探討高校機(jī)房網(wǎng)絡(luò)安全及管理

關(guān)景華 魏 斌 郭新銳 梁 過

(鄭州大學(xué) 軟件技術(shù)學(xué)院，河南 鄭州 450002)

互聯(lián)網(wǎng)絡(luò)的高速發(fā)展對(duì)網(wǎng)絡(luò)安全提出了新的要求，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大、網(wǎng)絡(luò)攻擊技術(shù)不斷進(jìn)步、各種操作系統(tǒng)安全漏洞、網(wǎng)絡(luò)數(shù)據(jù)庫的安全風(fēng)險(xiǎn)、有組織的惡意網(wǎng)絡(luò)攻擊群體迅速壯大、防火墻的局限性等。面對(duì)層出不窮的網(wǎng)絡(luò)安全問題，很多企業(yè)和政府部門都購置了各種網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、網(wǎng)絡(luò)防病毒軟件等。與此同時(shí)高校校園網(wǎng)絡(luò)安全也提到了工作議程，高校的公共計(jì)算機(jī)機(jī)房(以下簡(jiǎn)稱“機(jī)房”)是校園網(wǎng)絡(luò)的的重心，機(jī)房主要承擔(dān)全校學(xué)生基礎(chǔ)課、專業(yè)課、期末考試、畢業(yè)生實(shí)訓(xùn)等教學(xué)任務(wù)以及學(xué)生的自由上機(jī)實(shí)踐。機(jī)房管理的內(nèi)容十分廣泛，包括技術(shù)管理，設(shè)備管理，人員管理，網(wǎng)絡(luò)安全管理等方面。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中存在的安全問題也日趨嚴(yán)重，我結(jié)合近幾年的工作就高校機(jī)房網(wǎng)絡(luò)安全管理提出了一些淺見供機(jī)房管理者探討。

1 機(jī)房網(wǎng)絡(luò)的安全威脅分類

1.1 系統(tǒng)軟件和應(yīng)用程序等不安全因素

目前高校機(jī)房普遍使用Windows XP 和Win7 兩種操作系統(tǒng)版本。計(jì)算機(jī)系統(tǒng)不可能無缺陷和無漏洞，在漏洞的補(bǔ)丁更新之前，這些漏洞往往可能被黑客所利用。并非只有操作系統(tǒng)漏洞，軟件的開發(fā)是一個(gè)復(fù)雜的過程，由于種種原因，一些應(yīng)用程序也經(jīng)常出現(xiàn)漏洞比如Microsoft Office，F(xiàn)lash Player等都會(huì)出現(xiàn)各種漏洞。不同的的漏洞表現(xiàn)形式各有不同，危害程度也不盡相同，但是都威脅系統(tǒng)的完整性、保密性等。學(xué)生上機(jī)過程中有意無意進(jìn)行的一些卸載、刪除、格式化等操作，更是直接對(duì)操作系統(tǒng)及軟件環(huán)境造成不可挽回的破壞，這也是系統(tǒng)安全隱患的一個(gè)因素。

1.2 計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性

計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行通信，一般都要通過通信線路、調(diào)制解調(diào)器、路由器和交換機(jī)等設(shè)備，如果網(wǎng)絡(luò)中的某個(gè)環(huán)節(jié)出現(xiàn)安全問題，發(fā)生比如ARP 攻擊、網(wǎng)絡(luò)下載等問題，那么整個(gè)網(wǎng)絡(luò)都將受到影響，進(jìn)而導(dǎo)致機(jī)房的教學(xué)、實(shí)驗(yàn)任務(wù)和管理、維護(hù)工作都無法正常進(jìn)行。

