对于高校校园网的安全建设而言，主要考虑以下几个方面：

•需要对整个校园的网络安全统筹规划，建立体系化的安全保障系统；

•建设过程需要遵循等级保护的要求，结合等级化的方法来设计；

•将校园网划分安全域，分域管理，更有利于安全重点管理；

•部署必要的安全产品是安全防护的主导，需要和校园业务的特性相结合，特别是高校门户网站、数据中心；

•安全服务是安全产品的必要补充，体系化建设咨询、风险评估、渗透测试、应急响应等安全服务将贯穿用户安全建设过程，协助用户提升安全防护能力。

    要解决教育行业的网络安全问题：

    首先，防火墙是不可缺少的设备，防火墙是解决网络边界问题最成熟的设备，星峰航建议用户选择有带宽管理，流量控制，限制BT，内容过滤以及AAA认证功能的防火墙设备，这样可以解决校园网中的流量问题，限制师生上BT等下载软件占用大量带宽，AAA认证功能可以让用户先认证再上网，能够保证安全性。如果再进行细致的配置，能够让防火墙发挥到最大的效用；

    其次，为了保证校园网内健康的网络环境，建议部署星峰航高校网络行为管理系统，网络行为管理系统能够预先设置规则，限定师生只能上健康的网站，同时能够对上网的行为进行监控和管理，是校园网内有效的管理手段。

    目前解决远程接入安全最有效的方案就是使用SSL VPN技术，对于校园网来说，需要保证来自各种网络接入条件的师生都能够安全的接入到网内，同时还要支持手机接入，因此使用星峰航安全接入网关来保证远程接入的安全，满足校园网用户的需求。

示意图如下所示：

这是对于讨论校园网系统的安全性如何保证的解答。

【关键词】校园网 安全分析　防范措施

一、引言　
网络安全性是指保障网络服务的可用性和网络信息的完整性。前者要求向所有用户有选择地提供所授权的网络服务，后者则要求网络保证其信息资源的完整性、可用性、准确性及有限的传播范围。网络安全受到影响后常常会导致网络系统无法提供正常的服务，以及网络信息资源被更改、破坏甚至泄密等。因此，要在保证网络可用性的基础上采取相应的控制策略和安全技术来保证系统的安全。
由于校园网支持全校位各部门的办公教学活动，采取集中存放、统一管理数据的方式，因此，这些信息的安全至关重要。为了保证共享信息的安全，校园网必须采取很好的安全措施，才能保证校园网的正常运行。
二、校园网的安全分析
校园网的安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护和使用以及管理等；逻辑安全是从软件的角度提出的，主要指数据的保密性、完整性、可用性等等。以下将从这两个方面分析校园网的安全威胁。
（一）物理安全
网络物理安全是整个网络系统安全的前提。物理安全的威胁主要有：
1．地震、水灾、火灾等环境事故造成整个系统毁灭；
2．电源故障造成设备断电导致操作系统引导失败或数据库信息丢失；
3．设备被盗、被毁造成数据丢失或信息泄漏。
（二）逻辑安全
1．来自互联网的安全威胁
校园网是与Internet互连的。由于Internet的开放性、国际性与自由性，校园网将面临更加严重的安全威胁。如果校园网与外部网络间没有采取一定的安全防护措施，校园网很容易遭到来自外网黑客的攻击。如：
黑客通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放的TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序进行攻击；黑客通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息；黑客通过发送大量数据包对网络服务器进行攻击，使得服务器超负荷工作导致拒绝服务甚至系统瘫痪。
2．来自校园网内部的安全威胁
内部管理人员把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏。
内部教职工有的可能熟悉服务器、小程序、脚本和系统的弱点，利用网络开些小玩笑，甚至搞破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等，这些都将给网络造成极大的安全威胁。
３．系统的安全威胁
系统安全是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然留有“后门”，而且系统本存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。操作系统如果没有采用相应的安全配置，将会是漏洞百出，掌握一般黑客技术的人都可能轻易得手。如果进行了安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口，要入侵校园网就不容易了。
4．应用程序的安全漏洞
应用程序的安全涉及很多方面。应用程序系统是动态的、不断变化的，安全性也是动态的。这就需要我们针对不同的应用程序安全漏洞采取相应的安全措施，降低应用程序的安全风险。
（1） 资源共享
校园网内部有办公自动化系统，而办公网络应用通常是共享网络资源，缺少必要的访问控制策略，教职工就可能有意、无意的把硬盘中重要信息长期暴露在网络上，被轻易窃取并传播出去造成泄密。
（2） 电子邮件系统
电子邮件为网络用户提供电子邮件服务。校园网用户可通过邮件系统发送和接收电子邮件，这就有可能被黑客跟踪或收到一些木马、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件没有警惕性，从而给入侵者提供机会，给系统带来不安全因素。
（3） 病毒侵害
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、盗版光盘或软盘等传播途径潜入校园网。因此，病毒的危害是不可轻视的。校园网中一旦有一台计算机受病毒感染，病毒程序就完全可能在极短的时间内迅速扩散，传播到校园网上的所有计算机，可能造成信息泄漏、文件丢失、机器死机等后果。
三、校园网的安全对策
（一）物理安全对策
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。它主要包括两个方面：
１．环境安全
对系统所在环境的安全保护，如区域保护和灾难保护；
2．设备安全
设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等，通过严格管理及提高教职工的整体安全意识来实现。 这是对于讨论校园网系统的安全性如何保证的解答。

