淺析校園網(wǎng)安全防范

淺析校園網(wǎng)安全防范摘要：本文結(jié)合本校的實際情況，從病毒防備及效勞器安全策略兩方面初步討論校園網(wǎng)的一些安全防備辦法本文關(guān)鍵詞語：校園網(wǎng)；病毒防備；WEB效勞器引言隨著現(xiàn)代互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和高校的全面推進(jìn)，校園網(wǎng)已經(jīng)成為高等院校的主要基礎(chǔ)設(shè)備之一。然而網(wǎng)絡(luò)的開放性和國際化，使得各種網(wǎng)絡(luò)安全問題日益突出。本文結(jié)合本校的實際情況，從病毒防備及效勞器安全策略兩方面初步討論校園網(wǎng)的一些安全防備辦法。1病毒的防護(hù)校園網(wǎng)應(yīng)用的普及，使得網(wǎng)絡(luò)病毒的傳播更為廣泛、復(fù)雜，危害性更大。作為學(xué)校的網(wǎng)絡(luò)管理員，時常困擾的問題就是遭到病毒攻擊，用戶不時的埋怨又染上病毒了，為此占用了許多的維護(hù)時間。安裝和維護(hù)整個PC系統(tǒng)的防毒軟件不僅費時費力，還要有相當(dāng)可觀的資金投入。因而，所有針對網(wǎng)絡(luò)環(huán)境的防毒方案都應(yīng)該能夠提供集中管理和遠(yuǎn)程網(wǎng)管功能，即能從一個工作站對網(wǎng)內(nèi)所有設(shè)備進(jìn)行防毒軟件安裝和維護(hù)。對于殺毒軟件，除了正常的查殺功能以外，還提出了更高層次的要求1.1效勞器遠(yuǎn)程自動安裝防毒軟件只需在殺毒軟件控制中心的效勞器列表中選擇需要保衛(wèi)的效勞器，防毒軟件就能為相應(yīng)的效勞器安裝殺毒軟件并起動病毒保衛(wèi)軟件，實時監(jiān)控目的系統(tǒng)。1.2工作站遠(yuǎn)程自動安裝防毒軟件所有與殺毒軟件效勞器相連的工作站，都能通過效勞器的殺毒軟件控制中心進(jìn)行遠(yuǎn)程的軟件安裝、升級。防毒軟件會確保所有工作站都有一定的優(yōu)先級，保證不從常駐內(nèi)存中退出而失去保衛(wèi)作用，這樣就能夠大大方便系統(tǒng)的管理。1.3防毒軟件自動更新升級功能防毒程序必需具有實時地從指定的中心效勞器上升級最新的病毒庫，并將最新的病毒庫文件定時分發(fā)到網(wǎng)絡(luò)上的每個客戶端。1.4防毒軟件配置靈敏個性化對客戶機(jī)的防毒軟件要做到幾點：設(shè)置定期分析；自定義掃描文件擴(kuò)展名；CPU占用等級調(diào)整；報警信息的接收設(shè)置。1.5動態(tài)反應(yīng)整個網(wǎng)絡(luò)的防毒情況防毒軟件必需能及時報告網(wǎng)內(nèi)所有效勞器和工作站的病毒查殺情況。從中心效勞器上，能夠查看每臺客戶機(jī)的防毒情況，假如有中毒了，就會有紅色警示，網(wǎng)絡(luò)管理員就能夠在效勞器上查看查毒記錄并采用相應(yīng)辦法殺毒。1.6殺毒軟件的病毒查殺數(shù)、查殺率、反應(yīng)速度是反病毒產(chǎn)品性能的主要指標(biāo)。殺毒軟件要能查殺更多的病毒，而且要高效，占用資源要足夠小。對病毒庫更新要及時〔一般一天升級一次〕，還應(yīng)要求在殺毒時不毀壞原有文件，運行可靠。學(xué)校以前在安裝了一些單機(jī)版的殺毒軟件時，時常出現(xiàn)死機(jī)現(xiàn)象，影響了原來系統(tǒng)的正常運作。1.7采取具有實時反病毒的自動防疫技術(shù)實時防毒技術(shù)就是在線監(jiān)視系統(tǒng)狀態(tài)，對病毒傳播的各種途徑如U盤、光盤、網(wǎng)絡(luò)、網(wǎng)絡(luò)驅(qū)動器等媒介進(jìn)行嚴(yán)密的封鎖，對進(jìn)入系統(tǒng)的病毒數(shù)據(jù)即時報警、查殺和阻斷，將病毒阻攔在操作系統(tǒng)之外。這種技術(shù)要求在操作系統(tǒng)最底層打上反病毒補(bǔ)丁，使操作系統(tǒng)具備反病毒功能，該反病毒功能具有最高的優(yōu)先權(quán)。