三、校園網(wǎng)安全防護(hù)措施
3.1 安裝配置防火墻
“防火墻”是由軟件和硬件設(shè)備組合而成的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)設(shè)備, 設(shè)置防火墻是保護(hù)內(nèi)部網(wǎng)絡(luò)免于外部網(wǎng)絡(luò)侵?jǐn)_的重要措施。防火墻雖然能防范黑客攻擊, 但防火墻≠安全。在Internet 與校園網(wǎng)內(nèi)網(wǎng)之間部署一臺(tái)防火墻, 就在內(nèi)外網(wǎng)之間建立了一道牢固的安全屏障, 其中WWW、E- mail 、FTP、DNS 服務(wù)器連接在防火墻的DMZ 區(qū), 與內(nèi)、外網(wǎng)間進(jìn)行隔離, 內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī), 外網(wǎng)口通過(guò)路由器與Cernet 、Internet 連接。這樣, 通過(guò)Internet 進(jìn)來(lái)的外網(wǎng)用戶(hù)只能訪問(wèn)到對(duì)外公開(kāi)的一些服務(wù)(如WWW、E - mail 、FTP、DNS 等) , 既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶(hù)非法訪問(wèn)和破壞, 也阻止了內(nèi)部用戶(hù)對(duì)外部不良資源的使用, 并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。建立內(nèi)網(wǎng)計(jì)算機(jī)的IP 地址和MAC 地址的對(duì)應(yīng)表, 防止IP 地址被盜用; 定期查看防火墻訪問(wèn)日志, 以及時(shí)發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。
3.2 內(nèi)容檢測(cè)
另外,還有許多問(wèn)題, 僅靠防火墻是解決不了的。如為了控制不良信息的傳播, 在校園網(wǎng)中需要安裝網(wǎng)絡(luò)行為管理系統(tǒng), 來(lái)保障網(wǎng)絡(luò)信息的健康安全?,F(xiàn)在的內(nèi)容檢測(cè)軟件, 功能趨于成熟, 可以對(duì)郵件收發(fā)、網(wǎng)頁(yè)瀏覽、文件下載、遠(yuǎn)程登陸、文件共享等多種網(wǎng)絡(luò)常見(jiàn)應(yīng)用進(jìn)行精細(xì)化審計(jì); 可監(jiān)測(cè)服務(wù)器異常開(kāi)放的陌生端口, 有效發(fā)現(xiàn)系統(tǒng)中的異常的服務(wù); 并繪制出直觀的流量曲線圖。通過(guò)內(nèi)容檢測(cè)系統(tǒng), 可以有效地防止對(duì)反政府、犯罪、邪教及黃、賭、毒等不良網(wǎng)站的訪問(wèn), 防止學(xué)校的對(duì)外形象受到影響, 使學(xué)校免于受到刑事?tīng)窟B。此類(lèi)產(chǎn)品主要有, 網(wǎng)盾網(wǎng)絡(luò)行為管理系統(tǒng)(ENM) , 復(fù)旦光華S.Audit 網(wǎng)絡(luò)入侵檢測(cè)與安全審計(jì)系統(tǒng), 綠信互聯(lián)網(wǎng)訪問(wèn)管理系統(tǒng)(AR22000) 。
3.3 建立賬號(hào)和密碼管理機(jī)制
賬號(hào)和密碼保護(hù)可以說(shuō)是系統(tǒng)的第一道防線, 目前網(wǎng)上大部分對(duì)系統(tǒng)的攻擊都是從截獲或猜測(cè)密碼開(kāi)始的, 因此對(duì)服務(wù)器系統(tǒng)管理員的賬號(hào)和密碼進(jìn)行管理是保證系統(tǒng)安全非常重要的
措施。為保證口令安全, 系統(tǒng)管理員密碼的位數(shù)一定要多, 至少應(yīng)該在8 位以上, 不要用姓名、生日、電話號(hào)碼、常用單詞等作為口令, 在口令中混合使用大小寫(xiě)字母并將數(shù)字、符號(hào)等引入口令中來(lái), 定期修改口令, 避免重復(fù)使用舊口令等。對(duì)于普通用戶(hù), 設(shè)置一定的賬號(hào)管理策略, 如強(qiáng)制用戶(hù)每個(gè)月更改一次密碼。對(duì)于一些不常用的賬戶(hù)要關(guān)閉, 比如匿名登錄賬號(hào)。
