【IT168 编者按】《2006年度中国网络安全分析报告》（简称《报告》）是中国民间组织——黑客联盟，针对中国互联网安全现状发布的分析报告。该报告从全球网络及中国网络安全简析、国内网络安全现状、国内计算机病毒现状、国内黑客攻击事件分析、国内网络安全产品以及、网络安全服务等方面，就目前信息安全状况进行了详尽分析和解读。从中我们可以看出，生产的安全与稳定，风险的控制与防范，是CIO目前最关注的问题。

    此次刊登的是《报告》的第二部分——国内网络安全现状篇。全篇的主要结论是：

• 网络扮演角色越多，安全问题越大，机会也多；
• 公共网络安全：网民似乎已经无法自己找到解决之道；
• 企业网络安全：统安全性问题是主流；
• 金融网络安全：安全是制约网银发展的主要因素；
• 教育网络安全：既是攻击发源地，又是极易被攻破的网络。

   《2006年度中国网络安全分析报告》第一部分：全球警报 互联网安全保障迫在眉睫

    2006年第38个世界电信日暨首个世界信息社会日的主题是“Promoting Global Cybersecurity”：推进全球网络安全。这充分体现了人们已经意识到，网络安全已经不是一个潜在的问题，已经成为当前信息社会现实存在的重大问题；网络安全的问题不能依靠一个国家、一个企业或一种技术来解决，需要全世界范围共同努力来推进和保障。

    当前网络安全问题已经涵盖网络自身安全、网络运维安全、网络信息安全以及有害信息过滤和溯源在内多个层面。除涉及用户、网络运营商和国家以外，还涉及互联网上的内容提供商、应用提供商等其他实体。安全问题已经成为互联网发展中无法回避的核心问题。此外随着下一代电信网的建设、新业务的开展以及网络的开放，传统电信网也不像最初那样安全了。

    网络扮演角色越多，安全问题越大，机会也多

    当前网络已经不仅仅是一个通信平台，同时也扮演了虚拟社会、重要媒体、商务平台、娱乐平台以及知识共享平台等角色。随着应用的不断开发，未来网络可能会扮演更多的角色。然而当前网络的每一种角色都面临各自的安全问题：

• 网络已经成为一个超大规模虚拟社会，并且很大程度拥有当前真实社会的特点，但是虚拟社会中类似真实社会的犯罪行为当前还没有完全界定（至少在我国）。因此在虚拟社会中身份被盗用（账号密码被窃取）、游戏中虚拟财产被窃取、邮件无法安全送达都被用户作为网络不安全的理由。
• 互联网被誉为报刊、广播以及电视以外的第三媒体，已经具有很大的影响力。由于网络的实时性，所有的事件都会第一时间出现在网络上，很多未经证实的事件也会出现在网络上。当前不法分子可能通过控制网络媒体平台来影响公共安全等问题。
• 网络最初的目的就是传递信息，因此通信平台是网络最基本的功能。当前网络作为成熟的交流手段主要有文本邮件、文本即时通信（MSN、QQ）、打电话（skype）等。未来通信更加依赖网络，网络作为重要通信平台，中断可能引发社会安定问题。
• 网络已经成为重要商务平台。随着B2B以及B2C业务开展范围和规模的不断扩大，每天有数以亿计的财富通过互联网以比特流的方式转移。网上购物以及网上商务已经从时尚走向普及，对于一些特定的商品甚至成为主流方式之一。当前网络没有信任体系，存在大量欺诈等问题。
• 网络已经成为前所未有的重要娱乐平台。网络上有书籍、电影、游戏、电台、图片、甚至还有赌博。但是网络作为娱乐平台，存在未成年人对娱乐平台的选择以及使用难以监管、以及大量传播不良信息等问题。
• 网络已经成为最大的信息共享平台。我们几乎可以从互联网上获取任何想象得到的信息：从原子弹的制作到电话号码查询。然而我们在享受从网络获取信息的便利时，我们的个人信息敏感信息也在网络上传播。作为信息共享平台的安全问题主要在于我们不希望传播的信息不受控制地在网上传播，包括盗版的软件、音频、视频、隐私信息等内容。

