4.3 检查系统和网络日志
日志文件记录了系统和网络中发生的异常和意外活动,入侵者经常在日志文件中留下了其活动的足迹,因此定期地检查系统和网络日志是发现入侵者的方法之一。日志文件依操作系统、运行的应用软件和配置的不同而不同,表1给出了典型的日志文件包含的信息。
表2 异常或意外的活动
| 日志类型 |
异常或意外活动 |
|
用户活动 |
·连续登录失败 ·从一个意外的地点登录 ·在某一异常的时间登录 ·异常地企图改变用户标识 ·用户运行的异常进程 ·未经授权企图访问受限文件 |
|
进程活动 |
·在意外的时间内运行的进程 ·过早中止的进程 ·异常的进程 |
|
系统活动 |
·意外的关机·意外的再启动 |
|
网络连接 |
·与或从异常的接点连接 ·连续的连接失败 ·在异常的时间进行的连接 ·意外的网络通信(如:与你的防火墙配置相反,或意外的通信量) |
|
网络通讯监控 |
·扫描各种服务的网络地址空间,表明企图识别你的网络和服务器主机 ·连续地半打开连接(表明企图IP欺骗或服务活动拒绝) ·成功地连接到网络主机的异常服务 ·起源于你的网络外部的事务,而其目标也是网络的外部(表明该通信不应该横穿你的网络) ·连续地连接某个特定服务,表明有人企图运用网络探测工具来对付你的网络系统 |
|
WEB服务器活动 |
·连续企图滥用服务器(表明有人想破坏站点) ·引起拒绝服务的大量活动(注意远程主机名或IP地址) |
5 结束语
如果网络教育站点不能很好地设置和管理,将使网络教育机构组织受到各种安全问题的困扰,使自身的网络教育机构组织处于非常窘迫的处境。公用网络教育站点也是入侵者入侵教育站点机构组织内部网络的入口,通过它使得机构组织的重要信息泄露,使网络教育机构组织的数据蒙受巨大的损失,所以如何改进公用网络教育站点的安全,对网络教育站点进行安全有效地维护和管理,是网络教育系统安全正常运行的关键。
网络教育站点服务器主机选择、教育网络分段及VLAN的运用、教育站点服务器主机和服务器软件的配置、服务器管理是提高教育站点安全的有效方法。只有加强教育站点服务器管理,才能使教育站点始终处于安全状态。
参 考 文 献
1 (美) Christian Huitema 著. 陶文星译. 因特网路由技术. 北京:清华大学出版社,1998
2(美)TERE PARNELL 著. 张侃,赵粮等译. 广域网建立与管理指南. 北京:机械工业出版社,1998
3(美)LEONID BRAGINSKI,MATTHEW POWELL 著,北京华中兴业科技发展有限公司 译. Microsoft Internet Information server 4.0 使用大全.北京:人民邮电出版社,1998
4 Microsoft 著. 曹康,曹锋,李珍明 译. 网络服务器的技术支持. 北京:学苑出版社,1994
5 方亚隽,詹建梁 编著. Windows NT 联网技术. 北京:清华大学出版社,1996
