高校核心机房网络安全应对方案研究

王兴国

摘要：互联网技术的迅速发展，高校校园网的建设中核心机房是校园网的心脏，核心机房的网络安全性关系到整个校园网络运行的安全，高校核心机房为学校教学、科研、日常工作提供基本保障。本文阐述了高校核心机房安全性建设方案，提出了高校核心机房针对网络安全的解决方案和措施。

关键词：高校机房 网络病毒 防护措施

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2014）12-0192-02

1 前言

计算机网络的发展，网络应用环境下的安全问题也随之出现，为了保障网络信息的安全，强化网络安全建设，高校核心机房必须采取合理安全的措施保障网络安全。高校核心机房一般由一台三层核心交换机控制汇总，多台负载均衡的服务器供无盘工作站的正常工作，供正常教学中使用的CS和BS模式服务软件，提供校园网内的BBS、网络U盘、fttp服务、保护卡服务、硬盘阵列服务等。

2 核心机房网络病毒防范

高校学院针对网络上的病毒传播方式，核心机房采用安全可靠的window2003作为网络机房的服务器系统，为网络服务器提供安全的保护措施，为用户分配安全的访问权限来对数据库信息和文件进行操作，对整个学院的网络进行安全管理。

病毒对网络和计算机终端的危害是巨大的，高校也曾经为熊猫烧香和ARP病毒所困扰。为了更好的维护校园网络，更好的让老师，行政人员和学生安全、正常的使用网络，最重要的就是把对网络病毒的危害进行防治。行政办公人群和教学人群是我院应用网络的两大人群，行政人员办公电脑直连楼层交换机，因为有网络防火墙的保护，出现病毒侵害也只限于终端操作感染病毒，只需在终端安装相应防火墙及杀毒软件防范病毒即可。教学人群的情况则较为复杂，首先需要防范终端的病毒，其次还需要提防各个局域网中的病毒快速传染，这便为维护校园网络的安全顺畅提出了更高的要求。

防护计算机病毒可利用网络的优势进行网络防病毒。当然在网络环境下还应以防毒为主、查杀毒为辅。在高校内网可以采用主机安装杀毒软件的方法来防范计算机病毒，使主机系统和软件安全运行。在广域网络中，预防病毒最大的利器就是实时更新的网络病毒库，解决方面有两种：对系统中的启动盘和用户的数据盘要进行严格的检测，建立完整的管理制度进行严格的管理因此，加强网络的安全管理可以充分利用上述提供的网络安全保护措施。

对于教学人群密集的教学楼内的计算机设备，通过两种截然不同的方式防范了病毒的传播和入侵，首先，对购置年限较长的计算机实行无硬盘化管理，也就是无盘工作站模式，由千兆线连接交换机及服务器，由服务器实现对软件的安装、维护和升级，只要局域网络畅通，服务器没有断电，所有无盘工作站都会正常有序运行。当然防毒也便只限于服务器了。其次，对购置年限较短的计算机实行还原保护管理，也就是安装保护卡，高校针对保护卡开展专项工作，给所有入网的教学设备安装了保护卡，由千兆线连接交换机，对所有硬盘区域进行细致分析，多系统划分、多功能划分、开机还原、具体化安排课表、完全控制学生机合理操作。从根本上保证系统的纯净，杜绝病毒和木马，给老师和学生创造了一个良好的学习环境。

3 核心机房安全技术应用

计算机通信就像人面走亲访友一般，从一个门进入另一个门，而网络病毒也会想方设法的跟着偷偷溜进来。网络安全体系的建立不仅仅需要病毒防范技术，还需要遵守管理制度、出台法律约束、并加强个人的安全防范意识和防毒技能，也可以用下面的式子表述：

用户对病毒地防范技术的掌握是有效防范病毒入侵的必要手段。病毒防范的一些基础技能是每个网内用户必须掌握的，如杀毒软件的基本功能的使用，某些典型病毒的防范技巧等，也可以请专业的反病毒公司进行指导。如果没一个用户都是一个防毒查毒杀毒能手的话，团结起来便会成为有巨大力量的天网，那么病毒将无处藏身，无路可退，最终无法生存。

3.1 建立多级备份机制

对重要数据等信息要定期进行备份，这也是网络信息安全的一项重要工作。在网络环境下，数据备份工作通常有网络异地备份、服务器双机热备份、ghost镜像技术、软件系统自动备份等。特别注意备份数据应保存在安全可靠的一个或几个硬盘里，并定期将必要的备份数据刻录成光盘加以保存，如果是重要的数据最好多次拷贝且把其存放在不同物理区域，以保证数据损坏或丢失时能够及时恢复。

3.2 采用漏洞扫描系统

网络系统不是无懈可击的，系统当中存在的漏洞对我们网络是一个威胁，一个完成安全的系统，必须采取有效的漏洞防范措施，保证系统的安全性，定期对系统进行漏洞扫描和漏洞修复，可以有效的防止木马病毒利用系统漏洞对系统进行攻击。漏洞扫描是系统自动收集本身和网络的代码信息，然后对代码信息进行分析，看是否被恶意的删除和修改，实时对系统网络进行监测，发现漏洞立刻提示给用户，并进行修复。