    在我国从2003年开始，从国家层面重视网络与信息安全，对网络安全问题的解决正在全方位地开展：

1. 公安部正在推行信息安全等级保护制度，试图依据网络系统划的重要性，将网络划分安全等级，依据等级实施相应的安全管理。
2. 国信办正在推行风险评估并实施灾难备份与恢复，可以通过对网络系统的风险评估来认识网络的脆弱性以及安全威胁，从而进一步提高网络安全性。
3. 信产部正在推行网络安全防护体系，试图将等级保护、风险评估等多个方面工作结合起来全方位保障网络安全。
4. 用户正在意识到网络安全的重要性，通过使用安全产品保障终端安全、注重保护隐私防止个人信息泄漏、增强防范意识防止欺诈等手段尽可能防患于未然。
5. 电信运营商重视网络安全，通过例如MPLS等手段逻辑隔离、接入段加密、源地址检查、线路迂回、设备备份、网络实名等技术和管理手段来保障安全。
6. 银行等企业通过证书系统等技术手段增强网上交易的可靠性和安全性。

    网络安全是当前全世界范围面亟待解决重大难题。在解决/缓解网络安全问题的过程中也存在很多机遇。

1. 随着对网络安全的重视，专用安全产品已经成为网络中必不可少的设备。无论是软件还是硬件，专用安全产品的研发存在很大的机会。
2. 随着对网络安全的重视，芯片、操作系统、基础协议栈的研发与制造受到进一步关注，有助于增强我国核心竞争力。
3. 随着对网络安全的重视，安全对当前设备和网络都提出新的要求。在当前国外设备总体占优的情况下，可以将国内外厂商拉到统一起跑线上。
4. 随着对网络安全的重视，业务对网络提出新的安全需求，有助于我国下一代网、可信网络等新技术的研发与应用。
5. 随着对网络安全的重视，安全服务业得到迅速发展。安全风险评估、系统加固、安全测试成为网络规划、设计和运营过程中必不可少的工作。

    网络安全是永恒的话题，安全问题可以缓解但是不可能彻底解决。虽然当前网络存在或多或少的安全问题，影响了用户使用网络的信心。但是随着技术的进展以及管理手段的进一步跟进，网络安全完全可以使用合理代价控制在可以接受的范围内。

    公共网络安全：网民似乎已经无法自己找到解决之道

    2006年7月19日，《互联网发展状况统计报告》显示，在网民数量保持平稳增长的同时，网民对于网络安全和隐私保护的担忧问题却凸现出来。在1.23亿网络用户中，对网络安全表示满意的不到20%，满意程度比1年前还有所下降。

    据调查，网民对互联网最反感的方面，集中在安全性问题。被选择比例最高的10大问题中，与安全相关的占了六条，包括网络病毒、网络入侵、流氓软件、收费陷阱、网络诈骗、隐私泄露等。但是，在CNNIC的统计报告中，却有意无意地把流氓软件的统计去掉了。而在另外一份流氓软件的全民投票统计中，CNNIC的中文上网软件高居排行榜第五位。

    从目前的情况来看，网民对网络安全的担忧，似乎已经无法自己找到解决之道。一般而言，网络用户应对安全问题最简单、甚至是唯一的办法，就是安装杀毒软件，此次调查发现，没有安装任何杀毒软件、防火墙或者反间谍软件的网民不到3%。在绝大部分电脑都装有反病毒软件的今天，安全问题似乎成了一个让人担忧、却又无能为力的“结”。

    有意思的是，就在CNNIC发布调查报告的前几天，曾经在国内引起轩然大波的“网银大盗”案件，恰巧结束了刑侦，即将进入诉讼阶段。厦门一中专学生刘某，通过在网上发布间谍软件，得到了100多人的银行卡账号和密码，窃取资金6万余元。这个案件，印证了网民对于安全的担忧似乎不是杞人忧天。

