中因%等敷育学会敦W信B化分会£,L拔学¥年会论立察・500高校计算机开放实验室安全的研究鄙激扬苏和^连理T走学计算中心.圮中省大连市.116023摘耍本文针对高校计算扎开放实验室的设备安全.操作系统的安全和网络安全进行分析,研究%探讨,提山丫应采取的安全措施。兰键词:计算机开放实验室撵作系统的安全.网嬉安全高校计算机开放实验室主要承担全校计算机文化基础课程、各个系的专业课程、毕业设计上机、上机考试和相关的各种培训等教学任务及学生的自由上机实践活动。开放实验室的安全问题日益显现r出来,开放计算机实验室安全主要包括三方面:设备自匀安全、操作系统安全和网络的安全,本文就这三方面的安全进行初步探讨。1设备安全开放计算机实验室采用“模拟摄像机+报警探头+数字硬盘录像机+远程客户端”方式构建一个集本地监控和远程监控为一体的综合监控系统,系统框图如图一。网络客户端是进行网络远程监控的用户终端,它由计算机和客户端软件构成。这样,在学校的同络上的任何一台授权计算机均可以实现监控开放实验室状况。这样保障开放计算机实验室的设备安全.图二是监控实验室的效果图。i一黑圈~“…£:_…;一争,,千雌_,:o…_,二o…;帚2操作系统的安全开放计算机实验室采用多操作系统,满足教学实验任务。多操作系统采用的WindowsXP、WindowsServer、Vista和Linux等各种操作系统,为了防止错误操作引起计算机操作系统和应用软件发生故障以及病毒对计算机的危害,实现计算机系统的快建恢复.~般都采用安装硬盘还原卡对操作系统加以保护,使计算机安全、高教地运行。21硬盘还原卡的基本原理首先.占顿硬盘引导权,将硬盘原来的0头0道I扇医保存在个其他的扇区,将某段的代码写入。头0道1扇区.从而能在操作系统之前得到执行权,虚拟还原技术在操作系统之前先将中断向量表巾的1Nrl311的入口地址保存;把某段代码用于代替INTI3H的代码写A内存.并记住^口地址i将中断向量表中INTl3H的入口地址改为这段常驻程序的^口地址。同时,虚拟还原程序_凸=修改]NTl3H的人】『后也会修改’些其他中断^口,这些巾断用来空现对一J-晰i_造采中【盯1311A口地址监控,~中国高等教育学会教育信息化分会第九次学术年会论义集・501・旦发现被修改,就立刻把它修改回来,这样做同样是用来防止被破解。用来替代BIOS提供的INTl3H的代码才是虚拟还原技术的关键,先是拦截所有INTl3H中对硬盘0头0道l扇区的操作,这些包括读写操作,把所有的对0头0道1扇区的操作改为对虚拟还原程序备份的那个扇区的操作;再拦截所有INTl3H中的写硬盘操作,包括对硬盘的磁头、磁道、扇区定位的INTl3H中的写操作,和扩展INTl3H中基于扇区地址方式的对大硬盘的写操作,还包括扩展INTl3H中对一些非IDE接口的硬盘的写操作。至于拦截后做什么是虚拟还原技术实现的关键,现在的操作系统都要对硬盘进行一些必要的写操作,例如对虚拟内存的写操作。实际上虚拟内存就是硬盘,大多数虚拟还原卡用的方法是占用一些硬盘空间,把硬盘所进行的写操作做一个记录,等系统重新启动后还原这一记录。2.2病毒防护面向全校开放的计算机实验室经常被病毒干扰破坏,病发生交叉感染,使微机不能正常工作,尤其现在网络病毒和U盘带病毒,传播的更快、扩散面更广。采用硬盘还原卡,不依赖于任何其他软件及操作系统实现硬盘分区、数据还原、数据清除等功能保护硬盘。如表l是采用硬盘还原卡对80G的硬盘分区规划表。表180G硬盘分区规划表分医名称WindowsXPWindowsServel‘2003DebianDebian容量(G)20G20G9G1G10G20G文什系统NTFSNTFSEXTSWAPNTFSFAT32还原方式.矿即还原立即还原备份还原不保护立即还原每周。还原暂存区(MB)204820484096属性A(.t即还原)A(立即还原)B(备份还原)P(专属分区)考试环境系统共享分区1024A(立即还原)S(共享分区)硬盘还原卡并不是万能的,现在已经出现病毒穿透还原卡,下面就是穿透还原卡病毒的解析,注入“spoolsv.exe”进程的病毒如下:(1)检查explorer.exe、spoolsv.exe是否有ntfs.d11模块,并查找“ssppoooollssvv”字符串(2)首先启动一个进程:spoolSV.exe,这是一个打印服务相关的进程。