浅析校园网安全防范

浅析校园网安全防范摘要：本文结合本校的实际情况，从病毒防备及效劳器安全策略两方面初步讨论校园网的一些安全防备办法本文关键词语：校园网；病毒防备；WEB效劳器引言随着现代互联网技术的飞速发展和高校的全面推进，校园网已经成为高等院校的主要基础设备之一。然而网络的开放性和国际化，使得各种网络安全问题日益突出。本文结合本校的实际情况，从病毒防备及效劳器安全策略两方面初步讨论校园网的一些安全防备办法。1病毒的防护校园网应用的普及，使得网络病毒的传播更为广泛、复杂，危害性更大。作为学校的网络管理员，时常困扰的问题就是遭到病毒攻击，用户不时的埋怨又染上病毒了，为此占用了许多的维护时间。安装和维护整个PC系统的防毒软件不仅费时费力，还要有相当可观的资金投入。因而，所有针对网络环境的防毒方案都应该能够提供集中管理和远程网管功能，即能从一个工作站对网内所有设备进行防毒软件安装和维护。对于杀毒软件，除了正常的查杀功能以外，还提出了更高层次的要求1.1效劳器远程自动安装防毒软件只需在杀毒软件控制中心的效劳器列表中选择需要保卫的效劳器，防毒软件就能为相应的效劳器安装杀毒软件并起动病毒保卫软件，实时监控目的系统。1.2工作站远程自动安装防毒软件所有与杀毒软件效劳器相连的工作站，都能通过效劳器的杀毒软件控制中心进行远程的软件安装、升级。防毒软件会确保所有工作站都有一定的优先级，保证不从常驻内存中退出而失去保卫作用，这样就能够大大方便系统的管理。1.3防毒软件自动更新升级功能防毒程序必需具有实时地从指定的中心效劳器上升级最新的病毒库，并将最新的病毒库文件定时分发到网络上的每个客户端。1.4防毒软件配置灵敏个性化对客户机的防毒软件要做到几点：设置定期分析；自定义扫描文件扩展名；CPU占用等级调整；报警信息的接收设置。1.5动态反应整个网络的防毒情况防毒软件必需能及时报告网内所有效劳器和工作站的病毒查杀情况。从中心效劳器上，能够查看每台客户机的防毒情况，假如有中毒了，就会有红色警示，网络管理员就能够在效劳器上查看查毒记录并采用相应办法杀毒。1.6杀毒软件的病毒查杀数、查杀率、反应速度是反病毒产品性能的主要指标。杀毒软件要能查杀更多的病毒，而且要高效，占用资源要足够小。对病毒库更新要及时〔一般一天升级一次〕，还应要求在杀毒时不毁坏原有文件，运行可靠。学校以前在安装了一些单机版的杀毒软件时，时常出现死机现象，影响了原来系统的正常运作。1.7采取具有实时反病毒的自动防疫技术实时防毒技术就是在线监视系统状态，对病毒传播的各种途径如U盘、光盘、网络、网络驱动器等媒介进行严密的封锁，对进入系统的病毒数据即时报警、查杀和阻断，将病毒阻拦在操作系统之外。这种技术要求在操作系统最底层打上反病毒补丁，使操作系统具备反病毒功能，该反病毒功能具有最高的优先权。采取这种技术要保证不影响系统与应用程序之的兼容性，还要留意系统常驻内存代码的效率问题，代码要做到短小、精悍、高效。1.8要能够查杀压缩文件中的病毒为了方便传输和携带，一般要对文件进行压缩。压缩文件中的二进制数据排列将和正常的文件不一样。隐藏在压缩包文件中的病毒代码也将发生改变。不同的压缩机制带来的改变也都各自不同，这就要求杀毒软件能适应各种不同的压缩软件，把握所有通用压缩格式的压缩算法，深切进入分析压缩文件，及时发现其中的病毒数据；去除各种压缩过的病毒。1.9强有力的数据恢复能力当数据遭到病毒毁坏时，杀毒软件应能提供给急恢复功能，修复被毁坏的硬盘分区表，恢复分区上数据。总之，病毒防护计划在现今的校园网中已经是不可或缺的事，病毒防护以防为主，怎样实现最大的防护效能，才是网络管理员考虑的重点。2WEB效劳器的安全办法本校采取的WEB效劳器为今最流行的IIS〔InternetInformationServer〕。IIS有强大的Internet和Intranet效劳功能，但同时具有很多的漏洞。怎样加强IIS的安全机制，建立一个高安全性能的Web效劳器，已成为IIS设置中不可忽视的主要构成部分。以下为在管理经过中采用的一些安全办法：2.1选择适宜的域环境安装系统安装IIS后，系统会自动生成IUSR_Computername匿名账户。该账户被添加到域用户组中，进而把应用于域用户组的访问权限传递给访问Web效劳器的相应匿名用户。这给IIS带来了潜在危险，而且威胁到整个域资源的安全。