校园网安全防护策略

叶　涌　陈晓本

摘 要：本文通过对当前校园网面临的潜在安全威胁的具体分析，提出了校园网安全防护策略，其中重点阐述了信息安全防范策略。笔者长期从事军训网的管理及维护工作，根据实际工作经验总结出了如何通过编写设备层ACL、如何配置网络服务器（Windows Server），来保障校园网的信息安全，具有较高的实用价值。

关键词：校园网 信息安全 密钥 ACL

中图分类号：TP393.18 文献标识码：A 文章编号：1673-8454（2009）09-0028-03

随着计算机网络技术的不断发展，教育信息化、校园网络化作为网络时代的教育方式和环境，已经成为教育发展的方向。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络中存在着自然和人为等诸多不确定因素威胁着网上信息和设备安全。

一、威胁网络安全的因素

（1）自然灾害；（2）人祸，如计算机病毒、失职；（3）事故，如火灾、停电等意外事故；（4）犯罪和非法使用。

二、威胁网络安全的常见方式

（1）计算机病毒；（2）信息泄密、篡改；（3）非授权访问；（4）资源的错误使用。

三、校园网安全防护策略

1.物理安全策略

物理安全策略的目的是保护网络硬件设备和通信链路免受自然灾害、人为破坏，确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

2.设备层的访问控制策略

访问控制是网络信息安全防范和保护的主要策略，是保护网络体系的基本机制。它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。防火墙和所有的三层交换设备都支持访问控制。防火墙为网络访问提供了第一层访问控制，它控制哪些用户能够登录到服务器并获取网络资源；三层交换设备则通过合理划分VLAN（Virtual Local Area Network，虚拟局域网）和配置ACL（Access Control List，访问控制列表）对内网用户进行分类，抑制网络风暴、保护用户终端安全。

（１）防火墙

防火墙是一种保护计算机网络安全的技术性措施，它是一个用以阻止黑客访问校园网的屏障。防火墙的主要功能是：根据安全规则，对于任何外网对内网的行为进行认证，对外网应尽可能地屏蔽内网的信息、结构和运行状态，而对合法用户则允许进入内网并仅限于进行合法操作，对未经授权的用户应限制在防火墙之外。此外通过在防火墙上实现日志服务，安全管理员可以监视所有来自外网的访问。

（２）交换设备的安全控制

三层交换设备通过划分VLAN有效减少广播风暴。管理子网和服务器子网不允许其他网段访问。在关键业务子网设置ACL，实现单向访问。在端口上针对特殊用户做端口安全保护，结合ACL实现端口间不能互访。通过IP与MAC绑定对用户身份进行鉴别。为确保交换设备安全，除管理VLAN能Telnet到任意交换机外，其它任何IP不能登录到交换机。

我们以CISCO设备为例，来看一下如何通过合理配置交换机的ACL来实现关键业务子网的单向访问并限制非法IP登录交换机（只有管理子网可以登录）。假设管理子网为192.168.1.0/24；关键业务子网为192.168.2.0/24（vlan 4）。

ACL配置

(编写访问控制列表)

S1 (config) #access-list 101 permit tcp any 192.168.2.00.0.0.255 established

S1 (config) #access-list 101 permit udp any any

S1 (config) #access-list 101 permit icmp any any echo-reply

S1 (config) #access-list 12 permit 192.168.1.0

S1 (config-if) #interface vlan 4 （进入ＶＬＡＮ ４ 配置模式）

S1 (config-if) #ip access-group 101 out（应用访问控制列表）

S1 (config-if) #exit

S1 (config) #line vty 0 4

S1 (config-line) # access-class 12 in（应用访问控制列表）

S1 (config) #snmp-serverr community public RO（添加ＳＮＭＰ协议读字符串）

S1 (config) #snmp-serverr community private RW （添加ＳＮＭＰ协议写字符串）

S1 (config) #end （离开全局模式）

S1 #copy running-config start-config（保存设置）

3.服务器安全控制

目前，被广泛使用的网络操作系统都存在各种各样的安全问题，许多新型计算机病毒利用操作系统的漏洞进行传染。若不对操作系统进行及时更新，弥补各种漏洞，计算机即使安装了防毒软件也会反复感染。

任何操作系统的主要漏洞都是由于用户和组、文件系统、策略、系统默认值以及Bug等因素造成的。Windows还有一个其他操作系统所未具备的且易受攻击的漏洞，即注册表。Windows的注册表必须要安全保护。除了及时更新系统漏洞、升级病毒库外，针对Windows Server网络操作系统，建议具体安全设置如下。

