分布型高校机房网络的安全性研究

摘 要： 研究分析了当前高校的机房特点，以基于空间上呈分布式结构的计算机房为实例，结合当前较为常见的安全问题和可预见的潜在威胁，从硬件和软件两个方面，从单机辐射到整个局域网络，从外部访问到内部通信等多维度进行了深度的挖掘。提出了从逻辑上对机房进行简单化网络划分的思想，按照紧急程度制定不同的安全策略，给出从局部到整体的全面解决方案。

关键词： 分布型； 高校机房； 安全性； 网络

中图分类号：G482 文献标志码：A 文章编号：1006-8228（2013）03-17-03

0 引言

自成立综合性大学以来，很多高校对一些小规模学校进行了兼并整合，于是校园网也出现了分布式大跨度复杂型结构，这对于需要资源统一调度管理的运行模式来说，提出了很高的要求。

1 分布型网络机房结构

以我校为例，学校一共分为3个校区，每个校区都设立有计算机中心，并且以房间为单位划分为不同的学生机房。校区1和校区2因为地理位置比较靠近，所以通过铺设光纤通道来实现物理连接，校区3与校区1或校区2的地理位置跨度较大，经过与电信公司的协商，通过在其管理机房中跳线进行通信。详细的网络拓扑结构如图1所示。

2 多维度的安全点分析

从保障教学质量和各类防火防水等安全角度出发，从单机到网络，可以把机房安全问题分为硬件和软件两部分内容，基于网络拓扑图，我们研究并归纳出各个安全节点。

2.1 硬件方面

2.1.1 机房环境的安全

影响机房安全运行的因素多而复杂，如不消除这些不利因素，久而久之就会潜移默化成安全隐患，轻则导致计算机运行不稳或损坏，重则引起触电、火灾等重大安全事故。

⑴ 温度的影响

由于学生机房设备数量大，密度高，并且经常同时运行，所以，机房的耗电量和散热量都相当大；机房空间相对来说处于封闭状态，热量很难及时散发。所以机房的温度（20℃～25℃为宜）和通风等是必须考虑的因素。

⑵ 湿度的影响

过大的湿度会使电子元器件表面覆盖水膜层，在灰尘的共同作用下，就会形成供电线路短路，损坏主板等设备。然而湿度过小同样危害很大，据有关资料表明，机房内相对湿度为30%时静电压为5000V，而相对温度降到10%时静电压将高达20000V。为了确保计算机安全可靠地运行，除严格控制温度之外，还应把湿度控制在规定的范围45%～65%之内[1]。

⑶ 灰尘的影响

灰尘对于精密电子元器件的危害众所周知，但在高校的教学机房中，根本无法做到绝尘管理。危害主要表现在：损伤磁盘驱动器磁片，划伤磁盘，造成数据的丢失；使主机CPU产生错误信息，使键盘操作失灵，不能使用；使显示器产生高压打火；使线路板触点阻抗变小，产生短路；交流电接触不良，造成电网电压发生波动等。

⑷ 静电的影响

静电是看不到，摸不着的东西，然而它却是计算机最可怕的杀手之一。虽然机房没有什么易燃易爆物品，但它可以击穿MOS电路并引起计算机误操作或运算错误，轻则会带来使用上的困扰，重则会令一台计算机报废。此外静电干扰会使显示器的成像紊乱，令显示器无法正常使用。

⑸ 火灾防护

火灾在计算机房中较少发生，但是一旦出现，危害很大，主要是因为设备或线路自身的缺陷、维修不当、年久失修或使用不当，以及管理制度不严而造成的[1-5]。

2.1.2 网络设备和连接的安全

在引入了机房管理系统和校园一卡通工程后，整个机房都必须在一个相对连通的网络环境下才能正常使用，保证网络的畅通是保障机房安全稳定运行的关键。从硬件上，网络主要由网络设备和网线（或光纤）等组成，网络设备主要由连接学生用机的接入层交换机、连接各接入层交换机的汇聚层交换机和连接各汇聚层交换机的核心交换机三大类设备组成，另外还有托管给电信运营商的跨校区链路设备（此设备不用我们考虑），这些设备的损坏或者失效都会导致一部分或者整个机房运行的瘫痪；相关网线链路主要由连接学生机和接入层交换机的末端网路、跨校区的光纤链路和与核心层交换设备相连的网路三部分组成。末端网路故障主要由于水晶头松动或者网线折断等原因引起，而光纤链路的阻断则会导致某个校区的瘫痪，与核心层设备相连的网络阻断则会导致整个机房管理的瘫痪。

2.1.3 学生机的安全

因为现在的机房管理一般引入硬盘保护卡模式，这些安装在PCI插槽上的“网卡”经常会发生接触不良而失效的状况，会令机器无法使用，或者成为传播机房病毒的定时炸弹。键盘鼠标可能会成为一些顽皮学生的恶作剧对象，经常发现有学生把标准键盘的按键按照不同的顺序进行排列，导致使用上的障碍，更有学生对一些不太灵活的鼠标私自插拔，导致PS/2接口的针头损坏，这些都对正常教学产生了极大的干扰。

