◆吳志華

高職機(jī)房網(wǎng)絡(luò)安全存在的問題與對(duì)策

◆吳志華

（廣州番禺職業(yè)技術(shù)學(xué)院管理學(xué)院 廣東 511483）

機(jī)房網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性，決定了高職機(jī)房網(wǎng)絡(luò)安全威脅的客觀存在。從高職機(jī)房網(wǎng)絡(luò)安全的現(xiàn)狀出發(fā)，分析網(wǎng)絡(luò)安全的常見問題，采用網(wǎng)絡(luò)安全技術(shù)對(duì)機(jī)房網(wǎng)絡(luò)安全的常見問題提出應(yīng)對(duì)措施。從而為網(wǎng)絡(luò)安全的防范提出應(yīng)對(duì)方法，也為機(jī)房網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)提供技術(shù)借鑒。

網(wǎng)絡(luò)安全；防火墻；入侵檢測(cè)；安全審計(jì)

0 引言

隨著國家對(duì)職業(yè)教育的投入和發(fā)展，高職院校的信息化、數(shù)字化進(jìn)程也在加快建設(shè)，高職計(jì)算機(jī)機(jī)房承擔(dān)著學(xué)生的各類課程的專業(yè)實(shí)訓(xùn)和翻轉(zhuǎn)課堂教學(xué)活動(dòng)等教學(xué)任務(wù)，是教與學(xué)的重要環(huán)境，機(jī)房的穩(wěn)定性和保障關(guān)系到教學(xué)的正常進(jìn)行，而機(jī)房網(wǎng)絡(luò)安全問題經(jīng)常危及和影響到教學(xué)的正常運(yùn)行。因此，機(jī)房網(wǎng)絡(luò)安全問題是高職機(jī)房管理的重要環(huán)節(jié)和內(nèi)容。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全概述

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理技術(shù)防止網(wǎng)絡(luò)系統(tǒng)的軟硬件及網(wǎng)上傳輸?shù)男畔?，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)網(wǎng)絡(luò)作為學(xué)習(xí)者獲取信息的重要途徑，在保證網(wǎng)絡(luò)正常運(yùn)行的同時(shí)，要管理好網(wǎng)絡(luò)客戶和相關(guān)的網(wǎng)絡(luò)服務(wù)，以確保不影響網(wǎng)絡(luò)信息資源的準(zhǔn)確性。計(jì)算機(jī)網(wǎng)絡(luò)安全主要包含兩方面內(nèi)容：物理安全和邏輯安全，物理安全主要是系統(tǒng)設(shè)備和與其相關(guān)的設(shè)施在物理的保護(hù)下避免被丟失或遭受破壞，邏輯安全主要指網(wǎng)絡(luò)信息的完整性、保密性和可用性；而高職機(jī)房網(wǎng)絡(luò)安全主要是保護(hù)機(jī)房的正常運(yùn)行和教學(xué)資源的數(shù)據(jù)完整性，以此來確保計(jì)算機(jī)機(jī)房的安全性。

2 高職計(jì)算機(jī)機(jī)房網(wǎng)絡(luò)安全常見問題

2.1黑客攻擊

黑客是網(wǎng)絡(luò)信息安全的一項(xiàng)重要威脅，他們大都精通于計(jì)算機(jī)技術(shù)，特別是精通各種編程語言和各類操作系統(tǒng)，可以破解企業(yè)或?qū)W校網(wǎng)絡(luò)的信息管理中心密碼，進(jìn)入系統(tǒng)內(nèi)部獲取數(shù)據(jù)和信息資源，進(jìn)而會(huì)給企業(yè)和學(xué)校造成嚴(yán)重的危害。機(jī)房黑客攻擊主要有兩種：

（1）偽裝IP攻擊。偽裝IP攻擊是指一些非法的主機(jī)會(huì)在其他程序的偽裝下假冒企業(yè)或組織內(nèi)部的IP主機(jī)的地址，進(jìn)而獲取企業(yè)內(nèi)部服務(wù)系統(tǒng)的“信任”，從而達(dá)到自己非法獲取相應(yīng)資料或者入侵網(wǎng)絡(luò)的目的。

（2）特洛伊木馬。特洛伊木馬不是病毒而是一種黑客程序，黑客通過木馬程序非法獲取計(jì)算機(jī)中的重要信息，如用戶密碼、硬盤上的數(shù)據(jù)文件等。黑客利用木馬程序在對(duì)方計(jì)算機(jī)中安裝黑客服務(wù)端程序，那么黑客就可以利用自己的客戶端程序進(jìn)入這臺(tái)計(jì)算機(jī)中，達(dá)到控制和監(jiān)視的目的。

