中職學校機房維護和管理對策的探究與實踐

吳燕

摘 要：中職學校機房是提供給學生學習計算機的重要場所，現在的機房都是網絡型機房，很多課程還需要開放外網進行教學。本文分析提出，網絡環境日趨復雜和多變，重視學校機房的網絡安全問題并有效解決，同時對機房維護和管理進行改革與創新，才能保障機房可靠高效運行。

關鍵詞：中職學校 機房 維護和管理對策 探究與實踐

課 題：本文為《中職計算機網絡專業網絡安全方向課程改革與實踐》2018年度廣西職業教育教學改革研究重點項目（項目編號：GXZZJG2018A006）研究成果。

筆者所在的二級系部是信息商貿系，系部的網絡系統由十余間計算機實訓室及辦公網絡組成，系部成立獨立的機房維護組對網絡系統進行管理維護。如何采取有效對策、提高工作效率、防止計算機損壞、病毒感染及惡意攻擊，保證計算機機房正常開展教學工作是一項必須認真研究和探索的任務。下面筆者將對所在系在日常計算機機房維護中運用的網絡安全技術及管理進行探究。

一、機房維護和管理所面臨的問題

機房使用非常頻繁，計算機很容易出現問題，以下列舉常見的幾個問題。

1.計算機操作系統自身隱患

部分中職學校因為資金的問題，機房建設多年設備老舊，只能安裝負載不高的操作系統，如XP、Win 7。這些系統存在一些技術上的缺陷與安全上的漏洞，而且隨著時間的遷移，該風險漏洞會逐漸細化成網絡操作系統層面、計算機數據庫層面以及網絡軟件層面的安全漏洞。

2.應用策略不完善

應用策略不完善的表現如注冊表被修改，操作系統或組件被刪除，非法安裝游戲程序，訪問不健康網站、U盤等可移動存儲設備隨意拔插致使病毒泛濫。

3.機房管理制度落實不到位

雖然每個機房都有對應的機房管理制度也都張貼于墻壁，但是計算機隨意挪動、鼠標鍵盤被盜、被損壞，場地衛生臟亂差等諸多安全問題仍存在。

二、維護和管理對策

1.維護對策

機房管理過程中，發現有些機房的計算機配置存在品牌型號不同、參數新舊差異，不同的機型要安裝不同的操作系統，或者是有時候上課教師需要臨時增加安裝某個軟件，如此管理員的工作量十分繁重。針對這些情況有兩種解決辦法。

一種情況是機房設備型號統一、參數相同的情況，主板支持PXE服務。那么不需要獨立硬盤可以使用網絡無盤安裝軟件如“維護網維大師”軟件對機房進行安裝系統。可以選用一臺高性能的服務器作為母機，在該母機上學生機所安裝的操作系統，學生機通過網絡啟動連接到母機并顯示為“C：”其中一臺學生機作為超級管理員，其上安裝所需要軟件生成鏡像，其他學生機重啟后同步該鏡像。 定期對母機進行系統補丁升級和應用程序升級。

另一種情況是機房設備型號各異、參數不盡相同的情況，且主板不支持PXE服務。那么該機房只能在本機安裝系統。選一臺高性能的計算機，如CPU不小于4G，內存不小于8G，硬盤不小于256G作為教師機，安裝Windows Server 2008或Windows Server 2012 操作系統，并升級為域控服務器，其他的計算機作為域成員加入域內。在計算機使用一段時間后，雖然有硬件還原程序的保護，計算機仍會出現問題，為了不影響教學質量，利用網絡同步升級的網絡拷貝，定期對計算機進行系統補丁升級和應用程序

升級。

以下對服務器端、路由器端和PC端的網絡安全配置以及機房制度的有效實施四個方面進行闡述。

（1）服務器的網絡安全配置。服務器是單位重要數據的存儲器，因此是黑客重點攻擊的目標。針對網站服務器的常見攻擊如SQL注入、CSRF攻擊、后臺框架、協議漏洞等。SQL注入是利用后臺漏洞通過URL將關鍵SQL語句帶入程序并在數據庫中執行從而造成破壞性結果。CSRF攻擊通過偽裝成受信任用戶的請求來利用受信任的網站，即攻擊者盜用了受信任用戶的身份，偽裝成受信任用戶發送惡意請求。黑客利用CSRF以受信任用戶名義發送郵件，發消息，盜取受信任用戶的賬號，甚至于購買商品、虛擬貨幣轉賬，給受信任用戶帶來的后果是個人隱私泄露以及財產安全。后臺框架、協議漏洞攻擊則是針對程序和系統缺陷進行攻擊。