采取這種技術(shù)要保證不影響系統(tǒng)與應(yīng)用程序之的兼容性，還要留意系統(tǒng)常駐內(nèi)存代碼的效率問題，代碼要做到短小、精悍、高效。1.8要能夠查殺壓縮文件中的病毒為了方便傳輸和攜帶，一般要對文件進(jìn)行壓縮。壓縮文件中的二進(jìn)制數(shù)據(jù)排列將和正常的文件不一樣。隱藏在壓縮包文件中的病毒代碼也將發(fā)生改變。不同的壓縮機(jī)制帶來的改變也都各自不同，這就要求殺毒軟件能適應(yīng)各種不同的壓縮軟件，把握所有通用壓縮格式的壓縮算法，深切進(jìn)入分析壓縮文件，及時發(fā)現(xiàn)其中的病毒數(shù)據(jù)；去除各種壓縮過的病毒。1.9強(qiáng)有力的數(shù)據(jù)恢復(fù)能力當(dāng)數(shù)據(jù)遭到病毒毀壞時，殺毒軟件應(yīng)能提供給急恢復(fù)功能，修復(fù)被毀壞的硬盤分區(qū)表，恢復(fù)分區(qū)上數(shù)據(jù)?？傊?，病毒防護(hù)計劃在現(xiàn)今的校園網(wǎng)中已經(jīng)是不可或缺的事，病毒防護(hù)以防為主，怎樣實現(xiàn)最大的防護(hù)效能，才是網(wǎng)絡(luò)管理員考慮的重點。2WEB效勞器的安全辦法本校采取的WEB效勞器為今最流行的IIS〔InternetInformationServer〕。IIS有強(qiáng)大的Internet和Intranet效勞功能，但同時具有很多的漏洞。怎樣加強(qiáng)IIS的安全機(jī)制，建立一個高安全性能的Web效勞器，已成為IIS設(shè)置中不可忽視的主要構(gòu)成部分。以下為在管理經(jīng)過中采用的一些安全辦法：2.1選擇適宜的域環(huán)境安裝系統(tǒng)安裝IIS后，系統(tǒng)會自動生成IUSR_Computername匿名賬戶。該賬戶被添加到域用戶組中，進(jìn)而把應(yīng)用于域用戶組的訪問權(quán)限傳遞給訪問Web效勞器的相應(yīng)匿名用戶。這給IIS帶來了潛在危險，而且威脅到整個域資源的安全。要盡可能避免把IIS安裝在域控制器上，尤其是主域控制器。2.2選擇合理的分區(qū)安裝系統(tǒng)杜絕IIS安頓在系統(tǒng)分區(qū)上，使操作系統(tǒng)文件與IIS系統(tǒng)分別開來。這樣那怕出現(xiàn)非法訪問，非法用戶也不容易侵入系統(tǒng)分區(qū)。2.3禁止Web的匿名效勞禁用Web的匿名效勞功能。本中心有一個WEB系統(tǒng)的內(nèi)部網(wǎng)，也是基于IIS建立的，對于這個內(nèi)部站點，則都采用內(nèi)部用戶驗證。2.4合理配置文件夾和文件的訪問權(quán)限對NTFS文件系統(tǒng)上的文件夾和文件，一方面要對其訪問權(quán)限加以控制，對不同的用戶組和用戶進(jìn)行不同的權(quán)限設(shè)置，規(guī)劃好策略；另外，還要利用NTFS的審核功能對特定用戶構(gòu)成員的文件訪問進(jìn)行審核，通過監(jiān)視文件訪問及帳戶異常情況等，及時發(fā)現(xiàn)非法用戶進(jìn)行非法活動的前兆，及時做好防備辦法。這點應(yīng)該是本人管理中最常用也是最繁瑣的設(shè)置了，由于內(nèi)部網(wǎng)上有不同的部門，因而根據(jù)不同部門來設(shè)置NTFS權(quán)限，許多問題都是由于過于嚴(yán)格的權(quán)限設(shè)置引起的，同時，對于一些敏感文件和目錄能夠進(jìn)行審核，查看可疑的訪問。2.5合理設(shè)置特定IP發(fā)來的效勞懇求IIS能夠設(shè)置特定IP發(fā)來的效勞懇求，有選擇地允許特定IP的用戶訪問效勞器。用戶能夠通過設(shè)置實現(xiàn)允許或阻攔特定的用戶對WEB效勞器的合理訪問。