互联网+背景下高职校园网维护的实践与思考

231
信息技术与安全
Information Technology And Security
电子技术与软件工程
Electronic Technology & Software Engineering
高职校园网是利用现代网络技术、多媒体技术及Internet 技术等为基础建立起来的计算机网络，一方面连接学校内部子网和分散于校园各处的计算机，另一方面作为沟通学校校园内部网络与互联网的桥梁，沟通学校与外界的联系。

笔者所在的兰州现代职业学院成立于2016年2月25日，是经甘肃省人民政府批准成立，兰州市人民政府举办和管理的专科层次的全日制普通高等职业学校，学校位于兰州新区职教园东南面，为兰州新区职教园区单体面积最大的职业技术学院。

学校占地面积约2708亩，总建筑面积100.3万平方米，设计办学规模3.86万人。

现设理工、城市建设、旅游、教育与艺术、财贸、农林、卫生健康以及继续教育8个二级学院。

学院现有在编教职工1156人，在校生21680人。

拥有电脑2600多台，主要是40多个教学、培训用机房。

10个电子备课室，还有就是办公室和实训室用电脑，用电信1G 光纤、移动1G 光纤和联通1G 光纤同时接入Internet 。

学院网络在互联网+背景下在校园生活中发挥着不可或缺的作用；拥有学院网站https:// 。

与此同时，在信息时代的当下，学院网络安全遇到了极大的挑战，如何管理维护好网络、确保校园网络安全、保证网络畅通是现代教育技术中心所辖的网管中心的工作重心之一。

笔者在长期维护的实践中，进行了一些有益的研究和探索，现总结出来和大家一同探讨。

1 校园网络安全面临的威胁和挑战
目前校园网络处于内忧外患的境地。

从外部环境来看，信息网络安全总体情况不尽乐观，互联网地下经济促使病毒泛滥，病毒变种迅速难以控制，多种技术配合进行攻击欺骗，移动介质蠕虫传染后下载木马程序频繁；从内部环境来看，学校学生大量使用移动存储设备，安全意识薄弱使得网络攻击更加猖獗。

2 安全控制与整体防治策略
针对在维护实践中出现的各种那个问题，认真分析查找根源所在，寻找根治的对策和彻底长久解决的方法，以期类似问题不再出现。

在这方面本人做了一些有益的探索，现择其要者和大家探讨。

2.1 不断更新操作系统和操作系统的漏洞补丁
有鉴于80%的病毒和黑客都是通过系统漏洞入侵的，及时补上漏洞，更新系统补丁，增强系统安全性是非常迫切的。

更新系统补丁、堵漏洞这方面360安全卫生是一款很不错的软件，及时从360官网 下载最新版的360安全卫生安装，以后及时升级它，不仅能修复系统漏洞而且能及时更新应用软件，而且还有效避免了windows update 升级时容易把正版验证补丁和黑屏补丁及蓝屏补丁下载安装的麻烦。

把最新系统补丁包和软件包放置在校园FTP 服务器上，让大家及时更新系统和应用软件。

于此同时校园网内安装最新的各种操作系统，也是提高安全性有效保证，在国内有许多这样的网站经常发布最新的各种操作系统，下载它们，刻成系统盘，最新的系统不仅打全最新的系统补丁而且对已知病毒做了防毒处理。

这样的网站很多，例如：https:///
互联网+背景下高职校园网维护的实践与思考
李建基
（兰州现代职业学院 甘肃省兰州市 730000）
index.php 。

2.2 搞好硬件维护
硬件维护是网络运行的基础。

（1）网卡的维护。

（2）网络互联设备的检查。

2.3 机房病毒的防治措施
2.3.1 还原技术是机房防范病毒最主要的办法
还原有硬件和软件两种方式；硬件还原很方便，只是需要一些投资，软件还原不花钱但要耗费人力手动去还原。

但从维护角度来讲各有利弊，硬件还原一旦还原卡出问题的话很麻烦，软件还原没有这种问题但是一旦还原无效后需要重做系统。

但是现在机器狗病毒及其变种和其他一些病毒，很容易穿透还原保护，病毒穿透后，还原保护反而把病毒给保护起来了，所以还原软件和硬件也必须及时更新。

更新还原软件就容易多了，笔者曾经使用过冰点还原，它目前的最新版式Deep Freeze 8.62标准版，DeepFreeze 标准版，即单机版，适用于个人用户、小微公司，及25台电脑以内的用户，支持windows xp/7/10，支持64位操作系统，支持SSD 、SCSI 、ATA 、SATA 和IDE 大硬盘，支持在线激活及离线激活，支持克隆批量部署，安装的时候可以设置保护不同的分区，保证计算机重启100%恢复初始化状态；还有一款很不错的还原软件是网维大师，它是由顺网科技发布的，从/可以下载，是由服务端和客户端想结合的保护软件，更新服务端就可以自动更新客户端，而且许多硬盘版的应用软件可以从服务端安装和更新。