針對非網站服務器的常見攻擊如系統登錄用戶、數據庫登錄用戶爆破，服務器端口漏洞、操作系統漏洞、木馬植入等。黑客利用多種手段確定后臺數據庫，比如使用后臺框架、協議漏洞很容易就發現了后臺使用的什么框架、什么數據庫。又或是使用nmap 等工具直接開掃，例如目標服務器暴露3306端口大概率就確定是mysql了。確認了數據庫類型以及端口接下來就是采用密碼字典暴力破解了。很多用戶貪圖方便記憶使用了弱口令，弱口令很輕易被攻破。使用nmap掃描服務器暴露的端口，就有大量的手段利用端口進行下一步滲透。木馬植入則是直接通過向服務器種植木馬，開啟后門，取得服務器控制權。

計算機機房一般非網站服務器，針對以上描述的常見攻擊行為，我們在服務器上做以下防護。

①更改默認administrator用戶名，設置復雜密碼。

②開啟防火墻。

③安裝殺毒軟件：新做系統一定要先打上補丁，安裝必要的殺毒軟件，刪除系統默認共享。

④修改域策略→安全選項。交互式登陸：不顯示最后的用戶名選擇啟用（修改用意：防爆破），網絡訪問：不允許SAM 賬戶和共享的匿名枚舉選擇啟用（修改用意：關閉后門），網絡訪問：不允許存儲網絡身份驗證的憑據或 .NET Passports選擇啟用（修改用意：清除歷史記錄），網絡訪問：可遠程訪問的注冊表路徑和子路徑全部刪除（修改用意：防提權）;關閉光盤和磁盤的自動播放功能（修改用意：防木馬自動運行）;阻止訪問注冊表編輯工具選擇啟用（修改用意：防提權）;開啟定期殺毒功能。

⑤禁用不必要的服務：TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation。

⑥下載并運行服務器安全狗（服務器安全狗是一款集服務器安全防護和安全管理為一體的綜合性服務器工具。支持Windows全系列操作系統Windows2003 / Windows2008 / Windows2012 32位 64位）、Linux操作系統的服務器安全防護軟件，從驅動層直接屏蔽攻擊，保護服務器安全。

⑦數據庫以最低權限運行，保證數據庫安全。

⑧限制利用3389遠程登錄的登錄IP。

⑨使用信息收集軟件定期給系統進行安全評估。

（2）路由器的網絡安全配置。從網絡層對網絡攻擊進行防護，最直接的方式就是在路由器上做策略。很多的路由器都支持這些流量攻擊的防御，首先進入路由器的管理界面，開啟防御功能。例如勾選所有的SYN Flood攻擊、UDPFlood攻擊、ICMP Flood攻擊。SYN Flood是一種廣為人知的DOS（拒絕服務攻擊）是DDOS（分布式拒絕服務攻擊）的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內存不足）的攻擊方式。UDPFlood是日漸猖獗的流量型DOS攻擊。常見的情況是利用大量UDP小包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。100k bps的UDPFlood經常將線路上的骨干設備例如防火墻打癱，造成整個網段的癱瘓。ICMP Flood是一種DDOS攻擊，該攻擊在短時間內向目的主機發送大量ping包，消耗主機資源，主機資源耗盡后就會癱瘓或者無法提供其他服務。這三種攻擊可通過閥值進行調整，通過調整每秒鐘通過的數據包個數來確定是否為攻擊行為。

（3）PC端的網絡安全配置。PC端即作為學生機的普通計算機，PC端一定要開啟防火墻，安裝殺毒軟件，定期把軟件升級并進行殺毒。殺毒工作可由機房使用班級進行，一方面提高工作效率，另一方面培養學生定期殺毒的網絡安全意識。

（4）機房制度的有效實施。嚴格要求學生和教師按照規章制度操作。制定人機負責制，將機房的每臺計算機和設備打上標簽，制作每個在該機房上課班級的“實訓場地工位安排表”，每一位學生固定使用和管理某臺計算機。課后上課教師組織值日生清潔場地，機房維護組進行檢查記錄，對沒按要求做好6S的班級由上課教師帶領學生整改。

2.管理對策

二級系部的機房管理工作繁重，聘任4～5位專業教師作為專業管理員是不現實的。因此聘任學生為機房輔助管理員是不錯的解決方案，不僅可以緩解機房管理人力上的不足，減輕管理人員的工作壓力，還可以大大提高工作效率、服務質量和管理能力。筆者所在系的機房維護組由2位專職教師和4名學生組成，教師指導帶領學生進行機房維護工作。學生管理員是三年級的學生，在校內完成實習任務，由系部考核。學生管理員實行行政坐班制，有任務的時候協助老師完成，比如安裝系統、軟件，解決機房出現的各種設備問題。另外每天還安排值班人員，值班人員負責按時給各機房開門關門，每天按時檢查教室使用申請表，查看有無教室和網絡需要特定時間開關，檢查教室的衛生清潔。

機房管理工作是一項持續長久的工作，考慮到學生終將畢業離開學校，因此需要注重管理團隊的梯隊建設。維護小組每年從學生社團“計算機協會”挑選幾名新生，利用下午放學及晚自習時間以老帶新參與機房管理，這樣慢慢地形成本系的傳統，機房管理工作這些年來一直平穩有序，沒有出現安全事故。

（作者單位：廣西工業技師學院）