淺談醫(yī)學(xué)院校計(jì)算機(jī)實(shí)驗(yàn)室網(wǎng)絡(luò)安全管理

劉春華，李 丹

（首都醫(yī)科大學(xué)燕京醫(yī)學(xué)院，北京 101300）

計(jì)算機(jī)基礎(chǔ)文化課是醫(yī)學(xué)院校的公共基礎(chǔ)課，由于該課程的實(shí)際操作占很大比例，因此，計(jì)算機(jī)實(shí)驗(yàn)室在該課教學(xué)中發(fā)揮著重要作用。學(xué)生在此不僅可以熟悉計(jì)算機(jī)的各種操作，還可以利用豐富的網(wǎng)絡(luò)資源充實(shí)自己的專業(yè)知識(shí)。但是由于網(wǎng)絡(luò)資源的開(kāi)放性、學(xué)生計(jì)算機(jī)水平的差異較大，道德修養(yǎng)和文化素質(zhì)的參差不齊，以及網(wǎng)絡(luò)安全認(rèn)知水平的高低等，產(chǎn)生了一系列網(wǎng)絡(luò)安全問(wèn)題。

就如何創(chuàng)建一個(gè)安全的、開(kāi)放的網(wǎng)絡(luò)環(huán)境，保證計(jì)算機(jī)實(shí)驗(yàn)室的正常運(yùn)行，現(xiàn)提出一些解決方法。

1 服務(wù)器維護(hù)

作為整個(gè)實(shí)驗(yàn)室網(wǎng)絡(luò)的總出口，服務(wù)器的維護(hù)起著至關(guān)重要的作用。對(duì)于服務(wù)器的維護(hù)應(yīng)該做到以下幾點(diǎn)。

（1）經(jīng)常更改系統(tǒng)管理員密碼，使用高強(qiáng)度的由大小寫(xiě)字母、數(shù)字和特殊字符組成的密碼。定期更新系統(tǒng)補(bǔ)丁、檢查系統(tǒng)是否多出超級(jí)管理員，檢查帳號(hào)是否被復(fù)制。

（2）在“開(kāi)始”運(yùn)行中輸入“msconfig”檢查隨機(jī)啟動(dòng)的程序和服務(wù)，關(guān)掉不必要的隨機(jī)啟動(dòng)程序和服務(wù)。

（3）盡量不要安裝第三方軟件（如優(yōu)化軟件、插件），更不要在服務(wù)器上注冊(cè)未知組件。

（4）檢查系統(tǒng)日志的“安全性”條目，在右側(cè)查看近期“審核成功”的登錄。如果登錄時(shí)間和管理員上次登陸的時(shí)間不符，服務(wù)器可能被入侵了。

（5）及時(shí)更新病毒庫(kù)，查殺病毒。定時(shí)查看系統(tǒng)各個(gè)盤(pán)符的磁盤(pán)權(quán)限是否為設(shè)定的安全權(quán)限。

（6）經(jīng)常備份服務(wù)器數(shù)據(jù)，盡量存放兩份于不同的服務(wù)器，防止系統(tǒng)崩潰造成數(shù)據(jù)丟失。

2 設(shè)置防火墻

防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實(shí)施安全防范的主要系統(tǒng)。它是一種訪問(wèn)控制機(jī)制，用于確定哪些內(nèi)部服務(wù)允許外部訪問(wèn)，以及允許哪些外部服務(wù)訪問(wèn)。通過(guò)制定規(guī)則，限制外來(lái)用戶對(duì)核心設(shè)備的非法訪問(wèn)。防火墻作用主要有以下幾方面。

（1）劃定DMZ區(qū)：用來(lái)接入公網(wǎng)服務(wù)器，通過(guò)制定相應(yīng)的訪問(wèn)規(guī)則，來(lái)控制用戶對(duì)服務(wù)器的訪問(wèn)，從而保證服務(wù)器的安全。

（2）地址轉(zhuǎn)換：動(dòng)態(tài)NAT，使用運(yùn)營(yíng)商提供的一段公網(wǎng)地址，作NAT地址池，實(shí)現(xiàn)內(nèi)網(wǎng)用戶對(duì)互聯(lián)網(wǎng)的訪問(wèn)；靜態(tài)NAT，內(nèi)網(wǎng)地址的某個(gè)服務(wù)器需要對(duì)外網(wǎng)提供服務(wù)時(shí)，可以實(shí)現(xiàn)固定公網(wǎng)口和內(nèi)網(wǎng)I P的對(duì)應(yīng)關(guān)系，也可以實(shí)現(xiàn)端口映射。