1.3 計(jì)算機(jī)病毒

計(jì)算機(jī)的普及和網(wǎng)絡(luò)化，為計(jì)算機(jī)病毒的廣泛傳播提供了便利條件。目前，各類病毒、木馬層出不窮，學(xué)校機(jī)房因使用頻繁、上機(jī)學(xué)生人數(shù)多，往往是各類計(jì)算機(jī)病毒流行的多發(fā)區(qū)、重災(zāi)區(qū)!在機(jī)房上機(jī)教學(xué)、上機(jī)實(shí)驗(yàn)的過程中，訪問不良網(wǎng)站感染、局域網(wǎng)傳播感染等多種方式，都可能導(dǎo)致計(jì)算機(jī)感染病毒，造成計(jì)算機(jī)無法正常使用。計(jì)算機(jī)病毒具有傳染性、隱蔽性、潛伏性、破壞性等特點(diǎn)。病毒對(duì)系統(tǒng)和應(yīng)用程序都有不同程度的破壞，同時(shí)還利用網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)設(shè)備(U 盤、移動(dòng)硬盤)等其他媒介傳播和蔓延。特別是網(wǎng)絡(luò)病毒通過網(wǎng)絡(luò)媒介傳播，具有傳染方式多、傳播速度快、影響面大、清除難度大、破壞力強(qiáng)的特點(diǎn)，對(duì)網(wǎng)絡(luò)正常通訊造成的危害性很大。曾經(jīng)風(fēng)靡一時(shí)的“熊貓燒香”“U 盤病毒”、“ARP 病毒”、“文件夾病毒”等病毒，導(dǎo)致機(jī)房電腦大范圍的中毒，嚴(yán)重影響教學(xué)工作的正常進(jìn)行。

1.4 管理制度不健全

不管是多么完善的網(wǎng)絡(luò)體系，都需要管理人員來管理和維護(hù)，人員管理是網(wǎng)絡(luò)安全的一個(gè)重要環(huán)節(jié)，管理因素往往是網(wǎng)絡(luò)安全漏洞的直接原因。微軟退休的一位高層曾說過“被黑客攻擊，不是因?yàn)榧夹g(shù)問題，而是由于人的問題。當(dāng)我們跟蹤錯(cuò)誤的時(shí)候，總會(huì)發(fā)現(xiàn)是人的問題”。管理人員的網(wǎng)絡(luò)安全意識(shí)、責(zé)任心不強(qiáng)，再加上缺乏相應(yīng)的規(guī)章制度和操作規(guī)則，很難形成強(qiáng)有力的網(wǎng)絡(luò)安全管理體系作。學(xué)生是機(jī)房的使用者，缺乏相應(yīng)的思想教育和相應(yīng)的管理制度來規(guī)范約束學(xué)生，由于處于青年階段的大學(xué)生好奇心比較強(qiáng)，訪問一些不法網(wǎng)站或編寫一些病毒小程序等。

2 解決方案及策略

2.1 系統(tǒng)保護(hù)

如今還原卡保護(hù)技術(shù)已經(jīng)相當(dāng)成熟，還原卡已經(jīng)被廣泛應(yīng)用于各大高校機(jī)房，目前市場(chǎng)上比較流行的有增霸卡、藍(lán)光卡等品牌。機(jī)房計(jì)算機(jī)系統(tǒng)被還原卡保護(hù)之后，再次重啟后系統(tǒng)恢復(fù)到最初狀態(tài)，這樣以來就不會(huì)因?yàn)閷W(xué)生的誤刪影響教學(xué)進(jìn)展。保護(hù)卡的應(yīng)用為管理工作帶來了便利，保障教學(xué)工作的順利進(jìn)行。隨著開發(fā)技術(shù)的提高，系統(tǒng)保護(hù)軟件也應(yīng)運(yùn)而生，比如“影子系統(tǒng)”，還原效果可以跟還原卡相媲美。

管理人員應(yīng)及時(shí)安裝各種安全補(bǔ)丁程序，不給入侵者有可乘之機(jī)，同時(shí)進(jìn)行軟件升級(jí)。

2.2 訪問限制

訪問控制是網(wǎng)絡(luò)安全和防范的主要技術(shù)手段，可以保障資源不被非法訪問及使用。銳捷網(wǎng)絡(luò)的交換機(jī)有端口安全的功能，利用交換機(jī)的端口安全功能可以實(shí)現(xiàn)網(wǎng)絡(luò)接入安全，只允許指定MAC 地址的設(shè)備接入到網(wǎng)絡(luò)中，從而防止用戶將未授權(quán)的設(shè)備接入網(wǎng)絡(luò)。限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中。同時(shí)，為了防止機(jī)房網(wǎng)中地址盜用和地址沖突，可以在交換機(jī)或其他網(wǎng)絡(luò)設(shè)備上進(jìn)行MAC綁定，使每個(gè)IP 地址綁定一個(gè)相應(yīng)的MAC 地址，如果在硬件上無法實(shí)現(xiàn)綁定，還可以用軟件來實(shí)現(xiàn)。

