中職學(xué)校機房維護和管理對策的探究與實踐

吳燕

摘 要：中職學(xué)校機房是提供給學(xué)生學(xué)習(xí)計算機的重要場所，現(xiàn)在的機房都是網(wǎng)絡(luò)型機房，很多課程還需要開放外網(wǎng)進行教學(xué)。本文分析提出，網(wǎng)絡(luò)環(huán)境日趨復(fù)雜和多變，重視學(xué)校機房的網(wǎng)絡(luò)安全問題并有效解決，同時對機房維護和管理進行改革與創(chuàng)新，才能保障機房可靠高效運行。

關(guān)鍵詞：中職學(xué)校 機房 維護和管理對策 探究與實踐

課 題：本文為《中職計算機網(wǎng)絡(luò)專業(yè)網(wǎng)絡(luò)安全方向課程改革與實踐》2018年度廣西職業(yè)教育教學(xué)改革研究重點項目（項目編號：GXZZJG2018A006）研究成果。

筆者所在的二級系部是信息商貿(mào)系，系部的網(wǎng)絡(luò)系統(tǒng)由十余間計算機實訓(xùn)室及辦公網(wǎng)絡(luò)組成，系部成立獨立的機房維護組對網(wǎng)絡(luò)系統(tǒng)進行管理維護。如何采取有效對策、提高工作效率、防止計算機損壞、病毒感染及惡意攻擊，保證計算機機房正常開展教學(xué)工作是一項必須認(rèn)真研究和探索的任務(wù)。下面筆者將對所在系在日常計算機機房維護中運用的網(wǎng)絡(luò)安全技術(shù)及管理進行探究。

一、機房維護和管理所面臨的問題

機房使用非常頻繁，計算機很容易出現(xiàn)問題，以下列舉常見的幾個問題。

1.計算機操作系統(tǒng)自身隱患

部分中職學(xué)校因為資金的問題，機房建設(shè)多年設(shè)備老舊，只能安裝負(fù)載不高的操作系統(tǒng)，如XP、Win 7。這些系統(tǒng)存在一些技術(shù)上的缺陷與安全上的漏洞，而且隨著時間的遷移，該風(fēng)險漏洞會逐漸細(xì)化成網(wǎng)絡(luò)操作系統(tǒng)層面、計算機數(shù)據(jù)庫層面以及網(wǎng)絡(luò)軟件層面的安全漏洞。

2.應(yīng)用策略不完善

應(yīng)用策略不完善的表現(xiàn)如注冊表被修改，操作系統(tǒng)或組件被刪除，非法安裝游戲程序，訪問不健康網(wǎng)站、U盤等可移動存儲設(shè)備隨意拔插致使病毒泛濫。

3.機房管理制度落實不到位

雖然每個機房都有對應(yīng)的機房管理制度也都張貼于墻壁，但是計算機隨意挪動、鼠標(biāo)鍵盤被盜、被損壞，場地衛(wèi)生臟亂差等諸多安全問題仍存在。

二、維護和管理對策

1.維護對策

機房管理過程中，發(fā)現(xiàn)有些機房的計算機配置存在品牌型號不同、參數(shù)新舊差異，不同的機型要安裝不同的操作系統(tǒng)，或者是有時候上課教師需要臨時增加安裝某個軟件，如此管理員的工作量十分繁重。針對這些情況有兩種解決辦法。

一種情況是機房設(shè)備型號統(tǒng)一、參數(shù)相同的情況，主板支持PXE服務(wù)。那么不需要獨立硬盤可以使用網(wǎng)絡(luò)無盤安裝軟件如“維護網(wǎng)維大師”軟件對機房進行安裝系統(tǒng)?？梢赃x用一臺高性能的服務(wù)器作為母機，在該母機上學(xué)生機所安裝的操作系統(tǒng)，學(xué)生機通過網(wǎng)絡(luò)啟動連接到母機并顯示為“C：”其中一臺學(xué)生機作為超級管理員，其上安裝所需要軟件生成鏡像，其他學(xué)生機重啟后同步該鏡像。 定期對母機進行系統(tǒng)補丁升級和應(yīng)用程序升級。

