文章編號：1672-5913(2008)08-0048-02

摘要：本文探討了公共計算機實驗室安全體系結構的一種方式，并結合北京工業(yè)大學計算中心軟件實踐教學基地的建設進行了系統(tǒng)的總結。

關鍵詞：立體安全保障體系；主機安全；可用性

中圖分類號：G642

文獻標識碼：B

1引言

高等學校計算機公共計算機實驗室是指承擔著計算機軟件教學實踐環(huán)節(jié)和學生自主上機學習開放式的計算機機房，承擔著計算機實驗教學的任務。其特點是：一是計算機的軟件應用環(huán)境復雜。既然是公用系統(tǒng)，就要滿足不同層次不同課程教學的需求，以我校的計算機實驗室為例，目前有Windows XP、Windows Server、Linux三個分區(qū)，安裝有常用的系統(tǒng)軟件和應用軟件；二是使用計算機的人員多。由于是面對全校不同學科不同專業(yè)，又是全校唯一的全天開放的計算機機房；三是計算機角色的變化快，管理復雜。一會是學生上課，一會是學生自主學習。不同的方式，管理的方式、收費的方法就不相同。如何保證實驗教學順利進行，如何面對網絡在給人們帶來便利的同時而引入的病毒、攻擊等導致的計算機系統(tǒng)的崩潰，是國內外同行非常關注和需要解決的重要問題之一。本文就是從計算機系統(tǒng)的安全體系結構出發(fā)，結合北京工業(yè)大學的計算中心軟件教學示范中心的建設，力求探討一種立體式的安全保障體系，以維護計算機實驗室系統(tǒng)的正常運行。

2實驗室的安全保障體系

2.1問題的提出

公共計算機實驗室的特點決定了其安全體系結構不同于一般網絡信息中的安全體系結構，特別是對于用戶計算機的管理是截然不同的。網絡信息中心涉及的計算機是分布在各個部門的工作人員和實驗室當中，并不對計算機系統(tǒng)的安全負責，只是指導和建議，甚至是強制的。而公共計算機實驗室就不同了，計算機系統(tǒng)自身的安全要有實驗室老師負責保證，要提供安裝相應的應用程序軟件，提供必備的硬件環(huán)境，所以既要為學生提供良好的學習環(huán)境，又要防止學生中有意或無意造成的損害，還要預防網絡黑客的攻擊與計算機病毒的破壞；另一方面，既要保證實驗教學任務的圓滿完成，又要防止學生在上課時間訪問不利于教學活動的Web站點與程序，例如上課時間玩游戲、聊天、瀏覽不良網頁等等。上述諸多的問題，都要求公共計算機實驗室管理必須有一套完整的安全體系來保障計算機系統(tǒng)的正常工作，從而為實驗教學提供環(huán)境更好質量更高的服務。

2.2建設立體的安全保障體系

所謂立體的安全保障體系，就是從計算機實驗室的公共性角度出發(fā)，制定切實可行的安全管理辦法、運用先進的安全技術，采取科學的系統(tǒng)的安全措施，保證系統(tǒng)的可靠性、穩(wěn)定性和可用性。計算機系統(tǒng)安全不僅僅是一個產品，而是一個匯集了硬件、軟件、網絡、人以及他們之間相互關系和接口的系統(tǒng)。從專業(yè)的角度來看，安全問題不可能一勞永逸，也不能保證絕對安全，信息安全問題的處理過程是一個循環(huán)往復的過程，需要隨時間環(huán)境有不同層次的人的參與和協(xié)作，以及技術的交叉運用等復雜過程。從行業(yè)和組織的業(yè)務角度看，主要涉及安全立法、安全管理和安全技術三個層面。要確保實驗教學活動的順利進行，必須注重把每個環(huán)節(jié)落實到每個層次。計算機的安全最主要的問題不是安全技術、安全工具或者是安全產品的缺乏，而是計算機管理人員和用戶對安全知識忽視。

安全立法包括各種安全策略、法律法規(guī)、規(guī)章制度、技術標準、管理規(guī)范等，是計算機安全的最核心問題，是整個計算機安全建設的依據。包括國家層面、行業(yè)層面制訂的法律法規(guī)等。安全管理主要是人員、組織和流程的管理，是實現信息安全的落實手段。包括學校、部門制訂的計算機實驗的規(guī)定、使用方法以及處罰條例；安全技術主要有：身份認證、訪問控制、信息加密、防火墻、防殺病毒、入侵監(jiān)測、漏洞掃描、安全審計及相關的服務等等，是實現信息安全的有力保證。公共計算機實驗室的安全保障體系必須全方位的考慮計算機實驗室設備、環(huán)境以及應用的安全特性。至少應該包括以下幾個層次：

