高職機房網(wǎng)絡(luò)安全存在的問題與對策

◆吳志華

高職機房網(wǎng)絡(luò)安全存在的問題與對策

◆吳志華

（廣州番禺職業(yè)技術(shù)學(xué)院管理學(xué)院 廣東 511483）

機房網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性，決定了高職機房網(wǎng)絡(luò)安全威脅的客觀存在。從高職機房網(wǎng)絡(luò)安全的現(xiàn)狀出發(fā)，分析網(wǎng)絡(luò)安全的常見問題，采用網(wǎng)絡(luò)安全技術(shù)對機房網(wǎng)絡(luò)安全的常見問題提出應(yīng)對措施。從而為網(wǎng)絡(luò)安全的防范提出應(yīng)對方法，也為機房網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)提供技術(shù)借鑒。

網(wǎng)絡(luò)安全；防火墻；入侵檢測；安全審計

0 引言

隨著國家對職業(yè)教育的投入和發(fā)展，高職院校的信息化、數(shù)字化進程也在加快建設(shè)，高職計算機機房承擔(dān)著學(xué)生的各類課程的專業(yè)實訓(xùn)和翻轉(zhuǎn)課堂教學(xué)活動等教學(xué)任務(wù)，是教與學(xué)的重要環(huán)境，機房的穩(wěn)定性和保障關(guān)系到教學(xué)的正常進行，而機房網(wǎng)絡(luò)安全問題經(jīng)常危及和影響到教學(xué)的正常運行。因此，機房網(wǎng)絡(luò)安全問題是高職機房管理的重要環(huán)節(jié)和內(nèi)容。

1 計算機網(wǎng)絡(luò)安全概述

計算機網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理技術(shù)防止網(wǎng)絡(luò)系統(tǒng)的軟硬件及網(wǎng)上傳輸?shù)男畔?，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機網(wǎng)絡(luò)作為學(xué)習(xí)者獲取信息的重要途徑，在保證網(wǎng)絡(luò)正常運行的同時，要管理好網(wǎng)絡(luò)客戶和相關(guān)的網(wǎng)絡(luò)服務(wù)，以確保不影響網(wǎng)絡(luò)信息資源的準確性。計算機網(wǎng)絡(luò)安全主要包含兩方面內(nèi)容：物理安全和邏輯安全，物理安全主要是系統(tǒng)設(shè)備和與其相關(guān)的設(shè)施在物理的保護下避免被丟失或遭受破壞，邏輯安全主要指網(wǎng)絡(luò)信息的完整性、保密性和可用性；而高職機房網(wǎng)絡(luò)安全主要是保護機房的正常運行和教學(xué)資源的數(shù)據(jù)完整性，以此來確保計算機機房的安全性。

2 高職計算機機房網(wǎng)絡(luò)安全常見問題

2.1黑客攻擊

黑客是網(wǎng)絡(luò)信息安全的一項重要威脅，他們大都精通于計算機技術(shù)，特別是精通各種編程語言和各類操作系統(tǒng)，可以破解企業(yè)或?qū)W校網(wǎng)絡(luò)的信息管理中心密碼，進入系統(tǒng)內(nèi)部獲取數(shù)據(jù)和信息資源，進而會給企業(yè)和學(xué)校造成嚴重的危害。機房黑客攻擊主要有兩種：

（1）偽裝IP攻擊。偽裝IP攻擊是指一些非法的主機會在其他程序的偽裝下假冒企業(yè)或組織內(nèi)部的IP主機的地址，進而獲取企業(yè)內(nèi)部服務(wù)系統(tǒng)的“信任”，從而達到自己非法獲取相應(yīng)資料或者入侵網(wǎng)絡(luò)的目的。

（2）特洛伊木馬。特洛伊木馬不是病毒而是一種黑客程序，黑客通過木馬程序非法獲取計算機中的重要信息，如用戶密碼、硬盤上的數(shù)據(jù)文件等。黑客利用木馬程序在對方計算機中安裝黑客服務(wù)端程序，那么黑客就可以利用自己的客戶端程序進入這臺計算機中，達到控制和監(jiān)視的目的。