3.4 及時(shí)安裝軟件補(bǔ)丁程序
軟件系統(tǒng)的安全問(wèn)題是最多的, 也是最復(fù)雜的。任何軟件都有漏洞, 作為網(wǎng)絡(luò)系統(tǒng)管理員就有責(zé)任及時(shí)地將“補(bǔ)丁”打上。大部分校園網(wǎng)服務(wù)器使用的是微軟的Win2dows NTP2000 操作系統(tǒng), 因?yàn)槭褂玫娜颂貏e多, 所以發(fā)現(xiàn)的Bug 也特別多, 同時(shí), 蓄意攻擊的人也就特別多。微軟公司為了彌補(bǔ)操作系統(tǒng)的安全漏洞, 在其網(wǎng)站上提供了許多補(bǔ)丁, 網(wǎng)絡(luò)系統(tǒng)管理員要經(jīng)常瀏覽這些官方網(wǎng)站下載并安裝相關(guān)補(bǔ)丁修補(bǔ)程序及各種升級(jí)包。
3.5 關(guān)閉不必要的端口和服務(wù)
服務(wù)器操作系統(tǒng)在安裝的時(shí)候, 會(huì)啟動(dòng)一些不需要的服務(wù), 這樣不但占用系統(tǒng)資源, 而且增加了系統(tǒng)的安全隱患。停止運(yùn)行服務(wù)器上不必要的服務(wù), 關(guān)閉不必要的端口,防止有人利用這些服務(wù)和端口進(jìn)行非法操作。
3.6 安裝網(wǎng)絡(luò)殺毒軟件
現(xiàn)在網(wǎng)絡(luò)上的病毒非常猖獗, 這就需要在網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)版的殺毒軟件來(lái)控制病毒的傳播, 目前, 大多數(shù)反病毒廠商(如賽門(mén)鐵克、瑞星、冠群金辰、趨勢(shì)、熊貓等) 都已經(jīng)推出了網(wǎng)絡(luò)版的殺毒軟件; 同時(shí), 在網(wǎng)絡(luò)版的殺毒軟件使用中, 必須要定期或及時(shí)升級(jí)殺毒軟件的引擎、病毒庫(kù)。
3.7 劃分子網(wǎng)
運(yùn)用VLAN 技術(shù)將網(wǎng)絡(luò)按功能劃分成若干個(gè)子網(wǎng), 是一個(gè)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理的有效手段??梢酝ㄟ^(guò)訪問(wèn)策略進(jìn)行合理的限制, 比如劃分學(xué)生子網(wǎng)和教師子網(wǎng), 使學(xué)生不能直接訪問(wèn)專(zhuān)屬
教師的內(nèi)容。對(duì)于一些安全性要求比較高的部門(mén), 必要時(shí)還需要進(jìn)行物理隔離。
3.8 定期檢測(cè)服務(wù)器系統(tǒng)
通過(guò)運(yùn)行系統(tǒng)日志程序, 系統(tǒng)會(huì)記錄下所有用戶(hù)使用系統(tǒng)的情形, 包括最近登錄的時(shí)間、使用的賬號(hào)、進(jìn)行的活動(dòng)等。日志程序要定期生成報(bào)表, 對(duì)報(bào)表進(jìn)行分析, 你可以知道是否有異?,F(xiàn)象。為防止不能預(yù)料的系統(tǒng)故障或用戶(hù)不小心的非法操作, 必須對(duì)系統(tǒng)進(jìn)行安全備份。
3.9 綜合管理
綜合安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ),安全技術(shù)是配合安全管理的輔助措施, 網(wǎng)絡(luò)的安全需要組織、技術(shù)兩方面的措施來(lái)保證。為數(shù)不少的學(xué)生對(duì)網(wǎng)絡(luò)技術(shù)非常感興趣,有些水平還非常高, 只靠“防”和“堵”是不行的, 應(yīng)該引導(dǎo)學(xué)生將網(wǎng)絡(luò)技術(shù)運(yùn)用到校園網(wǎng)的安全建設(shè), 從而既滿(mǎn)足了學(xué)生的表現(xiàn)欲望, 又保障了校園網(wǎng)的安全。僅有正確的引導(dǎo)是不夠的, 還會(huì)有個(gè)別學(xué)生越軌, 這時(shí)候就需要制定一整套的規(guī)章制度來(lái)約束個(gè)別學(xué)生的行為。有效的使用網(wǎng)管軟件對(duì)分散安裝的設(shè)備進(jìn)行實(shí)時(shí)檢測(cè),以便及時(shí)發(fā)生問(wèn)題進(jìn)行處理。一定要建立一套校園網(wǎng)絡(luò)安全管理模式,制定詳細(xì)的安全管理制度,如機(jī)房管理制度、病毒防范制度等,并采取切實(shí)有效的措施,保證制度的執(zhí)行。
