周潔

摘 要：信息技術(shù)對(duì)軍校教育產(chǎn)生了前所未有的巨大沖擊，昆明消防指揮學(xué)校金盾網(wǎng)的安全防護(hù)體系也需要隨之不斷完善，研究我校金盾網(wǎng)的脆弱性，從金盾網(wǎng)安全管理制度和安全技術(shù)兩方面入手進(jìn)行研究，建立完善的安全防護(hù)系統(tǒng)，確保系統(tǒng)安全穩(wěn)定運(yùn)行。

關(guān)鍵詞：金盾網(wǎng)；安全防護(hù)體系；信息化

1991年爆發(fā)的海灣戰(zhàn)爭(zhēng)第一次將信息化作戰(zhàn)發(fā)揮到了極致，掀起了世界性新軍事變革大潮，這也促使我國(guó)軍事理論從以機(jī)械化戰(zhàn)爭(zhēng)為核心向以信息化戰(zhàn)爭(zhēng)為核心轉(zhuǎn)變，十八大政府工作報(bào)告中提到要全面加強(qiáng)軍隊(duì)革命化現(xiàn)代化正規(guī)化建設(shè)，堅(jiān)定不移把信息化作為軍隊(duì)現(xiàn)代化建設(shè)發(fā)展方向，推動(dòng)信息化建設(shè)加速發(fā)展。與此同時(shí)，在軍隊(duì)全面進(jìn)行信息化建設(shè)的過程中，網(wǎng)絡(luò)安全問題日益嚴(yán)峻，提高軍隊(duì)網(wǎng)絡(luò)安全防御能力，建立完善的軍隊(duì)網(wǎng)絡(luò)安全防御體系刻不容緩。

90年代末，我國(guó)政府為適應(yīng)全球信息化趨勢(shì)，啟動(dòng)政府信息化系統(tǒng)工程——“十二金”工程?！敖鸲芄こ獭保ü残畔⒒┳鳛槠渲兄唬?998年開始實(shí)行。消防信息化對(duì)實(shí)現(xiàn)消防業(yè)務(wù)辦公自動(dòng)化和消防業(yè)務(wù)信息共享和綜合利用，提高消防部隊(duì)預(yù)防和撲救火災(zāi)以及處置其它災(zāi)害事故的實(shí)戰(zhàn)能力，優(yōu)化消防業(yè)務(wù)工作流程，實(shí)現(xiàn)消防業(yè)務(wù)管理科學(xué)化、規(guī)范化，提高工作質(zhì)量和管理水平等方面，都起到了積極作用。與此同時(shí)，由于網(wǎng)絡(luò)協(xié)議的開放性、系統(tǒng)的通用性、計(jì)算機(jī)自身的脆弱性及在系統(tǒng)平臺(tái)搭建中的一些不穩(wěn)定因素不可避免的產(chǎn)生了一些安全問題，這些安全問題將有可能導(dǎo)致病毒傳播、非法入侵、信息泄漏甚至整個(gè)平臺(tái)崩潰。因此，如何預(yù)防和解決信息化建設(shè)中存在的安全問題，使網(wǎng)絡(luò)更好的服務(wù)于當(dāng)前的消防工作，是信息化建設(shè)中亟待解決的問題。

在信息化建設(shè)的浪潮中，信息技術(shù)對(duì)軍校教育產(chǎn)生了前所未有的巨大沖擊，從教育理念、教育目標(biāo)到教育環(huán)境、教育模式、教育管理，都在這場(chǎng)沖擊中發(fā)生著變革。我校作為一所培養(yǎng)消防部隊(duì)基層指揮人才的專業(yè)學(xué)校，也響應(yīng)消防部隊(duì)信息化建設(shè)的號(hào)召，緊跟網(wǎng)絡(luò)建設(shè)發(fā)展的步伐，全面推進(jìn)我校信息化建設(shè)。隨著我校規(guī)模逐年擴(kuò)大，信息化建設(shè)全面鋪開，我校金盾網(wǎng)的安全防護(hù)體系也需要隨之不斷完善。

1 我校金盾網(wǎng)脆弱性分析

根據(jù)我校金盾網(wǎng)軟硬件部署情況，將我校金盾網(wǎng)脆弱性分析如下：

1.1 軟件弱點(diǎn)

第一：首先我校金盾網(wǎng)覆蓋面較大，金盾網(wǎng)終端數(shù)量大，每臺(tái)終端根據(jù)應(yīng)用需要都運(yùn)行著操作系統(tǒng)和一定數(shù)量的應(yīng)用軟件，無論是操作系統(tǒng)還是應(yīng)用軟件都由大量的計(jì)算機(jī)代碼構(gòu)成的。研究表明，正常情況下，每一千行計(jì)算機(jī)代碼，存在5到15個(gè)漏洞，假設(shè)在我校金盾網(wǎng)終端中運(yùn)行的這數(shù)百萬計(jì)的計(jì)算機(jī)代碼行中，存在的漏洞中只有一小部分和網(wǎng)絡(luò)安全相關(guān)，這一小部分漏洞中又只有一小部分可以被攻擊者利用，那么這樣的安全漏洞也有幾千個(gè)，攻擊者往往就是利用剛才所述的漏洞進(jìn)行攻擊，入侵系統(tǒng)的。

第二：我校金盾網(wǎng)終端均安裝了“一機(jī)兩用”監(jiān)控軟件，嚴(yán)禁任何終端同時(shí)接入金盾網(wǎng)和互聯(lián)網(wǎng)，終端不能通過互聯(lián)下載安裝系統(tǒng)和軟件補(bǔ)丁，這也成為了我校金盾網(wǎng)終端系統(tǒng)和軟件升級(jí)難的原因之一，加之使用人員還沒有養(yǎng)成良好的使用習(xí)慣，網(wǎng)絡(luò)安全意識(shí)還比較淡漠，沒有及時(shí)在金盾網(wǎng)上下載補(bǔ)丁、升級(jí)和更新病毒庫(kù)，這就不可避免的造成了軟件漏洞，讓攻擊者有機(jī)可乘，為病毒傳播提供了溫床。

1.2 硬件弱點(diǎn)

我校金盾網(wǎng)硬件均使用國(guó)產(chǎn)硬件，有效杜絕了國(guó)外敵對(duì)勢(shì)力利用可編程硬件，人為在硬件上設(shè)置“后門”進(jìn)行攻擊。

1.3 配置弱點(diǎn)

