高職機房網絡安全存在的問題與對策

◆吳志華

高職機房網絡安全存在的問題與對策

◆吳志華

（廣州番禺職業技術學院管理學院 廣東 511483）

機房網絡環境的復雜性、多變性以及信息系統的脆弱性，決定了高職機房網絡安全威脅的客觀存在。從高職機房網絡安全的現狀出發，分析網絡安全的常見問題，采用網絡安全技術對機房網絡安全的常見問題提出應對措施。從而為網絡安全的防范提出應對方法，也為機房網絡安全系統的建設提供技術借鑒。

網絡安全；防火墻；入侵檢測；安全審計

0 引言

隨著國家對職業教育的投入和發展，高職院校的信息化、數字化進程也在加快建設，高職計算機機房承擔著學生的各類課程的專業實訓和翻轉課堂教學活動等教學任務，是教與學的重要環境，機房的穩定性和保障關系到教學的正常進行，而機房網絡安全問題經常危及和影響到教學的正常運行。因此，機房網絡安全問題是高職機房管理的重要環節和內容。

1 計算機網絡安全概述

計算機網絡安全是指利用網絡管理技術防止網絡系統的軟硬件及網上傳輸的信息，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，保證系統連續可靠正常地運行，網絡服務不中斷。計算機網絡作為學習者獲取信息的重要途徑，在保證網絡正常運行的同時，要管理好網絡客戶和相關的網絡服務，以確保不影響網絡信息資源的準確性。計算機網絡安全主要包含兩方面內容：物理安全和邏輯安全，物理安全主要是系統設備和與其相關的設施在物理的保護下避免被丟失或遭受破壞，邏輯安全主要指網絡信息的完整性、保密性和可用性；而高職機房網絡安全主要是保護機房的正常運行和教學資源的數據完整性，以此來確保計算機機房的安全性。

2 高職計算機機房網絡安全常見問題

2.1黑客攻擊

黑客是網絡信息安全的一項重要威脅，他們大都精通于計算機技術，特別是精通各種編程語言和各類操作系統，可以破解企業或學校網絡的信息管理中心密碼，進入系統內部獲取數據和信息資源，進而會給企業和學校造成嚴重的危害。機房黑客攻擊主要有兩種：

（1）偽裝IP攻擊。偽裝IP攻擊是指一些非法的主機會在其他程序的偽裝下假冒企業或組織內部的IP主機的地址，進而獲取企業內部服務系統的“信任”，從而達到自己非法獲取相應資料或者入侵網絡的目的。

（2）特洛伊木馬。特洛伊木馬不是病毒而是一種黑客程序，黑客通過木馬程序非法獲取計算機中的重要信息，如用戶密碼、硬盤上的數據文件等。黑客利用木馬程序在對方計算機中安裝黑客服務端程序，那么黑客就可以利用自己的客戶端程序進入這臺計算機中，達到控制和監視的目的。

2.2病毒入侵

病毒入侵一般是指通過技術手段對個人電腦植入病毒，竊取用戶個人資料、隱私信息，甚至是銀行賬戶信息等，以從中獲取不正當利益。

（1）木馬病毒。木馬病毒與一般的病毒不同，它并不具備快速自我復制的能力，也不會具有刻意的傳染性，作為流行的病毒文件，它是隱藏在合法程序內的非法程序，極具偽裝性，進而吸引不知情的客戶進行下載，如果這一偽裝程序一旦被執行，木馬便會進入到客戶端植入病毒，竊取者可以任意地打開被侵入者的電腦程序獲取或者損毀其文件資料，甚至可以任意地操控被入侵者的電腦，極具危害性。目前我們常見的木馬種類有網游木馬、網銀木馬、FTP木馬(網頁點擊類、通訊軟件類等)，它們的種類繁多，并且伴隨著病毒編寫技術的不斷發展，其危害性也越來越大。

（2）蠕蟲病毒。蠕蟲病毒是網絡病毒中危害較大的一種常見病毒，具有極強的傳染性和寄生性，大多通過網絡的形式或者電子郵件的形式傳播，并且可以快速的實現自我復制，還可以救助與系統存在的網絡漏洞進行攻擊，最終導致信息量過大而造成通信過載，導致計算機自身的網絡安全系統癱瘓而不能正常工作。2009年出現的“熊貓燒香”便是典型的蠕蟲病毒代表，通過共享文件和破解口令等方式進行傳播。

2.3監聽與欺騙

監聽與欺騙也是威脅機房網絡安全的重要手段，主要包含兩種：

（1）DNS欺騙。DNS欺騙是較為常見的一種，它的操作過程稍微有點繁瑣。DNS欺騙的原理是黑客將自己的主機假裝為域名服務器，將用戶想要瀏覽的主機的IP地址，修改為攻擊者的IP地址，用戶就會進入到攻擊者的主機頁面，而不是原本想要瀏覽的網站的主頁。實際上黑客并沒有攻擊網站的主機，而是冒充了服務器的域名，誤導了用戶，當用戶連到被攻擊網站時，主頁被改成了黑客網站的內容。

（2）Web欺騙。Web欺騙不會損壞計算機的軟、硬件，但它的危害是巨大的。攻擊者可以察看或者對Web服務器的信息進行改動，還可以操控返回的數據，甚至還可以發起攻擊，包括監視和破壞。Web欺騙也是利用不同主機之間的相互信任關系，攻擊者通過冒充用戶想要瀏覽的真正的Web網頁進行欺騙的一種手段。攻擊者首先創建一個跟用戶想要真正瀏覽的Web頁面相同的網頁，然后當用戶瀏覽的時候，攻擊者就能截獲用戶的相關信息，包括用戶名、密碼等私密信息。例如我們經常收到銀行的詐騙短信，告知賬戶被轉走了金額，需登錄網頁修改密碼，提供了一條銀行網站的鏈接。當用戶點擊鏈接進入網站，并且輸入個人的賬號、密碼等敏感信息時，攻擊者就通過非法的途徑獲得這些信息，然后再利用這些信息登入正確的網站盜取用戶的資料。

