谢延红 钱爱增

摘  ；要： 针对高校公共多媒体教室计算机病毒泛滥的问题，提出了一种基于“网闸”的高校公共多媒体教室计算机管理方案。“网闸”实现了多媒体教室计算机和Internet病毒的隔离，系统补丁及杀毒软件病毒库的实时升级，授课教师自动注册、授课资料快速上传及对资料的病毒防控，多媒体计算机运行状态的实时监控等功能。此方案改变了公共多媒体教室的传统运行模式，基本解决了多媒体教室计算机病毒感染、系统补丁、杀毒软件病毒库升级等问题。给出了此方案的具体实现及其实施过程中相关问题的解决办法。

关键词： 网闸； 多媒体教室； 病毒； 还原卡； 多媒体专网； 校园网

中图分类号：TP399  ；  ；  ；  ；  ；文献标志码：A  ；  ； 文章编号：1006-8228（2014）12-24-04

Plan and practice of university public multimedia classroom computer

management based on network gate

Xie Yanhong， Qian Aizeng

（School of information management， Dezhou University， Dezhou， Shandong 253023， China）

Abstract： Aiming at the problem about the widespread computer virus inthe university public multimedia classroom， a kind of university public multimedia classroom computer management solution based on "network gate" is introduced. It has realized the isolation between multimedia classroom computer and Internet virus， timely updates of system patches and virus library， automatic registration of teachers， quick uploading of data， virus prevention and real-time monitoring of running status of multimedia computer.The traditional operation mode of public multimedia classroom has changed， solving the problems of multimedia classroom computer virus infection， updates of patches and virus library.A scheme of the implementation and the solution to the related problems in the process are presented.

Key words： network gate； multimedia classroom； virus； recovery card； multimedia private network； campus network

0 引言

随着教育信息化的深入，多媒体教室成为高校教学的重要场所，保障多媒体教室的高效、正常运行就成了一个刚性的任务。在公共多媒体教室所有设备故障中，计算机感染病毒问题成了大家最为头疼的问题，于是重装系统变成了常事，面对低效重复性的劳动，管理者是苦不堪言，面对病毒横行的计算机，教师是怨声载道。

针对该问题，很多研究者都给出了解决方案，姚君等提出了“分布式”多媒体故障处理新思路[1]；樊昌秀，胡军分别就多媒体教室桌面虚拟化进行了探索[2，5]。李开明在多媒体教室计算机操作系统保护措施综述等等[3-8]诸多文献中从公共多媒体教室计算机管理与维护的不同侧面给出了建议，提升了多媒体教室计算机的管理水平。

实际使用中，安装还原卡的计算机存在以下两个问题。

⑴ 由于每次重新启动都要恢复操作系统，导致操作系统无法及时打补丁，杀毒软件及病毒库无法及时升级到最新版，当教师上课使用感染病毒的U盘、MP3等移动介质时，系统便会很快感染病毒，使Word、PowerPoint等常用软件无法正常启动，导致系统无法正常使用。

⑵ 某些病毒，如2007年出现的“机器狗”病毒等，能够穿透各种还原卡，使操作系统失去保护作用，加上操作系统及相关软件存在的大量漏洞，计算机很快便会感染各种病毒，导致操作系统无法正常工作。

从中我们可以看出，导致公共多媒体教室计算机系统经常出现问题的主要原因有两个。

⑴ 操作系统及相关软件存在的大量漏洞，给病毒造成可乘之机，这个原因是还原卡自身造成的。

⑵ 操作系统病毒主要来源于授课教师使用的U盘、MP3等移动介质。

只要将以上两个原因解决，即可基本保障公共多媒体教室计算机系统的正常运行。针对多媒体教室计算机病毒这一问题和以上分析，笔者在研究以往多媒体教室计算机管理方案的基础上，提出了一种基于校园网的高校公共多媒体教室计算机管理方案（以下简称“方案”），方案通过改进多媒体教室计算机传统运行方式，较好地解决了以上问题。

