求:《校園網建設及安全策略》方面的碩士畢業論文
校園網絡安全初探
[摘要] 安全越來越受到人們的重視,本文結合筆者在網絡管理的壹些經驗體會,從密碼安全、系統安全、***享目錄安全和木馬防範方面,對校園網的安全談了自己的看法和做法,供大家。
[關鍵詞] 網絡 安全 黑客隨"校校通"工程的深入開展,許多學校都建立了校園網絡並投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源***享都起到無法估量的作用。但在積極辦公自動化、實現資源***享的同時,人們對校園網絡的安全也越加重視。尤其最近暴發的"紅色代碼"、"藍色代碼"及"尼姆達"病毒,使人們更加深刻的認識到了網絡安全的重要。正如人們所說的:網絡的生命在於其安全性。因此,如何在現有的條件下,如何搞好網絡的安全,就成了網絡管理人員的壹個重要課題。,許多學校的校園網都以WINDOWS NT做為系統平臺,由IIS(Internet Information Server)提供WEB等等服務。下面本人結合自己對WINDOWS NT網絡管理的壹點經驗與體會,就技術方面談談自己對校園網安全的壹些看法。壹、密碼的安全眾所周知,用密碼保護系統和數據的安全是最經常采用也是最初采用的之壹。目前發現的大多數安全,是由於密碼管理不嚴,使 "入侵者"得以趁虛而入。因此密碼口令的有效管理是非常基本的,也是非常重要的。在密碼的設置安全上,首先絕對杜絕不設口令的帳號存在,尤其是超級用戶帳號。壹些網絡管理人員,為了圖方便,認為服務服務器只由自己壹個人管理使用,常常對系統不設置密碼。這樣,"入侵者"就能通過網絡輕而易舉的進入系統。筆者曾經就發現並進入多個這樣的系統。另外,對於系統的壹些權限,如果設置不當,對用戶不進行密碼驗證,也可能為"入侵者"留下後門。比如,對WEB網頁的修改權限設置,在WINDOWS NT 4 .0+IIS 4 .0版系統中,就常常將網站的修改權限設定為任何用戶都能修改(可能是IIS默認安裝造成的),這樣,任何壹個用戶,通過互聯網連上站點後,都可以對主頁進行修改刪除等操作。其次,在密碼口令的設置上要避免使用弱密碼,就是容易被人猜出字符作為密碼。筆者就猜過幾個這樣的站點,他們的***同特點就是利用自己名字的縮寫或6位相同的數字進行密碼設置。密碼的長度也是設置者所要考慮的壹個問題。在WINDOWS NT系統中,有壹個sam文件,它是windows NT的用戶帳戶數據庫,所有NT用戶的登錄名及口令等相關信息都會保存在這個文件中。如果"入侵者"通過系統或網絡的漏洞得到了這個文件,就能通過壹定的程序(如L0phtCrack)對它進行解碼。在用L0phtCrack破解時,如果使用"暴力破解" 方式對所有字符組合進行破解,那麽對於5位以下的密碼它最多只要用十幾分鐘就完成,對於6位字符的密碼它也只要用十幾小時,但是對於7位或以上它至少耗時壹個月左右,所以說,在密碼設置時壹定要有足夠的長度。總之在密碼設置上,最好使用壹個不常見、有壹定長度的但是妳又容易記得的密碼。另外,適當的交叉使用大小寫字母也是增加被破解難度的好辦法。二、系統的安全最近流行於網絡上的"紅色代碼"、"藍色代碼"及"尼姆達"病毒都利用系統的漏洞進行傳播。從目前來看,各種系統或多或少都存在著各種的漏洞,系統漏洞的存在就成網絡安全的首要問題,發現並及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們壹般網絡管理人員所能做的,但是及早地發現有報告的漏洞,並進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對於我們有使用的軟件和服務,應該密切關註其程序的最新版本和安全信息,壹旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。