1、中職計算機機房管理及維護探析摘要:本文主要闡述了中職計算機機房信息系統網絡安全 的理論，指出了中職計算機機房信息系統網絡安全維護的主 要技術，從而提出了網絡安全管理的相關對策，最后得出結論, 中職各級領導、組織和部門工作人員都應該并且必須高度的 重視信息系統網絡安全維護及管理。關鍵詞:信息系統;網絡安全;管理 中圖分類號:tp308文獻標識碼:a文章編號:1007-9599(2012) 13-0000-01隨著計算機技術的發展和計算機應用的普及，計算機技術 逐漸從一門較為獨立的學科向多學科滲透，并成為其他學科 和生產發展的基礎性工具和推動力量。在這種形勢下,計算機 應用水平逐漸成為衡量中職生能

2、力的一個重要標志。為了培 養中職生對計算機的學習興趣，提高計算機的應用能力，各中 職除了加大對計算機房及相應設施的投入，還采取了其他措 施，以提高計算機及相關課程的教學水平和效果，同時為中職 生提供一個較好的學習計算機知識的環境和條件。在此過程 中，計算機機房是學生學習計算機知識的重要場所。從現實角 度看，如果機房的管理跟不上就不能充分發揮其在教學中的 作用。一、中職計算中心(機房)的日常維護與管理的現狀 中職機房安全防護系統包含的角色有:管理員、維護員、 普通用戶、未注冊用戶。其中管理員可以執行日志信息查詢、 攻擊主機信息查詢和攻擊主機操作權限。另外，中職機房管理 員用戶可以對已經注冊的用戶

3、進行賬戶激活。維護員主要是 執行對信息進行查詢檢索，并對已經隔離的主機在上網用戶 處理相關問題之后，進行解除隔離操作。普通用戶只能進行隔 離主機的查詢操作。二、中職計算機機房的網絡安全維護的技術目前，我校已自主編制機房管理系統軟件,可實現對班級課程上機申請、學生開機上課(考勤)、成績的統一管理。(1) 能夠及時得知接入交換機的運行狀態,并根據運行狀 態分析網絡運行是否存在arp欺騙攻擊、dhcp欺騙攻擊、 廣播風暴攻擊行為。對攻擊信息的分析要做到全面準確。對 于交換機的運行狀態獲取，需要覆蓋多個接入層樓宇，并且對交換機的日志能夠持久存儲以備查閱。認證服務器端同需要 進行認證的應用系統實現網絡可

4、達。認證服務器端也會生成 令牌碼，這個數值是根據cpu和時間經過散列算法生成。用 戶在業務系統中輸入令牌設備產生的令牌碼,經由業務系統 發送至服務端。在服務端經過匹配過程，如果雙方令牌碼相同, 則當此驗證通過。(2) 能夠確定攻擊源在接入交換機中的位置，并進行隔離使其無法影響其他上網主機，對于已處理的主機可以進行解 除隔離。隔離操作的執行需要做到直接簡便高效。攻擊主機 的位置確定對用戶需要做到透明。(3) 設備的控制需要對網絡管理員透明化,提供對多廠商交換設備的支持，控制功能需要使用公共標準協議，能夠監控 接入設備的服務狀態和ip可達狀態。并將這些狀態呈獻給網 絡管理員。對于網絡管理員作岀的針

5、對攻擊主機的操作，能夠 將其轉化為交換設備可以識別的指令。三、計算機機房的日常維護與網絡安全管理對策 中職計算機機房的各級領導、組織和部門工作人員不僅僅需要從思想上重視機房信息系統網絡安全這一問題，在用 戶登錄驗證方面,本系統使用了基于雙因素用戶驗證的登錄 功能。用戶驗證使用雙因素驗證，用戶除了使用用戶名與密碼 之外，還需要使用一個同步碼。同步碼是由令牌生成，與服務 器上產生的同步碼一致。用戶登錄驗證時，需要在特定時間段 內輸入同步碼，所以即便是用戶的密碼被盜了,也不會導致系 統被攻擊,大大增強了系統的安全性。()加強計算機機房的硬件管理中職生用戶從硬件令牌生成器中看到當前的令牌碼，然后再60

6、秒之內，將令牌碼輸入到提示框中。當然,附加信息還有 用戶名和身份識別號。ace服務器中的令牌碼與認證用戶手 中的是完全同步的，如果用戶輸入的令牌碼與服務器中的數 值不一致，就會導致認證失敗，服務器返回access_deny 回應22o為了防御重放攻擊行為，令牌碼有60秒的時間限 制，數值只有在60秒之內輸入才算有效，如果輸入時間超過了 60秒，認證服務器會通知用戶輸入一個新的令牌碼，這個新令 牌碼對應的是下個認證周期的數值。如果輸入正確，服務器就 會認證通過，否則返回access_den丫的回應。（二）加強機房的安全管理 中職生用戶操作前端使用基于b/s架構的web應用對系統進行查詢與控制。它

7、涉及到與最終用戶的直接交互，所有 的針對系統的查詢和控制功能都是由此部分完成。其中用戶 注冊部分提供對網絡管理用戶的注冊入口。用戶注冊之后無 法登錄系統，并且沒有權限。只有在經過管理員用戶審批之后, 才可登錄系統進行相應操作。用戶登錄驗證部分，使用rsa secureld登錄驗證接口完成。rsa secureld用戶登錄驗證接口同用戶前端web應用程序綁定，提供用戶名、靜態密碼、 動態令牌碼的驗證入口（三）機房的日志管理中職計算機機房日志分析模塊根據收到的syslog日志信息，從中分離出攻擊主機相關位置信息,存入數據庫。如 果系統自動隔離開關沒有打開,那么攻擊主機信息只會加入 數據庫，而不進行自動處理，必須由具備管理員權限的用戶進 行手動處理。通過打開攻擊主機信息列表，可以看到攻擊主機 的操作行為中有隔離與解除隔離的操作。同時，通過mac地 址查詢也可以迅速定位要處理的主機條目。參考文獻:1 黃旭鵬高校計算機機房管理技巧淺談j電腦知識與