浅谈医学院校计算机实验室网络安全管理

刘春华，李 丹

（首都医科大学燕京医学院，北京 101300）

计算机基础文化课是医学院校的公共基础课，由于该课程的实际操作占很大比例，因此，计算机实验室在该课教学中发挥着重要作用。学生在此不仅可以熟悉计算机的各种操作，还可以利用丰富的网络资源充实自己的专业知识。但是由于网络资源的开放性、学生计算机水平的差异较大，道德修养和文化素质的参差不齐，以及网络安全认知水平的高低等，产生了一系列网络安全问题。

就如何创建一个安全的、开放的网络环境，保证计算机实验室的正常运行，现提出一些解决方法。

1 服务器维护

作为整个实验室网络的总出口，服务器的维护起着至关重要的作用。对于服务器的维护应该做到以下几点。

（1）经常更改系统管理员密码，使用高强度的由大小写字母、数字和特殊字符组成的密码。定期更新系统补丁、检查系统是否多出超级管理员，检查帐号是否被复制。

（2）在“开始”运行中输入“msconfig”检查随机启动的程序和服务，关掉不必要的随机启动程序和服务。

（3）尽量不要安装第三方软件（如优化软件、插件），更不要在服务器上注册未知组件。

（4）检查系统日志的“安全性”条目，在右侧查看近期“审核成功”的登录。如果登录时间和管理员上次登陆的时间不符，服务器可能被入侵了。

（5）及时更新病毒库，查杀病毒。定时查看系统各个盘符的磁盘权限是否为设定的安全权限。

（6）经常备份服务器数据，尽量存放两份于不同的服务器，防止系统崩溃造成数据丢失。

2 设置防火墙

防火墙是在内部网和外部网之间实施安全防范的主要系统。它是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问。通过制定规则，限制外来用户对核心设备的非法访问。防火墙作用主要有以下几方面。

（1）划定DMZ区：用来接入公网服务器，通过制定相应的访问规则，来控制用户对服务器的访问，从而保证服务器的安全。

（2）地址转换：动态NAT，使用运营商提供的一段公网地址，作NAT地址池，实现内网用户对互联网的访问；静态NAT，内网地址的某个服务器需要对外网提供服务时，可以实现固定公网口和内网I P的对应关系，也可以实现端口映射。

（3）包过滤：底层实现端阻断，主要针对常见的病毒端口，从而保护网络，可以有效地阻止病毒传播。发现病毒和可疑事件时可及时发出信号。

（4）访问控制：对不同目标指定不同的访问控制策略，如Web服务器，指定管理员可以访问其3389端口，实现远程操作管理，而其他用户只能访问其80端口，从而最大限度地保证了服务器的安全。

（5）防攻击、与IDS联动：用以抵御常见的各种攻击。

（6）日志记录：通过建立防火墙日志服务器，有效保存网络内部的访问记录，对网络安全管理有很大的作用，做到了有据可查。

3 设置监控软件

网络监控软件的主要作用是监控网络运行是否正常,如要访问的网站是否安全，网页中是否有恶意插件及代码下载，网页中的文件是否安全等，监控并提前阻止危险网站等。网络管理员应做到以下几点。

（1）根据不同用户、不同时间的访问需求对分类信息设置允许和禁止。高校计算机及实验室主要是通过校园网访问外网，用户都是教师和学生，因此，对色情、暴力、恐怖等内容必须禁止，此类内容必须在禁止的U R L黑名单中。

（2）对不健康的网络游戏、聊天内容等进行及时阻止。

（3）网络管理员可监听内网用户通过 Out look、Webmail、Ftp、Telnet、论坛、博客、社区及聊天工具发布的“有害”信息，及时追查非法言论传播源。

4 增加网络流量控制的管理

随着互联网的日趋普及和新技术的迅速发展，一大批新兴的网络应用开始涌现并成为人们工作、生活中重要的组成部分，如B T、迅雷、电驴、超级旋风等P2P应用。然而，此类P2P的应用由于大量占用互联网出口带宽，同时无法被有效地识别和管理，常常成为阻碍网络正常运行的“元凶”，靠增加网络带宽的方式已不能有效解决这一问题。而网络流量控制是基于7层应用的带宽管理和应用优化，能全面识别和控制包括P2P、Voip、视频／流媒体、HTTP、网络游戏、数据库及中间件等多种应用。在带宽管理方面，可自定义带宽策略为网络链路划分多个虚拟带宽通道，实现最大带宽限制、保证最低带宽、带宽租借、带宽配额、应用优先级、随机公平队列等一系列带宽管理，在不增加网络出口带宽的情况下，网络应用得到最大优化和提升。

综上所述,计算机实验室的网络安全管理问题已成为实验室管理的首要问题，只有创造安全开放的网络环境，才能给学生提供一个良好的实验环境，让学生可以自由地享受网络和信息技术带给他们的丰富知识资源。■