第一：我校的金盾網(wǎng)配置了復(fù)雜訪問控制策略的防火墻進(jìn)行保護(hù)，防火墻配置了幾百條規(guī)則用于拒絕和允許各種流量， 由于規(guī)則數(shù)量較大，準(zhǔn)確無誤的配置規(guī)則對(duì)網(wǎng)絡(luò)管理人員自身的素質(zhì)要求較高，兩方面因素增加了配置錯(cuò)誤的幾率。

第二：我校金盾網(wǎng)處于建設(shè)階段，各種網(wǎng)絡(luò)安全措施在不斷的完善，網(wǎng)絡(luò)管理人員對(duì)于新的網(wǎng)絡(luò)安全措施中的硬件配置規(guī)則掌握不全面，不熟練，也造成了配置上的弱點(diǎn)。

第三：由于我校網(wǎng)絡(luò)管理人員自身業(yè)務(wù)水平的局限性增加了出現(xiàn)配置錯(cuò)誤的幾率。

1.4 策略弱點(diǎn)

無論何種網(wǎng)絡(luò)，所遵循的安全策略是基本相同的，由安全策略的不完善引發(fā)的安全問題具有一定的普遍性，近年來，各種網(wǎng)絡(luò)策略弱點(diǎn)屢屢被曝光，我校網(wǎng)絡(luò)管理人員可以通過各種渠道及時(shí)掌握網(wǎng)絡(luò)安全資訊，調(diào)整我校金盾網(wǎng)安全策略，從而避免策略弱點(diǎn)導(dǎo)致的安全問題。

1.5 使用弱點(diǎn)

我校嚴(yán)格執(zhí)行《公安消防部隊(duì)計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等網(wǎng)絡(luò)安全的規(guī)章制度，并結(jié)合我校實(shí)際制定了具體的工作制度。但由于金盾網(wǎng)覆蓋面廣，終端數(shù)量大，干部、士兵以及學(xué)員都有一定的權(quán)限使用金盾網(wǎng)，使用人員網(wǎng)絡(luò)安全意識(shí)參差不齊、使用經(jīng)驗(yàn)不足違反了安全策略，造成使用弱點(diǎn)。

2 金盾網(wǎng)安全防護(hù)體系的改善

鞏固和改善我校金盾網(wǎng)安全防護(hù)體系是一個(gè)長(zhǎng)期的、專業(yè)化的、不斷發(fā)展變化的任務(wù)。以技術(shù)手段為主，以制度建設(shè)為輔，兩者相結(jié)合，有效的維護(hù)我校金盾網(wǎng)的安全、穩(wěn)定和有效運(yùn)行。

2.1 金盾網(wǎng)安全管理制度的改善

⑴建立健全物理安全制度。我校金盾網(wǎng)覆蓋教學(xué)樓、辦公樓和各學(xué)員大隊(duì)，網(wǎng)絡(luò)設(shè)備分布廣泛，管理存在一定難度，一旦線路和設(shè)備遭到破壞，將引起網(wǎng)絡(luò)中斷；包含敏感數(shù)據(jù)的設(shè)備被盜或電磁泄漏，將造成信息的泄露，造成無可彌補(bǔ)的損失，所以維護(hù)我校金盾網(wǎng)的物理安全是維護(hù)我校金盾網(wǎng)安全最基礎(chǔ)的環(huán)節(jié)。在信息中心等重點(diǎn)環(huán)節(jié)安裝門禁系統(tǒng)，可有效防止無關(guān)人員有意無意的造成機(jī)房安全事故；配備視頻監(jiān)控系統(tǒng)，全面監(jiān)視網(wǎng)絡(luò)設(shè)備和線路的安全，可有效防止人為破壞和盜竊等安全事故的發(fā)生。為了防止我校金盾網(wǎng)敏感數(shù)據(jù)通過電磁輻射泄露，根據(jù)信息的重要性和防護(hù)成本，采取一定的電磁波防護(hù)措施；使用磁帶、磁盤存放柜，并采取物理保護(hù)措施，對(duì)載有機(jī)密以上內(nèi)容的磁盤、磁帶，需保存在防磁屏蔽容器內(nèi)；室內(nèi)采用六類屏蔽雙絞線，消除電磁泄漏的隱患，室外遠(yuǎn)程傳輸采用光纖。機(jī)房?jī)?nèi)的所有設(shè)備、物體表面的磁場(chǎng)強(qiáng)度允許范圍在800A/m內(nèi)，以防磁場(chǎng)強(qiáng)度超標(biāo)對(duì)存儲(chǔ)介質(zhì)上的信息造成破壞。

⑵網(wǎng)絡(luò)安全日常管理制度。據(jù)調(diào)查數(shù)據(jù)表明，80%的網(wǎng)絡(luò)攻擊都來源于網(wǎng)絡(luò)內(nèi)部，規(guī)范內(nèi)部用戶的網(wǎng)絡(luò)行為，制定相應(yīng)的處罰制度，從源頭上消除安全隱患是保障我校金盾網(wǎng)安全最為行之有效的制度手段。信息中心、教研室和各學(xué)員大隊(duì)都應(yīng)建立一套責(zé)任落實(shí)、目標(biāo)明確的管理制度，制定出具體安全操作制度、安全監(jiān)測(cè)記錄制度以及軟件升級(jí)制度，將日常的安全管理工作落實(shí)到人，部門領(lǐng)導(dǎo)承擔(dān)起督促的責(zé)任。嚴(yán)格按《公安機(jī)關(guān)人民警察使用公安信息網(wǎng)違規(guī)行為行政處分暫行規(guī)定》，對(duì)我校網(wǎng)上違規(guī)行為進(jìn)行查處，制定責(zé)任追究方案，規(guī)范責(zé)任追究程序，明確責(zé)任追究部門，加大通報(bào)力度，制定具體的處罰細(xì)則，建立督促整改制度。

⑶建立網(wǎng)絡(luò)安全管理人才的培訓(xùn)制度。提高我校網(wǎng)絡(luò)管理人員的業(yè)務(wù)素質(zhì)，培養(yǎng)網(wǎng)絡(luò)技術(shù)人才也是提高金盾網(wǎng)安全的重要手段。先進(jìn)的安全防范設(shè)施只有由精通網(wǎng)絡(luò)安全管理技術(shù)的人員使用才能發(fā)揮作用。我校未來應(yīng)該和實(shí)力雄厚的安全公司、廠家積極溝通交流，定期開展網(wǎng)絡(luò)安全知識(shí)講座，普及網(wǎng)絡(luò)安全知識(shí)，提高全員網(wǎng)絡(luò)安全意識(shí)；對(duì)本身具有計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)知識(shí)的人員進(jìn)行定期培訓(xùn)，使之了解網(wǎng)絡(luò)安全形勢(shì)動(dòng)態(tài)，掌握網(wǎng)絡(luò)安全先進(jìn)技術(shù)，培養(yǎng)優(yōu)秀的網(wǎng)絡(luò)安全管理人才為我校信息化建設(shè)注入新鮮的血液。

