高職院校網絡機房安全防護體系研究

朱俊，石紅春，劉德文，凌智

（湖南常德職業(yè)技術學院現代教育技術中心 湖南 常德 415000）

1 引言

2 網絡機房安全現狀分析

高職院校網絡機房的應用，是衡量高職院校辦學條件的重要指標，而網絡機房的安全性則是影響為師生教與學服務成效的至關重要的因素。網絡機房作為高職院校教學、科研、實訓、考核的場所，它不僅要承擔全院計算機網絡課的教學、實習，而且還要承擔外來人員的各項培訓。由于機房操作人員的流動性大，使用計算機人員的技術水平參差不齊，計算機很容易造成系統文件的損壞、應用程序的丟失、計算機病毒的感染、黑客的攻擊、網絡犯罪等多方面的問題。因此，通過對高職院校網絡機房現狀的調查和分析，從機房管理的實際需求出發(fā)，經過一年多實踐，總結出實用性較強的網絡機房安全防護體系。提高了我院網絡機房管理的效率和質量。

通過高職院校網絡機房管理現狀調查，對高職院校網絡機房安全現狀分析如下：

①教學任務大。網絡機房作為教學、科研、實訓、考核等場所，它不僅要承擔全院網絡課的教學、實訓、考核，而且還要承擔外來人員的各項技術培訓等任務。

②服務對象多樣化。網絡機房使用人員的技術水平參差不齊，有專科生、本科生、研究生、繼續(xù)教育及各類型培訓班等，計算機容易造成硬件的損壞、系統文件或應用程序的丟失。

③有些操作人員素質不夠高。進入網絡機房后玩游戲、玩撲克、上網聊天，下載來歷不明的文件、瀏覽惡意網站、更改桌面設置、增刪系統文件、修改注冊表，不按照操作規(guī)程操作。這樣不僅浪費了自身的學習時間，而且還浪費了學校的寶貴資源，給周圍的同學造成了不良影響。

④高職院校中，有些大學生具有很強的好奇心和動手操作能力，有時會利用網絡機房進行一些全方位的實驗和實踐，這就增加了網絡機房的不安全。

⑤計算機病毒感染。網絡開放時，病毒的入侵，有的同學帶著U盤進入機房使用，傳播病毒，因此，機房經常受到計算機病毒的感染，如不及時處理，輕則使機房工作效率下降，重則導致整個機房癱瘓，嚴重影響正常教學。

⑥黑客的攻擊。黑客攻擊可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了干擾系統正常運行，并不盜竊系統資源，如拒絕服務攻擊和信息炸彈；破壞性攻擊是以入侵他人電腦系統，盜竊保密信息，破壞系統文件和數據為目的。黑客常用的攻擊手段有后門程序、信息炸彈、拒絕服務、網絡竊聽、密碼破解等。

⑦硬件故障頻繁。一方面由于機房開放時間長，機器使用頻率高，操作人員操作不當，導致計算機硬件故障頻繁；另一方面，機房使用年限長，設備老化嚴重，導致計算機硬件故障頻繁。

⑧軟件維護難度大。教學應用軟件類型多，經常要對應用軟件進行版本升級；操作系統經常要安裝補丁；殺毒軟件不斷要更新病毒庫。學生有意無意修改系統參數或刪除重要系統文件，影響系統運行，甚至導致系統崩潰。

3 網絡機房安全防護體系的構建

一套完整的安全防護體系，是一項系統工程，涉及到各個方面，包括規(guī)劃、維護、管理、防護、加密、監(jiān)測、修補漏洞等運作體系。

（1）科學規(guī)劃網絡機房

學院成立網絡機房管理中心，統一規(guī)劃學院網絡機房的布局、安裝、管理、維護等項工作。并在管理中心指導下建立、完善、執(zhí)行網絡機房的各項管理制度。包括機房管理員的獎懲制度、學生上機制度、用戶上網制度、機房的日常維護與安全管理等制度。如不準修改CMOS參數、不準刪除硬盤上的文件、不準設置開機密碼、不準使用U盤、學生進入機房按固定座位上機操作，操作前由學生自己檢查座位上機子的技術狀態(tài)，并填好上機卡等。這是網絡機房安全防護體系建設的關鍵。

（2）正確維護網絡機房[1]

機房維護是管理員必不可少的手段，管理員必須認真做到下面幾點：

①灰塵和靜電的防護。微機硬件不少故障是因灰塵和靜電影起的。過量的灰塵容易造成主板短路、存儲系統的故障、主板上各插件接觸不良。所以，網絡機房管理員應做到每月清潔一次主機內部灰塵，每天應清潔一次主機與顯示器外部的灰塵，保持機器內部與外部的清潔。同時，電腦周圍要保留足夠的散熱空間，上機時嚴禁將茶杯、帶磁性材料的物體放在電腦桌上。

