王興國

摘要：互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，高校校園網(wǎng)的建設(shè)中核心機(jī)房是校園網(wǎng)的心臟，核心機(jī)房的網(wǎng)絡(luò)安全性關(guān)系到整個(gè)校園網(wǎng)絡(luò)運(yùn)行的安全，高校核心機(jī)房為學(xué)校教學(xué)、科研、日常工作提供基本保障。本文闡述了高校核心機(jī)房安全性建設(shè)方案，提出了高校核心機(jī)房針對(duì)網(wǎng)絡(luò)安全的解決方案和措施。

關(guān)鍵詞：高校機(jī)房 網(wǎng)絡(luò)病毒 防護(hù)措施

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）12-0192-02

1 前言

計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)應(yīng)用環(huán)境下的安全問題也隨之出現(xiàn)，為了保障網(wǎng)絡(luò)信息的安全，強(qiáng)化網(wǎng)絡(luò)安全建設(shè)，高校核心機(jī)房必須采取合理安全的措施保障網(wǎng)絡(luò)安全。高校核心機(jī)房一般由一臺(tái)三層核心交換機(jī)控制匯總，多臺(tái)負(fù)載均衡的服務(wù)器供無盤工作站的正常工作，供正常教學(xué)中使用的CS和BS模式服務(wù)軟件，提供校園網(wǎng)內(nèi)的BBS、網(wǎng)絡(luò)U盤、fttp服務(wù)、保護(hù)卡服務(wù)、硬盤陣列服務(wù)等。

2 核心機(jī)房網(wǎng)絡(luò)病毒防范

高校學(xué)院針對(duì)網(wǎng)絡(luò)上的病毒傳播方式，核心機(jī)房采用安全可靠的window2003作為網(wǎng)絡(luò)機(jī)房的服務(wù)器系統(tǒng)，為網(wǎng)絡(luò)服務(wù)器提供安全的保護(hù)措施，為用戶分配安全的訪問權(quán)限來對(duì)數(shù)據(jù)庫信息和文件進(jìn)行操作，對(duì)整個(gè)學(xué)院的網(wǎng)絡(luò)進(jìn)行安全管理。

病毒對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)終端的危害是巨大的，高校也曾經(jīng)為熊貓燒香和ARP病毒所困擾。為了更好的維護(hù)校園網(wǎng)絡(luò)，更好的讓老師，行政人員和學(xué)生安全、正常的使用網(wǎng)絡(luò)，最重要的就是把對(duì)網(wǎng)絡(luò)病毒的危害進(jìn)行防治。行政辦公人群和教學(xué)人群是我院應(yīng)用網(wǎng)絡(luò)的兩大人群，行政人員辦公電腦直連樓層交換機(jī)，因?yàn)橛芯W(wǎng)絡(luò)防火墻的保護(hù)，出現(xiàn)病毒侵害也只限于終端操作感染病毒，只需在終端安裝相應(yīng)防火墻及殺毒軟件防范病毒即可。教學(xué)人群的情況則較為復(fù)雜，首先需要防范終端的病毒，其次還需要提防各個(gè)局域網(wǎng)中的病毒快速傳染，這便為維護(hù)校園網(wǎng)絡(luò)的安全順暢提出了更高的要求。

防護(hù)計(jì)算機(jī)病毒可利用網(wǎng)絡(luò)的優(yōu)勢進(jìn)行網(wǎng)絡(luò)防病毒。當(dāng)然在網(wǎng)絡(luò)環(huán)境下還應(yīng)以防毒為主、查殺毒為輔。在高校內(nèi)網(wǎng)可以采用主機(jī)安裝殺毒軟件的方法來防范計(jì)算機(jī)病毒，使主機(jī)系統(tǒng)和軟件安全運(yùn)行。在廣域網(wǎng)絡(luò)中，預(yù)防病毒最大的利器就是實(shí)時(shí)更新的網(wǎng)絡(luò)病毒庫，解決方面有兩種：對(duì)系統(tǒng)中的啟動(dòng)盤和用戶的數(shù)據(jù)盤要進(jìn)行嚴(yán)格的檢測，建立完整的管理制度進(jìn)行嚴(yán)格的管理因此，加強(qiáng)網(wǎng)絡(luò)的安全管理可以充分利用上述提供的網(wǎng)絡(luò)安全保護(hù)措施。