2.2 金盾網(wǎng)安全技術(shù)的改善

⑴防火墻系統(tǒng)部署的改善。鑒于我校金盾局域網(wǎng)和整個(gè)金盾廣域網(wǎng)的交流聯(lián)系越來越密切，需要重新考慮一些服務(wù)器放置的位置，例如WEB服務(wù)器，如果直接將其暴露于防火墻外，無疑是不安全的；現(xiàn)狀是：將其放置在防火墻后，防火墻的配置原則是：允許Web信息通過端口80到達(dá)Web服務(wù)器，這樣的配置可以防止攻擊者直接攻擊網(wǎng)絡(luò)內(nèi)部，但是攻擊者可以通過端口80攻擊Web服務(wù)器并獲得遠(yuǎn)程超級(jí)用戶權(quán)限，進(jìn)而通過Web服務(wù)器攻擊內(nèi)部網(wǎng)絡(luò)。目前，雖然在整個(gè)金盾網(wǎng)廣域網(wǎng)的內(nèi)部還沒有發(fā)生嚴(yán)重的攻擊事件，但從整個(gè)網(wǎng)絡(luò)環(huán)境上看，網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，其次從發(fā)展變化的角度看，必須未雨綢繆，基于以上理由，提出新的防火墻部署方案。

該部署方案最大的特色就是設(shè)置了DMZ（?；饏^(qū)），DMZ的安全性高于外部網(wǎng)絡(luò)（除我校金盾網(wǎng)以外的金盾網(wǎng)），低于內(nèi)部網(wǎng)絡(luò)（我校內(nèi)部金盾網(wǎng)）。在DMZ中放置公共服務(wù)器，例如WEB、FTP、SMTO、POP3、MAIL等服務(wù)器，這些服務(wù)器只承擔(dān)代理數(shù)據(jù)訪問職責(zé)并不涉及敏感數(shù)據(jù)，將數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用程序等涉及敏感數(shù)據(jù)的服務(wù)器保護(hù)在內(nèi)網(wǎng)當(dāng)中。內(nèi)部網(wǎng)絡(luò)即可訪問DMZ又可訪問外部網(wǎng)絡(luò)，但對(duì)訪問DMZ做一定的限制，防止內(nèi)部用戶對(duì)DMZ進(jìn)行攻擊；一般情況下，對(duì)于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，DMZ均可訪問，但是為了保持內(nèi)部網(wǎng)絡(luò)的高安全級(jí)別，嚴(yán)格限制DMZ訪問內(nèi)部網(wǎng)絡(luò)，在必要的情況下，只將內(nèi)部網(wǎng)絡(luò)某些特定端口的訪問權(quán)限授予DMZ；嚴(yán)禁外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)。設(shè)置DMZ的優(yōu)點(diǎn)顯而易見，為內(nèi)部網(wǎng)絡(luò)設(shè)置了一道保護(hù)屏障，任何攻擊者企圖攻擊內(nèi)部網(wǎng)絡(luò)必須先突破此道屏障，這顯然比直接攻擊內(nèi)部網(wǎng)絡(luò)要困難的多。

目前，很流行部署雙防火墻，層次結(jié)構(gòu)為外部防火墻、DMZ、內(nèi)部防火墻、這種部署方案的動(dòng)機(jī)在于用內(nèi)部防火墻來彌補(bǔ)外部防火墻的漏洞，但是防火墻如果沒有達(dá)到預(yù)期的安全效果，問題是在于防火墻的安全配置策略有漏洞或者不完善，部署雙層防火墻并不會(huì)增加安全性，并且有成本高、管理復(fù)雜等一系列問題，基于以上分析，建議我校未來的防火墻部署方案采取以下部署方案，如圖：

⑵認(rèn)證系統(tǒng)的改善。隨著信息化建設(shè)的推進(jìn)，將從公安部自上而下按照行政層級(jí)建立層級(jí)式的證書中心CA，部局二級(jí)證書中心為我校設(shè)立的三級(jí)證書中心頒發(fā)身份證書，我校證書中心CA為本信息系統(tǒng)的使用人員頒發(fā)證書。同時(shí)，我校也將部署總隊(duì)級(jí)權(quán)限管理中心，為我校信息系統(tǒng)提供分配和回收用戶權(quán)限等服務(wù)，對(duì)我校金盾網(wǎng)系統(tǒng)資源進(jìn)行訪問控制，并且可以實(shí)現(xiàn)上下級(jí)用戶權(quán)限的轉(zhuǎn)換以實(shí)現(xiàn)與其他各級(jí)信息系統(tǒng)的互通。我校金盾網(wǎng)信息系統(tǒng)將逐步實(shí)現(xiàn)使用者每人配備一個(gè)身份認(rèn)證設(shè)備，以實(shí)現(xiàn)身份認(rèn)證和權(quán)限管理的配合。對(duì)于認(rèn)證系統(tǒng)來說，如何正確使用證書關(guān)系到整個(gè)金盾網(wǎng)信息系統(tǒng)的安全，鑒于證書使用的重要性，提出以下建議：

定期開展網(wǎng)絡(luò)安全講座，普及數(shù)字證書安全使用方法以及相關(guān)管理規(guī)定，提高全員網(wǎng)絡(luò)安全意識(shí)；完善數(shù)字證書管理機(jī)制，建立專門數(shù)字證書管理臺(tái)賬，責(zé)任落實(shí)到人，“誰使用，誰負(fù)責(zé)”，數(shù)字證書一旦遺失，及時(shí)上報(bào)注銷，盡可能降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；對(duì)本部門掛職、借調(diào)、轉(zhuǎn)業(yè)、退休人員數(shù)字證書的上繳和變更要做出具體的規(guī)定；定期撰寫我校數(shù)字證書使用情況報(bào)告書，分析存在問題，清理從未使用的數(shù)字證書，提高數(shù)字證書的使用率，充分發(fā)揮數(shù)字證書的作用。

