摘要:当今社会已经进入到知识信息时代,计算机信息技术的高速发展极大地推动了互联网的广泛应用与普及,高校校园网络的建设在此背景下呈现出迅猛发展的良好态势,业已成为高校师生工作、学习和生活中的最重要的基础设施。如何提高校园网络的安全性越来越受到重视。因此,为了确保校园网得以健康稳定的运行,笔者提出了有关校园网服务器及计算机安全防护策略的几点构想。
关键词:校园网;服务器;计算机;安全防护
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 14-0000-02
Ideas on Campus Network Server and Computer Security Policy
Cai Kunqi
(Qiongtai Teachers College,Haikou571100,China)
Abstract:Knowledge of today"s society has entered the information age,the rapid development of computer information technology has greatly promoted the extensive application and popularization of the Internet,campus network construction in this context has shown good momentum of rapid development,has become college students work,study and life in the most important infrastructure.How to improve the security of the campus network more and more attention.Therefore,in order to ensure a healthy and stable campus network to run,I made the campus network server and computer security policy a few ideas.
Keywords:Campus network;Server;Computer;Security
随着网络技术的发展和网络应用的普及,信息网络业已成为当今社会金融、科学教育、军事等各个社会领域不可或缺的信息来源,从而导致积极建设校园网已经成为高校基础设施建设的重要内容,也是实现高校科学管理及教育教学自动化、信息化、智能化必不可少的一环。同时,随着高校校园网络建设的深入实施,面临来自更方面的网络攻击也越来越对,因而对校园网信息丢失,或者篡改、增删、破坏、窃用的安全防护策略也就提出了更高的要求。
一、校园网遇到的常见网络攻击方法
对于校园网络来说,服务器和计算机是校园网构成的两大核心系统,因而通常校园网所面临的网络攻击都是针对于服务器和计算机安全漏洞和系统缺陷进行的,校园网也不例外。通常威胁校园网络信息安全的攻击都是对IP地址发起的攻击,例如查找系统漏洞和后门、扫描端口等等,既包括对服务器主IP地址的攻击也包括对校园网络中各个计算机IP地址的攻击。具体说来,校园网面临的网络攻击包括如下几种情况:
(一)网络攻击者侵入开放的无监控的Internet网络,进行破坏系统、窃取数据或者盗用特权的活动,从而影响网络正常运行甚至瘫痪。
(二)对那些利用缺乏安全措施的TCP/IP协议进行数据传输的网络展开攻击,从而在传输数据时窃取数据。
(三)通过伪造电子邮件的方式对缺乏安全保护措施的网络进行攻击,从而窃取电子邮件中传输的重要信息。
(四)通过传播病毒使缺乏安全措施的Internet网络上的用户感染进而破坏网络系统、窃取数据和信息。
上述4种网络攻击是目前比较常见的网络攻击内涵,特别是第一种和第四种是目前最主流的网络攻击。基于此,本文针对校园网服务器及计算机安全防护策略的提出如下构想。
二、校园服务器安全防护策略的构想
现有的校园网大致可划分为三个最主要的组成部分,即校园局域网内用户、外网以及作为内外网控制结合部的校园网络公共服务平台。校园服务器主要安置于公共服务平台这一组成部分中,这是由于校园网络公共服务平台是校园局网用户与外网之间的桥梁,在此区域安装服务器既可以对外网用户直接访问内网获取服务设立一道屏障,防止内网被轻易攻破,又可以防止因需要对内网用户提供外网服务而遭受来自内部对重要服务器的攻击。因而,确保校园网的安全首先就是要制订有效的校园服务器安全防护策略以防止其瘫痪从而造成全校的Cernet丧失服务能力。
(一)服务器端口防护策略
由于服务器是连接内外网用户的平台,因而服务器要同时对外网和内网开放许多端口,而网络攻击者通常都会对这些端口进行扫描并展开攻击。因此,服务器必须制定端口防护策略。笔者认为,服务器端口防护的必由之路应当是给各个服务器配备nmap端口扫描软件,并对每个服务器系统进行实时地端口扫描,从而实现对服务器端口的优化管理。根据扫描结果来分析哪些端口需要保留,哪些端口需要移位,并把分析结果进行汇总从而找到余冗端口,最后只保留web、Xwindows用到的端口和那些确实需要留以备用的端口,关闭其它余冗端口。
