高校機房的網絡安全

摘要：隨著網絡技術的發展，高校機房在高校建設中的地位也更加明顯，高校公共機房已經成為高校教學活動的重要場所。而隨著互聯網中各種新型計算機病毒木馬以及其他危險程序的不斷出現，如何保證公共機房機器安全穩定的運行，提出了幾點解決高校的機房的網絡安全的策略。

關鍵詞：高校機房；系統漏洞；網絡安全

20世紀90年代開始的“信息高速公路”的建設和發展，帶來社會信息環境的重大變化，伴隨著全球網絡化的迅速發展，網絡改變了傳統的信息交流方式，沖破了地域限制，實現了世界范圍內的信息共享。特別是Internet的出現，已經構成了人類有史以來最大的信息，高校公共機房的地位也更加明顯。作為計算機課程教學，師生互動交流，學生查閱多媒體信息，預約選課等一系列教學活動的綜合平臺，高校公共機房已經成為高校教學活動的重要場所。而隨著互聯網中各種新型計算機病毒木馬以及其他危險程序的不斷出現，如何保證公共機房機器安全穩定的運行。

機房存在的主要安全問題及其影響

1.網絡系統自身的威脅

開放性的網絡，任何個人、團體都可能獲得網絡上的信息，因而網絡所面臨的破壞和攻擊可能都是多方面的。例如，可以對物理傳輸線路實施攻擊，也可以對網絡通信協議實施攻擊，可以對軟件系統實施攻擊，也可以對硬件系統實施攻擊。網絡的攻擊不僅僅來自本地網絡的用戶，它可以來自網絡上的任何一臺計算機，也就是說，網絡安全所面對的是全世界電腦用戶的挑戰。

2.系統漏洞的威脅問題

網絡安全漏洞可以說“不可避免”，這是由網絡系統的高度復雜性所決定的。從網絡通信平臺、網絡協議到網絡應用服務，從操作系統、系統軟件、程序設計語言到應用軟件，從系統安全配置、用戶操作到安全管理等都可能存在這樣或那樣的安全漏洞。盡管已發現的安全漏洞可以被修補。但幾乎每天都會有新的安全漏洞被發現，操作系統和應用軟件在不斷更新的同時也在產生著新的漏洞。可以說組成網絡系統的硬件和軟件越多樣化、異構化，那么存在安全漏洞的可能性就越大，每一個網絡系統都有已被發現的或潛在的、未被發現的各種安全漏洞，不存在絕對安全的網絡系統。其存在的系統漏洞已成為網絡攻擊的一大目標。在高校計算機房接人Intemet后，使得用戶的信息庫實際上如同向外界敞開了一扇大門，為病毒進入網絡機房大開方便之門，入侵者可以在受害人毫無察覺的情況下侵入信息系統，進行偷窺、復制、更改或者刪除計算機信息，給教學帶來很大的影響。

3.計算機病毒問題

由于計算機實驗室上機的人數多，學生可以攜帶磁盤進出計算機機房，還要上網，所以計算機很容易感染上病毒。電腦一旦染毒，可以很快“發病”。計算機病毒發作時，有些通過不斷自我復制，占用了系統的時間和空間，使系統運行速度變慢，磁盤空間無端減少；即使有一些病毒不破壞計算機軟硬件系統也會使計算機運轉很慢，影響計算機系統的正常運行。當其中一臺計算機中病毒后就會成為病毒傳染的源頭，以各種方式傳染其他計算機，輕則破壞文件，影響系統正常運行，重則破壞磁盤數據、刪除文件，感染整個機房，甚至造成機房計算機和計算機網絡系統癱瘓、數據和文件丟失，導致系統崩潰。

應對策略

1.操作系統漏洞的修復

機房理者必須經常時時關注微軟公司發布的最新補丁和更新軟件情況，及時將系統可能暴露的漏洞給堵住。安裝某安全衛士，某安全衛士是由奇虎公司推出的完全免費的安全類上網輔助工具軟件，它擁有查殺流行木馬、管理應用軟件，系統實時保護，修復系統漏洞等數個強勁功能。經常使用中有修復漏洞這個功能，對系統進行系統和安裝的所有軟件進行系統的安全掃描，掃描出來的系統和軟件漏洞進行及時的修復，保證系統的安全。

2.系統安全安全策略設置

管理人員還要針對系統的使用要求，做出必要的安全策略設置。①設定系統管理員密碼，并保證密碼是強口令，強口令一般應在9位以上，最好有特殊字符、數字、英文字母；②在系統操作面板中的賬號設置中，把學生設置成普通上機人員以用戶而非系統管理員身份登錄系統；③禁止文件共享，局域網里的用戶喜歡將自己的電腦設置為文件共享，以方便相互之間資源共享，建議在非設共享不可的情況下，最好為共享文件夾設置一個密碼；④禁止at命令：打開管理工具一服務，禁用task sched-uler服務即可；⑤關閉超級終端服務；⑥關閉SSDP DiscoverService服務這個服務主要用于啟動家庭網絡設備上的UPnP設備，服務同時會啟動5000端口，可能造成DDOS攻擊，讓CPU使用達到100％，從而使計算機崩潰，它會不斷地向外界發送數據包，影響網絡傳輸速率；⑦關閉Remote Registry服務；⑧禁用TCP/IP上的NetBIOS，網上鄰居-屬性-本地連接-屬性-In-temet協議(TCP/IP)屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣黑客就無法用命令來讀取你的NetBIOS信息和網卡MAC地址了；⑨取消其他不必要的服務；⑩關閉系統默認的共享、遠程協助和遠程桌面功能；⑩禁用一些不必要的網絡服務進程；⑥針對近來出現的越來越多的利用雙擊u盤入侵系統的病毒木馬，在系統組策略中設置，禁用雙擊打開任一盤符選項。通過這些措施，可以使得系統本身具備一定的安全防范能力。

3.使用全方位的防病毒產品

安裝最新正版防病毒軟件，針對網絡中所有可能的病毒攻擊點設置防病毒軟件，通過全方位、多層次的防病毒系統的配置，通過定期或不定期的自動升級防病毒軟件病毒庫，使網絡免受病毒的侵襲。下載電子郵件附件時要掃描病毒，并對郵件網頁等進行電子監控，最重要的就是要對數據庫數據隨時進行備份。以備萬一發生了不可挽回的破壞時可以恢復數據。

4.安裝防火墻

防火墻是將內網和外網進行分離，對經過它的網絡數據進行掃描，過濾掉非法數據，從而禁止非授權用戶訪問數據，一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。應用好防火墻并對防火墻進行正確的設置將對高校網絡的安全起著十分重要的作用。

參考文獻：

[1]石志國，計算機網絡安全教程，信息技術與網絡服務，2005(12)

[2]王宏偉，網絡安全威脅與對策，應用技術，2006(5)