高校计算机公共实验室网络安全管理策略

【摘 要】以桂林电子科技大学北海校区计算机公共机房管理为例，对计算机公共机房发生的一些典型网络安全事件进行分析，并有针对性地提出相应的网络安全管理策略。

【关键词】高校 计算机公共实验室 网络安全 管理策略

【中图分类号】 G 【文献标识码】 A

【文章编号】0450-9889（2015）04C-0082-02

近年来，伴随着“慕课”（MOOC，大规模在线开放课程）等学习模式的新发展，各高校的普通计算机公共实验室对网络的依赖程度日益增加。计算机公共实验室已由原来的单机操作模式向内网互联、国际互联模式发展。在资源共享、数据传输的同时，网络也给病毒、木马等恶意代码的传播和恶意攻击、网络窃听等行为提供了通道。计算机公共实验室面临着严峻的网络安全挑战。如何有效地对计算机公共实验室网络进行安全管理是一个值得研究的问题。本文以桂林电子科技大学北海校区计算机公共机房管理为例，探讨计算机公共机房网络安全管理策略。

一、计算机公共实验室典型网络安全威胁分析

从目前各高校计算机实验室的实际应用来看，承担着计算机基础教学、项目培训、在线考试等任务的公共实验室被使用的频率越来越大。计算机公共实验室在提供上网条件的同时，也面临着各种网络安全威胁。笔者通过对校区内各学院实验管理中心每日维护记录中分散的网络安全事件进行统计和分析，发现校区内各公共实验室的网络安全问题有如下特点。

（一）移动存储介质所带来的安全风险是公共实验室面临的最主要威胁

经分析发现，移动存储介质（主要包括U盘、移动硬盘、智能手机等设备）已成为计算机公共实验室网络病毒的主要传播工具，也是目前学校各计算机公共实验室面临的最大威胁。学生在计算机公共实验室上机过程中，很多人都会很隐蔽地将这些设备带进机房，他们很可能把上面的各种文件资料拷贝到公共实验室的电脑硬盘上，这些被拷贝到电脑硬盘上文件很可能包含各类病毒，一旦计算机公共实验室的电脑被感染，对整个实验室网络的危害是巨大的。其典型案例就是“U盘杀手”（Worm_Autorun）及变种“隐藏文件夹”病毒。它专门感染U盘，把U盘的文件夹隐藏，然后自己伪装成文件夹的样子，用户在不知情的情况下点击这些“文件夹”，就会在不知不觉中感染上此类病毒。此时电脑系统进程中出现global.exe等进程，且进程无法终止，即使强制终止，这些进程还会再次出现。同时，电脑上很多有用的文件消失，移动存储设备上的文件夹也看不见了。学生无法在网上下载课件和提交作业，老师无法控制学生端电脑，网络广播教学被迫中断。

（二）人为的内部攻击和ARP欺骗攻击对实验室网络危害巨大

在桂林电子科技大学北海校区各公共实验室中发生的典型网络安全事件中，排在第二位就是来自内外部的各类攻击。某些学生在掌握一些网络监听、漏洞探测、端口扫描软件等黑客软件后，会在校区的公共计算机实验室中运行，发起一些有目的的攻击，对实验室网络构成严重威胁。另外一个最典型，也是危害最大的攻击就是ARP欺骗攻击。公共实验室网络中只要有一台电脑感染了ARP欺骗木马病毒，将会使局域网内所有主机的ARP地址表的网关MAC地址更改为该电脑的MAC地址。网络内的其他电脑和路由器很难检测到，出现上网用户都通过该感染ARP病毒的电脑切换，当病毒程序运行时，出现大量的垃圾数据包，导致网络阻塞和网络中断，导致公共机房内安装的网络多媒体电子教室管理软件上教师端和学生端无法连接，教学广播无法正常进行。ARP木马病毒严重的还会导致整个实验室网络瘫痪，甚至盗取电脑用户的网银、游戏、邮箱、QQ的账户及其密码。

（三）垃圾电子邮件给实验室网络安全带来潜在的威胁

垃圾电子邮件给计算机公共实验室网络造成的影响排在第三位。在计算机公共实验室中，有些学生的信箱空间被大量的垃圾邮件侵占，这些垃圾邮件占用了大量网络资源，严重干扰邮件服务器进行正常的邮件递送工作。更为严重的是，很多垃圾邮件通常在附件中附加病毒和木马程序。一旦用户打开这些附件，就会感染病毒并可能造成系统及网络的瘫痪甚至崩溃。

二、计算机公共实验室安全管理策略

针对上面的情况，除了采取传统的部署防火墙、安装网络防病毒软件、修补系统漏洞等措施外，桂林电子科技大学北海校区计算机公共实验室根据实际情况合理制定针对自身环境与条件的安全管理策略。

