1方案解决思路

从导致公共多媒体教室计算机系统感染病毒的原因入手，提出如下解决思路：⑴拆除还原卡，让计算机系统、计算机杀毒软件通过网络实现实时升级，保持一个健康的计算机系统环境；⑵杜绝U盘等移动介质的使用，堵住病毒的源头。图1所示为方案实际工作示意图。首先，让计算机系统、计算机杀毒软件通过网络保持实时升级，及时打上补丁，堵住系统漏洞。所有多媒体教室计算机均不安装任何还原卡，将多媒体教室计算机组成多媒体专网，由“网闸”（“网闸”允许多媒体专网中的计算机访问校园网、Internet，但不允许校园网、Internet上的计算机访问多媒体专网内的计算机）通过校园网接入Internet，保持计算机系统补丁和杀毒软件病毒库实时升级，进而达到保持计算机系统健康和环境健康的目的。其次，通过以下几项措施，杜绝U盘、MP3等移动介质的使用，确保教师使用的课件没有病毒，堵住病毒源头。⑴禁用计算机USB接口，使病毒不能通过用户移动设备传播，杜绝病毒来源。计算机设置普通账号登录，杜绝用户随意安装和删除软件，保证计算机各软件正常使用。⑵教师上课用的课件通过多媒体教室计算机登录到“网闸”（校园网其他服务器或Internet的邮箱或云盘）下载得到，由于“网闸”能对教师上传的课件定时杀毒（Internet上的邮箱或云盘等服务也具有杀毒功能）进而保证了所用课件没有感染病毒。另外，上课时教师也会偶尔访问Internet的其他资源，由于计算机系统健康的环境和最新的杀毒软件环境，即使访问的网上资源有病毒也可随时清除，从而保持计算机系统的健康。

2方案实现

2.1多媒体专网多数高校均已建成功能完善的校园网，如基础线路允许，可建立物理专网，即每个教学楼多媒体教室通过一台智能可网管交换机组成一个局域网，通过2芯光纤直连到网络中心，组成一个真正的物理专网（也可通过建立虚拟局域网的方法实现），然后再通过“网闸”接入校园网。

2.2多媒体教室计算机⑴安装360安全卫士，实现操作系统、OFFICE软件、浏览器等软件的实时升级，使系统不存在漏洞，以防感染病毒。⑵安装360杀毒软件，实时升级，保持病毒库的最新状态，实现对病毒的即时查杀（也可通过购置网络版杀毒软件实现）。⑶禁用USB接口，进入BIOS设置，选择“IntegratedPeripherals”选项，展开后将“USB1.1Controller”和“USB2.0Contr01ler”选项的属性设置为“Disabled”，即可禁用USB接口。最后给BIOS设置上一个密码，这样别人就无法通过修改注册表解“锁”上述设备了，如果有USB接口鼠标或键盘等设备，用ps2/usb转换接头转一下或采用PS2接口的键盘和鼠标即可，如此就能杜绝教师使用U盘、MP3等移动设备，堵住病毒源头。⑷建立普通账号，如“jiaoxue”，密码均相同，上课教师通过该账号登录系统，将管理账号修改密码，密码只有管理人员知道，防止上课教师随意安装或删除软件。⑸保持桌面清洁，建立批处理软件，放在启动项中，每次启动系统将桌面上教师上课用的课件自动清除。

2.3“网闸”“网闸”为一台服务器（用高档PC替代也可，但注意数据备份）要求配双网卡，要求硬盘为企业级硬盘，2T以上容量，这样可保证每个用户的FTP空间在1G以上，运行平台采用LinuxRedHat9.0，起FTP服务器、用户注册服务器、服务器、多媒体专网监控服务器和杀毒服务器和隔离Internet病毒的作用。⑴Linux系统安装LinuxRedHat9.0系统安装比较简单，我校用一台普通PC充当服务器，内存2G、4T企业级SATA硬盘1块。分区时建立FTP卷3.4T存放用户资料、WWW卷100G存放数据库和WEB数据、VAR卷100G、USR卷100G、ETC卷100G、/卷100G、HOME卷50G。软件安装时选择MySQL数据库，APACHE选择支持PHP模块，选择VSFTP模块，分别为eth0、eth1网卡配置IP地址，为eth1网卡配置好默认网关，其余默认安装即可。⑵FTP服务器首先，编辑/etc/vsftpd/vsftpd.conf配置文件，将anony-mous_enable=YES，改为NO，此句禁止用户匿名登录；增加ch-root_local_user=YES，此句将用户浏览范围限制在自己的家目录中。修改完毕保存，用servicevsftpdrestart重新启动vsftpd服务。其次，限制用户的使用空间。在Linux中限制用户的磁盘使用空间使用的是Quota，一般Quota在安装Linux时就已包括在内核中，不需要另行安装。Quota可以从两方面指定磁盘的储存限制；使用者所能够支配的索引节点（inodes）数量；以及使用者可以取用的磁盘区块数量。在使用Quota监视用户时，一旦用户使用空间超出缓冲值（soft）就会发出警告，如超出限定值（hard）就会禁止用户再储存文件。以下为在linux上启动quota的步骤。第一步，在要限制空间大小的卷/ftp的OPTIONS中加入usrquota,grpquota参数，修改完成之后，重新挂载/ftp分区。第二步，使用quotacheck-cugm命令在/ftp下生成磁盘配额的配置文件aquota.group和aquota.user。使用quotaon命令启动磁盘配额。第三步，用edquota命令设置用户空间大小，本文软限制为1800M，硬限制为2000M，用户超过软限制会得到报警，超不过硬限制。可用repquota命令查看用户的磁盘配额情况。⑶用户注册服务器用户注册服务器实现用户ftp账号的自动注册，以及硬盘空间的自动限额。在⑴配置好quota的基础上，主要分为两个步骤。第一步，实现用户前台注册，前台界面如图2所示，后台exec.php代码如下，当用户提交数据后，系统调用脚本check.sh检查/etc/passwd和临时文件newuserlist中是否存在用户，若不存在，则将用户和密码写入newuserlist文件，否则提示用户重新输入。第二步，由cron计划任务每隔5分钟调用用户添加脚本user_add.sh，将其添加到系统中，完成用户注册和磁盘限额。⑷服务器IPTABLES是LinuxRedHat9.0系统自带的一款防火墙软件，同时具有服务器的功能，实现将多媒体专网进行NAT转换，多媒体专网内的计算机均能够通过校园网访问Internet，除“网闸”外，校园网和Internet上的计算机均不能访问多媒体专网，实现对多媒体内网的保护。⑸杀毒服务器ClamAntiVirus（ClamAV）是免费而且开放源代码的防毒软件，软件与病毒码的的更新皆由社群免费。目前ClamAV主要是使用在由Linux、FreeBSD等Unix-like系统架设的服务器上，提供文件的病毒扫描服务。首先，通过代码安装和服务设置将该软件安装到服务器上。其次，使用计划任务，让“网闸”每天凌晨3：01定时升级病毒库一次，每隔1小时调用clamscan，对所有用户目录中1小时以内所修改过的文件杀毒一次，并清除感染病毒的文件。

