吴燕

摘 要：中职学校机房是提供给学生学习计算机的重要场所，现在的机房都是网络型机房，很多课程还需要开放外网进行教学。本文分析提出，网络环境日趋复杂和多变，重视学校机房的网络安全问题并有效解决，同时对机房维护和管理进行改革与创新，才能保障机房可靠高效运行。

关键词：中职学校 机房 维护和管理对策 探究与实践

课 题：本文为《中职计算机网络专业网络安全方向课程改革与实践》2018年度广西职业教育教学改革研究重点项目（项目编号：GXZZJG2018A006）研究成果。

笔者所在的二级系部是信息商贸系，系部的网络系统由十余间计算机实训室及办公网络组成，系部成立独立的机房维护组对网络系统进行管理维护。如何采取有效对策、提高工作效率、防止计算机损坏、病毒感染及恶意攻击，保证计算机机房正常开展教学工作是一项必须认真研究和探索的任务。下面笔者将对所在系在日常计算机机房维护中运用的网络安全技术及管理进行探究。

一、机房维护和管理所面临的问题

机房使用非常频繁，计算机很容易出现问题，以下列举常见的几个问题。

1.计算机操作系统自身隐患

部分中职学校因为资金的问题，机房建设多年设备老旧，只能安装负载不高的操作系统，如XP、Win 7。这些系统存在一些技术上的缺陷与安全上的漏洞，而且随着时间的迁移，该风险漏洞会逐渐细化成网络操作系统层面、计算机数据库层面以及网络软件层面的安全漏洞。

2.应用策略不完善

应用策略不完善的表现如注册表被修改，操作系统或组件被删除，非法安装游戏程序，访问不健康网站、U盘等可移动存储设备随意拔插致使病毒泛滥。

3.机房管理制度落实不到位

虽然每个机房都有对应的机房管理制度也都张贴于墙壁，但是计算机随意挪动、鼠标键盘被盗、被损坏，场地卫生脏乱差等诸多安全问题仍存在。

二、维护和管理对策

1.维护对策

机房管理过程中，发现有些机房的计算机配置存在品牌型号不同、参数新旧差异，不同的机型要安装不同的操作系统，或者是有时候上课教师需要临时增加安装某个软件，如此管理员的工作量十分繁重。针对这些情况有两种解决办法。

一种情况是机房设备型号统一、参数相同的情况，主板支持PXE服务。那么不需要独立硬盘可以使用网络无盘安装软件如“维护网维大师”软件对机房进行安装系统。可以选用一台高性能的服务器作为母机，在该母机上学生机所安装的操作系统，学生机通过网络启动连接到母机并显示为“C：”其中一台学生机作为超级管理员，其上安装所需要软件生成镜像，其他学生机重启后同步该镜像。 定期对母机进行系统补丁升级和应用程序升级。

另一种情况是机房设备型号各异、参数不尽相同的情况，且主板不支持PXE服务。那么该机房只能在本机安装系统。选一台高性能的计算机，如CPU不小于4G，内存不小于8G，硬盘不小于256G作为教师机，安装Windows Server 2008或Windows Server 2012 操作系统，并升级为域控服务器，其他的计算机作为域成员加入域内。在计算机使用一段时间后，虽然有硬件还原程序的保护，计算机仍会出现问题，为了不影响教学质量，利用网络同步升级的网络拷贝，定期对计算机进行系统补丁升级和应用程序

升级。

以下对服务器端、路由器端和PC端的网络安全配置以及机房制度的有效实施四个方面进行阐述。

（1）服务器的网络安全配置。服务器是单位重要数据的存储器，因此是黑客重点攻击的目标。针对网站服务器的常见攻击如SQL注入、CSRF攻击、后台框架、协议漏洞等。SQL注入是利用后台漏洞通过URL将关键SQL语句带入程序并在数据库中执行从而造成破坏性结果。CSRF攻击通过伪装成受信任用户的请求来利用受信任的网站，即攻击者盗用了受信任用户的身份，伪装成受信任用户发送恶意请求。黑客利用CSRF以受信任用户名义发送邮件，发消息，盜取受信任用户的账号，甚至于购买商品、虚拟货币转账，给受信任用户带来的后果是个人隐私泄露以及财产安全。后台框架、协议漏洞攻击则是针对程序和系统缺陷进行攻击。

