论文部分内容阅读
随着媒体技术的发展和网络教学环境的出现,加强网络安全管理已刻不容缓。由于网络管理员大都是由学校的教师或管理人员兼任,缺乏足够的安全意识和防范技术,使得当前各学校网络管理方面存在着较大的安全隐患,从而给恶意攻击者带来可乘之机。
在网络安全问题上,密码的安全性问题始终是一个重要环节,不少网络都是由于密码泄露而遭到入侵的。在攻击者对网络系统的攻击中,密码也自然处于首当其冲的位置。
1 密码选择的安全性问题
本文所谈的网络密码,主要是指系统登录密码,且更多地指服务器的密码。作为网络系统的第一道屏障,网络密码对提高系统的安全性有着重要的作用,特别是对于没有其他安全措施的网络系统来说,一个安全的密码几乎决定了整个网络的安全,成为网络系统的唯一防护墙。从理论上说,任何密码都是不安全的,因为只要给破解者足够的时间和机会,他们总能用穷举法将密码试出。但实际上,破解者使用这种蛮力技术破解密码是不现实的。系统密码频频被破解的真正原因是用户选择了不安全的密码,所以密码的安全首先是选择安全的密码。
在一次中小学网络管理员培训中进行的一项测试中,请100名网络管理员每人写出2个密码,密码的组成及长度不限,但强调这2个密码对系统来说非常重要,要求被试者认真考虑填写。对密码进行分析后发现,超过一半的密码是不安全的,可见网络管理存在着严重的安全隐患。
那么选择什么样的密码才足够安全呢?综合国内外密码安全专家的建议以及笔者的经验,选择安全密码应做到:1)密码的长度一般应在8个字符以上;2)密码不应只含有字母或数字,还应包括大写字母、小写字母、数字、标点符号以及特殊符号,并尽量使用特殊符号,而且这些不同字符应混合排列,而不是简单地将特殊符号作为前缀或后缀;3)密码中不能包含用户的姓名、出生年月、电话等常用信息以及字典中常用的单词;4)不同场合的密码不能重复或含有序列关系,以避免密码被连环破解。
当然,选择安全的密码意味着用户记忆的困难,为避免忘记密码,必然将它记在某个地方,这又产生了新的安全隐患。笔者曾在一些学校的机房里看到在办公桌、笔架、甚至计算机上贴有用户名、密码的纸条。可见,即使选择一个别人永远猜不出的密码,还是可能通过其他途径将其泄露出去。所以,密码选择的安全性问题首先是一个网络管理员安全意识的问题。
2 密码设置的安全性问题
不能认为选择了一个相对安全的密码就万无一失了。为了提高密码的安全性及抵抗入侵的能力,有必要做一些相关的设置。以下仅给出利用注册表对密码进行保护的2个实例,这些并不复杂的设置技巧能加强密码的安全性能。
1)不显示登录窗口中的用户名。在Windows NT/2000的登录窗口中,用户名一栏中一般已填上了某一用户名称,这个用户是上次使用Windows的用户,这一点方便了登录者,使他不用再输入用户名称。但也带来了一些安全问题,如让他人知道Windows系统中存在这么一个用户。通过修改注册表,可以使登录窗口中不显示上次使用者的用户名。方法:启动注册表编辑器,打开以下键值:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon。选择右方窗格“DontDisplayLastUserName”的值,设置其值为1即可。
2)禁止用户更改密码。在Windows NT/2000中,用户按“Ctrl-Alt-Delete”组合键可以通过更改密码选项对登录密码进行修改。通过修改注册表,可以禁止普通用户更改密码。方法:启动注册表编辑器,打开以下键值:HKEY_CURRENT USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem。选择此子键分支的右方窗格“DisableChangePassword”的双字节值,设置其值为1即可。
以上仅举两例,借此说明网络管理员应在平时多注意服务器和重点计算机系统中可能出现的密码设置漏洞,并将其填补。
3 密码安全的高级防护措施
上述密码选择及设置的安全性问题是每一个细心的网络管理员都可以做到的,它可以在很大程度上防范普通的网络攻击者。但是从长远考虑,以及为了防范专业黑客的进攻,有必要为校园网提供高级的防护措施,以确保其安全。
1)一次性密码。一次性密码是防止密码被破解的有效方法。每次用户登录时密码就要更改,也就是说,根本没有密码可以猜测,缺点是过于复杂。最常见的形式是使用智能卡,另外,软件SKEY也能建立一次性密码。
2)用户身份验证。在网络环境下,识别用户身份比单机复杂,因为大量黑客随时随地都可能向网络渗透,截获合法用户冒名顶替,以合法身份入网。为此,每次远程输入用户密码都应当加密,而且密钥必须每次都变更,以防止被人截获后冒名顶替。
3)搜索破解工具。目前,攻击者会在用户的计算机系统中或远程使用一些密码破解程序进行攻击,常见的有破解Unix密码的工具John the Ripper,破解Windows密码的工具Pwdump、LophtCrack,远程密码破解工具流光等。作为一个网络管理员应该在系统中定期搜索密码破解工具,以便在其造成破坏之前及时发现并清除掉。
4)使用生物技术。这可能将是未来密码安全的高级防护措施。采用生物技术作为解决方案,如指纹、手纹、视网膜扫描、语音扫描、手写签名等,由于其特征与用户不分离,使得攻击者无法偷窃,所以生物技术更加可靠。但是,使用生物技术必须使每台登录的计算机都要有认证设备,代价非常昂贵。
