劉春華，李 丹

（首都醫(yī)科大學(xué)燕京醫(yī)學(xué)院，北京 101300）

計算機基礎(chǔ)文化課是醫(yī)學(xué)院校的公共基礎(chǔ)課，由于該課程的實際操作占很大比例，因此，計算機實驗室在該課教學(xué)中發(fā)揮著重要作用。學(xué)生在此不僅可以熟悉計算機的各種操作，還可以利用豐富的網(wǎng)絡(luò)資源充實自己的專業(yè)知識。但是由于網(wǎng)絡(luò)資源的開放性、學(xué)生計算機水平的差異較大，道德修養(yǎng)和文化素質(zhì)的參差不齊，以及網(wǎng)絡(luò)安全認知水平的高低等，產(chǎn)生了一系列網(wǎng)絡(luò)安全問題。

就如何創(chuàng)建一個安全的、開放的網(wǎng)絡(luò)環(huán)境，保證計算機實驗室的正常運行，現(xiàn)提出一些解決方法。

1 服務(wù)器維護

作為整個實驗室網(wǎng)絡(luò)的總出口，服務(wù)器的維護起著至關(guān)重要的作用。對于服務(wù)器的維護應(yīng)該做到以下幾點。

（1）經(jīng)常更改系統(tǒng)管理員密碼，使用高強度的由大小寫字母、數(shù)字和特殊字符組成的密碼。定期更新系統(tǒng)補丁、檢查系統(tǒng)是否多出超級管理員，檢查帳號是否被復(fù)制。

（2）在“開始”運行中輸入“msconfig”檢查隨機啟動的程序和服務(wù)，關(guān)掉不必要的隨機啟動程序和服務(wù)。

（3）盡量不要安裝第三方軟件（如優(yōu)化軟件、插件），更不要在服務(wù)器上注冊未知組件。

（4）檢查系統(tǒng)日志的“安全性”條目，在右側(cè)查看近期“審核成功”的登錄。如果登錄時間和管理員上次登陸的時間不符，服務(wù)器可能被入侵了。

（5）及時更新病毒庫，查殺病毒。定時查看系統(tǒng)各個盤符的磁盤權(quán)限是否為設(shè)定的安全權(quán)限。

（6）經(jīng)常備份服務(wù)器數(shù)據(jù)，盡量存放兩份于不同的服務(wù)器，防止系統(tǒng)崩潰造成數(shù)據(jù)丟失。

2 設(shè)置防火墻

防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實施安全防范的主要系統(tǒng)。它是一種訪問控制機制，用于確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部服務(wù)訪問。通過制定規(guī)則，限制外來用戶對核心設(shè)備的非法訪問。防火墻作用主要有以下幾方面。

（1）劃定DMZ區(qū)：用來接入公網(wǎng)服務(wù)器，通過制定相應(yīng)的訪問規(guī)則，來控制用戶對服務(wù)器的訪問，從而保證服務(wù)器的安全。

（2）地址轉(zhuǎn)換：動態(tài)NAT，使用運營商提供的一段公網(wǎng)地址，作NAT地址池，實現(xiàn)內(nèi)網(wǎng)用戶對互聯(lián)網(wǎng)的訪問；靜態(tài)NAT，內(nèi)網(wǎng)地址的某個服務(wù)器需要對外網(wǎng)提供服務(wù)時，可以實現(xiàn)固定公網(wǎng)口和內(nèi)網(wǎng)I P的對應(yīng)關(guān)系，也可以實現(xiàn)端口映射。

（3）包過濾：底層實現(xiàn)端阻斷，主要針對常見的病毒端口，從而保護網(wǎng)絡(luò)，可以有效地阻止病毒傳播。發(fā)現(xiàn)病毒和可疑事件時可及時發(fā)出信號。

（4）訪問控制：對不同目標指定不同的訪問控制策略，如Web服務(wù)器，指定管理員可以訪問其3389端口，實現(xiàn)遠程操作管理，而其他用戶只能訪問其80端口，從而最大限度地保證了服務(wù)器的安全。

（5）防攻擊、與IDS聯(lián)動：用以抵御常見的各種攻擊。

（6）日志記錄：通過建立防火墻日志服務(wù)器，有效保存網(wǎng)絡(luò)內(nèi)部的訪問記錄，對網(wǎng)絡(luò)安全管理有很大的作用，做到了有據(jù)可查。

3 設(shè)置監(jiān)控軟件

網(wǎng)絡(luò)監(jiān)控軟件的主要作用是監(jiān)控網(wǎng)絡(luò)運行是否正常,如要訪問的網(wǎng)站是否安全，網(wǎng)頁中是否有惡意插件及代碼下載，網(wǎng)頁中的文件是否安全等，監(jiān)控并提前阻止危險網(wǎng)站等。網(wǎng)絡(luò)管理員應(yīng)做到以下幾點。

（1）根據(jù)不同用戶、不同時間的訪問需求對分類信息設(shè)置允許和禁止。高校計算機及實驗室主要是通過校園網(wǎng)訪問外網(wǎng)，用戶都是教師和學(xué)生，因此，對色情、暴力、恐怖等內(nèi)容必須禁止，此類內(nèi)容必須在禁止的U R L黑名單中。

（2）對不健康的網(wǎng)絡(luò)游戲、聊天內(nèi)容等進行及時阻止。

（3）網(wǎng)絡(luò)管理員可監(jiān)聽內(nèi)網(wǎng)用戶通過 Out look、Webmail、Ftp、Telnet、論壇、博客、社區(qū)及聊天工具發(fā)布的“有害”信息，及時追查非法言論傳播源。

4 增加網(wǎng)絡(luò)流量控制的管理

隨著互聯(lián)網(wǎng)的日趨普及和新技術(shù)的迅速發(fā)展，一大批新興的網(wǎng)絡(luò)應(yīng)用開始涌現(xiàn)并成為人們工作、生活中重要的組成部分，如B T、迅雷、電驢、超級旋風(fēng)等P2P應(yīng)用。然而，此類P2P的應(yīng)用由于大量占用互聯(lián)網(wǎng)出口帶寬，同時無法被有效地識別和管理，常常成為阻礙網(wǎng)絡(luò)正常運行的“元兇”，靠增加網(wǎng)絡(luò)帶寬的方式已不能有效解決這一問題。而網(wǎng)絡(luò)流量控制是基于7層應(yīng)用的帶寬管理和應(yīng)用優(yōu)化，能全面識別和控制包括P2P、Voip、視頻／流媒體、HTTP、網(wǎng)絡(luò)游戲、數(shù)據(jù)庫及中間件等多種應(yīng)用。在帶寬管理方面，可自定義帶寬策略為網(wǎng)絡(luò)鏈路劃分多個虛擬帶寬通道，實現(xiàn)最大帶寬限制、保證最低帶寬、帶寬租借、帶寬配額、應(yīng)用優(yōu)先級、隨機公平隊列等一系列帶寬管理，在不增加網(wǎng)絡(luò)出口帶寬的情況下，網(wǎng)絡(luò)應(yīng)用得到最大優(yōu)化和提升。

綜上所述,計算機實驗室的網(wǎng)絡(luò)安全管理問題已成為實驗室管理的首要問題，只有創(chuàng)造安全開放的網(wǎng)絡(luò)環(huán)境，才能給學(xué)生提供一個良好的實驗環(huán)境，讓學(xué)生可以自由地享受網(wǎng)絡(luò)和信息技術(shù)帶給他們的豐富知識資源?！?/p>