②機房防高溫。電腦工作時，會產生大量的熱量，這些熱量必須通過散熱器及時散發(fā)出去，否則CPU就會停止工作。因此，機房管理員要經常檢查排風的運轉情況，清潔雜物、灰塵，保持排風通暢。并且要通過空調將機房內的溫度控制到10～350C，濕度控制在40～48%，給計算機硬件創(chuàng)造一個良好的工作環(huán)境。

③硬件防震動。計算機主板、顯卡、硬盤、顯示器等部件都是由成千上萬的電子元件構成的，這些部件不工作狀態(tài)下怕振動，特別是工作時出現振動，硬盤磁道、磁頭會損失，硬盤上信息會丟失等。因此，主機、顯示器、電腦桌都要放置平穩(wěn)，工作中防止學生振動電腦桌、主機、顯示器。

④使用硬盤保護卡[3]。硬盤保護卡具有獨立分區(qū)、還原和網絡復制三大功能，因此，硬盤保護卡是一種能實現單機保護、實時監(jiān)測、隨時、定時還原的一種專用插件。由于網絡機房是一個集教學、科研、實訓、考核于一體的特殊場合，進入機房的操作人員復雜，有學生、教師、外來培訓人員，操作水平參差不齊，同時病毒的入侵、感染及破壞，操作者有意無意地刪除和破壞系統，對CMOS參數進行的修改等問題，使用保護卡，可以將計算機的系統分區(qū)或其他需要保護的分區(qū)保護起來，而其他沒有保護的分區(qū)可以任意讀寫，被保護的分區(qū)只能讀，不能寫，重新啟動后，就會自動恢復到安裝硬盤保護卡時的初始狀態(tài)。

⑤做好數據備份。備份數據是指將全部或部分重要數據從應用主機的硬盤復制到另外存儲介質的過程。備份不僅在網絡系統硬件故障或人為操作失誤時起到保護作用，也在入侵者破壞數據完整性時起到保護作用。備份數據的方法很多，包括使用光盤重裝、使用軟件（如Ghost）備份等。

（3）加強網絡機房的管理

網絡機房的管理主要是指對機房管理員的管理和對機房操作人員的管理。

①對機房管理員的管理。機房管理員應該有過硬的理論知識和熟練的操作技能，能夠及時處理機房中軟件、硬件、網絡等突發(fā)事件，并能對未發(fā)生的狀況有一定的預見性，同時一個機房管理員還應該有很強的責任心、高尚的職業(yè)道德，不能損壞機房中的任何設備，更不能盜用機房設備。因此，要求機房管理員加強職業(yè)道德修養(yǎng)，不斷學習計算機的新知識和相關的邊緣知識，注重知識和經驗的積累，使自己成為一名職業(yè)道德高尚、有高度責任心、能精通計算機知識、動手操作能力很強的機房管理員。

②對操作人員的管理。由于進入機房操作的人員復雜、變動較大且人數較多，所以對這批人員的管理比較困難，但又是極為重要的。首先對操作人員進行安全意思教育，使他們懂得安全上網的重要性，填好上機卡，建立責任制，減少故障的發(fā)生；其次是使用“電子教室”軟件對操作人員上機情況實時監(jiān)控與管理，電子教室采用網絡監(jiān)控與人工智能分析技術，實現事前防治、事中監(jiān)控、事后跟蹤等多環(huán)節(jié)管理，有效的防止惡意攻擊計算機或使用不當等情況的發(fā)生。保障操作人員健康的在網絡中暢游。

（4）做好網絡機房的防護[2]

網絡機房的防護主要包括防黑客入侵、防病毒卡、防火墻技術。

①防黑客入侵。黑客給人們造成的危害和損失越來嚴重，人們已經采取了很多方法防止黑客入侵，如：身份認證、采用智能卡、智能密碼鑰匙、生物特征識別認證技術等，能有效避免黑客的入侵。

②防病毒卡。防病毒卡是一塊可以插入主板擴展槽的印刷電路板，印刷板上是幾塊集成電路芯片，里面“固化”著全方位、多層次反病毒程序。開機時，防病毒程序自動開始工作。監(jiān)視在計算機和磁盤之間是否可能造成危害的寫命令，并且判斷磁盤當前是否將要進行寫操作，或正在進行寫操作，或磁盤是否處于寫保護等，來確定病毒是否將要發(fā)作。正因為采用了“固化”程序形式，防病毒卡本身不會受到病毒的侵害。通過定期或不定期的自動升級，使計算機網絡免受病毒的侵襲。

