高校实验室网络安全管理策略

摘要：随着计算机技术的普及，各大高校都建立起计算机实验室，以满足各个专业的学生，对不同课程的学习需求。实验室网络作为教学、培训、考试等大量繁重的教学任务的基础平台，在受到校园网网络安全影响的同时，又有自己独有的安全隐患和安全需求。本文从高校计算机实验室具体应用入手，分析了实验室网络可能存在的安全隐患，进而提出了相应的安全管理策略。

关键词：实验室网络安全 校园网安全 防火墙 安全策略

中图分类号：TP303.08 文献标识码：A 文章编号：1007-9416（2013）09-0173-02

引言

高校计算机实验室承担着教学、培训、考试等大量繁重的教学任务。特点是：应用软件众多，实验操作繁杂且不固定，机器台数多，上机学生不固定。因此可能会导致很多计算机或网络异常，如何有效的对计算机实验室网络进行安全管理就成为一个值得研究的问题。

1 实验室网络结构与任务分析

1.1 网络结构

结合众多课程实训要求，大多数实验室为学生搭建了一套满足各种局域网交换和广域网路由测试需求的基础网络平台，使学生在学习众多应用软件的同时，还可实现用户管理、服务器配置、模拟各类实验环境。80%以上都是基于10/100M交换机或路由器连接成星型拓扑结构，利用校园局域网连入互联网。

1.2 实验任务

软件应用实验：办公自动化、网页设计、图片处理、图象、声音等媒体数据处理。

网络应用实验： DNS、DHCP、WWW、域控制器、邮件服务器等多种服务器的配置；网站建设，基于Socket的C/S编程，基于B/S编程等。

2 计算机实验室网络普遍存在的问题

（1）为了满足教学需要安装了多种软件，电脑的运行速度较慢。计算机实验室几乎全天对学生开放，在超负荷运行下计算机出现故障率高，机器维护任务较重。（2）学生对计算机操作不熟练或不当操作，容易造成部分系统文件删除或破坏；学生随意修改主机密码、CMOS设置、修改注册表内容或本地安全策略，导致电脑系统无法正常运行。（3）学生私自将个人移动硬盘、U盘、MP3等带入机房，安装大量的个人文件、导致电脑系统运行速度降低，甚至导致大量文件感染病毒，使管理的难度加大。（4）学生从外网下载文件或者访问带有病毒的网站时，感染病毒可能造成系统及网络的瘫痪甚至崩溃。（5）基于教学要求，在局域网上实现资源共享或者教学广播，使病毒在局域网内大面积传播，加重了计算机病毒的查杀难度。

（6）学生在实验室内吃零食、早餐，污染实验室环境或导致计算机短路，还有学生私自移动机器，可能造成计算机硬件损坏。

因此，为保证学生机快速恢复、优化，必须建立起一套行之有效的系统维护方案，用以保证实验教学的顺利进行，减轻实验室管理人员的工作量。

3 安全管理策略

3.1 基础校园网网络安全策略

3.1.1 网络安全结构

校园网络安全是实验室网络安全的基础保障。应制定统一的骨干网安全策略，保证基础网络平台的安全性。

校园网可采用了包括路由器、防火墙和入侵检测系统在内的三层结构化防御系统。

第一层防护由防火墙实现。可独立配置防火墙，对内外网之间的通信进行严格过滤，保障内网信息安全。

第二层防护由边界路由器实现。边界路由器提供Internet与校园网的连接，利用Cisco路由器上所具有的PIX防火墙功能，可将学校的WWW服务器、DNS服务器、E-Mail等服务器一起放于PIX防火墙的DMZ区，从而阻止外部用户对各服务器进行删除、修改等非法操作，防止来自外部的攻击。

第三层防护由入侵检测系统来完成。合理配置检测系统，对校园网内用户操作、设备、端口、服务、账户管理、流量等信息进行统计分析，可利用故障自动报警、检测日志，及时发现网络异常并处理。

3.1.2 IP规划

目前我校为实现网络统一管理，使用静态IP地址，学生在首次利用帐户和口令登陆校园网后，网络中心负责身份审核的服务器在身份验证的同时，将其IP与MAC地址进行绑定。在后期用户通信中定时检测地址信息，发现MAC地址变换时，强行退出连接，但此种方法IP利用率明显降低，而且给用户使用带来诸多限制，且接入层上只能使用交换机。学生为实现帐户共享而选择其他网络接入方式，给我们后期网络安全管理埋下隐患。

为解决上述问题，建议配置DHCP服务器，动态配置IP地址。但此举措实施后，用户如果私自建立DHCP服务器，可能造成网络管理的混乱。

为防止用户私自建立DHCP服务器造成网络管理的混乱，在建网初期可选用支持DHCP Snooping功能的接入交换机。保证用户的IP地址只能由网络中心分配，而不能接受非法的IP提供。

为防止用户将IP地址手动设置成与服务器地址相同的地址而造成IP冲突，建议职能部门全部采用支持IP Source Guard的交换机，用户必须从合法的DHCP服务器上取得IP地址才可进行正常通信，私设IP地址将会被交换机自动禁止。

3.2 公共实验室安全管理策略

目前，有些实验室为简化工作，采用安装还原卡的方式来保证系统安全，但此举措会给实验操作带来诸多限制，特别是计算机网络方面的实验，大都要求计算机重启后才能完成实验任务，而还原卡的使用在此时就成为一道不可逾越的围墙，阻碍了实验的正常进行。