    不过，也有不少银行系统内部的专家认为，目前网民对安全的担忧有些夸大的成分。中国银监会业务创新监管协作部主任李伏安表示：“大家心理上的恐慌大于实际上的问题。”而中国金融认证中心副总经理曹小青表示：“我想负责任地告诉大家，采用科学的方法、正确地使用网上银行，现在国内各个商业银行提供的网上银行是充分安全的。”

    值得注意的是，目前，中国互联网已经进入了一个新的发展时期。根据CNNIC的调查，今年，国内宽带上网的用户比例首次超过50%，手机上网用户也首次突破1000万。同时，另有2个“50%”也颇值得关注，一个是网络用户中，24岁以下的比例超过50%，而在高中学生中，50%以上已经成为网民。新技术的普及，以及低龄网民的高比例，使得网络安全问题日益复杂化；中国互联网产业需要发展，就必须有效保证安全——这是个非常棘手而又迫切的问题。

    2006年上半年没有出现造成严重后果的网络安全事件，但是由于网络攻击的动机从技术炫耀型转向利益驱动型，网络攻击的组织性、趋利性、专业性和定向性继续加强，从而导致为获得经济利益的恶意代码和在线身份窃取成为网络攻击的主流，无目的大范围扩散的蠕虫逐渐淡出，而瞄准特定用户群体的定向化信息窃取和勒索成为网络攻击的新趋势。

    在2006年下半年，大量的网络安全事件及黑客攻击事件涌现，以上半年数倍的数量增长，诸如“百度被攻击”、“新网域名服务器被攻击”及“万网域名转发服务器被攻击”等等，严重影响了国内互联网访问，造成经济损失无法估计。

    此外，我国被篡改的网站数量居高不下，尤其是政府网站被篡改的比例呈现上升趋势，表明我国政府网站的安全性令人担忧。从整体上看，网络攻击呈现下面三个特点。

    攻击组织严密化 网络黑客逐步形成了较为严密的组织，并在组织内部有明确的分工，从恶意代码的制作，恶意代码的散布到最终敏感信息的窃取都有专人来负责。不同组织之间既有竞争也有合作，网络攻击按照计划有组织地进行，致使网络攻击的效率有明显提高。

    攻击行为趋利化 网络黑客发动攻击的目的从最开始的技术炫耀转向获得经济利益，网络攻击的针对性和定向性进一步加强，针对商业竞争对手的攻击和用于窃取用户账号、密码等敏感数据的网络攻击逐步增多，随着网络行为同社会行为联系的进一步密切，网络攻击的最终目的越来越多地落在获取具体的经济利益上。

    攻击目标直接化 网络黑客针对攻击目标的特点，设计特定的攻击代码，绕过网络防御体系入侵有价值的目标主机，或者通过僵尸网络对目标发起直接的大规模网络攻击，使得针对特定目标的网络攻击具有更大的威胁和破坏性。

    据不完全统计，自2006年1月1日起，截止2006年12月25日，中国网站被篡改的数量达25820个。其中政府类网站有3661个；企业类网站为11828个（其中博客运营类被黑数量达到1683个）；教育\培训类被黑网站数量达到2216个，其中：中、职专及中小学网站占百分之73.5%（1628个），大学网站的二级网站占18.0%（398个），培训类机构127个，大学一级域名站点为63个。

2006年度中国被篡改网页的网站

    企业网络安全：统安全性问题是主流

    在今天，网络正在逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个重要主题。而与此同时网络所暴露出的安全隐患问题却日益突出。病毒、黑客几乎每天都在困挠着互联网的用户，杀毒软件、防火墙等网络安全产品也随之成为IT市场的“宠儿”。在银行、证券、电信、IT信息等行业领域，往往还要面对信息管理、密码保护、系统日常维护等工作，其网络的安全更是关系到整个国家的经济命脉，他们的网络信息安全现状又存在着什么样的问题呢？