另一種情況是機房設(shè)備型號各異、參數(shù)不盡相同的情況，且主板不支持PXE服務(wù)。那么該機房只能在本機安裝系統(tǒng)。選一臺高性能的計算機，如CPU不小于4G，內(nèi)存不小于8G，硬盤不小于256G作為教師機，安裝Windows Server 2008或Windows Server 2012 操作系統(tǒng)，并升級為域控服務(wù)器，其他的計算機作為域成員加入域內(nèi)。在計算機使用一段時間后，雖然有硬件還原程序的保護，計算機仍會出現(xiàn)問題，為了不影響教學(xué)質(zhì)量，利用網(wǎng)絡(luò)同步升級的網(wǎng)絡(luò)拷貝，定期對計算機進行系統(tǒng)補丁升級和應(yīng)用程序

升級。

以下對服務(wù)器端、路由器端和PC端的網(wǎng)絡(luò)安全配置以及機房制度的有效實施四個方面進行闡述。

（1）服務(wù)器的網(wǎng)絡(luò)安全配置。服務(wù)器是單位重要數(shù)據(jù)的存儲器，因此是黑客重點攻擊的目標(biāo)。針對網(wǎng)站服務(wù)器的常見攻擊如SQL注入、CSRF攻擊、后臺框架、協(xié)議漏洞等。SQL注入是利用后臺漏洞通過URL將關(guān)鍵SQL語句帶入程序并在數(shù)據(jù)庫中執(zhí)行從而造成破壞性結(jié)果。CSRF攻擊通過偽裝成受信任用戶的請求來利用受信任的網(wǎng)站，即攻擊者盜用了受信任用戶的身份，偽裝成受信任用戶發(fā)送惡意請求。黑客利用CSRF以受信任用戶名義發(fā)送郵件，發(fā)消息，盜取受信任用戶的賬號，甚至于購買商品、虛擬貨幣轉(zhuǎn)賬，給受信任用戶帶來的后果是個人隱私泄露以及財產(chǎn)安全。后臺框架、協(xié)議漏洞攻擊則是針對程序和系統(tǒng)缺陷進行攻擊。

針對非網(wǎng)站服務(wù)器的常見攻擊如系統(tǒng)登錄用戶、數(shù)據(jù)庫登錄用戶爆破，服務(wù)器端口漏洞、操作系統(tǒng)漏洞、木馬植入等。黑客利用多種手段確定后臺數(shù)據(jù)庫，比如使用后臺框架、協(xié)議漏洞很容易就發(fā)現(xiàn)了后臺使用的什么框架、什么數(shù)據(jù)庫。又或是使用nmap 等工具直接開掃，例如目標(biāo)服務(wù)器暴露3306端口大概率就確定是mysql了。確認(rèn)了數(shù)據(jù)庫類型以及端口接下來就是采用密碼字典暴力破解了。很多用戶貪圖方便記憶使用了弱口令，弱口令很輕易被攻破。使用nmap掃描服務(wù)器暴露的端口，就有大量的手段利用端口進行下一步滲透。木馬植入則是直接通過向服務(wù)器種植木馬，開啟后門，取得服務(wù)器控制權(quán)。

計算機機房一般非網(wǎng)站服務(wù)器，針對以上描述的常見攻擊行為，我們在服務(wù)器上做以下防護。

①更改默認(rèn)administrator用戶名，設(shè)置復(fù)雜密碼。

②開啟防火墻。

③安裝殺毒軟件：新做系統(tǒng)一定要先打上補丁，安裝必要的殺毒軟件，刪除系統(tǒng)默認(rèn)共享。

④修改域策略→安全選項。交互式登陸：不顯示最后的用戶名選擇啟用（修改用意：防爆破），網(wǎng)絡(luò)訪問：不允許SAM 賬戶和共享的匿名枚舉選擇啟用（修改用意：關(guān)閉后門），網(wǎng)絡(luò)訪問：不允許存儲網(wǎng)絡(luò)身份驗證的憑據(jù)或 .NET Passports選擇啟用（修改用意：清除歷史記錄），網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑全部刪除（修改用意：防提權(quán)）;關(guān)閉光盤和磁盤的自動播放功能（修改用意：防木馬自動運行）;阻止訪問注冊表編輯工具選擇啟用（修改用意：防提權(quán)）;開啟定期殺毒功能。

