淺談高校機(jī)房安全及優(yōu)化

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

學(xué)校計(jì)算機(jī)房是學(xué)校信息化的中樞，為了保證機(jī)房系統(tǒng)正常運(yùn)行，針對(duì)各種來(lái)源不同的安全威脅，需要有一系列提高系統(tǒng)安全的防范優(yōu)化應(yīng)對(duì)措施。

人為威脅

計(jì)算機(jī)房承擔(dān)著學(xué)生課堂上機(jī)練習(xí)、課后上機(jī)實(shí)驗(yàn)等超負(fù)荷的教學(xué)任務(wù)。由于機(jī)房管理制度的不完善，加上學(xué)生安全意識(shí)淡薄，在上機(jī)的過(guò)程中有意無(wú)意地會(huì)出現(xiàn)一些破壞系統(tǒng)的行為。如硬盤(pán)被格式化、系統(tǒng)文件被刪除造成操作系統(tǒng)無(wú)法啟動(dòng)；強(qiáng)行結(jié)束學(xué)生端客戶機(jī)程序進(jìn)程，使得正常的教學(xué)無(wú)法進(jìn)行；隨意使用可能帶有病毒的U盤(pán)造成病毒的快速傳播。

最近流行的“機(jī)器狗”，可以繞開(kāi)機(jī)房傳統(tǒng)的系統(tǒng)保護(hù)卡，直接向硬盤(pán)寫(xiě)入數(shù)據(jù)。而“機(jī)器狗”等病毒傳播的一個(gè)重要途徑是通過(guò)U盤(pán)等可移動(dòng)設(shè)備。機(jī)房計(jì)算機(jī)系統(tǒng)應(yīng)關(guān)閉“自動(dòng)播放”功能，禁止使用可移動(dòng)設(shè)備。禁止使用可移動(dòng)設(shè)備方法有多種，可以在BIOS中關(guān)閉USB接口，但這樣USB鼠標(biāo)也不能用了。兩全的辦法可以通過(guò)系統(tǒng)設(shè)置，隱藏不需要的盤(pán)符。U盤(pán)插入后雖然自動(dòng)加載了驅(qū)動(dòng)，但由于不能分配到盤(pán)符，同樣可以阻止U盤(pán)的使用。

為防止學(xué)生故意結(jié)束客戶機(jī)進(jìn)程，可以使用修改版的任務(wù)管理器程序替代系統(tǒng)原來(lái)的任務(wù)管理器，只允許查看進(jìn)程而不能結(jié)束進(jìn)程。在一定程度上可以阻止學(xué)生的惡意行為。由于機(jī)房是教學(xué)場(chǎng)所，對(duì)系統(tǒng)的修改不宜過(guò)多，以免影響正常的計(jì)算機(jī)操作功能。

系統(tǒng)威脅

Windows操作系統(tǒng)和各種應(yīng)用程序同樣也存在著安全漏洞。黑客、病毒程序往往通過(guò)安全漏洞實(shí)施傳播、攻擊系統(tǒng)、破壞數(shù)據(jù)。機(jī)房系統(tǒng)安裝完畢后應(yīng)及時(shí)打上最新的補(bǔ)丁，以防攻擊者利用這些已知的安全漏洞入侵計(jì)算機(jī)系統(tǒng)。為方便為計(jì)算機(jī)更新補(bǔ)丁，可以在本地安裝一臺(tái)WSUS服務(wù)器，實(shí)現(xiàn)補(bǔ)丁管理的本地化，實(shí)時(shí)掌握計(jì)算機(jī)系統(tǒng)補(bǔ)丁更新情況。

除補(bǔ)丁更新外，還可以利用系統(tǒng)本身提供的權(quán)限體系統(tǒng)來(lái)加強(qiáng)安全防護(hù)，選用安全等級(jí)較高的文件系統(tǒng)。WindowsNT以上的版本提供對(duì)NTFS文件系統(tǒng)的支持，它與FAT文件系統(tǒng)相比，最大的特點(diǎn)是安全，可以讓管理員設(shè)置文件及目錄的存取權(quán)限，使用戶只能按照系統(tǒng)賦予的權(quán)限進(jìn)行操作，存取設(shè)置不僅能防范入侵者，還能使病毒沒(méi)有執(zhí)行和安裝的權(quán)限，有效地保護(hù)了系統(tǒng)和數(shù)據(jù)的安全。設(shè)置安全賬戶和密碼，Administrator是系統(tǒng)默認(rèn)的管理員賬戶，它往往成為黑客的攻擊目標(biāo)，一旦被破解了密碼，整個(gè)系統(tǒng)就沒(méi)有一點(diǎn)安全可言，創(chuàng)建一個(gè)擁有全部權(quán)限的、自設(shè)的管理員賬戶，更改Administrator賬戶名或刪除它，同時(shí)禁用未設(shè)任何安全級(jí)別的Guest賬戶，是有效防范攻擊的措施。

互聯(lián)網(wǎng)威脅

機(jī)房通過(guò)校園網(wǎng)接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)入侵帶來(lái)的威脅直接影響機(jī)房的安全?，F(xiàn)在許多網(wǎng)站的網(wǎng)頁(yè)中都帶有利用IE安全漏洞種植木馬的腳本，大量的欺騙性的下載站點(diǎn)更是直接提供含有木馬的軟件下載。還有互聯(lián)網(wǎng)上隨時(shí)可以下載到黑客工具和惡意腳本，即使是普通的計(jì)算機(jī)使用者都可以利用這些工具對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。因此機(jī)房計(jì)算機(jī)系統(tǒng)除了加上最新的補(bǔ)丁外，還必須安裝有效的防病毒程序，可以建立病毒庫(kù)本地更新服務(wù)器，以方便病毒庫(kù)更新。

對(duì)于目前流行的“機(jī)器狗”、“ARP攻擊”疫情，可以使用各種專殺工具。為防止內(nèi)部用戶下載攻擊工具，可以使用防火墻限制內(nèi)部用戶的上網(wǎng)行為，禁用特殊端口，不允許下載可執(zhí)行文件等措施，以抑制各種可能的破壞行為。