探讨高校机房网络安全及管理
2013-04-11关景华郭新锐
关景华 魏 斌 郭新锐 梁 过
(郑州大学 软件技术学院,河南 郑州 450002)
互联网络的高速发展对网络安全提出了新的要求,网络规模不断扩大、网络攻击技术不断进步、各种操作系统安全漏洞、网络数据库的安全风险、有组织的恶意网络攻击群体迅速壮大、防火墙的局限性等。面对层出不穷的网络安全问题,很多企业和政府部门都购置了各种网络安全产品,如防火墙、网络防病毒软件等。与此同时高校校园网络安全也提到了工作议程,高校的公共计算机机房(以下简称“机房”)是校园网络的的重心,机房主要承担全校学生基础课、专业课、期末考试、毕业生实训等教学任务以及学生的自由上机实践。机房管理的内容十分广泛,包括技术管理,设备管理,人员管理,网络安全管理等方面。随着网络的发展,网络中存在的安全问题也日趋严重,我结合近几年的工作就高校机房网络安全管理提出了一些浅见供机房管理者探讨。
1 机房网络的安全威胁分类
1.1 系统软件和应用程序等不安全因素
目前高校机房普遍使用Windows XP 和Win7 两种操作系统版本。计算机系统不可能无缺陷和无漏洞,在漏洞的补丁更新之前,这些漏洞往往可能被黑客所利用。并非只有操作系统漏洞,软件的开发是一个复杂的过程,由于种种原因,一些应用程序也经常出现漏洞比如Microsoft Office,Flash Player等都会出现各种漏洞。不同的的漏洞表现形式各有不同,危害程度也不尽相同,但是都威胁系统的完整性、保密性等。学生上机过程中有意无意进行的一些卸载、删除、格式化等操作,更是直接对操作系统及软件环境造成不可挽回的破坏,这也是系统安全隐患的一个因素。
1.2 计算机网络的脆弱性
计算机网络进行通信,一般都要通过通信线路、调制解调器、路由器和交换机等设备,如果网络中的某个环节出现安全问题,发生比如ARP 攻击、网络下载等问题,那么整个网络都将受到影响,进而导致机房的教学、实验任务和管理、维护工作都无法正常进行。
1.3 计算机病毒
计算机的普及和网络化,为计算机病毒的广泛传播提供了便利条件。目前,各类病毒、木马层出不穷,学校机房因使用频繁、上机学生人数多,往往是各类计算机病毒流行的多发区、重灾区!在机房上机教学、上机实验的过程中,访问不良网站感染、局域网传播感染等多种方式,都可能导致计算机感染病毒,造成计算机无法正常使用。计算机病毒具有传染性、隐蔽性、潜伏性、破坏性等特点。病毒对系统和应用程序都有不同程度的破坏,同时还利用网络、移动存储设备(U 盘、移动硬盘)等其他媒介传播和蔓延。特别是网络病毒通过网络媒介传播,具有传染方式多、传播速度快、影响面大、清除难度大、破坏力强的特点,对网络正常通讯造成的危害性很大。曾经风靡一时的“熊猫烧香”“U 盘病毒”、“ARP 病毒”、“文件夹病毒”等病毒,导致机房电脑大范围的中毒,严重影响教学工作的正常进行。
1.4 管理制度不健全
不管是多么完善的网络体系,都需要管理人员来管理和维护,人员管理是网络安全的一个重要环节,管理因素往往是网络安全漏洞的直接原因。微软退休的一位高层曾说过“被黑客攻击,不是因为技术问题,而是由于人的问题。当我们跟踪错误的时候,总会发现是人的问题”。管理人员的网络安全意识、责任心不强,再加上缺乏相应的规章制度和操作规则,很难形成强有力的网络安全管理体系作。学生是机房的使用者,缺乏相应的思想教育和相应的管理制度来规范约束学生,由于处于青年阶段的大学生好奇心比较强,访问一些不法网站或编写一些病毒小程序等。
2 解决方案及策略
2.1 系统保护
如今还原卡保护技术已经相当成熟,还原卡已经被广泛应用于各大高校机房,目前市场上比较流行的有增霸卡、蓝光卡等品牌。机房计算机系统被还原卡保护之后,再次重启后系统恢复到最初状态,这样以来就不会因为学生的误删影响教学进展。保护卡的应用为管理工作带来了便利,保障教学工作的顺利进行。随着开发技术的提高,系统保护软件也应运而生,比如“影子系统”,还原效果可以跟还原卡相媲美。
管理人员应及时安装各种安全补丁程序,不给入侵者有可乘之机,同时进行软件升级。
2.2 访问限制
访问控制是网络安全和防范的主要技术手段,可以保障资源不被非法访问及使用。锐捷网络的交换机有端口安全的功能,利用交换机的端口安全功能可以实现网络接入安全,只允许指定MAC 地址的设备接入到网络中,从而防止用户将未授权的设备接入网络。限制端口接入的设备数量,防止用户将过多的设备接入到网络中。同时,为了防止机房网中地址盗用和地址冲突,可以在交换机或其他网络设备上进行MAC绑定,使每个IP 地址绑定一个相应的MAC 地址,如果在硬件上无法实现绑定,还可以用软件来实现。