校园网网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。
一、网络信息安全系统设计原则
目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，设计时应遵循如下思想：
(1)大幅度地提高系统的安全性和保密性；
(2)保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；
(3)易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；
(4)尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；
(5)安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；
(6)安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。
基于上述思想，网络信息安全系统应遵循如下设计原则：
满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。
--第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。
--第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。
--第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。
需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。
综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。
可用性原则安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。
分步实施原则：分级管理分步实施由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。
二、网络信息安全系统设计步骤
网络安全需求分析
确立合理的目标基线和安全策略
明确准备付出的代价
制定可行的技术方案
工程实施方案(产品的选购与定制)
制定配套的法规、条例和管理办法
本方案主要从网络安全需求上进行分析，并基于网络层次结构，提出不同层次与安全强度的校园网网络信息安全解决方案。
三、网络安全需求
确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲，校园网网络信息系统需要解决如下安全问题：
局域网LAN内部的安全问题，包括网段的划分以及VLAN的实现
在连接Internet时，如何在网络层实现安全性
应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的入侵
如何实现广域网信息传输的安全保密性
加密系统如何布置，包括建立证书管理中心、应用系统集成加密等
如何实现远程访问的安全性
如何评价网络系统的整体安全性
基于这些安全问题的提出，网络信息系统一般应包括如下安全机制：访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。

校园网络作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期，安全问题可能还不突出，随着应用的深入，校园网上各种数据会急剧增加，各种各样的安全问题开始困扰网络管理人员。
一、 安全的表现形式
由于学校是以教学活动为中心的场所，网络的安全问题也有自己的特点。主要表现在： 1． 不良信息的传播，2． 病毒的危害，3． 非法访问，4． 恶意破坏，5． 口令入侵。
二、 威胁安全的因素：1．物理因素，2．技术因素，3．管理因素，4．使用者因素，5．宣传教育因素。
三、 安全管理的策略
校园网具有访问方式多样、用户群庞大、网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细考虑，并在实际运行中严格管理。为保证校园网络的安全性，一般采用以下一些策略：
1．设备安全
在校园网规划设计阶段就应该充分考虑到网络设备的安全问题。将一些重要的设备，如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空，并有明显标记，防止无意损坏。对于终端设备，如工作站、小型交换机、集线器和其他转接设备要落实到人，进行严格管理。
2．技术保证
目前，网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。针对校园网来说，我们觉得最主要应该采取以下一些技术措施：1、运用内容过滤器和防火墙，2、运用VLAN技术，3、杀毒软件。
3．网络的管理
这种管理除了建立起一套严格的安全管理规章制度外，还必须培养一支具有安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令，对用户名和口令进行加密存储、传输，提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。
网管人员还需要建立与维护完整的网络用户数据库，严格对系统日志进行管理，对公共机房实行精确到人、到机位的使用登记制度，则可对网络用户和服务账号进行精确的控制。定时对校园网系统的安全状况做出评估和审核，关注网络安全动态，调整相关安全设置，进行入侵防范，发出安全公告，紧急修复系统。
4．用户教育
除了对用户进行有关网络安全的法律法规和规章制度进行宣传教育外，还必须让用户知道如何使用密码、管理文件、收发邮件和正确地运行应用程序。对于非法访问和黑客攻击事件，一旦发现要严肃处理。

