探討高校機房網(wǎng)絡(luò)安全及管理

關(guān)景華 魏 斌 郭新銳 梁 過

(鄭州大學 軟件技術(shù)學院，河南 鄭州 450002)

互聯(lián)網(wǎng)絡(luò)的高速發(fā)展對網(wǎng)絡(luò)安全提出了新的要求，網(wǎng)絡(luò)規(guī)模不斷擴大、網(wǎng)絡(luò)攻擊技術(shù)不斷進步、各種操作系統(tǒng)安全漏洞、網(wǎng)絡(luò)數(shù)據(jù)庫的安全風險、有組織的惡意網(wǎng)絡(luò)攻擊群體迅速壯大、防火墻的局限性等。面對層出不窮的網(wǎng)絡(luò)安全問題，很多企業(yè)和政府部門都購置了各種網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、網(wǎng)絡(luò)防病毒軟件等。與此同時高校校園網(wǎng)絡(luò)安全也提到了工作議程，高校的公共計算機機房(以下簡稱“機房”)是校園網(wǎng)絡(luò)的的重心，機房主要承擔全校學生基礎(chǔ)課、專業(yè)課、期末考試、畢業(yè)生實訓等教學任務(wù)以及學生的自由上機實踐。機房管理的內(nèi)容十分廣泛，包括技術(shù)管理，設(shè)備管理，人員管理，網(wǎng)絡(luò)安全管理等方面。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中存在的安全問題也日趨嚴重，我結(jié)合近幾年的工作就高校機房網(wǎng)絡(luò)安全管理提出了一些淺見供機房管理者探討。

1 機房網(wǎng)絡(luò)的安全威脅分類

1.1 系統(tǒng)軟件和應(yīng)用程序等不安全因素

目前高校機房普遍使用Windows XP 和Win7 兩種操作系統(tǒng)版本。計算機系統(tǒng)不可能無缺陷和無漏洞，在漏洞的補丁更新之前，這些漏洞往往可能被黑客所利用。并非只有操作系統(tǒng)漏洞，軟件的開發(fā)是一個復(fù)雜的過程，由于種種原因，一些應(yīng)用程序也經(jīng)常出現(xiàn)漏洞比如Microsoft Office，F(xiàn)lash Player等都會出現(xiàn)各種漏洞。不同的的漏洞表現(xiàn)形式各有不同，危害程度也不盡相同，但是都威脅系統(tǒng)的完整性、保密性等。學生上機過程中有意無意進行的一些卸載、刪除、格式化等操作，更是直接對操作系統(tǒng)及軟件環(huán)境造成不可挽回的破壞，這也是系統(tǒng)安全隱患的一個因素。

1.2 計算機網(wǎng)絡(luò)的脆弱性

計算機網(wǎng)絡(luò)進行通信，一般都要通過通信線路、調(diào)制解調(diào)器、路由器和交換機等設(shè)備，如果網(wǎng)絡(luò)中的某個環(huán)節(jié)出現(xiàn)安全問題，發(fā)生比如ARP 攻擊、網(wǎng)絡(luò)下載等問題，那么整個網(wǎng)絡(luò)都將受到影響，進而導(dǎo)致機房的教學、實驗任務(wù)和管理、維護工作都無法正常進行。

1.3 計算機病毒

計算機的普及和網(wǎng)絡(luò)化，為計算機病毒的廣泛傳播提供了便利條件。目前，各類病毒、木馬層出不窮，學校機房因使用頻繁、上機學生人數(shù)多，往往是各類計算機病毒流行的多發(fā)區(qū)、重災(zāi)區(qū)!在機房上機教學、上機實驗的過程中，訪問不良網(wǎng)站感染、局域網(wǎng)傳播感染等多種方式，都可能導(dǎo)致計算機感染病毒，造成計算機無法正常使用。計算機病毒具有傳染性、隱蔽性、潛伏性、破壞性等特點。病毒對系統(tǒng)和應(yīng)用程序都有不同程度的破壞，同時還利用網(wǎng)絡(luò)、移動存儲設(shè)備(U 盤、移動硬盤)等其他媒介傳播和蔓延。特別是網(wǎng)絡(luò)病毒通過網(wǎng)絡(luò)媒介傳播，具有傳染方式多、傳播速度快、影響面大、清除難度大、破壞力強的特點，對網(wǎng)絡(luò)正常通訊造成的危害性很大。曾經(jīng)風靡一時的“熊貓燒香”“U 盤病毒”、“ARP 病毒”、“文件夾病毒”等病毒，導(dǎo)致機房電腦大范圍的中毒，嚴重影響教學工作的正常進行。

