基于“網(wǎng)閘”的高校公共多媒體教室計算機管理方案及實踐

謝延紅 錢愛增

摘 ?；要： 針對高校公共多媒體教室計算機病毒泛濫的問題，提出了一種基于“網(wǎng)閘”的高校公共多媒體教室計算機管理方案。“網(wǎng)閘”實現(xiàn)了多媒體教室計算機和Internet病毒的隔離，系統(tǒng)補丁及殺毒軟件病毒庫的實時升級，授課教師自動注冊、授課資料快速上傳及對資料的病毒防控，多媒體計算機運行狀態(tài)的實時監(jiān)控等功能。此方案改變了公共多媒體教室的傳統(tǒng)運行模式，基本解決了多媒體教室計算機病毒感染、系統(tǒng)補丁、殺毒軟件病毒庫升級等問題。給出了此方案的具體實現(xiàn)及其實施過程中相關(guān)問題的解決辦法。

關(guān)鍵詞： 網(wǎng)閘； 多媒體教室； 病毒； 還原卡； 多媒體專網(wǎng)； 校園網(wǎng)

中圖分類號：TP399 ?； ?； ?； ?； ?；文獻標志碼：A ?； ?； 文章編號：1006-8228（2014）12-24-04

Plan and practice of university public multimedia classroom computer

management based on network gate

Xie Yanhong， Qian Aizeng

（School of information management， Dezhou University， Dezhou， Shandong 253023， China）

Abstract： Aiming at the problem about the widespread computer virus inthe university public multimedia classroom， a kind of university public multimedia classroom computer management solution based on "network gate" is introduced. It has realized the isolation between multimedia classroom computer and Internet virus， timely updates of system patches and virus library， automatic registration of teachers， quick uploading of data， virus prevention and real-time monitoring of running status of multimedia computer.The traditional operation mode of public multimedia classroom has changed， solving the problems of multimedia classroom computer virus infection， updates of patches and virus library.A scheme of the implementation and the solution to the related problems in the process are presented.

Key words： network gate； multimedia classroom； virus； recovery card； multimedia private network； campus network

0 引言

隨著教育信息化的深入，多媒體教室成為高校教學的重要場所，保障多媒體教室的高效、正常運行就成了一個剛性的任務(wù)。在公共多媒體教室所有設(shè)備故障中，計算機感染病毒問題成了大家最為頭疼的問題，于是重裝系統(tǒng)變成了常事，面對低效重復(fù)性的勞動，管理者是苦不堪言，面對病毒橫行的計算機，教師是怨聲載道。

針對該問題，很多研究者都給出了解決方案，姚君等提出了“分布式”多媒體故障處理新思路[1]；樊昌秀，胡軍分別就多媒體教室桌面虛擬化進行了探索[2，5]。李開明在多媒體教室計算機操作系統(tǒng)保護措施綜述等等[3-8]諸多文獻中從公共多媒體教室計算機管理與維護的不同側(cè)面給出了建議，提升了多媒體教室計算機的管理水平。

實際使用中，安裝還原卡的計算機存在以下兩個問題。

⑴ 由于每次重新啟動都要恢復(fù)操作系統(tǒng)，導(dǎo)致操作系統(tǒng)無法及時打補丁，殺毒軟件及病毒庫無法及時升級到最新版，當教師上課使用感染病毒的U盤、MP3等移動介質(zhì)時，系統(tǒng)便會很快感染病毒，使Word、PowerPoint等常用軟件無法正常啟動，導(dǎo)致系統(tǒng)無法正常使用。

⑵ 某些病毒，如2007年出現(xiàn)的“機器狗”病毒等，能夠穿透各種還原卡，使操作系統(tǒng)失去保護作用，加上操作系統(tǒng)及相關(guān)軟件存在的大量漏洞，計算機很快便會感染各種病毒，導(dǎo)致操作系統(tǒng)無法正常工作。

