吳燕

摘 要：中職學(xué)校機(jī)房是提供給學(xué)生學(xué)習(xí)計(jì)算機(jī)的重要場(chǎng)所，現(xiàn)在的機(jī)房都是網(wǎng)絡(luò)型機(jī)房，很多課程還需要開(kāi)放外網(wǎng)進(jìn)行教學(xué)。本文分析提出，網(wǎng)絡(luò)環(huán)境日趨復(fù)雜和多變，重視學(xué)校機(jī)房的網(wǎng)絡(luò)安全問(wèn)題并有效解決，同時(shí)對(duì)機(jī)房維護(hù)和管理進(jìn)行改革與創(chuàng)新，才能保障機(jī)房可靠高效運(yùn)行。

關(guān)鍵詞：中職學(xué)校 機(jī)房 維護(hù)和管理對(duì)策 探究與實(shí)踐

課 題：本文為《中職計(jì)算機(jī)網(wǎng)絡(luò)專(zhuān)業(yè)網(wǎng)絡(luò)安全方向課程改革與實(shí)踐》2018年度廣西職業(yè)教育教學(xué)改革研究重點(diǎn)項(xiàng)目（項(xiàng)目編號(hào)：GXZZJG2018A006）研究成果。

筆者所在的二級(jí)系部是信息商貿(mào)系，系部的網(wǎng)絡(luò)系統(tǒng)由十余間計(jì)算機(jī)實(shí)訓(xùn)室及辦公網(wǎng)絡(luò)組成，系部成立獨(dú)立的機(jī)房維護(hù)組對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理維護(hù)。如何采取有效對(duì)策、提高工作效率、防止計(jì)算機(jī)損壞、病毒感染及惡意攻擊，保證計(jì)算機(jī)機(jī)房正常開(kāi)展教學(xué)工作是一項(xiàng)必須認(rèn)真研究和探索的任務(wù)。下面筆者將對(duì)所在系在日常計(jì)算機(jī)機(jī)房維護(hù)中運(yùn)用的網(wǎng)絡(luò)安全技術(shù)及管理進(jìn)行探究。

一、機(jī)房維護(hù)和管理所面臨的問(wèn)題

機(jī)房使用非常頻繁，計(jì)算機(jī)很容易出現(xiàn)問(wèn)題，以下列舉常見(jiàn)的幾個(gè)問(wèn)題。

1.計(jì)算機(jī)操作系統(tǒng)自身隱患

部分中職學(xué)校因?yàn)橘Y金的問(wèn)題，機(jī)房建設(shè)多年設(shè)備老舊，只能安裝負(fù)載不高的操作系統(tǒng)，如XP、Win 7。這些系統(tǒng)存在一些技術(shù)上的缺陷與安全上的漏洞，而且隨著時(shí)間的遷移，該風(fēng)險(xiǎn)漏洞會(huì)逐漸細(xì)化成網(wǎng)絡(luò)操作系統(tǒng)層面、計(jì)算機(jī)數(shù)據(jù)庫(kù)層面以及網(wǎng)絡(luò)軟件層面的安全漏洞。

2.應(yīng)用策略不完善

應(yīng)用策略不完善的表現(xiàn)如注冊(cè)表被修改，操作系統(tǒng)或組件被刪除，非法安裝游戲程序，訪(fǎng)問(wèn)不健康網(wǎng)站、U盤(pán)等可移動(dòng)存儲(chǔ)設(shè)備隨意拔插致使病毒泛濫。

3.機(jī)房管理制度落實(shí)不到位

雖然每個(gè)機(jī)房都有對(duì)應(yīng)的機(jī)房管理制度也都張貼于墻壁，但是計(jì)算機(jī)隨意挪動(dòng)、鼠標(biāo)鍵盤(pán)被盜、被損壞，場(chǎng)地衛(wèi)生臟亂差等諸多安全問(wèn)題仍存在。

二、維護(hù)和管理對(duì)策

1.維護(hù)對(duì)策

機(jī)房管理過(guò)程中，發(fā)現(xiàn)有些機(jī)房的計(jì)算機(jī)配置存在品牌型號(hào)不同、參數(shù)新舊差異，不同的機(jī)型要安裝不同的操作系統(tǒng)，或者是有時(shí)候上課教師需要臨時(shí)增加安裝某個(gè)軟件，如此管理員的工作量十分繁重。針對(duì)這些情況有兩種解決辦法。