(1) 安全管理層

安全層主要包括安全立法和安全管理兩個方面。實驗室管理要認真貫徹執(zhí)行國家的法律法規(guī)，這些法律法規(guī)主要包括《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《互聯網信息服務管理辦法》、《計算機病毒防治管理辦法》等國家層面的法規(guī)標準，制定相應的學校部門的計算機安全管理條例，組織專家對公共計算機實驗室的安全進行風險評估，形成計算機實驗室立體安全模型的總體框架。

(2) 計算機硬件保護層

根據計算機實驗室具備公用的特點，對于計算機的系統(tǒng)信息必須加以保護，以防止學生誤刪除或破壞軟件，造成無法正常使用。建議采用硬件保護措施，對硬盤的內容進行保護。實現其目的。優(yōu)點是速度快，方便可靠，缺點是占用一定的硬盤空間。

(3) 操作系統(tǒng)硬化層

操作系統(tǒng)在安裝過程中，為了方便用戶的使用，添加了許多常規(guī)的應用服務，但是對每個用戶而言不一定都適用，因此需要在細致分析操作系統(tǒng)服務的基礎上，盡可能地減少它與外界的信息交流渠道，盡可能地減少在它上面運行的不必要的服務項目。

(4) 用戶安全管理層

用戶安全管理是計算機實驗室管理最重要的環(huán)節(jié)之一。對用戶的賬戶、對資源的使用狀況，例如使用的時間、計費、網絡上流量、訪問日志進行有效的管理和控制。

(5) 網絡安全管理層

網絡安全管理是為了保證用戶的安全性而采取的安全措施。包括內網安全管理系統(tǒng)、放火墻系統(tǒng)、入侵檢測系統(tǒng)、病毒防護軟件等。

綜上所述，安全立法和安全管理框架下的安全層次模型如下圖所示。

2.3典型的計算機實驗室安全解決方案

北京工業(yè)大學軟件教學基地共有8個實驗室、1個服務器中心，有20余臺含有高性能多處理機系統(tǒng)、IBM小型機和微機服務器，800余臺微機構成。實驗室之間通過千兆網絡實現互聯，極大地改善了實踐教學環(huán)境?？梢詾閷W生提供上課、畢業(yè)設計、課題研發(fā)、自主學習研究等不同類型的計算機實驗環(huán)境，實驗室可以按需配置，解決了學生上機難，速度慢，檔次低等問題，為培養(yǎng)高素質的計算機工程型應用人才提供了良好的學習環(huán)境，取得了較大的社會效益和經濟效益。在安全方面主要采取了以下幾個方面措施：

(1) 采用海光藍卡(不同的版本)實現網絡對傳、硬盤的保護；

(2) 對計算機系統(tǒng)中應用程序按實驗室進行優(yōu)化處理，合理分配部署，既要做到方便使用，又要避免由于應用系統(tǒng)過多，機器負載過重導致性能下降；

(3) 對操作系統(tǒng)進行硬化處理。操作系統(tǒng)的硬化分4個步驟：1)打好補丁；2)關閉不必要的服務；3)確定子目錄/文件的權限，要遵循最小原則；4)明晰用戶權限，嚴格控制用戶的訪問權限。

(4) 采用金盤電子閱覽室系統(tǒng)對實驗室進行有效的管理，與學校的收費系統(tǒng)進行對接；

(5) 采用LanSecS系統(tǒng)對實驗室內部的安全進行有效的安全控制，對學生使用程序進行進程級的管理，防止使用非法的軟件；

(6) 采用分布式入侵檢測系統(tǒng)對實驗室進行有效的防護，定期更新計算機防病毒軟件，有效地遏制計算機的黑客攻擊和病毒侵害。

3結束語

計算機實驗室的安全保障是實驗室能夠保證教學工作順利進行的前提。在強調實踐教學工作重要性的同時，要加強實驗室的安全建設，要有投資，要有充分的思想準備。北京工業(yè)大學計算中心近年來積極進行了實驗室建設，無論是在軟件建設方面，還是在硬件建設方面都取得了一定的成效，同時學生通過這個平臺得到了很好的鍛煉，收到了良好的效果。

參考文獻

[1] 教育部高等學校計算機科學與技術教學指導委員會非計算機專業(yè)計算機基礎課程教學指導分委員會. 關于進一步加強高等學校計算機基礎教學的意見[R].

[2] 王全民. 軟件實驗教學基地建設的實踐[J]. 計算機教育，2006，(8).