吳燕
摘 要:中職學(xué)校機(jī)房是提供給學(xué)生學(xué)習(xí)計(jì)算機(jī)的重要場(chǎng)所,現(xiàn)在的機(jī)房都是網(wǎng)絡(luò)型機(jī)房,很多課程還需要開(kāi)放外網(wǎng)進(jìn)行教學(xué)。本文分析提出,網(wǎng)絡(luò)環(huán)境日趨復(fù)雜和多變,重視學(xué)校機(jī)房的網(wǎng)絡(luò)安全問(wèn)題并有效解決,同時(shí)對(duì)機(jī)房維護(hù)和管理進(jìn)行改革與創(chuàng)新,才能保障機(jī)房可靠高效運(yùn)行。
關(guān)鍵詞:中職學(xué)校 機(jī)房 維護(hù)和管理對(duì)策 探究與實(shí)踐
課 題:本文為《中職計(jì)算機(jī)網(wǎng)絡(luò)專(zhuān)業(yè)網(wǎng)絡(luò)安全方向課程改革與實(shí)踐》2018年度廣西職業(yè)教育教學(xué)改革研究重點(diǎn)項(xiàng)目(項(xiàng)目編號(hào):GXZZJG2018A006)研究成果。
筆者所在的二級(jí)系部是信息商貿(mào)系,系部的網(wǎng)絡(luò)系統(tǒng)由十余間計(jì)算機(jī)實(shí)訓(xùn)室及辦公網(wǎng)絡(luò)組成,系部成立獨(dú)立的機(jī)房維護(hù)組對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理維護(hù)。如何采取有效對(duì)策、提高工作效率、防止計(jì)算機(jī)損壞、病毒感染及惡意攻擊,保證計(jì)算機(jī)機(jī)房正常開(kāi)展教學(xué)工作是一項(xiàng)必須認(rèn)真研究和探索的任務(wù)。下面筆者將對(duì)所在系在日常計(jì)算機(jī)機(jī)房維護(hù)中運(yùn)用的網(wǎng)絡(luò)安全技術(shù)及管理進(jìn)行探究。
一、機(jī)房維護(hù)和管理所面臨的問(wèn)題
機(jī)房使用非常頻繁,計(jì)算機(jī)很容易出現(xiàn)問(wèn)題,以下列舉常見(jiàn)的幾個(gè)問(wèn)題。
1.計(jì)算機(jī)操作系統(tǒng)自身隱患
部分中職學(xué)校因?yàn)橘Y金的問(wèn)題,機(jī)房建設(shè)多年設(shè)備老舊,只能安裝負(fù)載不高的操作系統(tǒng),如XP、Win 7。這些系統(tǒng)存在一些技術(shù)上的缺陷與安全上的漏洞,而且隨著時(shí)間的遷移,該風(fēng)險(xiǎn)漏洞會(huì)逐漸細(xì)化成網(wǎng)絡(luò)操作系統(tǒng)層面、計(jì)算機(jī)數(shù)據(jù)庫(kù)層面以及網(wǎng)絡(luò)軟件層面的安全漏洞。
2.應(yīng)用策略不完善
應(yīng)用策略不完善的表現(xiàn)如注冊(cè)表被修改,操作系統(tǒng)或組件被刪除,非法安裝游戲程序,訪(fǎng)問(wèn)不健康網(wǎng)站、U盤(pán)等可移動(dòng)存儲(chǔ)設(shè)備隨意拔插致使病毒泛濫。
3.機(jī)房管理制度落實(shí)不到位
雖然每個(gè)機(jī)房都有對(duì)應(yīng)的機(jī)房管理制度也都張貼于墻壁,但是計(jì)算機(jī)隨意挪動(dòng)、鼠標(biāo)鍵盤(pán)被盜、被損壞,場(chǎng)地衛(wèi)生臟亂差等諸多安全問(wèn)題仍存在。
二、維護(hù)和管理對(duì)策
1.維護(hù)對(duì)策
機(jī)房管理過(guò)程中,發(fā)現(xiàn)有些機(jī)房的計(jì)算機(jī)配置存在品牌型號(hào)不同、參數(shù)新舊差異,不同的機(jī)型要安裝不同的操作系統(tǒng),或者是有時(shí)候上課教師需要臨時(shí)增加安裝某個(gè)軟件,如此管理員的工作量十分繁重。針對(duì)這些情況有兩種解決辦法。