一種情況是機(jī)房設(shè)備型號(hào)統(tǒng)一、參數(shù)相同的情況，主板支持PXE服務(wù)。那么不需要獨(dú)立硬盤(pán)可以使用網(wǎng)絡(luò)無(wú)盤(pán)安裝軟件如“維護(hù)網(wǎng)維大師”軟件對(duì)機(jī)房進(jìn)行安裝系統(tǒng)。可以選用一臺(tái)高性能的服務(wù)器作為母機(jī)，在該母機(jī)上學(xué)生機(jī)所安裝的操作系統(tǒng)，學(xué)生機(jī)通過(guò)網(wǎng)絡(luò)啟動(dòng)連接到母機(jī)并顯示為“C：”其中一臺(tái)學(xué)生機(jī)作為超級(jí)管理員，其上安裝所需要軟件生成鏡像，其他學(xué)生機(jī)重啟后同步該鏡像。 定期對(duì)母機(jī)進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)和應(yīng)用程序升級(jí)。

另一種情況是機(jī)房設(shè)備型號(hào)各異、參數(shù)不盡相同的情況，且主板不支持PXE服務(wù)。那么該機(jī)房只能在本機(jī)安裝系統(tǒng)。選一臺(tái)高性能的計(jì)算機(jī)，如CPU不小于4G，內(nèi)存不小于8G，硬盤(pán)不小于256G作為教師機(jī)，安裝Windows Server 2008或Windows Server 2012 操作系統(tǒng)，并升級(jí)為域控服務(wù)器，其他的計(jì)算機(jī)作為域成員加入域內(nèi)。在計(jì)算機(jī)使用一段時(shí)間后，雖然有硬件還原程序的保護(hù)，計(jì)算機(jī)仍會(huì)出現(xiàn)問(wèn)題，為了不影響教學(xué)質(zhì)量，利用網(wǎng)絡(luò)同步升級(jí)的網(wǎng)絡(luò)拷貝，定期對(duì)計(jì)算機(jī)進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)和應(yīng)用程序

升級(jí)。

以下對(duì)服務(wù)器端、路由器端和PC端的網(wǎng)絡(luò)安全配置以及機(jī)房制度的有效實(shí)施四個(gè)方面進(jìn)行闡述。

（1）服務(wù)器的網(wǎng)絡(luò)安全配置。服務(wù)器是單位重要數(shù)據(jù)的存儲(chǔ)器，因此是黑客重點(diǎn)攻擊的目標(biāo)。針對(duì)網(wǎng)站服務(wù)器的常見(jiàn)攻擊如SQL注入、CSRF攻擊、后臺(tái)框架、協(xié)議漏洞等。SQL注入是利用后臺(tái)漏洞通過(guò)URL將關(guān)鍵SQL語(yǔ)句帶入程序并在數(shù)據(jù)庫(kù)中執(zhí)行從而造成破壞性結(jié)果。CSRF攻擊通過(guò)偽裝成受信任用戶(hù)的請(qǐng)求來(lái)利用受信任的網(wǎng)站，即攻擊者盜用了受信任用戶(hù)的身份，偽裝成受信任用戶(hù)發(fā)送惡意請(qǐng)求。黑客利用CSRF以受信任用戶(hù)名義發(fā)送郵件，發(fā)消息，盜取受信任用戶(hù)的賬號(hào)，甚至于購(gòu)買(mǎi)商品、虛擬貨幣轉(zhuǎn)賬，給受信任用戶(hù)帶來(lái)的后果是個(gè)人隱私泄露以及財(cái)產(chǎn)安全。后臺(tái)框架、協(xié)議漏洞攻擊則是針對(duì)程序和系統(tǒng)缺陷進(jìn)行攻擊。