    从目前国内各行业用户来看，他们的网络安全主要还是系统安全的问题。而在这些行业用户中最有代表性的是金融、证券及相关的IT信息行业，他们以交易及信息交流为中心形成的行业网络，与外界的互联性和共享性强，其安全问题因此也显得尤为重要。行业信息管理的任务和目的是通过对数据采集、录入、存储、加工、传递等数据流动的各个环节进行精心组织和严格控制，确保数据的准确性、完整性、及时性、适用性、共享性和安全性。

    数据是信息的基础，是企业的财富和命脉，因而数据的安全乃是重中之中。根据目前所了解的国内行业信息化安全的现状来看，大多数行业对企业内部信息的管理通常是采取限制用户授权机制的方法。在其安全体系中，应用系统成为隔离用户和数据库的防火墙，其本身就必须具备相当的安全特性。尤其是用户授权管理机制，其严密性将直接影响整个系统的安全。基于此，将整个系统细分为若干个可分配的最小权限单元，这些权限具体表现在对数据库中所涉及的表、视图的数据操作（插入、修改、删除、查询等）的划分上。然后再运用角色或工作组的概念，结合各种系统使用人员的工作性质，为系统创建了4类基本等级：系统管理员，高级操作员，一般操作员及简单操作员，并相应地为每个等级赋予了不同的权限，以此来简化权限管理工作。

    为了增加系统安全管理的灵活性，授权管理模块还可以对属于某一等级用户的权限作进一步限制，达到所有权限均可任意组合的效果。同时，为了进一步提高系统管理员的工作效率，系统为系统权限、用户及每种等级所对应的默认权限组合都建立了数据字典，以便在不同的应用环境下管理员都能方便地增加或改变某种等级的默认权限。此外，为了能暂时封锁某一帐号的使用，安全系统还提供了帐号冻结及解冻的功能。通过这种方式，在统一管理之下，又具有相当的灵活性，有助于系统管理员更为方便，更为严密地控制整个系统的安全。

    行业用户面对的另一个问题是信息的保存问题。一些大的金融或信息机构每天都有大量的数据要保存而且还需保密，而一般的数据的备份主要分四种：立即备份（另一电脑同步备份）、异地备份（第三台电脑备份）、光盘备份和笔记本备份。这样做的目的无非也是为了防止意外事故发生而导致数据丢失。

    可是尽管各企业做了看似完美的防范措施，还是存在并发生着许多的网络安全问题，而目前网络安全的最大隐患来自黑客，他们恶意的攻击服务器，更改数据，甚至破坏系统和硬件。但各个行业用户防止攻击通常只采用两种方法：一是防火墙，二是密码保护。防火墙包括物理防火墙和软件防火墙。所谓物理防火墙主要是指用户内部局域网不与外部网相连接从而保证自身网络的安全，软件防火墙是通过软件来隔离非法访问。

    密码保护主要是指两方面：一是系统密码，二是用户密码。系统密码通常只有各企业主要负责人才知道，而用户密码是指终端用户的个人密码，但就针对我们目前的行业网络的实际状况而言，无论是防火墙还是密码对于黑客来说要攻击都没有多大的难度。因为目前大多行业用户所用的操作系统都是WINDOWS等“多洞”的、简单的操作系统，而且几乎所有的商业软件都有安全漏洞。

    黑客攻击比病毒破坏更具目的性，因而也更具危害性。Yahoo！、Amazon等国际著名网站被黑事件早已不是新闻。据统计，全球平均每20秒就有一个网站遭到黑客攻击。目前各个企业对付黑客的攻击办法不是很多，甚至大部分企业连自己的网络漏洞在哪都不知道，只有当黑客进入到自己网络并破坏后才发现。简单的从这方面来讲黑客还是“有利于”网络安全的，黑客的攻击在某一方面来说还是提升了企业的安全意识，但是如果当破坏发生之后，人们才开始疾呼“亡羊补牢”似乎是太晚了点。

    网络系统的严格管理上的培训是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理方面的培训。据IT界企业团体ITAA的调查显示，美国90％的IT企业对黑客攻击准备不足。目前，美国75％-85％的网站都抵挡不住黑客的攻击，约有75％的企业网上信息失窃，其中25％的企业损失在25万美元以上。此外，管理的缺陷还可能出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄漏，从而为一些不法分子制造了可乘之机。

