高校網(wǎng)絡(luò)中心機(jī)房安全防護(hù)策略研究

【摘 要】信息化是實(shí)現(xiàn)高校跨越式發(fā)展和高等教育大眾化的重要手段，而目前我國(guó)高校的信息化普遍存在著一些問題。其中，高校網(wǎng)絡(luò)中心機(jī)房的安全問題尤為突出。本文在對(duì)我國(guó)高校網(wǎng)絡(luò)中心機(jī)房現(xiàn)狀及問題進(jìn)行深入分析的基礎(chǔ)上，提出一些防護(hù)措施與策略。

【關(guān)鍵詞】網(wǎng)絡(luò)中心；機(jī)房；安全防護(hù)；策略

一、引言

信息化是未來世界經(jīng)濟(jì)和社會(huì)發(fā)展的重要趨勢(shì)，信息化水平已成為衡量高校現(xiàn)代化程度和綜合實(shí)力的主要標(biāo)志之一。信息化是實(shí)現(xiàn)高?？缭绞桨l(fā)展和高等教育大眾化的重要手段，也是建設(shè)學(xué)習(xí)型社會(huì)，構(gòu)建完善的終身教育體系的重要途徑。校園網(wǎng)是高校信息化的重要組成部分，它已成為高校最重要的基礎(chǔ)設(shè)施之一。網(wǎng)絡(luò)中心機(jī)房是校園網(wǎng)的核心和樞紐，它的運(yùn)行情況與整個(gè)學(xué)校的教學(xué)、科研和管理工作的順利進(jìn)行息息相關(guān)，因而網(wǎng)絡(luò)中心機(jī)房的安全防護(hù)管理工作的重要性就尤為突出。

二、高校網(wǎng)絡(luò)中心機(jī)房安全問題概況

（1）機(jī)器設(shè)備陳舊落后。隨著科技的不斷發(fā)展，計(jì)算機(jī)軟件得到了持續(xù)升級(jí)更新，其功能越加完善，使得其對(duì)硬件配置的要求也隨之提高。但受限于設(shè)備經(jīng)費(fèi)的投入不足，尚不能做到對(duì)硬件設(shè)備的及時(shí)提升，造成部分軟件運(yùn)行不暢甚至無法使用的局面。（2）計(jì)算機(jī)網(wǎng)絡(luò)面臨各種各樣的惡意攻擊。計(jì)算機(jī)病毒不僅會(huì)直接對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)產(chǎn)生威脅，而且會(huì)間接給上機(jī)操作人員的勞動(dòng)成果造成無法挽回的損失。目前面臨的惡意網(wǎng)絡(luò)攻擊行為主要分為以下幾種：一是崩潰型攻擊。崩潰型攻擊可分為“死亡之ping”和“UDP洪水”這兩種主要形式。其中“死亡之ping”主要發(fā)生在網(wǎng)絡(luò)發(fā)展的早期階段，路由器對(duì)包的最大尺寸都有一定的限制，多數(shù)操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都統(tǒng)一規(guī)定為64KB大小，且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，還需要依據(jù)該標(biāo)題頭里所包含的信息來為有效荷載生成緩沖區(qū)；“UDP洪水”是指利用各種各樣的假冒攻擊來進(jìn)行簡(jiǎn)單的TCP/IP服務(wù)，如使用Chargen和Echo來傳送一些毫無用處且占滿帶寬的數(shù)據(jù)。二是利用型攻擊。利用型攻擊的代表是“特洛伊木馬”和“緩沖區(qū)溢出”。這里的“特洛伊木馬”指的是一種后門程序，它實(shí)際上是一個(gè)由黑客通過一個(gè)不令人起疑的用戶秘密安裝到目標(biāo)服務(wù)器系統(tǒng)的程序；而“緩沖區(qū)溢出”是指現(xiàn)在的很多服務(wù)程序中普遍存在著一些strcpy()或strcat()等類似的不進(jìn)行有效位檢查的函數(shù)，而導(dǎo)致惡意用戶使用其編寫的一小段利用程序來進(jìn)一步打開安全豁口，然后將該代碼后綴在緩沖區(qū)的有效荷載末尾，在這種情況下當(dāng)發(fā)生緩沖區(qū)溢出時(shí)，返回指針就會(huì)指向惡意代碼，從而使系統(tǒng)的控制權(quán)被奪取。三是信息收集型攻擊。信息收集型攻擊常見的有“地址（端口）掃描技術(shù)”和“體系結(jié)構(gòu)探測(cè)”兩種?！暗刂罚ǘ丝冢呙杓夹g(shù)”主要先通過ping這類程序來探測(cè)目標(biāo)服務(wù)器地址，一旦對(duì)此作出響應(yīng)，即說明該服務(wù)器確實(shí)存在；“體系結(jié)構(gòu)探測(cè)”是指黑客運(yùn)用具有已知響應(yīng)類型的數(shù)據(jù)庫(kù)自動(dòng)工具，對(duì)來自目標(biāo)服務(wù)器的或壞數(shù)據(jù)包傳送所作出的響應(yīng)進(jìn)行檢查。四是假消息攻擊。通常說的假消息攻擊是指“DNS高速緩存污染”和“偽造電子郵件”?！癉NS高速緩存污染”是指黑客利用DNS服務(wù)器與其它名稱服務(wù)器交換信息時(shí)并不會(huì)對(duì)身份進(jìn)行驗(yàn)證的特點(diǎn)，將錯(cuò)誤的信息摻雜進(jìn)信息中去并把用戶引向黑客自己的主機(jī)；“偽造電子郵件”是指黑客針對(duì)SMTP不對(duì)郵件發(fā)送者身份進(jìn)行鑒定的缺陷，向你的內(nèi)部客戶發(fā)送偽造的電子郵件，并聲稱其是來自某個(gè)客戶認(rèn)識(shí)且信任的人，該偽造的電子郵件附帶上可安裝的特洛伊木馬程序或是引向惡意網(wǎng)站的連接，一旦用戶點(diǎn)擊它，后門程序就會(huì)被安裝。（3）維護(hù)網(wǎng)絡(luò)中心計(jì)算機(jī)的方法不當(dāng)。計(jì)算機(jī)設(shè)備的精心保養(yǎng)和清潔是機(jī)房工作人員的重要工作之一。計(jì)算機(jī)的元器件對(duì)灰塵非常敏感，主機(jī)插槽和板卡之間的灰塵堆積較多的情況下，開機(jī)啟動(dòng)時(shí)很容易燒壞板卡。機(jī)房人員存在的工作緊張、任務(wù)繁重等情況，使計(jì)算機(jī)設(shè)備很少得不到正確及時(shí)的保養(yǎng)，從而降低了計(jì)算機(jī)的使用效果與壽命。

