎng)絡(luò)協(xié)議的缺陷.比較典型的就是如今在網(wǎng)絡(luò)當(dāng)中運(yùn)用較多的TCP/IP協(xié)議本身所具有的安全缺陷問題.

（6）數(shù)字信息的間諜行為.例如對(duì)通信數(shù)據(jù)流量的分析、信息的直接盜取等.

（7）人為行為.例如黑客的入侵破壞、網(wǎng)絡(luò)釣魚，或者內(nèi)部人員使用不當(dāng)?shù)?

（8）網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，管理制度不健全，法律法規(guī)不完善.

因此，校園網(wǎng)的安全威脅，有技術(shù)方面的，也有管理意識(shí)淡薄和制度缺失等因素.目前，我校幾乎各個(gè)院系部辦公室都配有電腦，連有網(wǎng)絡(luò)，但是有很多的使用者安全防范意識(shí)比較差.學(xué)校的規(guī)章制度還不夠完善，還不能夠有效的規(guī)范和約束師生們的不良上網(wǎng)行為.

2 校園網(wǎng)安全技術(shù)和管理機(jī)制

校園網(wǎng)絡(luò)的安全機(jī)制是保證校園網(wǎng)絡(luò)信息安全的必要措施，這些安全機(jī)制大都是針對(duì)目前高校網(wǎng)絡(luò)中潛在的安全威脅，但在具體實(shí)施過程中可以根據(jù)各高校的實(shí)際情況單獨(dú)或組合使用.如何在有限的投資中，安全機(jī)制盡可能的合理，盡可能地降低安全風(fēng)險(xiǎn)，是一個(gè)值得探討的問題.校園網(wǎng)絡(luò)的安全體系的建設(shè)，我們應(yīng)集中于兩個(gè)方面：一是現(xiàn)代化選擇機(jī)制；二是不斷改進(jìn)的管理機(jī)制.

之前我們已經(jīng)介紹了在校園網(wǎng)中的各種潛在安全威脅，主要是通過硬件和軟件，以及網(wǎng)絡(luò)系統(tǒng)的缺陷和漏洞、技術(shù)不到位等，對(duì)我們的校園網(wǎng)絡(luò)發(fā)動(dòng)攻擊.因此，為了有效防范這些威脅，我們首先需要在技術(shù)方面增強(qiáng)安全機(jī)制，進(jìn)一步充實(shí)網(wǎng)絡(luò)的檢測(cè)能力，彌補(bǔ)系統(tǒng)漏洞，盡而實(shí)現(xiàn)校園網(wǎng)安全的目的.大體上應(yīng)包括如下安全技術(shù)機(jī)制：

（1）加密和隱藏技術(shù).一般情況下，加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的最簡單、也是最常規(guī)的一個(gè)方法就是加密技術(shù).對(duì)重要信息進(jìn)行加密，是保護(hù)網(wǎng)絡(luò)安全的最基本的手段和方法.即使攻擊者通過某種非法手段獲取了相關(guān)內(nèi)容，也無法直接了解到其核心信息從而達(dá)到一定的保護(hù)作用.而隱藏技術(shù)則是將重要信息以某種方式隱藏在其他信息當(dāng)中，讓黑客等攻擊者很難發(fā)現(xiàn).

（2）完整性、不可否認(rèn)性的保證.利用密碼學(xué)等一些安全技術(shù)可以很好地對(duì)付非法用戶有意無意的篡改、竊取等惡意行為，很好的保護(hù)數(shù)據(jù)信息的完整性.當(dāng)數(shù)據(jù)信息的完整性得以保證后，還可提供不可抵賴服務(wù).

（3）權(quán)限和存取控制技術(shù).針對(duì)網(wǎng)絡(luò)系統(tǒng)中各種不同身份級(jí)別的用戶，分別賦予不同的操作權(quán)限，限制其越級(jí)越權(quán)行為，達(dá)到不同的管理目的.并且在安全的校園網(wǎng)系統(tǒng)中,還可以采用存取控制機(jī)制來保護(hù)目標(biāo)應(yīng)用對(duì)象.

（4）安全審計(jì)和定位技術(shù).通過在網(wǎng)絡(luò)使用過程中，對(duì)一些重要的事件內(nèi)容進(jìn)行的記錄、審計(jì)，從而在系統(tǒng)中可以跟蹤入侵者的入侵行為、發(fā)現(xiàn)錯(cuò)誤或受到攻擊時(shí)能定位攻擊目的地并找到切實(shí)有效的防范措施，為日后的事故調(diào)查取證等打下基礎(chǔ).