    针对网络信息安全来说，目前国内的行业内各企业普遍存在的问题是“响应”的速度迟缓，无论是技术的更新、防火墙的维护还是产品的升级都比较滞后，而造成这些严峻问题罪魁祸首却是各个行业企业充当“网络信息主管”的人员其自身网络安全知识的严重匮乏。

    众所周知，IT及网络信息方面的知识更新换代的周期非常的短，而目前大多数的从业人员并没有经过非常严密、系统的培训，他们中许多人的知识仍停留在学校学习时的阶段，极少部分人虽然在实际的工作中有进修或者自学，但仍然无法满足目前的工作需求。

    虽然某些行业企业在硬件的投入力度上很大，对于整个网络的硬件投入达到1000多万，所用的几乎全部都是外国品牌，一些大的公司对整个网络的投入仅硬件的基础部分甚至达到5000万，但在安全方面的投入则少的可怜，在人员的培训方面还远远达不到实际工作所需要的标准，这也正是绝大部分企业只注重眼前利益轻视安全的长远效益所造成的。

    此外，随着企业应用软件系统规模的不断增大，系统中的安全漏洞或"后门"也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一。

    基于这些现实，上网企业不得不考虑一个问题：我们的网络安全吗？怎么解决网络安全问题？据去年CCID对500家企业网络的调查表明，已采取相应安全解决方案的企业有11.21%，计划近期加强网络安全的企业有46.67%，想进一步了解的用户有32.42%，而近期不考虑的用户仅有9.7%。

    自2006年1月1日起，截止2006年12月25日，针对企业的网站入侵篡改事件就高达11828起，占全年度网站篡改事件的77%，位居被篡改网站统计之榜首。

    金融网络安全：安全是制约网银发展的主要因素

    12月15日，“中国网上银行年会暨2006中国网上银行调查结果公布和颁奖”活动在北京举行。会上，中国金融认证中心(CFCA)联合金融时报社共同发布《2006中国网上银行调查报告》，结果显示，2006年国内网上银行的使用人数幅增长，安全性仍是制约网银发展的主要因素。

    调查表明，2006年国内网上银行使用人数比上年增长了近1.7倍，网上银行使用企业数同比增加近3倍，企业“网银”业务的增长成为了2006年网上银行快速发展的亮点。调查还显示，仍有61%的非网银用户由于怀疑网银安全性而不使用网上银行。随着大众对网上银行认知程度的提升，提供网上安全的数字证书越来越得到重视，不知道数字证书的用户从2005年的6.1%下降为0.9%，未使用数字证书的用户有37.7%表示，未来的一年将会使用数字证书，对安全知识了解程度的提高超出了预期。报告说，目前，我国互联网的用户已经超过了1.2亿，与目前4000多万网上银行客户相比，网上银行的发展空间广大。

    据中国金融认证中心2006年12月15日发布的《2006中国网上银行调查报告》显示，虽然在过去的一年中网上银行快速发展，但超过6成的受访者仍然不敢使用网上银行。安全问题仍然是非网银用户最担心的。

    2006中国网上银行用户行为调查报告显示，2006年国内网上银行的使用人数与去年相比有了大幅度的增长，网上银行客户已经超过4000万。抽查样本中，网上银行使用人数同比增长了近1.7倍，网上银行使用企业数同比增长了近3倍，企业“网银”业务的增长成为2006年网上银行快速发展的亮点。

    对个人调查时，在对网上银行没有进行任何解释和说明的情况下，有87.1%的网民听说过网上银行；在网银的非现有用户中，有82.1%的网民听说过网上银行。说明目前网银在中国网民中的知名度较高。在2006年调查的10个经济发达的城市中，有三分之一的个人正在使用网上银行服务。