（一）加强组织领导，完善规章制度，健全工作机制，明确工作责任
为加强相关建设和管理，学校于2002年就确立了在学校党委统一领导下，分管副书记、副校长直接负责，各有关部门分工协作的领导体制。在相互配合的基础上，校党委宣传部具体负责校园主网站建设与维护、网上舆论分析与引导、网络信息监控、网络文化建设等工作，并对各二级网站的内容进行日常监督、协调、管理、指导。学校网管中心负责建设和维护校园网络与信息安全技术平台，保证校园网络安全平稳运行，并对校园网内的二级域名资源进行统一分配和管理。学校实验与设备处、后勤与资产管理处负责购置相应的硬件设备。校内各单位按“谁主管、谁负责”的原则，对部门网站进行日常管理和信息监控。为加强对于网络突发事件的处理能力，我校还建立了舆情分析机制和网络突发事件应急机制，学校网络文化建设和管理领导小组办公室承担舆情汇集、研判和快速处理的职责。
为确保网络文化建设的规范性，学校根据国家法律法规及上级有关部门的文件精神，紧密结合学校实际，陆续出台了《四川师范大学校园网络管理办法》、《四川师范大学关于进一步加强校园网络文化建设和管理工作的通知》等规章制度。今年，学校又发布了《中共四川师范大学委员会关于校园网络新闻发布管理的规定》，该规定对校园网络信息的发布、审核、监控及相关工作绩效考评作出了详细的要求。这些制度对弘扬社会主义核心价值体系，高扬校园网络文化主旋律；提高校园网络文化产品和服务的供给能力；加强网上思想舆论阵地建设，掌握网上舆论主导权，提高网上引导水平；加强监管，净化环境，营造健康文明的网络文化氛围起到了重要的规范和保障作用，使学校的网络文化建设和管理有章可循，为校园网络文化乃至于整个校园文化的蓬勃发展奠定了坚实的基础。
（二）开通校务信箱，推动民主管理，营造共建共享的文化氛围
四川师大校务信箱系统是校党委宣传部新闻中心设计制作的一个具有学校校务管理功能的网络留言和回复系统。该系统很好地结合了学校公共事务管理特点，运用网络Web技术和数据库技术，把与学校公共事务管理相关的各种要素都集中放置到一个网络系统之中，构建起一个人人可以平等参与的互动式交流平台。通过这一平台，广大师生员工乃至社会各界都可以直接与校方管理者就相关校务问题进行无障碍的沟通与交流，而且这些交流的信息在通常情况下都是公开进行的，这就意味着学校在办学过程中所遇到的各种矛盾与问题及其处理流程，只要不是涉密的信息，都有可能在这里被呈现于公共视野之中。因为该系统最大的特点就是信息的公开性，所以在这里进行意见表达，还有许多其它沟通方式所无法比拟的优越性，可以不受时空限制自由提出疑问和建议，更容易讲清楚，讲透彻。校务信箱系统的开通还有利于促进学校勤政、廉政建设，减少和消除腐败，杜绝“暗箱”操作等；同时，它在推动学校信息化建设、节约管理成本、提高管理效率、增强了师生员工对学校事务的关心和兴趣等诸多方面也起着相当重要的积极作用。特别是广大学生就学习、生活、就业等方面提出各种问题后，校内各单位都将根据工作职能及时予以回复并给出处理办法，使有序、民主、和谐的网络文化氛围日益浓厚，深受学生好评和欢迎。
（三）加强网络信息安全监控，为校园网络文化的繁荣发展提供技术支持
第一，加强网络的技术防护。由于网络具有信息发布平台开放性、信息发布来源隐蔽性等特点，加之各种安全漏洞、不良网站及“网络黑客”的存在，给高校网络信息安全工作带来诸多挑战。尤其是在对匿名用户缺乏有效控制的情况下，一些不宜宣传或不健康的内容极有可能通过网络渗透进校园网。针对校园网络文化建设面临的这种复杂情况，早在2003年，校党委宣传部和网管中心即建成了以“防火墙”网络安全技术为支持的校园网防护系统，通过这一系统，可以对各类有害网站和有不健康内容的网站进行封堵，并能较有效地抵御校内外“黑客”的攻击，还能对校内不良或者不健康的网络信息和上网行为进行监控，为构建健康的校园网络文化环境提供了必要的技术防护。