（3）包過(guò)濾：底層實(shí)現(xiàn)端阻斷，主要針對(duì)常見(jiàn)的病毒端口，從而保護(hù)網(wǎng)絡(luò)，可以有效地阻止病毒傳播。發(fā)現(xiàn)病毒和可疑事件時(shí)可及時(shí)發(fā)出信號(hào)。

（4）訪問(wèn)控制：對(duì)不同目標(biāo)指定不同的訪問(wèn)控制策略，如Web服務(wù)器，指定管理員可以訪問(wèn)其3389端口，實(shí)現(xiàn)遠(yuǎn)程操作管理，而其他用戶只能訪問(wèn)其80端口，從而最大限度地保證了服務(wù)器的安全。

（5）防攻擊、與IDS聯(lián)動(dòng)：用以抵御常見(jiàn)的各種攻擊。

（6）日志記錄：通過(guò)建立防火墻日志服務(wù)器，有效保存網(wǎng)絡(luò)內(nèi)部的訪問(wèn)記錄，對(duì)網(wǎng)絡(luò)安全管理有很大的作用，做到了有據(jù)可查。

3 設(shè)置監(jiān)控軟件

網(wǎng)絡(luò)監(jiān)控軟件的主要作用是監(jiān)控網(wǎng)絡(luò)運(yùn)行是否正常,如要訪問(wèn)的網(wǎng)站是否安全，網(wǎng)頁(yè)中是否有惡意插件及代碼下載，網(wǎng)頁(yè)中的文件是否安全等，監(jiān)控并提前阻止危險(xiǎn)網(wǎng)站等。網(wǎng)絡(luò)管理員應(yīng)做到以下幾點(diǎn)。

（1）根據(jù)不同用戶、不同時(shí)間的訪問(wèn)需求對(duì)分類信息設(shè)置允許和禁止。高校計(jì)算機(jī)及實(shí)驗(yàn)室主要是通過(guò)校園網(wǎng)訪問(wèn)外網(wǎng)，用戶都是教師和學(xué)生，因此，對(duì)色情、暴力、恐怖等內(nèi)容必須禁止，此類內(nèi)容必須在禁止的U R L黑名單中。

（2）對(duì)不健康的網(wǎng)絡(luò)游戲、聊天內(nèi)容等進(jìn)行及時(shí)阻止。

（3）網(wǎng)絡(luò)管理員可監(jiān)聽(tīng)內(nèi)網(wǎng)用戶通過(guò) Out look、Webmail、Ftp、Telnet、論壇、博客、社區(qū)及聊天工具發(fā)布的“有害”信息，及時(shí)追查非法言論傳播源。

4 增加網(wǎng)絡(luò)流量控制的管理

隨著互聯(lián)網(wǎng)的日趨普及和新技術(shù)的迅速發(fā)展，一大批新興的網(wǎng)絡(luò)應(yīng)用開(kāi)始涌現(xiàn)并成為人們工作、生活中重要的組成部分，如B T、迅雷、電驢、超級(jí)旋風(fēng)等P2P應(yīng)用。然而，此類P2P的應(yīng)用由于大量占用互聯(lián)網(wǎng)出口帶寬，同時(shí)無(wú)法被有效地識(shí)別和管理，常常成為阻礙網(wǎng)絡(luò)正常運(yùn)行的“元兇”，靠增加網(wǎng)絡(luò)帶寬的方式已不能有效解決這一問(wèn)題。而網(wǎng)絡(luò)流量控制是基于7層應(yīng)用的帶寬管理和應(yīng)用優(yōu)化，能全面識(shí)別和控制包括P2P、Voip、視頻／流媒體、HTTP、網(wǎng)絡(luò)游戲、數(shù)據(jù)庫(kù)及中間件等多種應(yīng)用。在帶寬管理方面，可自定義帶寬策略為網(wǎng)絡(luò)鏈路劃分多個(gè)虛擬帶寬通道，實(shí)現(xiàn)最大帶寬限制、保證最低帶寬、帶寬租借、帶寬配額、應(yīng)用優(yōu)先級(jí)、隨機(jī)公平隊(duì)列等一系列帶寬管理，在不增加網(wǎng)絡(luò)出口帶寬的情況下，網(wǎng)絡(luò)應(yīng)用得到最大優(yōu)化和提升。

綜上所述,計(jì)算機(jī)實(shí)驗(yàn)室的網(wǎng)絡(luò)安全管理問(wèn)題已成為實(shí)驗(yàn)室管理的首要問(wèn)題，只有創(chuàng)造安全開(kāi)放的網(wǎng)絡(luò)環(huán)境，才能給學(xué)生提供一個(gè)良好的實(shí)驗(yàn)環(huán)境，讓學(xué)生可以自由地享受網(wǎng)絡(luò)和信息技術(shù)帶給他們的豐富知識(shí)資源。■