2.1.4 服务器的安全

对于机房来说，各类服务器的应用必不可少，像FTP服务器、各类考试服务器、邮件服务器、Web服务器和网关服务器等，这些服务器时刻都在提供着各类服务，很多课程无法在脱离它们的情况下继续正常教学，特别是提供机房管理服务的机器，一旦宕机，机房马上瘫痪。然而由于服务器质量问题或长时间运行等原因，很难保证这些服务器能绝对安全地提供服务。

2.2 软件方面

2.2.1 单机系统安全

现在的教学和自由上机几乎都离不开网络，机房接触Internet和各类媒介的接口基本上只通过学生用机来实现，学生用机会成为病毒爆发和系统瘫痪的重要隐患。虽然硬盘保护卡能还原或恢复本机的相关数据和参数，但是不当的设置也存在爆发病毒的潜在威胁。根据CNNIC（中国互联网信息中心）的最新数据表明，当前的病毒95%以上都是网络型病毒，针对单机的攻击非常少，也就是说只要系统存在缺陷，哪怕本机没有病毒，网络上存在的攻击程序和病毒也会迅速传播，影响正常使用。除此之外，各类服务器也会成为攻击的主要目标，针对机房DMZ（非军事化区域）的攻击一旦成功，可能会致使整个机房运行的瘫痪，所以，单机系统的安全性也与各类服务器的安全设置相关。

2.2.2 网络设置安全

对于这样一个分布式的大型复杂网络，如何从逻辑上进行有效合理的规划并制定切实可行的安全策略是保障网络安全的关键。从拓扑图可以看出，虽然机房呈分布型散落在不同的区域，但是通过各类网络设备的连接，可以实现逻辑上的大跨度局域网，合理分配IP地址，进行网络安全性设置，把病毒传播影响缩小到最小值；在相应位置添置各类安全设备或者设置安全规则，有效控制病毒传播，抑制其爆发范围。

3 相应安全策略和对策

针对以上已存在或潜在的威胁和安全问题，提出以下相应的安全策略。

⑴ 安装空调系统。对于空间不是很大的机房（一般在60M2以下），可采用家用立式或壁挂式空调，设计容量可以参考160W-250W/M2来估算。如果是独立实验楼使用机房，建议安装中央空调。在设计中，应充分考虑环保节能的技术，引入自然通风与地源热泵等空调技术，以节约能源。

⑵ 机房内应安装温湿度检测仪器，当湿度超过一定标准时（一般是45%～65%），可以利用空调或相关除湿设备进行除湿操作，注意在梅雨季节时候，应不定期对机房进行除湿。对于湿度过低容易引起静电的冬季，可以在每天打扫卫生的时候，用湿拖把清理地面来达到加湿的效果，有条件的也可以使用加湿设备。

⑶ 工作人员应做好每日的机房清洁工作，减少灰尘堆积；定期对计算机进行全面的硬件维护，可以打开机箱盖，将CPU风扇、显卡风扇、主板、硬盘、光驱等部件进行全面灰尘清理；严格控制灰尘源，制定并执行相关规章制度，要求进出实验室的人员先换鞋或穿鞋套。

⑷ 通过接地的方法来防止静电及外界电磁干扰，根据实际需要，进行电屏蔽、磁屏蔽或电磁屏蔽。机房地板是静电产生的主要来源，在建造机房的时候，可直接铺设防静电PVC，也可选择使用防静电陶瓷架空活动地板，这不但利于机器设备的维护及维修，而且使用寿命长达50年，更是一种防火材质，是其他材料所无法比拟的。

⑸ 严格按照消防要求设计机房，从建筑、报警、设备和管理等方面采取必要的防火措施。机房必须建立严格的安全管理制度，同时要对机房的值班人员灌输消防知识和进行必要的消防训练。必须为机房配备消防设备（ 包括报警和灭火设备） ，不得使用明火，严禁吸烟等[1，6-8]。

⑹ 对于接入层交换机等较廉价网络设备，可以采取备机方案，在设备损坏的时候，立即进行更换，因为网络设备的损坏影响范围较大，可致教学事故的发生。经验告诉我们，交换机等设备的损坏基本上都发生在电容器件上，由于长时间运行，在灰尘堆积和散热不良的双重作用下，电容出现了爆浆或胖顶等失效现象，所以做好机柜的散热非常有必要。对于有条件的学校来说，可以考虑引入精密空调设备来进行维护。网线等连接线的设计要充分考虑设备位移效应，学生在使用机器的时候可能会搬动机器，导致网线松动或者与接口脱落，所以在长度上应当给予一定的冗余值，一般比具体点位多出1-2米为宜。

⑺ 在选择硬盘保护卡产品的时候，可以考虑使用集成在主板BIOS上的内置保护卡程序，随着存储芯片技术的发展，目前的BIOS芯片容量完全可以写入各种底层控制程序，这种内置式的保护卡完全解决了因外置保护卡接触不良而导致的还原失效问题。对于键盘鼠标等容易私自插拔的设备，可以设计成固定式，杜绝学生的破坏。