针对非网站服务器的常见攻击如系统登录用户、数据库登录用户爆破，服务器端口漏洞、操作系统漏洞、木马植入等。黑客利用多种手段确定后台数据库，比如使用后台框架、协议漏洞很容易就发现了后台使用的什么框架、什么数据库。又或是使用nmap 等工具直接开扫，例如目标服务器暴露3306端口大概率就确定是mysql了。确认了数据库类型以及端口接下来就是采用密码字典暴力破解了。很多用户贪图方便记忆使用了弱口令，弱口令很轻易被攻破。使用nmap扫描服务器暴露的端口，就有大量的手段利用端口进行下一步渗透。木马植入则是直接通过向服务器种植木马，开启后门，取得服务器控制权。

计算机机房一般非网站服务器，针对以上描述的常见攻击行为，我们在服务器上做以下防护。

①更改默认administrator用户名，设置复杂密码。

②开启防火墙。

③安装杀毒软件：新做系统一定要先打上补丁，安装必要的杀毒软件，删除系统默认共享。

④修改域策略→安全选项。交互式登陆：不显示最后的用户名选择启用（修改用意：防爆破），网络访问：不允许SAM 账户和共享的匿名枚举选择启用（修改用意：关闭后门），网络访问：不允许存储网络身份验证的凭据或 .NET Passports选择启用（修改用意：清除历史记录），网络访问：可远程访问的注册表路径和子路径全部删除（修改用意：防提权）;关闭光盘和磁盘的自动播放功能（修改用意：防木马自动运行）;阻止访问注册表编辑工具选择启用（修改用意：防提权）;开启定期杀毒功能。

⑤禁用不必要的服务：TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation。

⑥下载并运行服务器安全狗（服务器安全狗是一款集服务器安全防护和安全管理为一体的综合性服务器工具。支持Windows全系列操作系统Windows2003 / Windows2008 / Windows2012 32位 64位）、Linux操作系统的服务器安全防护软件，从驱动层直接屏蔽攻击，保护服务器安全。

⑦数据库以最低权限运行，保证数据库安全。

⑧限制利用3389远程登录的登录IP。

⑨使用信息收集软件定期给系统进行安全评估。

（2）路由器的网络安全配置。从网络层对网络攻击进行防护，最直接的方式就是在路由器上做策略。很多的路由器都支持这些流量攻击的防御，首先进入路由器的管理界面，开启防御功能。例如勾选所有的SYN Flood攻击、UDPFlood攻击、ICMP Flood攻击。SYN Flood是一种广为人知的DOS（拒绝服务攻击）是DDOS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。UDPFlood是日渐猖獗的流量型DOS攻击。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k bps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。ICMP Flood是一种DDOS攻击，该攻击在短时间内向目的主机发送大量ping包，消耗主机资源，主机资源耗尽后就会瘫痪或者无法提供其他服务。这三种攻击可通过阀值进行调整，通过调整每秒钟通过的数据包个数来确定是否为攻击行为。

（3）PC端的网络安全配置。PC端即作为学生机的普通计算机，PC端一定要开启防火墙，安装杀毒软件，定期把软件升级并进行杀毒。杀毒工作可由机房使用班级进行，一方面提高工作效率，另一方面培养学生定期杀毒的网络安全意识。

（4）机房制度的有效实施。严格要求学生和教师按照规章制度操作。制定人机负责制，将机房的每台计算机和设备打上标签，制作每个在该机房上课班级的“实训场地工位安排表”，每一位学生固定使用和管理某台计算机。课后上课教师组织值日生清洁场地，机房维护组进行检查记录，对没按要求做好6S的班级由上课教師带领学生整改。

2.管理对策

二级系部的机房管理工作繁重，聘任4～5位专业教师作为专业管理员是不现实的。因此聘任学生为机房辅助管理员是不错的解决方案，不仅可以缓解机房管理人力上的不足，减轻管理人员的工作压力，还可以大大提高工作效率、服务质量和管理能力。笔者所在系的机房维护组由2位专职教师和4名学生组成，教师指导带领学生进行机房维护工作。学生管理员是三年级的学生，在校内完成实习任务，由系部考核。学生管理员实行行政坐班制，有任务的时候协助老师完成，比如安装系统、软件，解决机房出现的各种设备问题。另外每天还安排值班人员，值班人员负责按时给各机房开门关门，每天按时检查教室使用申请表，查看有无教室和网络需要特定时间开关，检查教室的卫生清洁。

机房管理工作是一项持续长久的工作，考虑到学生终将毕业离开学校，因此需要注重管理团队的梯队建设。维护小组每年从学生社团“计算机协会”挑选几名新生，利用下午放学及晚自习时间以老带新参与机房管理，这样慢慢地形成本系的传统，机房管理工作这些年来一直平稳有序，没有出现安全事故。

（作者单位：广西工业技师学院）