2.2病毒入侵

病毒入侵一般是指通過技術(shù)手段對(duì)個(gè)人電腦植入病毒，竊取用戶個(gè)人資料、隱私信息，甚至是銀行賬戶信息等，以從中獲取不正當(dāng)利益。

（1）木馬病毒。木馬病毒與一般的病毒不同，它并不具備快速自我復(fù)制的能力，也不會(huì)具有刻意的傳染性，作為流行的病毒文件，它是隱藏在合法程序內(nèi)的非法程序，極具偽裝性，進(jìn)而吸引不知情的客戶進(jìn)行下載，如果這一偽裝程序一旦被執(zhí)行，木馬便會(huì)進(jìn)入到客戶端植入病毒，竊取者可以任意地打開被侵入者的電腦程序獲取或者損毀其文件資料，甚至可以任意地操控被入侵者的電腦，極具危害性。目前我們常見的木馬種類有網(wǎng)游木馬、網(wǎng)銀木馬、FTP木馬(網(wǎng)頁點(diǎn)擊類、通訊軟件類等)，它們的種類繁多，并且伴隨著病毒編寫技術(shù)的不斷發(fā)展，其危害性也越來越大。

（2）蠕蟲病毒。蠕蟲病毒是網(wǎng)絡(luò)病毒中危害較大的一種常見病毒，具有極強(qiáng)的傳染性和寄生性，大多通過網(wǎng)絡(luò)的形式或者電子郵件的形式傳播，并且可以快速的實(shí)現(xiàn)自我復(fù)制，還可以救助與系統(tǒng)存在的網(wǎng)絡(luò)漏洞進(jìn)行攻擊，最終導(dǎo)致信息量過大而造成通信過載，導(dǎo)致計(jì)算機(jī)自身的網(wǎng)絡(luò)安全系統(tǒng)癱瘓而不能正常工作。2009年出現(xiàn)的“熊貓燒香”便是典型的蠕蟲病毒代表，通過共享文件和破解口令等方式進(jìn)行傳播。

2.3監(jiān)聽與欺騙

監(jiān)聽與欺騙也是威脅機(jī)房網(wǎng)絡(luò)安全的重要手段，主要包含兩種：

（1）DNS欺騙。DNS欺騙是較為常見的一種，它的操作過程稍微有點(diǎn)繁瑣。DNS欺騙的原理是黑客將自己的主機(jī)假裝為域名服務(wù)器，將用戶想要瀏覽的主機(jī)的IP地址，修改為攻擊者的IP地址，用戶就會(huì)進(jìn)入到攻擊者的主機(jī)頁面，而不是原本想要瀏覽的網(wǎng)站的主頁。實(shí)際上黑客并沒有攻擊網(wǎng)站的主機(jī)，而是冒充了服務(wù)器的域名，誤導(dǎo)了用戶，當(dāng)用戶連到被攻擊網(wǎng)站時(shí)，主頁被改成了黑客網(wǎng)站的內(nèi)容。

（2）Web欺騙。Web欺騙不會(huì)損壞計(jì)算機(jī)的軟、硬件，但它的危害是巨大的。攻擊者可以察看或者對(duì)Web服務(wù)器的信息進(jìn)行改動(dòng)，還可以操控返回的數(shù)據(jù)，甚至還可以發(fā)起攻擊，包括監(jiān)視和破壞。Web欺騙也是利用不同主機(jī)之間的相互信任關(guān)系，攻擊者通過冒充用戶想要瀏覽的真正的Web網(wǎng)頁進(jìn)行欺騙的一種手段。攻擊者首先創(chuàng)建一個(gè)跟用戶想要真正瀏覽的Web頁面相同的網(wǎng)頁，然后當(dāng)用戶瀏覽的時(shí)候，攻擊者就能截獲用戶的相關(guān)信息，包括用戶名、密碼等私密信息。例如我們經(jīng)常收到銀行的詐騙短信，告知賬戶被轉(zhuǎn)走了金額，需登錄網(wǎng)頁修改密碼，提供了一條銀行網(wǎng)站的鏈接。當(dāng)用戶點(diǎn)擊鏈接進(jìn)入網(wǎng)站，并且輸入個(gè)人的賬號(hào)、密碼等敏感信息時(shí)，攻擊者就通過非法的途徑獲得這些信息，然后再利用這些信息登入正確的網(wǎng)站盜取用戶的資料。

