校园网中的网络安全问题浅谈

刘庆瑜

（宁波大红鹰职业技术学院软件学院，浙江  宁波   315175）

摘要：随着我国教育部"信息技术课程"和"校校通"工程的进一步普及，学校都具备了网络环境。但同时校园网的网络安全问题也变得越来越突出起来，网络安全越来越受到人们的重视。通过对校园网的安全风险分析，提出了网络安全防范和校园网建设的对策。 

关键词： 校园网，网络安全，安全措施

近年来，随着Internet的迅速普及和“教育要面向现代化，面向世界”指导思想的贯彻实施，各大中专院校及中小学相继建成或正在建设校园网。随”校校通”工程的深入开展，许多学校都建立了校园网络并投入使用，校园网的建成，使学校实现了管理网络化和教学手段现代化，这对于提高学校的管理水平和教学质量具有十分重要的意义。这无疑对加快信息处理，提高工作效率，减轻劳动强度，实现资源共享都起到无法估量的作用。但在积极发展办公自动化、实现资源共享的同时，人们对校园网络的安全也越加重视。越来越多的病毒和黑客入侵使人们更加深刻的认识到了网络安全的重要。正如人们所说的：网络的生命在于其安全性。因此，如何在现有的条件下，如何搞好网络的安全，就成了网络管理人员的一个重要课题。

目前，许多学校的校园网都以WINDOWS 2000 server做为系统平台，由IIS(Internet Information Server)提供WEB等等服务。下面本人结合自己对WINDOWS NT网络管理的一点经验与体会，就技术方面谈谈自己对校园网安全的一些看法。

一、密码的安全

众所周知，用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。目前发现的大多数安全问题，是由于密码管理不严，使”入侵者”得以趁虚而入。因此密码口令的有效管理是非常基本的，也是非常重要的。

在密码的设置安全上，首先绝对杜绝不设口令的帐号存在，尤其是超级用户帐号。一些网络管理人员，为了图方便，认为服务服务器只由自己一个人管理使用，常常对系统不设置

作者简介：刘庆瑜，男，宁波大红鹰职业技术学院软件学院网络系助教

密码。这样，”入侵者”就能通过网络轻而易举的进入系统。笔者曾经就发现并进入多个这样的系统。另外，对于系统的一些权限，如果设置不当，对用户不进行密码验证，也可能为”入侵者”留下后门。

其次，在密码口令的设置上要避免使用弱密码，就是容易被人猜出字符作为密码。在可能被猜解的密码中，他们的共同特点就是利用自己名字的缩写或6位相同的数字进行密码设置。

密码的长度也是设置者所要考虑的一个问题。在WINDOWS 2000server系统中，有一个sam文件，它是windows 2000 server的用户帐户数据库，所有用户的登录名及口令等相关信息都会保存在这个文件中。如果”入侵者”通过系统或网络的漏洞得到了这个文件，就能通过一定的程序（如SAM暴力猜解工具）对它进行解码分析。在用软件破解时，如果使用

”暴力破解”方式对所有字符组合进行破解，那么对于5位以下的密码它最多只要用十几分钟

就完成，对于6位字符的密码它也只要用十几小时，但是对于7位或以上它至少耗时一个月左右，所以说，在密码设置时一定要有足够的长度。总之在密码设置上，最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外，适当的交叉使用大小写字母也是增加被破解难度的好办法。

  一般而言，安全的口令有以下特点： 

（1）至少7位字符，系统用户一定要用8位字符的口令; 

（2）大小写字母混合，把数字无序的插在字母中; 

（3）口令中包含“~ ！# ￥ %  * ？ { } ”等符号; 

（4）不使用英语单词，不使用个人信息（如生日， 姓名等）; 

（5）不在不同系统上使用同一口令. 

二、系统的安全

流行于网络上的“冲击波”、“振荡波”及“狙击波”等病毒都利用系统的漏洞进行传播。从目前来看，各种系统或多或少都存在着各种的漏洞，系统漏洞的存在就成网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起“冲击波”、“振荡波”及“狙击波”病毒的传播流行的RPC漏洞，早就被发现，且没隔多久就有了解决方案和补丁，但是许多的网络管理员并没有知道及时的发现和补丁，以至于到了现在，仍有机器感染此类病毒，而造成系统重启等问题出现。

在校园网中的服务器，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因些从安全角度考虑，应将不必要的服务关闭，只向公众提供他们所需的基本的服务。最典型的是，在校园网服务器中对公众通常只提供WEB服务功能，而没有必要向公众提供FTP功能，这样，在服务器的服务配置中，我们只开放WEB服务，而将FTP服务禁止。如果要开放FTP功能，就一定只能向可能信赖的用户开放，因为通过FTP用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

在WINDOWS 中使用的IIS，是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，为了加大安全性，在安装配置时可以注意以下几个方面:

首先，不要将IIS安装在默认目录里(默认目录为C:/Inetpub)。

其次，IIS在安装后，会在目录中产生如scripts。等默认虚拟目录，而该目录有执行程序的权限，这对系统的安全影响较大，许多漏洞的利用都是通过它进行的。因此，在安装后，应将所有不用的虚拟目录都删除掉。可以在其它逻辑盘中重新建一个目录，并在IIS管理器中将主目录指向新建的目录。