對(duì)于教學(xué)人群密集的教學(xué)樓內(nèi)的計(jì)算機(jī)設(shè)備，通過兩種截然不同的方式防范了病毒的傳播和入侵，首先，對(duì)購置年限較長的計(jì)算機(jī)實(shí)行無硬盤化管理，也就是無盤工作站模式，由千兆線連接交換機(jī)及服務(wù)器，由服務(wù)器實(shí)現(xiàn)對(duì)軟件的安裝、維護(hù)和升級(jí)，只要局域網(wǎng)絡(luò)暢通，服務(wù)器沒有斷電，所有無盤工作站都會(huì)正常有序運(yùn)行。當(dāng)然防毒也便只限于服務(wù)器了。其次，對(duì)購置年限較短的計(jì)算機(jī)實(shí)行還原保護(hù)管理，也就是安裝保護(hù)卡，高校針對(duì)保護(hù)卡開展專項(xiàng)工作，給所有入網(wǎng)的教學(xué)設(shè)備安裝了保護(hù)卡，由千兆線連接交換機(jī)，對(duì)所有硬盤區(qū)域進(jìn)行細(xì)致分析，多系統(tǒng)劃分、多功能劃分、開機(jī)還原、具體化安排課表、完全控制學(xué)生機(jī)合理操作。從根本上保證系統(tǒng)的純凈，杜絕病毒和木馬，給老師和學(xué)生創(chuàng)造了一個(gè)良好的學(xué)習(xí)環(huán)境。

3 核心機(jī)房安全技術(shù)應(yīng)用

計(jì)算機(jī)通信就像人面走親訪友一般，從一個(gè)門進(jìn)入另一個(gè)門，而網(wǎng)絡(luò)病毒也會(huì)想方設(shè)法的跟著偷偷溜進(jìn)來。網(wǎng)絡(luò)安全體系的建立不僅僅需要病毒防范技術(shù)，還需要遵守管理制度、出臺(tái)法律約束、并加強(qiáng)個(gè)人的安全防范意識(shí)和防毒技能，也可以用下面的式子表述：

用戶對(duì)病毒地防范技術(shù)的掌握是有效防范病毒入侵的必要手段。病毒防范的一些基礎(chǔ)技能是每個(gè)網(wǎng)內(nèi)用戶必須掌握的，如殺毒軟件的基本功能的使用，某些典型病毒的防范技巧等，也可以請(qǐng)專業(yè)的反病毒公司進(jìn)行指導(dǎo)。如果沒一個(gè)用戶都是一個(gè)防毒查毒殺毒能手的話，團(tuán)結(jié)起來便會(huì)成為有巨大力量的天網(wǎng)，那么病毒將無處藏身，無路可退，最終無法生存。

3.1 建立多級(jí)備份機(jī)制

對(duì)重要數(shù)據(jù)等信息要定期進(jìn)行備份，這也是網(wǎng)絡(luò)信息安全的一項(xiàng)重要工作。在網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)備份工作通常有網(wǎng)絡(luò)異地備份、服務(wù)器雙機(jī)熱備份、ghost鏡像技術(shù)、軟件系統(tǒng)自動(dòng)備份等。特別注意備份數(shù)據(jù)應(yīng)保存在安全可靠的一個(gè)或幾個(gè)硬盤里，并定期將必要的備份數(shù)據(jù)刻錄成光盤加以保存，如果是重要的數(shù)據(jù)最好多次拷貝且把其存放在不同物理區(qū)域，以保證數(shù)據(jù)損壞或丟失時(shí)能夠及時(shí)恢復(fù)。

3.2 采用漏洞掃描系統(tǒng)

網(wǎng)絡(luò)系統(tǒng)不是無懈可擊的，系統(tǒng)當(dāng)中存在的漏洞對(duì)我們網(wǎng)絡(luò)是一個(gè)威脅，一個(gè)完成安全的系統(tǒng)，必須采取有效的漏洞防范措施，保證系統(tǒng)的安全性，定期對(duì)系統(tǒng)進(jìn)行漏洞掃描和漏洞修復(fù)，可以有效的防止木馬病毒利用系統(tǒng)漏洞對(duì)系統(tǒng)進(jìn)行攻擊。漏洞掃描是系統(tǒng)自動(dòng)收集本身和網(wǎng)絡(luò)的代碼信息，然后對(duì)代碼信息進(jìn)行分析，看是否被惡意的刪除和修改，實(shí)時(shí)對(duì)系統(tǒng)網(wǎng)絡(luò)進(jìn)行監(jiān)測，發(fā)現(xiàn)漏洞立刻提示給用戶，并進(jìn)行修復(fù)。