綜上所述，我們已經(jīng)將網(wǎng)絡(luò)信息安全的常見問題和相關(guān)原理進(jìn)行分析，這也正是機(jī)房網(wǎng)絡(luò)信息安全方面存在的威脅因素，需要我們及時(shí)的對(duì)其進(jìn)行分析和把握，只有這樣才能找準(zhǔn)企業(yè)在網(wǎng)絡(luò)信息體系構(gòu)建中存在的問題，更好地為企業(yè)網(wǎng)絡(luò)信息的發(fā)展提供借鑒意義。

3 高職機(jī)房網(wǎng)絡(luò)安全主要應(yīng)對(duì)措施

3.1安裝機(jī)房防病毒及特洛伊木馬軟件

要保證整個(gè)網(wǎng)絡(luò)環(huán)境的安全，我們必須做到在病毒未入侵之前有效的預(yù)防，在病毒侵入之后快速地查找并排除，從而降低病毒的危害。目前，想要高效地維護(hù)機(jī)房電腦的安全，用于防止病毒的系統(tǒng)需要具備這樣幾種功能：能夠遠(yuǎn)程進(jìn)行安裝、升級(jí)智能化、能夠遠(yuǎn)程進(jìn)行報(bào)警、管理集中化、對(duì)病毒的查殺具有分布式的特點(diǎn)。具體做法如下：

（1）機(jī)房管理中心能夠?qū)崿F(xiàn)對(duì)機(jī)房網(wǎng)絡(luò)主機(jī)網(wǎng)點(diǎn)的管理，對(duì)它的安裝可以通過網(wǎng)絡(luò)服務(wù)器來實(shí)現(xiàn)，安裝版本為瑞星殺毒軟件網(wǎng)絡(luò)版。

（2）瑞星殺毒軟件客戶端（網(wǎng)絡(luò)版）應(yīng)該被安裝在每一臺(tái)需要上網(wǎng)的電腦上。

（3）按照上述兩步安裝好軟件后，在客戶端沒有聯(lián)網(wǎng)的情況下也能準(zhǔn)確地查找病毒，這時(shí)需要用到網(wǎng)絡(luò)控制臺(tái)設(shè)置定時(shí)查殺操作。

（4）任何軟件在運(yùn)行中均會(huì)存在漏洞，因此為了更好地讓學(xué)生電腦得到保護(hù)，需要機(jī)房管理員定期主動(dòng)到瑞星官網(wǎng)上下載升級(jí)后的殺毒軟件（包括病毒定義碼、掃描引擎、程序文件等），完成殺毒軟件的定期更新。

3.2采用防火墻系統(tǒng)來實(shí)現(xiàn)機(jī)房訪問控制

防火墻部署在機(jī)房核心交換機(jī)與PC客戶機(jī)或者交換機(jī)與服務(wù)器群之間，有效地將核心交換機(jī)與其他網(wǎng)絡(luò)或服務(wù)器隔離開。如果不加入服務(wù)器，當(dāng)外部網(wǎng)絡(luò)受到病毒的入侵時(shí)，病毒將開始逐步入侵其他的內(nèi)部網(wǎng)絡(luò)或者服務(wù)器，使傷害擴(kuò)大。在機(jī)房使用防火墻可以將病毒隔離，使機(jī)房網(wǎng)絡(luò)服務(wù)器彼此之間獨(dú)立，不受局域網(wǎng)或其內(nèi)部病毒的攻擊，減少病毒對(duì)機(jī)房網(wǎng)絡(luò)的傷害。在機(jī)房安裝防火墻不僅能夠保護(hù)機(jī)房網(wǎng)絡(luò)服務(wù)器，也能很好的保護(hù)區(qū)域網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器。機(jī)房防火墻部署如圖1所示。

圖1 機(jī)房防火墻部署圖

除了可以使用機(jī)房防火墻來控制設(shè)備的訪問，通過啟用某些功能還能實(shí)現(xiàn)更多更高級(jí)的功能。比如需要進(jìn)一步保護(hù)服務(wù)器，可以設(shè)置安全策略；日志需要監(jiān)控不合法的訪問，可以啟用NAT功能；需要?jiǎng)討B(tài)地完成防護(hù)功能，可以使用與入侵檢測(cè)聯(lián)動(dòng)的功能。為了性能更可靠，一般選購業(yè)界大公司和一些經(jīng)驗(yàn)豐富的研究單位的產(chǎn)品。

3.3建設(shè)部署機(jī)房入侵檢測(cè)系統(tǒng)