1 方案解决思路

从导致公共多媒体教室计算机系统感染病毒的原因入手，提出如下解决思路：

⑴ 拆除还原卡，让计算机系统、计算机杀毒软件通过网络实现实时升级，保持一个健康的计算机系统环境；

⑵ 杜绝U盘等移动介质的使用，堵住病毒的源头。

图1所示为方案实际工作示意图。

首先，让计算机系统、计算机杀毒软件通过网络保持实时升级，及时打上补丁，堵住系统漏洞。

所有多媒体教室计算机均不安装任何还原卡，将多媒体教室计算机组成多媒体专网，由“网闸”（“网闸”允许多媒体专网中的计算机访问校园网、Internet，但不允许校园网、Internet上的计算机访问多媒体专网内的计算机）通过校园网接入Internet，保持计算机系统补丁和杀毒软件病毒库实时升级，进而达到保持计算机系统健康和环境健康的目的。

其次，通过以下几项措施，杜绝U盘、MP3等移动介质的使用，确保教师使用的课件没有病毒，堵住病毒源头。

⑴ 禁用计算机USB接口，使病毒不能通过用户移动设备传播，杜绝病毒来源。计算机设置普通账号登录，杜绝用户随意安装和删除软件，保证计算机各软件正常使用。

⑵ 教师上课用的课件通过多媒体教室计算机登录到“网闸”（校园网其他服务器或Internet的邮箱或云盘）下载得到，由于“网闸”能对教师上传的课件定时杀毒（Internet上的邮箱或云盘等服务也具有杀毒功能）进而保证了所用课件没有感染病毒。另外，上课时教师也会偶尔访问Internet的其他资源，由于计算机系统健康的环境和最新的杀毒软件环境，即使访问的网上资源有病毒也可随时清除，从而保持计算机系统的健康。

图1  ；方案运行示意图

2 方案实现

2.1 多媒体专网

多数高校均已建成功能完善的校园网，如基础线路允许，可建立物理专网，即每个教学楼多媒体教室通过一台智能可网管交换机组成一个局域网，通过2芯光纤直连到网络中心，组成一个真正的物理专网（也可通过建立虚拟局域网的方法实现），然后再通过“网闸”接入校园网。

2.2 多媒体教室计算机

⑴ 安装360安全卫士，实现操作系统、OFFICE软件、浏览器等软件的实时升级，使系统不存在漏洞，以防感染病毒。

⑵ 安装360杀毒软件，实时升级，保持病毒库的最新状态，实现对病毒的即时查杀（也可通过购置网络版杀毒软件实现）。

⑶ 禁用USB接口，进入BIOS设置，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disabled”，即可禁用USB接口。最后给BIOS设置上一个密码，这样别人就无法通过修改注册表解“锁”上述设备了，如果有USB接口鼠标或键盘等设备，用ps2/usb转换接头转一下或采用PS2接口的键盘和鼠标即可，如此就能杜绝教师使用U盘、MP3等移动设备，堵住病毒源头。

⑷ 建立普通账号，如“jiaoxue”，密码均相同，上课教师通过该账号登录系统，将管理账号修改密码，密码只有管理人员知道，防止上课教师随意安装或删除软件。

⑸ 保持桌面清洁，建立批处理软件，放在启动项中，每次启动系统将桌面上教师上课用的课件自动清除。

2.3 “网闸”

“网闸”为一台服务器（用高档PC替代也可，但注意数据备份）要求配双网卡，要求硬盘为企业级硬盘，2T以上容量，这样可保证每个用户的FTP空间在1G以上，运行平台采用Linux RedHat9.0，起FTP服务器、用户注册服务器、代理服务器、多媒体专网监控服务器和杀毒服务器和隔离Internet病毒的作用。

⑴ Linux系统安装

Linux RedHat9.0系统安装比较简单，我校用一台普通PC充当服务器，内存2G、4T企业级SATA硬盘1块。分区时建立FTP卷3.4T存放用户资料、WWW卷100G存放数据库和WEB数据、VAR卷100G、USR卷100G、ETC卷100G、/卷100G、HOME卷50G。

软件安装时选择MySQL数据库，APACHE选择支持PHP模块，选择VSFTP模块，分别为eth0、eth1网卡配置IP地址，为eth1网卡配置好默认网关，其余默认安装即可。