2.2病毒入侵

病毒入侵一般是指通過技術(shù)手段對個人電腦植入病毒，竊取用戶個人資料、隱私信息，甚至是銀行賬戶信息等，以從中獲取不正當利益。

（1）木馬病毒。木馬病毒與一般的病毒不同，它并不具備快速自我復(fù)制的能力，也不會具有刻意的傳染性，作為流行的病毒文件，它是隱藏在合法程序內(nèi)的非法程序，極具偽裝性，進而吸引不知情的客戶進行下載，如果這一偽裝程序一旦被執(zhí)行，木馬便會進入到客戶端植入病毒，竊取者可以任意地打開被侵入者的電腦程序獲取或者損毀其文件資料，甚至可以任意地操控被入侵者的電腦，極具危害性。目前我們常見的木馬種類有網(wǎng)游木馬、網(wǎng)銀木馬、FTP木馬(網(wǎng)頁點擊類、通訊軟件類等)，它們的種類繁多，并且伴隨著病毒編寫技術(shù)的不斷發(fā)展，其危害性也越來越大。

（2）蠕蟲病毒。蠕蟲病毒是網(wǎng)絡(luò)病毒中危害較大的一種常見病毒，具有極強的傳染性和寄生性，大多通過網(wǎng)絡(luò)的形式或者電子郵件的形式傳播，并且可以快速的實現(xiàn)自我復(fù)制，還可以救助與系統(tǒng)存在的網(wǎng)絡(luò)漏洞進行攻擊，最終導(dǎo)致信息量過大而造成通信過載，導(dǎo)致計算機自身的網(wǎng)絡(luò)安全系統(tǒng)癱瘓而不能正常工作。2009年出現(xiàn)的“熊貓燒香”便是典型的蠕蟲病毒代表，通過共享文件和破解口令等方式進行傳播。

2.3監(jiān)聽與欺騙

監(jiān)聽與欺騙也是威脅機房網(wǎng)絡(luò)安全的重要手段，主要包含兩種：

（1）DNS欺騙。DNS欺騙是較為常見的一種，它的操作過程稍微有點繁瑣。DNS欺騙的原理是黑客將自己的主機假裝為域名服務(wù)器，將用戶想要瀏覽的主機的IP地址，修改為攻擊者的IP地址，用戶就會進入到攻擊者的主機頁面，而不是原本想要瀏覽的網(wǎng)站的主頁。實際上黑客并沒有攻擊網(wǎng)站的主機，而是冒充了服務(wù)器的域名，誤導(dǎo)了用戶，當用戶連到被攻擊網(wǎng)站時，主頁被改成了黑客網(wǎng)站的內(nèi)容。

（2）Web欺騙。Web欺騙不會損壞計算機的軟、硬件，但它的危害是巨大的。攻擊者可以察看或者對Web服務(wù)器的信息進行改動，還可以操控返回的數(shù)據(jù)，甚至還可以發(fā)起攻擊，包括監(jiān)視和破壞。Web欺騙也是利用不同主機之間的相互信任關(guān)系，攻擊者通過冒充用戶想要瀏覽的真正的Web網(wǎng)頁進行欺騙的一種手段。攻擊者首先創(chuàng)建一個跟用戶想要真正瀏覽的Web頁面相同的網(wǎng)頁，然后當用戶瀏覽的時候，攻擊者就能截獲用戶的相關(guān)信息，包括用戶名、密碼等私密信息。例如我們經(jīng)常收到銀行的詐騙短信，告知賬戶被轉(zhuǎn)走了金額，需登錄網(wǎng)頁修改密碼，提供了一條銀行網(wǎng)站的鏈接。當用戶點擊鏈接進入網(wǎng)站，并且輸入個人的賬號、密碼等敏感信息時，攻擊者就通過非法的途徑獲得這些信息，然后再利用這些信息登入正確的網(wǎng)站盜取用戶的資料。