要尽可能避免把IIS安装在域控制器上，尤其是主域控制器。2.2选择合理的分区安装系统杜绝IIS安顿在系统分区上，使操作系统文件与IIS系统分别开来。这样那怕出现非法访问，非法用户也不容易侵入系统分区。2.3禁止Web的匿名效劳禁用Web的匿名效劳功能。本中心有一个WEB系统的内部网，也是基于IIS建立的，对于这个内部站点，则都采用内部用户验证。2.4合理配置文件夹和文件的访问权限对NTFS文件系统上的文件夹和文件，一方面要对其访问权限加以控制，对不同的用户组和用户进行不同的权限设置，规划好策略；另外，还要利用NTFS的审核功能对特定用户构成员的文件访问进行审核，通过监视文件访问及帐户异常情况等，及时发现非法用户进行非法活动的前兆，及时做好防备办法。这点应该是本人管理中最常用也是最繁琐的设置了，由于内部网上有不同的部门，因而根据不同部门来设置NTFS权限，许多问题都是由于过于严格的权限设置引起的，同时，对于一些敏感文件和目录能够进行审核，查看可疑的访问。2.5合理设置特定IP发来的效劳恳求IIS能够设置特定IP发来的效劳恳求，有选择地允许特定IP的用户访问效劳器。用户能够通过设置实现允许或阻拦特定的用户对WEB效劳器的合理访问。2.6禁用IP数据包转发功能IIS在数据包转发时，会无条件地将从Internet接收的数据转发到内部网中，这给恶意数据的传播提供了各种可能和方便，禁用这一功能不失为提升安全性的好办法。2.7脚本程序和数据的存储方式将脚本程序和数据分别存储在不同的目录下面，使包括脚本程序的目录只拥有履行答应权，杜绝数据被非法下载。2.8禁用.bat和.cmd等可履行文件的映射功能取消脚本程序所在目录的阅读答应权，就能够停用这些Web效劳器上的可履行文件的映射功能，即便黑客通过上传恶意文件也无法运行这些Web文件。2.9禁止使用DirectoryBrowsingAllowed〔允许目录浏览〕这一功能启动后浏览器会以列表的方式枚举目录文件，整个应用目录将暴露给用户，进而给黑客入侵带来更大的方便，包含下载数据库文件。2.10避免使用RemoteVirtualDirectories〔远程虚拟目录〕务必将IIS所有的可履行文件以及数据进行同机同盘安装，并利用NTFS的安全机制来保卫。当用户试图从远程目录访问文档时，老是使用输入到属性页上的用户名和口令，这就有可能绕过访问控制列表。2.11避免SQL注入所谓SQL注入，就是在Web表单递交、输入域名、页面恳求时，插入恶意的合法的SQL查询语句，最终到达欺骗效劳器来运行恶意的SQL命令。通过SQL命令能够对效劳器进行文件和数据库操作。避免SQL注入，重点要做好下面几点：2.11.1用正规表达式加强对用户的输入进行校验，或限制长度。2.11.2使用参数化的SQL，通过传入参数给存储经过进行数据查询存取。2.11.3去除数据库连接用户的管理员权限，并为每个数据库应用使用单独的用户进行数据库连接，合理分配数据库权限。2.11.4对敏感的信息要进行加密或者进行hash处理，如登录名和用户密码。2.11.5不直接抛出系统的错识信息，采取自定义的毛病信息对系统毛病信息进行二次包装。2.11.6采取最新注入检测方法进行系统检测。当前常用的方法是辅助软件法和平台检测法，辅助软件有：jsky，平台检测有：亿思网站安全平台检测工具、MDCSOFTSCAN、MDCSOFT-IPS等。2.12关闭不需要的端口正常情况下效劳器需要开通的端口有：80、21、25、110。关闭不需要的端口能够防止黑客有机可乘。另外，本人曾经使用微软推出的一款傻瓜式的IIS安全设置工具：IISLockTool。根据默认设置完后，系统的邮件效劳器MSExchange2000和部分的网站变得不能使用，出现一些意外的毛病，只好重装WWW效劳和邮件效劳。因而，在使用一些微软的傻瓜式工具时最好要做好复原的预备。由于微软系统的各款软件结合得很严密，一般的管理员不能完全了解其工作原理，部分的修改就有可能引起连锁反应。对于IISLockTool，本人最后采用的办法就是根据改软件说明，手工修改安全弥补办法。这样，即便某个更新引起了其他系统的不正常工作，能够及时恢复前一步的操作，进而恢复系统运行。3结束语校园网安全防护任重而道远，是一个的永远恒久工程。仅仅靠上面的这些设置方法，来保