1、1培训中心学生机房计算机安全管理研究摘 要:机房是培训机构对学员计算机技能进行培训的主要场所,而如何保障机房内大量计算机设备安全也成为了机房日常管理的重要内容。为此,通过禁止计算机 USB 端口,和通过在学生端计算机安装监控软件对学生端计算机进程、上网行为进行监控来保证机房学生计算机的安全性,并采用共享服务和与服务器定期通讯的方式对如何保证安装在学生端计算机监控程序的安全性和隐蔽性进行了研究。 关键词:计算机机房;进程监控;上网监控;安全管理 中图分类号:TB 文献标识码:A doi:10.19311/ki.1672-3198.2016.15.103 1 引言 随着信息化技术的不断发展和完善,
2、计算机在社会各个领域的应用越来越广泛,各培训机构也纷纷开设计算机课程来提高学员的计算机使用能力。在培训机构课堂上,需要确保超过 200 台的学生端电脑正常的运行,由于学生在培训课堂上的计算机使用过程中,一方面,会因为拷贝数据用的设备中嵌入病毒及木马,造成电脑之间的交叉感染;另一方面,学生电脑也会运行一些来历不明的程序和软件,风险非常大;除此之外,有时候也会因为学生浏览一些不安全的网页,导致系统感染病毒,最终造成系统运行不稳定。由于是内网环境,一旦某台计算机被感染上2病毒或木马,就极易对其他机器造成感染,严重影响到了学生的日常上机学习。为此,在培训机构的机房管理过程中,主要禁止计算机 USB 端
3、口,和通过在学生端计算机安装监控软件对学生端计算机进程、上网行为进行监控来保证机房学生计算机的安全性。 2 学生端计算机进程监控 主要采用进程白名单和黑名单结合的方式来实现学生端计算机所运行的进程的监控。设置学生端进程名称的主要目的是对学生端所运行的进程名称,以及进程路径进行管理,实现进程基本信息的添加、修改和删除操作,从而达到对学生端计算机所运行进程进行管理的目的。学生端计算机进程监控实现流程如图 1 所示。 学生端进程名单更新,在学生登陆学生端计算机进行身份验证时,下载学生端计算机上的系统进程基本信息,更新学生端计算机的进程信息名单; 获取学生端计算机当前所运行的进程列表,并选择其中一个进
4、程进行对比; 进程对比处理,定期对学生端计算机所运行的进程进行监控,如果进程是白名单上的合法进程,那么不做任何处理,让系统正常运行这些进程;如果进程是在黑名单上的非法进程,那么会提出提示框,提醒管理员关闭学生端进程;如果是不在白名单或黑名单上的未知进程,那么判断是否为合法程序所引起的进程,如果是则认为是白名单上的合法进程不做任何处理,如果不是则按照黑名单的非法进程进行处理; 判断所有的进程是否都已经对比处理完毕,如果所有进程处理完3毕,则转到第步,否则选择一个未对比完的进程,转到第步; 此次监控结束,等待下一次的进程监控。 3 学生端计算机上网监控 随着互联网络的不断发展和完善,互联网上海量的
5、信息可以为学生的培训提供很大的帮助。但是,同时互联网上也有很多并不安全的因素,如果让学生所随意的访问互联网的网页内容,就有可能会导致学生端计算机感染上病毒或木马。为此,需要在机房管理过程中,需要对学生端计算机访问因特网网页的行为进行监控。 对学生端计算机上网行为进行监控所采用的主要技术为 DDE 动态数据交换技术。DDE 是 Windows 系统所支持的,在不同进程间实现数据交互和数据共享的技术,DDE 与 OLE 目标衔接与嵌入技术类似,但是客户端程序与服务器程序单独运行,通过一条通道来进行会话,并不会嵌入,而且整个过程不需要用户进行干涉,可以完全由程序控制。 采用 DDE 技术,将学生端计
6、算上的浏览器作为 DDE Server,而运行在学生端计算机的监控程序作为 DDE Client,通过 Client 与 Server 的数据交互,来获得学生访问因特网网站的 URL 地址,并通过对比分析来实现学生端访问因特网行为的监控。采用 DDE 技术对学生端计算访问外网网页行为进行监控的流程设计如图 2 所示。 生成监控软件 DDE Client 实例; 连接学生端计算机网页浏览器 DDE Server 服务? 如果学生端计算机的网页浏览器没有打开,则直接跳转到第步,否则转到第步; 4获取学生端计算机网页浏览器 DDE Server 服务器的 URL 地址,并进行判断,如果 URL 地址