審計(jì)數(shù)據(jù)以及網(wǎng)絡(luò)數(shù)據(jù)包能夠反映系統(tǒng)數(shù)據(jù)是否被篡改或者破環(huán)，因此，機(jī)房入侵檢測(cè)常常檢測(cè)以上兩類信息即可。入侵檢測(cè)能夠檢測(cè)出不符合安全策略、威脅系統(tǒng)安全的某些行為和活動(dòng)，避免此類活動(dòng)或行為攻擊資源包，篡改、泄露數(shù)據(jù)。當(dāng)有機(jī)房入侵發(fā)生的時(shí)候，入侵檢測(cè)能夠發(fā)現(xiàn)并表示入侵活動(dòng)，記錄數(shù)據(jù)流的變化，并分析響應(yīng)部件的結(jié)果。

因?yàn)椴煌淖泳W(wǎng)對(duì)流量和數(shù)據(jù)的保護(hù)程度不同，因此IDS探測(cè)器配置的位置也將不同，總的來說需要將其配置在關(guān)鍵子網(wǎng)的交換機(jī)上，當(dāng)把核心交換機(jī)配置于控制臺(tái)上的時(shí)候，便可以對(duì)網(wǎng)絡(luò)中所有的探測(cè)器進(jìn)行監(jiān)控。因此，其針對(duì)監(jiān)控內(nèi)部存在的攻擊或錯(cuò)誤操作，并可以攔截、預(yù)防入侵。機(jī)房入侵檢測(cè)器網(wǎng)絡(luò)部署方案如圖2所示。

圖2 機(jī)房入侵探測(cè)器部署圖

當(dāng)機(jī)房網(wǎng)絡(luò)上存在敏感數(shù)據(jù)時(shí)，往往會(huì)在這些網(wǎng)絡(luò)上布置入侵檢測(cè)系統(tǒng)。系統(tǒng)可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流的動(dòng)向，截取通信數(shù)據(jù)流，當(dāng)發(fā)現(xiàn)異常數(shù)據(jù)流的時(shí)候，判斷網(wǎng)絡(luò)是否被侵入。一旦確認(rèn)這些異常數(shù)據(jù)流的產(chǎn)生原因是網(wǎng)絡(luò)受到攻擊，此時(shí)入侵檢測(cè)系統(tǒng)馬上做出相關(guān)的反應(yīng)：啟動(dòng)控制臺(tái)進(jìn)行報(bào)警，繼續(xù)跟蹤數(shù)據(jù)流的動(dòng)向，找出攻擊源頭并切斷網(wǎng)絡(luò)連接，配置入侵檢測(cè)系統(tǒng)相關(guān)參數(shù)，對(duì)TCP/IP協(xié)議過濾并監(jiān)視。當(dāng)系統(tǒng)中存在用戶自己定義的安全事件時(shí)，需要對(duì)此類事件進(jìn)行監(jiān)視，以便生成安全日志，從而有利于系統(tǒng)安全審計(jì)，并使安全分析決策系統(tǒng)獲得開放數(shù)據(jù)庫的支持，提高網(wǎng)絡(luò)安全。

4 總結(jié)與反思

隨著網(wǎng)絡(luò)應(yīng)用的深入普及，網(wǎng)絡(luò)安全越來越重要。為了有效防止高職機(jī)房網(wǎng)絡(luò)安全事件的發(fā)生，必須注意計(jì)算機(jī)網(wǎng)絡(luò)的安全問題，網(wǎng)絡(luò)安全不是單一的應(yīng)用一種或幾種方法來防護(hù)，而是多種方法相結(jié)合，層層防護(hù)，才能做到全面防范和應(yīng)對(duì)網(wǎng)絡(luò)安全問題。除了技術(shù)方面的防范，還應(yīng)該加強(qiáng)校園和機(jī)房網(wǎng)絡(luò)安全的宣傳和防范技巧培訓(xùn)，建立機(jī)房網(wǎng)絡(luò)安全管理辦法和安全責(zé)任制度，從而營造一個(gè)健康良好的互聯(lián)網(wǎng)環(huán)境，以此保障正常的教學(xué)活動(dòng)的運(yùn)行。

[1]鄭子生.高校機(jī)房網(wǎng)絡(luò)安全問題分析及對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.

[2]王甲乙.機(jī)房網(wǎng)絡(luò)安全隱患及網(wǎng)絡(luò)安全技術(shù)和對(duì)策的應(yīng)用分析[J].電腦知識(shí)與技術(shù)，2017.

[3]王鑫.計(jì)算機(jī)機(jī)房網(wǎng)絡(luò)建設(shè)的安全與管理研究[J].價(jià)值工程，2013.

[4]黃國慶.機(jī)房網(wǎng)絡(luò)安全及管理問題研究與對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.