高校計算機公共實驗室網絡安全管理策略

【摘 要】以桂林電子科技大學北海校區計算機公共機房管理為例，對計算機公共機房發生的一些典型網絡安全事件進行分析，并有針對性地提出相應的網絡安全管理策略。

【關鍵詞】高校 計算機公共實驗室 網絡安全 管理策略

【中圖分類號】 G 【文獻標識碼】 A

【文章編號】0450-9889（2015）04C-0082-02

近年來，伴隨著“慕課”（MOOC，大規模在線開放課程）等學習模式的新發展，各高校的普通計算機公共實驗室對網絡的依賴程度日益增加。計算機公共實驗室已由原來的單機操作模式向內網互聯、國際互聯模式發展。在資源共享、數據傳輸的同時，網絡也給病毒、木馬等惡意代碼的傳播和惡意攻擊、網絡竊聽等行為提供了通道。計算機公共實驗室面臨著嚴峻的網絡安全挑戰。如何有效地對計算機公共實驗室網絡進行安全管理是一個值得研究的問題。本文以桂林電子科技大學北海校區計算機公共機房管理為例，探討計算機公共機房網絡安全管理策略。

一、計算機公共實驗室典型網絡安全威脅分析

從目前各高校計算機實驗室的實際應用來看，承擔著計算機基礎教學、項目培訓、在線考試等任務的公共實驗室被使用的頻率越來越大。計算機公共實驗室在提供上網條件的同時，也面臨著各種網絡安全威脅。筆者通過對校區內各學院實驗管理中心每日維護記錄中分散的網絡安全事件進行統計和分析，發現校區內各公共實驗室的網絡安全問題有如下特點。

（一）移動存儲介質所帶來的安全風險是公共實驗室面臨的最主要威脅

經分析發現，移動存儲介質（主要包括U盤、移動硬盤、智能手機等設備）已成為計算機公共實驗室網絡病毒的主要傳播工具，也是目前學校各計算機公共實驗室面臨的最大威脅。學生在計算機公共實驗室上機過程中，很多人都會很隱蔽地將這些設備帶進機房，他們很可能把上面的各種文件資料拷貝到公共實驗室的電腦硬盤上，這些被拷貝到電腦硬盤上文件很可能包含各類病毒，一旦計算機公共實驗室的電腦被感染，對整個實驗室網絡的危害是巨大的。其典型案例就是“U盤殺手”（Worm_Autorun）及變種“隱藏文件夾”病毒。它專門感染U盤，把U盤的文件夾隱藏，然后自己偽裝成文件夾的樣子，用戶在不知情的情況下點擊這些“文件夾”，就會在不知不覺中感染上此類病毒。此時電腦系統進程中出現global.exe等進程，且進程無法終止，即使強制終止，這些進程還會再次出現。同時，電腦上很多有用的文件消失，移動存儲設備上的文件夾也看不見了。學生無法在網上下載課件和提交作業，老師無法控制學生端電腦，網絡廣播教學被迫中斷。

（二）人為的內部攻擊和ARP欺騙攻擊對實驗室網絡危害巨大

在桂林電子科技大學北海校區各公共實驗室中發生的典型網絡安全事件中，排在第二位就是來自內外部的各類攻擊。某些學生在掌握一些網絡監聽、漏洞探測、端口掃描軟件等黑客軟件后，會在校區的公共計算機實驗室中運行，發起一些有目的的攻擊，對實驗室網絡構成嚴重威脅。另外一個最典型，也是危害最大的攻擊就是ARP欺騙攻擊。公共實驗室網絡中只要有一臺電腦感染了ARP欺騙木馬病毒，將會使局域網內所有主機的ARP地址表的網關MAC地址更改為該電腦的MAC地址。網絡內的其他電腦和路由器很難檢測到，出現上網用戶都通過該感染ARP病毒的電腦切換，當病毒程序運行時，出現大量的垃圾數據包，導致網絡阻塞和網絡中斷，導致公共機房內安裝的網絡多媒體電子教室管理軟件上教師端和學生端無法連接，教學廣播無法正常進行。ARP木馬病毒嚴重的還會導致整個實驗室網絡癱瘓，甚至盜取電腦用戶的網銀、游戲、郵箱、QQ的賬戶及其密碼。

（三）垃圾電子郵件給實驗室網絡安全帶來潛在的威脅

垃圾電子郵件給計算機公共實驗室網絡造成的影響排在第三位。在計算機公共實驗室中，有些學生的信箱空間被大量的垃圾郵件侵占，這些垃圾郵件占用了大量網絡資源，嚴重干擾郵件服務器進行正常的郵件遞送工作。更為嚴重的是，很多垃圾郵件通常在附件中附加病毒和木馬程序。一旦用戶打開這些附件，就會感染病毒并可能造成系統及網絡的癱瘓甚至崩潰。

二、計算機公共實驗室安全管理策略

針對上面的情況，除了采取傳統的部署防火墻、安裝網絡防病毒軟件、修補系統漏洞等措施外，桂林電子科技大學北海校區計算機公共實驗室根據實際情況合理制定針對自身環境與條件的安全管理策略。