作为一名校园网的管理人员,首先要树立安全意识,学习网络安全的有关技术,并在平时注意防范,及时查漏补缺,这样才能确保校园网的安全运行,为学校教学工作的顺利进行做好保障。
在网络安全问题上,密码的安全性问题始终是一个重要环节,不少网络都是由于密码泄露而遭到入侵的。在攻击者对网络系统的攻击中,密码也自然处于首当其冲的位置。
1 密码选择的安全性问题
本文所谈的网络密码,主要是指系统登录密码,且更多地指服务器的密码。作为网络系统的第一道屏障,网络密码对提高系统的安全性有着重要的作用,特别是对于没有其他安全措施的网络系统来说,一个安全的密码几乎决定了整个网络的安全,成为网络系统的唯一防护墙。从理论上说,任何密码都是不安全的,因为只要给破解者足够的时间和机会,他们总能用穷举法将密码试出。但实际上,破解者使用这种蛮力技术破解密码是不现实的。系统密码频频被破解的真正原因是用户选择了不安全的密码,所以密码的安全首先是选择安全的密码。
在一次中小学网络管理员培训中进行的一项测试中,请100名网络管理员每人写出2个密码,密码的组成及长度不限,但强调这2个密码对系统来说非常重要,要求被试者认真考虑填写。对密码进行分析后发现,超过一半的密码是不安全的,可见网络管理存在着严重的安全隐患。
那么选择什么样的密码才足够安全呢?综合国内外密码安全专家的建议以及笔者的经验,选择安全密码应做到:1)密码的长度一般应在8个字符以上;2)密码不应只含有字母或数字,还应包括大写字母、小写字母、数字、标点符号以及特殊符号,并尽量使用特殊符号,而且这些不同字符应混合排列,而不是简单地将特殊符号作为前缀或后缀;3)密码中不能包含用户的姓名、出生年月、电话等常用信息以及字典中常用的单词;4)不同场合的密码不能重复或含有序列关系,以避免密码被连环破解。
当然,选择安全的密码意味着用户记忆的困难,为避免忘记密码,必然将它记在某个地方,这又产生了新的安全隐患。笔者曾在一些学校的机房里看到在办公桌、笔架、甚至计算机上贴有用户名、密码的纸条。可见,即使选择一个别人永远猜不出的密码,还是可能通过其他途径将其泄露出去。所以,密码选择的安全性问题首先是一个网络管理员安全意识的问题。
2 密码设置的安全性问题
不能认为选择了一个相对安全的密码就万无一失了。为了提高密码的安全性及抵抗入侵的能力,有必要做一些相关的设置。以下仅给出利用注册表对密码进行保护的2个实例,这些并不复杂的设置技巧能加强密码的安全性能。
1)不显示登录窗口中的用户名。在Windows NT/2000的登录窗口中,用户名一栏中一般已填上了某一用户名称,这个用户是上次使用Windows的用户,这一点方便了登录者,使他不用再输入用户名称。但也带来了一些安全问题,如让他人知道Windows系统中存在这么一个用户。通过修改注册表,可以使登录窗口中不显示上次使用者的用户名。方法:启动注册表编辑器,打开以下键值:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon。选择右方窗格“DontDisplayLastUserName”的值,设置其值为1即可。
2)禁止用户更改密码。在Windows NT/2000中,用户按“Ctrl-Alt-Delete”组合键可以通过更改密码选项对登录密码进行修改。通过修改注册表,可以禁止普通用户更改密码。方法:启动注册表编辑器,打开以下键值:HKEY_CURRENT USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem。选择此子键分支的右方窗格“DisableChangePassword”的双字节值,设置其值为1即可。
以上仅举两例,借此说明网络管理员应在平时多注意服务器和重点计算机系统中可能出现的密码设置漏洞,并将其填补。
3 密码安全的高级防护措施
上述密码选择及设置的安全性问题是每一个细心的网络管理员都可以做到的,它可以在很大程度上防范普通的网络攻击者。但是从长远考虑,以及为了防范专业黑客的进攻,有必要为校园网提供高级的防护措施,以确保其安全。
1)一次性密码。一次性密码是防止密码被破解的有效方法。每次用户登录时密码就要更改,也就是说,根本没有密码可以猜测,缺点是过于复杂。最常见的形式是使用智能卡,另外,软件SKEY也能建立一次性密码。
2)用户身份验证。在网络环境下,识别用户身份比单机复杂,因为大量黑客随时随地都可能向网络渗透,截获合法用户冒名顶替,以合法身份入网。为此,每次远程输入用户密码都应当加密,而且密钥必须每次都变更,以防止被人截获后冒名顶替。
3)搜索破解工具。目前,攻击者会在用户的计算机系统中或远程使用一些密码破解程序进行攻击,常见的有破解Unix密码的工具John the Ripper,破解Windows密码的工具Pwdump、LophtCrack,远程密码破解工具流光等。作为一个网络管理员应该在系统中定期搜索密码破解工具,以便在其造成破坏之前及时发现并清除掉。
4)使用生物技术。这可能将是未来密码安全的高级防护措施。采用生物技术作为解决方案,如指纹、手纹、视网膜扫描、语音扫描、手写签名等,由于其特征与用户不分离,使得攻击者无法偷窃,所以生物技术更加可靠。但是,使用生物技术必须使每台登录的计算机都要有认证设备,代价非常昂贵。
作为一名校园网的管理人员,首先要树立安全意识,学习网络安全的有关技术,并在平时注意防范,及时查漏补缺,这样才能确保校园网的安全运行,为学校教学工作的顺利进行做好保障。