⑶終端安全系統(tǒng)的改善。調(diào)查顯示，在全球計(jì)算機(jī)網(wǎng)絡(luò)遭受的攻擊和破壞當(dāng)中，八成來源于網(wǎng)絡(luò)內(nèi)部，而防火墻，入侵檢測(cè)系統(tǒng)等傳統(tǒng)的安全防護(hù)手段往往對(duì)來源于網(wǎng)絡(luò)內(nèi)部的攻擊和破壞束手無策。我國(guó)通常采用制度監(jiān)管的方式監(jiān)控和審計(jì)內(nèi)部網(wǎng)絡(luò)行為，而國(guó)外多采用了先進(jìn)的技術(shù)手段監(jiān)管內(nèi)部網(wǎng)絡(luò)行為，效果更為明顯。我校金盾網(wǎng)終端分布范圍廣，使用人員雜，人員網(wǎng)絡(luò)安全意識(shí)參差不齊，網(wǎng)絡(luò)終端安全問題較為突出。從網(wǎng)絡(luò)終端入手，建立牢固的終端安全體系，才能形成全面立體的安全防護(hù)系統(tǒng)。

我校的終端安全體系中除按照規(guī)定部署“一機(jī)兩網(wǎng)”監(jiān)控軟件、補(bǔ)丁分發(fā)管理系統(tǒng)和桌面管理系統(tǒng)以外，還部署了“360安全衛(wèi)士8.1企業(yè)定制版”和“病毒防治系統(tǒng)，下面重點(diǎn)分析后兩者。

第一：病毒防治系統(tǒng)部署情況

我校網(wǎng)絡(luò)終端數(shù)量大，任何一臺(tái)終端感染病毒，都將威脅整個(gè)網(wǎng)絡(luò)的安全，影響網(wǎng)絡(luò)正常運(yùn)行的性能，建立完善的病毒防治系統(tǒng)是我校網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中必不可少的環(huán)節(jié)。病毒防治系統(tǒng)查殺潛伏病毒、保護(hù)系統(tǒng)抵御攻擊、將安全風(fēng)險(xiǎn)降低。我校共設(shè)置三個(gè)網(wǎng)段，每個(gè)網(wǎng)段由一臺(tái)病毒防治服務(wù)器負(fù)責(zé)，負(fù)責(zé)訓(xùn)練部網(wǎng)段的病毒防治服務(wù)器和負(fù)責(zé)學(xué)員隊(duì)機(jī)關(guān)的病毒防治服務(wù)器均安裝了瑞星殺毒軟件服務(wù)器端，負(fù)責(zé)多媒體教學(xué)網(wǎng)段的病毒防治服務(wù)器安裝了卡巴斯基殺毒軟件服務(wù)器端，各終端上均安裝防病毒客戶端軟件。這三臺(tái)病毒服務(wù)器定期升級(jí)病毒庫(kù)和主程序，然后再升級(jí)各自負(fù)責(zé)的防病毒客戶端，形成了體系化的病毒防治系統(tǒng)。我校多媒體終端分布于教學(xué)樓各層的每間教室，承擔(dān)了我校絕大多數(shù)的教學(xué)工作，此外還承擔(dān)了轉(zhuǎn)播教育等一系列日常工作，接觸人員多，使用頻繁，感染病毒的風(fēng)險(xiǎn)大，感染病毒的種類雜，在負(fù)責(zé)這一網(wǎng)段的病毒防治服務(wù)器上安裝卡巴斯基殺毒軟件，是鑒于該軟件在世界殺毒軟件排行榜位居首位，殺毒性能卓越，可實(shí)現(xiàn)真正意義上的帶毒殺毒，使用它在這一病毒形勢(shì)嚴(yán)峻的網(wǎng)段，更能確保全面的查殺病毒。但卡巴斯基殺毒軟件的缺點(diǎn)也是顯而易見，運(yùn)行時(shí)大量占用內(nèi)存，升級(jí)頻繁，影響系統(tǒng)運(yùn)行速度和功能，鑒于此，在使用人員相對(duì)單純的訓(xùn)練部網(wǎng)段和機(jī)關(guān)各學(xué)員大隊(duì)網(wǎng)段安裝了瑞星殺毒軟件服務(wù)器端的病毒服務(wù)器進(jìn)行管理和控制，既可以保證查殺病毒的需要，又能確保系統(tǒng)性能的穩(wěn)定。

第二：360安全衛(wèi)士8.1企業(yè)定制版部署情況

安裝360安全衛(wèi)士8.1企業(yè)定制版的主要目的在于便于我校信息中心的網(wǎng)絡(luò)管理人員監(jiān)管我校所有的計(jì)算機(jī)終端和我校終端用戶主動(dòng)維護(hù)計(jì)算機(jī)終端安全運(yùn)行環(huán)境，360安全衛(wèi)士在查殺插件、木馬，修復(fù)系統(tǒng)，修補(bǔ)漏洞方面功能非常強(qiáng)大，彌補(bǔ)其他終端安全手段的不足，鞏固終端安全系統(tǒng)。

[參考文獻(xiàn)]

[1]賀雪晨.信息對(duì)抗與網(wǎng)絡(luò)安全.清華大學(xué)出版社（第2版），2010，5.

[2]陳益均，張小蓉.立體化的校園網(wǎng)安全體系.計(jì)算機(jī)安全，2008，（5）：67-69.

[3]周凌.基于校園網(wǎng)的入侵檢測(cè)系統(tǒng)的研究.計(jì)算機(jī)教學(xué)和教育信息化，2008，（1）：91-94.

⑵網(wǎng)絡(luò)安全日常管理制度。據(jù)調(diào)查數(shù)據(jù)表明，80%的網(wǎng)絡(luò)攻擊都來源于網(wǎng)絡(luò)內(nèi)部，規(guī)范內(nèi)部用戶的網(wǎng)絡(luò)行為，制定相應(yīng)的處罰制度，從源頭上消除安全隱患是保障我校金盾網(wǎng)安全最為行之有效的制度手段。信息中心、教研室和各學(xué)員大隊(duì)都應(yīng)建立一套責(zé)任落實(shí)、目標(biāo)明確的管理制度，制定出具體安全操作制度、安全監(jiān)測(cè)記錄制度以及軟件升級(jí)制度，將日常的安全管理工作落實(shí)到人，部門領(lǐng)導(dǎo)承擔(dān)起督促的責(zé)任。嚴(yán)格按《公安機(jī)關(guān)人民警察使用公安信息網(wǎng)違規(guī)行為行政處分暫行規(guī)定》，對(duì)我校網(wǎng)上違規(guī)行為進(jìn)行查處，制定責(zé)任追究方案，規(guī)范責(zé)任追究程序，明確責(zé)任追究部門，加大通報(bào)力度，制定具體的處罰細(xì)則，建立督促整改制度。