比如上面提及引起"紅色代碼"、"藍色代碼"及"尼姆達"病毒的傳播流行的Unicode解碼漏洞,早在去年的10月就被發現,且沒隔多久就有了解決方案和補丁,但是許多的網絡管理員並沒有知道及時的發現和補丁,以至於過了將近壹年,還能掃描到許多機器存在該漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因些從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就壹定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那麽,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的壹個因素。
在WINDOWS NT使用的IIS,是微軟的組件中漏洞最多的壹個,平均兩三個月就要出壹個漏洞,而微軟的IIS默認安裝又實在不敢恭維,為了加大安全性,在安裝配置時可以註意以下幾個方面:首先,不要將IIS安裝在默認目錄裏(默認目錄為C:\Inetpub),可以在其它邏輯盤中重新建壹個目錄,並在IIS管理器中將主目錄指向新建的目錄。 其次,IIS在安裝後,會在目錄中產生如scripts等默認虛擬目錄,而該目錄有執行程序的權限,這對系統的安全較大,許多漏洞的利用都是通過它進行的。因此,在安裝後,應將所有不用的虛擬目錄都刪除掉。第三,在安裝IIS後,要對程序進行配置,在IIS管理器中刪除必須之外的任何無用映射,只保留確實需要用到的文件類型。對於各目錄的權限設置壹定要慎重,盡量不要給可執行權限。
三、目錄***享的安全在校園中,利用在對等網中對機中的某個目錄設置***享進行資料的傳輸與***享是人們常采用的壹個。但在設置過程中,要充分認識到當壹個目錄***享後,就不光是校園網內的用戶可以訪問到,而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的壹個隱患。筆者曾搜索過外地機器的壹個C類IP網段,發現***享的機器就有十幾臺,而且許多機器是將整個C盤、D盤進行***享,並且在***享時將屬性設置為完全***享,且不進行密碼保護,這樣只要將其映射成壹個網絡硬盤,就能對上面的資料、文檔進行查看、修改、刪除。所以,為了防止資料的外泄,在設置***享時壹定要設定訪問密碼。只有這樣,才能保證***享目錄資料的安全。四、木馬的防範相信木馬對於大多數人來說不算陌生。它是壹種遠程控制工具,以簡便、易行、有效而深受廣大黑客青睞。壹臺電腦壹旦中上木馬,它就變成了壹臺傀儡機,對方可以在妳的電腦上上傳下載文件,偷窺妳的私人文件,偷取妳的各種密碼及口令信息……中了木馬妳的壹切秘密都將暴露在別人面前,隱私?不復存在!木馬,應該說是網絡安全的大敵。並且在進行的各種入侵攻擊行為中,木馬都起到了開路先鋒的作用。木馬感染通常是執行了壹些帶毒的程序,而駐留在妳的計算機當中,在以後的計算機啟動後,木馬就在機器中打開壹個服務,通過這個服務將妳計算機的信息、資料向外傳遞,在各種木馬中,較常見的是"冰河",筆者也曾用冰河掃描過網絡上的計算機。發現每個C類IP網段中(個人用戶),偶爾都會發現壹、二個感染冰河的機器。由此可見,個人用戶中感染木馬的可能性還是比較高的。如果是服務器感染了木馬,危害更是可怕。木馬的清除壹般可以通過各種殺毒軟件來進行查殺。但對於新出現的木馬,我們的防治可以通過端口的掃描來進行,端口是計算機和外部網絡相連的邏輯接口,我們平時多註意壹下服務器中開放的端口,如果有壹些新端口的出現,就必須查看壹下正在運行的程序,以及註冊表中自動加載運行的程序,來監測是否有木馬存在。以上只是筆者對防範外部入侵,維護網絡安全的壹些粗淺看法,當然對於這些方面的安全還可以通過設置必要的防火墻,建立健全的網絡管理制度來實現。但是在網絡內部數據安全上,還必須定時進行數據安全備份。對於硬盤中數據備份的方法很多種,在WINDOWS 2000 SERVER版本上,我們提倡通過鏡像卷的設置來進行實時數據備份,這樣即使服務器中的壹個硬盤損壞,也不至於使數據丟失。