（5）安全認(rèn)證和授權(quán).校園網(wǎng)絡(luò)設(shè)備之間為了進(jìn)一步加強(qiáng)安全建設(shè)，應(yīng)相互認(rèn)證對(duì)方的身份和所授予的權(quán)力，以保證其以合法的身份，合理的使用校園網(wǎng)的權(quán)力；同時(shí)，校園網(wǎng)也必須對(duì)用戶的身份進(jìn)行認(rèn)證，以確保由權(quán)威和法律授權(quán)的合法用戶合理的操作.

（6）任務(wù)填充技術(shù).在通信過程中，通過發(fā)送仿真性能好的隨機(jī)數(shù)據(jù)和信息，通過對(duì)通信數(shù)據(jù)流量和獲取信息的分析來增加攻擊者的難度，進(jìn)一步提高網(wǎng)絡(luò)的安全性.

根據(jù)對(duì)當(dāng)前校園網(wǎng)絡(luò)安全現(xiàn)狀的了解，校園網(wǎng)絡(luò)的信息安全不僅是個(gè)技術(shù)問題，也是一個(gè)管理問題.正所謂“三分技術(shù)，七分管理”.要想真正的把校園網(wǎng)絡(luò)建設(shè)的更加完善，必須首先從制度上制定出更加嚴(yán)格、規(guī)范的管理制度，設(shè)計(jì)出更加行之有效的技術(shù)方案，確定合理的資金分配，采用相應(yīng)的管理措施和完善相關(guān)的法律法規(guī)制度.

特此總結(jié)出以下幾點(diǎn)校園網(wǎng)絡(luò)安全管理機(jī)制：

（1）為了使安全設(shè)備和制度更加豐富完善，可以采用一致的網(wǎng)絡(luò)監(jiān)控設(shè)備，包括對(duì)網(wǎng)絡(luò)接口的配置問題，就有可能預(yù)防相當(dāng)一部分的網(wǎng)絡(luò)攻擊和入侵行為.一般常見的方法有：在內(nèi)外網(wǎng)之間安裝正版的主流殺毒軟件、軟件防火墻、入侵檢測(cè)及漏洞掃描設(shè)備等.對(duì)我們的校園網(wǎng)絡(luò)進(jìn)行較為系統(tǒng)、完整的檢測(cè)、防護(hù)和預(yù)警，防止非法用戶的不正常訪問和越權(quán)使用等.

（2）進(jìn)一步完善校園網(wǎng)絡(luò)管理制度，建立健全網(wǎng)絡(luò)的整體架構(gòu).對(duì)一個(gè)合理的校園網(wǎng)絡(luò)進(jìn)出口進(jìn)行有效管理，并提供最基本的安全保證.

（3）為教師和學(xué)生盡快解決互聯(lián)網(wǎng)身份問題，提高統(tǒng)一身份認(rèn)證系統(tǒng)的安全級(jí)別.校園網(wǎng)絡(luò)必須首先解決好所有教師和學(xué)生的在線身份問題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全系統(tǒng)的最基本的組成部分.所以，必須要引起學(xué)校相關(guān)部門的重視.

（4）集中監(jiān)控和管理學(xué)校機(jī)房等公共上網(wǎng)場(chǎng)所.所有上網(wǎng)師生不但要通過學(xué)校統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)的認(rèn)證，其上網(wǎng)的安全日志，安全記錄也要集中保存在中心服務(wù)器上，以便及時(shí)備份今后查驗(yàn).

（5）根據(jù)學(xué)校相關(guān)部門的要求，配備專門的安全管理人員，建立健全網(wǎng)絡(luò)安全管理制度和體系.

3 安全策略的相關(guān)配置

為了進(jìn)一步加強(qiáng)校園網(wǎng)絡(luò)的安全，我們需要從各個(gè)方面入手，這里我們主要針對(duì)windows服務(wù)器運(yùn)行的程序和服務(wù)以及本地計(jì)算機(jī)兩方面出發(fā)，制定相關(guān)的安全策略.現(xiàn)大體總結(jié)如下：

（1）安裝比較流行的殺毒軟件.如果從安全角度去考慮的話，最好是去購買比較流行的、正版的專業(yè)殺毒軟件，并且最好可以實(shí)現(xiàn)在線實(shí)時(shí)升級(jí).這樣，就可以有效的防治計(jì)算機(jī)病毒、木馬的入侵和其他惡意攻擊行為的出現(xiàn).

（2）及時(shí)下載安裝并更新系統(tǒng)補(bǔ)丁.一般我們認(rèn)為，幾乎任何的計(jì)算機(jī)互聯(lián)網(wǎng)軟件和硬件都是有漏洞的，而我們所廣泛使用的操作系統(tǒng)也不例外，因此，就需要我們所有用戶，特別是經(jīng)常上網(wǎng)的用戶，及時(shí)的下載并更新系統(tǒng)補(bǔ)丁程序，進(jìn)一步完善軟硬件功能特性的同時(shí)，也能很好的彌補(bǔ)系統(tǒng)漏洞，盡可能的規(guī)避各種各樣的風(fēng)險(xiǎn).