    这些用户主要为接受过高等教育、居住／工作在大城市、个人收入3000元－5000元、年龄在30岁左右的网民。77.13%网银用户常用账户查询；一半以上（54.18%）的网银用户常用网上支付功能；而网上缴费和转账汇款功能的使用比率较接近。

    网银的安全性仍旧是制约网银发展的主要因素。2005年的调查中发现，大概超过50%甚至三分之二的人不打算使用或者不敢用网上银行，其主要原因就是安全问题。今年的调查显示，仍旧有61%的非网银用户由于怀疑网银安全性而不使用网上银行。

    调查显示，非现有用户选择网银主要是考虑网银的安全性能、服务水平及态度和银行的知名度；而现有用户选择网银的因素更加实际性，他们更喜欢“就近原则”，所以“选择网银主要根据原有的开户行而定”这一因素在现有用户选择网银因素中业内知名。

    在日前召开的“2006电子支付峰会”上，法律专家及金融业人士呼吁，由于发展环境、监管体系和信用制度不健全，以及非实名制所产生的风险增加，要加强对第三方网络支付平台的法律监管。

    中国电子商务协会政策法律委员会副主任、中国电子商务法律网总裁阿拉木斯针对第三方支付平台的经营行为指出，作为一个提供相关金融服务的单位，它可能产生大量的资金沉淀。“银行有国家的担保，(第三方支付)这样的非银行金融机构企业，担保谁来承担？一旦出现问题谁来承担？……谁来保障大量资金的问题？”

    目前所有的第三方网络交易平台都有一个超范围经营问题，或者是突破现有法律规定的特许范围和经营框架而从事的问题。如国内最大的第三方支付平台———淘宝网旗下的支付宝，其名称、经营范围、交易规则都回避了金融机构和银行服务的概念，但从其交易行为看，它所提供的功能至少包括代收款、贷款、退款、查询、担保等，属于金融服务方面的功能。

    由中国电子学会和中国电子杂志社提供的数据显示，随着近几年电子商务的迅速发展，电子支付推动着互联网由传统的信息平台转变为交易平台。我国电子支付市场规模急剧膨胀，今年有望达到330亿元，预计2010年将达2800亿元。

    电子支付包括网络支付、固定电话支付、移动电话支付、销售终端交易、自动柜员交付、其他支付等六种方式，网络支付只是其中一个分支，即以互联网为基础，利用银行所支持的某种数字金融工具，发生在购买者和销售者之间的金融交换，而实现从买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程，由此为电子商务服务和其它服务提供金融支持。

    近3年来，电子支付市场每年以高于30%的速度在增长，几乎超过其它互联网应用模式。为了便于客户、商家与银行之间的资金往来和结转，在银行和用户之外由第三方机构提供相关的交易支付服务，即第三方支付。

    第三方网络支付平台可以为不同的网上交易平台提供接口，还可以提供一种交易的增值服务，如对交易双方提供交易担保，还可以为交易双方提供一个虚拟帐户，方便双方的交易。2005年，我国的164.1亿元电子支付交易额中，有161.3亿元是通过网上支付进行的，其中第三方平台的交易规模达到79亿元，比2004年增长了80%。

    教育网络安全：既是攻击发源地，又是极易被攻破的网络

    我国教育信息化的基础设施已经初具规模，一系列适应教育信息化需求的应用平台、软件、网络课程、网络资源的开发和推广应用，已经初步改善了过去“有路无车，有车无货”的局面。

    但是，随着我国教育信息化的飞速发展，城域网和校园网络建设与应用的不断普及和成熟，作为教育信息化重要基石的信息安全问题却不容乐观。校园信息安全、网络安全问题已经成为教育主管部门和各地学校管理者关心的重大问题，教育信息和网络的安全问题成为保持校园正常教学、管理的重要课题。

    在2005年，教育网和各地中小型校园网虽然没有遭受类似于去年的“振荡波”等恶性病毒的大面积侵害，而蠕虫病毒、间谍软件、网络钓鱼等就像“大堤下面的白蚁”，在不经意间给电脑用户造成巨大的损失。