綜上所述，我們已經(jīng)將網(wǎng)絡(luò)信息安全的常見問題和相關(guān)原理進行分析，這也正是機房網(wǎng)絡(luò)信息安全方面存在的威脅因素，需要我們及時的對其進行分析和把握，只有這樣才能找準企業(yè)在網(wǎng)絡(luò)信息體系構(gòu)建中存在的問題，更好地為企業(yè)網(wǎng)絡(luò)信息的發(fā)展提供借鑒意義。

3 高職機房網(wǎng)絡(luò)安全主要應(yīng)對措施

3.1安裝機房防病毒及特洛伊木馬軟件

要保證整個網(wǎng)絡(luò)環(huán)境的安全，我們必須做到在病毒未入侵之前有效的預(yù)防，在病毒侵入之后快速地查找并排除，從而降低病毒的危害。目前，想要高效地維護機房電腦的安全，用于防止病毒的系統(tǒng)需要具備這樣幾種功能：能夠遠程進行安裝、升級智能化、能夠遠程進行報警、管理集中化、對病毒的查殺具有分布式的特點。具體做法如下：

（1）機房管理中心能夠?qū)崿F(xiàn)對機房網(wǎng)絡(luò)主機網(wǎng)點的管理，對它的安裝可以通過網(wǎng)絡(luò)服務(wù)器來實現(xiàn)，安裝版本為瑞星殺毒軟件網(wǎng)絡(luò)版。

（2）瑞星殺毒軟件客戶端（網(wǎng)絡(luò)版）應(yīng)該被安裝在每一臺需要上網(wǎng)的電腦上。

（3）按照上述兩步安裝好軟件后，在客戶端沒有聯(lián)網(wǎng)的情況下也能準確地查找病毒，這時需要用到網(wǎng)絡(luò)控制臺設(shè)置定時查殺操作。

（4）任何軟件在運行中均會存在漏洞，因此為了更好地讓學(xué)生電腦得到保護，需要機房管理員定期主動到瑞星官網(wǎng)上下載升級后的殺毒軟件（包括病毒定義碼、掃描引擎、程序文件等），完成殺毒軟件的定期更新。

3.2采用防火墻系統(tǒng)來實現(xiàn)機房訪問控制

防火墻部署在機房核心交換機與PC客戶機或者交換機與服務(wù)器群之間，有效地將核心交換機與其他網(wǎng)絡(luò)或服務(wù)器隔離開。如果不加入服務(wù)器，當外部網(wǎng)絡(luò)受到病毒的入侵時，病毒將開始逐步入侵其他的內(nèi)部網(wǎng)絡(luò)或者服務(wù)器，使傷害擴大。在機房使用防火墻可以將病毒隔離，使機房網(wǎng)絡(luò)服務(wù)器彼此之間獨立，不受局域網(wǎng)或其內(nèi)部病毒的攻擊，減少病毒對機房網(wǎng)絡(luò)的傷害。在機房安裝防火墻不僅能夠保護機房網(wǎng)絡(luò)服務(wù)器，也能很好的保護區(qū)域網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器。機房防火墻部署如圖1所示。

圖1 機房防火墻部署圖

除了可以使用機房防火墻來控制設(shè)備的訪問，通過啟用某些功能還能實現(xiàn)更多更高級的功能。比如需要進一步保護服務(wù)器，可以設(shè)置安全策略；日志需要監(jiān)控不合法的訪問，可以啟用NAT功能；需要動態(tài)地完成防護功能，可以使用與入侵檢測聯(lián)動的功能。為了性能更可靠，一般選購業(yè)界大公司和一些經(jīng)驗豐富的研究單位的產(chǎn)品。

3.3建設(shè)部署機房入侵檢測系統(tǒng)

