【摘 要】以桂林電子科技大學(xué)北海校區(qū)計(jì)算機(jī)公共機(jī)房管理為例，對(duì)計(jì)算機(jī)公共機(jī)房發(fā)生的一些典型網(wǎng)絡(luò)安全事件進(jìn)行分析，并有針對(duì)性地提出相應(yīng)的網(wǎng)絡(luò)安全管理策略。

【關(guān)鍵詞】高校 計(jì)算機(jī)公共實(shí)驗(yàn)室 網(wǎng)絡(luò)安全 管理策略

【中圖分類號(hào)】 G 【文獻(xiàn)標(biāo)識(shí)碼】 A

【文章編號(hào)】0450-9889（2015）04C-0082-02

近年來，伴隨著“慕課”（MOOC，大規(guī)模在線開放課程）等學(xué)習(xí)模式的新發(fā)展，各高校的普通計(jì)算機(jī)公共實(shí)驗(yàn)室對(duì)網(wǎng)絡(luò)的依賴程度日益增加。計(jì)算機(jī)公共實(shí)驗(yàn)室已由原來的單機(jī)操作模式向內(nèi)網(wǎng)互聯(lián)、國際互聯(lián)模式發(fā)展。在資源共享、數(shù)據(jù)傳輸?shù)耐瑫r(shí)，網(wǎng)絡(luò)也給病毒、木馬等惡意代碼的傳播和惡意攻擊、網(wǎng)絡(luò)竊聽等行為提供了通道。計(jì)算機(jī)公共實(shí)驗(yàn)室面臨著嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。如何有效地對(duì)計(jì)算機(jī)公共實(shí)驗(yàn)室網(wǎng)絡(luò)進(jìn)行安全管理是一個(gè)值得研究的問題。本文以桂林電子科技大學(xué)北海校區(qū)計(jì)算機(jī)公共機(jī)房管理為例，探討計(jì)算機(jī)公共機(jī)房網(wǎng)絡(luò)安全管理策略。

一、計(jì)算機(jī)公共實(shí)驗(yàn)室典型網(wǎng)絡(luò)安全威脅分析

從目前各高校計(jì)算機(jī)實(shí)驗(yàn)室的實(shí)際應(yīng)用來看，承擔(dān)著計(jì)算機(jī)基礎(chǔ)教學(xué)、項(xiàng)目培訓(xùn)、在線考試等任務(wù)的公共實(shí)驗(yàn)室被使用的頻率越來越大。計(jì)算機(jī)公共實(shí)驗(yàn)室在提供上網(wǎng)條件的同時(shí)，也面臨著各種網(wǎng)絡(luò)安全威脅。筆者通過對(duì)校區(qū)內(nèi)各學(xué)院實(shí)驗(yàn)管理中心每日維護(hù)記錄中分散的網(wǎng)絡(luò)安全事件進(jìn)行統(tǒng)計(jì)和分析，發(fā)現(xiàn)校區(qū)內(nèi)各公共實(shí)驗(yàn)室的網(wǎng)絡(luò)安全問題有如下特點(diǎn)。

（一）移動(dòng)存儲(chǔ)介質(zhì)所帶來的安全風(fēng)險(xiǎn)是公共實(shí)驗(yàn)室面臨的最主要威脅

經(jīng)分析發(fā)現(xiàn)，移動(dòng)存儲(chǔ)介質(zhì)（主要包括U盤、移動(dòng)硬盤、智能手機(jī)等設(shè)備）已成為計(jì)算機(jī)公共實(shí)驗(yàn)室網(wǎng)絡(luò)病毒的主要傳播工具，也是目前學(xué)校各計(jì)算機(jī)公共實(shí)驗(yàn)室面臨的最大威脅。學(xué)生在計(jì)算機(jī)公共實(shí)驗(yàn)室上機(jī)過程中，很多人都會(huì)很隱蔽地將這些設(shè)備帶進(jìn)機(jī)房，他們很可能把上面的各種文件資料拷貝到公共實(shí)驗(yàn)室的電腦硬盤上，這些被拷貝到電腦硬盤上文件很可能包含各類病毒，一旦計(jì)算機(jī)公共實(shí)驗(yàn)室的電腦被感染，對(duì)整個(gè)實(shí)驗(yàn)室網(wǎng)絡(luò)的危害是巨大的。其典型案例就是“U盤殺手”（Worm_Autorun）及變種“隱藏文件夾”病毒。它專門感染U盤，把U盤的文件夾隱藏，然后自己偽裝成文件夾的樣子，用戶在不知情的情況下點(diǎn)擊這些“文件夾”，就會(huì)在不知不覺中感染上此類病毒。此時(shí)電腦系統(tǒng)進(jìn)程中出現(xiàn)global.exe等進(jìn)程，且進(jìn)程無法終止，即使強(qiáng)制終止，這些進(jìn)程還會(huì)再次出現(xiàn)。同時(shí)，電腦上很多有用的文件消失，移動(dòng)存儲(chǔ)設(shè)備上的文件夾也看不見了。學(xué)生無法在網(wǎng)上下載課件和提交作業(yè)，老師無法控制學(xué)生端電腦，網(wǎng)絡(luò)廣播教學(xué)被迫中斷。