除此之外还要安装还原系统保护器，360网吧还原系统保护器是不错的一款。

2.3.2 做好学生机的镜像，染毒后及时恢复系统
机房学生机的硬件配置一般都一样，这样硬件驱动也会一样，同时就机房而言，学习软件和教学用软件、机房用软件就是哪些。

装好一台电脑，优化好以后，通过ghost 软件，做好镜像，保存好，同时把它备份到教师机。

机房学生机染毒后或者系统崩溃等情况后都可以用网络同传软件实现系统的快速恢复。

网络同传软件（网刻工具）网上有很多免费版本的，GhostSrv 就是一款不错的软件，此外迈思和诚龙网维全自动pxe 网刻工具也都是不错的免费软件，这几年信佑网刻工具也是一款深受广大用户欢迎的网刻软件，相比于市面上的其它同类软件而言，该款软件最大的特点就是采用了P2P 协议的P2P 开机GHOST 网络克隆，从而能够快速的帮助到网管以及局域网的管理者迅速的复制网络，不论是在功能性还是实用性上面，该款软件都是很不错的。

这种软件的使用一般都是做好系统母机的镜像，然后启动网刻工具，选好镜像文件，系统有DHCP 服务，自动分配地址，开始网刻，每个学生机在启动是都要进入BIOS 进行设置，设置从局域网(onboard lan boot rom)启动，都启动好，待所有客户端都登录了，开始网刻就好了。

现在国内的机房电脑，像
摘　要：本文分析了校园网络安全面临的威胁和挑战，提出了安全控制与整体防治策略。

随着信息时代的到来，高职校园网在日常教学与行政办公中发挥着日益重要的作用，同时校园网络安全也面临着严重的威胁和挑战，如何着力维护好校园网，使校园网发挥更大的作用，笔者在长期实践中，分析、研究、探索了一些有益的经验，总结出来和大家一起探讨。

关键词：校园网；网络安全；杀毒软件
信息技术与安全
Information Technology And Security
电子技术与软件工程Electronic Technology & Software Engineering
清华同方、北大方正、联想、华为等品牌都默认安装有安装自带网络同传软件，操作更加简单，大同小异，都有说明书，很容易操作。

2.3.3 安装好多媒体教学软件、机房监控软件
学生机房多媒体教学软件是必需的，否则上课很受影响，多媒体教学软件不仅让教学更加便利，同时让下发文件和收取作业也变得更加便捷和安全。

红蜘蛛、苏亚星等都是不错选择。

机房监控软件可以根据实际需要选择安装，例如：美萍等软件。

2.4 使用杀毒能力强的杀毒软件
瑞星单机版和网络版、金山毒霸和360杀毒是三款不错的查杀和防御软件， 360系统急救箱(原顽固木马专杀大全)包括各种流行木马的查杀工具，可以快速、准确地查杀木马；火绒安全也是一款不错的安全软件。

病毒变种多，杀毒软件及时更新是必须的。

2.5 使用硬件防火墙技术
条件具备的最好使用硬件防火墙，软件防火墙作用不大，而且也需要购买。

2.6 封存所有空闲的IP地址
启动IP地址绑定，采用上网计算机禁用空闲的网络端口，将用户的IP地址与MAC地址捆绑起来，IP地址与MCA地址唯一对应，网络没有空闲IP地址的策略，阻止网络端口病毒的入侵。

2.7 用户桌面安全机制
2.8 对移动存储设备要进行有效的管理
U盘等移动存储设备是目前机房和校园网病毒的主要来源，U 盘等移动存储设备在使用前必须查杀，确保无毒。

同时鼓励大家多使用云盘等云存储设备。

2.9 防止各种非法软件的攻击和入侵
禁止局域网用户安装不必要的盗版程序和来历不明的软件，因为这样的软件和程序会产生的安全漏洞，也就给黑客和病毒的提供了方便之门。

2.10 校园网ARP攻击与防御技术
出现ARP病毒，其表现是校园网性能严重下降，学生访问网页受到干扰甚至无法访问网络等ARP病毒的变种多感染力非常强，一旦出现就迅速传播开来严重影响了校园网的使用。