綜上所述，我們已經將網絡信息安全的常見問題和相關原理進行分析，這也正是機房網絡信息安全方面存在的威脅因素，需要我們及時的對其進行分析和把握，只有這樣才能找準企業在網絡信息體系構建中存在的問題，更好地為企業網絡信息的發展提供借鑒意義。

3 高職機房網絡安全主要應對措施

3.1安裝機房防病毒及特洛伊木馬軟件

要保證整個網絡環境的安全，我們必須做到在病毒未入侵之前有效的預防，在病毒侵入之后快速地查找并排除，從而降低病毒的危害。目前，想要高效地維護機房電腦的安全，用于防止病毒的系統需要具備這樣幾種功能：能夠遠程進行安裝、升級智能化、能夠遠程進行報警、管理集中化、對病毒的查殺具有分布式的特點。具體做法如下：

（1）機房管理中心能夠實現對機房網絡主機網點的管理，對它的安裝可以通過網絡服務器來實現，安裝版本為瑞星殺毒軟件網絡版。

（2）瑞星殺毒軟件客戶端（網絡版）應該被安裝在每一臺需要上網的電腦上。

（3）按照上述兩步安裝好軟件后，在客戶端沒有聯網的情況下也能準確地查找病毒，這時需要用到網絡控制臺設置定時查殺操作。

（4）任何軟件在運行中均會存在漏洞，因此為了更好地讓學生電腦得到保護，需要機房管理員定期主動到瑞星官網上下載升級后的殺毒軟件（包括病毒定義碼、掃描引擎、程序文件等），完成殺毒軟件的定期更新。

3.2采用防火墻系統來實現機房訪問控制

防火墻部署在機房核心交換機與PC客戶機或者交換機與服務器群之間，有效地將核心交換機與其他網絡或服務器隔離開。如果不加入服務器，當外部網絡受到病毒的入侵時，病毒將開始逐步入侵其他的內部網絡或者服務器，使傷害擴大。在機房使用防火墻可以將病毒隔離，使機房網絡服務器彼此之間獨立，不受局域網或其內部病毒的攻擊，減少病毒對機房網絡的傷害。在機房安裝防火墻不僅能夠保護機房網絡服務器，也能很好的保護區域網絡和數據服務器。機房防火墻部署如圖1所示。

圖1 機房防火墻部署圖

除了可以使用機房防火墻來控制設備的訪問，通過啟用某些功能還能實現更多更高級的功能。比如需要進一步保護服務器，可以設置安全策略；日志需要監控不合法的訪問，可以啟用NAT功能；需要動態地完成防護功能，可以使用與入侵檢測聯動的功能。為了性能更可靠，一般選購業界大公司和一些經驗豐富的研究單位的產品。

3.3建設部署機房入侵檢測系統

審計數據以及網絡數據包能夠反映系統數據是否被篡改或者破環，因此，機房入侵檢測常常檢測以上兩類信息即可。入侵檢測能夠檢測出不符合安全策略、威脅系統安全的某些行為和活動，避免此類活動或行為攻擊資源包，篡改、泄露數據。當有機房入侵發生的時候，入侵檢測能夠發現并表示入侵活動，記錄數據流的變化，并分析響應部件的結果。

因為不同的子網對流量和數據的保護程度不同，因此IDS探測器配置的位置也將不同，總的來說需要將其配置在關鍵子網的交換機上，當把核心交換機配置于控制臺上的時候，便可以對網絡中所有的探測器進行監控。因此，其針對監控內部存在的攻擊或錯誤操作，并可以攔截、預防入侵。機房入侵檢測器網絡部署方案如圖2所示。

圖2 機房入侵探測器部署圖

當機房網絡上存在敏感數據時，往往會在這些網絡上布置入侵檢測系統。系統可以實時監控網絡數據流的動向，截取通信數據流，當發現異常數據流的時候，判斷網絡是否被侵入。一旦確認這些異常數據流的產生原因是網絡受到攻擊，此時入侵檢測系統馬上做出相關的反應：啟動控制臺進行報警，繼續跟蹤數據流的動向，找出攻擊源頭并切斷網絡連接，配置入侵檢測系統相關參數，對TCP/IP協議過濾并監視。當系統中存在用戶自己定義的安全事件時，需要對此類事件進行監視，以便生成安全日志，從而有利于系統安全審計，并使安全分析決策系統獲得開放數據庫的支持，提高網絡安全。

4 總結與反思

隨著網絡應用的深入普及，網絡安全越來越重要。為了有效防止高職機房網絡安全事件的發生，必須注意計算機網絡的安全問題，網絡安全不是單一的應用一種或幾種方法來防護，而是多種方法相結合，層層防護，才能做到全面防范和應對網絡安全問題。除了技術方面的防范，還應該加強校園和機房網絡安全的宣傳和防范技巧培訓，建立機房網絡安全管理辦法和安全責任制度，從而營造一個健康良好的互聯網環境，以此保障正常的教學活動的運行。

[1]鄭子生.高校機房網絡安全問題分析及對策[J].網絡安全技術與應用，2017.

[2]王甲乙.機房網絡安全隱患及網絡安全技術和對策的應用分析[J].電腦知識與技術，2017.

[3]王鑫.計算機機房網絡建設的安全與管理研究[J].價值工程，2013.

[4]黃國慶.機房網絡安全及管理問題研究與對策[J].網絡安全技術與應用，2015.