1 高校内联网(Intranet)安全的现状内联网(Intranet)是基于Intemet的TCP/IP,WWW工具、采用防止外界侵入的安全措施为单位内部服务,并有连接Intemet功能的内部网络.部分高校管理人员认为只要从内部网络与外界接口堵住破坏源就行了,但是在实际的运用和操作过程中这只能起到一部分作用,大部分破坏行为的出现是在高校网络的内部,因此,网络内部管理尤为重要.虽然管理者对信息的价值有了更深的认识,对信息的存储和保密的重视程度加强,也采用了一些措施加强信息安全的管理,但是由于自身计算机网络安全防范措施不到位、计算机操作人员的安全知识淡薄,以及Intemet上病毒传播的破坏、黑客的非法入侵等,都将给系统数据信息以致命的打击.信息安全的防范还有待加强.
1)我国计算机的普及始于20世纪9o年代,高校办公室工作人员大都是非计算机专业人员,他们的计算机知识(尤其是计算机操作系统及硬件知识)比较缺乏,对计算机信息安全防范的意识尤为薄弱,对病毒的认知和识别能力较差,缺乏对系统的基本维护能力,这势必给内部网络的安全造成威胁.
2)高校内联网拓扑结构是由多个星型结构组成的树型拓扑结构,顶端有一个根节点,在这个拓扑结构的分支上有许多二级单位的网站,每个分支上又连接成百上千的计算机.这些网站本身就存在很多漏洞和缺陷,而且又有人私自以Modem拨号方式、手机或无线网卡等方式上网,这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁,比较容易引起病毒的传播和黑客的攻击,造成自身网站甚至整个网络的瘫痪.
3)高校内部信息资源有利可图,包括科研保密资料、学生信息等敏感数据都很重要.高校内联网大都采用了办公自动化,信息资源都存放在计算机网络上,高校内部教职员工可以凭相应操作权限对信息资源进行利用.但是部分非法用户为了私利,利用自身存在的优势,在高校内联网中通过技术手段对网络进行破坏,获取有利信息资源,以达其目的.
2 高校内联网中各网站建设的基本情况在计算机网络技术的飞速发展下,高校内部基本上每一个部门都依附在内联网上建立了自己的网站,校园内部的所有用户都可以通过内联网登录,在部门网站上去寻找自己所要的资源和信息.
就高校而言,二级单位建设的网站众多,这么多的网站建设所运用的编程语言种类很多,大多数二级单位的网站都是由非专业计算机人员编辑完成,甚至有相当大一部分是由在校学生完成,而且网站的源代码很多都在Intemet上查找得到,对免费、方便、公开的源代码进行修改后编辑完成,这样的情况造成了网站的安全隐患.稍微有点计算机技术知识的人都清楚,公共源代码的漏洞在网上搜索可以很轻易的得到,通过漏洞提示,按照漏洞扫描软件和病毒植入软件可以很轻易地侵入这些网站,控制网站后台管理,达到窃取信息资源、修改和破坏敏感数据的目的.目前高校内联网网站编辑语言主要有以下几类.
2.1 PHP编程语言
目前,常见的PHP漏洞大致分为:包含文件漏洞;脚本命令执行漏洞;文件泄露漏洞;SQL注入漏洞等.PHP本身是安全的,但默认安装存在着各种各样的问题.
建议网站管理者做到:① 删除apache虚拟目录;② 关闭php错误提示error_reporting=E— ALL& 一E NOTICE;③ 启动safe_mode设定php运行目录safe_mode exec dir=;④ 用disable_functions屏蔽passthru,exec,system,phpinfo,popen,chroot,scandir,chgrp, chown, escapeshellcmd, escapeshenarg,shell_ exec,proc open,pmc_get_status等危险函数;⑤ 附加expose_php=Of关闭决定PHI)WEB标市;不要用mot改动WEB目录防止目录权限漏洞;mysql不要使用root启动,另起mysql帐户.
2.2 Asp+Access编程语言
众所周知,Asp+Access最大的安全隐患在于Access数据库可以被别人免费下载,现在提供的很多Asp空间都是只支持Access数据库,这样一来,Asp+Access的安全问题就显得很突出.在ASP+Access应用系统中,如果获得或者猜到Access数据库的存储路径和数据库名,则该数据库就可以被下载到本地.而且Access数据库的加密机制非常简单,即使数据库设置了密码,解密也很容易.该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串,并将其存储在*.mdb文件中从地址“&H42”开始的区域内.由于异或操作的特点是“经过两次异或就恢复原值”,因此,用这一密钥与*.mdb文件中的加密串进行第2次异或操作,就可以轻松地得到Access数据库的密码.基于这种原理,可以很容易地编制出解密程序.由此可见,无论是否设置了数据库密码,只要数据库被下载,其信息就没有任何安全性可言了.
由于Access数据库加密机制过于简单,因此,如何有效地防止Access数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重.通常采用的方法有:
1)非常规命名法.防止数据库被找到的简便方法是为Access数据库文件起一个复杂的非常规名字,并把它存放在多层目录下.这样,对所谓猜(一些网站名称通过等同的英文翻译得到)Access数据库文件名的非法访问方法起到了有效的阻止作用.
2)改数据库扩展名.可以将数据库的扩展名改为asp,当然在定位数据库的时候也要用类似database.asp的文件名,这样数据库不会被轻易的下载,数据也可以正常的读出写入.
3)向数据库内加错误的asp代码.虽然数据库的扩展名变成了asp,但是,如果对方猜到了你的数据库路径,还是可以下载,只不过是时间上慢了一些,对方可以等页面完全打开后“另存为”就可以了.要解决这个问题,可以在数据库内添加错误的asp代码.可以先建立一个隐藏表,表内只有- Y0,并且插入一行错误的asp代码,这样一来对方打开数据库的页面时就只会出现asp脚本的错误信息,而不会下载你的数据库了.