第二，加强对校内论坛等网络交流平台的监管。为活跃和繁荣我校网络文化，我们开辟了以师大论坛为主的校内网络交流平台，下设数十个子版块，涵盖文学、艺术、政治、经济、电脑技术等各个方面。就运行情况看，上述平台上的交流文章主流是积极向上的，但也出现过一些过激言论，也有一些持不同观点的同学进行争论时超出了必要的限度，为此，学校党委宣传部协同有关部门对校内论坛等网络交流平台加强管理，管理者既有网络技术人员，还有德育工作者和安全保卫人员。同时，学校每学期都要对各版块的“版主”进行专门的政策知识和专业技能培训，要求其认真履行职责,及时删除错误的信息，切实把所负责的版块建设成健康、高雅、科学、文明的交流平台。另外，凡申请在学生寝室上网或申办“论坛”者,须填写申请书、责任书,并经所在学院书记签字批准才能入网。学校还组建了网络信息员队伍，他们由德育工作者和部分学生骨干组成，在校党委宣传部指导下，定期整理论坛上的讨论热点及主要观点，捕捉和反馈重要信息，掌握网上动态，以适当方式制作和发布积极信息，及时处理消极信息。
（四）发挥网络思想政治教育功能，加强网络阵地建设，构建网络德育平台
学校在网络文化建设和管理过程中，因势利导，大力加强网络阵地建设，不断将各种文明健康的文化信息输入校园网络，并以此为依托，开展思想政治教育工作。为了使校园网成为传播和弘扬社会主义先进文化的主阵地、示范区和辐射源，学校将网络作为推动社会主义核心价值体系“三进”的新载体，在门户网站上开辟了思想政治教育网页，用先进文化占领网络，引导青年学生坚定理想和信念，用科学的观点分辨是非。学校党委组织部、党委宣传部、学生工作部、政治教育学院等单位还开辟了专门的思想政治教育专题网页，在上述网站、网页上，以问答、纲要、述评、案例分析等生动活泼的形式分门别类地提供大量的党史党建知识、中国特色社会主义理论体系知识、中国优秀传统文化知识，并针对校内外各种热点、难点、疑点问题，及时转载权威媒体的论述和同学们有代表性的观点，帮助同学们树立先进的文化观念和正确的价值取向，使校园网络成为弘扬主流文化、优化校园环境、塑造校园精神、培养合格人才的阵地。
学校在加强网络阵地建设的过程中体会到，开辟网络德育平台并不能进行简单的网络说教，而要落实以人为本的原则，不断提高网络文化产品和服务的供给能力和质量，不断丰富校园文化和学生的精神生活，用优质的网络服务来感染学生，启发学生，达到潜移默化、以文化育人的效果。为此，我校在建设大学生文化素质教育基地过程中，在充分整合校内网络资源的基础上，积极开展内容丰富、形式新颖、吸引力强的融思想性、娱乐性、知识性、服务性于一体的各种网络文化活动。学校在“师大在线”上开设了网上文化精品库，提供名著点阅、名片名曲点播、科研成果评析等，拓展学生的知识视野与知识结构。为拉近学生与正面网站的距离，我校学生工作部和各学院还开设了网上教育互动平台，及时与同学们进行学习、生活及心理健康方面的网络交流。
同时，学校还致力于激发广大同学创作健康、优秀的网络文化产品的积极性和创造性，引导同学们参与到校园网络文化产品的创作生产体系中，近年来，同学们为校园网络提供了大量的作品，既丰富了校园网，又在同学们中形成了良好的文化氛围。
目前，通过多维互动、多管其下，校内已构建起了宽领域、多层次的网络文化交流平台，通过校园各级网站可方便快捷地查询到教学、科研、管理、校园新闻、学生活动、学术讲座、就业动态、社团文化、学期成绩、奖学金、勤工助学等各个方面的信息，实现了主流阵地由主流信息占领的格局，消减了不良消息的侵蚀，构建起了“大网络德育平台”。
（五）建设高素质的网络文化建设者队伍，为加强校园网络文化建设和管理提供人才保障
我校在校园网络文化建设和管理工作始终高度重视人才队伍的建设，学校认为，高校网络文化建设者只有不断更新知识、提高能力，才能适应大学生群体不断变化的思想特征、情感特点、行为特色，才能对这些变化加以敏锐观察，准确分析，正确引导。为此，学校着重抓了两支队伍的建设，一是校园网络日常管理与维护专业队伍建设，二是网络红客和评论员队伍建设。