为保证实验操作的顺利进行，应根据各校实际情况合理制定实验室管理制度，以便对人员，设备，安全等实施管理。

（1）学生在机房不能吃零食、抽烟；学生不能私自使用U盘等移动硬盘；需认真填写好机器使用情况登记表。（2）加强对学生的教育，培养其良好的网络使用习惯。如不去浏览不安全的网页；不接受来路不明的邮件，附件应先下载，杀毒后再打开；不随意打开QQ等即时通信软件中弹出的超连接等。（3）在每台学生机上安装杀毒软件并及时升级。（4）及时打上系统漏洞补丁。（5）有条件的可以通过视频监控实验室的设备安全，应保证实验室的监控设备正常运行。（6）对系统核心数据进行备份，方便系统还原。（7）做好防火、防盗、防毒、防漏等安全工作。对水源、电源、火源必须必须细心检查，严防死守，杜绝事故发生。（8）实验设备在使用的过程中应注意保养维护，做好设备使用的档案记录，确保设备完好、安全和有效地使用，避免损坏，造成浪费。对已达到或超过使用年限的设备，按有关规定申请报废或降级使用。（9）制定完善的实验室管理规章制度并严格执行。

3.3 专业实验室安全管理策略

3.3.1 物理安全

网络应用实验中需完成 DNS、DHCP、WWW、域控制器、邮件服务器等多种服务器的配置，并验证服务器功能，查看运行效果；若在连网状态下，会受到校园网上各服务器影响，建议不连接校园网，仅用交换机或路由器连接，构成星型拓扑结构的小型局域网即可。

统一规划IP。建议默认使用静态IP地址。根据具体需求可合理设置子网掩码，划分子网。也可基于交换机端口划分VLAN。

3.3.2 用户安全

根据实际情况，可对所有用户进行划分，如：实验室管理员，教师，学生。并进行分级授权，避免出现越权操作。

管理员为每一级用户设置一个账号和密码，通过身份验证才能进行权限内操作。

3.3.3 其他安全策略

（1）IP安全策略。可在学生机上设置安全策略，关闭某些服务和端口，以减少遭受攻击的机率。例如：禁止使用139端口。

第一步，点击“开始”菜单/设置/控制面板/管理工具，打开“本地安全策略”，选中“IP安全策略，选择“本地计算机”；再选择“创建IP安全策略”。第二步，在IP安全策略“属性”对话框中，添加新的筛选器。第三步，在“筛选器属性”对话框中，设置源地址为“任何IP地址”，目标地址为“我的IP地址”；“协议”选择“TCP”，设置“从任意端口到此端口（139），完成筛选器建立。第四步，选中“新IP筛选器列表”，设置“筛选器操作”为“阻止”。第五步、“指派”。激活该IP安全策略。

（2）端口重定向。如果默认端口不能关闭，可将它“重定向”。即把该端口重定向到另一个地址，这样便可隐藏公认的默认端口，降低受破坏机率，保护系统安全。

例如可将远程终端服务（Terminal Server）端口（默认是3389），重定向到另一个端口（例如1234），方法是：

1）在本机上（服务器端）修改。

定位到下列两个注册表项，将其中的PortNumber，全部改成自定义的端口（例如1234）即可：

[HKEY_LOCAL_MacHINE＼SYSTEM＼CurrentControlSet＼ Control＼Terminal Server＼Wds＼rdpwd＼Tds＼tcp]

[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼ Control＼Terminal Server＼WinStations＼RDP-Tcp]

2）在客户端上修改。

依次单击“开始程序附件通讯远程桌面连接”，打开“远程桌面连接”窗口，单击“选项”按钮扩展窗口，填写完相关参数后，单击“常规”下的“另存为”按钮，将该连接参数导出为.rdp文件。用记事本打开并在文件最后添加一行：server port：i：1234

以后，直接双击这个.rdp文件即可连接到服务器的此自定义端口了。

4 结语

实验室网络安全管理同其他网络安全管理一样，没有一劳永逸的方法。因此管理人员需对实验室系统数据定期进行备份。根据实际情况，合理安装并配置操作系统，网络协议，杀毒软件；合理禁止帐户、服务、端口；关注校园网网络安全动态，适时调整相关安全设置；设置审核机制，监视运行情况，及时修复系统异常。并定期进行硬件维护、软件维护、网络维护和日常维护，方能保证计算机实验室系统的正常、稳定运行。

参考文献

[1]石淑华，池瑞楠.计算机网络安全技术（第3版） [M].人民邮电出版社，2012-8.

[2]袁津生，吴砚农.计算机网络安全基础（第4版） [M].人民邮电出版社，2013-7.

[3]王薇.内部网络安全管理系统分析 [J]. 计算机光盘软件与应用 .2011.

[4]张东辉，王晓宇.校园网络安全问题及对策[J].华东科技，2011-3.

[5]周英.多域网络安全管理系统策略一致性研究与设计[N].四川文理学院学报，2013-3.

[6]蒲天银.计算机网络环境下可达性研究关键技术分析[N].湖南科技大学学报，2013-6.

[7]章思宇.基于DNS的隐蔽通道流量检测[N]，通信学报.2013-5.

[8]邓越萍.校园网的安全防范策略[N].山西煤炭管理干部学院院报，2013-5.

[9]王锦.基于PK工的校园网身份认证系统的设计与实现「J].科技创新导报，2011-3.

[10]乔振，乔丽平，陈晓纪.PK工技术在校园网身份认证系统中的应用研究[J].福建电脑，2012.07.

[11]李晋丽，段小波，王琳 . 基于过滤驱动的安全密码框的研究与实现[J].软件，2013-3.

[12]王薇.内部网络安全管理系统分析[J].计算机光盘软件与应用，2011-11.

[13]李越，刘洋.校园网络安全策略[J].科技信息，2010-9.

[14]张东辉，王晓宇.校园网络安全问题及对策[J].华东科技，2011，3.