《校園網建設》
摘要:文章認為對轟轟烈烈的校園建設,應該持冷靜思考的態度。
關鍵詞:校園網管理;校園網;校園網建設
在數學史上費馬定理是壹只會下蛋的金雞,在力圖證明費馬定理的過程中,很多數學分支如數論、數論、組合數論都得到了很大的。對學校來說,校園網也應該是壹只會下蛋的金雞。
建設校園網的根本目的,就是為各種教學和管理軟件提供基礎。校園網的建設不壹定是壹次性的大量資金投入,當資金不充足時,可以采取分步驟、分層次建設的,校園網的建設可以具有不同的層次,如網絡教室、小型辦公管理對等網、基於客戶機/服務器的局域教學網,以及面向全校的機輔助教學管理信息網絡等。
1慣例與教學孰重
在校園網建設過程中,硬件設備不是,只要花錢就可以做到。關鍵在於妳花了那麽多錢,究竟用校園網幹什麽?主要從兩個方面考慮的:壹個是管理方面,就是學校的網絡化管理,這壹點同任何壹家的網絡化相同,通過網絡化給學校帶來化管理。而另壹個更重要的方面,就是要通過現代技術去推動和改變傳統的教學模式,改革那種灌輸式的,老師講、學生聽,死記硬背的傳統教學方式。
如果建好了校園網,還是沿襲傳統的教學模式,只是把粉筆、黑板換成了計算機、投影儀,還是沿襲過去那種灌輸式的教學形式(當然,可能灌輸給學生的東西更多了,讓學生更容易理解、記得更牢了),那麽這種教學模式並沒有質的變化。大趨勢應該向自主式教學發展。每個學生都有壹個側重點,有自己的特點,不像現在的孩子培養出來都是壹樣的。這才是網絡教育帶來的本質上的區別。
在校園網建設後,學校應註重“四件”平衡,即硬件具備、軟件跟上、“智件”超前、“潛件”保障。其中“智件”意為掌握教育技術的教師隊伍;“潛件”則是針對教育技術的各種服務和管理。學校的全員培訓必須引起足夠的重視,目前壹些學校在校園網建設完成後,往往只對教師進行培訓,而領導卻很少參加培訓,這種做法很危險,只有領導認識到校園網的功能與作用,才會積極提供相應的環境促使教師和使用校園網。
2缺錢與浪費並存
教育部提出“校校通”工程的建設目標後,上存在著壹種誤解,認為全國90%的中小學校都要建立獨立的校園網。其實,“校校通”並非“校校網”,最終的目的是讓90%以上的中小學采用各種形式和手段,***享網上教育資源,而不是讓每個學校都建壹套自己的校園網。目前在校園網建設中,在資金總量短缺的大環境中,還存在著局部資金浪費的現象。
現在校園網建設有壹個趨勢就是追求很高檔的設備,像我們做過的壹個中學校園網,要用思科6509或朗訊T550這樣高檔的產品,這其實是壹種浪費。舉個例子,壹般高檔的企業級交換機,它應該是針對1萬個用戶規模來使用的;而我們現在任何壹所學校裏,讓所有的老師都上網,所有的教室都上網,壹所學校的網絡用戶也不會超過1000個。所以,用管理1萬個用戶的設備來管理不足1000個用戶,這顯然是壹種浪費。
這方面有誤區也有誤導。壹方面,壹些重點學校或是市裏、省裏扶持的學校,片面地追求硬件設備的高檔次,實際上就是浪費。深圳有壹所學校光布線就花了200多萬元,裝修壹個網絡機房就用了60萬元;但也有壹些學校,沒有資金,看別人做校園網,也非要建壹個網,結果投很少壹點錢,做出來的所謂校園網,基本上起不到什麽作用,這也是壹種形式的浪費。另壹方面,由於利益驅動,生產廠商和系統集成商也在自覺或不自覺地誤導學校的決策。