（一）物理安全策略

在內外網安全方面，我們采用最新的網絡隔離技術，也稱為安全通道隔離，它是通過專用通信硬件和專有安全協議等安全機制來實現內外部網絡的隔離和數據交換。該技術高效地實現了內外網數據的安全交換，透明支持多種網絡應用。在實際應用中，北海校區各公共實驗室均采用星形拓撲結構和千兆交換式快速以太網技術。內部網與外部網之間不存在物理上的連接，使來自Internet的入侵者無法通過計算機從外部網進入內部網，從而最有效地保障了內部網重要數據的安全，內部局域網和外部因特網實現物理隔離。

對于校區內各公共實驗室內網之間的安全防范，我們主要根據校區公共實驗室的規模，在路由端單獨劃出一個B類私有IP地址段給各實驗室，并合理設置子網掩碼，劃分子網。通過子網掩碼對網段的控制能力，給每個公共實驗室劃分了單獨的VLAN。這樣各實驗室之間不會互相影響，杜絕各實驗室之間網絡病毒的相互傳播。

（二）用戶安全策略

根據各學院的上機實際情況，我們對所有用戶進行權限劃分，只有通過身份驗證才能進行權限內操作，避免出現越權操作。同時對學生上網行為進行控制，一般情況下，教師的授課課件、有關學習資料存放在教師端主機上，學生在公共機房上課只需要訪問教師端主機服務器即可，通常不需要訪問外網。若教學需要連入Internet，我們一般讓任課教師通過網絡電子教室軟件的黑名單和白名單功能來控制學生的上網行為。

（三）其他安全策略

1.關閉U盤（包括其他移動存儲介質）自動播放功能。計算機公共機房電腦關閉U盤自動播放的方法：以WIN7為例，打開“運行”窗口，鍵入“gpedit.msc”，打開“本地組策略編輯器”窗口；依次展開“計算機配置→管理模板→Windows組建”，再雙擊右側欄最下面的“自動關閉策略”后就可以看到“關閉自動播放”選項了，雙擊后打開出現一個新的窗口，選中“已關閉”即可。可以開啟學生端電腦防病毒軟件的自動掃描U盤功能，進行實時防護。

2.ARP欺騙攻擊防御。對于ARP欺騙攻擊，目前桂林電子科技大學北海校區的計算機公共機房主要采用以下幾種防御方法：第一種是捆綁MAC和IP地址，杜絕IP 地址盜用現象。即在計算機上靜態綁定ARP網關，用一句命令將IP與網卡MAC地址綁定即可。格式為：arp -s 網關IP地址 網關MAC地址。第二種是交換機端口設置，利用端口保護技術（類似于端口隔離），使同一個交換機的兩個端口之間不能進行直接通信，需要通過轉發才能相互通信。第三種方法是在實驗室中部署ARP服務器。此外，在機房學生端機器上安裝ARP防火墻，并開啟一些防病毒軟件的ARP防御功能。

3.IP安全策略。可在學生機上設置安全策略，禁用IP或者關閉某些不必要的或者具有相當危險性的端口，從而控制了學生的某些非法訪問及某些病毒的攻擊和蔓延。以WIN7為例說明如何禁用IP或者端口訪問的方式。第一步，在運行中輸入“gpedit.msc“命令，進入“本地組策略編輯器”；依次展開“計算機配置→Windows設置→安全設置→IP 安全策略，在本地計算機”；第二步，以“禁止訪問桂電北海校區站點服務器219.159.198.136的80端口”（默認是能訪問頁面的）為例，進行IP策略配置。首先，右鍵創建策略向導→填寫IP安全策略名稱“stop_guetbh_ip”；然后在“stop_guetbh_ip”屬性中，點擊“添加”按鈕，進入創建IP安全規則向導→選擇網絡類型“所有網絡連接”→“IP篩選器列表中”，單擊“添加”。添加篩選器名稱“stop_guetbh_ip”，確定，完成添加新的篩選器。第三步，進入“IP篩選器向導”，指定IP流量的源地址“本地所有IP”，指定IP流量的目標地址“IP地址或子網：219.159.198.136”，然后選擇IP協議類型：TCP，設置IP協議端口“從任意端口”“到此端口：80”；確定后，完成篩選器建立。第四步，選中你所創建的規則。點下一步，添加篩選器操作“stop_guetbh_ip”；確認，完成IP 安全策略。此時訪問 桂電北海校區服務器IP ：219.159.198.136出現無法顯示此頁面。至此，IP安全策略設置成功。通過IP安全策略的設置，可以有效地保護公共計算機機房的網絡系統安全。

計算機公共實驗室的網絡安全問題是無法避免的，只要有計算機網絡存在就一定有安全風險。隨著網絡的快速發展，木馬和病毒種類也將不斷增多，針對不斷遇到的安全新問題，要及時更新網絡安全策略，定期進行硬件維護、軟件維護、網絡維護和日常維護，方能保證計算機公共實驗室系統的正常、穩定運行。

【參考文獻】

[1]張新剛，等.高校計算機公共實驗室的典型安全威脅及防御[J].實驗室研究與探索，2011（7）

[2]王麗霞.高校計算機實驗室網絡安全管理簡析[J].新鄉學院學報（自然科學版），2012（10）

[3]王偉林.校園公共機房網絡安全研究[J].計算機安全，2010（9）

【作者簡介】劉利民（1968- ），男，廣西北海人，研究生學歷，高級網絡工程師，桂林電子科技大學職業技術學院計算機系主任，研究方向：計算機基礎教育，網絡系統安全。

（責編 盧 雯）