淺談加強高校計算機試驗室網絡安全措施問題

摘 要：本文針對高校計算機實驗室網絡的特點，分析了當前網絡安全密林的主要問題，并逐一提出解決方案。

關鍵詞：實驗室網絡 網絡安全 安全隱患

中圖分類號：G420 文獻標識碼：A 文章編號：1673-9795（2012）11（b）-0185-01計算機實驗室的網絡在為教師和學生帶來方便的同時也帶來了各種各樣的安全問題，從網絡安全威脅的來源來劃分，可以把實驗室網絡的安全隱患劃分為以下三大類：

（1）來自實驗室網絡外部的安全隱患。計算機實驗室的網絡一般是通過與校園網相連接入Internet或直接與Internet相連，在享受Internet的便捷的信息資源的同時，大量的網絡病毒和網絡攻擊也隨之而來。ipspoofing攻擊、smurf攻擊、地址與端口掃描攻擊、網絡釣魚、DoS功擊等等層出不窮，對網絡安全構成了極大的威脅。

（2）來自實驗室網絡內部的安全隱患。主要有不當操作、惡意破壞兩大類：U盤/MP3等移動存儲介質的廣泛使用，使得實驗室的病毒經常在用戶不經意間在計算機間大量傳播；而染毒電子郵件和網頁木馬也使得實驗室的計算機大量被感染；各類P2P下載軟件和基于P2P原理的在線視頻技術的應用也嚴重影響了實驗室網絡的速度，嚴重時甚至導致網絡堵塞、癱瘓。這些都是由于用戶使用時不當操作所導致的。

（3）軟硬件系統本身的安全隱患。高校計算機實驗室中微機和服務器的操作系統主要有微軟的Windows、蘋果公司的Mac OS、各版本的Linux和Unix。任何系統的安全性上都不可能做到無懈可擊，Windows系統尤其如此，雖然在易用性上做得非常出色，但安全漏洞卻層出不窮。很多病毒和黑客程序正是利用了Windows系統的各種漏洞編寫出來的。Mac OS、Linux和Unix系統的安全性能較Windows系統要相對安全一些，但也同樣存在著安全漏洞和針對這些漏洞的病毒和黑客程序。

提高計算機實驗室網絡安全主要可以從硬件和軟件兩個方面采取措施：

其一，關于硬件方面。目前高校計算機實驗室的網絡多采用千兆線纜/光纜為主、百兆線纜交換到終端的交換式以太網，部分設施先進的實驗室已實現千兆線纜交換到終端。由于采用主干一交換一終端三層的網絡結構，想要在硬件方面提高網絡安全就必須在這三個層面上分別實現。

（1）主干部分。在實驗室網絡中，主干部分需要通過防火墻與校園骨干網相連，這樣做的目的是在不安全的校園網/互聯網環境中構造一個相對安全的子網環境。在實驗室網絡中，防火墻是設置在實驗室內部網絡與外部網絡之間的一層安全屏障，它可以看作是一種訪問控制機制，用于確定哪些內部資源允許外部訪問以及允許哪些內部網用戶訪問哪些外部資源及服務等。對于實驗室網絡安全來，防火墻起著至關重要的作用，只有防火墻才能夠阻止來自外部網絡的各種威脅。

當選擇基于硬件的防火墻時，應當著重考慮以下幾方面的因素：①安全性。市場上硬件防火墻的品種很多，價格上的差異也很大，為保障網絡的安全，應該選擇通過國際計算機安全協會（ICSA）的認證，符合數據包檢測的行業標準的設備。②易用性。傳統的防火墻的配置方式是在命令行模式下，對于很多實驗室網絡管理人員來說使用難度較大。近年已經有很多廠商的大量產品開始采用中文圖形界面來管理和配置防火墻，這使管理人員更易于對防火墻進行安裝、維護和故障處理。③技術支持。硬件設備難免發生故障，防火墻的固件也難免出現bug，所以選擇能夠提供全天候不間斷可靠服務的廠商并在購買時簽訂相應的技術支持條款就顯得十分重要了。④網關過濾。從目前病毒和垃圾郵件的傳播途徑來看，很大一部分是通過網絡來傳播，在實驗室網絡的入口就過濾病毒和垃圾郵件，無疑是最好的選擇。⑤內容過濾。