第一，加强校园网络日常管理与维护专业队伍建设。学校按照提高素质、优化结构、相对稳定的要求，以学校组织部、宣传部、学工部、校团委、网络中心工作人员和部分学生干部为骨干，建立和培养了一支思想水平高、业务能力强、熟悉学生思想状况和上网规律的网络工作队伍，并着力加强该队伍的两个方面能力的培养，既监控网络舆情的能力和解决技术问题的能力。学校每年都要安排有关人员进行业务进修，接受专门培训，提高他们甄别问题、应对问题的工作能力。学校凭借这支工作队伍，建立了功能完备、多级防范的网络管理体系，坚决删除“黄色的”，着力疏导“灰色的”，积极营造“红色的”和“绿色的”校园网络文化环境。
第二，加强网络红客和评论员队伍的建设。学校目前组建了一支包括12名教师和50名学生在内的稳定的网络红客和评论员队伍，并根据实际需要，邀请特约评论员参与评论引导工作。这支队伍非常熟悉大学生思想动态、高等教育规律及学校校情，且热心于此项工作。为提高舆论引导水平，增强舆论引导的及时性、针对性和有效性，学校在门户网站和各级网站上不定期推出他们撰写的高质量的述评文章，与学生进行平等的沟通与交流，就学生有关学习、生活、就业等方面的问题进行解答，通过有理、有力的深入分析，引导大学生运用正确的理论和观点去解疑释惑，增强大学生的信息解读能力、对网络文化的辨别能力和抵制不良信息的能力。
（六）开展网络文化建设和管理情况调研，加强关于网络文明的宣传和教育
为深入了解大学生利用网络的现状和网络对青年学生的影响，学校定期组织校内有关专家和相关工作人员，对学校网上信息进行分析研究，了解学生思想动态和行为特征。学校还不定期召开学生座谈会、开展问卷调查，及时了解大学生上网时间、上网目的、上网收获等各个方面的情况和存在的问题。通过调研，学校对校园网络文化显在、潜在的积极影响、消极影响进行了全面系统的分析，形成若干调研报告，为进一步加强相关建设和管理提供了重要的依据。
同时，学校还通过校党委宣传部、学生工作部等部门发出文明上网倡议，提出网络文明行为的基本内容。学校通过发放学习手册、组织辩论赛等形式加大了对网络文明的宣传和教育力度，鼓励学生提高自我约束能力，自觉维护网络秩序，共建共享积极健康的网络文化。
经过近年来的不懈努力，我校已经在校内创建了校园新闻网、教务系统、办公自动化系统、网上成绩查询系统、招生就业信息、在线心理咨询、数字图书馆等网络管理系统；开辟了了师大论坛、校友论坛等校园虚拟社区；从2004年起，开辟了校务信箱，校领导及各职能部门负责人根据分管工作及时回答师生关于学习、工作、生活等各个方面的问题近两万条；实现了三大校区，即狮子山校区、成龙校区、东校区网络的相互联结和资源共享；构建起了校园网络德育平台，建设了一支政治觉悟高、业务能力强的网络管理与维护队伍和一支政治素质好，分析能力强，评论技巧娴熟的网络红客和评论员队伍。我们也深切地感受到，学校的网络文化建设和管理工作在取得一系列成绩的同时，还存在着诸多尚待改进之处，在今后的工作中，我们将认真贯彻落实上级部门的有关文件精神和安排部署，加强与上级主管部门的联系，紧密结合学校实际情况，不断推进我校校园网络文化建设和管理工作迈上新的台阶。
三、关于加强和改进网络文化建设，提高大学生网络思想政治教育成效的思路
主动占领网络阵地，推进思想政治教育网络工程建设。新时期，高校要重视“红色网站”建设，打造“品牌栏目”，专门建立能充分体现鲜明的马克思主义立场、观点、方法的思想政治教育网站，或在高校网站主页的突出位置设立德育教学专栏，注意针对学生关心的热点问题，积极开展网上正面的宣传和正确的信息传播。校内各单位还要按照弘扬主旋律，倡导多样性的原则，在部门网站上开设思想政治教育频道，建立“网上答疑”、“网上讨论”系统，对学生所提出的问题，通过网络进行交流解答。同时，也可以在网络上提出一些焦点、难点、疑点问题供学生讨论，不断拓展网络思想政治教育的覆盖面，增强网络思想政治教育工作的影响力。为此，我校将进一步改变客观上存在的，大学网络思政教学资源提供与使用方面的条块分割状态，真正实现共建共享。构建全方位的高校网络思想政治教育新模式。
