分布型高校機房網(wǎng)絡(luò)的安全性研究

摘 要： 研究分析了當(dāng)前高校的機房特點，以基于空間上呈分布式結(jié)構(gòu)的計算機房為實例，結(jié)合當(dāng)前較為常見的安全問題和可預(yù)見的潛在威脅，從硬件和軟件兩個方面，從單機輻射到整個局域網(wǎng)絡(luò)，從外部訪問到內(nèi)部通信等多維度進行了深度的挖掘。提出了從邏輯上對機房進行簡單化網(wǎng)絡(luò)劃分的思想，按照緊急程度制定不同的安全策略，給出從局部到整體的全面解決方案。

關(guān)鍵詞： 分布型； 高校機房； 安全性； 網(wǎng)絡(luò)

中圖分類號：G482 文獻標(biāo)志碼：A 文章編號：1006-8228（2013）03-17-03

0 引言

自成立綜合性大學(xué)以來，很多高校對一些小規(guī)模學(xué)校進行了兼并整合，于是校園網(wǎng)也出現(xiàn)了分布式大跨度復(fù)雜型結(jié)構(gòu)，這對于需要資源統(tǒng)一調(diào)度管理的運行模式來說，提出了很高的要求。

1 分布型網(wǎng)絡(luò)機房結(jié)構(gòu)

以我校為例，學(xué)校一共分為3個校區(qū)，每個校區(qū)都設(shè)立有計算機中心，并且以房間為單位劃分為不同的學(xué)生機房。校區(qū)1和校區(qū)2因為地理位置比較靠近，所以通過鋪設(shè)光纖通道來實現(xiàn)物理連接，校區(qū)3與校區(qū)1或校區(qū)2的地理位置跨度較大，經(jīng)過與電信公司的協(xié)商，通過在其管理機房中跳線進行通信。詳細的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

2 多維度的安全點分析

從保障教學(xué)質(zhì)量和各類防火防水等安全角度出發(fā)，從單機到網(wǎng)絡(luò)，可以把機房安全問題分為硬件和軟件兩部分內(nèi)容，基于網(wǎng)絡(luò)拓撲圖，我們研究并歸納出各個安全節(jié)點。

2.1 硬件方面

2.1.1 機房環(huán)境的安全

影響機房安全運行的因素多而復(fù)雜，如不消除這些不利因素，久而久之就會潛移默化成安全隱患，輕則導(dǎo)致計算機運行不穩(wěn)或損壞，重則引起觸電、火災(zāi)等重大安全事故。

⑴ 溫度的影響

由于學(xué)生機房設(shè)備數(shù)量大，密度高，并且經(jīng)常同時運行，所以，機房的耗電量和散熱量都相當(dāng)大；機房空間相對來說處于封閉狀態(tài)，熱量很難及時散發(fā)。所以機房的溫度（20℃～25℃為宜）和通風(fēng)等是必須考慮的因素。

⑵ 濕度的影響

過大的濕度會使電子元器件表面覆蓋水膜層，在灰塵的共同作用下，就會形成供電線路短路，損壞主板等設(shè)備。然而濕度過小同樣危害很大，據(jù)有關(guān)資料表明，機房內(nèi)相對濕度為30%時靜電壓為5000V，而相對溫度降到10%時靜電壓將高達20000V。為了確保計算機安全可靠地運行，除嚴(yán)格控制溫度之外，還應(yīng)把濕度控制在規(guī)定的范圍45%～65%之內(nèi)[1]。

⑶ 灰塵的影響

灰塵對于精密電子元器件的危害眾所周知，但在高校的教學(xué)機房中，根本無法做到絕塵管理。危害主要表現(xiàn)在：損傷磁盤驅(qū)動器磁片，劃傷磁盤，造成數(shù)據(jù)的丟失；使主機CPU產(chǎn)生錯誤信息，使鍵盤操作失靈，不能使用；使顯示器產(chǎn)生高壓打火；使線路板觸點阻抗變小，產(chǎn)生短路；交流電接觸不良，造成電網(wǎng)電壓發(fā)生波動等。