審計數(shù)據(jù)以及網(wǎng)絡(luò)數(shù)據(jù)包能夠反映系統(tǒng)數(shù)據(jù)是否被篡改或者破環(huán)，因此，機房入侵檢測常常檢測以上兩類信息即可。入侵檢測能夠檢測出不符合安全策略、威脅系統(tǒng)安全的某些行為和活動，避免此類活動或行為攻擊資源包，篡改、泄露數(shù)據(jù)。當有機房入侵發(fā)生的時候，入侵檢測能夠發(fā)現(xiàn)并表示入侵活動，記錄數(shù)據(jù)流的變化，并分析響應(yīng)部件的結(jié)果。

因為不同的子網(wǎng)對流量和數(shù)據(jù)的保護程度不同，因此IDS探測器配置的位置也將不同，總的來說需要將其配置在關(guān)鍵子網(wǎng)的交換機上，當把核心交換機配置于控制臺上的時候，便可以對網(wǎng)絡(luò)中所有的探測器進行監(jiān)控。因此，其針對監(jiān)控內(nèi)部存在的攻擊或錯誤操作，并可以攔截、預(yù)防入侵。機房入侵檢測器網(wǎng)絡(luò)部署方案如圖2所示。

圖2 機房入侵探測器部署圖

當機房網(wǎng)絡(luò)上存在敏感數(shù)據(jù)時，往往會在這些網(wǎng)絡(luò)上布置入侵檢測系統(tǒng)。系統(tǒng)可以實時監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流的動向，截取通信數(shù)據(jù)流，當發(fā)現(xiàn)異常數(shù)據(jù)流的時候，判斷網(wǎng)絡(luò)是否被侵入。一旦確認這些異常數(shù)據(jù)流的產(chǎn)生原因是網(wǎng)絡(luò)受到攻擊，此時入侵檢測系統(tǒng)馬上做出相關(guān)的反應(yīng)：啟動控制臺進行報警，繼續(xù)跟蹤數(shù)據(jù)流的動向，找出攻擊源頭并切斷網(wǎng)絡(luò)連接，配置入侵檢測系統(tǒng)相關(guān)參數(shù)，對TCP/IP協(xié)議過濾并監(jiān)視。當系統(tǒng)中存在用戶自己定義的安全事件時，需要對此類事件進行監(jiān)視，以便生成安全日志，從而有利于系統(tǒng)安全審計，并使安全分析決策系統(tǒng)獲得開放數(shù)據(jù)庫的支持，提高網(wǎng)絡(luò)安全。

4 總結(jié)與反思

隨著網(wǎng)絡(luò)應(yīng)用的深入普及，網(wǎng)絡(luò)安全越來越重要。為了有效防止高職機房網(wǎng)絡(luò)安全事件的發(fā)生，必須注意計算機網(wǎng)絡(luò)的安全問題，網(wǎng)絡(luò)安全不是單一的應(yīng)用一種或幾種方法來防護，而是多種方法相結(jié)合，層層防護，才能做到全面防范和應(yīng)對網(wǎng)絡(luò)安全問題。除了技術(shù)方面的防范，還應(yīng)該加強校園和機房網(wǎng)絡(luò)安全的宣傳和防范技巧培訓(xùn)，建立機房網(wǎng)絡(luò)安全管理辦法和安全責(zé)任制度，從而營造一個健康良好的互聯(lián)網(wǎng)環(huán)境，以此保障正常的教學(xué)活動的運行。

[1]鄭子生.高校機房網(wǎng)絡(luò)安全問題分析及對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.

[2]王甲乙.機房網(wǎng)絡(luò)安全隱患及網(wǎng)絡(luò)安全技術(shù)和對策的應(yīng)用分析[J].電腦知識與技術(shù)，2017.

[3]王鑫.計算機機房網(wǎng)絡(luò)建設(shè)的安全與管理研究[J].價值工程，2013.

[4]黃國慶.機房網(wǎng)絡(luò)安全及管理問題研究與對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.