2.6禁用IP數(shù)據(jù)包轉(zhuǎn)發(fā)功能IIS在數(shù)據(jù)包轉(zhuǎn)發(fā)時，會無條件地將從Internet接收的數(shù)據(jù)轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)中，這給惡意數(shù)據(jù)的傳播提供了各種可能和方便，禁用這一功能不失為提升安全性的好辦法。2.7腳本程序和數(shù)據(jù)的存儲方式將腳本程序和數(shù)據(jù)分別存儲在不同的目錄下面，使包括腳本程序的目錄只擁有履行答應(yīng)權(quán)，杜絕數(shù)據(jù)被非法下載。2.8禁用.bat和.cmd等可履行文件的映射功能取消腳本程序所在目錄的閱讀答應(yīng)權(quán)，就能夠停用這些Web效勞器上的可履行文件的映射功能，即便黑客通過上傳惡意文件也無法運行這些Web文件。2.9禁止使用DirectoryBrowsingAllowed〔允許目錄瀏覽〕這一功能啟動后瀏覽器會以列表的方式枚舉目錄文件，整個應(yīng)用目錄將暴露給用戶，進(jìn)而給黑客入侵帶來更大的方便，包含下載數(shù)據(jù)庫文件。2.10避免使用RemoteVirtualDirectories〔遠(yuǎn)程虛擬目錄〕務(wù)必將IIS所有的可履行文件以及數(shù)據(jù)進(jìn)行同機(jī)同盤安裝，并利用NTFS的安全機(jī)制來保衛(wèi)。當(dāng)用戶試圖從遠(yuǎn)程目錄訪問文檔時，老是使用輸入到屬性頁上的用戶名和口令，這就有可能繞過訪問控制列表。2.11避免SQL注入所謂SQL注入，就是在Web表單遞交、輸入域名、頁面懇求時，插入惡意的合法的SQL查詢語句，最終到達(dá)欺騙效勞器來運行惡意的SQL命令。通過SQL命令能夠?qū)π谄鬟M(jìn)行文件和數(shù)據(jù)庫操作。避免SQL注入，重點要做好下面幾點：2.11.1用正規(guī)表達(dá)式加強(qiáng)對用戶的輸入進(jìn)行校驗，或限制長度。2.11.2使用參數(shù)化的SQL，通過傳入?yún)?shù)給存儲經(jīng)過進(jìn)行數(shù)據(jù)查詢存取。2.11.3去除數(shù)據(jù)庫連接用戶的管理員權(quán)限，并為每個數(shù)據(jù)庫應(yīng)用使用單獨的用戶進(jìn)行數(shù)據(jù)庫連接，合理分配數(shù)據(jù)庫權(quán)限。2.11.4對敏感的信息要進(jìn)行加密或者進(jìn)行hash處理，如登錄名和用戶密碼。2.11.5不直接拋出系統(tǒng)的錯識信息，采取自定義的毛病信息對系統(tǒng)毛病信息進(jìn)行二次包裝。2.11.6采取最新注入檢測方法進(jìn)行系統(tǒng)檢測。當(dāng)前常用的方法是輔助軟件法和平臺檢測法，輔助軟件有：jsky，平臺檢測有：億思網(wǎng)站安全平臺檢測工具、MDCSOFTSCAN、MDCSOFT-IPS等。2.12關(guān)閉不需要的端口正常情況下效勞器需要開通的端口有：80、21、25、110。關(guān)閉不需要的端口能夠防止黑客有機(jī)可乘。另外，本人曾經(jīng)使用微軟推出的一款傻瓜式的IIS安全設(shè)置工具：IISLockTool。根據(jù)默認(rèn)設(shè)置完后，系統(tǒng)的郵件效勞器MSExchange2000和部分的網(wǎng)站變得不能使用，出現(xiàn)一些意外的毛病，只好重裝WWW效勞和郵件效勞。因而，在使用一些微軟的傻瓜式工具時最好要做好復(fù)原的預(yù)備。由于微軟系統(tǒng)的各款軟件結(jié)合得很嚴(yán)密，一般的管理員不能完全了解其工作原理，部分的修改就有可能引起連鎖反應(yīng)。對于IISLockTool，本人最后采用的辦法就是根據(jù)改軟件說明，手工修改安全彌補(bǔ)辦法。這樣，即便某個更新引起了其他系統(tǒng)的不正常工作，能夠及時恢復(fù)前一步的操作，進(jìn)而恢復(fù)系統(tǒng)運行。3結(jié)束語校園網(wǎng)安全防護(hù)任重而道遠(yuǎn)，是一個的永遠(yuǎn)恒久工程。僅僅靠上面的這些設(shè)置方法，來保