网络中心机房建设_高校网络中心机房安全防护策略研究

　　【摘 要】信息化是实现高校跨越式发展和高等教育大众化的重要手段，而目前我国高校的信息化普遍存在着一些问题。其中，高校网络中心机房的安全问题尤为突出。本文在对我国高校网络中心机房现状及问题进行深入分析的基础上，提出一些防护措施与策略。
　　【关键词】网络中心；机房；安全防护；策略
　　一、引言
　　信息化是未来世界经济和社会发展的重要趋势,信息化水平已成为衡量高校现代化程度和综合实力的主要标志之一。信息化是实现高校跨越式发展和高等教育大众化的重要手段,也是建设学习型社会,构建完善的终身教育体系的重要途径。校园网是高校信息化的重要组成部分,它已成为高校最重要的基础设施之一。网络中心机房是校园网的核心和枢纽,它的运行情况与整个学校的教学、科研和管理工作的顺利进行息息相关,因而网络中心机房的安全防护管理工作的重要性就尤为突出。
　　二、高校网络中心机房安全问题概况
　　（1）机器设备陈旧落后。随着科技的不断发展，计算机软件得到了持续升级更新,其功能越加完善,使得其对硬件配置的要求也随之提高。但受限于设备经费的投入不足,尚不能做到对硬件设备的及时提升,造成部分软件运行不畅甚至无法使用的局面。（2）计算机网络面临各种各样的恶意攻击。计算机病毒不仅会直接对整个网络系统产生威胁,而且会间接给上机操作人员的劳动成果造成无法挽回的损失。目前面临的恶意网络攻击行为主要分为以下几种：一是崩溃型攻击。崩溃型攻击可分为“死亡之ping”和“UDP洪水”这两种主要形式。其中“死亡之ping”主要发生在网络发展的早期阶段，路由器对包的最大尺寸都有一定的限制，多数操作系统对TCP/IP栈的实现在ICMP包上都统一规定为64KB大小，且在对包的标题头进行读取之后，还需要依据该标题头里所包含的信息来为有效荷载生成缓冲区；“UDP洪水”是指利用各种各样的假冒攻击来进行简单的TCP/IP服务，如使用Chargen和Echo来传送一些毫无用处且占满带宽的数据。二是利用型攻击。利用型攻击的代表是“特洛伊木马”和“缓冲区溢出”。这里的“特洛伊木马”指的是一种后门程序，它实际上是一个由黑客通过一个不令人起疑的用户秘密安装到目标服务器系统的程序；而“缓冲区溢出”是指现在的很多服务程序中普遍存在着一些strcpy()或strcat()等类似的不进行有效位检查的函数，而导致恶意用户使用其编写的一小段利用程序来进一步打开安全豁口，然后将该代码后缀在缓冲区的有效荷载末尾，在这种情况下当发生缓冲区溢出时，返回指针就会指向恶意代码，从而使系统的控制权被夺取。三是信息收集型攻击。信息收集型攻击常见的有“地址（端口）扫描技术”和“体系结构探测”两种。“地址（端口）扫描技术”主要先通过ping这类程序来探测目标服务器地址，一旦对此作出响应，即说明该服务器确实存在；“体系结构探测”是指黑客运用具有已知响应类型的数据库自动工具，对来自目标服务器的或坏数据包传送所作出的响应进行检查。四是假消息攻击。通常说的假消息攻击是指“DNS高速缓存污染”和“伪造电子邮件”。“DNS高速缓存污染”是指黑客利用DNS服务器与其它名称服务器交换信息时并不会对身份进行验证的特点，将错误的信息掺杂进信息中去并把用户引向黑客自己的主机；“伪造电子邮件”是指黑客针对SMTP不对邮件发送者身份进行鉴定的缺陷，向你的内部客户发送伪造的电子邮件，并声称其是来自某个客户认识且信任的人，该伪造的电子邮件附带上可安装的特洛伊木马程序或是引向恶意网站的连接，一旦用户点击它，后门程序就会被安装。（3）维护网络中心计算机的方法不当。计算机设备的精心保养和清洁是机房工作人员的重要工作之一。计算机的元器件对灰尘非常敏感,主机插槽和板卡之间的灰尘堆积较多的情况下,开机启动时很容易烧坏板卡。机房人员存在的工作紧张、任务繁重等情况,使计算机设备很少得不到正确及时的保养,从而降低了计算机的使用效果与寿命。
　　三、高校网络中心机房安全防护策略