1.4 管理制度不健全

不管是多么完善的網(wǎng)絡(luò)體系，都需要管理人員來管理和維護，人員管理是網(wǎng)絡(luò)安全的一個重要環(huán)節(jié)，管理因素往往是網(wǎng)絡(luò)安全漏洞的直接原因。微軟退休的一位高層曾說過“被黑客攻擊，不是因為技術(shù)問題，而是由于人的問題。當我們跟蹤錯誤的時候，總會發(fā)現(xiàn)是人的問題”。管理人員的網(wǎng)絡(luò)安全意識、責任心不強，再加上缺乏相應(yīng)的規(guī)章制度和操作規(guī)則，很難形成強有力的網(wǎng)絡(luò)安全管理體系作。學生是機房的使用者，缺乏相應(yīng)的思想教育和相應(yīng)的管理制度來規(guī)范約束學生，由于處于青年階段的大學生好奇心比較強，訪問一些不法網(wǎng)站或編寫一些病毒小程序等。

2 解決方案及策略

2.1 系統(tǒng)保護

如今還原卡保護技術(shù)已經(jīng)相當成熟，還原卡已經(jīng)被廣泛應(yīng)用于各大高校機房，目前市場上比較流行的有增霸卡、藍光卡等品牌。機房計算機系統(tǒng)被還原卡保護之后，再次重啟后系統(tǒng)恢復(fù)到最初狀態(tài)，這樣以來就不會因為學生的誤刪影響教學進展。保護卡的應(yīng)用為管理工作帶來了便利，保障教學工作的順利進行。隨著開發(fā)技術(shù)的提高，系統(tǒng)保護軟件也應(yīng)運而生，比如“影子系統(tǒng)”，還原效果可以跟還原卡相媲美。

管理人員應(yīng)及時安裝各種安全補丁程序，不給入侵者有可乘之機，同時進行軟件升級。

2.2 訪問限制

訪問控制是網(wǎng)絡(luò)安全和防范的主要技術(shù)手段，可以保障資源不被非法訪問及使用。銳捷網(wǎng)絡(luò)的交換機有端口安全的功能，利用交換機的端口安全功能可以實現(xiàn)網(wǎng)絡(luò)接入安全，只允許指定MAC 地址的設(shè)備接入到網(wǎng)絡(luò)中，從而防止用戶將未授權(quán)的設(shè)備接入網(wǎng)絡(luò)。限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中。同時，為了防止機房網(wǎng)中地址盜用和地址沖突，可以在交換機或其他網(wǎng)絡(luò)設(shè)備上進行MAC綁定，使每個IP 地址綁定一個相應(yīng)的MAC 地址，如果在硬件上無法實現(xiàn)綁定，還可以用軟件來實現(xiàn)。

分組過濾有助于限制網(wǎng)絡(luò)的分組傳輸，這種控制能夠幫助限制網(wǎng)絡(luò)數(shù)據(jù)流和限制某些用戶或設(shè)備對網(wǎng)絡(luò)的使用。訪問控制列表ACL(Access Control List)最直接的功能就是包過濾。

訪問控制列表的三個作用:(1)安全控制。允許符合匹配規(guī)則的數(shù)據(jù)包通過訪問，同時拒絕不符合匹配規(guī)則的數(shù)據(jù)包。(2)流量過濾。防止一些不必要的數(shù)據(jù)包通過路由器，提高帶寬的利用率。(3)數(shù)據(jù)流量標識。當有多條網(wǎng)絡(luò)鏈路時，讓不同的數(shù)據(jù)包選擇不同的鏈路。

2.3 病毒防范

最理想的反病毒就是防御，即杜絕病毒進入系統(tǒng)。但是通常情況下，是難以完全實現(xiàn)的，只有盡可能的減少病毒攻擊的次數(shù)。自然而然的就會想到殺毒軟件，市場上流行的殺毒軟件有很多，國外有卡巴斯基、諾頓等，國內(nèi)有江民、瑞星、金山和360 殺毒等。這些殺毒軟件就像俗話說的那樣“尺有所長，寸有所短”，沒有更好，只有適合，根據(jù)機房的情況選擇相應(yīng)的殺毒軟件。

僅僅依靠于殺毒軟件，還是遠遠不能避免病毒的入侵，還要安裝防火墻軟件和防惡意軟件等。有了軟件的防護，管理維護工作也要跟上，管理人員要定期檢查清除電腦上殘留的病毒，及時更新殺毒軟件的版本和病毒庫升級，注意病毒流行動向，及時發(fā)現(xiàn)正在流行的病毒，并采取相應(yīng)的防范措施。