⑷ 靜電的影響

靜電是看不到，摸不著的東西，然而它卻是計算機最可怕的殺手之一。雖然機房沒有什么易燃易爆物品，但它可以擊穿MOS電路并引起計算機誤操作或運算錯誤，輕則會帶來使用上的困擾，重則會令一臺計算機報廢。此外靜電干擾會使顯示器的成像紊亂，令顯示器無法正常使用。

⑸ 火災(zāi)防護

火災(zāi)在計算機房中較少發(fā)生，但是一旦出現(xiàn)，危害很大，主要是因為設(shè)備或線路自身的缺陷、維修不當(dāng)、年久失修或使用不當(dāng)，以及管理制度不嚴(yán)而造成的[1-5]。

2.1.2 網(wǎng)絡(luò)設(shè)備和連接的安全

在引入了機房管理系統(tǒng)和校園一卡通工程后，整個機房都必須在一個相對連通的網(wǎng)絡(luò)環(huán)境下才能正常使用，保證網(wǎng)絡(luò)的暢通是保障機房安全穩(wěn)定運行的關(guān)鍵。從硬件上，網(wǎng)絡(luò)主要由網(wǎng)絡(luò)設(shè)備和網(wǎng)線（或光纖）等組成，網(wǎng)絡(luò)設(shè)備主要由連接學(xué)生用機的接入層交換機、連接各接入層交換機的匯聚層交換機和連接各匯聚層交換機的核心交換機三大類設(shè)備組成，另外還有托管給電信運營商的跨校區(qū)鏈路設(shè)備（此設(shè)備不用我們考慮），這些設(shè)備的損壞或者失效都會導(dǎo)致一部分或者整個機房運行的癱瘓；相關(guān)網(wǎng)線鏈路主要由連接學(xué)生機和接入層交換機的末端網(wǎng)路、跨校區(qū)的光纖鏈路和與核心層交換設(shè)備相連的網(wǎng)路三部分組成。末端網(wǎng)路故障主要由于水晶頭松動或者網(wǎng)線折斷等原因引起，而光纖鏈路的阻斷則會導(dǎo)致某個校區(qū)的癱瘓，與核心層設(shè)備相連的網(wǎng)絡(luò)阻斷則會導(dǎo)致整個機房管理的癱瘓。

2.1.3 學(xué)生機的安全

因為現(xiàn)在的機房管理一般引入硬盤保護卡模式，這些安裝在PCI插槽上的“網(wǎng)卡”經(jīng)常會發(fā)生接觸不良而失效的狀況，會令機器無法使用，或者成為傳播機房病毒的定時炸彈。鍵盤鼠標(biāo)可能會成為一些頑皮學(xué)生的惡作劇對象，經(jīng)常發(fā)現(xiàn)有學(xué)生把標(biāo)準(zhǔn)鍵盤的按鍵按照不同的順序進行排列，導(dǎo)致使用上的障礙，更有學(xué)生對一些不太靈活的鼠標(biāo)私自插拔，導(dǎo)致PS/2接口的針頭損壞，這些都對正常教學(xué)產(chǎn)生了極大的干擾。

2.1.4 服務(wù)器的安全

對于機房來說，各類服務(wù)器的應(yīng)用必不可少，像FTP服務(wù)器、各類考試服務(wù)器、郵件服務(wù)器、Web服務(wù)器和網(wǎng)關(guān)服務(wù)器等，這些服務(wù)器時刻都在提供著各類服務(wù)，很多課程無法在脫離它們的情況下繼續(xù)正常教學(xué)，特別是提供機房管理服務(wù)的機器，一旦宕機，機房馬上癱瘓。然而由于服務(wù)器質(zhì)量問題或長時間運行等原因，很難保證這些服務(wù)器能絕對安全地提供服務(wù)。