針對(duì)非網(wǎng)站服務(wù)器的常見(jiàn)攻擊如系統(tǒng)登錄用戶(hù)、數(shù)據(jù)庫(kù)登錄用戶(hù)爆破，服務(wù)器端口漏洞、操作系統(tǒng)漏洞、木馬植入等。黑客利用多種手段確定后臺(tái)數(shù)據(jù)庫(kù)，比如使用后臺(tái)框架、協(xié)議漏洞很容易就發(fā)現(xiàn)了后臺(tái)使用的什么框架、什么數(shù)據(jù)庫(kù)。又或是使用nmap 等工具直接開(kāi)掃，例如目標(biāo)服務(wù)器暴露3306端口大概率就確定是mysql了。確認(rèn)了數(shù)據(jù)庫(kù)類(lèi)型以及端口接下來(lái)就是采用密碼字典暴力破解了。很多用戶(hù)貪圖方便記憶使用了弱口令，弱口令很輕易被攻破。使用nmap掃描服務(wù)器暴露的端口，就有大量的手段利用端口進(jìn)行下一步滲透。木馬植入則是直接通過(guò)向服務(wù)器種植木馬，開(kāi)啟后門(mén)，取得服務(wù)器控制權(quán)。

計(jì)算機(jī)機(jī)房一般非網(wǎng)站服務(wù)器，針對(duì)以上描述的常見(jiàn)攻擊行為，我們?cè)诜?wù)器上做以下防護(hù)。

①更改默認(rèn)administrator用戶(hù)名，設(shè)置復(fù)雜密碼。

②開(kāi)啟防火墻。

③安裝殺毒軟件：新做系統(tǒng)一定要先打上補(bǔ)丁，安裝必要的殺毒軟件，刪除系統(tǒng)默認(rèn)共享。

④修改域策略→安全選項(xiàng)。交互式登陸：不顯示最后的用戶(hù)名選擇啟用（修改用意：防爆破），網(wǎng)絡(luò)訪(fǎng)問(wèn)：不允許SAM 賬戶(hù)和共享的匿名枚舉選擇啟用（修改用意：關(guān)閉后門(mén)），網(wǎng)絡(luò)訪(fǎng)問(wèn)：不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或 .NET Passports選擇啟用（修改用意：清除歷史記錄），網(wǎng)絡(luò)訪(fǎng)問(wèn)：可遠(yuǎn)程訪(fǎng)問(wèn)的注冊(cè)表路徑和子路徑全部刪除（修改用意：防提權(quán)）;關(guān)閉光盤(pán)和磁盤(pán)的自動(dòng)播放功能（修改用意：防木馬自動(dòng)運(yùn)行）;阻止訪(fǎng)問(wèn)注冊(cè)表編輯工具選擇啟用（修改用意：防提權(quán)）;開(kāi)啟定期殺毒功能。

⑤禁用不必要的服務(wù)：TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation。

⑥下載并運(yùn)行服務(wù)器安全狗（服務(wù)器安全狗是一款集服務(wù)器安全防護(hù)和安全管理為一體的綜合性服務(wù)器工具。支持Windows全系列操作系統(tǒng)Windows2003 / Windows2008 / Windows2012 32位 64位）、Linux操作系統(tǒng)的服務(wù)器安全防護(hù)軟件，從驅(qū)動(dòng)層直接屏蔽攻擊，保護(hù)服務(wù)器安全。

⑦數(shù)據(jù)庫(kù)以最低權(quán)限運(yùn)行，保證數(shù)據(jù)庫(kù)安全。

⑧限制利用3389遠(yuǎn)程登錄的登錄IP。

⑨使用信息收集軟件定期給系統(tǒng)進(jìn)行安全評(píng)估。

（2）路由器的網(wǎng)絡(luò)安全配置。從網(wǎng)絡(luò)層對(duì)網(wǎng)絡(luò)攻擊進(jìn)行防護(hù)，最直接的方式就是在路由器上做策略。很多的路由器都支持這些流量攻擊的防御，首先進(jìn)入路由器的管理界面，開(kāi)啟防御功能。例如勾選所有的SYN Flood攻擊、UDPFlood攻擊、ICMP Flood攻擊。SYN Flood是一種廣為人知的DOS（拒絕服務(wù)攻擊）是DDOS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡（CPU滿(mǎn)負(fù)荷或內(nèi)存不足）的攻擊方式。UDPFlood是日漸猖獗的流量型DOS攻擊。常見(jiàn)的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100k bps的UDPFlood經(jīng)常將線(xiàn)路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。ICMP Flood是一種DDOS攻擊，該攻擊在短時(shí)間內(nèi)向目的主機(jī)發(fā)送大量ping包，消耗主機(jī)資源，主機(jī)資源耗盡后就會(huì)癱瘓或者無(wú)法提供其他服務(wù)。這三種攻擊可通過(guò)閥值進(jìn)行調(diào)整，通過(guò)調(diào)整每秒鐘通過(guò)的數(shù)據(jù)包個(gè)數(shù)來(lái)確定是否為攻擊行為。