三、高校網(wǎng)絡(luò)中心機(jī)房安全防護(hù)策略

高校網(wǎng)絡(luò)中心是高校在信息化建設(shè)的大背景下設(shè)立的一個(gè)負(fù)責(zé)校園網(wǎng)絡(luò)規(guī)劃與管理的行政組織機(jī)構(gòu)。高校網(wǎng)絡(luò)中心的建立對(duì)加強(qiáng)高校網(wǎng)絡(luò)化的建設(shè)與管理、提高高校信息化工作水平等具有重要的現(xiàn)實(shí)意義和作用。（1）外圍環(huán)境的維護(hù)。良好的外部環(huán)境會(huì)在一定程度上延長(zhǎng)機(jī)房機(jī)器設(shè)備的使用壽命。因此，機(jī)房首先要保持清潔衛(wèi)生，盡量避免灰塵對(duì)機(jī)器的侵害；還要使機(jī)房的溫度和濕度保持在適當(dāng)水平，以免摩擦起電傷及設(shè)備的電子元件造成機(jī)器硬件損壞的發(fā)生。此外，要重點(diǎn)加強(qiáng)機(jī)房的防火防盜等措施。（2）網(wǎng)絡(luò)中心機(jī)房計(jì)算機(jī)硬件的維護(hù)。機(jī)房工作人員平時(shí)應(yīng)定期對(duì)硬件進(jìn)行檢查并排除硬件故障，及時(shí)更換有故障的硬件，例如鼠標(biāo)、鍵盤、光驅(qū)等，確保機(jī)器設(shè)備的正常運(yùn)行。此外，機(jī)房人員還應(yīng)做到一個(gè)月對(duì)計(jì)算機(jī)的外殼、鍵盤和鼠標(biāo)器等外部設(shè)備及計(jì)算機(jī)桌面等進(jìn)行一次清潔，一個(gè)學(xué)期對(duì)機(jī)箱內(nèi)部的灰塵進(jìn)行一次清除。（3）網(wǎng)絡(luò)中心機(jī)房軟件系統(tǒng)的維護(hù)。網(wǎng)絡(luò)中心計(jì)算機(jī)軟件系統(tǒng)的維護(hù)工作，可以從以下四個(gè)方面重點(diǎn)入手：第一，應(yīng)將所有的磁盤分區(qū)轉(zhuǎn)換成NTFS格式。因?yàn)楫?dāng)黑客開始對(duì)你的網(wǎng)絡(luò)發(fā)起攻擊時(shí)，他們的首要工作是檢查網(wǎng)絡(luò)是否存在一般的安全漏洞問題，然后根據(jù)所發(fā)現(xiàn)的問題考慮難度更大的突破安全系統(tǒng)的手段。因此，如果你的服務(wù)器上的資料是保存在FAT格式的磁盤分區(qū)時(shí)，是具有相當(dāng)大的危險(xiǎn)性的，即使安裝了世界上最安全的安全軟件也仍然會(huì)存在漏洞。第二，及時(shí)下載安裝最新的操作系統(tǒng)安全補(bǔ)丁程序。操作系統(tǒng)廠商，一般都會(huì)有一個(gè)專門的程序員團(tuán)隊(duì)來不間斷地檢查他們系統(tǒng)軟件的安全漏洞并及時(shí)制作和發(fā)布相應(yīng)程序來進(jìn)行修補(bǔ)。當(dāng)出現(xiàn)大的安全漏洞時(shí)應(yīng)及時(shí)進(jìn)行修補(bǔ)，并經(jīng)常查看這些補(bǔ)救程序是否已經(jīng)被安裝，同時(shí)一定要按邏輯順序使用。第三，定期檢查服務(wù)器的防火墻。防火墻是保障網(wǎng)絡(luò)機(jī)房服務(wù)器安全的一個(gè)重要且基本的措施，它可以將服務(wù)器與互聯(lián)網(wǎng)上那些有可能對(duì)它造成損壞的黑客或病毒等隔離開來。防火墻的檢查工作主要是檢查其不會(huì)向外界開放不必要開放的任何IP地址。此外，其它工作站與服務(wù)器的IP地址也必須被隱藏。第四，安裝入侵偵測(cè)及報(bào)警系統(tǒng)。非法入侵偵測(cè)防御系統(tǒng)的安裝，可以有效彌補(bǔ)目前防火墻尚達(dá)不到的功能，綜合使用兩者可以達(dá)到監(jiān)控網(wǎng)絡(luò)、立即執(zhí)行攔截動(dòng)作以及分析過濾封包和內(nèi)容的動(dòng)作。