關景華 魏 斌 郭新銳 梁 過

(鄭州大學 軟件技術學院，河南 鄭州 450002)

互聯網絡的高速發(fā)展對網絡安全提出了新的要求，網絡規(guī)模不斷擴大、網絡攻擊技術不斷進步、各種操作系統(tǒng)安全漏洞、網絡數據庫的安全風險、有組織的惡意網絡攻擊群體迅速壯大、防火墻的局限性等。面對層出不窮的網絡安全問題，很多企業(yè)和政府部門都購置了各種網絡安全產品，如防火墻、網絡防病毒軟件等。與此同時高校校園網絡安全也提到了工作議程，高校的公共計算機機房(以下簡稱“機房”)是校園網絡的的重心，機房主要承擔全校學生基礎課、專業(yè)課、期末考試、畢業(yè)生實訓等教學任務以及學生的自由上機實踐。機房管理的內容十分廣泛，包括技術管理，設備管理，人員管理，網絡安全管理等方面。隨著網絡的發(fā)展，網絡中存在的安全問題也日趨嚴重，我結合近幾年的工作就高校機房網絡安全管理提出了一些淺見供機房管理者探討。

1 機房網絡的安全威脅分類

1.1 系統(tǒng)軟件和應用程序等不安全因素

目前高校機房普遍使用Windows XP 和Win7 兩種操作系統(tǒng)版本。計算機系統(tǒng)不可能無缺陷和無漏洞，在漏洞的補丁更新之前，這些漏洞往往可能被黑客所利用。并非只有操作系統(tǒng)漏洞，軟件的開發(fā)是一個復雜的過程，由于種種原因，一些應用程序也經常出現漏洞比如Microsoft Office，Flash Player等都會出現各種漏洞。不同的的漏洞表現形式各有不同，危害程度也不盡相同，但是都威脅系統(tǒng)的完整性、保密性等。學生上機過程中有意無意進行的一些卸載、刪除、格式化等操作，更是直接對操作系統(tǒng)及軟件環(huán)境造成不可挽回的破壞，這也是系統(tǒng)安全隱患的一個因素。

1.2 計算機網絡的脆弱性

計算機網絡進行通信，一般都要通過通信線路、調制解調器、路由器和交換機等設備，如果網絡中的某個環(huán)節(jié)出現安全問題，發(fā)生比如ARP 攻擊、網絡下載等問題，那么整個網絡都將受到影響，進而導致機房的教學、實驗任務和管理、維護工作都無法正常進行。

1.3 計算機病毒

計算機的普及和網絡化，為計算機病毒的廣泛傳播提供了便利條件。目前，各類病毒、木馬層出不窮，學校機房因使用頻繁、上機學生人數多，往往是各類計算機病毒流行的多發(fā)區(qū)、重災區(qū)!在機房上機教學、上機實驗的過程中，訪問不良網站感染、局域網傳播感染等多種方式，都可能導致計算機感染病毒，造成計算機無法正常使用。計算機病毒具有傳染性、隱蔽性、潛伏性、破壞性等特點。病毒對系統(tǒng)和應用程序都有不同程度的破壞，同時還利用網絡、移動存儲設備(U 盤、移動硬盤)等其他媒介傳播和蔓延。特別是網絡病毒通過網絡媒介傳播，具有傳染方式多、傳播速度快、影響面大、清除難度大、破壞力強的特點，對網絡正常通訊造成的危害性很大。曾經風靡一時的“熊貓燒香”“U 盤病毒”、“ARP 病毒”、“文件夾病毒”等病毒，導致機房電腦大范圍的中毒，嚴重影響教學工作的正常進行。

1.4 管理制度不健全

不管是多么完善的網絡體系，都需要管理人員來管理和維護，人員管理是網絡安全的一個重要環(huán)節(jié)，管理因素往往是網絡安全漏洞的直接原因。微軟退休的一位高層曾說過“被黑客攻擊，不是因為技術問題，而是由于人的問題。當我們跟蹤錯誤的時候，總會發(fā)現是人的問題”。管理人員的網絡安全意識、責任心不強，再加上缺乏相應的規(guī)章制度和操作規(guī)則，很難形成強有力的網絡安全管理體系作。學生是機房的使用者，缺乏相應的思想教育和相應的管理制度來規(guī)范約束學生，由于處于青年階段的大學生好奇心比較強，訪問一些不法網站或編寫一些病毒小程序等。

2 解決方案及策略

2.1 系統(tǒng)保護

如今還原卡保護技術已經相當成熟，還原卡已經被廣泛應用于各大高校機房，目前市場上比較流行的有增霸卡、藍光卡等品牌。機房計算機系統(tǒng)被還原卡保護之后，再次重啟后系統(tǒng)恢復到最初狀態(tài)，這樣以來就不會因為學生的誤刪影響教學進展。保護卡的應用為管理工作帶來了便利，保障教學工作的順利進行。隨著開發(fā)技術的提高，系統(tǒng)保護軟件也應運而生，比如“影子系統(tǒng)”，還原效果可以跟還原卡相媲美。

管理人員應及時安裝各種安全補丁程序，不給入侵者有可乘之機，同時進行軟件升級。

2.2 訪問限制

訪問控制是網絡安全和防范的主要技術手段，可以保障資源不被非法訪問及使用。銳捷網絡的交換機有端口安全的功能，利用交換機的端口安全功能可以實現網絡接入安全，只允許指定MAC 地址的設備接入到網絡中，從而防止用戶將未授權的設備接入網絡。限制端口接入的設備數量，防止用戶將過多的設備接入到網絡中。同時，為了防止機房網中地址盜用和地址沖突，可以在交換機或其他網絡設備上進行MAC綁定，使每個IP 地址綁定一個相應的MAC 地址，如果在硬件上無法實現綁定，還可以用軟件來實現。