（１）停掉Ｇｕｅｓｔ账号

在计算机管理用户里把Gｕｅｓｔ账号停用。为保险起见给Gｕｅｓｔ加一个复杂的密码。

（２）限制不必要的用户数量

去掉所有Dｕｐｌｉｃａｔｅ Uｓｅｒ账户和测试用账户。用户组策略设置相应权限，并且经常检查系统的账户，删除已经不使用的账户。

（３）创建两个管理员用账号

创建一个一般权限账号用来收信以及处理一些日常事物，另一个拥有Ａｄｍｉｎｉｓｔｒａｔｏｒｓ权限的账户只在需要的时候使用。可以让管理员使用“ＲｕｎＡＳ”命令来执行一些需要特权才能做的工作，以方便管理。

（４）把系统Aｄｍｉｎｉｓｔｒａｔｏｒ账号改名

众所周知，ｗｉｎ２０００的Aｄｍｉｎｉｓｔｒａｔｏｒ账号是不能被停用的。把Ａｄｍｉｎｉｓｔｒａｔｏｒ账户改名，伪装成普通用户，可以防止恶意攻击。

（５）创建陷阱账号

什么是陷阱账号?创建一个名为“Administrator”的本地账户，把它的权限设置成最低，不能执行任何任务，并且加上一个超过16位的超级复杂密码。这样可以让那些恶意攻击者忙上一段时间了，并且可以借此发现他们的入侵企图。或者在它的login scripts上面进行修改。

（６）把共享文件的权限从“ｅｖｅｒｙｏｎｅ”组改成“授权用户”

“everyone”在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组。

（７）关闭不必要的服务

win2000的Terminal Services，IIS（Inter-IC Sound bus）和RAS（Remote Access Sytem）都可能给你的系统带来安全漏洞。为了实现远程管理服务，很多机器的终端服务都是开启的，如果你的也开了，要确认你已经正确地配置了终端服务。有些恶意的程序也能以服务方式悄悄地运行。用户要留意服务器上面开启的所有服务，每天检查它们。

（８）关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要你做一点决策。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。

关闭端口的具体方法为：

网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性，打开tcp/ip筛选，添加需要的tcp，udp协议即可。

（９）打开审核策略

开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式入侵的时候，都会被安全审核记录下来。

（１０）禁止建立空连接

默认情况下，任何用户通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous的值改成“1”即可。

（１１）禁止ｄｕｍｐ ｆｉｌｅ的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感信息。要禁止它，需打开“控制面板>系统属性>高级>启动和故障恢复”把“ 写入调试信息”改成无。

（１２）使用文件加密系统ＥＦＳ

Win2000强大的加密系统能够给磁盘、文件夹、文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。

（１３）加密ｔｅｍｐ文件夹

一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

（１４）关机时清除掉页面文件

页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。要想在关机的时候清除页面文件，可以通过编辑注册表：

HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management

把ClearPageFileAtShutdown的值设置成1。

此外，还有诸如使用安全密码、关闭默认共享、开启账户策略、锁住注册表等常用手段，本文就不再详述了。

4.信息传输的加密策略

信息在网上传输过程中极易被黑客非法截获，如果信息以明文的形式存在，信息安全就会受到巨大威胁，信息加密的目的是保护网上传输数据的安全。网络信息传输常用的加密算法有对称密钥加密、非对称密钥加密和单向加密。

在常规密码（对称密钥）中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。常规密码中影响最大的是DES密码。常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。

在公钥密码（非对称密钥）中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。最有影响的公钥密码算法是RSA，它能抵抗目前为止已知的大部分密码攻击。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便地实现数字签名和验证（用于身份鉴别）。但其算法复杂，加密数据的速率较低。

在实际应用中，我们通常将常规密码和公钥密码结合在一起使用，在强度和效率之间寻求最佳契合点，同时完成对身份有效性的验证。实践中可以通过PGP（第三方加密软件）利用DES（数据加密标准）或者IDEA（国际数据加密算法）来加密信息，采用RSA来传递会话密钥。

密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

四、结束语

随着计算机技术和通信技术的发展，计算机网络作为重要信息交换手段，将会逐步渗透到社会生活、工作、学习的各个领域。网络安全所涉及的因素繁杂，而不同的安全策略和安全服务要由不同的安全机制来落实。因此，在网络建立时要综合利用操作系统的安全管理能力和多种安全机制增强网络的安全性，在网络运行过程中要不断地检测网络入侵、审核安全记录、检查是否有安全漏洞，以便及时发现问题并处理。在安全策略中还应考虑对网内用户进行素质教育，提高安全意识，通过完善的安全管理规章制度来规范上网人员的行为，只有全方位地考虑才

能真正保证网络的安全性。

参考文献：

[1]刘德军,乔佩利.数据加密及其在数字签名中的应用[J].信息技术，2002(3).

[2](美)韦斯特耐特.TCP/IP与网络体系结构[M].北京：中国电力出版社,2000.