(二)服务器感染网络病毒的防护策略
1.采用Station Lock网络防毒方法。我们对于病毒的防范概念是“病毒必须执行有限数量的程序之后,才会产生感染力”。Station Lock就是根据这一特点和病毒活动特点,辨别可能的病毒攻击意图,并在病毒未造成任何破坏之前予以拦截。Station Lock是在系统启动之前就控制了工作站上的硬件和软件,所以病毒攻击Station Lock是很困难的。在网络环境下,目前Station Lock是防治病毒较为有效的方法。
2.为服务器配备可靠的防杀毒软件。服务器是整个网络的核心,一旦服务器被感染而崩溃,整个网络会立即瘫痪,那么所谓的网络服务也不将存在。我们应该以服务器的防毒为重心,在为它提供实时扫描病毒的软件时,一定要注意及时对其进行必要的升级,并加大服务器权限的管理力度,从而确保服务器的防杀毒软件具有较高的有效性,能够杜绝绝大部分病毒尤其是变种病毒和新病毒在网络上的蔓延。
3.服务器感染病毒后的安全措施。网络病毒一经发现,应立即加以清除,避免造成整个网络的感染。我们可以用以下方法:(1)用broad cast命令通告全网用户,立即关闭文件服务器并断开网络;(2)用确保无毒的引导盘引导进入管理员系统,在管理员模式下清理病毒;(3)用确保无毒的引导盘启动文件服务器,系统管理员登录后,使用Disable Login禁止其他用户登录;(4)用防杀毒软件扫描全盘,删除已感染的文件并重新安装必须的系统文件;(5)对在已经染毒的网络上使用过的外部存储介质进行消毒处理;(6)确信网络病毒已全部彻底清除后,重新启动网络及各工作站。
(三)系统漏洞防护策略和实施方案
理论上讲,任何系统的开发都不可能是完美的,都会存在一些漏洞的存在,这是因为补丁和漏洞相比总是存在一定的滞后性,各个服务器系统补丁都是针对一个个在遭受网络攻击时被不断发现的漏洞开发出来的。倘若校园网的服务器系统没有及时更新这些补丁,那么无疑会大大降低服务器的安全性。
一般来说,服务器所采用的系统都会根据该系统的不同版本开发补丁并将其放在官方网站上,一些先进的系统还采用了自动更新的服务。因此,校园网的服务器管理员必须定期(通常为一周)用服务器的命令检查系统检查服务器已有的补丁,通过与官网的对比来找到需要安装的最新补丁,更新系统补丁。此外,由于利用堆栈溢出获取系统某些权限是目前系统漏洞攻击的常用手法,因此必须在服务器系统里加入防护命令。以SUN公司的Solaris系统威力,可在//etc/system中加入set noexecuser stack=1和set noexec user stack log=1语句来防止系统受到堆栈缓冲溢出攻击的危害。
三、校园网计算机地址管理安全策略
上文已经阐明,对对服务器主IP地址的攻击也包括对校园网络中各个计算机IP地址的攻击是校园网遭遇的常见网络攻击。因此对校园网络中各个计算机得安全防护策略主要就是对其IP地址进行优化管理,以提高对IP地址进行的网络攻击的免疫性。对计算机地址的管理主要包括网卡物理地址即MAC地址和网络IP地址的管理。笔者认为,在对校园网计算机地址进行优化管理时必须采取人机共管的模式,避免“认为采取了一定的网络管理技术,校园网络就处于安全状态”这一管理误区的出现,这就要求我们在服务器和网络计算机之间引入一个可以为网络管理员提供联合监管的网络管理机,在网络管理细则中可以添加如下条款来对计算机地址进行优化管理:
(一)建立校园网络计算机网卡MAC地址的数据库,为每个计算机得MAC地址设置专属代码,这些工作由网络管理机为新加入校园网的每台计算机上的客户机客户端程序在第一次运行时完成。
(二)客户机客户端程序生成MAC地址和计算机名的对应数据库(代码待建)。
(三)在网络管理机IP地址分配的DHCP中给客户端计算机分配的IP地址最后一段和该客户机MAC地址所对应的客户机计算机名编号相同。此工作需人工手动完成,而且工作量比较大,但关系重大,更是所有工作的核心之一,所以务必完成。
(四)每次客户机开机过程中上报MAC地址,网络管理机比对服务器程序上的MAC地址库,异常则报警(代码待建)。处理结果实验室值班人员记入工作日志,系统自动记录处理时间。
(五)每次客户机开机过程中比对网络管理机和服务器程序上的MAC地址与IP地址,MAC地址和计算机名的对应关系数据,异常则报警(代码待建)。处理结果由网络管人员记入工作日志,系统自动记录处理时间。对于某些加入新网卡的情况,务必做到硬件加入和数据库加入同步,维护系统稳定性。
由此可见,尽管MAC地址和IP地址比较难以使用,但是由于MAC地址是计算机网卡的唯一地址,也就是我们鉴别计算机最真实的手段,因而只要通过上述方法,通过网络管理机利用MAC地址和IP地址分配在服务器和网络计算机之间建立一个一一对应的桥梁,就能够实现对IP地址的优化管理,防止盗用网络IP地址而对校园网进行的网络攻击。
参考文献:
[1]李少飚.校园网络安全及病毒防范[J].软件导刊,2011,6
[2]彭俊.校园网的安全威胁及管理策略[J].网络安全技术与应用,2011,7
[3]王巍,李辉.浅谈计算机网络安全相关问题[J].成人教育,2011,7