　　高校网络中心是高校在信息化建设的大背景下设立的一个负责校园网络规划与管理的行政组织机构。高校网络中心的建立对加强高校网络化的建设与管理、提高高校信息化工作水平等具有重要的现实意义和作用。（1）外围环境的维护。良好的外部环境会在一定程度上延长机房机器设备的使用寿命。因此,机房首先要保持清洁卫生,尽量避免灰尘对机器的侵害；还要使机房的温度和湿度保持在适当水平,以免摩擦起电伤及设备的电子元件造成机器硬件损坏的发生。此外,要重点加强机房的防火防盗等措施。（2）网络中心机房计算机硬件的维护。机房工作人员平时应定期对硬件进行检查并排除硬件故障,及时更换有故障的硬件,例如鼠标、键盘、光驱等,确保机器设备的正常运行。此外，机房人员还应做到一个月对计算机的外壳、键盘和鼠标器等外部设备及计算机桌面等进行一次清洁,一个学期对机箱内部的灰尘进行一次清除。（3）网络中心机房软件系统的维护。网络中心计算机软件系统的维护工作，可以从以下四个方面重点入手：第一，应将所有的磁盘分区转换成NTFS格式。因为当黑客开始对你的网络发起攻击时，他们的首要工作是检查网络是否存在一般的安全漏洞问题，然后根据所发现的问题考虑难度更大的突破安全系统的手段。因此，如果你的服务器上的资料是保存在FAT格式的磁盘分区时，是具有相当大的危险性的，即使安装了世界上最安全的安全软件也仍然会存在漏洞。第二，及时下载安装最新的操作系统安全补丁程序。操作系统厂商，一般都会有一个专门的程序员团队来不间断地检查他们系统软件的安全漏洞并及时制作和发布相应程序来进行修补。当出现大的安全漏洞时应及时进行修补，并经常查看这些补救程序是否已经被安装，同时一定要按逻辑顺序使用。第三，定期检查服务器的防火墙。防火墙是保障网络机房服务器安全的一个重要且基本的措施，它可以将服务器与互联网上那些有可能对它造成损坏的黑客或病毒等隔离开来。防火墙的检查工作主要是检查其不会向外界开放不必要开放的任何IP地址。此外，其它工作站与服务器的IP地址也必须被隐藏。第四，安装入侵侦测及报警系统。非法入侵侦测防御系统的安装，可以有效弥补目前防火墙尚达不到的功能，综合使用两者可以达到监控网络、立即执行拦截动作以及分析过滤封包和内容的动作。一旦有窃取者入侵行为发生时便可立刻采取措施制止其行为，入侵侦测及报警系统可以成为服务器除防御保护外的另一道防线。（4）加强网络中心安全建设。在网络规划设计阶段就应将网络安全问题放在首位。校园计算机网络目前存在访问方式多样、用户群庞大、网络行为突发性较高等特点,整个校园网级、子网级、网络结点级乃至用户级和服务账号级的有效管理,可以有效保证校园网络安全。校园网对外通信一律经过防火墙(包括代理)系统,对所有跨越校园网边界的邮件转发进行集中控制,树立起隔绝外部攻击的屏障,也可审计内部用户对外的网络访问。在网络设计中,精心规划子网(包括VLAN),进行设备选型,可保证在路由和交换设备上对子网、网络结点的隔离以及控制能力。引入IDS入侵检测系统,建立与维护完整的网络用户数据库,严格对系统日志进行管理,则可对网络用户和服务账号进行精确的控制。
　　四、总结
　　网络中心机房是高校顺利进行教学和其它各种活动的核心与枢纽，也是校园网络的重要组成部分，它的安全问题关系到校园网络的整体安全。所以，在校园网络的规划与运行阶段，应始终将其作为工作的重点。在具体的实施过程中，应根据实际情况，采取有效措施或手段来确保校园网络的正常运行有效运行，从而保障高校各种活动的有效开展。
　　参 考 文 献
　　[1]王达光，甘井中，莫礼健，李丁．高校网络中心机房建设研究[J]．中国现代教育装备．2009（1）
　　[2]张健．网络建设的重要环节——中心机房的建设[J]．辽宁师专学报（自然科学版）．2006（2）
　　[3]戴建华．网络中心机房建设的若干关键问题研究[J]．中小企业管理与科技（上旬刊）.2011（6）
　　[4]陈德敏．高校网络中心的建设与管理[J]．重庆科技学院学报（社会科学版）．2007（6）
　　[5]刘舒野．新机房建设中网络安全管理规范性探讨[J]．吉林金融研究．2009（9）