一旦有竊取者入侵行為發(fā)生時(shí)便可立刻采取措施制止其行為，入侵偵測(cè)及報(bào)警系統(tǒng)可以成為服務(wù)器除防御保護(hù)外的另一道防線。（4）加強(qiáng)網(wǎng)絡(luò)中心安全建設(shè)。在網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就應(yīng)將網(wǎng)絡(luò)安全問題放在首位。校園計(jì)算機(jī)網(wǎng)絡(luò)目前存在訪問方式多樣、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點(diǎn)，整個(gè)校園網(wǎng)級(jí)、子網(wǎng)級(jí)、網(wǎng)絡(luò)結(jié)點(diǎn)級(jí)乃至用戶級(jí)和服務(wù)賬號(hào)級(jí)的有效管理，可以有效保證校園網(wǎng)絡(luò)安全。校園網(wǎng)對(duì)外通信一律經(jīng)過防火墻(包括代理)系統(tǒng)，對(duì)所有跨越校園網(wǎng)邊界的郵件轉(zhuǎn)發(fā)進(jìn)行集中控制，樹立起隔絕外部攻擊的屏障，也可審計(jì)內(nèi)部用戶對(duì)外的網(wǎng)絡(luò)訪問。在網(wǎng)絡(luò)設(shè)計(jì)中，精心規(guī)劃子網(wǎng)(包括VLAN)，進(jìn)行設(shè)備選型，可保證在路由和交換設(shè)備上對(duì)子網(wǎng)、網(wǎng)絡(luò)結(jié)點(diǎn)的隔離以及控制能力。引入IDS入侵檢測(cè)系統(tǒng)，建立與維護(hù)完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫(kù)，嚴(yán)格對(duì)系統(tǒng)日志進(jìn)行管理，則可對(duì)網(wǎng)絡(luò)用戶和服務(wù)賬號(hào)進(jìn)行精確的控制。

四、總結(jié)

網(wǎng)絡(luò)中心機(jī)房是高校順利進(jìn)行教學(xué)和其它各種活動(dòng)的核心與樞紐，也是校園網(wǎng)絡(luò)的重要組成部分，它的安全問題關(guān)系到校園網(wǎng)絡(luò)的整體安全。所以，在校園網(wǎng)絡(luò)的規(guī)劃與運(yùn)行階段，應(yīng)始終將其作為工作的重點(diǎn)。在具體的實(shí)施過程中，應(yīng)根據(jù)實(shí)際情況，采取有效措施或手段來確保校園網(wǎng)絡(luò)的正常運(yùn)行有效運(yùn)行，從而保障高校各種活動(dòng)的有效開展。

參 考 文 獻(xiàn)

[1]王達(dá)光，甘井中，莫禮健，李?。咝＞W(wǎng)絡(luò)中心機(jī)房建設(shè)研究[J]．中國(guó)現(xiàn)代教育裝備．2009（1）

[2]張健．網(wǎng)絡(luò)建設(shè)的重要環(huán)節(jié)——中心機(jī)房的建設(shè)[J]．遼寧師專學(xué)報(bào)（自然科學(xué)版）．2006（2）

[3]戴建華．網(wǎng)絡(luò)中心機(jī)房建設(shè)的若干關(guān)鍵問題研究[J]．中小企業(yè)管理與科技（上旬刊）.2011（6）

[4]陳德敏．高校網(wǎng)絡(luò)中心的建設(shè)與管理[J]．重慶科技學(xué)院學(xué)報(bào)（社會(huì)科學(xué)版）．2007（6）

[5]劉舒野．新機(jī)房建設(shè)中網(wǎng)絡(luò)安全管理規(guī)范性探討[J]．吉林金融研究．2009（9）