③防火墻技術：防火墻是位于外部網絡與內部網絡之間的通道，也是網絡安全的第一道防線。它是由軟件或軟硬件設備結合的一種安全設備的總稱。內部網絡與外部網絡交換的所有信息都要經過防火墻這個通道，在通道內過濾掉外部網絡的非法用戶、黑客的入侵攻擊行為，同時也可以阻止內部網絡用戶非法向外部網絡傳遞信息。

（5）數據加密技術[4]

在網絡中傳輸的數據，每時每刻都要受到來自各方面的威脅，這些威脅輕則會破壞數據的完整性，重則導致數據完全不能用。數據加密就是為了保護網絡上傳輸數據不被非法者惡意篡改、截取的一種措施和手段，也是其他一些安全技術的基礎和核心。數據加密技術就是利用一定的加密方法（如加密算法）把原本能夠讀懂、理解和識別的信息通過一定的方法進行處理，使之成為一些難懂的不能輕易明白其真正含義的或者是偏離信息原意的信息，將信息轉換成不可直接讀取的密文，如圖—1所示，即使是數據被非法用戶所竊取，非法用戶也無法破解和理解原始數據，從而確保數據安全。

圖1 數據加密解密過程示意圖

（6）對網絡機房實時監(jiān)測[3]

網絡機房的實時監(jiān)測主要包括端口掃描、漏洞掃描、入侵檢測等，其中最為核心的是入侵檢測。

①端口掃描：一個端口就是一個信息通道，也是一個入侵通道，對目標計算機進行端口掃描能得到很多有用的東西，從而發(fā)現系統安全漏洞。端口掃描有全連接、半連接掃描。

②漏洞掃描：漏洞掃描技術是一類重要的網絡安全技術，在端口掃描后得知主機開啟的端口以及端口上網絡服務，將這些相關信息與漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬成功，則表明目標主機存在安全漏洞。網絡管理員及時發(fā)現安全漏洞，客觀評估網絡風險等級。更正網絡安全漏洞和系統中的錯誤設置，在黑客攻擊前進行防范。

③入侵檢測：入侵檢測技術可以實時對網絡中的數據或系統中的可疑程序和操作實時監(jiān)控，對未授權的連接企圖做出反應，并以各種形式告之管理員，以便及時對網絡入侵行為做出反映。入侵檢測系統分為基于網絡的入侵檢測系統和基于主機的入侵檢測系統。前者用于監(jiān)測網絡流量并判斷是否正常；后者用于監(jiān)測系統正在運行的程序是否合法。

（7）及時修補漏洞

所謂漏洞，就是指軟件在設計、開發(fā)和編寫過程中不可避免的會出現一些缺陷，這些缺陷我們稱為漏洞。如網絡操作系統漏洞、殺毒軟件的漏洞、反惡毒軟件的漏洞等。漏洞成為病毒和黑客入侵的窗口。發(fā)現漏洞如果不及時修補，就像我們出門不關門一樣，等待我們的是輕者則資源耗盡，重者則感染病毒、被插入木馬、隱私盡泄，甚至會造成經濟損失。我們千萬不可輕視修補漏洞。

經過一年多實踐證明，任何單一技術都無法滿足網絡安全的要求，只有通過多種安全技術融合協同防護，才能形成正確的安全防護體系。

4 結束語

網絡機房的安全防護是一項系統工程。由于傳統的網絡防護是一種靜態(tài)的、被動的防護，它已經不適應今天的網絡環(huán)境。所以，必須建立一套完整的、動態(tài)的、主動的安全防護體系，針對來自不同方位的安全威脅，采取不同的安全對策。管理是網絡機房安全的核心，技術是網絡機房安全的保證，只有把高超的網絡技術與嚴格的安全管理方法融合形成一套安全防護體系，才能真正保證網絡機房安全、通暢、高效地運行。

[1]南波，張偉，葉興編著，快速組裝與維護電腦教程[M]，冶金工業(yè)出版社，2001.

[2]松柏，計算機網絡入門與提高[M]，航空工業(yè)出版社，2005.

[3]楊天奇，利用硬盤保護卡構建計算機類綜合實驗室，計算機與網絡[J]，2008：70-71.

[4]趙立群主編，車亞軍，車東升副主編，計算機網絡管理與安全[M]，清華大學出版社，2008.