2.4 制定機房管理制度

任何一個健康有序的環(huán)境都離不開規(guī)章制度，為了建設(shè)一個健康的教學環(huán)境，建立一個科學完善的安全管理制度是尤為重要的。網(wǎng)絡(luò)本身的安全問題可以通過技術(shù)手段來解決，可是網(wǎng)絡(luò)的管理、維護及應(yīng)用需要相應(yīng)的規(guī)章制度。人員管理是實現(xiàn)機房網(wǎng)絡(luò)安全的一個重要環(huán)節(jié)。如果沒有相應(yīng)的管理制度，再好的網(wǎng)絡(luò)安全實施方案也形同虛設(shè)。我們學院為此制定了一系列的制度《機房管理規(guī)則》、《學生機房守則》、《網(wǎng)絡(luò)安全管理規(guī)則》、《機房安全制度》等，最大限度的保證機房的正常運行和網(wǎng)絡(luò)安全。為了跟上科技進步的步伐，我們學院加強網(wǎng)絡(luò)管理人員的技術(shù)培訓，充分利用先進技術(shù)手段進行自動化管理以及處理網(wǎng)絡(luò)運行過程中出現(xiàn)的各種突發(fā)事件。

2.5 加強學生網(wǎng)絡(luò)安全教育

古人云:堵者禁也，禁而止之，止之不止，為害猶烈;疏者理也，理而散之，化于無形。大禹治水運用疏堵結(jié)合從而達到平息水患的目的。機房管理亦是如此，學生是機房的使用主體，加強大學生的思想教育，正確引導(dǎo)學生使用網(wǎng)絡(luò)。對于大學生上網(wǎng)，以限制的方法來解決問題并非良策，但這并不是說不進行限制，而是要用積極的方法去引導(dǎo)，給他們樹立正確的態(tài)度和理念去應(yīng)用網(wǎng)絡(luò)。學?？梢酝ㄟ^各種教學活動和講座等形式，教育學生樹立網(wǎng)絡(luò)安全意識;要求學生做到在網(wǎng)絡(luò)上不瀏覽、不傳播不健康或反動的信息;防止學生把機房里的電腦作為網(wǎng)絡(luò)黑客攻擊的工具;現(xiàn)如今電子商務(wù)日益普及，杜絕學生將教學機房里的電腦作為盜竊他人信息、財物的作案工具。

上述方案在一定程度上可以解決機房網(wǎng)絡(luò)安全及管理存在的一些問題，為進一步提高教學質(zhì)量營造一個良好的環(huán)境。機房網(wǎng)絡(luò)安全及管理是一項復(fù)雜而龐大的工程。這項工作的一些問題具有不確定性，世上萬物都不存在絕對的完美，對于計算機網(wǎng)絡(luò)安全亦是如此，我們只能制定較為完善的方案。今后我們將繼續(xù)努力確保學院機房網(wǎng)絡(luò)的正常、安全運行，為學院教學、科研工作的開展提供穩(wěn)定的網(wǎng)絡(luò)保障。

3 結(jié)束語

試圖提出一個高校機房計算機網(wǎng)絡(luò)安全的全面解決方案。但是各大高校的機房的情況不盡相同，而且對安全程度的要求也完全不同。高校因根據(jù)自己的網(wǎng)絡(luò)需求及自身條件，來建立適應(yīng)本學校的網(wǎng)絡(luò)安全體系。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全也在不斷變化的，網(wǎng)絡(luò)安全工作將是一個長期、不斷更新又充滿挑戰(zhàn)的巨大工程，作為網(wǎng)絡(luò)管理工作人員任重而道遠。

［1］賈鐵軍、常艷、俞小怡等《網(wǎng)絡(luò)安全實用技術(shù)》［M］北京:清華大學出版社，2011.8

［2］石志國、薛為民、尹浩《計算機網(wǎng)絡(luò)安全教程》［M］北京:清華大學陳版社;北京交通大學出版社，2011.2

［3］袁津生、吳硯農(nóng)《計算機網(wǎng)絡(luò)安全基礎(chǔ)》［M］北京:人民郵電出版社，2004.7

［4］高峽、陳智罡、袁宗?！毒W(wǎng)絡(luò)設(shè)備互連學習指南》［M］北京:科學出版社，2009.4

［5］陳鳴《網(wǎng)絡(luò)工程設(shè)計教程》［M］北京:機械工業(yè)出版社，2008.6

［6］李劍、張然《信息安全概論》［M］北京:機械工業(yè)出版社，2011.7

［7］姚紅英《高校教學用計算機機房網(wǎng)絡(luò)安全問題及對策》［J］，《廣西質(zhì)量監(jiān)督導(dǎo)報》，2007.12

［8］韓磊《淺析高校機房網(wǎng)絡(luò)安全維護》［J］，《牡丹江醫(yī)學院學報》，2008.08

［9］鮑宇《學校網(wǎng)絡(luò)安全問題的分析與對策》［J］，《實驗教學與儀器》，2006.08

［10］石磊、張怡、周俊《淺議學校機房網(wǎng)絡(luò)安全維護策略》，《科技資訊》，2009.10