（一）加强网络道德建设和教育
高校在网络文化建设过程中，要大力加强网络道德教育，提高大学生的网络道德水平和自律意识，使他们树立正确的网络道德观念，引导大学生自觉抵制网络垃圾的侵蚀，恪守网络规范，约束网络行为，自觉维护网络秩序，做到文明上网，努力营造健康有序的网络环境。在进一步加强和改进校园网络文件建设的过程中，我们将积极坚持用马克思主义理论教育和引导大学生，弘扬民族精神，强化爱国主义意识，帮助他们牢固树立科学的世界观、人生观和价值观。通过加强网络道德教育，提高大学生驾驭网络的能力，加快网络信息技术和网络知识的普及，培养大学生掌握信息技术，提高信息素养和网络意识，使他们学会利用网络进行交流沟通，利用网络进行科学研究，利用网络全面发展自己。在网络文化建设过程中，还要重视对大学生进行网络心理辅导，积极开展网上心理咨询，防止不当使用网络导致人格障碍和心理障碍，让大学生逐步适应数字化环境，真正成为网络世界的主体。
（二）培养一批专兼职结合的网络德育教学工作者队伍
大多数高校承担网络德育教学工作的，大多是专门的德育工作者，具有丰富的课堂教学经验，但是，他们其中的相当部分老师只具备简单的网络技术，在内容上也只不过把原来的课堂教学照搬到网络上，根本没有依据网络德育教学的特点来设置，导致网络德育教学没有特色，甚至枯燥乏味。因此，我校将重点培养一批专兼职结合德育教学工作者的队伍，确保参与德育网络教学的必须是能够适应网络文化、具有网络文化创新能力的高校教师，并组织有关专家，开设一些上网引导课，让大学生懂得在互联网这个知识宝库中到底能做些什么，如何利用网络获取、使用与自己的专业相结合的信息等问题，同时，完善兼职的网络德育工作者还应和校内的网络红客和网络评论员一起，在校内论坛上就热点问题进行主动导贴，积极跟贴，及时发布正面观点，及时引导网上舆论，切实有效地全方位提高网络德育教学质量。
（三）开展科技创新活动，弘扬积极健康的网络文化
为提高健康高雅的校园网络文化对于学生的感染力和影响力，进而达到提高学生综合素质的作用，我校认为，可根据学生的专业特点和兴趣爱好，开展电脑网络知识大赛、电脑软件展示大赛、电脑技能大赛、个人主页大赛、电脑美术设计大赛等，使科技活动在信息领域得以不断地深化和拓展，培养学生的创新精神，提高学生的创新能力。同时，通过引导学生参与网络文化建设，使他们对网络生存方式和现实生活的关系产生正确认识，发挥网络文化的教育功能。另外，还可通过组织IT校园行、网上冲浪等活动，丰富同学的课余文化活动。在活动开展过程中。特别要注意网上网下结合，利用校园网络这一功能强大的宣传媒体为传统的校园文化活动渲染气氛、报道活动情况，使校园文化活动质量更高使传统的校园文化活动焕发新的生机。
加强对网络信息的监控和舆情分析。面对浩如烟海、良莠不齐的网络信息，我校将进一步建立完善的管理规范，依靠技术手段对各类不良信息进行技术把关、过滤。如对校园网上BBS上可能出现的过激言论及时给予纠正和引导，针对一些热点问题要善于从学生的视角、以学生的观点、用学生的语言提出正确的见解，从而实现对大学生网络学习的正面引导。同时，我校还将在现有网络舆情分工作机制和经验的基础上，把舆情分析及对策研究作为下一步工作的重点。具体而言，我们将整合现有的工作队伍，安排专人专门负责及时了解网上舆情信息，敏锐捕捉一些苗头性、倾向性、群体性问题，对学生访问率高的校内外主流网站、论坛、贴吧上的主流观点、敏感观点以条目的形式进行归类整理，并列出简要评析和对策建议，呈报学校领导和有关职能部门参阅，作为制定规章制度，开展相关工作的依据之一，从而牢牢把握网上工作主动权，增强了工作的预见性。