3.3 雙機(jī)熱備技術(shù)

可以保持服務(wù)器安全可靠的運(yùn)行，及時(shí)服務(wù)器出現(xiàn)故障，那也有應(yīng)急備份來實(shí)現(xiàn)服務(wù)器正常運(yùn)行，利用雙機(jī)熱備技術(shù)是系統(tǒng)可以長時(shí)間穩(wěn)定運(yùn)行。有一些服務(wù)是需要不間斷提供的，因此，為了用戶的需求，這些服務(wù)的備份工作就絕對(duì)少不了。有些高校為了解決由于服務(wù)器故障所引發(fā)的數(shù)據(jù)丟失問題，會(huì)用磁盤陣列技術(shù)和數(shù)據(jù)備份技術(shù)。雙機(jī)熱備工作的整個(gè)過程完全在后臺(tái)自動(dòng)處理，不需要人為進(jìn)行操作，并且時(shí)間很短，基本對(duì)網(wǎng)絡(luò)沒有任何影響。因?yàn)椴还苁侵鳈C(jī)還是備用機(jī)都使用的是同一個(gè)存儲(chǔ)設(shè)備，所以數(shù)據(jù)是一樣的，只要對(duì)兩臺(tái)服務(wù)器或軟件進(jìn)行管理操作就可以了。

3.4 純軟件方式

純軟件方式就是兩臺(tái)服務(wù)器對(duì)同一數(shù)據(jù)進(jìn)行實(shí)時(shí)拷貝，兩臺(tái)服務(wù)器交替使用，當(dāng)其中一臺(tái)出現(xiàn)故障了，我們可以用另一臺(tái)。其優(yōu)點(diǎn)：雙機(jī)熱備可以避免單點(diǎn)故障，并且性價(jià)比高，投資少。兩臺(tái)服務(wù)器之間的連接不受電纜限制，更加靈活方便也提高了服務(wù)器的安全性。缺點(diǎn)：出現(xiàn)共享數(shù)據(jù)信息實(shí)時(shí)拷貝的不完成，造成數(shù)據(jù)信息丟失，不能很好的進(jìn)行備份；恢復(fù)比較繁瑣，恢復(fù)時(shí)段服務(wù)器無保。endprint

3.5 系統(tǒng)殺毒

高校在購買正版殺毒軟件及點(diǎn)數(shù)，殺毒軟件計(jì)算機(jī)硬件內(nèi)存配置要求高，并存在軟件的兼容問題，由于部分高校少量計(jì)算機(jī)硬件配置低端，殺毒軟件對(duì)硬件要求較高，少量電腦無法安裝。近年來勢頭很猛的360安全衛(wèi)士已經(jīng)成為最受歡迎的免費(fèi)國產(chǎn)安全軟件，它功能強(qiáng)大，具有修復(fù)系統(tǒng)漏洞，查殺木馬等功能。

3.6 系統(tǒng)備份問題

目前部分高校采用Ghost對(duì)系統(tǒng)進(jìn)行安全備份，這款克隆技術(shù)經(jīng)過實(shí)際應(yīng)用得到很好的效果，在工作人員維護(hù)計(jì)算機(jī)系統(tǒng)時(shí)能保證系統(tǒng)文件的安全性。高校機(jī)房內(nèi)計(jì)算機(jī)系統(tǒng)的備份全部由Ghost進(jìn)行備份，大部分辦公電腦也是如此。

3.7 解決密碼難題

采用window XP一鍵恢復(fù)版的系統(tǒng)軟件，在這款軟件中有window PE的虛擬環(huán)境，我們可以選擇進(jìn)入PE虛擬環(huán)境，來對(duì)系統(tǒng)密碼進(jìn)行還原。Passware Kit這款密碼恢復(fù)軟件也在對(duì)密碼找回和破解進(jìn)行應(yīng)用，它功能強(qiáng)大，可以把我們?nèi)粘Ｊ褂胦ffice設(shè)置的密碼安全找回。

