谈网络教育站点服务器安全性能的改进

　　网络教育站点的安全是网络教育机构组织不得不严肃考虑的问题。除了建立网络安全策略用于指导和规范各网络教育管理人员的网络安全管理职责外，对网络教育站点的安全改进是使站点安全运行的重要方法。本文从服务器主机选择、虚拟网络(VLAN)运用和划分原则、服务器主机和服务器软件的配置、服务器管理等四方面论述了如何对网络教育站点进行安全改进。

　　1 教育站点服务器主机的选择

　　在选择教育站点服务器主机时，除了考虑诸如功能、性能和价格等因素外，更重要的要考虑安全需求，服务器很多，但它们的安全性能是不一样的，要使教育站点具有安全性就必须选择满足安全需求的服务器，网络教育站点的安全需求一般包括:

　　⑴较小的易受攻击性

　　⑵只能由授权用户进行管理的限制能力

　　⑶拒绝访问服务器中没有发布的信息的能力

　　⑷关闭操作系统或服务器软件中不必要的网络服务的能力

　　⑸访问各种外部可执行程序(如CGI scripts、服务器plug-ins)的可控能力

　　⑹为侦测入侵或企图入侵，记录教育站点服务器活动的能力

　　2 教育网络分段及虚拟网络(VLAN)运用和划分原则

　　对局域网来说，网络分段和VLAN的运用是保证教育网络安全的有效措施。

　　2.1 教育网络分段改善安全性能。

　　教育网络分段是保证安全的一项重要措施，同时也是一项基本措施，其指导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。教育网络分段可分为物理分段和逻辑分段两种方式:

　　物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。

　　逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如，对于TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备(含软件、硬件)的安全机制来控制各自网间的访问。在实际应用过程中可采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性能控制。

　　2.2 运用VLAN改变安全性能

　　以太网从本质基于广播机制，但应用了交换和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入(改变)问题。

　　由以上运行机制带来的网络安全的好处是显而易见的:

　　信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。

　　通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。

　　2.3 VLAN 之间的划分原则

　　VLAN 的划分方式的目的是保证系统的安全性。因此，可以按照系统的安全性来划分VLAN;可以将主要的服务器系统单独划分作一个VLAN，如数据库服务器、电子邮件服务器等。也可以按照教育机构、对象的设置来划分VLAN，如可以按照教育机构服务器管理员所在的网络单独作为一个leader VLAN(LVLAN)，其它层次的分别作为另一个或几个VLAN，并且控制LVLAN与其他VLAN之间的单向信息流向，即允许LVLAN查看其他VLAN的相关信息，其他VLAN不能访问LVLAN的信息。VLAN之内的连接采用交换实现，VLAN 与VLAN之间采用路由实现。

　　3 服务器主机和服务器软件的配置

　　3.1 教育站点服务器与内部网络隔离

　　公用服务器主机是一个供公众访问的计算机，无论主机及其应用软件配置的如何好，总会有人发现新的入侵点，入侵者可以观察或捕获到内部主机之间的网络通信，也可能进入内部主机，获得更详细的信息，为此需要把服务器主机与内部网络隔离。

　　3.2 在一个更安全的主机上维持一个可靠的教育站点内容拷贝。

　　当服务器上的信息完整性受到破坏时，需要一个可信赖的拷贝来恢复.建议把一个可靠的信息拷贝存贮于与服务器主机隔离的更安全的主机上(即放在网络防火墙内的内部网络上)，并且除了教育站点管理员可以访问这个拷贝外，其它用户(无论是内部还是外部的)都不能访问拷贝。

　　3.3 教育站点服务器主机只提供基本的网络服务

　　现代的计算机具有可提供多种服务和应用的功能，如果多项服务和应用同时在一台主机上提供，会使主机的安全性能减弱，为此，应该按以下方法来配置教育站点服务器:

　　⑴.尽可能多地关掉服务和应用，然后有选择地打开那些基本的教育服务;

　　⑵.确定你打算支持教育服务器的功能(如CGI脚本);

　　⑶.如果有其它的方法提供同样功能，选择更安全的方法;

　　⑷.一旦最少的教育服务和应用确定后，确保它们在主机上是可用的;

　　⑸.当所有配置选项确定后，为关键系统软件生成并记录加密校验或其它完整校验信息。

　　3.4 配置教育站点服务器，增加安全性

　　由于不同的机构组织对公用站点的需求是不一样的，因此服务器软件已提供了各种软件配置选项以满足不同站点的需求.省缺的配置设定可能是对“典型”站点的最优设定，当然这是销售商想象的最优化，一般是基于性能需求或容易安装来设定的.但在安装教育站点服务器软件时，必须认真仔细地按安全需求配置服务器.

　　⑴.配置教育站点服务器日志能力

　　教育站点服务器日志文件记录着服务器对每一请求的响应行为信息，分析这些日志可以得到有用的用户信息和安全信息.目前有许多日志文件分析工具，大部分可对两种标准日志文件格式进行分析，这两种格式是“Common Log Format”和“Extended Common Log Format” ，服务器应该配置成能生成两种格式中任意一种格式的日志文件。

[1] [2] [3] [4] 下一页

复制本页网址和标题，发送给你QQ/Msn的好友一起分享

上一篇:存储域网(SAN)整合: 智能的方法整合你的存储网络

下一篇:NEC存储服务器大学邮件系统案例分析