北京大学院系楼群、学生公寓众多，物理网络接入较为复杂，各部门的信息系统很分散，安全需求也不尽相同，如图书馆、档案馆、财务部、教务部等都各自有独立的信息服务系统，甚至独立的网络结构和专职的网络管理员，而多数的部门则主要是依托网络中心来提供信息服务。鉴于这种管理结构，北京大学校园网采用的是部门独立，相对分散的信息安全管理架构。对图书馆、财务部等有一定网络规模或对信息安全有特殊要求的部门，自成一个安全实体，而其它全校公共信息服务系统，如电子邮件系统，Web服务、校内信息服务、校园一卡通、网络电视等系统，则由网络中心统一负责管理。
网络中心为校园提供基本的安全服务和安全保障，主要有以下四个部分：
网络安全基础设施
防火墙是校园网信息安全保障的核心点，它负责校园网中最基本的信息服务系统的安全，一旦被非法进入，存在着内容被窃取、泄密、篡改、损坏等巨大风险，属于安全等级中最严重的事件。通过部署防火墙，把这些信息系统集中隔离到一个逻辑安全区中，在防火墙集中控制点处定制严格的访问控制策略，实施严格的数据流监控。因为防火墙的安全性源于其优秀的访问控制能力，可做到基于IP、协议、用户的访问控制，能灵活地对服务对象、操纵权限、服务范围进行控制。 同时也对各具体的服务系统从底层操作系统到应用系统做了针对性的安全优化和加强，如停用无关服务、启用系统审计、精简定制系统等。而且对安全性有特殊要求的服务系统，在防火墙和服务系统上也做了较为详细的日志记录，为安全事件的事后取证工作提供依据，当然取证是多因素的综合，也包括其它手段如IDS、蜜罐等手段的补充。
IDS系统是重要的网络安全诊断工具，可实时监控网络中的异常情况、跟踪安全事件的新动向、统计分析安全历史记录等。IDS系统通常把探测引擎分布式地部署在网络的各关键点，然后汇总到控制中心进行分析、统计、显示、报警等动作。由于外网的攻击，如网络扫描、蠕虫、DOS等攻击，只能是被动地阻断或向相关组织反馈，而对攻击源无法处罚，内网则由于可利用的监控手段多，攻击源的定位和控制也相对容易。鉴于这些考虑，北京大学IDS系统的探测器部署在校园网的总出入口处，主要监控内外网之间发生的安全事件，为网管人员执法提供依据。
垃圾邮件过滤系统和防病毒邮件网关
北京大学为全校教师和学生提供一个以pku-edu-cn域的邮箱账号，目前用户数规模高达2万多。根据日常的监控统计，垃圾邮件和高度疑似的垃圾邮件就占了总量的90%之多，消耗了大量的系统资源，包括CPU性能、磁盘空间、内存、响应速度等。垃圾邮件主要分两大类，一类是病毒造成，另一类是广告行为。
对于大量泛滥的广告邮件，采用基于行为分析的垃圾邮件过滤系统，即通过识别垃圾邮件的行为（如分析邮件路由逻辑，反向验证IP地址域，辨别仿冒邮件地址等行为特征）进行过滤。事实证明通过这种基于行为方式的过滤，垃圾邮件会大幅度地降低，根据对校园网邮件系统的统计，最后能到达用户的邮件只占邮件总量的5-10%，而且即使是过滤后的邮件，垃圾邮件也能占到一定的比例。这部分被漏掉的垃圾邮件，一是由于系统不对内容做判断，另一方面是因为有一些行为没能被识别出来造成的。
病毒邮件同样是垃圾邮件，而且占相当大的比例，由于病毒极强的传染力，导致邮件系统成了散播病毒的源头，严重威胁着邮件接收者的终端系统，因此在校园网邮件系统的前端我们部署了邮件防病毒网关，凡是进入邮件系统的信件都要经防病毒网关的过滤后，才最终被送到用户邮箱中。