(3)临时文件夹和%SystemRoot%\system32\drivers\释放Ntfs.dll。(4)根据病毒体内的加密字符串解密:10004180=userinit.10004180(ASCII’NBOdDqN55bCYilj04jtulzpa2G3iC244’)(ecx)77C178C077CI78C277C178C777C178C977C178CC77C178CE77C178D18BOIBhmovmoveax.dwordptrds:[ecx]FFFEFE7Eedx.7EFEFEFFedx.eaxeax.FFFFFFFFeax,edx03DO83F0FF33C283C104addxorxoraddtestecx,4\\循环eax,81010100A900010181每次取双字节,与7EFEFEFF相加(Edx),再将双字节内的数据和FFFFFFFF异或(Eax),然后xoreax,edx,最后解密得:hXXp://a1.av.gs/tick.asp。从这个网站获得urlabcdown.txt。读取里面的内容:http://down.malasc.cn/plmm.txt最后下载盗号木马,如大话、梦幻、机战、奇迹、传奇、QQ、QQgame等。释放路径是:%SystemRoot%\system32\drivers。(5)加载驱动%SystemRoot%\system32\drivers\puid.sys:LIIKEYLOCALMACHlNE\S、.STEM\Ctll.rentControlSet\Services\puid]中国高等教育学会教育信息化分会第几次学术年会论文集・502・”Type”=dword:00000001”Start”=dword:00000003”ErrorControl”=dword:00000000”ImagePath”=hex(2):53,00。79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\52,00,49,oo,56,oo,45,oo,52,00,53,00,5c,oo,70,00,75,oo,69,00,64,00,2e,oo,73,\00,79,00,73,00,00,oo”DisplayName”=”puid”[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr01Set\Services\puid\Security]”Security”=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\00,lc,00,Ol。oo,oo,00,02,80,14,oo,ff,Ol,0f,00,Ol,0l,00,oo,oo,00,00,0l,oo,00。\00,oo,02,00,印,oo,04,00,00,oo,00,00,14,00,fd,0l,02,oo,Ol,01,oo,oo,00,00,00,\05,12,00,OO,00,00,OO,18,00,ff,Ol,0f,00,0l,02,OO,OO,00,00,00,05,20,OO,OO,oo,\20,02,oo,00,00,oo,14,OO,8d,Ol,02,oo,01.Ol,oo,oo,00,00,oo,05,0b,oo,oo,00,00,\00,18。00,fd,01,02,00,0l,02,oo,00,oo,00,00,05,20,00,oo,00,23,02,00,00,01,01,\00,00,00,OO,00,05,12,00,00,00,Ol,0l,oo,OO,00,00,oo,05,12,00,00,00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid\Enum]”0-=9Root\\LEGACY—PUID\\0000””Count”=dword:00000001’NextInstance”=dⅣord:00000001并释放iefjsdfas.txt,里面记录一些puid.sys信息。如果iefjsdfas.txt里面的内容和实际的不符合,可能判断为puid.sys是免疫文件夹或无效文件。