2015/10/19 15:42:16 数字化校园平台软件之应用集成安全管理

在很多中高职院校数字化校园信息化平台的建设过程中,逐步提供了校园网网站、远程网络教育系统、数字化图书馆系统、OA办公系统、教务管理系统、财务管理系统等多种信息化管理平台。其间的数据重要性及数据价值和安全已开始超越近几年所投资的硬件价值及其重要性了。这就迫切需要保护学院校园网的安全及数据安全了,这同时也是本章益教教育数字化校园建设过程中遇到的最为重要的问题。下面小编就以西平县中专数字化校园信息管理平台为主,主要介绍数字化校园平台软件的安全管理问题。

西平县中专数字化校园信息化管理平台主要使用的是Windows2000Server和LINUX网络操作系统及SQLSERVER后台网络数据库。

由于学院主要信息管理的数据都放在以win-dows2000为操作系统及SQLSERVER为后台数据库的服务器上。本文主要针对这种环境从操作系统定制、用户安全设置、密码安全设置、系统安全配置、服务安全配置、数据库安全配置等多个方面进行安全管理。

1 量身定制网络操作系统

版本的选择

WIN 2000有各种语言的版本,在语言不成为障碍的情况下,请一定使用英文版。在安装完成后立即使用系统所提供的WINDOWSUPDATE打上所有的补丁,并设置为自动更新。因为微软的产品是以Bug&Patch而著称,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月。

组件的定制

win2000在安装的过程中不要使用默认安装,必须确切的知道这台服务提供什么服务则仅仅安装这些所需要的服务,根据安全原则,最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是:只安装IIS的ComFiles,IISSnap-In,WWW Server组件。如果确实需要安装其他组件,请慎重。

2:正确安装

○硬盘分区均为NTFS分区。NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。

○建立两个以上的分区[1],一个系统分区,一个或多个应用程序分区,把不同的服务和数据放在不同的分区中。这是因为,微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。并在安装时不使用系统默认的目录,如将 WINNT改为其他目录。

○在完全安装并配置好win2000SERVER之前,一定不要把主机接入网络。因为此时的服务器漏洞百出,任何人都可以轻易地登录到机器。其次,补丁的安装应该在所有应用程序安装完之后,因为如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。

○只安装一种操作系统:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统而进行破坏。

3:用户安全设置

○帐户尽可能少,且尽可能少用来登录:网站帐户一般只用来做系统维护,多余的帐户一个也不要,因为多一个帐户就会多一份被攻破的危险。

○创建两个管理员账号:创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrators权限的用户只在需要的时候使用[2]。

○将Administrator重命名,改为一个不易猜的名字。其他一般帐户也应遵循这一原则。

○将Guest帐户禁用,同时重命名为一个复杂的名字,增加口令,并将它从Guest组删掉。

○限制不必要的用户:去掉所有的DuplicateUser用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

○创建一个陷阱用户:创建一个名为"Administrator"的本地用户,把它的权限设置成最低,什么事也干不了,并且加上一个超过10位的超级复杂密码。

○任何时候都不要把共享文件的用户设置成"Everyone"组,包括打印共享,默认的属性就是"Everyone"组的,一定不要忘了改。

○使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。

○修改注册表不让对话框里显示上次登录的用户名。打开注册表编辑器并找到注册表项HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion winlogon项中的Don'tDisplayLastUserName串数据改成1。

4:密码安全设置

    ○建立良好的密码准则并确保组织中的每个用户都遵守该准则:

◇长度至少为8位字符。

◇包含字母和数字。

◇至少包括两个字母、一个数字和一个特殊字符。

◇不使用正确的姓名、呢称或字典中有的单词。

◇数字不在密码字符串的开头或结尾(除非使用了多个数字)。

◇如有可能,使用大写和小写字母(某些系统区分大小写)。

◇看上去是随机的。

◇至少每隔90天更改一次。

◇至少在六个月内不重复使用。

◇与同一个用户以前创建的密码有显著不同。

○设置屏幕保护密码:屏幕保护密码是防止内部人员破坏服务器的一个屏障。

○开启密码策略:注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为10位,设置强制密码历史为5次,时间为60天。

5:系统安全设置

○运行防毒软件:杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序,因此要注意经常运行程序并升级病毒库。

○删除所有的网络共享资源:在网络连接的设置中删除文件和打印共享,只留下TCP/IP协议。

○禁止用户从软盘和光驱启动系统:一些第三方的工具能通过引导系统来绕过原有的安全机制。如果服务器对安全要求非常高,可以把机箱锁起来。

○禁止对FTP服务的匿名访问:允许对FTP服务做匿名访问,该匿名帐户就有可能被利用来获取更多的信息,以致对系统造成危害。

○使用W 3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。作为一个重要措施,既可以发现攻击的迹象,采取预防措施,也可以作为受攻击的一个证据。

6:服务安全设置

目录和文件权限:必须非常小心地设置目录和文件的访问权限,在默认的情况下,大多数的文件夹对所有用户是完全敞开的,需要根据需要进行权限重设。在进行权限控制时,掌握以下几个原则:

○权限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。

○拒绝的权限要比允许的权限高:如果一个用户属于一个被拒绝访问某个组,那么不管其他的权限设置开放了多少,也不能访问这个资源。

○文件权限比文件夹权限高,仅给用户真正需要的权限,使权限的最小化。

○利用用户组来进行权限控制是必须具有的习惯。

一:关闭不必要的端口:用端口扫描器扫描系统已开放的端口,确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的 system 32 drivers etc services文件中有知名端口和服务的对照表可供参考。

二:设置好安全记录的访问权限:安全记录在默认情况下是没有保护的,把它设置成只有Administrators和系统账户才有权访问。

三:把敏感文件存放在另外的文件服务器中:把一些重要的用户数据(文件、数据表、项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。

四:IIS设置:

○把C盘Inetpub目录彻底删掉,在D盘建一个Inetpub,在IIS管理器中将主目录指向D: Inetpub。

○ IIS安装时默认的scripts等虚拟目录一概删除,如果需要什么权限的目录可以自己建。

○在IIS管理器中删除必须之外的任何无用映射,在IIS管理器中自己配置应用程序映射。

:SQLSERVER的安全配置

SQLSERVER是windows平台上用的最多的数据库系统。数据库中往往存着最有价值的信息,一旦数据被窃后果不堪设想。

○及时更新补丁程序:SQLSERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试,同时提前做好目标服务器的数据备份。

○制订完整的数据库备份与恢复策略:站点的核心是数据,数据一旦遭到破坏后果不堪设想。数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。

以上是益教教育在数字化校园建设过程中针对数字化校园平台软件安全性问题的主要内容,一般中高职院校的安全配置都以此为准。更多关于数字化校园平台软件的信息请你关注;http://www.yijiaoedu.com

 
QQ在线咨询
销售热线
0371-53302651