分組過濾有助于限制網絡的分組傳輸，這種控制能夠幫助限制網絡數據流和限制某些用戶或設備對網絡的使用。訪問控制列表ACL(Access Control List)最直接的功能就是包過濾。

訪問控制列表的三個作用:(1)安全控制。允許符合匹配規(guī)則的數據包通過訪問，同時拒絕不符合匹配規(guī)則的數據包。(2)流量過濾。防止一些不必要的數據包通過路由器，提高帶寬的利用率。(3)數據流量標識。當有多條網絡鏈路時，讓不同的數據包選擇不同的鏈路。

2.3 病毒防范

最理想的反病毒就是防御，即杜絕病毒進入系統(tǒng)。但是通常情況下，是難以完全實現的，只有盡可能的減少病毒攻擊的次數。自然而然的就會想到殺毒軟件，市場上流行的殺毒軟件有很多，國外有卡巴斯基、諾頓等，國內有江民、瑞星、金山和360 殺毒等。這些殺毒軟件就像俗話說的那樣“尺有所長，寸有所短”，沒有更好，只有適合，根據機房的情況選擇相應的殺毒軟件。

僅僅依靠于殺毒軟件，還是遠遠不能避免病毒的入侵，還要安裝防火墻軟件和防惡意軟件等。有了軟件的防護，管理維護工作也要跟上，管理人員要定期檢查清除電腦上殘留的病毒，及時更新殺毒軟件的版本和病毒庫升級，注意病毒流行動向，及時發(fā)現正在流行的病毒，并采取相應的防范措施。

2.4 制定機房管理制度

任何一個健康有序的環(huán)境都離不開規(guī)章制度，為了建設一個健康的教學環(huán)境，建立一個科學完善的安全管理制度是尤為重要的。網絡本身的安全問題可以通過技術手段來解決，可是網絡的管理、維護及應用需要相應的規(guī)章制度。人員管理是實現機房網絡安全的一個重要環(huán)節(jié)。如果沒有相應的管理制度，再好的網絡安全實施方案也形同虛設。我們學院為此制定了一系列的制度《機房管理規(guī)則》、《學生機房守則》、《網絡安全管理規(guī)則》、《機房安全制度》等，最大限度的保證機房的正常運行和網絡安全。為了跟上科技進步的步伐，我們學院加強網絡管理人員的技術培訓，充分利用先進技術手段進行自動化管理以及處理網絡運行過程中出現的各種突發(fā)事件。

2.5 加強學生網絡安全教育

古人云:堵者禁也，禁而止之，止之不止，為害猶烈;疏者理也，理而散之，化于無形。大禹治水運用疏堵結合從而達到平息水患的目的。機房管理亦是如此，學生是機房的使用主體，加強大學生的思想教育，正確引導學生使用網絡。對于大學生上網，以限制的方法來解決問題并非良策，但這并不是說不進行限制，而是要用積極的方法去引導，給他們樹立正確的態(tài)度和理念去應用網絡。學?？梢酝ㄟ^各種教學活動和講座等形式，教育學生樹立網絡安全意識;要求學生做到在網絡上不瀏覽、不傳播不健康或反動的信息;防止學生把機房里的電腦作為網絡黑客攻擊的工具;現如今電子商務日益普及，杜絕學生將教學機房里的電腦作為盜竊他人信息、財物的作案工具。

上述方案在一定程度上可以解決機房網絡安全及管理存在的一些問題，為進一步提高教學質量營造一個良好的環(huán)境。機房網絡安全及管理是一項復雜而龐大的工程。這項工作的一些問題具有不確定性，世上萬物都不存在絕對的完美，對于計算機網絡安全亦是如此，我們只能制定較為完善的方案。今后我們將繼續(xù)努力確保學院機房網絡的正常、安全運行，為學院教學、科研工作的開展提供穩(wěn)定的網絡保障。

3 結束語

試圖提出一個高校機房計算機網絡安全的全面解決方案。但是各大高校的機房的情況不盡相同，而且對安全程度的要求也完全不同。高校因根據自己的網絡需求及自身條件，來建立適應本學校的網絡安全體系。隨著信息技術的發(fā)展，網絡安全也在不斷變化的，網絡安全工作將是一個長期、不斷更新又充滿挑戰(zhàn)的巨大工程，作為網絡管理工作人員任重而道遠。

［1］賈鐵軍、常艷、俞小怡等《網絡安全實用技術》［M］北京:清華大學出版社，2011.8

［2］石志國、薛為民、尹浩《計算機網絡安全教程》［M］北京:清華大學陳版社;北京交通大學出版社，2011.2

［3］袁津生、吳硯農《計算機網絡安全基礎》［M］北京:人民郵電出版社，2004.7

［4］高峽、陳智罡、袁宗?！毒W絡設備互連學習指南》［M］北京:科學出版社，2009.4

［5］陳鳴《網絡工程設計教程》［M］北京:機械工業(yè)出版社，2008.6

［6］李劍、張然《信息安全概論》［M］北京:機械工業(yè)出版社，2011.7

［7］姚紅英《高校教學用計算機機房網絡安全問題及對策》［J］，《廣西質量監(jiān)督導報》，2007.12

［8］韓磊《淺析高校機房網絡安全維護》［J］，《牡丹江醫(yī)學院學報》，2008.08

［9］鮑宇《學校網絡安全問題的分析與對策》［J］，《實驗教學與儀器》，2006.08

［10］石磊、張怡、周俊《淺議學校機房網絡安全維護策略》，《科技資訊》，2009.10