浅谈校园网的服务器的安全配置管理.docVIP

浅谈校园网的服务器的安全配置管理 　　摘要： 网络安全管理是网络管理的重中之重，特别是学校校园网的安全直接关系到教育教学活动的正常进行，必须引起人们的高度重视。对安全问题的来源进行分析，有针对性地预防，可以提高校园网的安全水平。 　　关键词：网络安全；规划设计；系统安全 　　中图分类号：TP393.08 　　随着高校信息化进程的推进，高校校园网上运行的应用系统越来越多，信息系统变得越来越庞大和复杂。外部网主要实现校园网与Internet 的基础接入。校园网络拥有着大规模的、高速的、开放的网络环境；支撑着复杂的网上应用和业务类型；拥有着活跃的、不同使用水平的用户群体。因此，安全风险的防御问题也就变得较为严重和复杂。 　　1 安全问题来源分析 　　1.1病毒入侵严重 　　目前，网络病毒层出不穷，传播速度快、破坏性强、传播范围广，时刻威胁着校园网的安全。大量病毒以电子邮件、网络共享、网页浏览、即时通信或主动扫描等方式，感染校园网的服务器和客户机，导致网络的“拒绝服务”，严重时会造成网络瘫痪。 　　1.2网络的先天性不足 　　校园网络一般基于Internet 技术构建，并与Internet 相连。Internet 的互联性和开放性给社会带来极大效益的同时，入侵者也得到了更多的机会。[2]因为Internet 本身缺乏相应的安全机制，不对机密信息和敏感信息提供保护。Web的精华是交互性，这也正是它的致命弱点。 　　1.3软件系统的漏洞 　　没有十全十美的软件产品，系统中的安全漏洞和“后门”不可避免地存在。正是由于漏洞的存在，才让黑客有了可乘之机。目前，在操作系统、通信协议、网络应用软件中均不同程度地存在安全漏洞或安全缺陷。 　　2 配置安全服务器 　　2.1端口 　　端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响主机的安全。一般来说，仅打开必须的端口是最明智的安全做法，配置方法是在“网卡属性→TCP/IP协议→高级→选项、→TCP/IP筛选”中启用“TCP/IP筛选”。 　　2.2IIS 　　IIS是微软组件中迄今为止发现漏洞最多的一个，特别是它的默认安装、此处应重点进行配置；其一、彻底删除系统盘（一般是C盘）的Inetpub目录、到其它盘新建一个目录、而且起名最好不是Inetpub。 　　再到IIS管理器中将主目录指向这个新建的非系统盘目录。 　　其二，删除IIS安装时默认的Scripts等虚拟目录、它们很容易暴露出本地网页物理路径。需要什么权限的目录就自己建立一个，权限也一定要注意，特别是写权限和执行程序的权限。 　　其三，在IIS管理器中删除必须之外的任何无用映射，必须指出的是ASP、ASA和其它需用到的文件类型%在IIS管理器中右击“主机→属性→www服务编辑→主目录→配置→应用程序映射” ，接着开始单独删除即可。[3]然后到应用程序调试标签内将脚本错误消息更改为发送文本。 　　最后，还可以使用IIS的备份功能，将上述的设定备份以便随时恢复IIS的安全配置。如果担心IIS负荷过大而导致服务器死机的话，可以在性能中打开CPU限制，将其使用率限制为80%。 　　2.3帐号安全 　　Windows 2000 Server默认安装后允许任何用户通过139端口的空连接得到系统所有账号名称及共享列表。本来这是为方便校园局域网用户共享文件设计的，但远程用户同样也能得到这些敏感信息，从而使暴力破解用户密码成为可能。 　　打开注册表编辑器，在“开始→运行”中填入“Regedit”并确定，找到Hkey_Local_Machines＼Svstem＼CnrrentControlSet＼Control＼LSA_RestrictAnonymous、令其值为“1，这样即可禁止139端口的空连接访问。 　　2.4安全日志 　　默认情况下Windows 2000 Server未打开任何安全审核，所以必须打开“本地安全策略”→审核策略下的“审核”进行如下的设置：账户管理――（成功、失败），登录事件――（成功、失败），对象访问――（失败）， 策略更改――（成功、失败），特权使用――（失败），系统事件――（成功、失败），目录服务访问――（失败），账户登录事件――（成功、失败）。同时在“账户策略→密码策略”中也要设置：密码复杂性――启用，密码长度最小值――6位，强制密码历史――5次，最长存留期――30天；还要在“账户策略→账户锁定策略”中设置：账户锁定――3次错误登录，锁定时间――20分钟，复位锁定计数――20分钟。[4] 　　3 网络病毒的防护 　　为保证服务器的安全，除了服务器端的工作外，对网络用户的客户端也采取了相应措施，从有害攻击的源头抓起，对每个网络用户负责。