⑶建立網(wǎng)絡(luò)安全管理人才的培訓(xùn)制度。提高我校網(wǎng)絡(luò)管理人員的業(yè)務(wù)素質(zhì)，培養(yǎng)網(wǎng)絡(luò)技術(shù)人才也是提高金盾網(wǎng)安全的重要手段。先進(jìn)的安全防范設(shè)施只有由精通網(wǎng)絡(luò)安全管理技術(shù)的人員使用才能發(fā)揮作用。我校未來應(yīng)該和實(shí)力雄厚的安全公司、廠家積極溝通交流，定期開展網(wǎng)絡(luò)安全知識(shí)講座，普及網(wǎng)絡(luò)安全知識(shí)，提高全員網(wǎng)絡(luò)安全意識(shí)；對(duì)本身具有計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)知識(shí)的人員進(jìn)行定期培訓(xùn)，使之了解網(wǎng)絡(luò)安全形勢(shì)動(dòng)態(tài)，掌握網(wǎng)絡(luò)安全先進(jìn)技術(shù)，培養(yǎng)優(yōu)秀的網(wǎng)絡(luò)安全管理人才為我校信息化建設(shè)注入新鮮的血液。

2.2 金盾網(wǎng)安全技術(shù)的改善

⑴防火墻系統(tǒng)部署的改善。鑒于我校金盾局域網(wǎng)和整個(gè)金盾廣域網(wǎng)的交流聯(lián)系越來越密切，需要重新考慮一些服務(wù)器放置的位置，例如WEB服務(wù)器，如果直接將其暴露于防火墻外，無疑是不安全的；現(xiàn)狀是：將其放置在防火墻后，防火墻的配置原則是：允許Web信息通過端口80到達(dá)Web服務(wù)器，這樣的配置可以防止攻擊者直接攻擊網(wǎng)絡(luò)內(nèi)部，但是攻擊者可以通過端口80攻擊Web服務(wù)器并獲得遠(yuǎn)程超級(jí)用戶權(quán)限，進(jìn)而通過Web服務(wù)器攻擊內(nèi)部網(wǎng)絡(luò)。目前，雖然在整個(gè)金盾網(wǎng)廣域網(wǎng)的內(nèi)部還沒有發(fā)生嚴(yán)重的攻擊事件，但從整個(gè)網(wǎng)絡(luò)環(huán)境上看，網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，其次從發(fā)展變化的角度看，必須未雨綢繆，基于以上理由，提出新的防火墻部署方案。

該部署方案最大的特色就是設(shè)置了DMZ（?；饏^(qū)），DMZ的安全性高于外部網(wǎng)絡(luò)（除我校金盾網(wǎng)以外的金盾網(wǎng)），低于內(nèi)部網(wǎng)絡(luò)（我校內(nèi)部金盾網(wǎng)）。在DMZ中放置公共服務(wù)器，例如WEB、FTP、SMTO、POP3、MAIL等服務(wù)器，這些服務(wù)器只承擔(dān)代理數(shù)據(jù)訪問職責(zé)并不涉及敏感數(shù)據(jù)，將數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用程序等涉及敏感數(shù)據(jù)的服務(wù)器保護(hù)在內(nèi)網(wǎng)當(dāng)中。內(nèi)部網(wǎng)絡(luò)即可訪問DMZ又可訪問外部網(wǎng)絡(luò)，但對(duì)訪問DMZ做一定的限制，防止內(nèi)部用戶對(duì)DMZ進(jìn)行攻擊；一般情況下，對(duì)于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，DMZ均可訪問，但是為了保持內(nèi)部網(wǎng)絡(luò)的高安全級(jí)別，嚴(yán)格限制DMZ訪問內(nèi)部網(wǎng)絡(luò)，在必要的情況下，只將內(nèi)部網(wǎng)絡(luò)某些特定端口的訪問權(quán)限授予DMZ；嚴(yán)禁外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)。設(shè)置DMZ的優(yōu)點(diǎn)顯而易見，為內(nèi)部網(wǎng)絡(luò)設(shè)置了一道保護(hù)屏障，任何攻擊者企圖攻擊內(nèi)部網(wǎng)絡(luò)必須先突破此道屏障，這顯然比直接攻擊內(nèi)部網(wǎng)絡(luò)要困難的多。

目前，很流行部署雙防火墻，層次結(jié)構(gòu)為外部防火墻、DMZ、內(nèi)部防火墻、這種部署方案的動(dòng)機(jī)在于用內(nèi)部防火墻來彌補(bǔ)外部防火墻的漏洞，但是防火墻如果沒有達(dá)到預(yù)期的安全效果，問題是在于防火墻的安全配置策略有漏洞或者不完善，部署雙層防火墻并不會(huì)增加安全性，并且有成本高、管理復(fù)雜等一系列問題，基于以上分析，建議我校未來的防火墻部署方案采取以下部署方案，如圖：

⑵認(rèn)證系統(tǒng)的改善。隨著信息化建設(shè)的推進(jìn)，將從公安部自上而下按照行政層級(jí)建立層級(jí)式的證書中心CA，部局二級(jí)證書中心為我校設(shè)立的三級(jí)證書中心頒發(fā)身份證書，我校證書中心CA為本信息系統(tǒng)的使用人員頒發(fā)證書。同時(shí)，我校也將部署總隊(duì)級(jí)權(quán)限管理中心，為我校信息系統(tǒng)提供分配和回收用戶權(quán)限等服務(wù)，對(duì)我校金盾網(wǎng)系統(tǒng)資源進(jìn)行訪問控制，并且可以實(shí)現(xiàn)上下級(jí)用戶權(quán)限的轉(zhuǎn)換以實(shí)現(xiàn)與其他各級(jí)信息系統(tǒng)的互通。我校金盾網(wǎng)信息系統(tǒng)將逐步實(shí)現(xiàn)使用者每人配備一個(gè)身份認(rèn)證設(shè)備，以實(shí)現(xiàn)身份認(rèn)證和權(quán)限管理的配合。對(duì)于認(rèn)證系統(tǒng)來說，如何正確使用證書關(guān)系到整個(gè)金盾網(wǎng)信息系統(tǒng)的安全，鑒于證書使用的重要性，提出以下建議：

定期開展網(wǎng)絡(luò)安全講座，普及數(shù)字證書安全使用方法以及相關(guān)管理規(guī)定，提高全員網(wǎng)絡(luò)安全意識(shí)；完善數(shù)字證書管理機(jī)制，建立專門數(shù)字證書管理臺(tái)賬，責(zé)任落實(shí)到人，“誰使用，誰負(fù)責(zé)”，數(shù)字證書一旦遺失，及時(shí)上報(bào)注銷，盡可能降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；對(duì)本部門掛職、借調(diào)、轉(zhuǎn)業(yè)、退休人員數(shù)字證書的上繳和變更要做出具體的規(guī)定；定期撰寫我校數(shù)字證書使用情況報(bào)告書，分析存在問題，清理從未使用的數(shù)字證書，提高數(shù)字證書的使用率，充分發(fā)揮數(shù)字證書的作用。