一種情況是機(jī)房設(shè)備型號(hào)統(tǒng)一、參數(shù)相同的情況,主板支持PXE服務(wù)。那么不需要獨(dú)立硬盤(pán)可以使用網(wǎng)絡(luò)無(wú)盤(pán)安裝軟件如“維護(hù)網(wǎng)維大師”軟件對(duì)機(jī)房進(jìn)行安裝系統(tǒng)。可以選用一臺(tái)高性能的服務(wù)器作為母機(jī),在該母機(jī)上學(xué)生機(jī)所安裝的操作系統(tǒng),學(xué)生機(jī)通過(guò)網(wǎng)絡(luò)啟動(dòng)連接到母機(jī)并顯示為“C:”其中一臺(tái)學(xué)生機(jī)作為超級(jí)管理員,其上安裝所需要軟件生成鏡像,其他學(xué)生機(jī)重啟后同步該鏡像。 定期對(duì)母機(jī)進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)和應(yīng)用程序升級(jí)。
另一種情況是機(jī)房設(shè)備型號(hào)各異、參數(shù)不盡相同的情況,且主板不支持PXE服務(wù)。那么該機(jī)房只能在本機(jī)安裝系統(tǒng)。選一臺(tái)高性能的計(jì)算機(jī),如CPU不小于4G,內(nèi)存不小于8G,硬盤(pán)不小于256G作為教師機(jī),安裝Windows Server 2008或Windows Server 2012 操作系統(tǒng),并升級(jí)為域控服務(wù)器,其他的計(jì)算機(jī)作為域成員加入域內(nèi)。在計(jì)算機(jī)使用一段時(shí)間后,雖然有硬件還原程序的保護(hù),計(jì)算機(jī)仍會(huì)出現(xiàn)問(wèn)題,為了不影響教學(xué)質(zhì)量,利用網(wǎng)絡(luò)同步升級(jí)的網(wǎng)絡(luò)拷貝,定期對(duì)計(jì)算機(jī)進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)和應(yīng)用程序
升級(jí)。
以下對(duì)服務(wù)器端、路由器端和PC端的網(wǎng)絡(luò)安全配置以及機(jī)房制度的有效實(shí)施四個(gè)方面進(jìn)行闡述。
(1)服務(wù)器的網(wǎng)絡(luò)安全配置。服務(wù)器是單位重要數(shù)據(jù)的存儲(chǔ)器,因此是黑客重點(diǎn)攻擊的目標(biāo)。針對(duì)網(wǎng)站服務(wù)器的常見(jiàn)攻擊如SQL注入、CSRF攻擊、后臺(tái)框架、協(xié)議漏洞等。SQL注入是利用后臺(tái)漏洞通過(guò)URL將關(guān)鍵SQL語(yǔ)句帶入程序并在數(shù)據(jù)庫(kù)中執(zhí)行從而造成破壞性結(jié)果。CSRF攻擊通過(guò)偽裝成受信任用戶(hù)的請(qǐng)求來(lái)利用受信任的網(wǎng)站,即攻擊者盜用了受信任用戶(hù)的身份,偽裝成受信任用戶(hù)發(fā)送惡意請(qǐng)求。黑客利用CSRF以受信任用戶(hù)名義發(fā)送郵件,發(fā)消息,盜取受信任用戶(hù)的賬號(hào),甚至于購(gòu)買(mǎi)商品、虛擬貨幣轉(zhuǎn)賬,給受信任用戶(hù)帶來(lái)的后果是個(gè)人隱私泄露以及財(cái)產(chǎn)安全。后臺(tái)框架、協(xié)議漏洞攻擊則是針對(duì)程序和系統(tǒng)缺陷進(jìn)行攻擊。
