淺談醫學院校計算機實驗室網絡安全管理

劉春華，李 丹

（首都醫科大學燕京醫學院，北京 101300）

計算機基礎文化課是醫學院校的公共基礎課，由于該課程的實際操作占很大比例，因此，計算機實驗室在該課教學中發揮著重要作用。學生在此不僅可以熟悉計算機的各種操作，還可以利用豐富的網絡資源充實自己的專業知識。但是由于網絡資源的開放性、學生計算機水平的差異較大，道德修養和文化素質的參差不齊，以及網絡安全認知水平的高低等，產生了一系列網絡安全問題。

就如何創建一個安全的、開放的網絡環境，保證計算機實驗室的正常運行，現提出一些解決方法。

1 服務器維護

作為整個實驗室網絡的總出口，服務器的維護起著至關重要的作用。對于服務器的維護應該做到以下幾點。

（1）經常更改系統管理員密碼，使用高強度的由大小寫字母、數字和特殊字符組成的密碼。定期更新系統補丁、檢查系統是否多出超級管理員，檢查帳號是否被復制。

（2）在“開始”運行中輸入“msconfig”檢查隨機啟動的程序和服務，關掉不必要的隨機啟動程序和服務。

（3）盡量不要安裝第三方軟件（如優化軟件、插件），更不要在服務器上注冊未知組件。

（4）檢查系統日志的“安全性”條目，在右側查看近期“審核成功”的登錄。如果登錄時間和管理員上次登陸的時間不符，服務器可能被入侵了。

（5）及時更新病毒庫，查殺病毒。定時查看系統各個盤符的磁盤權限是否為設定的安全權限。

（6）經常備份服務器數據，盡量存放兩份于不同的服務器，防止系統崩潰造成數據丟失。

2 設置防火墻

防火墻是在內部網和外部網之間實施安全防范的主要系統。它是一種訪問控制機制，用于確定哪些內部服務允許外部訪問，以及允許哪些外部服務訪問。通過制定規則，限制外來用戶對核心設備的非法訪問。防火墻作用主要有以下幾方面。

（1）劃定DMZ區：用來接入公網服務器，通過制定相應的訪問規則，來控制用戶對服務器的訪問，從而保證服務器的安全。

（2）地址轉換：動態NAT，使用運營商提供的一段公網地址，作NAT地址池，實現內網用戶對互聯網的訪問；靜態NAT，內網地址的某個服務器需要對外網提供服務時，可以實現固定公網口和內網I P的對應關系，也可以實現端口映射。

（3）包過濾：底層實現端阻斷，主要針對常見的病毒端口，從而保護網絡，可以有效地阻止病毒傳播。發現病毒和可疑事件時可及時發出信號。

（4）訪問控制：對不同目標指定不同的訪問控制策略，如Web服務器，指定管理員可以訪問其3389端口，實現遠程操作管理，而其他用戶只能訪問其80端口，從而最大限度地保證了服務器的安全。

（5）防攻擊、與IDS聯動：用以抵御常見的各種攻擊。

（6）日志記錄：通過建立防火墻日志服務器，有效保存網絡內部的訪問記錄，對網絡安全管理有很大的作用，做到了有據可查。

3 設置監控軟件

網絡監控軟件的主要作用是監控網絡運行是否正常,如要訪問的網站是否安全，網頁中是否有惡意插件及代碼下載，網頁中的文件是否安全等，監控并提前阻止危險網站等。網絡管理員應做到以下幾點。

（1）根據不同用戶、不同時間的訪問需求對分類信息設置允許和禁止。高校計算機及實驗室主要是通過校園網訪問外網，用戶都是教師和學生，因此，對色情、暴力、恐怖等內容必須禁止，此類內容必須在禁止的U R L黑名單中。

（2）對不健康的網絡游戲、聊天內容等進行及時阻止。

（3）網絡管理員可監聽內網用戶通過 Out look、Webmail、Ftp、Telnet、論壇、博客、社區及聊天工具發布的“有害”信息，及時追查非法言論傳播源。

4 增加網絡流量控制的管理

隨著互聯網的日趨普及和新技術的迅速發展，一大批新興的網絡應用開始涌現并成為人們工作、生活中重要的組成部分，如B T、迅雷、電驢、超級旋風等P2P應用。然而，此類P2P的應用由于大量占用互聯網出口帶寬，同時無法被有效地識別和管理，常常成為阻礙網絡正常運行的“元兇”，靠增加網絡帶寬的方式已不能有效解決這一問題。而網絡流量控制是基于7層應用的帶寬管理和應用優化，能全面識別和控制包括P2P、Voip、視頻／流媒體、HTTP、網絡游戲、數據庫及中間件等多種應用。在帶寬管理方面，可自定義帶寬策略為網絡鏈路劃分多個虛擬帶寬通道，實現最大帶寬限制、保證最低帶寬、帶寬租借、帶寬配額、應用優先級、隨機公平隊列等一系列帶寬管理，在不增加網絡出口帶寬的情況下，網絡應用得到最大優化和提升。

綜上所述,計算機實驗室的網絡安全管理問題已成為實驗室管理的首要問題，只有創造安全開放的網絡環境，才能給學生提供一個良好的實驗環境，讓學生可以自由地享受網絡和信息技術帶給他們的豐富知識資源?！?/p>