摘 要:本文结合本校的实际情况,从病毒防范及服务器安全策略两方面初步探讨校园网的一些安全防范措施
关键词:校园网;病毒防范;WEB服务器
引 言
随着现代互联网技术的飞速发展和高校信息化建设的全面推进,校园网已经成为高等院校的重要基础设施之一。然而网络的开放性和国际化,使得各种网络安全问题日益突出。本文结合本校的实际情况,从病毒防范及服务器安全策略两方面初步探讨校园网的一些安全防范措施。
1 病毒的防护
校园网应用的普及,使得网络病毒的传播更为广泛、复杂,危害性更大 。作为学校的网络管理员,时常困扰的问题就是受到病毒攻击,用户不时的抱怨又染上病毒了,为此占用了很多的维护时间。安装和维护整个PC系统的防毒软件不仅费时费力,还要有相当可观的资金投入。因此,所有针对网络环境的防毒方案都应该能够提供集中管理和远程网管功能,即能从一个工作站对网内所有设施进行防毒软件安装和维护。对于杀毒软件,除了正常的查杀功能以外,还提出了更高的要求
1.1 服务器远程自动安装防毒软件
只需在杀毒软件控制中心的服务器列表中选择需要保护的服务器,防毒软件就能为相应的服务器安装杀毒软件并起动病毒保护软件,实时监控目标系统。
1.2 工作站远程自动安装防毒软件
所有与杀毒软件服务器相连的工作站,都能通过服务器的杀毒软件控制中心进行远程的软件安装、升级。防毒软件会确保所有工作站都有一定的优先级,保证不从常驻内存中退出而失去保护作用,这样就可以大大方便系统的管理。
1.3 防毒软件自动更新升级功能
防毒程序必须具有实时地从指定的中心服务器上升级最新的病毒库,并将最新的病毒库文件定时分发到网络上的每个客户端。
1.4 防毒软件配置灵活个性化
对客户机的防毒软件要做到几点:设置定期分析;自定义扫描文件扩展名; CPU占用等级调整;报警信息的接收设置。
1.5 动态反应整个网络的防毒情况
防毒软件必须能及时报告网内所有服务器和工作站的病毒查杀情况。从中心服务器上,可以查看每台客户机的防毒情况,如果有中毒了,就会有红色警示,网络管理员就可以在服务器上查看查毒记录并采取相应措施杀毒。
1.6 杀毒软件的病毒查杀数、查杀率、反应速度是反病毒产品性能的重要指标。
杀毒软件要能查杀更多的病毒,并且要高效,占用资源要足够小。对病毒库更新要及时(一般一天升级一次),还应要求在杀毒时不破坏原有文件,运行可靠。学校以前在安装了一些单机版的杀毒软件时,时常出现死机现象,影响了原来系统的正常运作。
1.7 采用具有实时反病毒的主动防疫技术
实时防毒技术就是在线监视系统状况,对病毒传播的各种途径如U盘、光盘、网络、网络驱动器等媒介进行严密的封锁,对进入系统的病毒数据即时报警、查杀和阻断,将病毒阻止在操作系统之外。这种技术要求在操作系统最底层打上反病毒补丁,使操作系统具备反病毒功能,该反病毒功能具有最高的优先权。采用这种技术要保证不影响系统与应用程序之的兼容性,还要注意系统常驻内存代码的效率问题,代码要做到短小、精悍、高效。
1.8 要能够查杀压缩文件中的病毒
为了方便传输和携带,一般要对文件进行压缩。压缩文件中的二进制数据排列将和正常的文件不一样。隐藏在压缩包文件中的病毒代码也将发生改变。不同的压缩机制带来的改变也都各自不同,这就要求杀毒软件能适应各种不同的压缩软件,掌握所有通用压缩格式的压缩算法,深入分析压缩文件,及时发现其中的病毒数据;清除各种压缩过的病毒。
1.9 强有力的数据恢复能力
当数据遭到病毒破坏时,杀毒软件应能提供应急恢复功能,修复被破坏的硬盘分区表,恢复分区上数据。
总之,病毒防护计划在现今的校园网中已经是不可或缺的事,病毒防护以防为主,如何实现最大的防护效能,才是网络管理员考虑的重点。
2 WEB服务器的安全措施
本校采用的WEB服务器为今最流行的IIS(Internet Information Server)。IIS有强大的Internet和Intranet服务功能,但同时具有许多的漏洞。如何加强IIS的安全机制,建立一个高安全性能的Web服务器,已成为IIS设置中不可忽视的重要组成部分。以下是在管理过程中采取的一些安全措施:
2.1 选择合适的域环境安装系统
安装IIS后,系统会自动生成IUSR_Computername匿名账户。该账户被添加到域用户组中,从而把应用于域用户组的访问权限传递给访问Web服务器的相应匿名用户。这给IIS带来了潜在危险,并且威胁到整个域资源的安全。要尽可能避免把IIS安装在域控制器上,尤其是主域控制器。
2.2 选择合理的分区安装系统
杜绝IIS安放在系统分区上,使操作系统文件与IIS系统分别开来。这样那怕出现非法访问,非法用户也不容易侵入系统分区。