⑻ 对服务器的应用紧急性进行等级划分。对于那些“零等待”的特别重要的服务器，比如机房管理系统服务器，必须要做好 “双机热备”的设置，在主设备宕机的时候，能够立即切换到备用设备来实现系统的不间断稳定运行；对于次紧急服务器可采用其他备份方式，比如采用ghost备份还原，尽可能快地恢复服务。

⑼ 合理规划学生用机的操作系统和相关应用软件的安装，对于操作系统要尽量打全系统补丁，关闭与教学需求无关的端口和服务，根据需要选择安装防病毒或者防火墙软件，在母机发送前一定要做好充分的调试工作，测试各种软件是否存在冲突，保证其可用性。对于传送之后出现的各类补丁和病毒库，根据自身条件尽量进行升级，保证系统的安全性，并且，在安装补丁之后，应重新进行各类测试，保证各类软件的正常使用。目前大部分学校使用的新版保护卡都具有增量传送功能，单单一些补丁程序，对于100台规模的机房，可以在几分钟内完成同传工作，效率非常高。如果光从安全的角度出发，完全可以禁用USB接口，杜绝媒介传播病毒的可能性，但是对于开放式机房来说，往往需要开发USB接口，我们可以通过在客户端安装存储设备扫描程序（比如说360的U盘扫描程序）来对插入的媒介进行浅度扫描，减少木马等病毒传播的机会[7，10，11]。

对于各类服务器来说，除了及时打上各类补丁之外，因为考虑到服务器一般都有专用的特点，是提供某种服务的系统，所以只开放相关的服务和端口即可，即服务最简化，比如FTP服务器，只开放端口21（系统默认端口）或者用户自定义端口即可，其他的相关服务和端口都可以关闭，并且卸载不相关的系统组件和服务，保证服务的纯正，减少被攻击的可能。

⑽ 根据物理位置并结合逻辑实现合理规划设置IP地址段，我校结合用户数量规模选择了C类IP为学生用地址，所有机器的IP地址以192.168开头，第三段为机房编号，第四段为机器编号，比如192.168.1.5即为1号机房5号机器，这样非常方便网络监控与管理，在汇聚层和核心层上创建以机房号为边界的VLan，加入相关规则后，保证各个机房之间的逻辑隔离，这样可以把网络风暴和网络病毒控制在特定区域中，使影响最小化。设置DMZ区域所有的机器为同一个网段，使学生用机都可以对其访问。

⑾ 在机房总线出口处设置网关与防火墙，从对网络攻击等行为进行源头控制。网关设备推荐使用基于Linux内核的各类系统，比如著名的Router OS，在配置性能较强的网卡后，它完全可以让一台已经报废的普通PC承担上千台的客户端机，充分挖掘机器的潜力。防火墙最好采用具有独立功能的硬件设备，对于数量众多的客户端来说，强劲的运算性能和良好的程序设计是安全和稳定运行的重要保障[8-10]。

4 安全点紧急性分析

在所有的安全点中，重要性和紧急性应予以区分，采取区别化策略。对各个具体安全因素根据紧急程度进行归纳汇总，合并成四个主要方面，具体如图2所示，可以看出，位于三角形底部的是紧急性较低的因素，顶部的紧急性最高，各个层次采取的措施如左方。

5 结束语

分布型学校机房空间结构比较复杂，但是设计人员要从逻辑角度出发，合理科学规划网络设置，尽量做到简单化，这样可以更好地进行管理和维护。在精简化的过程中，也要充分考虑潜在的安全隐患，最好制定相关的应急方案来应对突发事件。安全问题是一个不断演化的过程，在设计和维护机房的时候，应从硬件和软件两个角度给予充分考虑，并制定相应策略，以避免更多的安全问题，保证更好的教学质量。

参考文献：

[1] 卢来.高校计算机机房安全管理存在的问题及对策分析[J].信息与电

脑，2011.6：23-24

[2] 张庆河.电气与静电安全[M].中国石化出版社，2005.

[3] 夏雨.浅谈高校计算机房安全管理[J].孝感学院学报，2007.6.

[4] 张凤仪，刘学明，许子键.高校计算机机房环境安全管理对策[J].重庆

工学院学报，2006.20（11）.

[5] 吕昌河，何林林.计算机网络安全实用技术[M].电子工业出版社，

2005.

[6] 陈向荣.高校中心机房安全管理[J].实验室研究与探索，2005.12（7）.

[7] 袁更华.Windows Server 2003 组网与安全配置手册[M]. 中国青年

出版社，2004.

[8] 李劲.Windows Server 2003网络管理手册[M].中国青年出版社，

2004.

[9] 朱志杰.建筑高级装饰施工与报价[M].北京中国建筑工业出版社，

1992.

[10] 徐永根.工业与民用配电设计手册[M].北京水利电力出版社，1994.

[11] 章长东.工业与民用电气安全[M].北京中国电力出版社，1996.