3多媒体专网监控系统

多媒体专网的正常运行是本方案能成功运行的关键，为了有效监控多媒体专网的运行状况，笔者开发了一套基于PHP的多媒体专网监控系统，监控系统实行分层监控，第一层从多媒体专网核心交换机到各教学楼的智能可网管交换机，该层监控整个多媒体专网；第二层从多媒体专网到各多媒体教室，该层监控每个多媒体教室的运行情况。

3.1监控系统监控系统分数据获取和显示两个部分，数据获取部分首先对多媒体专网第一层各智能可网管交换机依次监控状态，并将检测结果存入数据库，再对第二层各多媒体教室计算机依次监控状态，并将结果存入数据库。数据显示比较简单，按照两个层次依次显示即可，运行界面如图3所示，图3中最上面表格为多媒体专网主干网情况，如果运行不正常，则以红色标志显示，此时必须马上安排维修。图3中下面表格为各教学楼中每个多媒体教室的运行情况，多媒体教室可以显示“不在线”，表明该时刻该教室没有教师上课。

3.2监控系统实现关键代码监控系统数据获取主要是通过Linux内置ping命令获取多媒体专网交换机和各多媒体教室计算机的运行状态，对其结果分析后存入switch表，数据获取程序由cron定时计划每10分钟调用一次。

4相关问题

4.1方案执行需要配套的制度方案仅从技术上对媒体教室计算机运行模式进行了改变，按照该方案能够很好地解决多媒体教室病毒及运行问题。技术是为管理服务的，为了能使该方案正常运行，根据我校的经验，管理部门还必须认真做好以下工作。⑴提前下发通知到各院系，将多媒体教室运行模式改变的消息通知到各位任课教师，并让各位教师登录到注册服务器注册用户，熟悉资料上传方法。⑵传统多媒体教室运行方法在教师心目中已经根深蒂固，要想完全改变过来，需要一个过程。因此，开始我们可以不封掉USB接口，用一个月的时间让教师适应新方法，即从服务器上下载课件，但偶尔也能用一下USB设备。这种方法既给教师一个适应期，也能检测一下该方案在运行中存在的问题，给管理人员一个适应期。在适应期中，我们将多媒体教室改变运行模式的通知、多媒体教室新模式运行的开始时间、多媒体教室计算机使用方法、技术咨询电话等做在桌面背景图片中，时刻提醒教师尽快适应新的方法，以免新模式运行时引起各种不适应现象。

4.2相关故障的解决在整个方案运行的过程中，多媒体专用网的正常运行起着至关重要的作用，一旦网络出现故障，教师将无法上课。根据我校多媒体教室新方案运行的经验，在新方案运行的过程中，务必做到以下几点。⑴必须准备充足的备用设备。如备用“网闸”至少1台，备用“网闸”及时备份“网闸”上的各种信息和相应资料，档次不求太高，可用普通PC替代，交换机2台以上，计算机3台以上，均做好各种配置，以备随时替换故障设备。⑵严格值班制度，时刻监视多媒体专网监控系统，一有故障，马上根据故障特点做出相关处理。若各教学楼到网络中心主干线路问题，立即将临时服务器拿到相应教学楼，供老师们上课临时使用；若为教学楼交换机故障，立即更换设备；若为多媒体教室计算机到相应教学楼交换机线路故障，应先将该教室计算机打开USB接口，拷入上课课件，优先保证教师上课；若为多媒体教室计算机故障，应马上更换备用计算机。

5结束语

针对公共多媒体教室计算机管理问题，本文提出了一个基于“网闸”的高校公共多媒体教室计算机管理方案，有效解决了公共多媒体教室管理中病毒泛滥的老大难问题，该方案思路清晰，简便易行。“网闸”服务器相关软件均为Linux下的免费开源软件，不需要额外投资，经济实惠，可操作性强，在校园网稳定运行的基础上，只要对公共多媒体教室运行模式稍加改变即可投入运行。

作者：谢延红钱爱增单位：德州学院信息管理学院