试议大学计算机网络终端设备

一、网络终端设备管理策略与建议

1加强高校内外网隔离监管大多数高校都采用安全边界设备如防火墙、路由器等进行内外网安全隔离监管，安全方便的同时也有很大漏洞。因为从技术角度来讲，只要内网外网实现物理连接，即便安全性极高的网络设备也没有绝对的安全性了，都无法避免使内网遭受外网攻击。因此对于高校来讲，应对机房的设备采用物理隔离或建立在逻辑上独立的网络，机房只与机房的内网终端相连、外网终端只能与外网相连的VPN加密通道的“双机双网”结构，从而最大程度降低外网对内网的安全威胁。

2控制高校计算机网络终端的外部接入如果采用传统的网络终端分散管理，其缺点是没有统一的安全策略和缺乏整体角度的全局防御能力。因此高校机房应采用从网络终端开始进行安全控制、从源头防御威胁。具体做法是结合安全网络客户端、安全策略服务器、网络终端接入认证设备和独立第三方服务器的使用，能将所有与安全要求不符的终端隔离在“DMZ”区域内，甚至实现拒绝入网，可以将通过安全监测的网络终端接入内网，从而从源头实现对网络终端的安全控制。控制非法网络终端连接较简单的作法是基于网络接入层使用IEEE801x端口认证的工业标准，通过对网络终端的IP地址、MAC地址和接入端口进行绑定，可最大程度上防止网络终端的任意接入。

3网络终端安装功能强大的杀毒软件为网络终端安装功能齐备、杀毒能力强的杀毒软件是保护终端安全的基本防护安全策略之一。近年来信息科技高速发展，对杀毒软件的研究与开发一日千里，许多国内外知名的科技公司纷纷推出其具经典性和代表性的杀毒产品，各个高校可以根据自身机房特点，选用适合自己的杀毒软件。目前主流的具有代表性的杀毒软件一般有赛门铁克、趋势科技、瑞星、江民、金山毒霸、卡巴斯基、迈克菲、冠群等，种类繁多，各个杀毒软件都有其自身特点和针对性。高校在选用合适的杀毒软件同时也要配备安装相应的杀木马防蠕虫软件，如360安全卫士等。安装杀毒软件后要注意病毒库的实时更新，保证病毒引擎在第一时间升级，以达到强效防毒、杀毒的作用，做好网络终端的病毒防护准备。

4注意系统自身漏洞防护微软开发的Windows系列操作系统，是世界公认的最不安全的操作系统之一。不过从客观角度来讲，并没有完全安全的操作系统，只要注意加强系统的漏洞防护，及时检查系统补丁，安装更新程序，仍然能提升网络终端设备的系统安全性。在系统设置中，要打开实时更新设置，从而能在第一时间下载和安装更新包、漏洞补丁包。还可以采用辅助升级软件的方式进行更新程序自查，这方面的工具有微软的WSUS补丁分发系统和类似360安全卫士和超级兔子的补丁管理系统等。如果高校有条件的话，也可安装64位系统，因为大多数病毒攻击对象为32位系统，与64位系统具有不兼容性，所以为了提高系统自身安全程度，也可在机房网络终端设备中安装64位的操作系统。

5禁用即时通信软件，加强网络资源监控目前P2P、QQ、电驴、MSN、迅雷等软件成为新的病毒传播途径，因此高校加强安全防护的另一重要措施是禁用类似软件，同时加强对网络资源的监控力度。电驴、P2P等软件不仅传播病毒，更是占用了大量的网络带宽，给别人正常的办理业务和访问系统造成不便，可以通过过滤软件关键字、关闭迅雷和P2P端口等方式对一些滥用网络资源的软件进行屏蔽，并且一旦发现处以校内警告等相应处理，最终达到网络资源监控目的。

6对移动设备和外设进行立体化控制对移动设备和外设进行立体化控制是指针对外设端口如USB、红外、串口、并口和移动设备如软驱、光驱、无线、蓝牙、键盘和鼠标、打印机等进行全方位监控。监控可分为3个不同层次，禁止、只读和完全。高校管理员可以采用注册授权认证制度，一旦发现违反安全措施的接入立即进行警告，以防信息泄露。同时通过经过注册授权认证的外设的接入申请，只有通过申请的外设才能在内网使用，严格控制了外设滥用情况。而且系统能对外设文件传输进行实时跟踪，如文件增加、删除、拷贝、修改行为审计等，高校管理员最好再针对特定文件类型加设一层审计措施。在安全监控方面要把Windows系统的“自动播放”功能设置成禁用状态，以防感染autorun病毒。

7为网络终端设备设置复杂的登录口令网络终端登录口令过于简单不仅是各大高校独有的问题，包括一些大企业，也经常为了方便登录而设置一些诸如123456等简单的登录口令。其结果是造成数据信息的泄露。因此加强网络终端设备安全性，首先要将密码更改成较复杂的形式，例如数字+下划线+字母等格式，甚至采用专业的密码登录设备，每次登录都随机生成密码，完全避免了固定密码容易被破解的危险。同时要提醒学生和教师注意一些来历不明的Email、QQ网页连接和下载程序，在未搞清其来源时千万不要随意点击，不仅有造成网络终端信息泄露的危险，也易被一些居心叵测的网络犯罪分子所利用，不知不觉中成为“替罪羔羊”。在网络终端设备的管理中，在加强物理设备的安全防护的同时，也要保持时刻警醒的安全意识，常言说“麻痹大意是安全的最大敌人”。此话用在网络终端设备管理中也同样适用，只有形成良好的安全防护意识和习惯，才能有效地提升网络终端设备的安全度。

8严格控制共用接地系统和均压电位系统共用接地系统是指将各部分防雷装置、建筑物金属构件、低压配电保护线（PE）、等电位连接带、设备保护地、屏蔽体接地、防静电接地及接地装置等连接在一起的接地系统。其作用是为保护一些大型的电子信息设备，要结合均压电位系统共同使用。如果高校机房的网络终端设备与其他大型设备共用一组接地装置时，要对其装置的接地电阻进行严格控制，以保证不超过接入设备所要求的电压最小值，一旦超过定额，不仅容易损害设备，还容易造成机房火灾，得不偿失。最优解决方案是实现机房接地，在机房下方可以加设几组人工的接地设备。不仅能完全消除雷电带来的电位差，还能实现机房电位均等，从物理角度保证了网络终端设备的安全。

二、结语

近年来高校网络信息安全事故频发，造成大量内部资源外泄，不仅对高校自身更对社会造成不良影响。因此，我国各大高校应正视目前在网络终端设备中存在的问题，采取积极的应对措施并配合安全性高的物理防范设备，加强高校计算机网络终端设备的信息安全、设备安全等，为维护良好的网络环境和社会环境尽力。

作者：马怀单位：咸阳师范学院信息工程学院