三���、校園網安全防護措施
3.1 安裝配置防火墻
“防火墻”是由軟件和硬件設備組合而成的計算機網絡安全防護設備, 設置防火墻是保護內部網絡免于外部網絡侵擾的重要措施����。防火墻雖然能防范黑客攻擊, 但防火墻≠安全�����。在Internet 與校園網內網之間部署一臺防火墻, 就在內外網之間建立了一道牢固的安全屏障, 其中WWW�����、E- mail 、FTP、DNS 服務器連接在防火墻的DMZ 區, 與內�、外網間進行隔離, 內網口連接校園網內網交換機, 外網口通過路由器與Cernet �、Internet 連接�。這樣, 通過Internet 進來的外網用戶只能訪問到對外公開的一些服務(如WWW、E - mail 、FTP��、DNS 等) , 既保護內網資源不被外部非授權用戶非法訪問和破壞, 也阻止了內部用戶對外部不良資源的使用, 并能夠對發生在網絡中的安全事件進行跟蹤和審計����。建立內網計算機的IP 地址和MAC 地址的對應表, 防止IP 地址被盜用; 定期查看防火墻訪問日志, 以及時發現攻擊行為和不良的上網記錄。
3.2 內容檢測
另外,還有許多問題, 僅靠防火墻是解決不了的。如為了控制不良信息的傳播, 在校園網中需要安裝網絡行為管理系統, 來保障網絡信息的健康安全?��,F在的內容檢測軟件, 功能趨于成熟, 可以對郵件收發、網頁瀏覽�、文件下載���、遠程登陸��、文件共享等多種網絡常見應用進行精細化審計; 可監測服務器異常開放的陌生端口, 有效發現系統中的異常的服務; 并繪制出直觀的流量曲線圖。通過內容檢測系統, 可以有效地防止對反政府����、犯罪、邪教及黃����、賭��、毒等不良網站的訪問, 防止學校的對外形象受到影響, 使學校免于受到刑事牽連。此類產品主要有, 網盾網絡行為管理系統(ENM) , 復旦光華S.Audit 網絡入侵檢測與安全審計系統, 綠信互聯網訪問管理系統(AR22000) ���。
3.3 建立賬號和密碼管理機制
賬號和密碼保護可以說是系統的第一道防線, 目前網上大部分對系統的攻擊都是從截獲或猜測密碼開始的, 因此對服務器系統管理員的賬號和密碼進行管理是保證系統安全非常重要的
措施。為保證口令安全, 系統管理員密碼的位數一定要多, 至少應該在8 位以上, 不要用姓名�、生日��、電話號碼、常用單詞等作為口令, 在口令中混合使用大小寫字母并將數字�����、符號等引入口令中來, 定期修改口令, 避免重復使用舊口令等�����。對于普通用戶, 設置一定的賬號管理策略, 如強制用戶每個月更改一次密碼�����。對于一些不常用的賬戶要關閉, 比如匿名登錄賬號。
3.4 及時安裝軟件補丁程序
軟件系統的安全問題是最多的, 也是最復雜的��。任何軟件都有漏洞, 作為網絡系統管理員就有責任及時地將“補丁”打上���。大部分校園網服務器使用的是微軟的Win2dows NTP2000 操作系統, 因為使用的人特別多, 所以發現的Bug 也特別多, 同時, 蓄意攻擊的人也就特別多�����。微軟公司為了彌補操作系統的安全漏洞, 在其網站上提供了許多補丁, 網絡系統管理員要經常瀏覽這些官方網站下載并安裝相關補丁修補程序及各種升級包���。
3.5 關閉不必要的端口和服務
服務器操作系統在安裝的時候, 會啟動一些不需要的服務, 這樣不但占用系統資源, 而且增加了系統的安全隱患。停止運行服務器上不必要的服務, 關閉不必要的端口,防止有人利用這些服務和端口進行非法操作���。
3.6 安裝網絡殺毒軟件
現在網絡上的病毒非常猖獗, 這就需要在網絡服務器上安裝網絡版的殺毒軟件來控制病毒的傳播, 目前, 大多數反病毒廠商(如賽門鐵克、瑞星�����、冠群金辰��、趨勢���、熊貓等) 都已經推出了網絡版的殺毒軟件; 同時, 在網絡版的殺毒軟件使用中, 必須要定期或及時升級殺毒軟件的引擎����、病毒庫。
3.7 劃分子網
運用VLAN 技術將網絡按功能劃分成若干個子網, 是一個加強內部網絡管理的有效手段��??梢酝ㄟ^訪問策略進行合理的限制, 比如劃分學生子網和教師子網, 使學生不能直接訪問專屬
