鐘百勝

（行政職業(yè)學(xué)院，廣東 廣州 510800）

1.網(wǎng)絡(luò)安全對(duì)計(jì)算機(jī)實(shí)驗(yàn)室的重要性

網(wǎng)絡(luò)安全簡(jiǎn)單地說就是在網(wǎng)絡(luò)的環(huán)境下能夠識(shí)別和消除不安全因素的一種能力。計(jì)算機(jī)實(shí)驗(yàn)室中所保存的是各種計(jì)算機(jī)硬件實(shí)施與各種重要的數(shù)據(jù)，一旦遭到病毒的攻擊，就將面臨數(shù)據(jù)丟失的威脅。隨著計(jì)算機(jī)系統(tǒng)功能的日益完善和速度的不斷提高，系統(tǒng)組成越來越復(fù)雜，系統(tǒng)規(guī)模越來越大，特別是Internet的迅速發(fā)展，存取控制、邏輯連接數(shù)量不斷增加，軟件規(guī)模空前膨脹，任何隱含的缺陷、失誤都能造成計(jì)算機(jī)實(shí)驗(yàn)室的巨大損失。

2.當(dāng)前病毒現(xiàn)狀分析

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，文件的傳播載體也由存儲(chǔ)介質(zhì)向著網(wǎng)絡(luò)方向發(fā)展，計(jì)算機(jī)病毒的傳播也不再是以存儲(chǔ)介質(zhì)為主要的傳播載體，網(wǎng)絡(luò)已經(jīng)成為計(jì)算機(jī)病毒傳播的主要途徑。當(dāng)前很多流行與新出現(xiàn)的病毒都能夠利用郵件系統(tǒng)和網(wǎng)絡(luò)進(jìn)行傳播。在現(xiàn)階段較為流行的病毒木馬有NRD系列網(wǎng)游竊賊、奔牛下載器、IE首頁劫匪、文件夾模仿者、魔獸密保克星、木馬下載者及其變種、代理木馬及其變種、U盤殺手及變種、Hack_Kido及變種、“灰鴿子”新變種、桌面劫持者等。在流行的病毒中仍然是以蠕蟲和木馬為主，網(wǎng)頁掛馬有著上升的趨勢(shì)。病毒的主要傳播途徑以存儲(chǔ)設(shè)備、系統(tǒng)漏洞（MS11-011、MS08-067、MS10-002、MS10-018）、網(wǎng)頁掛馬等方式為主。

3.病毒防范措施

（1）樹立計(jì)算機(jī)病毒防范意識(shí)

計(jì)算機(jī)實(shí)驗(yàn)室人員必須要樹立起病毒防范意識(shí)，從思想上對(duì)計(jì)算機(jī)病毒防范進(jìn)行重視。一部分計(jì)算機(jī)實(shí)驗(yàn)室人員為了顯示自己高超的計(jì)算機(jī)水平，總是不將網(wǎng)絡(luò)安全放在心上，為計(jì)算機(jī)實(shí)驗(yàn)室的網(wǎng)絡(luò)安全留下隱患。對(duì)于具有較高水平的計(jì)算機(jī)實(shí)驗(yàn)室人員，如果能夠稍有警惕很容易就能夠發(fā)現(xiàn)病毒在傳染時(shí)和傳染后留下的蛛絲馬跡，從而減輕對(duì)計(jì)算機(jī)實(shí)驗(yàn)室造成的危害。對(duì)于計(jì)算機(jī)實(shí)驗(yàn)室來說能夠更好地防范來自于網(wǎng)絡(luò)上的攻擊，但是如果破壞是來自于內(nèi)部，那么所造成的損失會(huì)更大。

（2）針對(duì)不同類型的計(jì)算機(jī)并對(duì)進(jìn)行防范

根據(jù)病毒的存在的媒體分類可以將病毒分為引導(dǎo)型病毒、文件型病毒與網(wǎng)絡(luò)病毒。

引導(dǎo)型病毒的防范。引導(dǎo)型病毒是寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒，它在計(jì)算機(jī)啟動(dòng)時(shí)，優(yōu)先獲取對(duì)計(jì)算機(jī)的控制權(quán)，搶占內(nèi)存。該種病毒一定要帶毒的軟盤啟動(dòng)才能傳到硬盤，因此，只要不用軟盤或者只用“干凈的”軟盤啟動(dòng)系統(tǒng)就能夠很好地進(jìn)行防范。特別是如今軟盤快要退出歷史舞臺(tái)了，因此引導(dǎo)型病毒所能夠造成的損害變得更為有限。

4.加強(qiáng)計(jì)算機(jī)實(shí)驗(yàn)室建設(shè)