針對(duì)非網(wǎng)站服務(wù)器的常見(jiàn)攻擊如系統(tǒng)登錄用戶(hù)、數(shù)據(jù)庫(kù)登錄用戶(hù)爆破,服務(wù)器端口漏洞、操作系統(tǒng)漏洞、木馬植入等。黑客利用多種手段確定后臺(tái)數(shù)據(jù)庫(kù),比如使用后臺(tái)框架、協(xié)議漏洞很容易就發(fā)現(xiàn)了后臺(tái)使用的什么框架、什么數(shù)據(jù)庫(kù)。又或是使用nmap 等工具直接開(kāi)掃,例如目標(biāo)服務(wù)器暴露3306端口大概率就確定是mysql了。確認(rèn)了數(shù)據(jù)庫(kù)類(lèi)型以及端口接下來(lái)就是采用密碼字典暴力破解了。很多用戶(hù)貪圖方便記憶使用了弱口令,弱口令很輕易被攻破。使用nmap掃描服務(wù)器暴露的端口,就有大量的手段利用端口進(jìn)行下一步滲透。木馬植入則是直接通過(guò)向服務(wù)器種植木馬,開(kāi)啟后門(mén),取得服務(wù)器控制權(quán)。
計(jì)算機(jī)機(jī)房一般非網(wǎng)站服務(wù)器,針對(duì)以上描述的常見(jiàn)攻擊行為,我們?cè)诜?wù)器上做以下防護(hù)。
①更改默認(rèn)administrator用戶(hù)名,設(shè)置復(fù)雜密碼。
②開(kāi)啟防火墻。
③安裝殺毒軟件:新做系統(tǒng)一定要先打上補(bǔ)丁,安裝必要的殺毒軟件,刪除系統(tǒng)默認(rèn)共享。
④修改域策略→安全選項(xiàng)。交互式登陸:不顯示最后的用戶(hù)名選擇啟用(修改用意:防爆破),網(wǎng)絡(luò)訪(fǎng)問(wèn):不允許SAM 賬戶(hù)和共享的匿名枚舉選擇啟用(修改用意:關(guān)閉后門(mén)),網(wǎng)絡(luò)訪(fǎng)問(wèn):不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或 .NET Passports選擇啟用(修改用意:清除歷史記錄),網(wǎng)絡(luò)訪(fǎng)問(wèn):可遠(yuǎn)程訪(fǎng)問(wèn)的注冊(cè)表路徑和子路徑全部刪除(修改用意:防提權(quán));關(guān)閉光盤(pán)和磁盤(pán)的自動(dòng)播放功能(修改用意:防木馬自動(dòng)運(yùn)行);阻止訪(fǎng)問(wèn)注冊(cè)表編輯工具選擇啟用(修改用意:防提權(quán));開(kāi)啟定期殺毒功能。
⑤禁用不必要的服務(wù):TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation。
⑥下載并運(yùn)行服務(wù)器安全狗(服務(wù)器安全狗是一款集服務(wù)器安全防護(hù)和安全管理為一體的綜合性服務(wù)器工具。支持Windows全系列操作系統(tǒng)Windows2003 / Windows2008 / Windows2012 32位 64位)、Linux操作系統(tǒng)的服務(wù)器安全防護(hù)軟件,從驅(qū)動(dòng)層直接屏蔽攻擊,保護(hù)服務(wù)器安全。
⑦數(shù)據(jù)庫(kù)以最低權(quán)限運(yùn)行,保證數(shù)據(jù)庫(kù)安全。
⑧限制利用3389遠(yuǎn)程登錄的登錄IP。
⑨使用信息收集軟件定期給系統(tǒng)進(jìn)行安全評(píng)估。
(2)路由器的網(wǎng)絡(luò)安全配置。從網(wǎng)絡(luò)層對(duì)網(wǎng)絡(luò)攻擊進(jìn)行防護(hù),最直接的方式就是在路由器上做策略。很多的路由器都支持這些流量攻擊的防御,首先進(jìn)入路由器的管理界面,開(kāi)啟防御功能。例如勾選所有的SYN Flood攻擊、UDPFlood攻擊、ICMP Flood攻擊。SYN Flood是一種廣為人知的DOS(拒絕服務(wù)攻擊)是DDOS(分布式拒絕服務(wù)攻擊)的方式之一,這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請(qǐng)求,從而使得被攻擊方資源耗盡(CPU滿(mǎn)負(fù)荷或內(nèi)存不足)的攻擊方式。UDPFlood是日漸猖獗的流量型DOS攻擊。