7、合法则跳转到第步,否则跳转到第步; 关闭学生端网页浏览器; 结束此次监控,等待下一次学生端计算上网行为监控。 4 禁止学生端计算 USB 端口 禁止学生端计算机 USB 端口也是培训机构计算机机房学生计算机管理的一项重要工作内容,在维护过程中,并不是通过学生端监控程序的监控来实现的,而是实现采用主板 BIOS 设置的方式来禁止计算机的 USB端口。 在机房空闲时,在 CMOS 中设置 USB 设备的使用,并且设置统一的BIOS 密码,这样计算机将不会识别所有连接到该计算机上的 USB 设备,虽然这种方式可以通过卸载主板电池的方式来清空 BIOS 密码,但是在课堂上学生也无法在众目睽睽之下打开机
8、箱,因此,这种禁止学生使用 USB设备的方案还是比较安全的。 5 学生端计算机监控程序的隐蔽 在本文所研究的计算机机房安全监管方案中,主要通过在学生端计算机上所运行的监控程序来对学生端计算机上所运行的进程和上网行为进行监控,为了防止学生在打开计算机后不运行监控程序,或者人为关闭监控程序,需要对学生端的监控程序进行隐蔽性管理。 5.1 开机自动运行 让一个程序在开机之后自动运行的方式多种多样,例如写成服务程序;在 Windows 操作系统的注册表中添加启动项;直接修改系统的自启5动文件;添加开始菜单;添加开机自启动计划等。 在本文所研究的机房安全管理方案中,采用将客户端计算机程序写成服务程序的方
9、式来实现开机自动启动。这种方式具有以下的优点:一方面,不需要修改系统文件,实现较为简单;可靠性高,可以避免学生修改任务规划、开始菜单或者注册启动来阻止监控程序自动启动;隐蔽性强,运行在服务器后台,其隐蔽性更强。 将监控程序写成服务程序之后,通过设置相关属性来实现监控程序的自动启动。其相关的数形包括:LocalService,非特权用户账户;LocalSystem,具备高级权限的账户;User,网络上特定账户,并且设置启动密码来防止学生通过关闭服务来禁止监控程序的运行。 5.2 监控进程隐蔽 在本方案中,通过共享进程 Windows 系统服务的方法来达到隐蔽监控程序的目的。在 Windows 操
10、作系统中,系统服务分成共享进程和独立进程两种,在系统运行时,只有 Services.exe 服务器管理器能够有多个共享服务,在系统运行过程中,随着系统内置服务的不断增加,Windows又启动 svchost.exe 将更多的服务做成共享方式。在 Windows 操作系统中有如下两个 svchost 进程:一个是 Remote Procedure Call 服务进程,另外一个就是实现服务共享的 svchost.exe。因此,将学生端计算机监控服务做成 Windows 系统共享进程服务,由系统的 svchost.exe 来启动服务,这样可以更好的提高监控程序的隐蔽性。 Windows 系统中的 s
11、vhost.exe 是只是一个服务管理进程,并不提供具体的服务功能,svchost.exe 调用 dll 形式的程序来启动服务,在客户6端计算机安装计算机监控程序时,将其可执行程序设定为 svchost,由svchost 来调用 dll 启动服务。 在学生端计算机启动时,svchost 进程就会调用监控程序动态链接库,并执行其中的 ServiceMain()函数启动监控程序,实现多个服务共享svchost 进程。 虽然,通过使用 svchost 进程来启动客户端监控程序,可以更好的增强监控程序的隐蔽性,但是也仍然无法保证监控程序被恶意删除和终止。为此,在本方案中,还设计了通过监控程序与服务器的
12、应答,如果服务器在规定的时间内没有收到来自学生端监控程序的应答信息时,就会自动关闭学生端计算机。 6 总结 随着计算机的发展、网络的普及,计算机教育已成为高校教育的必修课,掌握计算机技能也是大学生适应社会需要的一项基本技能。为了满足学生学习的要求,培训机构的机房规模越来越大、安全要求越来越高。如何有效利用信息管理技术、安全技术和网络技术,解决机房的安全管理问题,使机房管理达到网络化、信息化、自动化、规范化,是一项十分有意义的研究。本文在进行了大量的调研和对实际工作中遇到的问题进行分析的基础上,提出了解决上述问题的方案。 本文主要研究了如何应用网络通信技术、数据库技术,实现机房的科学化、规范化管理;应用计算机控制技术,实现机房上机操作的规范化;应用多种系统结构设计技术,提高系统性能与安全性;应用信息安全技术,保护系统运行安全和系统信息安全。 7参考文献 1王敏杰.浅析高校计算机机房管理与维护J.智能城市,2016, (03). 2刘?.学校机房的管理与维护J.通讯世界,2016, (03). 3张立荣,杨达,刘秋红.高职院校机房管理现状及解决策略J.工业技术与职业教育,2016, (25). 4王成,郭晓东.如何加强企业计算机机房管理与系统维护J.信息与电脑(理论版) ,2016, (01). 5冯剑秋.信息机房运维及其管理的主要策略分析J.信息化建设,2016, (01).
