数字化图书馆网络安全策略
来源:IT168 更新时间:2008-10-29

数字图书馆是伴随着数字技术和网络技术发展起来的,从总体上说,支撑数字图书馆的关键技术主要有信息处理、信息存储和信息传输三个方面。这种由新技术所带来的新的信息资源形态(数字化)和新的信息资源使用方式(网络传输),必然存在许多网络隐患,易受网络黑客攻击。目前大部分数字图书馆的信息服务器主要采用Web界面和基于TCP/IP协议的信息技术系统。其程序的基本构架基于Client-Server (客户机-服务器)结构,服务器端一般用Winnt4.0或者Windows 2000 Advance Server (现在以后一种为多),并且多数系统要求安装使用IIS服务器(Internet Information Servers)。众所周知, Windows系列是Microsoft公司的产品, 以图形化界面和易操作闻名, 但也存在数之不尽的安全漏洞。

 

  数字图书馆购置的数字化文献数据库如重庆维普《中国科技期刊全文数据库》(简称VIP)、清华《中国学术期刊全文数据库》(简称CNKI),要求在Windows 2000 环境下运行。如果图书馆工作人员在安装Windows 2000 时,只选择默认方式安装,而不进行正确的安全配置的话,其安全性几乎等于零。鉴于此,笔者对数字图书馆服务器的一些基本网络安全及其配置提出自己的一些看法和建议,供同仁参考。

  1 组件的安装和定制

  windows 2000在默认情况下会安装一些常用的组件,但是正是这个默认安装是极度危险的。美国最著名的“黑客”米特尼科说过,他可以进入任何一台默认安装的服务器。笔者认为应该先了解有关数据库运行与提供服务的功能,只安装确实需要的服务。根据一般安全原则:最少的服务+最小的权限=最大的安全,典型的Web服务器需要的最小组件选择是:只安装IIS的Common Files,IIS Snap-In,WWW Server组件。目前大多数图书馆使用的信息检索系统(VIP,CNKI)只需要安装IIS即可。

  如果你确实需要安装其他组件,请慎重,特别是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险服务,极易留下安全隐患。

  2 分区和逻辑盘的分配

  有一些技术人员为了省事,将硬盘仅分为一个逻辑盘,所有的软件都装在C驱上,这是很不科学的,建议最少建立两个分区,一个系统分区,一个应用程序分区,这是因为,微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取Administrator(超级管理员账号)。推荐的安全配置是建立三个逻辑驱动器,第一个大于2GB,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者通过FTP上传程序并在IIS中运行。

  3 补丁的更新

  尼姆达病毒正是利用了Windows 的一系列网络安全漏洞进行传播,它的破坏力也是有目共睹的。IIS6.0版服务器不容易感染上尼姆达病毒,但是IIS5.0及其更早版本要注意及早下载Q269862(微软提供的防尼姆达病毒补丁名) 。同尼姆达病毒同样臭名昭著的红色代码也是如此,可以打上微软的Q300972补丁,或者可以给整个操作系统打上最新的Windows 2000 advance SP3 补丁,但请注意有些数据库并不支持最新的SP3,我们只能下载单独补丁补上安全漏洞。另外,补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。

  4 端口的设置

  端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。一般来说,仅打开你需要使用的端口会比较安全。配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。不过对于Windows 2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的数据库系统运行就比较麻烦,碰上这种情况应该跟有关数据库厂商协调,共同解决问题。

  5 IIS漏洞的解决方案

  IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点。首先,把C盘Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得),在IIS管理器中将主目录指向D:\Inetpub。 其次,将IIS安装时默认的scripts等虚拟目录一概删除,如果需要什么权限的目录可以自己慢慢建,需要什么权限开什么。特别注意写权限和执行程序的权限,没有绝对的必要千万不要开。

  6 MS SQL Server 的配置

  清华CNKI全文数据库要求安装MS SQL Server。在安装MS SQL Server后,MS SQL Server会产生一个默认的SA(System Admin)用户,而且初始密码在管理员没有设置的情况下为空。但是SA是SQL Server中非常重要的安全模块成员,这样一来黑客们就可以通过SQL Server的客户端进行数据库远程链接,然后再通过SQL的远程数据库管理命令Xp_cmdshell stored procedure(扩展存储过程)来进行命令操作,命令格式如下:

  Xp_cmdshell "net user id password /add"

  Xp_cmdshell "net localgroup Administrators id /add"

  根据以上两条简单的命令,入侵者就能在MS SQL Server的服务器上立即新建一个管理员级别的Administrators组的用户。需要提醒图书馆网管技术人员的是,在安装好SQL Server后,您需要做的第一件事就是把SA的空密码立即进行设置,然后打上SP3。这里需要特别强调的是,一定要经常留意微软最新的补丁包文件,并且注意及时给系统和软件打最新的补丁。

  7 账号管理

  Windows 2000的账号安全是另一个重点。首先,Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用黑客软件用暴力法破解用户密码。很多网管技术人员都知道可以通过更改注册表中的Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1。来禁止139空链接,实际上Windows 2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名链接的额外限制),这个选项有三个值:

  0:None. Rely on default permissions(无,取决于默认的权限)

  1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享)

  2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)

  “0”这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等等,对服务器来说这样的设置非常危险。“1”这个值是只允许合法的用户存取SAM账号信息和共享信息。“2”这个值是在windows 2000中才支持的,需要注意的是,如果你一旦使用了这个值,将杜绝所有的共享,使一些数据库无法正常运行,笔者建议设为1较佳。

  其次,系统内建的administrator也是一个漏洞(容易被黑客用暴力法破解),我们还应该加以修改,系统管理员可以在服务器上的计算机管理—〉用户账号中右击administrator然后改名,改什么都可以,只要能记得住就行。同时不可忽略的是选择密码要足够长,且要定期更换。

  第三,即使系统管理员做了以上两点,对于防范技高的黑客仍然还不够,因为黑客还可以通过本地或终端登陆界面看到所需要的信息。我们可以再将注册表做如下修改:

  ①HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据改成1,这样系统不会自动显示上次的登录用户名。

  ②HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改成1,隐藏上次登陆控制台的用户名。

  综上所述,数字图书馆通过海量存储服务器,依托网络环境进行数字化文献的检索和传输,服务器的安全防范措施必不可少。目前较流行的服务器操作系统Windows 2000 Advance Server 存在许多的漏洞和易被攻击的问题。而大多数攻击又是属于一般性攻击,基于网络安全人员对服务器的不正确配置,密码问题,和没有及时更新最新补丁。黑客们可以使用黑客程序自动扫描发现有这些漏洞的服务器并对它发动攻击。笔者认为认真执行上述的几点措施及日后及时打Windows 2000 补丁和定期更换密码(要有一定的长度和复杂性),那么数字化图书馆的网络安全率就可以达到85%左右。