常見(jiàn)的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100k bps的UDPFlood經(jīng)常將線(xiàn)路上的骨干設(shè)備例如防火墻打癱,造成整個(gè)網(wǎng)段的癱瘓。ICMP Flood是一種DDOS攻擊,該攻擊在短時(shí)間內(nèi)向目的主機(jī)發(fā)送大量ping包,消耗主機(jī)資源,主機(jī)資源耗盡后就會(huì)癱瘓或者無(wú)法提供其他服務(wù)。這三種攻擊可通過(guò)閥值進(jìn)行調(diào)整,通過(guò)調(diào)整每秒鐘通過(guò)的數(shù)據(jù)包個(gè)數(shù)來(lái)確定是否為攻擊行為。
(3)PC端的網(wǎng)絡(luò)安全配置。PC端即作為學(xué)生機(jī)的普通計(jì)算機(jī),PC端一定要開(kāi)啟防火墻,安裝殺毒軟件,定期把軟件升級(jí)并進(jìn)行殺毒。殺毒工作可由機(jī)房使用班級(jí)進(jìn)行,一方面提高工作效率,另一方面培養(yǎng)學(xué)生定期殺毒的網(wǎng)絡(luò)安全意識(shí)。
(4)機(jī)房制度的有效實(shí)施。嚴(yán)格要求學(xué)生和教師按照規(guī)章制度操作。制定人機(jī)負(fù)責(zé)制,將機(jī)房的每臺(tái)計(jì)算機(jī)和設(shè)備打上標(biāo)簽,制作每個(gè)在該機(jī)房上課班級(jí)的“實(shí)訓(xùn)場(chǎng)地工位安排表”,每一位學(xué)生固定使用和管理某臺(tái)計(jì)算機(jī)。課后上課教師組織值日生清潔場(chǎng)地,機(jī)房維護(hù)組進(jìn)行檢查記錄,對(duì)沒(méi)按要求做好6S的班級(jí)由上課教師帶領(lǐng)學(xué)生整改。
2.管理對(duì)策
二級(jí)系部的機(jī)房管理工作繁重,聘任4~5位專(zhuān)業(yè)教師作為專(zhuān)業(yè)管理員是不現(xiàn)實(shí)的。因此聘任學(xué)生為機(jī)房輔助管理員是不錯(cuò)的解決方案,不僅可以緩解機(jī)房管理人力上的不足,減輕管理人員的工作壓力,還可以大大提高工作效率、服務(wù)質(zhì)量和管理能力。筆者所在系的機(jī)房維護(hù)組由2位專(zhuān)職教師和4名學(xué)生組成,教師指導(dǎo)帶領(lǐng)學(xué)生進(jìn)行機(jī)房維護(hù)工作。學(xué)生管理員是三年級(jí)的學(xué)生,在校內(nèi)完成實(shí)習(xí)任務(wù),由系部考核。學(xué)生管理員實(shí)行行政坐班制,有任務(wù)的時(shí)候協(xié)助老師完成,比如安裝系統(tǒng)、軟件,解決機(jī)房出現(xiàn)的各種設(shè)備問(wèn)題。另外每天還安排值班人員,值班人員負(fù)責(zé)按時(shí)給各機(jī)房開(kāi)門(mén)關(guān)門(mén),每天按時(shí)檢查教室使用申請(qǐng)表,查看有無(wú)教室和網(wǎng)絡(luò)需要特定時(shí)間開(kāi)關(guān),檢查教室的衛(wèi)生清潔。
機(jī)房管理工作是一項(xiàng)持續(xù)長(zhǎng)久的工作,考慮到學(xué)生終將畢業(yè)離開(kāi)學(xué)校,因此需要注重管理團(tuán)隊(duì)的梯隊(duì)建設(shè)。維護(hù)小組每年從學(xué)生社團(tuán)“計(jì)算機(jī)協(xié)會(huì)”挑選幾名新生,利用下午放學(xué)及晚自習(xí)時(shí)間以老帶新參與機(jī)房管理,這樣慢慢地形成本系的傳統(tǒng),機(jī)房管理工作這些年來(lái)一直平穩(wěn)有序,沒(méi)有出現(xiàn)安全事故。
(作者單位:廣西工業(yè)技師學(xué)院)