從中我們可以看出，導(dǎo)致公共多媒體教室計算機系統(tǒng)經(jīng)常出現(xiàn)問題的主要原因有兩個。

⑴ 操作系統(tǒng)及相關(guān)軟件存在的大量漏洞，給病毒造成可乘之機，這個原因是還原卡自身造成的。

⑵ 操作系統(tǒng)病毒主要來源于授課教師使用的U盤、MP3等移動介質(zhì)。

只要將以上兩個原因解決，即可基本保障公共多媒體教室計算機系統(tǒng)的正常運行。針對多媒體教室計算機病毒這一問題和以上分析，筆者在研究以往多媒體教室計算機管理方案的基礎(chǔ)上，提出了一種基于校園網(wǎng)的高校公共多媒體教室計算機管理方案（以下簡稱“方案”），方案通過改進多媒體教室計算機傳統(tǒng)運行方式，較好地解決了以上問題。

1 方案解決思路

從導(dǎo)致公共多媒體教室計算機系統(tǒng)感染病毒的原因入手，提出如下解決思路：

⑴ 拆除還原卡，讓計算機系統(tǒng)、計算機殺毒軟件通過網(wǎng)絡(luò)實現(xiàn)實時升級，保持一個健康的計算機系統(tǒng)環(huán)境；

⑵ 杜絕U盤等移動介質(zhì)的使用，堵住病毒的源頭。

圖1所示為方案實際工作示意圖。

首先，讓計算機系統(tǒng)、計算機殺毒軟件通過網(wǎng)絡(luò)保持實時升級，及時打上補丁，堵住系統(tǒng)漏洞。

所有多媒體教室計算機均不安裝任何還原卡，將多媒體教室計算機組成多媒體專網(wǎng)，由“網(wǎng)閘”（“網(wǎng)閘”允許多媒體專網(wǎng)中的計算機訪問校園網(wǎng)、Internet，但不允許校園網(wǎng)、Internet上的計算機訪問多媒體專網(wǎng)內(nèi)的計算機）通過校園網(wǎng)接入Internet，保持計算機系統(tǒng)補丁和殺毒軟件病毒庫實時升級，進而達到保持計算機系統(tǒng)健康和環(huán)境健康的目的。

其次，通過以下幾項措施，杜絕U盤、MP3等移動介質(zhì)的使用，確保教師使用的課件沒有病毒，堵住病毒源頭。

⑴ 禁用計算機USB接口，使病毒不能通過用戶移動設(shè)備傳播，杜絕病毒來源。計算機設(shè)置普通賬號登錄，杜絕用戶隨意安裝和刪除軟件，保證計算機各軟件正常使用。

⑵ 教師上課用的課件通過多媒體教室計算機登錄到“網(wǎng)閘”（校園網(wǎng)其他服務(wù)器或Internet的郵箱或云盤）下載得到，由于“網(wǎng)閘”能對教師上傳的課件定時殺毒（Internet上的郵箱或云盤等服務(wù)也具有殺毒功能）進而保證了所用課件沒有感染病毒。另外，上課時教師也會偶爾訪問Internet的其他資源，由于計算機系統(tǒng)健康的環(huán)境和最新的殺毒軟件環(huán)境，即使訪問的網(wǎng)上資源有病毒也可隨時清除，從而保持計算機系統(tǒng)的健康。

圖1 ?；方案運行示意圖

2 方案實現(xiàn)

2.1 多媒體專網(wǎng)

多數(shù)高校均已建成功能完善的校園網(wǎng)，如基礎(chǔ)線路允許，可建立物理專網(wǎng)，即每個教學樓多媒體教室通過一臺智能可網(wǎng)管交換機組成一個局域網(wǎng)，通過2芯光纖直連到網(wǎng)絡(luò)中心，組成一個真正的物理專網(wǎng)（也可通過建立虛擬局域網(wǎng)的方法實現(xiàn)），然后再通過“網(wǎng)閘”接入校園網(wǎng)。

2.2 多媒體教室計算機

⑴ 安裝360安全衛(wèi)士，實現(xiàn)操作系統(tǒng)、OFFICE軟件、瀏覽器等軟件的實時升級，使系統(tǒng)不存在漏洞，以防感染病毒。

⑵ 安裝360殺毒軟件，實時升級，保持病毒庫的最新狀態(tài)，實現(xiàn)對病毒的即時查殺（也可通過購置網(wǎng)絡(luò)版殺毒軟件實現(xiàn)）。