2.2 軟件方面

2.2.1 單機系統(tǒng)安全

現(xiàn)在的教學(xué)和自由上機幾乎都離不開網(wǎng)絡(luò)，機房接觸Internet和各類媒介的接口基本上只通過學(xué)生用機來實現(xiàn)，學(xué)生用機會成為病毒爆發(fā)和系統(tǒng)癱瘓的重要隱患。雖然硬盤保護卡能還原或恢復(fù)本機的相關(guān)數(shù)據(jù)和參數(shù)，但是不當(dāng)?shù)脑O(shè)置也存在爆發(fā)病毒的潛在威脅。根據(jù)CNNIC（中國互聯(lián)網(wǎng)信息中心）發(fā)布的最新數(shù)據(jù)表明，當(dāng)前的病毒95%以上都是網(wǎng)絡(luò)型病毒，針對單機的攻擊非常少，也就是說只要系統(tǒng)存在缺陷，哪怕本機沒有病毒，網(wǎng)絡(luò)上存在的攻擊程序和病毒也會迅速傳播，影響正常使用。除此之外，各類服務(wù)器也會成為攻擊的主要目標(biāo)，針對機房DMZ（非軍事化區(qū)域）的攻擊一旦成功，可能會致使整個機房運行的癱瘓，所以，單機系統(tǒng)的安全性也與各類服務(wù)器的安全設(shè)置相關(guān)。

2.2.2 網(wǎng)絡(luò)設(shè)置安全

對于這樣一個分布式的大型復(fù)雜網(wǎng)絡(luò)，如何從邏輯上進行有效合理的規(guī)劃并制定切實可行的安全策略是保障網(wǎng)絡(luò)安全的關(guān)鍵。從拓撲圖可以看出，雖然機房呈分布型散落在不同的區(qū)域，但是通過各類網(wǎng)絡(luò)設(shè)備的連接，可以實現(xiàn)邏輯上的大跨度局域網(wǎng)，合理分配IP地址，進行網(wǎng)絡(luò)安全性設(shè)置，把病毒傳播影響縮小到最小值；在相應(yīng)位置添置各類安全設(shè)備或者設(shè)置安全規(guī)則，有效控制病毒傳播，抑制其爆發(fā)范圍。

3 相應(yīng)安全策略和對策

針對以上已存在或潛在的威脅和安全問題，提出以下相應(yīng)的安全策略。

⑴ 安裝空調(diào)系統(tǒng)。對于空間不是很大的機房（一般在60M2以下），可采用家用立式或壁掛式空調(diào)，設(shè)計容量可以參考160W-250W/M2來估算。如果是獨立實驗樓使用機房，建議安裝中央空調(diào)。在設(shè)計中，應(yīng)充分考慮環(huán)保節(jié)能的技術(shù)，引入自然通風(fēng)與地源熱泵等空調(diào)技術(shù)，以節(jié)約能源。

⑵ 機房內(nèi)應(yīng)安裝溫濕度檢測儀器，當(dāng)濕度超過一定標(biāo)準(zhǔn)時（一般是45%～65%），可以利用空調(diào)或相關(guān)除濕設(shè)備進行除濕操作，注意在梅雨季節(jié)時候，應(yīng)不定期對機房進行除濕。對于濕度過低容易引起靜電的冬季，可以在每天打掃衛(wèi)生的時候，用濕拖把清理地面來達到加濕的效果，有條件的也可以使用加濕設(shè)備。

⑶ 工作人員應(yīng)做好每日的機房清潔工作，減少灰塵堆積；定期對計算機進行全面的硬件維護，可以打開機箱蓋，將CPU風(fēng)扇、顯卡風(fēng)扇、主板、硬盤、光驅(qū)等部件進行全面灰塵清理；嚴(yán)格控制灰塵源，制定并執(zhí)行相關(guān)規(guī)章制度，要求進出實驗室的人員先換鞋或穿鞋套。

⑷ 通過接地的方法來防止靜電及外界電磁干擾，根據(jù)實際需要，進行電屏蔽、磁屏蔽或電磁屏蔽。機房地板是靜電產(chǎn)生的主要來源，在建造機房的時候，可直接鋪設(shè)防靜電PVC，也可選擇使用防靜電陶瓷架空活動地板，這不但利于機器設(shè)備的維護及維修，而且使用壽命長達50年，更是一種防火材質(zhì)，是其他材料所無法比擬的。

⑸ 嚴(yán)格按照消防要求設(shè)計機房，從建筑、報警、設(shè)備和管理等方面采取必要的防火措施。機房必須建立嚴(yán)格的安全管理制度，同時要對機房的值班人員灌輸消防知識和進行必要的消防訓(xùn)練。必須為機房配備消防設(shè)備（ 包括報警和滅火設(shè)備） ，不得使用明火，嚴(yán)禁吸煙等[1，6-8]。