⑶終端安全系統(tǒng)的改善。調(diào)查顯示，在全球計(jì)算機(jī)網(wǎng)絡(luò)遭受的攻擊和破壞當(dāng)中，八成來源于網(wǎng)絡(luò)內(nèi)部，而防火墻，入侵檢測(cè)系統(tǒng)等傳統(tǒng)的安全防護(hù)手段往往對(duì)來源于網(wǎng)絡(luò)內(nèi)部的攻擊和破壞束手無策。我國(guó)通常采用制度監(jiān)管的方式監(jiān)控和審計(jì)內(nèi)部網(wǎng)絡(luò)行為，而國(guó)外多采用了先進(jìn)的技術(shù)手段監(jiān)管內(nèi)部網(wǎng)絡(luò)行為，效果更為明顯。我校金盾網(wǎng)終端分布范圍廣，使用人員雜，人員網(wǎng)絡(luò)安全意識(shí)參差不齊，網(wǎng)絡(luò)終端安全問題較為突出。從網(wǎng)絡(luò)終端入手，建立牢固的終端安全體系，才能形成全面立體的安全防護(hù)系統(tǒng)。

我校的終端安全體系中除按照規(guī)定部署“一機(jī)兩網(wǎng)”監(jiān)控軟件、補(bǔ)丁分發(fā)管理系統(tǒng)和桌面管理系統(tǒng)以外，還部署了“360安全衛(wèi)士8.1企業(yè)定制版”和“病毒防治系統(tǒng)，下面重點(diǎn)分析后兩者。

第一：病毒防治系統(tǒng)部署情況

我校網(wǎng)絡(luò)終端數(shù)量大，任何一臺(tái)終端感染病毒，都將威脅整個(gè)網(wǎng)絡(luò)的安全，影響網(wǎng)絡(luò)正常運(yùn)行的性能，建立完善的病毒防治系統(tǒng)是我校網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中必不可少的環(huán)節(jié)。病毒防治系統(tǒng)查殺潛伏病毒、保護(hù)系統(tǒng)抵御攻擊、將安全風(fēng)險(xiǎn)降低。我校共設(shè)置三個(gè)網(wǎng)段，每個(gè)網(wǎng)段由一臺(tái)病毒防治服務(wù)器負(fù)責(zé)，負(fù)責(zé)訓(xùn)練部網(wǎng)段的病毒防治服務(wù)器和負(fù)責(zé)學(xué)員隊(duì)機(jī)關(guān)的病毒防治服務(wù)器均安裝了瑞星殺毒軟件服務(wù)器端，負(fù)責(zé)多媒體教學(xué)網(wǎng)段的病毒防治服務(wù)器安裝了卡巴斯基殺毒軟件服務(wù)器端，各終端上均安裝防病毒客戶端軟件。這三臺(tái)病毒服務(wù)器定期升級(jí)病毒庫(kù)和主程序，然后再升級(jí)各自負(fù)責(zé)的防病毒客戶端，形成了體系化的病毒防治系統(tǒng)。我校多媒體終端分布于教學(xué)樓各層的每間教室，承擔(dān)了我校絕大多數(shù)的教學(xué)工作，此外還承擔(dān)了轉(zhuǎn)播教育等一系列日常工作，接觸人員多，使用頻繁，感染病毒的風(fēng)險(xiǎn)大，感染病毒的種類雜，在負(fù)責(zé)這一網(wǎng)段的病毒防治服務(wù)器上安裝卡巴斯基殺毒軟件，是鑒于該軟件在世界殺毒軟件排行榜位居首位，殺毒性能卓越，可實(shí)現(xiàn)真正意義上的帶毒殺毒，使用它在這一病毒形勢(shì)嚴(yán)峻的網(wǎng)段，更能確保全面的查殺病毒。但卡巴斯基殺毒軟件的缺點(diǎn)也是顯而易見，運(yùn)行時(shí)大量占用內(nèi)存，升級(jí)頻繁，影響系統(tǒng)運(yùn)行速度和功能，鑒于此，在使用人員相對(duì)單純的訓(xùn)練部網(wǎng)段和機(jī)關(guān)各學(xué)員大隊(duì)網(wǎng)段安裝了瑞星殺毒軟件服務(wù)器端的病毒服務(wù)器進(jìn)行管理和控制，既可以保證查殺病毒的需要，又能確保系統(tǒng)性能的穩(wěn)定。

第二：360安全衛(wèi)士8.1企業(yè)定制版部署情況

安裝360安全衛(wèi)士8.1企業(yè)定制版的主要目的在于便于我校信息中心的網(wǎng)絡(luò)管理人員監(jiān)管我校所有的計(jì)算機(jī)終端和我校終端用戶主動(dòng)維護(hù)計(jì)算機(jī)終端安全運(yùn)行環(huán)境，360安全衛(wèi)士在查殺插件、木馬，修復(fù)系統(tǒng)，修補(bǔ)漏洞方面功能非常強(qiáng)大，彌補(bǔ)其他終端安全手段的不足，鞏固終端安全系統(tǒng)。

[參考文獻(xiàn)]

[1]賀雪晨.信息對(duì)抗與網(wǎng)絡(luò)安全.清華大學(xué)出版社（第2版），2010，5.

[2]陳益均，張小蓉.立體化的校園網(wǎng)安全體系.計(jì)算機(jī)安全，2008，（5）：67-69.

[3]周凌.基于校園網(wǎng)的入侵檢測(cè)系統(tǒng)的研究.計(jì)算機(jī)教學(xué)和教育信息化，2008，（1）：91-94.