（二）人為的內(nèi)部攻擊和ARP欺騙攻擊對(duì)實(shí)驗(yàn)室網(wǎng)絡(luò)危害巨大

在桂林電子科技大學(xué)北海校區(qū)各公共實(shí)驗(yàn)室中發(fā)生的典型網(wǎng)絡(luò)安全事件中，排在第二位就是來自內(nèi)外部的各類攻擊。某些學(xué)生在掌握一些網(wǎng)絡(luò)監(jiān)聽、漏洞探測、端口掃描軟件等黑客軟件后，會(huì)在校區(qū)的公共計(jì)算機(jī)實(shí)驗(yàn)室中運(yùn)行，發(fā)起一些有目的的攻擊，對(duì)實(shí)驗(yàn)室網(wǎng)絡(luò)構(gòu)成嚴(yán)重威脅。另外一個(gè)最典型，也是危害最大的攻擊就是ARP欺騙攻擊。公共實(shí)驗(yàn)室網(wǎng)絡(luò)中只要有一臺(tái)電腦感染了ARP欺騙木馬病毒，將會(huì)使局域網(wǎng)內(nèi)所有主機(jī)的ARP地址表的網(wǎng)關(guān)MAC地址更改為該電腦的MAC地址。網(wǎng)絡(luò)內(nèi)的其他電腦和路由器很難檢測到，出現(xiàn)上網(wǎng)用戶都通過該感染ARP病毒的電腦切換，當(dāng)病毒程序運(yùn)行時(shí)，出現(xiàn)大量的垃圾數(shù)據(jù)包，導(dǎo)致網(wǎng)絡(luò)阻塞和網(wǎng)絡(luò)中斷，導(dǎo)致公共機(jī)房內(nèi)安裝的網(wǎng)絡(luò)多媒體電子教室管理軟件上教師端和學(xué)生端無法連接，教學(xué)廣播無法正常進(jìn)行。ARP木馬病毒嚴(yán)重的還會(huì)導(dǎo)致整個(gè)實(shí)驗(yàn)室網(wǎng)絡(luò)癱瘓，甚至盜取電腦用戶的網(wǎng)銀、游戲、郵箱、QQ的賬戶及其密碼。

（三）垃圾電子郵件給實(shí)驗(yàn)室網(wǎng)絡(luò)安全帶來潛在的威脅

垃圾電子郵件給計(jì)算機(jī)公共實(shí)驗(yàn)室網(wǎng)絡(luò)造成的影響排在第三位。在計(jì)算機(jī)公共實(shí)驗(yàn)室中，有些學(xué)生的信箱空間被大量的垃圾郵件侵占，這些垃圾郵件占用了大量網(wǎng)絡(luò)資源，嚴(yán)重干擾郵件服務(wù)器進(jìn)行正常的郵件遞送工作。更為嚴(yán)重的是，很多垃圾郵件通常在附件中附加病毒和木馬程序。一旦用戶打開這些附件，就會(huì)感染病毒并可能造成系統(tǒng)及網(wǎng)絡(luò)的癱瘓甚至崩潰。

二、計(jì)算機(jī)公共實(shí)驗(yàn)室安全管理策略

針對(duì)上面的情況，除了采取傳統(tǒng)的部署防火墻、安裝網(wǎng)絡(luò)防病毒軟件、修補(bǔ)系統(tǒng)漏洞等措施外，桂林電子科技大學(xué)北海校區(qū)計(jì)算機(jī)公共實(shí)驗(yàn)室根據(jù)實(shí)際情況合理制定針對(duì)自身環(huán)境與條件的安全管理策略。