⑵ FTP服务器

首先，编辑/etc/vsftpd/vsftpd.conf配置文件，将anonymous_enable=YES，改为NO，此句禁止用户匿名登录；增加chroot_local_user=YES，此句将用户浏览范围限制在自己的家目录中。修改完毕保存，用service vsftpd restart重新启动vsftpd服务。

其次，限制用户的使用空间。在Linux中限制用户的磁盘使用空间使用的是Quota，一般Quota在安装Linux时就已包括在内核中，不需要另行安装。Quota可以从两方面指定磁盘的储存限制；使用者所能够支配的索引节点（inodes）数量；以及使用者可以取用的磁盘区块数量。在使用Quota监视用户时，一旦用户使用空间超出缓冲值（soft）就会发出警告，如超出限定值（hard）就会禁止用户再储存文件。以下为在linux上启动quota的步骤。

第一步，在要限制空间大小的卷/ftp的OPTIONS中加入usrquota，grpquota参数，修改完成之后，重新挂载/ftp分区。

第二步，使用quotacheck -cugm命令在/ftp下生成磁盘配额的配置文件aquota.group和aquota.user。使用quotaon命令启动磁盘配额。

第三步，用edquota命令设置用户空间大小，本文软限制为1800M，硬限制为2000M，用户超过软限制会得到报警，超不过硬限制。可用repquota命令查看用户的磁盘配额情况。

⑶ 用户注册服务器

用户注册服务器实现用户ftp账号的自动注册，以及硬盘空间的自动限额。在⑴配置好quota的基础上，主要分为两个步骤。

第一步，实现用户前台注册，前台界面如图2所示，后台exec.php代码如下，当用户提交数据后，系统调用脚本check.sh检查/etc/passwd和临时文件newuserlist中是否存在用户，若不存在，则将用户和密码写入newuserlist文件，否则提示用户重新输入。

图2  ；用户账号注册界面

第二步，由cron计划任务每隔5分钟调用用户添加脚本user_add.sh，将其添加到系统中，完成用户注册和磁盘限额。

⑷ 代理服务器

IPTABLES是Linux RedHat9.0系统自带的一款防火墙软件，同时具有代理服务器的功能，实现将多媒体专网进行NAT转换，多媒体专网内的计算机均能够通过校园网访问Internet，除“网闸”外，校园网和Internet上的计算机均不能访问多媒体专网，实现对多媒体内网的保护。

⑸ 杀毒服务器

Clam AntiVirus（ClamAV）是免费而且开放源代码的防毒软件，软件与病毒码的的更新皆由社群免费发布。目前ClamAV主要是使用在由Linux、FreeBSD等Unix-like系统架设的服务器上，提供文件的病毒扫描服务。

首先，通过代码安装和服务设置将该软件安装到服务器上。

其次，使用计划任务，让“网闸”每天凌晨3：01定时升级病毒库一次，每隔1小时调用clamscan，对所有用户目录中1小时以内所修改过的文件杀毒一次，并清除感染病毒的文件。

3 多媒体专网监控系统

多媒体专网的正常运行是本方案能成功运行的关键，为了有效监控多媒体专网的运行状况，笔者开发了一套基于PHP的多媒体专网监控系统，监控系统实行分层监控，第一层从多媒体专网核心交换机到各教学楼的智能可网管交换机，该层监控整个多媒体专网；第二层从多媒体专网到各多媒体教室，该层监控每个多媒体教室的运行情况。

3.1 监控系统

监控系统分数据获取和显示两个部分，数据获取部分首先对多媒体专网第一层各智能可网管交换机依次监控状态，并将检测结果存入数据库，再对第二层各多媒体教室计算机依次监控状态，并将结果存入数据库。

数据显示比较简单，按照两个层次依次显示即可，运行界面如图3所示，图3中最上面表格为多媒体专网主干网情况，如果运行不正常，则以红色标志显示，此时必须马上安排维修。图3中下面表格为各教学楼中每个多媒体教室的运行情况，多媒体教室可以显示“不在线”，表明该时刻该教室没有教师上课。