（3）PC端的網(wǎng)絡(luò)安全配置。PC端即作為學(xué)生機(jī)的普通計(jì)算機(jī)，PC端一定要開(kāi)啟防火墻，安裝殺毒軟件，定期把軟件升級(jí)并進(jìn)行殺毒。殺毒工作可由機(jī)房使用班級(jí)進(jìn)行，一方面提高工作效率，另一方面培養(yǎng)學(xué)生定期殺毒的網(wǎng)絡(luò)安全意識(shí)。

（4）機(jī)房制度的有效實(shí)施。嚴(yán)格要求學(xué)生和教師按照規(guī)章制度操作。制定人機(jī)負(fù)責(zé)制，將機(jī)房的每臺(tái)計(jì)算機(jī)和設(shè)備打上標(biāo)簽，制作每個(gè)在該機(jī)房上課班級(jí)的“實(shí)訓(xùn)場(chǎng)地工位安排表”，每一位學(xué)生固定使用和管理某臺(tái)計(jì)算機(jī)。課后上課教師組織值日生清潔場(chǎng)地，機(jī)房維護(hù)組進(jìn)行檢查記錄，對(duì)沒(méi)按要求做好6S的班級(jí)由上課教師帶領(lǐng)學(xué)生整改。

2.管理對(duì)策

二級(jí)系部的機(jī)房管理工作繁重，聘任4～5位專(zhuān)業(yè)教師作為專(zhuān)業(yè)管理員是不現(xiàn)實(shí)的。因此聘任學(xué)生為機(jī)房輔助管理員是不錯(cuò)的解決方案，不僅可以緩解機(jī)房管理人力上的不足，減輕管理人員的工作壓力，還可以大大提高工作效率、服務(wù)質(zhì)量和管理能力。筆者所在系的機(jī)房維護(hù)組由2位專(zhuān)職教師和4名學(xué)生組成，教師指導(dǎo)帶領(lǐng)學(xué)生進(jìn)行機(jī)房維護(hù)工作。學(xué)生管理員是三年級(jí)的學(xué)生，在校內(nèi)完成實(shí)習(xí)任務(wù)，由系部考核。學(xué)生管理員實(shí)行行政坐班制，有任務(wù)的時(shí)候協(xié)助老師完成，比如安裝系統(tǒng)、軟件，解決機(jī)房出現(xiàn)的各種設(shè)備問(wèn)題。另外每天還安排值班人員，值班人員負(fù)責(zé)按時(shí)給各機(jī)房開(kāi)門(mén)關(guān)門(mén)，每天按時(shí)檢查教室使用申請(qǐng)表，查看有無(wú)教室和網(wǎng)絡(luò)需要特定時(shí)間開(kāi)關(guān)，檢查教室的衛(wèi)生清潔。

機(jī)房管理工作是一項(xiàng)持續(xù)長(zhǎng)久的工作，考慮到學(xué)生終將畢業(yè)離開(kāi)學(xué)校，因此需要注重管理團(tuán)隊(duì)的梯隊(duì)建設(shè)。維護(hù)小組每年從學(xué)生社團(tuán)“計(jì)算機(jī)協(xié)會(huì)”挑選幾名新生，利用下午放學(xué)及晚自習(xí)時(shí)間以老帶新參與機(jī)房管理，這樣慢慢地形成本系的傳統(tǒng)，機(jī)房管理工作這些年來(lái)一直平穩(wěn)有序，沒(méi)有出現(xiàn)安全事故。

（作者單位：廣西工業(yè)技師學(xué)院）