（一）物理安全策略

在內(nèi)外網(wǎng)安全方面，我們采用最新的網(wǎng)絡(luò)隔離技術(shù)，也稱為安全通道隔離，它是通過專用通信硬件和專有安全協(xié)議等安全機(jī)制來實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換。該技術(shù)高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用。在實(shí)際應(yīng)用中，北海校區(qū)各公共實(shí)驗(yàn)室均采用星形拓?fù)浣Y(jié)構(gòu)和千兆交換式快速以太網(wǎng)技術(shù)。內(nèi)部網(wǎng)與外部網(wǎng)之間不存在物理上的連接，使來自Internet的入侵者無法通過計(jì)算機(jī)從外部網(wǎng)進(jìn)入內(nèi)部網(wǎng)，從而最有效地保障了內(nèi)部網(wǎng)重要數(shù)據(jù)的安全，內(nèi)部局域網(wǎng)和外部因特網(wǎng)實(shí)現(xiàn)物理隔離。

對(duì)于校區(qū)內(nèi)各公共實(shí)驗(yàn)室內(nèi)網(wǎng)之間的安全防范，我們主要根據(jù)校區(qū)公共實(shí)驗(yàn)室的規(guī)模，在路由端單獨(dú)劃出一個(gè)B類私有IP地址段給各實(shí)驗(yàn)室，并合理設(shè)置子網(wǎng)掩碼，劃分子網(wǎng)。通過子網(wǎng)掩碼對(duì)網(wǎng)段的控制能力，給每個(gè)公共實(shí)驗(yàn)室劃分了單獨(dú)的VLAN。這樣各實(shí)驗(yàn)室之間不會(huì)互相影響，杜絕各實(shí)驗(yàn)室之間網(wǎng)絡(luò)病毒的相互傳播。

（二）用戶安全策略

根據(jù)各學(xué)院的上機(jī)實(shí)際情況，我們對(duì)所有用戶進(jìn)行權(quán)限劃分，只有通過身份驗(yàn)證才能進(jìn)行權(quán)限內(nèi)操作，避免出現(xiàn)越權(quán)操作。同時(shí)對(duì)學(xué)生上網(wǎng)行為進(jìn)行控制，一般情況下，教師的授課課件、有關(guān)學(xué)習(xí)資料存放在教師端主機(jī)上，學(xué)生在公共機(jī)房上課只需要訪問教師端主機(jī)服務(wù)器即可，通常不需要訪問外網(wǎng)。若教學(xué)需要連入Internet，我們一般讓任課教師通過網(wǎng)絡(luò)電子教室軟件的黑名單和白名單功能來控制學(xué)生的上網(wǎng)行為。

（三）其他安全策略

1.關(guān)閉U盤（包括其他移動(dòng)存儲(chǔ)介質(zhì)）自動(dòng)播放功能。計(jì)算機(jī)公共機(jī)房電腦關(guān)閉U盤自動(dòng)播放的方法：以WIN7為例，打開“運(yùn)行”窗口，鍵入“gpedit.msc”，打開“本地組策略編輯器”窗口；依次展開“計(jì)算機(jī)配置→管理模板→Windows組建”，再雙擊右側(cè)欄最下面的“自動(dòng)關(guān)閉策略”后就可以看到“關(guān)閉自動(dòng)播放”選項(xiàng)了，雙擊后打開出現(xiàn)一個(gè)新的窗口，選中“已關(guān)閉”即可?？梢蚤_啟學(xué)生端電腦防病毒軟件的自動(dòng)掃描U盤功能，進(jìn)行實(shí)時(shí)防護(hù)。

2.ARP欺騙攻擊防御。對(duì)于ARP欺騙攻擊，目前桂林電子科技大學(xué)北海校區(qū)的計(jì)算機(jī)公共機(jī)房主要采用以下幾種防御方法：第一種是捆綁MAC和IP地址，杜絕IP 地址盜用現(xiàn)象。即在計(jì)算機(jī)上靜態(tài)綁定ARP網(wǎng)關(guān)，用一句命令將IP與網(wǎng)卡MAC地址綁定即可。格式為：arp -s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址。第二種是交換機(jī)端口設(shè)置，利用端口保護(hù)技術(shù)（類似于端口隔離），使同一個(gè)交換機(jī)的兩個(gè)端口之間不能進(jìn)行直接通信，需要通過轉(zhuǎn)發(fā)才能相互通信。第三種方法是在實(shí)驗(yàn)室中部署ARP服務(wù)器。此外，在機(jī)房學(xué)生端機(jī)器上安裝ARP防火墻，并開啟一些防病毒軟件的ARP防御功能。