從目前情況來看,似乎壹時間還難以改變校園網建設中的資金浪費現象。但是通過教育城域網建設,可以為教育系統節省大量的寶貴資金。根據教育部提出的通過天網(衛星)、地網(電信)達到學校與學校的溝通,把整個教育系統聯成壹個獨立的網,在有條件的地方要建立相對獨立的教育城域網。比如說把整個城市做成幾個主幹中心,有錢的學校能接入,沒錢的學校也能接入。這樣建校園網的投資就會變小了,只需投資壹些交換設備就行了。由此整個城市的教育水平都能得到提高,真正實現在現有的資源和資金的情況下,通過教育城域網的形式達到資源***享。
現在,很多地方都在向建設教育城域網的方向努力。像鄭州就建了三個中心,用三臺核心交換機,下面的大學通過千兆接入,中小學通過百兆接入,整個教育城域網形成了壹個獨立的網。北京朝陽區也是這樣做的,通過四個中心,把全區300多所學校全部聯起來。
在教育系統的網絡建設中,應先考慮教育城域網,在此基礎上,再看校園網如何投資。因為城域網建好後,每所學校的校園網建設都能從節省路由器、服務器、軟件等幾項中獲益;有了城域網之後,同樣的校園網建設至少能節省三分之壹以上的資金。如果壹個城市有上百所學校,那麽校園網建設由此而節省的資金就非常可觀了。
3校園網本質是
壹般認為,校園網是為學校活動、教學活動、科研活動和管理活動服務的校園內局域環境,並且它是建構在多媒體技術和網絡技術之上並與因特網連接的。
這個概念比較強調局域網概念,強調多媒體技術。這樣的概念會不會造成導向上的失誤?現實生活中我們可以看到,校園局域網建設的封閉型傾向和設備堆砌、技術高難的貴族化傾向。壹方面,資源的重復建設,另壹方面,又是資源的匱乏;壹方面,設備堆砌閑置,教師對高難度技術望而生畏,另壹方面普通學校卻難進校園網的門檻。再看目前中小學校園網應用往往是放放Powerpoint幻燈,通過***享調閱調閱文件,學校網站開設的欄目主要有:學校簡介、校長寄語、師生風采、校園新貌、教學設施、學校榮譽、家長通訊、校友通訊等。這是校園網應有的功能嗎?值得深思。
校園生活的核心是學習活動,校園生活的主體應該是學生與教師,網絡的基本技術特質是開放、交互與***享,它的主要功能是促進人們主動學習,實現資源的交流與***享,因此,校園網絡環境必需基於互連網應用。
所謂校園網絡環境(俗稱校園網),是指基於互連網應用的,提供以學習活動為核心的,兼顧教學與學校管理的網絡媒體教學環境。
4校園網的基礎是管理創新
雖然校園網的建設面臨各種困難,也遭受了很多的失敗,但多年來也積累了壹些成功的經驗。校園網的建設是學校中的“綱”,不僅是教育技術的變革,更是思想創新、管理創新、創新和手段創新。在校園網投入運行之後,應對現存的組織機構、管理制度、教學模式進行適當調整,充分發揮校園網的作用。校園網的建設是壹個系統工程,做好總體規劃可以保證各個系統的集成與協調,避免重復投資、不合理地利用資源,在總體規劃下分層次逐步擴大,使工程形成良性循環。校園網的目的是提高教學管理水平,拓寬教師和學生的知識面,所以壹定要註重實際效果,選擇急需解決、見效又快的環節作為建設校園網的突破口,能夠提高師生對校園網的熱情。在校園網建設過程中應盡量使用成熟技術,既可以減少風險,又能做到實施快、見效快,維護更新更有保障。
另外,要加強基礎工作,做好調研,弄清學校的真正需求,找到制約學校發展的瓶頸,制訂整體規劃,研究制訂學校的信息規範,做好標準化工作,為教學資源交流與***享打下良好的基礎。
有人說在教育行業,不是有錢就什麽都能做到,但是沒錢是什麽也做不到。教育網絡化正是處在這樣壹種氛圍之中,錢不多但是想做很多事。這就需要精打細算、循序漸進,任何形式的貪大求洋,都會導致我們為此付出高昂的學費。這將使我們希望通過互聯網達到省錢目的的計劃落空,使教育改革步伐徘徊不前。因此,教育城域網、中小學校園網的建設不可能壹步到位,教育網絡化的實施與應用也不可能壹步到位。最好的選擇就是,有多少錢辦多少事,壹步壹個腳印,重在應用實效。