⑶ 禁用USB接口，進入BIOS設(shè)置，選擇“Integrated Peripherals”選項，展開后將“USB 1.1 Controller”和“USB 2.0 Contr01ler”選項的屬性設(shè)置為“Disabled”，即可禁用USB接口。最后給BIOS設(shè)置上一個密碼，這樣別人就無法通過修改注冊表解“鎖”上述設(shè)備了，如果有USB接口鼠標或鍵盤等設(shè)備，用ps2/usb轉(zhuǎn)換接頭轉(zhuǎn)一下或采用PS2接口的鍵盤和鼠標即可，如此就能杜絕教師使用U盤、MP3等移動設(shè)備，堵住病毒源頭。

⑷ 建立普通賬號，如“jiaoxue”，密碼均相同，上課教師通過該賬號登錄系統(tǒng)，將管理賬號修改密碼，密碼只有管理人員知道，防止上課教師隨意安裝或刪除軟件。

⑸ 保持桌面清潔，建立批處理軟件，放在啟動項中，每次啟動系統(tǒng)將桌面上教師上課用的課件自動清除。

2.3 “網(wǎng)閘”

“網(wǎng)閘”為一臺服務(wù)器（用高檔PC替代也可，但注意數(shù)據(jù)備份）要求配雙網(wǎng)卡，要求硬盤為企業(yè)級硬盤，2T以上容量，這樣可保證每個用戶的FTP空間在1G以上，運行平臺采用Linux RedHat9.0，起FTP服務(wù)器、用戶注冊服務(wù)器、代理服務(wù)器、多媒體專網(wǎng)監(jiān)控服務(wù)器和殺毒服務(wù)器和隔離Internet病毒的作用。

⑴ Linux系統(tǒng)安裝

Linux RedHat9.0系統(tǒng)安裝比較簡單，我校用一臺普通PC充當服務(wù)器，內(nèi)存2G、4T企業(yè)級SATA硬盤1塊。分區(qū)時建立FTP卷3.4T存放用戶資料、WWW卷100G存放數(shù)據(jù)庫和WEB數(shù)據(jù)、VAR卷100G、USR卷100G、ETC卷100G、/卷100G、HOME卷50G。

軟件安裝時選擇MySQL數(shù)據(jù)庫，APACHE選擇支持PHP模塊，選擇VSFTP模塊，分別為eth0、eth1網(wǎng)卡配置IP地址，為eth1網(wǎng)卡配置好默認網(wǎng)關(guān)，其余默認安裝即可。

⑵ FTP服務(wù)器

首先，編輯/etc/vsftpd/vsftpd.conf配置文件，將anonymous_enable=YES，改為NO，此句禁止用戶匿名登錄；增加chroot_local_user=YES，此句將用戶瀏覽范圍限制在自己的家目錄中。修改完畢保存，用service vsftpd restart重新啟動vsftpd服務(wù)。

其次，限制用戶的使用空間。在Linux中限制用戶的磁盤使用空間使用的是Quota，一般Quota在安裝Linux時就已包括在內(nèi)核中，不需要另行安裝。Quota可以從兩方面指定磁盤的儲存限制；使用者所能夠支配的索引節(jié)點（inodes）數(shù)量；以及使用者可以取用的磁盤區(qū)塊數(shù)量。在使用Quota監(jiān)視用戶時，一旦用戶使用空間超出緩沖值（soft）就會發(fā)出警告，如超出限定值（hard）就會禁止用戶再儲存文件。以下為在linux上啟動quota的步驟。

第一步，在要限制空間大小的卷/ftp的OPTIONS中加入usrquota，grpquota參數(shù)，修改完成之后，重新掛載/ftp分區(qū)。

第二步，使用quotacheck -cugm命令在/ftp下生成磁盤配額的配置文件aquota.group和aquota.user。使用quotaon命令啟動磁盤配額。

第三步，用edquota命令設(shè)置用戶空間大小，本文軟限制為1800M，硬限制為2000M，用戶超過軟限制會得到報警，超不過硬限制?？捎胷epquota命令查看用戶的磁盤配額情況。

⑶ 用戶注冊服務(wù)器

用戶注冊服務(wù)器實現(xiàn)用戶ftp賬號的自動注冊，以及硬盤空間的自動限額。在⑴配置好quota的基礎(chǔ)上，主要分為兩個步驟。

第一步，實現(xiàn)用戶前臺注冊，前臺界面如圖2所示，后臺exec.php代碼如下，當用戶提交數(shù)據(jù)后，系統(tǒng)調(diào)用腳本check.sh檢查/etc/passwd和臨時文件newuserlist中是否存在用戶，若不存在，則將用戶和密碼寫入newuserlist文件，否則提示用戶重新輸入。

