服務(wù)器配置與管理論文范文(2)
服務(wù)器配置與管理論文范文
服務(wù)器配置與管理論文范文篇二
淺談校園網(wǎng)的服務(wù)器的安全配置管理
摘要: 網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)管理的重中之重,特別是學(xué)校校園網(wǎng)的安全直接關(guān)系到教育教學(xué)活動的正常進行,必須引起人們的高度重視。對安全問題的來源進行分析,有針對性地預(yù)防,可以提高校園網(wǎng)的安全水平。
關(guān)鍵詞:網(wǎng)絡(luò)安全;規(guī)劃設(shè)計;系統(tǒng)安全
中圖分類號:TP393.08
隨著高校信息化進程的推進,高校校園網(wǎng)上運行的應(yīng)用系統(tǒng)越來越多,信息系統(tǒng)變得越來越龐大和復(fù)雜。外部網(wǎng)主要實現(xiàn)校園網(wǎng)與Internet 的基礎(chǔ)接入。校園網(wǎng)絡(luò)擁有著大規(guī)模的、高速的、開放的網(wǎng)絡(luò)環(huán)境;支撐著復(fù)雜的網(wǎng)上應(yīng)用和業(yè)務(wù)類型;擁有著活躍的、不同使用水平的用戶群體。因此,安全風(fēng)險的防御問題也就變得較為嚴(yán)重和復(fù)雜。
1 安全問題來源分析
1.1病毒入侵嚴(yán)重
目前,網(wǎng)絡(luò)病毒層出不窮,傳播速度快、破壞性強、傳播范圍廣,時刻威脅著校園網(wǎng)的安全。大量病毒以電子郵件、網(wǎng)絡(luò)共享、網(wǎng)頁瀏覽、即時通信或主動掃描等方式,感染校園網(wǎng)的服務(wù)器和客戶機,導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”,嚴(yán)重時會造成網(wǎng)絡(luò)癱瘓。
1.2網(wǎng)絡(luò)的先天性不足
校園網(wǎng)絡(luò)一般基于Internet 技術(shù)構(gòu)建,并與Internet 相連。Internet 的互聯(lián)性和開放性給社會帶來極大效益的同時,入侵者也得到了更多的機會。[2]因為Internet 本身缺乏相應(yīng)的安全機制,不對機密信息和敏感信息提供保護。Web的精華是交互性,這也正是它的致命弱點。
1.3軟件系統(tǒng)的漏洞
沒有十全十美的軟件產(chǎn)品,系統(tǒng)中的安全漏洞和“后門”不可避免地存在。正是由于漏洞的存在,才讓黑客有了可乘之機。目前,在操作系統(tǒng)、通信協(xié)議、網(wǎng)絡(luò)應(yīng)用軟件中均不同程度地存在安全漏洞或安全缺陷。
2 配置安全服務(wù)器
2.1端口
端口是計算機和外部網(wǎng)絡(luò)相連的邏輯接口,也是計算機的第一道屏障,端口配置正確與否直接影響主機的安全。一般來說,僅打開必須的端口是最明智的安全做法,配置方法是在“網(wǎng)卡屬性→TCP/IP協(xié)議→高級→選項、→TCP/IP篩選”中啟用“TCP/IP篩選”。
2.2IIS
IIS是微軟組件中迄今為止發(fā)現(xiàn)漏洞最多的一個,特別是它的默認(rèn)安裝、此處應(yīng)重點進行配置;其一、徹底刪除系統(tǒng)盤(一般是C盤)的Inetpub目錄、到其它盤新建一個目錄、而且起名最好不是Inetpub。
再到IIS管理器中將主目錄指向這個新建的非系統(tǒng)盤目錄。
其二,刪除IIS安裝時默認(rèn)的Scripts等虛擬目錄、它們很容易暴露出本地網(wǎng)頁物理路徑。需要什么權(quán)限的目錄就自己建立一個,權(quán)限也一定要注意,特別是寫權(quán)限和執(zhí)行程序的權(quán)限。
其三,在IIS管理器中刪除必須之外的任何無用映射,必須指出的是ASP、ASA和其它需用到的文件類型%在IIS管理器中右擊“主機→屬性→www服務(wù)編輯→主目錄→配置→應(yīng)用程序映射” ,接著開始單獨刪除即可。[3]然后到應(yīng)用程序調(diào)試標(biāo)簽內(nèi)將腳本錯誤消息更改為發(fā)送文本。
最后,還可以使用IIS的備份功能,將上述的設(shè)定備份以便隨時恢復(fù)IIS的安全配置。如果擔(dān)心IIS負荷過大而導(dǎo)致服務(wù)器死機的話,可以在性能中打開CPU限制,將其使用率限制為80%。
2.3帳號安全
Windows 2000 Server默認(rèn)安裝后允許任何用戶通過139端口的空連接得到系統(tǒng)所有賬號名稱及共享列表。本來這是為方便校園局域網(wǎng)用戶共享文件設(shè)計的,但遠程用戶同樣也能得到這些敏感信息,從而使暴力破解用戶密碼成為可能。