2.3 禁止Web的匿名服务
禁用Web的匿名服务功能。本中心有一个WEB系统的内部网,也是基于IIS建立的,对于这个内部站点,则都采取内部用户验证。
2.4 合理配置文件夹和文件的访问权限
对NTFS文件系统上的文件夹和文件,一方面要对其访问权限加以控制,对不同的用户组和用户进行不同的权限设置,规划好策略;另外,还要利用NTFS的审核功能对特定用户组成员的文件访问进行审核,通过监视文件访问及帐户异常情况等,及时发现非法用户进行非法活动的前兆,及时做好防范措施。这点应该是本人管理中最常用也是最繁琐的设置了,因为内部网上有不同的部门,因此根据不同部门来设置NTFS权限,很多问题都是由于过于严格的权限设置引起的,同时,对于一些敏感文件和目录可以进行审核,查看可疑的访问。
2.5 合理设置特定IP发来的服务请求
IIS可以设置特定IP发来的服务请求,有选择地允许特定IP的用户访问服务器。用户可以通过设置实现允许或阻止特定的用户对WEB服务器的合理访问。
2.6 禁用IP数据包转发功能
IIS在数据包转发时,会无条件地将从Internet接收的数据转发到内部网中,这给恶意数据的传播提供了各种可能和便利,禁用这一功能不失为提高安全性的好办法。
2.7 脚本程序和数据的存储方式
将脚本程序和数据分别存储在不同的目录下面,使包含脚本程序的目录只拥有执行许可权,杜绝数据被非法下载。
2.8 禁用.bat和.cmd等可执行文件的映射功能
取消脚本程序所在目录的阅读许可权,就可以停用这些Web服务器上的可执行文件的映射功能,即使黑客通过上传恶意文件也无法运行这些Web文件。
2.9 禁止使用Directory Browsing Allowed(允许目录浏览)
这一功能启动后浏览器会以列表的方式枚举目录文件,整个应用目录将暴露给用户,从而给黑客入侵带来更大的便利,包括下载数据库文件。
2.10 避免使用Remote Virtual Directories(远程虚拟目录)
务必将IIS所有的可执行文件以及数据进行同机同盘安装,并利用NTFS的安全机制来保护。当用户试图从远程目录访问文档时,总是使用输入到属性页上的用户名和口令,这就有可能绕过访问控制列表。
2.11 避免SQL注入
所谓SQL注入,就是在Web表单递交、输入域名、页面请求时,插入恶意的合法的SQL查询语句,最终达到欺骗服务器来运行恶意的SQL命令。通过SQL命令可以对服务器进行文件和数据库操作。
避免SQL注入,重点要做好以下几点:
2.11.1 用正规表达式加强对用户的输入进行校验,或限制长度。
2.11.2 使用参数化的SQL,通过传入参数给存储过程进行数据查询存取。
2.11.3 去除数据库连接用户的管理员权限,并为每个数据库应用使用单独的用户进行数据库连接,合理分配数据库权限。
2.11.4 对敏感的信息要进行加密或者进行hash处理,如登录名和用户密码。
2.11.5 不直接抛出系统的错识信息,采用自定义的错误信息对系统错误信息进行二次包装。
2.11.6 采用最新注入检测方法进行系统检测。目前常用的方法是辅助软件法和平台检测法,辅助软件有:jsky,平台检测有:亿思网站安全平台检测工具、MDCSOFT SCAN、MDCSOFT-IPS等。
2.12 关闭不必要的端口
正常情况下服务器需要开通的端口有:80、21、25、110。关闭不必要的端口可以防止黑客有机可乘。
另外,本人曾经使用微软推出的一款傻瓜式的IIS安全设置工具:IIS Lock Tool。按照默认设置完后,系统的邮件服务器MSExchange2000和部分的网站变得不能使用,出现一些意外的错误,只好重装WWW服务和邮件服务。因此,在使用一些微软的傻瓜式工具时最好要做好还原的准备。因为微软系统的各款软件结合得很紧密,一般的管理员不能完全了解其工作原理,部分的修改就有可能引起连锁反应。对于IIS Lock Tool,本人最后采取的措施就是按照改软件说明,手工修改安全补救措施。这样,即使某个更新引起了其他系统的不正常工作,可以及时恢复前一步的操作,从而恢复系统运行。
3 结束语
校园网安全防护任重而道远,是一个的永恒工程 。仅仅靠上面的这些设置方法 ,来保护我们的网络是远远不够的 ,必须把各种安全施有机地结合起来,并加以合理的运用,从而为师生建立一个安全、方便、健康的网络环境。
参考文献:
[1] 刘 文.高职院校校园网络安全[J] . 软件导刊. 2011(7)
[2] 李 萌.校园网安全分析及安全防范[J] . 电脑学习 2010(1):
[3] 孙庆利.浅谈校园网安全问题及解决办法[J] .信息与电脑 2010(1)