⑹ 對于接入層交換機等較廉價網(wǎng)絡(luò)設(shè)備，可以采取備機方案，在設(shè)備損壞的時候，立即進行更換，因為網(wǎng)絡(luò)設(shè)備的損壞影響范圍較大，可致教學(xué)事故的發(fā)生。經(jīng)驗告訴我們，交換機等設(shè)備的損壞基本上都發(fā)生在電容器件上，由于長時間運行，在灰塵堆積和散熱不良的雙重作用下，電容出現(xiàn)了爆漿或胖頂?shù)仁КF(xiàn)象，所以做好機柜的散熱非常有必要。對于有條件的學(xué)校來說，可以考慮引入精密空調(diào)設(shè)備來進行維護。網(wǎng)線等連接線的設(shè)計要充分考慮設(shè)備位移效應(yīng)，學(xué)生在使用機器的時候可能會搬動機器，導(dǎo)致網(wǎng)線松動或者與接口脫落，所以在長度上應(yīng)當(dāng)給予一定的冗余值，一般比具體點位多出1-2米為宜。

⑺ 在選擇硬盤保護卡產(chǎn)品的時候，可以考慮使用集成在主板BIOS上的內(nèi)置保護卡程序，隨著存儲芯片技術(shù)的發(fā)展，目前的BIOS芯片容量完全可以寫入各種底層控制程序，這種內(nèi)置式的保護卡完全解決了因外置保護卡接觸不良而導(dǎo)致的還原失效問題。對于鍵盤鼠標(biāo)等容易私自插拔的設(shè)備，可以設(shè)計成固定式，杜絕學(xué)生的破壞。

⑻ 對服務(wù)器的應(yīng)用緊急性進行等級劃分。對于那些“零等待”的特別重要的服務(wù)器，比如機房管理系統(tǒng)服務(wù)器，必須要做好 “雙機熱備”的設(shè)置，在主設(shè)備宕機的時候，能夠立即切換到備用設(shè)備來實現(xiàn)系統(tǒng)的不間斷穩(wěn)定運行；對于次緊急服務(wù)器可采用其他備份方式，比如采用ghost備份還原，盡可能快地恢復(fù)服務(wù)。

⑼ 合理規(guī)劃學(xué)生用機的操作系統(tǒng)和相關(guān)應(yīng)用軟件的安裝，對于操作系統(tǒng)要盡量打全系統(tǒng)補丁，關(guān)閉與教學(xué)需求無關(guān)的端口和服務(wù)，根據(jù)需要選擇安裝防病毒或者防火墻軟件，在母機發(fā)送前一定要做好充分的調(diào)試工作，測試各種軟件是否存在沖突，保證其可用性。對于傳送之后出現(xiàn)的各類補丁和病毒庫，根據(jù)自身條件盡量進行升級，保證系統(tǒng)的安全性，并且，在安裝補丁之后，應(yīng)重新進行各類測試，保證各類軟件的正常使用。目前大部分學(xué)校使用的新版保護卡都具有增量傳送功能，單單一些補丁程序，對于100臺規(guī)模的機房，可以在幾分鐘內(nèi)完成同傳工作，效率非常高。如果光從安全的角度出發(fā)，完全可以禁用USB接口，杜絕媒介傳播病毒的可能性，但是對于開放式機房來說，往往需要開發(fā)USB接口，我們可以通過在客戶端安裝存儲設(shè)備掃描程序（比如說360的U盤掃描程序）來對插入的媒介進行淺度掃描，減少木馬等病毒傳播的機會[7，10，11]。

對于各類服務(wù)器來說，除了及時打上各類補丁之外，因為考慮到服務(wù)器一般都有專用的特點，是提供某種服務(wù)的系統(tǒng)，所以只開放相關(guān)的服務(wù)和端口即可，即服務(wù)最簡化，比如FTP服務(wù)器，只開放端口21（系統(tǒng)默認端口）或者用戶自定義端口即可，其他的相關(guān)服務(wù)和端口都可以關(guān)閉，并且卸載不相關(guān)的系統(tǒng)組件和服務(wù)，保證服務(wù)的純正，減少被攻擊的可能。