打開注冊表編輯器,在“開始→運行”中填入“Regedit”并確定,找到Hkey_Local_Machines\Svstem\CnrrentControlSet\Control\LSA_RestrictAnonymous、令其值為“1",這樣即可禁止139端口的空連接訪問。
2.4安全日志
默認(rèn)情況下Windows 2000 Server未打開任何安全審核,所以必須打開“本地安全策略”→審核策略下的“審核”進行如下的設(shè)置:賬戶管理――(成功、失敗),登錄事件――(成功、失敗),對象訪問――(失敗), 策略更改――(成功、失敗),特權(quán)使用――(失敗),系統(tǒng)事件――(成功、失敗),目錄服務(wù)訪問――(失敗),賬戶登錄事件――(成功、失敗)。同時在“賬戶策略→密碼策略”中也要設(shè)置:密碼復(fù)雜性――啟用,密碼長度最小值――6位,強制密碼歷史――5次,最長存留期――30天;還要在“賬戶策略→賬戶鎖定策略”中設(shè)置:賬戶鎖定――3次錯誤登錄,鎖定時間――20分鐘,復(fù)位鎖定計數(shù)――20分鐘。[4]
3 網(wǎng)絡(luò)病毒的防護
為保證服務(wù)器的安全,除了服務(wù)器端的工作外,對網(wǎng)絡(luò)用戶的客戶端也采取了相應(yīng)措施,從有害攻擊的源頭抓起,對每個網(wǎng)絡(luò)用戶負責(zé)。
針對網(wǎng)絡(luò)時代病毒新的特點,在校園網(wǎng)上布置諾頓網(wǎng)絡(luò)防病毒系統(tǒng),網(wǎng)絡(luò)中心安裝諾頓防病毒服務(wù)器,每個校園網(wǎng)用戶可方便下載、安裝客戶端軟件,整個系統(tǒng)自動、快速升級,實現(xiàn)實時防毒控制。[5]這樣,有效地控制了造成重大危害的蠕蟲病毒在校園網(wǎng)上的傳播。
校園網(wǎng)設(shè)置防病毒、垃圾郵件網(wǎng)關(guān),對進出的郵件實時掃描、過濾,濾除有害的病毒郵件、垃圾郵件,并可設(shè)置靈活的針對特殊關(guān)鍵字的過濾,濾除有害信息。
4 管理員的安全意識
4.1管理模式
從網(wǎng)絡(luò)管理角度來看,在網(wǎng)絡(luò)管理中應(yīng)實施“A-C-S 角色管理模型”,即A:Administrator 系統(tǒng)管理員,負責(zé)承擔(dān)日常的例行維護,他是管理計算機系統(tǒng)的主要人員;C :Configuation Manager 配置管理員,負責(zé)進行計算機設(shè)備的資產(chǎn)管理、網(wǎng)絡(luò)參數(shù)( 如網(wǎng)絡(luò)地址子網(wǎng)掩碼)的分配和登記;S:Security Consultant安全管理員,負責(zé)評估和審核計算機系統(tǒng)的安全狀況,關(guān)注網(wǎng)絡(luò)安全動態(tài),調(diào)整相關(guān)安全設(shè)置,進行入侵防范,發(fā)出安全公告,緊急修復(fù)系統(tǒng)。上述三角色各有分工又相互協(xié)作,系統(tǒng)管理員接受安全管理員在安全方面的監(jiān)督,接納其安全建議;配置管理員統(tǒng)管網(wǎng)絡(luò)資源分配,進行整個網(wǎng)絡(luò)的調(diào)整,向系統(tǒng)管理員和安全管理員提供網(wǎng)絡(luò)參數(shù);安全管理員必須及時通知系統(tǒng)管理員相關(guān)的安全操作。
4.2堅持“最小授權(quán)”原則
網(wǎng)絡(luò)管理員要經(jīng)常性地查看服務(wù)器打開的服務(wù)端口和服務(wù)器的運行狀態(tài),關(guān)閉無需的服務(wù)端口。此外,管理員要經(jīng)常性地總結(jié)經(jīng)驗,通過查看服務(wù)器性能及運行狀態(tài),判斷服務(wù)器是否存在可能的危險,關(guān)閉不清楚的或不知的進程,盡可能地做到防微杜漸。[6]“最小授權(quán)”原則還要求網(wǎng)絡(luò)中帳號設(shè)置、服務(wù)配置、主機間信任關(guān)系配置等,應(yīng)該設(shè)為網(wǎng)絡(luò)正常運行所需的最小限度。
4.3口令安全策略
大多數(shù)黑客入侵,就是通過各種途徑取得管理員口令,因此,校園網(wǎng)管理員的口令安全策略顯得尤其重要。管理員口令安全策略主要有:
(1)不要使用比較容易猜的口令,最好使用字符和數(shù)字的混合口令。
(2)定期更換管理員口令。
(3 )設(shè)置系統(tǒng)安全策略,限制用戶錯誤口令登錄次數(shù),防止用戶枚舉性地試探猜測管理員口令。
參考文獻:
[1] 龔靜. 高校校園網(wǎng)的安全與防護[J]. 教育信息化 ,2005,(04) .
[2] 董慧娟. 校園網(wǎng)的網(wǎng)絡(luò)安全策略[J]. 無錫職業(yè)技術(shù)學(xué)院學(xué)報 ,2005,(02) .
看了“服務(wù)器配置與管理論文范文”的人還看: