文/鄭先偉

作為高校網管人員，我們經常會接到各種各樣的咨詢電話，其中很多問題都是用戶原本可以避免的。比如，有用戶抱怨他的計算機在裝完系統后很快就感染病毒了。經過了解，我們發(fā)現該計算機在沒有安裝殺毒軟件的情況下就上網“裸奔”。而諸如此類的問題，一直讓人力和時間有限的網絡中心疲于應付。因此，在學校范圍內定期開展校園網安全意識培訓是提高校園網管理效率和增強用戶安全防御能力的重要途徑。

該培訓面向所有的學校用戶。在培訓中，我們不僅要講解基本的技術手段，而且要幫助用戶樹立良好的安全意識和習慣，這樣才能為減少校園網安全問題起到治本的作用。

在日常工作中，我們發(fā)現用戶的安全意識普遍比較淡薄。對此，網管人員應該為用戶總結安全風險的種類和措施，提高用戶自我防范的意識和能力。

軟件應用保持最佳狀態(tài)

系統安裝步步為營

系統安裝前后的一系列工作往往被用戶忽略。實際上，從安全防護的角度來看，系統安裝是很有講究的。

用戶安裝的無論是系統，還是應用軟件，都應該使用最新的正版軟件。我們應該讓用戶意識到盜版軟件的危害，因為盜版軟件本身可能帶有病毒，而且它們無法完成正常的更新任務。

在安裝系統之前，用戶在本地要準備好相關的軟件（如驅動、防病毒軟件等），因為使用沒有安全防護的新系統去訪問網絡是一件很危險的事情。

在安裝時，主機應該拔掉網線，因為安裝過程中，主機可能啟用網卡的DHCP服務獲取到合法的地址，從而受到來自于網絡的攻擊。在安裝過程中一定要為系統設置相應的密碼。

安裝結束后，用戶必須盡快啟用系統防火墻，安裝殺毒軟件，插上網線后，應在第一時間下載軟件補丁并安裝，同時升級病毒庫，然后使用已升級的殺毒軟件做全盤掃描，將非系統盤上的可能存在的病毒清除。

勤打補丁勤更新

程序漏洞是黑客攻擊的重要憑借。這就需要用戶隨時關注主機的“健康狀況”。網管人員需要提醒用戶的是，多數軟件都可能需要打補丁，當軟件提示更新時，用戶應該盡快進行；Windows系統和大型的第三方軟件本身帶有自動更新功能，該功能可以自動判斷程序是否需要安裝補丁并下載相應的補丁來提示用戶安裝，而小型第三方軟件可能沒有自動更新功能，這就需要用戶自己關注相應軟件的主頁，一旦發(fā)現有需要更新的程序應盡快下載安裝；長期不使用的軟件應該卸載，否則可能會因為可能存在的安全隱患而被攻擊者利用。另外，需要提醒用戶的是，自動更新功能很多時候只是執(zhí)行自動下載，而不會自動安裝，這個時候用戶還必須手工操作來完成安裝補丁的過程。

防火墻和殺毒軟件必不可少

我們可以向用戶推薦Windows自帶防火墻，雖然它在配置和功能選項上較弱，但是防護功能全面，當然用戶也可以選擇在系統上安裝其它自己認為合適的防火墻。

殺毒軟件只需安裝一種即可。目前殺毒軟件的工作重點在于預防系統被感染而不是在感染病毒后的殺毒，很多時候殺毒軟件可以有效地隔離病毒，但是無法完全修復病毒對系統造成的損害。若要完全修復系統，用戶可以借助相關的專殺工具或安全輔助工具，如360安全衛(wèi)士、病毒克星等。

網絡訪問小心謹慎

減少網絡威脅傳播的渠道

如今，木馬、病毒是用戶訪問互聯網面臨的最主要的威脅。木馬、病毒的傳播途徑主要有瀏覽網頁、網絡下載、收發(fā)電子郵件、使用移動存儲介質以及局域網共享等。瀏覽網頁是用戶感染木馬病毒的主要途徑。攻擊者通過篡改正常Web服務器上的網頁代碼，使用戶打開相應網頁后會在后臺自動訪問存在攻擊程序的網頁，這些攻擊程序會利用用戶主機上的漏洞進行攻擊，從而傳播木馬病毒。網絡下載也是主機感染病毒的一種常見方式，它一般通過欺騙性的命名吸引用戶下載，當用戶點擊運行程序時，主機就感染病毒了。病毒也會通過郵件的附件進行傳播，包含病毒的郵件的主題和內容通常偽造成各式各樣。而交叉使用的移動存儲介質以及不設密碼的局域網共享服務器同樣成為病毒傳播的溫床。

在培訓時，我們可以將木馬和病毒的傳播原理告知用戶，并且提供以下辦法：

1.用戶盡量訪問大型網站，雖然這些網站也避免不了被攻擊，但是它們的用戶量巨大，攻擊事件可以被快速發(fā)現和清除。同時，用戶應該建立這樣的意識：自己熟知的網站并不安全。根據清華大學與北京大學聯合運行的網頁掛馬監(jiān)測系統顯示：每天教育網上有幾十個甚至上百個網站被掛馬，這些網站一般是院校的二級網站。所以，用戶訪問網站要謹慎。

2.保證防火墻和殺毒軟件處于正常的工作狀態(tài)，以抵御來自網絡、移動存儲器的病毒。

3.不隨意點擊電子郵件的附件，謹慎下載軟件。

避開欺詐網站

欺詐和釣魚是通過網頁、短信和電子郵件實現的。網頁釣魚不僅僅會偽造網上銀行系統，它還會偽裝成任何與網銀業(yè)務有關的網站來進行欺詐。而電子郵件和短信則是依靠發(fā)送虛假信息來欺騙用戶。用戶要做的就是不要隨意點擊不明來歷的網頁鏈接，尤其是即時通訊軟件發(fā)來的網頁地址。涉及銀行操作時，用戶一定要看清楚相關網站的信息，包括證書、域名等基礎性信息，提高警惕，避免財產等遭受損失。

個人信息不輕易外泄

信息泄露經常是由于用戶的無意或有意的行為引起的，而這些信息也往往是攻擊者感興趣的。所以，網管人員在培訓中應該提醒用戶學會保護隱私，不要輕易泄露信息。

在基本安全技能的培訓過程中，我們還可以結合當前的熱點問題，為用戶提供相應的解決辦法，使得培訓更加貼近用戶的需求。