（一）物理安全策略

在内外网安全方面，我们采用最新的网络隔离技术，也称为安全通道隔离，它是通过专用通信硬件和专有安全协议等安全机制来实现内外部网络的隔离和数据交换。该技术高效地实现了内外网数据的安全交换，透明支持多种网络应用。在实际应用中，北海校区各公共实验室均采用星形拓扑结构和千兆交换式快速以太网技术。内部网与外部网之间不存在物理上的连接，使来自Internet的入侵者无法通过计算机从外部网进入内部网，从而最有效地保障了内部网重要数据的安全，内部局域网和外部因特网实现物理隔离。

对于校区内各公共实验室内网之间的安全防范，我们主要根据校区公共实验室的规模，在路由端单独划出一个B类私有IP地址段给各实验室，并合理设置子网掩码，划分子网。通过子网掩码对网段的控制能力，给每个公共实验室划分了单独的VLAN。这样各实验室之间不会互相影响，杜绝各实验室之间网络病毒的相互传播。

（二）用户安全策略

根据各学院的上机实际情况，我们对所有用户进行权限划分，只有通过身份验证才能进行权限内操作，避免出现越权操作。同时对学生上网行为进行控制，一般情况下，教师的授课课件、有关学习资料存放在教师端主机上，学生在公共机房上课只需要访问教师端主机服务器即可，通常不需要访问外网。若教学需要连入Internet，我们一般让任课教师通过网络电子教室软件的黑名单和白名单功能来控制学生的上网行为。

（三）其他安全策略

1.关闭U盘（包括其他移动存储介质）自动播放功能。计算机公共机房电脑关闭U盘自动播放的方法：以WIN7为例，打开“运行”窗口，键入“gpedit.msc”，打开“本地组策略编辑器”窗口；依次展开“计算机配置→管理模板→Windows组建”，再双击右侧栏最下面的“自动关闭策略”后就可以看到“关闭自动播放”选项了，双击后打开出现一个新的窗口，选中“已关闭”即可。可以开启学生端电脑防病毒软件的自动扫描U盘功能，进行实时防护。

2.ARP欺骗攻击防御。对于ARP欺骗攻击，目前桂林电子科技大学北海校区的计算机公共机房主要采用以下几种防御方法：第一种是捆绑MAC和IP地址，杜绝IP 地址盗用现象。即在计算机上静态绑定ARP网关，用一句命令将IP与网卡MAC地址绑定即可。格式为：arp -s 网关IP地址 网关MAC地址。第二种是交换机端口设置，利用端口保护技术（类似于端口隔离），使同一个交换机的两个端口之间不能进行直接通信，需要通过转发才能相互通信。第三种方法是在实验室中部署ARP服务器。此外，在机房学生端机器上安装ARP防火墙，并开启一些防病毒软件的ARP防御功能。

3.IP安全策略。可在学生机上设置安全策略，禁用IP或者关闭某些不必要的或者具有相当危险性的端口，从而控制了学生的某些非法访问及某些病毒的攻击和蔓延。以WIN7为例说明如何禁用IP或者端口访问的方式。第一步，在运行中输入“gpedit.msc“命令，进入“本地组策略编辑器”；依次展开“计算机配置→Windows设置→安全设置→IP 安全策略，在本地计算机”；第二步，以“禁止访问桂电北海校区站点服务器219.159.198.136的80端口”（默认是能访问页面的）为例，进行IP策略配置。首先，右键创建策略向导→填写IP安全策略名称“stop_guetbh_ip”；然后在“stop_guetbh_ip”属性中，点击“添加”按钮，进入创建IP安全规则向导→选择网络类型“所有网络连接”→“IP筛选器列表中”，单击“添加”。添加筛选器名称“stop_guetbh_ip”，确定，完成添加新的筛选器。第三步，进入“IP筛选器向导”，指定IP流量的源地址“本地所有IP”，指定IP流量的目标地址“IP地址或子网：219.159.198.136”，然后选择IP协议类型：TCP，设置IP协议端口“从任意端口”“到此端口：80”；确定后，完成筛选器建立。第四步，选中你所创建的规则。点下一步，添加筛选器操作“stop_guetbh_ip”；确认，完成IP 安全策略。此时访问 桂电北海校区服务器IP ：219.159.198.136出现无法显示此页面。至此，IP安全策略设置成功。通过IP安全策略的设置，可以有效地保护公共计算机机房的网络系统安全。

计算机公共实验室的网络安全问题是无法避免的，只要有计算机网络存在就一定有安全风险。随着网络的快速发展，木马和病毒种类也将不断增多，针对不断遇到的安全新问题，要及时更新网络安全策略，定期进行硬件维护、软件维护、网络维护和日常维护，方能保证计算机公共实验室系统的正常、稳定运行。

【参考文献】

[1]张新刚，等.高校计算机公共实验室的典型安全威胁及防御[J].实验室研究与探索，2011（7）

[2]王丽霞.高校计算机实验室网络安全管理简析[J].新乡学院学报（自然科学版），2012（10）

[3]王伟林.校园公共机房网络安全研究[J].计算机安全，2010（9）

【作者简介】刘利民（1968- ），男，广西北海人，研究生学历，高级网络工程师，桂林电子科技大学职业技术学院计算机系主任，研究方向：计算机基础教育，网络系统安全。

（责编 卢 雯）