3.IP安全策略?？稍趯W(xué)生機(jī)上設(shè)置安全策略，禁用IP或者關(guān)閉某些不必要的或者具有相當(dāng)危險(xiǎn)性的端口，從而控制了學(xué)生的某些非法訪問及某些病毒的攻擊和蔓延。以WIN7為例說明如何禁用IP或者端口訪問的方式。第一步，在運(yùn)行中輸入“gpedit.msc“命令，進(jìn)入“本地組策略編輯器”；依次展開“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→IP 安全策略，在本地計(jì)算機(jī)”；第二步，以“禁止訪問桂電北海校區(qū)站點(diǎn)服務(wù)器219.159.198.136的80端口”（默認(rèn)是能訪問頁面的）為例，進(jìn)行IP策略配置。首先，右鍵創(chuàng)建策略向?qū)А顚慖P安全策略名稱“stop_guetbh_ip”；然后在“stop_guetbh_ip”屬性中，點(diǎn)擊“添加”按鈕，進(jìn)入創(chuàng)建IP安全規(guī)則向?qū)Аx擇網(wǎng)絡(luò)類型“所有網(wǎng)絡(luò)連接”→“IP篩選器列表中”，單擊“添加”。添加篩選器名稱“stop_guetbh_ip”，確定，完成添加新的篩選器。第三步，進(jìn)入“IP篩選器向?qū)А?，指定IP流量的源地址“本地所有IP”，指定IP流量的目標(biāo)地址“IP地址或子網(wǎng)：219.159.198.136”，然后選擇IP協(xié)議類型：TCP，設(shè)置IP協(xié)議端口“從任意端口”“到此端口：80”；確定后，完成篩選器建立。第四步，選中你所創(chuàng)建的規(guī)則。點(diǎn)下一步，添加篩選器操作“stop_guetbh_ip”；確認(rèn)，完成IP 安全策略。此時(shí)訪問 桂電北海校區(qū)服務(wù)器IP ：219.159.198.136出現(xiàn)無法顯示此頁面。至此，IP安全策略設(shè)置成功。通過IP安全策略的設(shè)置，可以有效地保護(hù)公共計(jì)算機(jī)機(jī)房的網(wǎng)絡(luò)系統(tǒng)安全。

計(jì)算機(jī)公共實(shí)驗(yàn)室的網(wǎng)絡(luò)安全問題是無法避免的，只要有計(jì)算機(jī)網(wǎng)絡(luò)存在就一定有安全風(fēng)險(xiǎn)。隨著網(wǎng)絡(luò)的快速發(fā)展，木馬和病毒種類也將不斷增多，針對(duì)不斷遇到的安全新問題，要及時(shí)更新網(wǎng)絡(luò)安全策略，定期進(jìn)行硬件維護(hù)、軟件維護(hù)、網(wǎng)絡(luò)維護(hù)和日常維護(hù)，方能保證計(jì)算機(jī)公共實(shí)驗(yàn)室系統(tǒng)的正常、穩(wěn)定運(yùn)行。

【參考文獻(xiàn)】

[1]張新剛，等.高校計(jì)算機(jī)公共實(shí)驗(yàn)室的典型安全威脅及防御[J].實(shí)驗(yàn)室研究與探索，2011（7）

[2]王麗霞.高校計(jì)算機(jī)實(shí)驗(yàn)室網(wǎng)絡(luò)安全管理簡析[J].新鄉(xiāng)學(xué)院學(xué)報(bào)（自然科學(xué)版），2012（10）

[3]王偉林.校園公共機(jī)房網(wǎng)絡(luò)安全研究[J].計(jì)算機(jī)安全，2010（9）

【作者簡介】劉利民（1968- ），男，廣西北海人，研究生學(xué)歷，高級(jí)網(wǎng)絡(luò)工程師，桂林電子科技大學(xué)職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系主任，研究方向：計(jì)算機(jī)基礎(chǔ)教育，網(wǎng)絡(luò)系統(tǒng)安全。

（責(zé)編 盧 雯）