圖2 ?；用戶賬號注冊界面

第二步，由cron計劃任務(wù)每隔5分鐘調(diào)用用戶添加腳本user_add.sh，將其添加到系統(tǒng)中，完成用戶注冊和磁盤限額。

⑷ 代理服務(wù)器

IPTABLES是Linux RedHat9.0系統(tǒng)自帶的一款防火墻軟件，同時具有代理服務(wù)器的功能，實現(xiàn)將多媒體專網(wǎng)進行NAT轉(zhuǎn)換，多媒體專網(wǎng)內(nèi)的計算機均能夠通過校園網(wǎng)訪問Internet，除“網(wǎng)閘”外，校園網(wǎng)和Internet上的計算機均不能訪問多媒體專網(wǎng)，實現(xiàn)對多媒體內(nèi)網(wǎng)的保護。

⑸ 殺毒服務(wù)器

Clam AntiVirus（ClamAV）是免費而且開放源代碼的防毒軟件，軟件與病毒碼的的更新皆由社群免費發(fā)布。目前ClamAV主要是使用在由Linux、FreeBSD等Unix-like系統(tǒng)架設(shè)的服務(wù)器上，提供文件的病毒掃描服務(wù)。

首先，通過代碼安裝和服務(wù)設(shè)置將該軟件安裝到服務(wù)器上。

其次，使用計劃任務(wù)，讓“網(wǎng)閘”每天凌晨3：01定時升級病毒庫一次，每隔1小時調(diào)用clamscan，對所有用戶目錄中1小時以內(nèi)所修改過的文件殺毒一次，并清除感染病毒的文件。

3 多媒體專網(wǎng)監(jiān)控系統(tǒng)

多媒體專網(wǎng)的正常運行是本方案能成功運行的關(guān)鍵，為了有效監(jiān)控多媒體專網(wǎng)的運行狀況，筆者開發(fā)了一套基于PHP的多媒體專網(wǎng)監(jiān)控系統(tǒng)，監(jiān)控系統(tǒng)實行分層監(jiān)控，第一層從多媒體專網(wǎng)核心交換機到各教學樓的智能可網(wǎng)管交換機，該層監(jiān)控整個多媒體專網(wǎng)；第二層從多媒體專網(wǎng)到各多媒體教室，該層監(jiān)控每個多媒體教室的運行情況。

3.1 監(jiān)控系統(tǒng)

監(jiān)控系統(tǒng)分數(shù)據(jù)獲取和顯示兩個部分，數(shù)據(jù)獲取部分首先對多媒體專網(wǎng)第一層各智能可網(wǎng)管交換機依次監(jiān)控狀態(tài)，并將檢測結(jié)果存入數(shù)據(jù)庫，再對第二層各多媒體教室計算機依次監(jiān)控狀態(tài)，并將結(jié)果存入數(shù)據(jù)庫。

數(shù)據(jù)顯示比較簡單，按照兩個層次依次顯示即可，運行界面如圖3所示，圖3中最上面表格為多媒體專網(wǎng)主干網(wǎng)情況，如果運行不正常，則以紅色標志顯示，此時必須馬上安排維修。圖3中下面表格為各教學樓中每個多媒體教室的運行情況，多媒體教室可以顯示“不在線”，表明該時刻該教室沒有教師上課。

<；E：＼方正創(chuàng)藝5.1＼Fit201412＼圖＼xyh圖3.tif>；

圖3 ?；多媒體專網(wǎng)監(jiān)控系統(tǒng)

3.2 監(jiān)控系統(tǒng)實現(xiàn)關(guān)鍵代碼

監(jiān)控系統(tǒng)數(shù)據(jù)獲取主要是通過Linux內(nèi)置ping命令獲取多媒體專網(wǎng)交換機和各多媒體教室計算機的運行狀態(tài)，對其結(jié)果分析后存入switch表，數(shù)據(jù)獲取程序由cron定時計劃每10分鐘調(diào)用一次。

4 相關(guān)問題

4.1 方案執(zhí)行需要配套的制度

方案僅從技術(shù)上對媒體教室計算機運行模式進行了改變，按照該方案能夠很好地解決多媒體教室病毒及運行問題。技術(shù)是為管理服務(wù)的，為了能使該方案正常運行，根據(jù)我校的經(jīng)驗，管理部門還必須認真做好以下工作。