桌面防病毒系统
目前计算机病毒充分利用了网络和黑客攻击技术，使得病毒的传播性、感染性和攻击性急剧增强，造成严重的安全事件。由于病毒种类繁多，数量达数十万之多，如果接入网络的桌面系统不安装防病毒系统，感染病毒是无法避免的。校园网作为一个管理实体，拥有众多的终端桌面用户和服务器系统，如果防病毒完全是分散的无管理的个体行为，效果并不十分理想，许多防护系统形同虚设，给校园网带来了严重的安全隐患。北京大学在校园网采用了Symantec Antivirus企业版的解决方案，对校园网的桌面防病毒系统进行集中管理，实现自动从服务器获取新的病毒定义，实时具备最新的防护能力，无须用户再干预。对移动的用户，可通过校内代理以手动方式从服务器获得最新的病毒定义。另外，通过管理端不仅可清楚地了解网络中感染病毒主机的比率情况，而且还可明确主机感染了何种病毒。
漏洞补丁管理和发布系统
软件程序缺陷和漏洞对互联的计算机系统是个灾难，利用系统漏洞的攻击危害性极大，尤其是近年来病毒借用了这种具有黑客攻击的技术后，给网络带来严重的后果，如CodeRed、Nimda、Blaster等都无一例外使得校园网，甚至是整个Internet陷于瘫痪状态。由于补丁程序是这类问题的唯一根本解决方案，加之各类补丁程序数量规模巨大，所以出现了漏洞补丁管理和发布这样的安全应用系统。校园网内以Windows系统为主，而Windows系统漏洞的危害较严重，北京大学在校园网内专门设置了Windows系统漏洞补丁管理和发布服务器，用于对校园内的Windows系统进行统一管理，从本地服务器下载更新补丁程序。此应用系统采用的是微软免费的Microsoft Software Update Service系统，用户规模近一万，系统负荷、流量都相对比较大。本系统的管理功能很弱，但基本符合校园网松散的安全管理模式，所以能够满足校园网的需求。而且其分析统计功能能够详细地列出每个受管理系统的补丁程序更新状况，实用性很强。另外，为避免补丁程序更新不及时或其它意外因素，对重大的漏洞补丁程序，以传统的网络公告方式发布并提供直接下载，有效地避免恶性安全事件的大范围发生。
具备完备的安全设施是安全保障的必要条件，但更重要的是网络安全管理的规范化和拥有专业化的安全管理团队。北京大学网络中心做为校园网和教育网华北主节点之一的管理者，既要负责整体的安全管理和规划，又要负责各院系和最终用户的琐碎的具体安全工作，在常年的实践中已形成了一整套默认的规范，有些已经成为明文的制度。
通常情况下，设备或系统都有专门的系统管理员，网络设备如交换机、路由器、网管应用系统等由NOC组的管理员负责，信息系统如邮件、Web、数据库等具体的应用服务系统则由NIC组的系统管理员负责，这样大量局部的、简单的安全事件就能被管理员直接解决。另外，北京大学设立了网络安全紧急响应小组，专门负责处理那些重大的紧急安全事故。这个小组没有专职人员，主要是由部门领导挂职，在遇到突发事件时协调网络管理员和信息系统管理员的工作。由于安全技术的完善和人们安全意识的提高，象红色蠕虫之类大规模的网络安全事件已经不多见了，而对偶尔的突发事件，通常管理员就能做出快速的判断和反应，所以具有经验丰富、专业化的技术团队是网络安全管理的根本。

我国中小学校园网建设和应用的现状分析与思考