4.1 實(shí)驗(yàn)室內(nèi)部設(shè)置

（1）硬件還原與軟件還原

在計(jì)算機(jī)實(shí)驗(yàn)室中硬件還原保護(hù)卡對(duì)反病毒有著巨大的貢獻(xiàn)。利用還原保護(hù)卡可以有效防止各種因?yàn)橛幸馀c無意的對(duì)系統(tǒng)軟件的破壞和病毒的感染。常見的保護(hù)卡有小哨兵還原卡、三茗保護(hù)卡等等。但是硬件還原卡并不是萬能的，隨著計(jì)算機(jī)病毒的發(fā)展，部分較陳舊的保護(hù)卡都存在被攻破的案例。軟件還原是利用一些還原軟件對(duì)系統(tǒng)進(jìn)行備份，定期將系統(tǒng)還原，讓系統(tǒng)恢復(fù)到一個(gè)較佳的狀態(tài)。

（2）殺毒軟件更新，設(shè)置目錄讀寫權(quán)限

對(duì)于實(shí)驗(yàn)室中的計(jì)算機(jī)必須使用最新的殺毒軟件，合理設(shè)置殺毒軟件更新設(shè)置，做到殺毒軟件最新。同時(shí)必須對(duì)系統(tǒng)目錄讀寫權(quán)限進(jìn)行設(shè)置。通過對(duì)權(quán)限的設(shè)置可以有效防止計(jì)算機(jī)感染病毒。特別是對(duì)于學(xué)生，不能夠讓他們以最高權(quán)限的用戶登陸系統(tǒng)。同時(shí)對(duì)于某些盤的讀寫權(quán)限也應(yīng)該進(jìn)行限制，例如系統(tǒng)盤。

（3）教師機(jī)安裝簡(jiǎn)單監(jiān)控軟件

在計(jì)算機(jī)實(shí)驗(yàn)室中的教師機(jī)上可以安裝一些簡(jiǎn)單的監(jiān)控軟件，例如P2P終結(jié)者、網(wǎng)絡(luò)剪刀手（NetCut）、SyGate等。網(wǎng)絡(luò)剪刀手主要對(duì)網(wǎng)關(guān)進(jìn)行控制，能夠?qū)W(xué)生上網(wǎng)進(jìn)行有效控制。SyGate則是對(duì)學(xué)生訪問的網(wǎng)站進(jìn)行控制。

4.2 對(duì)網(wǎng)絡(luò)進(jìn)行有效控制

（1）訪問控制列表

訪問控制列表是利用包過濾技術(shù)在路由器上讀取第三層及第四層包頭中的信息，例如源地址、目的地址、源端口、目的端口信息等，并根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。訪問控制列表主要是為了實(shí)現(xiàn)以下功能：1）保護(hù)資源節(jié)點(diǎn)阻止非法用戶對(duì)資源節(jié)點(diǎn)的訪問；2）對(duì)特定的用戶節(jié)點(diǎn)所能具備的訪問權(quán)限進(jìn)行限制。在配置訪問控制列表時(shí)需要遵循以下原則：1）最小特權(quán)原則，即是只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限；2）最靠近受控對(duì)象原則，指的是所有的網(wǎng)絡(luò)層訪問權(quán)限控制。

（2）內(nèi)外網(wǎng)管理

加強(qiáng)內(nèi)外網(wǎng)的管理對(duì)于計(jì)算機(jī)實(shí)驗(yàn)室的病毒防范十分重要。在進(jìn)行計(jì)算機(jī)實(shí)驗(yàn)室的網(wǎng)絡(luò)建設(shè)時(shí)需要對(duì)內(nèi)外網(wǎng)進(jìn)行劃分，從物理上分割開來，中間利用防火墻進(jìn)行連接。禁止外來設(shè)備直接與實(shí)驗(yàn)室中的設(shè)備進(jìn)行連接。同時(shí)在計(jì)算機(jī)實(shí)驗(yàn)室中還能夠配置兩臺(tái)孤機(jī)作為為域內(nèi)數(shù)據(jù)交換的前端工作臺(tái)，這兩臺(tái)孤機(jī)在每次裝機(jī)(升級(jí))后未運(yùn)作前進(jìn)行全系統(tǒng)數(shù)據(jù)備份(ghost)，并將備份數(shù)據(jù)存儲(chǔ)在專用移動(dòng)硬盤或直接刻錄為光盤。

[1]程小龍，馬建寧.淺析局域網(wǎng)系統(tǒng)安全維護(hù)與病毒防范[J].網(wǎng)絡(luò)財(cái)富，2009，（15）：140-141.

[2]許 琦.計(jì)算機(jī)實(shí)驗(yàn)室病毒防治淺析[J].科技傳播，2011，（07）：212-213.