分组过滤有助于限制网络的分组传输,这种控制能够帮助限制网络数据流和限制某些用户或设备对网络的使用。访问控制列表ACL(Access Control List)最直接的功能就是包过滤。
访问控制列表的三个作用:(1)安全控制。允许符合匹配规则的数据包通过访问,同时拒绝不符合匹配规则的数据包。(2)流量过滤。防止一些不必要的数据包通过路由器,提高带宽的利用率。(3)数据流量标识。当有多条网络链路时,让不同的数据包选择不同的链路。
2.3 病毒防范
最理想的反病毒就是防御,即杜绝病毒进入系统。但是通常情况下,是难以完全实现的,只有尽可能的减少病毒攻击的次数。自然而然的就会想到杀毒软件,市场上流行的杀毒软件有很多,国外有卡巴斯基、诺顿等,国内有江民、瑞星、金山和360 杀毒等。这些杀毒软件就像俗话说的那样“尺有所长,寸有所短”,没有更好,只有适合,根据机房的情况选择相应的杀毒软件。
仅仅依靠于杀毒软件,还是远远不能避免病毒的入侵,还要安装防火墙软件和防恶意软件等。有了软件的防护,管理维护工作也要跟上,管理人员要定期检查清除电脑上残留的病毒,及时更新杀毒软件的版本和病毒库升级,注意病毒流行动向,及时发现正在流行的病毒,并采取相应的防范措施。
2.4 制定机房管理制度
任何一个健康有序的环境都离不开规章制度,为了建设一个健康的教学环境,建立一个科学完善的安全管理制度是尤为重要的。网络本身的安全问题可以通过技术手段来解决,可是网络的管理、维护及应用需要相应的规章制度。人员管理是实现机房网络安全的一个重要环节。如果没有相应的管理制度,再好的网络安全实施方案也形同虚设。我们学院为此制定了一系列的制度《机房管理规则》、《学生机房守则》、《网络安全管理规则》、《机房安全制度》等,最大限度的保证机房的正常运行和网络安全。为了跟上科技进步的步伐,我们学院加强网络管理人员的技术培训,充分利用先进技术手段进行自动化管理以及处理网络运行过程中出现的各种突发事件。
2.5 加强学生网络安全教育
古人云:堵者禁也,禁而止之,止之不止,为害犹烈;疏者理也,理而散之,化于无形。大禹治水运用疏堵结合从而达到平息水患的目的。机房管理亦是如此,学生是机房的使用主体,加强大学生的思想教育,正确引导学生使用网络。对于大学生上网,以限制的方法来解决问题并非良策,但这并不是说不进行限制,而是要用积极的方法去引导,给他们树立正确的态度和理念去应用网络。学校可以通过各种教学活动和讲座等形式,教育学生树立网络安全意识;要求学生做到在网络上不浏览、不传播不健康或反动的信息;防止学生把机房里的电脑作为网络黑客攻击的工具;现如今电子商务日益普及,杜绝学生将教学机房里的电脑作为盗窃他人信息、财物的作案工具。
上述方案在一定程度上可以解决机房网络安全及管理存在的一些问题,为进一步提高教学质量营造一个良好的环境。机房网络安全及管理是一项复杂而庞大的工程。这项工作的一些问题具有不确定性,世上万物都不存在绝对的完美,对于计算机网络安全亦是如此,我们只能制定较为完善的方案。今后我们将继续努力确保学院机房网络的正常、安全运行,为学院教学、科研工作的开展提供稳定的网络保障。
3 结束语
试图提出一个高校机房计算机网络安全的全面解决方案。但是各大高校的机房的情况不尽相同,而且对安全程度的要求也完全不同。高校因根据自己的网络需求及自身条件,来建立适应本学校的网络安全体系。随着信息技术的发展,网络安全也在不断变化的,网络安全工作将是一个长期、不断更新又充满挑战的巨大工程,作为网络管理工作人员任重而道远。
[1]贾铁军、常艳、俞小怡等《网络安全实用技术》[M]北京:清华大学出版社,2011.8
[2]石志国、薛为民、尹浩《计算机网络安全教程》[M]北京:清华大学陈版社;北京交通大学出版社,2011.2
[3]袁津生、吴砚农《计算机网络安全基础》[M]北京:人民邮电出版社,2004.7
[4]高峡、陈智罡、袁宗福《网络设备互连学习指南》[M]北京:科学出版社,2009.4
[5]陈鸣《网络工程设计教程》[M]北京:机械工业出版社,2008.6
[6]李剑、张然《信息安全概论》[M]北京:机械工业出版社,2011.7
[7]姚红英《高校教学用计算机机房网络安全问题及对策》[J],《广西质量监督导报》,2007.12
[8]韩磊《浅析高校机房网络安全维护》[J],《牡丹江医学院学报》,2008.08
[9]鲍宇《学校网络安全问题的分析与对策》[J],《实验教学与仪器》,2006.08
[10]石磊、张怡、周俊《浅议学校机房网络安全维护策略》,《科技资讯》,2009.10