教師的內容。對于一些安全性要求比較高的部門, 必要時還需要進行物理隔離���。
3.8 定期檢測服務器系統
通過運行系統日志程序, 系統會記錄下所有用戶使用系統的情形, 包括最近登錄的時間、使用的賬號��、進行的活動等���。日志程序要定期生成報表, 對報表進行分析, 你可以知道是否有異?����,F象��。為防止不能預料的系統故障或用戶不小心的非法操作, 必須對系統進行安全備份。
3.9 綜合管理
綜合安全管理是保證網絡安全的基礎,安全技術是配合安全管理的輔助措施, 網絡的安全需要組織����、技術兩方面的措施來保證。為數不少的學生對網絡技術非常感興趣,有些水平還非常高, 只靠“防”和“堵”是不行的, 應該引導學生將網絡技術運用到校園網的安全建設, 從而既滿足了學生的表現欲望, 又保障了校園網的安全。僅有正確的引導是不夠的, 還會有個別學生越軌, 這時候就需要制定一整套的規章制度來約束個別學生的行為。有效的使用網管軟件對分散安裝的設備進行實時檢測,以便及時發生問題進行處理���。一定要建立一套校園網絡安全管理模式,制定詳細的安全管理制度,如機房管理制度、病毒防范制度等,并采取切實有效的措施,保證制度的執行。
四��、社會工程學對網絡安全帶來的影響
曾經有一個管理員的密碼被外界修改了, 管理員無法使用自己的密碼, 于是經過對日志的檢查, 除了一個IP 地址登錄過改了管理員密碼外, 沒有任何被入侵的痕跡����。問這個管理員的密碼都有誰知道, 他說除了他一個人誰也不知道, 他的密碼每周都要換, 而且密碼也相當強壯。問他最近有什么特別的事情發生, 他說沒什么事情發生, 只是最近他們買了一臺服務器, 昨天那個公司的人來電話說服務器有漏洞要遠程進行升級工作, 需要管理員的密碼。一般來說公司或者廠家不會向用戶詢問有關用戶密碼的事情,很明顯這就是利用社會工程學造成的一個騙局����。一直以來搞網絡安全的都把注意力放在了技術的層面上, 但入侵絕不僅是技術上的入
侵���。例如, 某省的工商銀行的郵箱被盜, 給所有網上注冊的用戶發了一封郵件, 說是銀行系統要升級需要用戶的卡號和密碼, 雖然工行很快發布了通知, 但是誰有知道有多少安全意識薄弱的人按照郵件的內容去做了呢?利用社會工程學進行入侵的人, 肯定在其背后有所圖謀, 否則很少有人花這么大的心思來構思一場巧妙的騙局,從某個層面來說利用社會工程學10 %的入侵要比利用技術90 %的入侵可怕的多��。隨著電子商務離我們越來越近, 安全問題也越來越嚴重, 真正高技術的入侵者畢竟只是很少的一部分, 但是利用社會工程學的入侵者卻不需要很強的計算機功底, 也可以說一個對計算機一知半解的人也可以造成入侵。所謂的騙術, 有多少是已經用過的, 但至今我們還沒有發現的呢? 這個問題不是靠技術所能解決的, 而是一種廣泛的安全意識。
五����、結束語
網絡安全是一個循序漸進的過程,不可能一蹴而就����。雖然理論上常常稱在安全方面花費1 %的精力, 就可以防御99 %的安全進攻和威脅, 但歸根結底, 安全體系取決于系統中最薄弱的一塊, 面對系統中所發現的新的���、越來越多的安全漏洞, 沒有一套健全的系統的安全機制, 就不能及時發現漏洞并加以制止�。很明顯, 再完善的安全體系,也不可能實現100 %的安全, 但是, 至少我們通過各種努力, 加固整個系統, 減少不必要的損失。校園網的安全問題不僅僅是技術上的問題, 而且包括教師、學生等人為因素, 它依賴于安全教育和安全意識, 必須在意識上和管理上自始至終重視校園網的安全建設����。
參考文獻
[1 ] 王竹林等. 網絡安全實踐[M] . 西安: 西安電子科技大學出版社, 2002. 8.
[2 ] 王保順等. 校園網設計與遠程教學系統開發[M] . 北京: 人民郵電出版社, 2003. 1.
[3 ] 史忠植. 高級計算機網絡[M] . 北京: 電子工業出版社, 2002. 1.
?