（1）在PC上绑定路由器或网关的IP和MAC地址；
首先，获得路由器或网关的内网MAC地址(本学院校园网关IP为192.168.1.254，MAC地址为01-03-ef-55-3y-4w)。

把网关IP 和mac地址绑定，编写一个如下内容批处理文件first.bat：@echo off
Arp -d
Arp -s 192.168.1.254 01-03-ef-55-3y-4w
将文件中的网关IP或路由器地址和MAC地址更改为本学院或相关的网关IP地址和MAC地址即可。

把这个批处理软件加载到机房或者其他单机的开机启动项内。

（2）感染ARP欺骗病毒的主机。

建议使用相应的工具软件如安全狗或者金山卫生、360安全卫生等清除病毒。

现在ARP专杀工具不少，普遍小巧实用。

已中毒的校园网内客户机或机房内主机，在主机上运行arp -d，清除arp列表，可暂时恢复该主机正常网络通讯。

（3）使用ARP防火墙软件防范ARP攻击。

如ARP病毒专杀工具1.0，选择“实时保护”，开启ARP防火墙，抵御ARP欺骗攻击。

ARP终结者V1.4官方正式版也是一款局域网arp病毒专杀工具；金山贝壳ARP防火墙2.0.4104.61是它的最新版，彩影ARP防火墙(AntiARP)单机个人版 - 原名Anti ARP Sniffer，安装后可免费试用15天，试用期间或试用期满后，可以改成合作版。

可免费使用，只是ARP防火墙会修改浏览器首页指向百度或其它搜索引擎。

（4）定位局域网内ARP欺骗攻击的主机。

（5）下载ARP系统补丁。

（6）路由器端绑定网内计算机IP和MAC地址。

在路由器（网关）绑定网内各个主机的IP和MAC的对应关系，可防止盗用IP地址上网的欺骗行为。

进入路由器设定模式后，进行绑定设定。

（7）设置静态的MAC→IP对应表，不要让主机刷新你设定好的转换表。

（8）除非很有必要，否则停止使用ARP。

将ARP做为永久条目保存在对应表中。

（9）使用ARP服务器。

通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。

（10）使用\'proxy\'代理IP的传输。

（11）使用网维大师，最新版为9180版本，安装服务端和客户端，给它们都设置固定的ip地址，服务端中就能开启ARP防火墙，所有的客户端防火墙也就开启了，能防止ARP攻击。

缺点就是客户端硬盘cde三个盘被保护还原。

（12）购买最新可防ARP病毒的交换机。

2.11 关闭一些不必要的共享、端口，提升安全性
类似FTP下载服务一类的共享服务，尽量少用，也是提高校园网安全性的必要之举。

有校园网站提供一些必要下载就可以了，校园网的其他服务器和电脑关闭一些不必要的共享和端口就能有效提升校园网安全性。

2.12 远离不安全信息，同时加强校园网安全方面的教育
按照国家网监部门的要求，落实校园网实名制，结合“反诈”宣传，搞好网络安全教育，远离“黄赌毒”网站和内容，对于随意的链接和内容不点击，随便的网站不上，莫名邮件不理，不在莫名网站注册等，每学期开展一次网络安全宣传周。

2.13 建立校园云平台
校园网维护是一项庞杂的工作，网络安全是一个逐步推进、动态更新的过程。

甚至“道高一尺魔高一丈”不可能一蹴而就，虽然理论认为在安全方面花费很少的精力，就可以防御绝大多数的安全进攻和威胁，但终究安全体系取决于系统中最薄弱的链条。

面对系统中所发现的没有出现过的、越来越多的安全漏洞和层出不穷的各种病毒、木马等安全威胁，没有一套健全的系统的安全机制，就不能及时发现漏洞和威胁并加以防止。

很明显，再完善的安全体系，也不可能实现完全的安全。

同时，我们的校园网也在不断更新，业内同行不断有研究成果问世，国内外的实践不断发展。

这些都要求我们不断学习，不断探索、创新；结合已有的理论和成果，不断解决校园网的各种问题，达到校园网的安全与畅通，保证和校园网相关各项工作顺利展开。

参考文献
[1]高述涛.高职院校的校园网络设计[J].湘潭师范学院学报(自
然科学版),2005(02):107-109.
[2]孙祥春,李春娟.路由器网络地址转换(NAT)的配置[J].电
脑知识与技术,2005(21):32-34.
作者简介
李建基（1976-），男，甘肃省兰州市人。

大学本科学历，讲师。

研究方向为计算机、电子商务。

232。