⑽ 根據(jù)物理位置并結(jié)合邏輯實現(xiàn)合理規(guī)劃設(shè)置IP地址段，我校結(jié)合用戶數(shù)量規(guī)模選擇了C類IP為學(xué)生用地址，所有機器的IP地址以192.168開頭，第三段為機房編號，第四段為機器編號，比如192.168.1.5即為1號機房5號機器，這樣非常方便網(wǎng)絡(luò)監(jiān)控與管理，在匯聚層和核心層上創(chuàng)建以機房號為邊界的VLan，加入相關(guān)規(guī)則后，保證各個機房之間的邏輯隔離，這樣可以把網(wǎng)絡(luò)風(fēng)暴和網(wǎng)絡(luò)病毒控制在特定區(qū)域中，使影響最小化。設(shè)置DMZ區(qū)域所有的機器為同一個網(wǎng)段，使學(xué)生用機都可以對其訪問。

⑾ 在機房總線出口處設(shè)置網(wǎng)關(guān)與防火墻，從外圍對網(wǎng)絡(luò)攻擊等行為進行源頭控制。網(wǎng)關(guān)設(shè)備推薦使用基于Linux內(nèi)核的各類系統(tǒng)，比如著名的Router OS，在配置性能較強的網(wǎng)卡后，它完全可以讓一臺已經(jīng)報廢的普通PC承擔(dān)上千臺的客戶端機，充分挖掘機器的潛力。防火墻最好采用具有獨立功能的硬件設(shè)備，對于數(shù)量眾多的客戶端來說，強勁的運算性能和良好的程序設(shè)計是安全和穩(wěn)定運行的重要保障[8-10]。

4 安全點緊急性分析

在所有的安全點中，重要性和緊急性應(yīng)予以區(qū)分，采取區(qū)別化策略。對各個具體安全因素根據(jù)緊急程度進行歸納匯總，合并成四個主要方面，具體如圖2所示，可以看出，位于三角形底部的是緊急性較低的因素，頂部的緊急性最高，各個層次采取的措施如左方。

5 結(jié)束語

分布型學(xué)校機房空間結(jié)構(gòu)比較復(fù)雜，但是設(shè)計人員要從邏輯角度出發(fā)，合理科學(xué)規(guī)劃網(wǎng)絡(luò)設(shè)置，盡量做到簡單化，這樣可以更好地進行管理和維護。在精簡化的過程中，也要充分考慮潛在的安全隱患，最好制定相關(guān)的應(yīng)急方案來應(yīng)對突發(fā)事件。安全問題是一個不斷演化的過程，在設(shè)計和維護機房的時候，應(yīng)從硬件和軟件兩個角度給予充分考慮，并制定相應(yīng)策略，以避免更多的安全問題，保證更好的教學(xué)質(zhì)量。

參考文獻：

[1] 盧來.高校計算機機房安全管理存在的問題及對策分析[J].信息與電

腦，2011.6：23-24

[2] 張慶河.電氣與靜電安全[M].中國石化出版社，2005.

[3] 夏雨.淺談高校計算機房安全管理[J].孝感學(xué)院學(xué)報，2007.6.

[4] 張鳳儀，劉學(xué)明，許子鍵.高校計算機機房環(huán)境安全管理對策[J].重慶

工學(xué)院學(xué)報，2006.20（11）.

[5] 呂昌河，何林林.計算機網(wǎng)絡(luò)安全實用技術(shù)[M].電子工業(yè)出版社，

2005.

[6] 陳向榮.高校中心機房安全管理[J].實驗室研究與探索，2005.12（7）.

[7] 袁更華.Windows Server 2003 組網(wǎng)與安全配置手冊[M]. 中國青年

出版社，2004.

[8] 李勁.Windows Server 2003網(wǎng)絡(luò)管理手冊[M].中國青年出版社，

2004.

[9] 朱志杰.建筑高級裝飾施工與報價[M].北京中國建筑工業(yè)出版社，

1992.

[10] 徐永根.工業(yè)與民用配電設(shè)計手冊[M].北京水利電力出版社，1994.

[11] 章長東.工業(yè)與民用電氣安全[M].北京中國電力出版社，1996.