⑵網(wǎng)絡(luò)安全日常管理制度。據(jù)調(diào)查數(shù)據(jù)表明，80%的網(wǎng)絡(luò)攻擊都來源于網(wǎng)絡(luò)內(nèi)部，規(guī)范內(nèi)部用戶的網(wǎng)絡(luò)行為，制定相應(yīng)的處罰制度，從源頭上消除安全隱患是保障我校金盾網(wǎng)安全最為行之有效的制度手段。信息中心、教研室和各學(xué)員大隊(duì)都應(yīng)建立一套責(zé)任落實(shí)、目標(biāo)明確的管理制度，制定出具體安全操作制度、安全監(jiān)測(cè)記錄制度以及軟件升級(jí)制度，將日常的安全管理工作落實(shí)到人，部門領(lǐng)導(dǎo)承擔(dān)起督促的責(zé)任。嚴(yán)格按《公安機(jī)關(guān)人民警察使用公安信息網(wǎng)違規(guī)行為行政處分暫行規(guī)定》，對(duì)我校網(wǎng)上違規(guī)行為進(jìn)行查處，制定責(zé)任追究方案，規(guī)范責(zé)任追究程序，明確責(zé)任追究部門，加大通報(bào)力度，制定具體的處罰細(xì)則，建立督促整改制度。

⑶建立網(wǎng)絡(luò)安全管理人才的培訓(xùn)制度。提高我校網(wǎng)絡(luò)管理人員的業(yè)務(wù)素質(zhì)，培養(yǎng)網(wǎng)絡(luò)技術(shù)人才也是提高金盾網(wǎng)安全的重要手段。先進(jìn)的安全防范設(shè)施只有由精通網(wǎng)絡(luò)安全管理技術(shù)的人員使用才能發(fā)揮作用。我校未來應(yīng)該和實(shí)力雄厚的安全公司、廠家積極溝通交流，定期開展網(wǎng)絡(luò)安全知識(shí)講座，普及網(wǎng)絡(luò)安全知識(shí)，提高全員網(wǎng)絡(luò)安全意識(shí)；對(duì)本身具有計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)知識(shí)的人員進(jìn)行定期培訓(xùn)，使之了解網(wǎng)絡(luò)安全形勢(shì)動(dòng)態(tài)，掌握網(wǎng)絡(luò)安全先進(jìn)技術(shù)，培養(yǎng)優(yōu)秀的網(wǎng)絡(luò)安全管理人才為我校信息化建設(shè)注入新鮮的血液。

2.2 金盾網(wǎng)安全技術(shù)的改善

⑴防火墻系統(tǒng)部署的改善。鑒于我校金盾局域網(wǎng)和整個(gè)金盾廣域網(wǎng)的交流聯(lián)系越來越密切，需要重新考慮一些服務(wù)器放置的位置，例如WEB服務(wù)器，如果直接將其暴露于防火墻外，無疑是不安全的；現(xiàn)狀是：將其放置在防火墻后，防火墻的配置原則是：允許Web信息通過端口80到達(dá)Web服務(wù)器，這樣的配置可以防止攻擊者直接攻擊網(wǎng)絡(luò)內(nèi)部，但是攻擊者可以通過端口80攻擊Web服務(wù)器并獲得遠(yuǎn)程超級(jí)用戶權(quán)限，進(jìn)而通過Web服務(wù)器攻擊內(nèi)部網(wǎng)絡(luò)。目前，雖然在整個(gè)金盾網(wǎng)廣域網(wǎng)的內(nèi)部還沒有發(fā)生嚴(yán)重的攻擊事件，但從整個(gè)網(wǎng)絡(luò)環(huán)境上看，網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，其次從發(fā)展變化的角度看，必須未雨綢繆，基于以上理由，提出新的防火墻部署方案。

該部署方案最大的特色就是設(shè)置了DMZ（?；饏^(qū)），DMZ的安全性高于外部網(wǎng)絡(luò)（除我校金盾網(wǎng)以外的金盾網(wǎng)），低于內(nèi)部網(wǎng)絡(luò)（我校內(nèi)部金盾網(wǎng)）。在DMZ中放置公共服務(wù)器，例如WEB、FTP、SMTO、POP3、MAIL等服務(wù)器，這些服務(wù)器只承擔(dān)代理數(shù)據(jù)訪問職責(zé)并不涉及敏感數(shù)據(jù)，將數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用程序等涉及敏感數(shù)據(jù)的服務(wù)器保護(hù)在內(nèi)網(wǎng)當(dāng)中。內(nèi)部網(wǎng)絡(luò)即可訪問DMZ又可訪問外部網(wǎng)絡(luò)，但對(duì)訪問DMZ做一定的限制，防止內(nèi)部用戶對(duì)DMZ進(jìn)行攻擊；一般情況下，對(duì)于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，DMZ均可訪問，但是為了保持內(nèi)部網(wǎng)絡(luò)的高安全級(jí)別，嚴(yán)格限制DMZ訪問內(nèi)部網(wǎng)絡(luò)，在必要的情況下，只將內(nèi)部網(wǎng)絡(luò)某些特定端口的訪問權(quán)限授予DMZ；嚴(yán)禁外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)。設(shè)置DMZ的優(yōu)點(diǎn)顯而易見，為內(nèi)部網(wǎng)絡(luò)設(shè)置了一道保護(hù)屏障，任何攻擊者企圖攻擊內(nèi)部網(wǎng)絡(luò)必須先突破此道屏障，這顯然比直接攻擊內(nèi)部網(wǎng)絡(luò)要困難的多。

目前，很流行部署雙防火墻，層次結(jié)構(gòu)為外部防火墻、DMZ、內(nèi)部防火墻、這種部署方案的動(dòng)機(jī)在于用內(nèi)部防火墻來彌補(bǔ)外部防火墻的漏洞，但是防火墻如果沒有達(dá)到預(yù)期的安全效果，問題是在于防火墻的安全配置策略有漏洞或者不完善，部署雙層防火墻并不會(huì)增加安全性，并且有成本高、管理復(fù)雜等一系列問題，基于以上分析，建議我校未來的防火墻部署方案采取以下部署方案，如圖：

⑵認(rèn)證系統(tǒng)的改善。隨著信息化建設(shè)的推進(jìn)，將從公安部自上而下按照行政層級(jí)建立層級(jí)式的證書中心CA，部局二級(jí)證書中心為我校設(shè)立的三級(jí)證書中心頒發(fā)身份證書，我校證書中心CA為本信息系統(tǒng)的使用人員頒發(fā)證書。同時(shí)，我校也將部署總隊(duì)級(jí)權(quán)限管理中心，為我校信息系統(tǒng)提供分配和回收用戶權(quán)限等服務(wù)，對(duì)我校金盾網(wǎng)系統(tǒng)資源進(jìn)行訪問控制，并且可以實(shí)現(xiàn)上下級(jí)用戶權(quán)限的轉(zhuǎn)換以實(shí)現(xiàn)與其他各級(jí)信息系統(tǒng)的互通。我校金盾網(wǎng)信息系統(tǒng)將逐步實(shí)現(xiàn)使用者每人配備一個(gè)身份認(rèn)證設(shè)備，以實(shí)現(xiàn)身份認(rèn)證和權(quán)限管理的配合。對(duì)于認(rèn)證系統(tǒng)來說，如何正確使用證書關(guān)系到整個(gè)金盾網(wǎng)信息系統(tǒng)的安全，鑒于證書使用的重要性，提出以下建議：