3.3 双机热备技术

可以保持服务器安全可靠的运行，及时服务器出现故障，那也有应急备份来实现服务器正常运行，利用双机热备技术是系统可以长时间稳定运行。有一些服务是需要不间断提供的，因此，为了用户的需求，这些服务的备份工作就绝对少不了。有些高校为了解决由于服务器故障所引发的数据丢失问题，会用磁盘阵列技术和数据备份技术。双机热备工作的整个过程完全在后台自动处理，不需要人为进行操作，并且时间很短，基本对网络没有任何影响。因为不管是主机还是备用机都使用的是同一个存储设备，所以数据是一样的，只要对两台服务器或软件进行管理操作就可以了。

3.4 纯软件方式

纯软件方式就是两台服务器对同一数据进行实时拷贝，两台服务器交替使用，当其中一台出现故障了，我们可以用另一台。其优点：双机热备可以避免单点故障，并且性价比高，投资少。两台服务器之间的连接不受电缆限制，更加灵活方便也提高了服务器的安全性。缺点：出现共享数据信息实时拷贝的不完成，造成数据信息丢失，不能很好的进行备份；恢复比较繁琐，恢复时段服务器无保。endprint

3.5 系统杀毒

高校在购买正版杀毒软件及点数，杀毒软件计算机硬件内存配置要求高，并存在软件的兼容问题，由于部分高校少量计算机硬件配置低端，杀毒软件对硬件要求较高，少量电脑无法安装。近年来势头很猛的360安全卫士已经成为最受欢迎的免费国产安全软件，它功能强大，具有修复系统漏洞，查杀木马等功能。

3.6 系统备份问题

目前部分高校采用Ghost对系统进行安全备份，这款克隆技术经过实际应用得到很好的效果，在工作人员维护计算机系统时能保证系统文件的安全性。高校机房内计算机系统的备份全部由Ghost进行备份，大部分办公电脑也是如此。

3.7 解决密码难题

采用window XP一键恢复版的系统软件，在这款软件中有window PE的虚拟环境，我们可以选择进入PE虚拟环境，来对系统密码进行还原。Passware Kit这款密码恢复软件也在对密码找回和破解进行应用，它功能强大，可以把我们日常使用office设置的密码安全找回。

4 高校核心机房网络防火墙安全设计理念

充分利用防火墙。防火墙有硬件防火墙、软件防火墙和软硬一体的防火墙，它主要是在用户通过计算机对外网进行访问的时候，防止黑客木马、病毒的攻击，对网络进行控制访问；在网络机房内安装天融信防火墙可以有效的对外网非法的地网站进行访问限制设置。从而把内网和外网进行有效的隔离，保证内网的安全，防范外网木马病毒的攻击，天融信防火墙还具有审计访问、记录的功能，可以把访问记录下来便于查询。

高校通过对网络端口类型分析、端口状态分析、关闭不必要的端口等网络自身的防毒措施对病毒进行抵御。在网络本身所具备的防病毒体系和防火墙技术，虚拟局域网技术对网络病毒的制约的基础之上，高校校园网内还提供卡巴斯基等强力杀毒软件对病毒进行查杀。

网络应用的发展，网络的病毒和木马程序也通过网络途径进行传播，从而对网络系统的安全体系构成很大的威胁，网络病毒的特点，传染方式多，清理难度大，破坏性强。我们本着防范外界入侵，保证内部网络系统的安全的设计理念，架设天融信防火墙硬件，从而有效的把内网和外网进行隔离，学院计算机对外网访问时要经过防火墙的过滤功能和安全审计，这样有效的防范了外网对学院内网网络的攻击。

硬件防火墙可以很好的防范木马后门恶意程序的攻击，对病毒、木马有一定的监测功能，至今为止木马程序的攻击手段主要有邮件炸弹、特洛伊木马、网络协议欺骗等等。类似于这种的攻击可以来自于外部网络，也有可能自于内部的网络。所以适用于学院的的硬件防火墙一定要具备防范内网和外网攻击的躬耕。硬件防火墙是由硬件和软件两部分组合而成的，其中的软件部分可以提供升级的一些功能，这样可以不断的发现和修补新的漏洞。学院内部的网络有时访问一些外部非法网站地址的，为了禁止用户访问非法的网站。

5 结语

高校核心机房网络安全是一个有足够深度的难题，既要考虑系统内部和外部的安全问题，又要系统硬件与软件搭配的必要投入，仅依靠单独功能的系统安全措施是不行的，一种技术只是对应特定的问题，而不是万能的，因而需要从系统长远发展的角度考虑安全需求与措施。想要全方位地、实时地保护系统的安全和稳定，为网络提供强大的安全服务，必须要有完善的安全体系、严格的操作规程以及高素质的网络管理人才。

参考文献

[1]于鹏.网络综合布线技术[M].北京：清华大学出版社，2009.

[2]马少华.建筑安全防范监控系统及应用[M].北京：化学工业出版社，2009.1.

[3]刘晓佳，周启明.机房再建设与管理维护探讨.综合管理，2008年1-2月合刊.endprint