⑤禁用不必要的服務(wù)：TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation。

⑥下載并運行服務(wù)器安全狗（服務(wù)器安全狗是一款集服務(wù)器安全防護和安全管理為一體的綜合性服務(wù)器工具。支持Windows全系列操作系統(tǒng)Windows2003 / Windows2008 / Windows2012 32位 64位）、Linux操作系統(tǒng)的服務(wù)器安全防護軟件，從驅(qū)動層直接屏蔽攻擊，保護服務(wù)器安全。

⑦數(shù)據(jù)庫以最低權(quán)限運行，保證數(shù)據(jù)庫安全。

⑧限制利用3389遠(yuǎn)程登錄的登錄IP。

⑨使用信息收集軟件定期給系統(tǒng)進行安全評估。

（2）路由器的網(wǎng)絡(luò)安全配置。從網(wǎng)絡(luò)層對網(wǎng)絡(luò)攻擊進行防護，最直接的方式就是在路由器上做策略。很多的路由器都支持這些流量攻擊的防御，首先進入路由器的管理界面，開啟防御功能。例如勾選所有的SYN Flood攻擊、UDPFlood攻擊、ICMP Flood攻擊。SYN Flood是一種廣為人知的DOS（拒絕服務(wù)攻擊）是DDOS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。UDPFlood是日漸猖獗的流量型DOS攻擊。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100k bps的UDPFlood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個網(wǎng)段的癱瘓。ICMP Flood是一種DDOS攻擊，該攻擊在短時間內(nèi)向目的主機發(fā)送大量ping包，消耗主機資源，主機資源耗盡后就會癱瘓或者無法提供其他服務(wù)。這三種攻擊可通過閥值進行調(diào)整，通過調(diào)整每秒鐘通過的數(shù)據(jù)包個數(shù)來確定是否為攻擊行為。

（3）PC端的網(wǎng)絡(luò)安全配置。PC端即作為學(xué)生機的普通計算機，PC端一定要開啟防火墻，安裝殺毒軟件，定期把軟件升級并進行殺毒。殺毒工作可由機房使用班級進行，一方面提高工作效率，另一方面培養(yǎng)學(xué)生定期殺毒的網(wǎng)絡(luò)安全意識。

（4）機房制度的有效實施。嚴(yán)格要求學(xué)生和教師按照規(guī)章制度操作。制定人機負(fù)責(zé)制，將機房的每臺計算機和設(shè)備打上標(biāo)簽，制作每個在該機房上課班級的“實訓(xùn)場地工位安排表”，每一位學(xué)生固定使用和管理某臺計算機。課后上課教師組織值日生清潔場地，機房維護組進行檢查記錄，對沒按要求做好6S的班級由上課教師帶領(lǐng)學(xué)生整改。

2.管理對策

二級系部的機房管理工作繁重，聘任4～5位專業(yè)教師作為專業(yè)管理員是不現(xiàn)實的。因此聘任學(xué)生為機房輔助管理員是不錯的解決方案，不僅可以緩解機房管理人力上的不足，減輕管理人員的工作壓力，還可以大大提高工作效率、服務(wù)質(zhì)量和管理能力。筆者所在系的機房維護組由2位專職教師和4名學(xué)生組成，教師指導(dǎo)帶領(lǐng)學(xué)生進行機房維護工作。學(xué)生管理員是三年級的學(xué)生，在校內(nèi)完成實習(xí)任務(wù)，由系部考核。學(xué)生管理員實行行政坐班制，有任務(wù)的時候協(xié)助老師完成，比如安裝系統(tǒng)、軟件，解決機房出現(xiàn)的各種設(shè)備問題。另外每天還安排值班人員，值班人員負(fù)責(zé)按時給各機房開門關(guān)門，每天按時檢查教室使用申請表，查看有無教室和網(wǎng)絡(luò)需要特定時間開關(guān)，檢查教室的衛(wèi)生清潔。

機房管理工作是一項持續(xù)長久的工作，考慮到學(xué)生終將畢業(yè)離開學(xué)校，因此需要注重管理團隊的梯隊建設(shè)。維護小組每年從學(xué)生社團“計算機協(xié)會”挑選幾名新生，利用下午放學(xué)及晚自習(xí)時間以老帶新參與機房管理，這樣慢慢地形成本系的傳統(tǒng)，機房管理工作這些年來一直平穩(wěn)有序，沒有出現(xiàn)安全事故。

（作者單位：廣西工業(yè)技師學(xué)院）