（3）相關(guān)賬戶管理.對(duì)系統(tǒng)默認(rèn)的管理員帳戶進(jìn)行重新命名并加以密碼，密碼的長度也應(yīng)該至少8位以上，可以使用字母、數(shù)字、特殊符號(hào)等來增加密碼復(fù)雜度.另外，最好禁用不經(jīng)常使用的來賓帳戶，減少相關(guān)賬戶的數(shù)量，增加非法用戶嘗試破解的難度和成本.

（4）禁用無用或暫時(shí)不用的服務(wù).比如說，無線服務(wù)、遠(yuǎn)程協(xié)助服務(wù)、遠(yuǎn)程注冊(cè)表操作等這些服務(wù)要么不用，要么不經(jīng)常使用，最好將其關(guān)閉，避免我們不用，卻留下來成為他人攻擊我們電腦或網(wǎng)絡(luò)的跳板.

（5）刪除系統(tǒng)默認(rèn)的共享.在校園網(wǎng)中共享文件的同時(shí)，給我們提供了方便，但同時(shí)也是一個(gè)很大的安全風(fēng)險(xiǎn).因此，最好用的時(shí)候開通，不用的時(shí)候?qū)⑵潢P(guān)閉或刪除.可以通過編輯注冊(cè)表的操作，找到Hkey_local_machine系統(tǒng)currentcontrolset服務(wù)lanmanserver參數(shù)，將REG_DWORD的AutoShareServer值修改成0即可.

（6）禁止IPC空連接.可以通過打開注冊(cè)表，在HKEY_LOCAL_MACHINE根鍵中，找到LSA-RestrictAnonymous選項(xiàng)，把它的值改為1即可.

（7）運(yùn)用組策略進(jìn)行安全配置.通過相關(guān)的Gpedit.msc命令打開組策略，找到計(jì)算機(jī)配置中的本地策略，然后可以按照下面操作進(jìn)行相關(guān)的安全配置.

·試著將Power Users和Backup Operators兩個(gè)不常用的選項(xiàng)，在用戶權(quán)限的分配下刪除；

·啟動(dòng)不允許匿名訪問系統(tǒng)帳號(hào)和局域網(wǎng)共享；

·在文件共享目錄中刪除允許匿名登錄的兩個(gè)選項(xiàng)；

·啟用在下一次密碼變更時(shí)不存儲(chǔ)LANMAN哈希值；

·盡量設(shè)置不顯示上次登錄的用戶名；

·禁止IIS匿名用戶在本地登錄；

·限制嘗試登錄的次數(shù)和規(guī)定鎖定賬戶的時(shí)間；

·設(shè)置密碼策略要求，如所需要的最小密碼長度，復(fù)雜性等.

（8）本地安全策略設(shè)置.在開始菜單管理工具中，對(duì)本地安全策略中的9個(gè)審核策略，都可以將其成功、失敗的都進(jìn)行審核，這樣就可以在事件查看器中進(jìn)行定期不定期的查看.還可以在其中對(duì)用戶權(quán)限分配、安全選項(xiàng)、軟件限制策略等進(jìn)行自定義設(shè)置.

（9）重命名或卸載不安全的部分.現(xiàn)在很多程序或軟件都捆綁了不少相關(guān)的組件，而有些組件對(duì)我們的校園網(wǎng)根本就是沒用的，留下來就有可能成為安全隱患，因此，完全可以將其卸載掉.

因此，通過上述對(duì)服務(wù)器和本地計(jì)算機(jī)系統(tǒng)進(jìn)行的相關(guān)設(shè)置和策略的制定，可以有效的防止計(jì)算機(jī)病毒、黑客的攻擊，增加服務(wù)器和本地計(jì)算機(jī)的有效自身防御能力，讓我們的校園網(wǎng)絡(luò)環(huán)境得到進(jìn)一步的凈化，為全體師生營造良好的學(xué)習(xí)氛圍.

〔1〕周海剛，肖軍模.一種基于移動(dòng)代理的入侵檢測(cè)系統(tǒng)框架[J].電子科技大學(xué)學(xué)報(bào)，2003，12.

〔2〕賀也平.惡意代碼在計(jì)算機(jī)取證中的應(yīng)用[R].首屆全國計(jì)算機(jī)取證技術(shù)研討會(huì)，2004，11.

〔3〕陳建，張亞萍，李艷.基于流量分析的入侵檢測(cè)系統(tǒng)研究[J].天津理工學(xué)院學(xué)報(bào)，2008，9.

〔4〕單國棟,戴英俠,王航.計(jì)算機(jī)漏洞分類研究[J].計(jì)算機(jī)工程，2002,28(10):3-6.