定期開展網(wǎng)絡(luò)安全講座，普及數(shù)字證書安全使用方法以及相關(guān)管理規(guī)定，提高全員網(wǎng)絡(luò)安全意識(shí)；完善數(shù)字證書管理機(jī)制，建立專門數(shù)字證書管理臺(tái)賬，責(zé)任落實(shí)到人，“誰使用，誰負(fù)責(zé)”，數(shù)字證書一旦遺失，及時(shí)上報(bào)注銷，盡可能降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；對(duì)本部門掛職、借調(diào)、轉(zhuǎn)業(yè)、退休人員數(shù)字證書的上繳和變更要做出具體的規(guī)定；定期撰寫我校數(shù)字證書使用情況報(bào)告書，分析存在問題，清理從未使用的數(shù)字證書，提高數(shù)字證書的使用率，充分發(fā)揮數(shù)字證書的作用。

⑶終端安全系統(tǒng)的改善。調(diào)查顯示，在全球計(jì)算機(jī)網(wǎng)絡(luò)遭受的攻擊和破壞當(dāng)中，八成來源于網(wǎng)絡(luò)內(nèi)部，而防火墻，入侵檢測(cè)系統(tǒng)等傳統(tǒng)的安全防護(hù)手段往往對(duì)來源于網(wǎng)絡(luò)內(nèi)部的攻擊和破壞束手無策。我國(guó)通常采用制度監(jiān)管的方式監(jiān)控和審計(jì)內(nèi)部網(wǎng)絡(luò)行為，而國(guó)外多采用了先進(jìn)的技術(shù)手段監(jiān)管內(nèi)部網(wǎng)絡(luò)行為，效果更為明顯。我校金盾網(wǎng)終端分布范圍廣，使用人員雜，人員網(wǎng)絡(luò)安全意識(shí)參差不齊，網(wǎng)絡(luò)終端安全問題較為突出。從網(wǎng)絡(luò)終端入手，建立牢固的終端安全體系，才能形成全面立體的安全防護(hù)系統(tǒng)。

我校的終端安全體系中除按照規(guī)定部署“一機(jī)兩網(wǎng)”監(jiān)控軟件、補(bǔ)丁分發(fā)管理系統(tǒng)和桌面管理系統(tǒng)以外，還部署了“360安全衛(wèi)士8.1企業(yè)定制版”和“病毒防治系統(tǒng)，下面重點(diǎn)分析后兩者。

第一：病毒防治系統(tǒng)部署情況

我校網(wǎng)絡(luò)終端數(shù)量大，任何一臺(tái)終端感染病毒，都將威脅整個(gè)網(wǎng)絡(luò)的安全，影響網(wǎng)絡(luò)正常運(yùn)行的性能，建立完善的病毒防治系統(tǒng)是我校網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中必不可少的環(huán)節(jié)。病毒防治系統(tǒng)查殺潛伏病毒、保護(hù)系統(tǒng)抵御攻擊、將安全風(fēng)險(xiǎn)降低。我校共設(shè)置三個(gè)網(wǎng)段，每個(gè)網(wǎng)段由一臺(tái)病毒防治服務(wù)器負(fù)責(zé)，負(fù)責(zé)訓(xùn)練部網(wǎng)段的病毒防治服務(wù)器和負(fù)責(zé)學(xué)員隊(duì)機(jī)關(guān)的病毒防治服務(wù)器均安裝了瑞星殺毒軟件服務(wù)器端，負(fù)責(zé)多媒體教學(xué)網(wǎng)段的病毒防治服務(wù)器安裝了卡巴斯基殺毒軟件服務(wù)器端，各終端上均安裝防病毒客戶端軟件。這三臺(tái)病毒服務(wù)器定期升級(jí)病毒庫(kù)和主程序，然后再升級(jí)各自負(fù)責(zé)的防病毒客戶端，形成了體系化的病毒防治系統(tǒng)。我校多媒體終端分布于教學(xué)樓各層的每間教室，承擔(dān)了我校絕大多數(shù)的教學(xué)工作，此外還承擔(dān)了轉(zhuǎn)播教育等一系列日常工作，接觸人員多，使用頻繁，感染病毒的風(fēng)險(xiǎn)大，感染病毒的種類雜，在負(fù)責(zé)這一網(wǎng)段的病毒防治服務(wù)器上安裝卡巴斯基殺毒軟件，是鑒于該軟件在世界殺毒軟件排行榜位居首位，殺毒性能卓越，可實(shí)現(xiàn)真正意義上的帶毒殺毒，使用它在這一病毒形勢(shì)嚴(yán)峻的網(wǎng)段，更能確保全面的查殺病毒。但卡巴斯基殺毒軟件的缺點(diǎn)也是顯而易見，運(yùn)行時(shí)大量占用內(nèi)存，升級(jí)頻繁，影響系統(tǒng)運(yùn)行速度和功能，鑒于此，在使用人員相對(duì)單純的訓(xùn)練部網(wǎng)段和機(jī)關(guān)各學(xué)員大隊(duì)網(wǎng)段安裝了瑞星殺毒軟件服務(wù)器端的病毒服務(wù)器進(jìn)行管理和控制，既可以保證查殺病毒的需要，又能確保系統(tǒng)性能的穩(wěn)定。

第二：360安全衛(wèi)士8.1企業(yè)定制版部署情況

安裝360安全衛(wèi)士8.1企業(yè)定制版的主要目的在于便于我校信息中心的網(wǎng)絡(luò)管理人員監(jiān)管我校所有的計(jì)算機(jī)終端和我校終端用戶主動(dòng)維護(hù)計(jì)算機(jī)終端安全運(yùn)行環(huán)境，360安全衛(wèi)士在查殺插件、木馬，修復(fù)系統(tǒng)，修補(bǔ)漏洞方面功能非常強(qiáng)大，彌補(bǔ)其他終端安全手段的不足，鞏固終端安全系統(tǒng)。

[參考文獻(xiàn)]

[1]賀雪晨.信息對(duì)抗與網(wǎng)絡(luò)安全.清華大學(xué)出版社（第2版），2010，5.

[2]陳益均，張小蓉.立體化的校園網(wǎng)安全體系.計(jì)算機(jī)安全，2008，（5）：67-69.

[3]周凌.基于校園網(wǎng)的入侵檢測(cè)系統(tǒng)的研究.計(jì)算機(jī)教學(xué)和教育信息化，2008，（1）：91-94.