⑴ 提前下發(fā)通知到各院系，將多媒體教室運行模式改變的消息通知到各位任課教師，并讓各位教師登錄到注冊服務(wù)器注冊用戶，熟悉資料上傳方法。

⑵ 傳統(tǒng)多媒體教室運行方法在教師心目中已經(jīng)根深蒂固，要想完全改變過來，需要一個過程。因此，開始我們可以不封掉USB接口，用一個月的時間讓教師適應(yīng)新方法，即從服務(wù)器上下載課件，但偶爾也能用一下USB設(shè)備。這種方法既給教師一個適應(yīng)期，也能檢測一下該方案在運行中存在的問題，給管理人員一個適應(yīng)期。

在適應(yīng)期中，我們將多媒體教室改變運行模式的通知、多媒體教室新模式運行的開始時間、多媒體教室計算機使用方法、技術(shù)咨詢電話等做在桌面背景圖片中，時刻提醒教師盡快適應(yīng)新的方法，以免新模式運行時引起各種不適應(yīng)現(xiàn)象。

4.2 相關(guān)故障的解決

在整個方案運行的過程中，多媒體專用網(wǎng)的正常運行起著至關(guān)重要的作用，一旦網(wǎng)絡(luò)出現(xiàn)故障，教師將無法上課。根據(jù)我校多媒體教室新方案運行的經(jīng)驗，在新方案運行的過程中，務(wù)必做到以下幾點。

⑴ 必須準備充足的備用設(shè)備。

如備用“網(wǎng)閘”至少1臺，備用“網(wǎng)閘”及時備份“網(wǎng)閘”上的各種信息和相應(yīng)資料，檔次不求太高，可用普通PC替代，交換機2臺以上，計算機3臺以上，均做好各種配置，以備隨時替換故障設(shè)備。

⑵ 嚴格值班制度，時刻監(jiān)視多媒體專網(wǎng)監(jiān)控系統(tǒng)，一有故障，馬上根據(jù)故障特點做出相關(guān)處理。

若各教學樓到網(wǎng)絡(luò)中心主干線路問題，立即將臨時服務(wù)器拿到相應(yīng)教學樓，供老師們上課臨時使用；若為教學樓交換機故障，立即更換設(shè)備；若為多媒體教室計算機到相應(yīng)教學樓交換機線路故障，應(yīng)先將該教室計算機打開USB接口，拷入上課課件，優(yōu)先保證教師上課；若為多媒體教室計算機故障，應(yīng)馬上更換備用計算機。

5 結(jié)束語

針對公共多媒體教室計算機管理問題，本文提出了一個基于“網(wǎng)閘”的高校公共多媒體教室計算機管理方案，有效解決了公共多媒體教室管理中病毒泛濫的老大難問題，該方案思路清晰，簡便易行。“網(wǎng)閘”服務(wù)器相關(guān)軟件均為Linux下的免費開源軟件，不需要額外投資，經(jīng)濟實惠，可操作性強，在校園網(wǎng)穩(wěn)定運行的基礎(chǔ)上，只要對公共多媒體教室運行模式稍加改變即可投入運行。

參考文獻：

[1] 姚君，王帆.“分布式”多媒體教室故障處理新思路[J].實驗室研究與

探索，2012.4：371-374

[2] 樊昌秀.多媒體教室的桌面虛擬化探索[J].長沙大學學報，2012.5：

65-66

[3] 李開明.多媒體教室計算機操作系統(tǒng)保障措施綜述[J].常州信息職業(yè)

技術(shù)學院學報，2012.2：22-24

[4] 曲大慶.多媒體教室計算機系統(tǒng)維護技術(shù)[J].信息科技，2012.5：

64-64

[5] 胡軍.基于QuickDesktop桌面虛擬化系統(tǒng)的計算機多媒體教室應(yīng)用[J].

福建電腦，2013.2：191-192

[6] 陳傳軍.應(yīng)用還原卡對多媒體教室進行的管理[J].新技術(shù)，2012：

70-71

[7] 藍柏，周清萍.基于當前高校多媒體教室管理與維護的探討[J].廣東

科技，2012.21：36-37

[8] 劉志剛.多媒體教室計算機U盤病毒的防范策略[J].科技天地，2013：

65-65