分組過濾有助于限制網(wǎng)絡(luò)的分組傳輸，這種控制能夠幫助限制網(wǎng)絡(luò)數(shù)據(jù)流和限制某些用戶或設(shè)備對(duì)網(wǎng)絡(luò)的使用。訪問控制列表ACL(Access Control List)最直接的功能就是包過濾。

訪問控制列表的三個(gè)作用:(1)安全控制。允許符合匹配規(guī)則的數(shù)據(jù)包通過訪問，同時(shí)拒絕不符合匹配規(guī)則的數(shù)據(jù)包。(2)流量過濾。防止一些不必要的數(shù)據(jù)包通過路由器，提高帶寬的利用率。(3)數(shù)據(jù)流量標(biāo)識(shí)。當(dāng)有多條網(wǎng)絡(luò)鏈路時(shí)，讓不同的數(shù)據(jù)包選擇不同的鏈路。

2.3 病毒防范

最理想的反病毒就是防御，即杜絕病毒進(jìn)入系統(tǒng)。但是通常情況下，是難以完全實(shí)現(xiàn)的，只有盡可能的減少病毒攻擊的次數(shù)。自然而然的就會(huì)想到殺毒軟件，市場(chǎng)上流行的殺毒軟件有很多，國外有卡巴斯基、諾頓等，國內(nèi)有江民、瑞星、金山和360 殺毒等。這些殺毒軟件就像俗話說的那樣“尺有所長，寸有所短”，沒有更好，只有適合，根據(jù)機(jī)房的情況選擇相應(yīng)的殺毒軟件。

僅僅依靠于殺毒軟件，還是遠(yuǎn)遠(yuǎn)不能避免病毒的入侵，還要安裝防火墻軟件和防惡意軟件等。有了軟件的防護(hù)，管理維護(hù)工作也要跟上，管理人員要定期檢查清除電腦上殘留的病毒，及時(shí)更新殺毒軟件的版本和病毒庫升級(jí)，注意病毒流行動(dòng)向，及時(shí)發(fā)現(xiàn)正在流行的病毒，并采取相應(yīng)的防范措施。

2.4 制定機(jī)房管理制度

任何一個(gè)健康有序的環(huán)境都離不開規(guī)章制度，為了建設(shè)一個(gè)健康的教學(xué)環(huán)境，建立一個(gè)科學(xué)完善的安全管理制度是尤為重要的。網(wǎng)絡(luò)本身的安全問題可以通過技術(shù)手段來解決，可是網(wǎng)絡(luò)的管理、維護(hù)及應(yīng)用需要相應(yīng)的規(guī)章制度。人員管理是實(shí)現(xiàn)機(jī)房網(wǎng)絡(luò)安全的一個(gè)重要環(huán)節(jié)。如果沒有相應(yīng)的管理制度，再好的網(wǎng)絡(luò)安全實(shí)施方案也形同虛設(shè)。我們學(xué)院為此制定了一系列的制度《機(jī)房管理規(guī)則》、《學(xué)生機(jī)房守則》、《網(wǎng)絡(luò)安全管理規(guī)則》、《機(jī)房安全制度》等，最大限度的保證機(jī)房的正常運(yùn)行和網(wǎng)絡(luò)安全。為了跟上科技進(jìn)步的步伐，我們學(xué)院加強(qiáng)網(wǎng)絡(luò)管理人員的技術(shù)培訓(xùn)，充分利用先進(jìn)技術(shù)手段進(jìn)行自動(dòng)化管理以及處理網(wǎng)絡(luò)運(yùn)行過程中出現(xiàn)的各種突發(fā)事件。