    另外，我国高校的校园网中部存在着一个管理不严的事实。从年初的“MSN性感鸡”到利用QQ传播的”书虫”、“QQRRober”、“QQTran”，以及可以通过多种IM平台进行传播的QQ“Ting”，它们通过IM广阔的交流空间大肆传播，校园网管理上存在不足是安全事件的发生几率增大的另一个重要因素。

    自2006年1月1日起，截止2006年12月25日，中国教育类被黑网站数量达到2216个。其中，中、职专及中小学网站占百分之73.5%（1628个），大学网站的二级网站占18.0%（398个），培训类机构127个，大学一级域名站点为63个。

2006年中国教育类网站被篡改网页统计

    一般来说，一个网络中存在的漏洞数量决定了所受到的威胁程度和遭受的攻击类型，教育网松弛的安全管理制度决定了它的严重性。网络安全事件影响日益广泛，网络安全保障的难度越来越大，仅仅靠少数的信息网络中心和服务机构远远不够，需要提高整个教育网用户的安全意识、提高应对网络安全事件的能力才是真正意思上的可取之道。但是，我们不能摆脱现今网络安全体系中最突出的垃圾邮件、不规范的程序代码和内部安全问题。

    校园网安全特点和校园网常见攻击

    高等教育和科研机构是互联网诞生的摇篮，也是最早的应用环境。各国的高等教育都是最早建设和应用互联网技术的行业之一，中国的高校校园网一般都最先应用非常先进的网络技术，网络应用普及，用户群密集而且活跃。然而校园网由于自身的特点也是安全问题比较突出的地方，安全管理也更为复杂、困难。

    与企业网相比，高校校园网的以下特点导致安全管理非常复杂：

• 校园网的速度快和规模大。高校校园网是最早的宽带网络，普遍使用的以太网技术决定了校园网最初的带宽不低于10Mbps，目前普遍使用了百兆到桌面、千兆甚至万兆实现园区主干互联。校园网的用户群体一般也比较大，少则数千人、多则数万人。中国的高校学生一般集中住宿，因而用户群比较密集。正是由于高带宽和大用户量的特点，网络安全问题一般蔓延快、对网络的影响比较严重。
• 校园网中的计算机系统管理比较复杂。校园网中的计算机系统的购置和管理情况非常复杂，比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的，有的院系是统一采购、有技术人员负责维护的，有些院系则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策（比如安装防病毒软件、设置可靠的口令）是非常困难的。由于没有统一的资产管理和设备管理，出现安全问题后通常无法分清责任。比较典型的现象是，用户的计算机接入校园网后感染病毒，反过来这台感染病毒的计算机又影响了校园网的运行，于是出现端系统用户和网络管理员相互指责的现象。更有些计算机甚至服务器系统建设完毕之后无人管理，甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察。
• 活跃的用户群体。高等学校的学生通常是最活跃的网络用户，对网络新技术充满好奇，勇于尝试。如果没有意识到后果的严重性，有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术，可能对网络造成一定的影响和破坏。
• 开放的网络环境。由于教学和科研的特点决定了校园网络环境应该是开放的、管理也是较为宽松的。比如，企业网可以限制允许Web浏览和电子邮件的流量，甚至限制外部发起的连接不允许进入防火墙，但是在校园网环境下通常是行不通的，至少在校园网的主干不能实施过多的限制，否则一些新的应用、新的技术很难在校园网内部实施。
• 有限的投入。校园网的建设和管理通常都轻视了网络安全，特别是管理和维护人员方面的投入明显不足。在中国大多数的校园网中，通常只有网络中心的少数工作人员，他们只能维护网络的正常运行，无暇顾及、也没有条件管理和维护数万台计算机的安全，院、系一级的专职的计算机系统管理员对计算机系统的安全是非常重要的。
• 盗版资源泛滥。由于缺乏版权意识，盗版软件、影视资源在校园网中普遍使用，这些软件的传播一方面占用了大量的网络带宽，另一方面也给网络安全带来了一定的隐患。比如，Microsoft公司对盗版的XP操作系统的更新作了限制，盗版安装的计算机系统今后会留下大量的安全漏洞。另一方面，从网络上随意下载的软件中可能隐藏木马、后门等恶意代码，许多系统因此被攻击者侵入和利用。