第三，在安装IIS后，要对应用程序进行配置，在IIS管理器中删除必须之外的任何无用映射，只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重，尽量不要给可执行权限。

三、目录共享的安全

在校园网络中，利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但在设置过程中，要充分认识到当一个目录共享后，就不光是校园网内的用户可以访问到，而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。有些用户为了访问方便，在共享硬盘时，将整个C盘、D盘进行共享，并且在共享时将属性设置为完全共享，且不进行密码保护，这样只要将其映射成一个网络硬盘，就能对上面的资料、文档进行查看、修改、删除。所以，为了防止资料的外泄，在设置共享时一定要设定访问密码。只有这样，才能保证共享目录资料的安全。

四、木马的防范

相信木马对于大多数人来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马，它就变成了一台傀儡机，对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前，隐私?不复存在。木马，应该说是网络安全的大敌。并且在进行的各种入侵攻击行为中，木马都起到了开路先锋的作用。

木马感染通常是执行了一些带毒的程序，而驻留在你的计算机当中，在以后的计算机启动后，木马就在机器中打开一个服务，通过这个服务将你计算机的信息、资料向外传递，

在各种木马中，现在功能比较强大且较常见的是”灰鸽子”，笔者也曾用灰鸽子扫描器扫描过网络上的计算机，都会发现多个感染“灰鸽子”的机器。由此可见，个人用户中感染木马的可能性还是比较高的。如果是服务器感染了木马，危害更是可怕。

木马的清除一般可以通过各种杀毒软件来进行查杀。但对于新出现的木马，我们的防治可以通过端口的扫描来进行，端口是计算机和外部网络相连的逻辑接口，我们平时多注意一下服务器中开放的端口，如果有一些新端口的出现，就必须查看一下正在运行的程序，以及注册表中自动加载运行的程序，来监测是否有木马存在。

五、设置防火墙 

防火墙是设置在不同网络之间的一系列软硬件的组合，它在校园网与Internet网络之间执行访问控制策略，决定哪些内部站点允许外界访问和允许访问外界，从而保护内部网免受非法用户的入侵。它是保护校园网的又一道屏障。 

  防火墙有三种基本类型:IP数据过滤，应用层网关和电路层网关.防火墙有各种各样的配置方法.及配置将依赖站点的特殊安全策略，预算以及全面规划等. 

 （1）  IP数据包过滤防火墙是必须的，尤其是使用静态IP地址的校园网.包过滤防火墙通常存在于多端口的路由器上，通常配置其中的访问控制列表(ACL)可以决定是否转发或丢弃来自外部的数据包.在原有的网络上增加这样的防火墙几乎不需要任何额外的费用，而且它逻辑简单，易于安装和使用，这对资金力量较为尴尬的中小学而言更为合适. 

 （2）  应用层防火墙是可选的.这种防火墙是在网络应用层上建立协议过滤和转发功能.典型的应用层防火墙是各种应用代理，这种代理服务使网络的内，外部之间不会有直接的IP报文交换，所有应用的数据据均由防火墙进行过滤和转发.因此，应用层防火墙能够让网络管理员对服务进行全面的控制.但是，它的最大缺点是要求在访问代理服务的每个系统上安装特殊的用户端软件，这样既了新应用的引入，又影响了效率，而且当该防火墙不能再工作时，对应的网络服务也就不存在了.因此，网络管理员要在机构安全需要和系统的易用性方面做出平衡. 

  （3）  对于专线接入Internet 网的校园网不要允许网上的机器通过Modem直接接入外部网.因为"堡垒最容易从内部被攻破".如果有校园网用户下载一个包含恶意代码的程序在本地运行，就很可能泄密敏感信息，或对系统进行破坏. 

必须明确，防火墙不是解决所有网络安全问题的灵丹妙药，比如，它不能抵御来自来自校园网内部的攻击.因此，不能认为建立了防火墙便万事大吉，它只能是网络安全策略的一部分，只能解决网络安全的部分问题，任何时候都不能放松警惕. 

当然在做好网络设置的同时，也要对内部的使用进行规范，建立健全的网络管理制度，对于内部数据安全来说，还要定时进行备份。

以上是对校园网络中的安全问题的一个简单讨论，总的来说，要使校园网络环境更加安全，稳定，就要从各个细节地方做起，从基本的使用习惯做起，从基本的网络环境配置做起，做到“堵小漏洞，防大漏洞”，以达到最终校园网的安全，稳定运行。

参考文献

[1] 郭军.网络管理[M].北京:北京邮电大学出版社，2001

[2] 劳帼龄.网络安全与管理[M]北京:高等教育出版社，2003

[3] 祁明.网络安全与保密[M]北京:高等教育出版社，2001

[4] 冯登国.计算机通信网络安全[M]北京:清华大学出版社，2001

  The problems of network security of the campus networks 

Liu Qing Yu

(Ningbo Dahongying Vocational Technical College，Ningbo 315175，China)

Abstract：As Chinese Ministry of Education’s project of " the Information Technology Course" and "the Connection Between Universities" are popularized further， the universities have set up the network environment. But the problems of network security of the campus networks become more and more severe at the same time，the security of networks has been regarded by more and more people. This paper proposes the strategy of the protection of network safety and the construction of campus networks by analyzing risks in security of campus network..

keywords： campus networks；network security；safety precautions