2.5 加強(qiáng)學(xué)生網(wǎng)絡(luò)安全教育

古人云:堵者禁也，禁而止之，止之不止，為害猶烈;疏者理也，理而散之，化于無形。大禹治水運(yùn)用疏堵結(jié)合從而達(dá)到平息水患的目的。機(jī)房管理亦是如此，學(xué)生是機(jī)房的使用主體，加強(qiáng)大學(xué)生的思想教育，正確引導(dǎo)學(xué)生使用網(wǎng)絡(luò)。對(duì)于大學(xué)生上網(wǎng)，以限制的方法來解決問題并非良策，但這并不是說不進(jìn)行限制，而是要用積極的方法去引導(dǎo)，給他們樹立正確的態(tài)度和理念去應(yīng)用網(wǎng)絡(luò)。學(xué)?？梢酝ㄟ^各種教學(xué)活動(dòng)和講座等形式，教育學(xué)生樹立網(wǎng)絡(luò)安全意識(shí);要求學(xué)生做到在網(wǎng)絡(luò)上不瀏覽、不傳播不健康或反動(dòng)的信息;防止學(xué)生把機(jī)房里的電腦作為網(wǎng)絡(luò)黑客攻擊的工具;現(xiàn)如今電子商務(wù)日益普及，杜絕學(xué)生將教學(xué)機(jī)房里的電腦作為盜竊他人信息、財(cái)物的作案工具。

上述方案在一定程度上可以解決機(jī)房網(wǎng)絡(luò)安全及管理存在的一些問題，為進(jìn)一步提高教學(xué)質(zhì)量營造一個(gè)良好的環(huán)境。機(jī)房網(wǎng)絡(luò)安全及管理是一項(xiàng)復(fù)雜而龐大的工程。這項(xiàng)工作的一些問題具有不確定性，世上萬物都不存在絕對(duì)的完美，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全亦是如此，我們只能制定較為完善的方案。今后我們將繼續(xù)努力確保學(xué)院機(jī)房網(wǎng)絡(luò)的正常、安全運(yùn)行，為學(xué)院教學(xué)、科研工作的開展提供穩(wěn)定的網(wǎng)絡(luò)保障。

3 結(jié)束語

試圖提出一個(gè)高校機(jī)房計(jì)算機(jī)網(wǎng)絡(luò)安全的全面解決方案。但是各大高校的機(jī)房的情況不盡相同，而且對(duì)安全程度的要求也完全不同。高校因根據(jù)自己的網(wǎng)絡(luò)需求及自身?xiàng)l件，來建立適應(yīng)本學(xué)校的網(wǎng)絡(luò)安全體系。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全也在不斷變化的，網(wǎng)絡(luò)安全工作將是一個(gè)長期、不斷更新又充滿挑戰(zhàn)的巨大工程，作為網(wǎng)絡(luò)管理工作人員任重而道遠(yuǎn)。

［1］賈鐵軍、常艷、俞小怡等《網(wǎng)絡(luò)安全實(shí)用技術(shù)》［M］北京:清華大學(xué)出版社，2011.8

［2］石志國、薛為民、尹浩《計(jì)算機(jī)網(wǎng)絡(luò)安全教程》［M］北京:清華大學(xué)陳版社;北京交通大學(xué)出版社，2011.2

［3］袁津生、吳硯農(nóng)《計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)》［M］北京:人民郵電出版社，2004.7

［4］高峽、陳智罡、袁宗福《網(wǎng)絡(luò)設(shè)備互連學(xué)習(xí)指南》［M］北京:科學(xué)出版社，2009.4

［5］陳鳴《網(wǎng)絡(luò)工程設(shè)計(jì)教程》［M］北京:機(jī)械工業(yè)出版社，2008.6

［6］李劍、張然《信息安全概論》［M］北京:機(jī)械工業(yè)出版社，2011.7

［7］姚紅英《高校教學(xué)用計(jì)算機(jī)機(jī)房網(wǎng)絡(luò)安全問題及對(duì)策》［J］，《廣西質(zhì)量監(jiān)督導(dǎo)報(bào)》，2007.12

［8］韓磊《淺析高校機(jī)房網(wǎng)絡(luò)安全維護(hù)》［J］，《牡丹江醫(yī)學(xué)院學(xué)報(bào)》，2008.08

［9］鮑宇《學(xué)校網(wǎng)絡(luò)安全問題的分析與對(duì)策》［J］，《實(shí)驗(yàn)教學(xué)與儀器》，2006.08

［10］石磊、張怡、周俊《淺議學(xué)校機(jī)房網(wǎng)絡(luò)安全維護(hù)策略》，《科技資訊》，2009.10