    以上各种原因导致校园网既是大量攻击的发源地，也是攻击者最容易攻破的目标。因此导致当前校园网常见的风险如下：

• 普遍存在的计算机系统的漏洞，对信息安全、系统的使用、网络的运行构成严重的威胁；
• 计算机蠕虫、病毒泛滥，影响用户的使用、信息安全、网络运行；
• 外来的系统入侵、攻击等恶意破坏行为，有些计算机已经被攻破，用作黑客攻击的工具；拒绝服务攻击目前越来越普遍，不少开始针对重点高校的网站和服务器；
• 内部用户的攻击行为，这些行为给校园网造成了不良的影响，损害了学校的声誉；
• 校园网内部用户对网络资源的滥用，有的校园网用户利用免费的校园网资源提供商业的或者免费的视频、软件资源下载，占用了大量的网络带宽，影响了校园网的应用；
• 垃圾邮件、不良信息的传播，有的利用校园网内无人管理的服务器作为中转，严重影响学校的声誉。

    加强校园网安全管理措施的建议

    互联网的分布特性决定了不可能从CERNET主干网上解决校园网的安全问题，加强校园网的安全管理仍然是当前形势下教育和科研网络环境安全管理的重点。

    中央16号文件《关于进一步加强和改进大学生思想政治教育的意见》也给加强校园网环境的信息安全提出了进一步的要求。

    加强校园网的安全管理工作需要从管理和技术两个方面综合考虑：

    首先，加强校园网安全管理政策建设。安全政策（SecurityPolicy）描述校园网安全的目标和需求，是一个组织安全管理的需求说明，它是执行各项管理制度、技术措施的依据，一般规定“做什么”而不是“怎么做”，告诉用户哪些行为是允许的、哪些行为是不允许的，违反了这些约定将会受到怎样的处罚。目前很多学校以安全管理规定、安全条例、安全管理办法等形式发布。一个可行的安全政策应该根据我国的相关法律、法规以及学校的管理制度和具体情况制定，不存在通用的、可实施的安全政策。

    安全政策应该让所有的校园网用户知道，在国外，企业用户一般要签署AUP(AccessUsagePolicy)，对校园网用户，无论是院系单位还是学生个人，都可以以签署入网协议的形式让用户知道学校的安全管理政策，一方面起到提高安全意识的作用，同时明确责任和义务，便于对安全事故的处理。

    其次，加强安全组织建设。目前普遍认为校园网安全管理工作应该由网络/信息/计算中心承担，但是事实上，安全管理工作非常复杂，可能涉及各院系、部、处的人员和业务，因此必须由学校具有决策权的机构和领导组织和协调各部门的管理工作，比如，成立信息安全管理委员会和专门的办公室。另外，安全管理各项措施的实施,单纯依靠网络中心的力量也是不充分的。院/系/处/宿舍安全管理分级负责的组织体系建设仍然是必要的。

    加强用户安全意识和管理员安全技术的培训工作非常重要。对于新用户的安全意识的培训，新生入学教育和新员工上岗培训是两个比较好的时间，也可以开展一些职工的在职培训、学生的文化课、选修课等形式的安全意识培训和基本技能的培训。对于系统管理员，一定要重视上岗培训。很多学校院系服务器的管理员都是由助教研究生来担任的，这些学生没有经过必要的培训，容易留下大量的安全问题。对于这些岗位的安全培训是当前校园网安全管理非常迫切的环节。

    对于教育网安全领域来说，建立主动型的防御体系除了需要厂商、安全服务商的广泛支持与合作，同时也要加大内部人员的管理与安全意识的提高。例如在原有教师信息技能培训内容中增加信息安全防护部分；建立教师与学生信息安全规范守则；增加系统访问的明确授权认证，严格监控内部网络的网络行为等。