|
浅谈高校机房安全及优化
学校计算机房是学校信息化的中枢,为了保证机房系统正常运行,针对各种来源不同的安全威胁,需要有一系列提高系统安全的防范优化应对措施。
人为威胁
计算机房承担着
学生课堂上机练习、课后上机实验等超负荷的教学任务。由于机房管理制度的不完善,加上学生安全意识淡薄,在上机的过程中有意无意地会出现一些破坏系统的行为。如硬盘被格式化、系统文件被删除造成操作系统无法启动;强行结束学生端客户机程序进程,使得正常的教学无法进行;随意使用可能带有病毒的U盘造成病毒的快速传播。
最近流行的“机器狗”,可以绕开机房传统的系统保护卡,直接向硬盘写入数据。而“机器狗”等病毒传播的一个重要途径是通过U盘等可移动设备。机房计算机系统应关闭“自动播放”功能,禁止使用可移动设备。禁止使用可移动设备方法有多种,可以在BIOS中关闭USB接口,但这样USB鼠标也不能用了。两全的办法可以通过系统设置,隐藏不需要的盘符。U盘插入后虽然自动加载了驱动,但由于不能分配到盘符,同样可以阻止U盘的使用。
为防止学生故意结束客户机进程,可以使用修改版的任务管理器程序替代系统原来的任务管理器,只允许查看进程而不能结束进程。在一定程度上可以阻止学生的恶意行为。由于机房是教学场所,对系统的修改不宜过多,以免影响正常的计算机操作功能。
系统威胁
Windows操作系统和各种应用程序同样也存在着安全漏洞。黑客、病毒程序往往通过安全漏洞实施传播、攻击系统、破坏数据。机房系统安装完毕后应及时打上最新的补丁,以防攻击者利用这些已知的安全漏洞入侵计算机系统。为方便为计算机更新补丁,可以在本地安装一台WSUS服务器,实现补丁管理的本地化,实时掌握计算机系统补丁更新情况。
除补丁更新外,还可以利用系统本身提供的权限体系统来加强安全防护,选用安全等级较高的文件系统。WindowsNT以上的版本提供对NTFS文件系统的支持,它与FAT文件系统相比,最大的特点是安全,可以让管理员设置文件及目录的存取权限,使用户只能按照系统赋予的权限进行操作,存取设置不仅能防范入侵者,还能使病毒没有执行和安装的权限,有效地保护了系统和数据的安全。设置安全账户和密码,Administrator是系统默认的管理员账户,它往往成为黑客的攻击目标,一旦被破解了密码,整个系统就没有一点安全可言,创建一个拥有全部权限的、自设的管理员账户,更改Administrator账户名或删除它,同时禁用未设任何安全级别的Guest账户,是有效防范攻击的措施。
互联网威胁
机房通过校园网接入互联网,网络入侵带来的威胁直接影响机房的安全。现在许多网站的网页中都带有利用IE安全漏洞种植木马的脚本,大量的欺骗性的下载站点更是直接提供含有木马的软件下载。还有互联网上随时可以下载到黑客工具和恶意脚本,即使是普通的计算机使用者都可以利用这些工具对网络进行攻击。因此机房计算机系统除了加上最新的补丁外,还必须安装有效的防病毒程序,可以建立病毒库本地更新服务器,以方便病毒库更新。
对于目前流行的“机器狗”、“ARP攻击”疫情,可以使用各种专杀工具。为防止内部用户下载攻击工具,可以使用防火墙限制内部用户的上网行为,禁用特殊端口,不允许下载可执行文件等措施,以抑制各种可能的破坏行为。
|
