淺談高校機房安全及優(yōu)化

申請免費試用、咨詢電話：400-8352-114

學(xué)校計算機房是學(xué)校信息化的中樞，為了保證機房系統(tǒng)正常運行，針對各種來源不同的安全威脅，需要有一系列提高系統(tǒng)安全的防范優(yōu)化應(yīng)對措施。

人為威脅

計算機房承擔著學(xué)生課堂上機練習(xí)、課后上機實驗等超負荷的教學(xué)任務(wù)。由于機房管理制度的不完善，加上學(xué)生安全意識淡薄，在上機的過程中有意無意地會出現(xiàn)一些破壞系統(tǒng)的行為。如硬盤被格式化、系統(tǒng)文件被刪除造成操作系統(tǒng)無法啟動；強行結(jié)束學(xué)生端客戶機程序進程，使得正常的教學(xué)無法進行；隨意使用可能帶有病毒的U盤造成病毒的快速傳播。

最近流行的“機器狗”，可以繞開機房傳統(tǒng)的系統(tǒng)保護卡，直接向硬盤寫入數(shù)據(jù)。而“機器狗”等病毒傳播的一個重要途徑是通過U盤等可移動設(shè)備。機房計算機系統(tǒng)應(yīng)關(guān)閉“自動播放”功能，禁止使用可移動設(shè)備。禁止使用可移動設(shè)備方法有多種，可以在BIOS中關(guān)閉USB接口，但這樣USB鼠標也不能用了。兩全的辦法可以通過系統(tǒng)設(shè)置，隱藏不需要的盤符。U盤插入后雖然自動加載了驅(qū)動，但由于不能分配到盤符，同樣可以阻止U盤的使用。

為防止學(xué)生故意結(jié)束客戶機進程，可以使用修改版的任務(wù)管理器程序替代系統(tǒng)原來的任務(wù)管理器，只允許查看進程而不能結(jié)束進程。在一定程度上可以阻止學(xué)生的惡意行為。由于機房是教學(xué)場所，對系統(tǒng)的修改不宜過多，以免影響正常的計算機操作功能。

系統(tǒng)威脅

Windows操作系統(tǒng)和各種應(yīng)用程序同樣也存在著安全漏洞。黑客、病毒程序往往通過安全漏洞實施傳播、攻擊系統(tǒng)、破壞數(shù)據(jù)。機房系統(tǒng)安裝完畢后應(yīng)及時打上最新的補丁，以防攻擊者利用這些已知的安全漏洞入侵計算機系統(tǒng)。為方便為計算機更新補丁，可以在本地安裝一臺WSUS服務(wù)器，實現(xiàn)補丁管理的本地化，實時掌握計算機系統(tǒng)補丁更新情況。

除補丁更新外，還可以利用系統(tǒng)本身提供的權(quán)限體系統(tǒng)來加強安全防護，選用安全等級較高的文件系統(tǒng)。WindowsNT以上的版本提供對NTFS文件系統(tǒng)的支持，它與FAT文件系統(tǒng)相比，最大的特點是安全，可以讓管理員設(shè)置文件及目錄的存取權(quán)限，使用戶只能按照系統(tǒng)賦予的權(quán)限進行操作，存取設(shè)置不僅能防范入侵者，還能使病毒沒有執(zhí)行和安裝的權(quán)限，有效地保護了系統(tǒng)和數(shù)據(jù)的安全。設(shè)置安全賬戶和密碼，Administrator是系統(tǒng)默認的管理員賬戶，它往往成為黑客的攻擊目標，一旦被破解了密碼，整個系統(tǒng)就沒有一點安全可言，創(chuàng)建一個擁有全部權(quán)限的、自設(shè)的管理員賬戶，更改Administrator賬戶名或刪除它，同時禁用未設(shè)任何安全級別的Guest賬戶，是有效防范攻擊的措施。

互聯(lián)網(wǎng)威脅

機房通過校園網(wǎng)接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)入侵帶來的威脅直接影響機房的安全?，F(xiàn)在許多網(wǎng)站的網(wǎng)頁中都帶有利用IE安全漏洞種植木馬的腳本，大量的欺騙性的下載站點更是直接提供含有木馬的軟件下載。還有互聯(lián)網(wǎng)上隨時可以下載到黑客工具和惡意腳本，即使是普通的計算機使用者都可以利用這些工具對網(wǎng)絡(luò)進行攻擊。因此機房計算機系統(tǒng)除了加上最新的補丁外，還必須安裝有效的防病毒程序，可以建立病毒庫本地更新服務(wù)器，以方便病毒庫更新。

對于目前流行的“機器狗”、“ARP攻擊”疫情，可以使用各種專殺工具。為防止內(nèi)部用戶下載攻擊工具，可以使用防火墻限制內(nèi)部用戶的上網(wǎng)行為，禁用特殊端口，不允許下載可執(zhí)行文件等措施，以抑制各種可能的破壞行為。