4 高校核心機(jī)房網(wǎng)絡(luò)防火墻安全設(shè)計(jì)理念

充分利用防火墻。防火墻有硬件防火墻、軟件防火墻和軟硬一體的防火墻，它主要是在用戶通過計(jì)算機(jī)對(duì)外網(wǎng)進(jìn)行訪問的時(shí)候，防止黑客木馬、病毒的攻擊，對(duì)網(wǎng)絡(luò)進(jìn)行控制訪問；在網(wǎng)絡(luò)機(jī)房內(nèi)安裝天融信防火墻可以有效的對(duì)外網(wǎng)非法的地網(wǎng)站進(jìn)行訪問限制設(shè)置。從而把內(nèi)網(wǎng)和外網(wǎng)進(jìn)行有效的隔離，保證內(nèi)網(wǎng)的安全，防范外網(wǎng)木馬病毒的攻擊，天融信防火墻還具有審計(jì)訪問、記錄的功能，可以把訪問記錄下來便于查詢。

高校通過對(duì)網(wǎng)絡(luò)端口類型分析、端口狀態(tài)分析、關(guān)閉不必要的端口等網(wǎng)絡(luò)自身的防毒措施對(duì)病毒進(jìn)行抵御。在網(wǎng)絡(luò)本身所具備的防病毒體系和防火墻技術(shù)，虛擬局域網(wǎng)技術(shù)對(duì)網(wǎng)絡(luò)病毒的制約的基礎(chǔ)之上，高校校園網(wǎng)內(nèi)還提供卡巴斯基等強(qiáng)力殺毒軟件對(duì)病毒進(jìn)行查殺。

網(wǎng)絡(luò)應(yīng)用的發(fā)展，網(wǎng)絡(luò)的病毒和木馬程序也通過網(wǎng)絡(luò)途徑進(jìn)行傳播，從而對(duì)網(wǎng)絡(luò)系統(tǒng)的安全體系構(gòu)成很大的威脅，網(wǎng)絡(luò)病毒的特點(diǎn)，傳染方式多，清理難度大，破壞性強(qiáng)。我們本著防范外界入侵，保證內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全的設(shè)計(jì)理念，架設(shè)天融信防火墻硬件，從而有效的把內(nèi)網(wǎng)和外網(wǎng)進(jìn)行隔離，學(xué)院計(jì)算機(jī)對(duì)外網(wǎng)訪問時(shí)要經(jīng)過防火墻的過濾功能和安全審計(jì)，這樣有效的防范了外網(wǎng)對(duì)學(xué)院內(nèi)網(wǎng)網(wǎng)絡(luò)的攻擊。

硬件防火墻可以很好的防范木馬后門惡意程序的攻擊，對(duì)病毒、木馬有一定的監(jiān)測功能，至今為止木馬程序的攻擊手段主要有郵件炸彈、特洛伊木馬、網(wǎng)絡(luò)協(xié)議欺騙等等。類似于這種的攻擊可以來自于外部網(wǎng)絡(luò)，也有可能自于內(nèi)部的網(wǎng)絡(luò)。所以適用于學(xué)院的的硬件防火墻一定要具備防范內(nèi)網(wǎng)和外網(wǎng)攻擊的躬耕。硬件防火墻是由硬件和軟件兩部分組合而成的，其中的軟件部分可以提供升級(jí)的一些功能，這樣可以不斷的發(fā)現(xiàn)和修補(bǔ)新的漏洞。學(xué)院內(nèi)部的網(wǎng)絡(luò)有時(shí)訪問一些外部非法網(wǎng)站地址的，為了禁止用戶訪問非法的網(wǎng)站。

5 結(jié)語

高校核心機(jī)房網(wǎng)絡(luò)安全是一個(gè)有足夠深度的難題，既要考慮系統(tǒng)內(nèi)部和外部的安全問題，又要系統(tǒng)硬件與軟件搭配的必要投入，僅依靠單獨(dú)功能的系統(tǒng)安全措施是不行的，一種技術(shù)只是對(duì)應(yīng)特定的問題，而不是萬能的，因而需要從系統(tǒng)長遠(yuǎn)發(fā)展的角度考慮安全需求與措施。想要全方位地、實(shí)時(shí)地保護(hù)系統(tǒng)的安全和穩(wěn)定，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)，必須要有完善的安全體系、嚴(yán)格的操作規(guī)程以及高素質(zhì)的網(wǎng)絡(luò)管理人才。

參考文獻(xiàn)

[1]于鵬.網(wǎng)絡(luò)綜合布線技術(shù)[M].北京：清華大學(xué)出版社，2009.

[2]馬少華.建筑安全防范監(jiān)控系統(tǒng)及應(yīng)用[M].北京：化學(xué)工業(yè)出版社，2009.1.

[3]劉曉佳，周啟明.機(jī)房再建設(shè)與管理維護(hù)探討.綜合管理，2008年1-2月合刊.endprint