劉春華,李 丹
(首都醫(yī)科大學(xué)燕京醫(yī)學(xué)院,北京 101300)
計算機基礎(chǔ)文化課是醫(yī)學(xué)院校的公共基礎(chǔ)課,由于該課程的實際操作占很大比例,因此,計算機實驗室在該課教學(xué)中發(fā)揮著重要作用。學(xué)生在此不僅可以熟悉計算機的各種操作,還可以利用豐富的網(wǎng)絡(luò)資源充實自己的專業(yè)知識。但是由于網(wǎng)絡(luò)資源的開放性、學(xué)生計算機水平的差異較大,道德修養(yǎng)和文化素質(zhì)的參差不齊,以及網(wǎng)絡(luò)安全認知水平的高低等,產(chǎn)生了一系列網(wǎng)絡(luò)安全問題。
就如何創(chuàng)建一個安全的、開放的網(wǎng)絡(luò)環(huán)境,保證計算機實驗室的正常運行,現(xiàn)提出一些解決方法。
作為整個實驗室網(wǎng)絡(luò)的總出口,服務(wù)器的維護起著至關(guān)重要的作用。對于服務(wù)器的維護應(yīng)該做到以下幾點。
(1)經(jīng)常更改系統(tǒng)管理員密碼,使用高強度的由大小寫字母、數(shù)字和特殊字符組成的密碼。定期更新系統(tǒng)補丁、檢查系統(tǒng)是否多出超級管理員,檢查帳號是否被復(fù)制。
(2)在“開始”運行中輸入“msconfig”檢查隨機啟動的程序和服務(wù),關(guān)掉不必要的隨機啟動程序和服務(wù)。
(3)盡量不要安裝第三方軟件(如優(yōu)化軟件、插件),更不要在服務(wù)器上注冊未知組件。
(4)檢查系統(tǒng)日志的“安全性”條目,在右側(cè)查看近期“審核成功”的登錄。如果登錄時間和管理員上次登陸的時間不符,服務(wù)器可能被入侵了。
(5)及時更新病毒庫,查殺病毒。定時查看系統(tǒng)各個盤符的磁盤權(quán)限是否為設(shè)定的安全權(quán)限。
(6)經(jīng)常備份服務(wù)器數(shù)據(jù),盡量存放兩份于不同的服務(wù)器,防止系統(tǒng)崩潰造成數(shù)據(jù)丟失。
防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實施安全防范的主要系統(tǒng)。它是一種訪問控制機制,用于確定哪些內(nèi)部服務(wù)允許外部訪問,以及允許哪些外部服務(wù)訪問。通過制定規(guī)則,限制外來用戶對核心設(shè)備的非法訪問。防火墻作用主要有以下幾方面。
(1)劃定DMZ區(qū):用來接入公網(wǎng)服務(wù)器,通過制定相應(yīng)的訪問規(guī)則,來控制用戶對服務(wù)器的訪問,從而保證服務(wù)器的安全。
(2)地址轉(zhuǎn)換:動態(tài)NAT,使用運營商提供的一段公網(wǎng)地址,作NAT地址池,實現(xiàn)內(nèi)網(wǎng)用戶對互聯(lián)網(wǎng)的訪問;靜態(tài)NAT,內(nèi)網(wǎng)地址的某個服務(wù)器需要對外網(wǎng)提供服務(wù)時,可以實現(xiàn)固定公網(wǎng)口和內(nèi)網(wǎng)I P的對應(yīng)關(guān)系,也可以實現(xiàn)端口映射。
(3)包過濾:底層實現(xiàn)端阻斷,主要針對常見的病毒端口,從而保護網(wǎng)絡(luò),可以有效地阻止病毒傳播。發(fā)現(xiàn)病毒和可疑事件時可及時發(fā)出信號。
(4)訪問控制:對不同目標指定不同的訪問控制策略,如Web服務(wù)器,指定管理員可以訪問其3389端口,實現(xiàn)遠程操作管理,而其他用戶只能訪問其80端口,從而最大限度地保證了服務(wù)器的安全。
(5)防攻擊、與IDS聯(lián)動:用以抵御常見的各種攻擊。
(6)日志記錄:通過建立防火墻日志服務(wù)器,有效保存網(wǎng)絡(luò)內(nèi)部的訪問記錄,對網(wǎng)絡(luò)安全管理有很大的作用,做到了有據(jù)可查。
網(wǎng)絡(luò)監(jiān)控軟件的主要作用是監(jiān)控網(wǎng)絡(luò)運行是否正常,如要訪問的網(wǎng)站是否安全,網(wǎng)頁中是否有惡意插件及代碼下載,網(wǎng)頁中的文件是否安全等,監(jiān)控并提前阻止危險網(wǎng)站等。網(wǎng)絡(luò)管理員應(yīng)做到以下幾點。
(1)根據(jù)不同用戶、不同時間的訪問需求對分類信息設(shè)置允許和禁止。高校計算機及實驗室主要是通過校園網(wǎng)訪問外網(wǎng),用戶都是教師和學(xué)生,因此,對色情、暴力、恐怖等內(nèi)容必須禁止,此類內(nèi)容必須在禁止的U R L黑名單中。
(2)對不健康的網(wǎng)絡(luò)游戲、聊天內(nèi)容等進行及時阻止。
(3)網(wǎng)絡(luò)管理員可監(jiān)聽內(nèi)網(wǎng)用戶通過 Out look、Webmail、Ftp、Telnet、論壇、博客、社區(qū)及聊天工具發(fā)布的“有害”信息,及時追查非法言論傳播源。
隨著互聯(lián)網(wǎng)的日趨普及和新技術(shù)的迅速發(fā)展,一大批新興的網(wǎng)絡(luò)應(yīng)用開始涌現(xiàn)并成為人們工作、生活中重要的組成部分,如B T、迅雷、電驢、超級旋風(fēng)等P2P應(yīng)用。然而,此類P2P的應(yīng)用由于大量占用互聯(lián)網(wǎng)出口帶寬,同時無法被有效地識別和管理,常常成為阻礙網(wǎng)絡(luò)正常運行的“元兇”,靠增加網(wǎng)絡(luò)帶寬的方式已不能有效解決這一問題。而網(wǎng)絡(luò)流量控制是基于7層應(yīng)用的帶寬管理和應(yīng)用優(yōu)化,能全面識別和控制包括P2P、Voip、視頻/流媒體、HTTP、網(wǎng)絡(luò)游戲、數(shù)據(jù)庫及中間件等多種應(yīng)用。在帶寬管理方面,可自定義帶寬策略為網(wǎng)絡(luò)鏈路劃分多個虛擬帶寬通道,實現(xiàn)最大帶寬限制、保證最低帶寬、帶寬租借、帶寬配額、應(yīng)用優(yōu)先級、隨機公平隊列等一系列帶寬管理,在不增加網(wǎng)絡(luò)出口帶寬的情況下,網(wǎng)絡(luò)應(yīng)用得到最大優(yōu)化和提升。
綜上所述,計算機實驗室的網(wǎng)絡(luò)安全管理問題已成為實驗室管理的首要問題,只有創(chuàng)造安全開放的網(wǎng)絡(luò)環(huán)境,才能給學(xué)生提供一個良好的實驗環(huán)境,讓學(xué)生可以自由地享受網(wǎng)絡(luò)和信息技術(shù)帶給他們的豐富知識資源?!?/p>