四、社會(huì)工程學(xué)對(duì)網(wǎng)絡(luò)安全帶來(lái)的影響
曾經(jīng)有一個(gè)管理員的密碼被外界修改了, 管理員無(wú)法使用自己的密碼, 于是經(jīng)過(guò)對(duì)日志的檢查, 除了一個(gè)IP 地址登錄過(guò)改了管理員密碼外, 沒(méi)有任何被入侵的痕跡。問(wèn)這個(gè)管理員的密碼都有誰(shuí)知道, 他說(shuō)除了他一個(gè)人誰(shuí)也不知道, 他的密碼每周都要換, 而且密碼也相當(dāng)強(qiáng)壯。問(wèn)他最近有什么特別的事情發(fā)生, 他說(shuō)沒(méi)什么事情發(fā)生, 只是最近他們買(mǎi)了一臺(tái)服務(wù)器, 昨天那個(gè)公司的人來(lái)電話說(shuō)服務(wù)器有漏洞要遠(yuǎn)程進(jìn)行升級(jí)工作, 需要管理員的密碼。一般來(lái)說(shuō)公司或者廠家不會(huì)向用戶(hù)詢(xún)問(wèn)有關(guān)用戶(hù)密碼的事情,很明顯這就是利用社會(huì)工程學(xué)造成的一個(gè)騙局。一直以來(lái)搞網(wǎng)絡(luò)安全的都把注意力放在了技術(shù)的層面上, 但入侵絕不僅是技術(shù)上的入
侵。例如, 某省的工商銀行的郵箱被盜, 給所有網(wǎng)上注冊(cè)的用戶(hù)發(fā)了一封郵件, 說(shuō)是銀行系統(tǒng)要升級(jí)需要用戶(hù)的卡號(hào)和密碼, 雖然工行很快發(fā)布了通知, 但是誰(shuí)有知道有多少安全意識(shí)薄弱的人按照郵件的內(nèi)容去做了呢?利用社會(huì)工程學(xué)進(jìn)行入侵的人, 肯定在其背后有所圖謀, 否則很少有人花這么大的心思來(lái)構(gòu)思一場(chǎng)巧妙的騙局,從某個(gè)層面來(lái)說(shuō)利用社會(huì)工程學(xué)10 %的入侵要比利用技術(shù)90 %的入侵可怕的多。隨著電子商務(wù)離我們?cè)絹?lái)越近, 安全問(wèn)題也越來(lái)越嚴(yán)重, 真正高技術(shù)的入侵者畢竟只是很少的一部分, 但是利用社會(huì)工程學(xué)的入侵者卻不需要很強(qiáng)的計(jì)算機(jī)功底, 也可以說(shuō)一個(gè)對(duì)計(jì)算機(jī)一知半解的人也可以造成入侵。所謂的騙術(shù), 有多少是已經(jīng)用過(guò)的, 但至今我們還沒(méi)有發(fā)現(xiàn)的呢? 這個(gè)問(wèn)題不是靠技術(shù)所能解決的, 而是一種廣泛的安全意識(shí)。
五、結(jié)束語(yǔ)
網(wǎng)絡(luò)安全是一個(gè)循序漸進(jìn)的過(guò)程,不可能一蹴而就。雖然理論上常常稱(chēng)在安全方面花費(fèi)1 %的精力, 就可以防御99 %的安全進(jìn)攻和威脅, 但歸根結(jié)底, 安全體系取決于系統(tǒng)中最薄弱的一塊, 面對(duì)系統(tǒng)中所發(fā)現(xiàn)的新的、越來(lái)越多的安全漏洞, 沒(méi)有一套健全的系統(tǒng)的安全機(jī)制, 就不能及時(shí)發(fā)現(xiàn)漏洞并加以制止。很明顯, 再完善的安全體系,也不可能實(shí)現(xiàn)100 %的安全, 但是, 至少我們通過(guò)各種努力, 加固整個(gè)系統(tǒng), 減少不必要的損失。校園網(wǎng)的安全問(wèn)題不僅僅是技術(shù)上的問(wèn)題, 而且包括教師、學(xué)生等人為因素, 它依賴(lài)于安全教育和安全意識(shí), 必須在意識(shí)上和管理上自始至終重視校園網(wǎng)的安全建設(shè)。
參考文獻(xiàn)
[1 ] 王竹林等. 網(wǎng)絡(luò)安全實(shí)踐[M] . 西安: 西安電子科技大學(xué)出版社, 2002. 8.
[2 ] 王保順等. 校園網(wǎng)設(shè)計(jì)與遠(yuǎn)程教學(xué)系統(tǒng)開(kāi)發(fā)[M] . 北京: 人民郵電出版社, 2003. 1.
[3 ] 史忠植. 高級(jí)計(jì)算機(jī)網(wǎng)絡(luò)[M] . 北京: 電子工業(yè)出版社, 2002. 1.
?