这时候它可能会删除这个文件,再重新加载。(6)记录一个进程快照,每隔30秒执行一次。如果发现antiarp.exe、360tray.exe、360Safe.exe字符串则结束:(7)另外那个puid.sys可能会修改userinit.exe达到穿透还原的目的。通过这段病毒的解析,仅仅依靠硬盘还原卡防范计算机病毒,是不可行的,还需要安装杀毒软件,经常为系统打补丁,修补系统漏洞,经常升级杀毒软件的病毒库,确保系统的安全,安装具有穿透还原卡病毒免疫功能的软件,防止再次感染。同时,给计算机增加“免疫力”,例如恶意代码免疫、注册表被改免疫、恶意软件免疫、恶意网站免疫。利用硬盘还原卡功能,与应用软件相结合,这样就能保障操作系统的安全性。3网络的安全开放计算机实验室都有自己的独立代理服务器,每个代理服务器上有三块网卡,其中一块网卡连接到内网的交换机上,另外两个网卡,分别连接到教育网和网通的线路上,在代理服务器上做基于策略的路由转发,将CERNET地址段的流量通过教育网出口转发,其余的流量指向网通出口。图三是开放计算机实验室网络拓扑图。图三中国高等教育学会教育信息化分会第九次学术年会论文集・503・开放的计算机实验室管理中引入VLAN(VirtualAreaNet-work)管理,即虚拟局域网。VLAN就是指处于不通物理位置的节点可以根据需要组成一个逻辑网。建立VLAN后,该VLAN内任何一台计算机的IP地址均必须在分配给该VLAN的IP范围内:否则无法通过路由器的审核,不能进行通信Ill。VLAN的优点主要体现在以下几方面12J:(1)控制广播风暴。VLAN作为一种网络分段技术,可将广播风暴限制在一个VLAN内部,避免影响其他网段,而广播风暴的很大一部分是由病毒引起的。(2)增强网络的安全性。采用VLAN提供的安全机制,可以限制特定用户的访问,控制广播组的大小和位置,锁定网络成员的MAC地址。这样,就限制了未经安全许可的用户和网络成员对网络的使用。(3)增强网络管理。采用VLAN技术,使用VLAN管理程序可对整个网络进行集中管理。开放计算机实验室的代理服务器使用Linux,防火墙采用的是Linux下的开源的Iptables。每个局域网有两个外部合法IP地址分别是教育网202.118.XX.XXX和网通210.76.XXX.XXX,局域网内部使用192.168.0/256网段,为了实现局域网能够访问Intemet,需要将202.118.XX.XXX和210.76.XXX.XXX这台主机设置为代理服务器,通过NAT访问Internet。局域网中的计算机将这台计算机作为网关。为了局域网内部网络的安全,防止外部计算机访问内部网络,需要将202.118.XX.XXX和210.76.XXX.XXX这台主机配置成为一台防火墙。这台计算机安装有三网卡,eth0(IP:192.168.0/256)连接内部局域网,ethl(IP:202.118.xx.xxx)和eth2(210.76.XXX.xxx)连接外部网络,内网中的所有计算机通过交换机与防火墙的内部网卡ethO相连接。在这台主机上建立防火墙时,采用基于“禁止一切”的默认策略。按照默认的情况,所有的网络数据流都被禁止,服务作为策略的例外来单独启用。防火墙的设计主要考虑:用户可以方便的设定网络地址和所用的网络服务;实施基于“禁止一切”的默认策略:拒绝黑客常用的非法IP地址访问:针对黑客常用的几种攻击方式进行有效的防范;根据用户的需要开放一些必要的服务端口(如WVc'w、dns、ap、smtp等);采用一定的优化策略;使用安全日志文件,以备用户分析[31。4结论本文通过对设备安全、操作系统安全和网络安全的三方面研究,对我校的开放计算机实验室的安全进行立体式防护,经过实践证明,能够较好的保障了开放计算机实验室的安全,更好的为教学实验服务。参考文献7[1]李振美。高等院校中公共机房的管理与维护[J]。电脑知谚l与技术,2005,(12):87—88。[2]符兴华,何厶强。公共机房III病毒的整体防护技术【J]。重庆科技学院学报。2007,9(3):72-75。£3]蒯珂,商仲合。Linux_FNetfi1ter/Iptables防火墙的研究与实现[J]。网络安拿技术与应用,2007,12:28—30。