<；E：＼方正创艺5.1＼Fit201412＼图＼xyh图3.tif>；

图3  ；多媒体专网监控系统

3.2 监控系统实现关键代码

监控系统数据获取主要是通过Linux内置ping命令获取多媒体专网交换机和各多媒体教室计算机的运行状态，对其结果分析后存入switch表，数据获取程序由cron定时计划每10分钟调用一次。

4 相关问题

4.1 方案执行需要配套的制度

方案仅从技术上对媒体教室计算机运行模式进行了改变，按照该方案能够很好地解决多媒体教室病毒及运行问题。技术是为管理服务的，为了能使该方案正常运行，根据我校的经验，管理部门还必须认真做好以下工作。

⑴ 提前下发通知到各院系，将多媒体教室运行模式改变的消息通知到各位任课教师，并让各位教师登录到注册服务器注册用户，熟悉资料上传方法。

⑵ 传统多媒体教室运行方法在教师心目中已经根深蒂固，要想完全改变过来，需要一个过程。因此，开始我们可以不封掉USB接口，用一个月的时间让教师适应新方法，即从服务器上下载课件，但偶尔也能用一下USB设备。这种方法既给教师一个适应期，也能检测一下该方案在运行中存在的问题，给管理人员一个适应期。

在适应期中，我们将多媒体教室改变运行模式的通知、多媒体教室新模式运行的开始时间、多媒体教室计算机使用方法、技术咨询电话等做在桌面背景图片中，时刻提醒教师尽快适应新的方法，以免新模式运行时引起各种不适应现象。

4.2 相关故障的解决

在整个方案运行的过程中，多媒体专用网的正常运行起着至关重要的作用，一旦网络出现故障，教师将无法上课。根据我校多媒体教室新方案运行的经验，在新方案运行的过程中，务必做到以下几点。

⑴ 必须准备充足的备用设备。

如备用“网闸”至少1台，备用“网闸”及时备份“网闸”上的各种信息和相应资料，档次不求太高，可用普通PC替代，交换机2台以上，计算机3台以上，均做好各种配置，以备随时替换故障设备。

⑵ 严格值班制度，时刻监视多媒体专网监控系统，一有故障，马上根据故障特点做出相关处理。

若各教学楼到网络中心主干线路问题，立即将临时服务器拿到相应教学楼，供老师们上课临时使用；若为教学楼交换机故障，立即更换设备；若为多媒体教室计算机到相应教学楼交换机线路故障，应先将该教室计算机打开USB接口，拷入上课课件，优先保证教师上课；若为多媒体教室计算机故障，应马上更换备用计算机。

5 结束语

针对公共多媒体教室计算机管理问题，本文提出了一个基于“网闸”的高校公共多媒体教室计算机管理方案，有效解决了公共多媒体教室管理中病毒泛滥的老大难问题，该方案思路清晰，简便易行。“网闸”服务器相关软件均为Linux下的免费开源软件，不需要额外投资，经济实惠，可操作性强，在校园网稳定运行的基础上，只要对公共多媒体教室运行模式稍加改变即可投入运行。

参考文献：

[1] 姚君，王帆.“分布式”多媒体教室故障处理新思路[J].实验室研究与

探索，2012.4：371-374

[2] 樊昌秀.多媒体教室的桌面虚拟化探索[J].长沙大学学报，2012.5：

65-66

[3] 李开明.多媒体教室计算机操作系统保障措施综述[J].常州信息职业

技术学院学报，2012.2：22-24

[4] 曲大庆.多媒体教室计算机系统维护技术[J].信息科技，2012.5：

64-64

[5] 胡军.基于QuickDesktop桌面虚拟化系统的计算机多媒体教室应用[J].

福建电脑，2013.2：191-192

[6] 陈传军.应用还原卡对多媒体教室进行的管理[J].新技术，2012：

70-71

[7] 蓝柏，周清萍.基于当前高校多媒体教室管理与维护的探讨[J].广东

科技，2012.21：36-37

[8] 刘志刚.多媒体教室计算机U盘病毒的防范策略[J].科技天地，2013：

65-65