（2）交換機。實驗室網絡主干和桌面終端之間通常采用以太網交換機相連接，傳統的交換機對局域網中盛行的ARP攻擊、DoS攻擊和蠕蟲、黑客、木馬病毒等沒有防范能力，一旦出現往往造成整個網絡的癱瘓。解決這一問題只有采用防攻擊安全型的交換機。通過基于WEB和MAC的訪問控制方法可以保障網絡的接人安全，IP地址-MAC地址一端口自動綁定功能也解決了ARP欺騙攻擊和用戶擅改IP地址等行為。而且提供常見蠕蟲病毒的特征庫，可實現對NachiBlasterD、SQLSlammer、Sasser等常見蠕蟲病毒的防護。加上內置Scan的SYNF

IN、Xmascan、NULL Scan等多種常見DoS攻擊的防護策略，有效防范內網DoS攻擊。

（3）桌面終端。桌面終端是大多數實驗室用戶用以接入網絡的設備，也是最容易被忽視的安全隱患。由于實驗室開放的特點，人員流動性大難于管理，很難控制內部人員實施的黑客攻擊和木馬盜號等破壞。想徹底解決這一問題就需要使用IC或射頻卡進行終端管理，實現插卡/劃卡上機，拔卡下機并自動關機，這樣再配合硬盤保護卡的即時還原功能可以把木馬破壞的風險降到最低。而且這也可以鎖定終端的使用者，一旦發現有人實施網絡攻擊等破壞的行為就可以立即對其進行批評教育。

（1）技術層面。首先是殺毒軟件方面，往往實驗室在硬件上投入很大，而在軟件方面則投入不足，尤其是殺毒軟件，很多實驗室都是使用單機版的殺毒軟件。由于實驗室網絡自身特點所決定，計算機所感染的病毒、木馬多數來源于網絡，同時，也通過網絡向外傳播，網絡內計算機往往感染同樣的病毒或木馬。而實驗室的計算機上殺毒軟件的殺毒引擎和病毒庫經常更新不及時，無法處理經網絡傳播的新型病毒。解決這一問題就需要安裝網絡版的殺毒軟件，通過殺毒服務器可以管理網絡中所有安裝殺毒軟件的計算機，控制他們升級病毒庫和引擎，還可以統一控制網內計算機同時進行殺毒，以避免病毒屢殺不絕的問題。

（2）管理層面。再完善的設備也離不開人的管理和使用，很多網絡故障都是因為管理不善所間接導致的，而實驗室網絡在管理上必須加以解決的問題主要有三點：

①建立完善的安全管理制度。學校應制定相應的實驗室網絡安全管理制度，嚴格管理系統日志，定期對校園網絡系統的安全狀況進行評估和審核。

②注重數據備份。實驗室的服務器中往往存儲了大量的實驗數據，并為網絡提供各種服務，對重要數據及數據庫系統進行定期備份，并注意備份數據的安全有效，一旦系統出現故障時能夠在最短的時間恢復數據。

③建立統一的身份認證系統。用戶通過向系統輸入自己的身份證明，系統驗證用戶是否具有相應的權限，用戶必須通過認證才能進行權限之內的資源使用。建立了全網統一的身份認證系統，不僅可以有效地防止IP地址被盜用，還有效的避免黑客的攻擊。

參考文獻

[1]顧巧論，高鐵杠，賈春福，等，計算機網絡安全[M].北京：清華大學出版社，2004.

[2]李靖．淺析高校校園網的網絡安全[J].黑龍江科技信息，2008（18）：80.