》如何加强“免疫力”

　　技术和管理都要加强

上海交通大学信息安全学院副教授刘功申认为，现在高校对信息安全越来越重视，在安全设备的投入方面不少，也会委托一些专业公司打理，单就网站本身的安全性而言，并不见得弱。但校园网信息安全问题是一个系统工程。举例而言，如果在网站使用流程方面，思考得不到位，就容易被人抓到把柄，进行恶意利用；管理员安全意识低，密码设置不当，也容易被人侵入网站；计算机系的学生在课堂上就会学习一些攻防知识，他们有时也会有冲动，跑去练练手。

“所以，要改进现有状况，无非从两个层面考虑。在技术上，高校应在安全性上考虑得更周到，防止网站被人恶意利用；在管理层面上，结合学校的实际情况，制定更加行之有效的规范，并严格执行，而非流于一纸空文。”

》三种应对措施

　　招安黑客学生做网管、定期扫漏、制定防范条例

　　巧用学生“技术大牛”

记者了解到，尽管存在诸多不足，多数高校都在做或多或少的努力。在复旦大学的信息化办公室的网站上，记者看到，“复旦大学正逐步建立起一套比较完整的信息化校园安全保障体系，力争从网络环境、应用系统和信息资源等多方面保障校园教学、科研和管理信息化应用的正常运行。”从人员保障上，信息办依托虚拟团队模式，成立了网络信息安全领导小组和安全工作小组。前者由信息办主任、副主任和各中心的主任组成；后者则从信息办下属各中心抽调对网络、信息系统安全技术比较精通的技术骨干7人组成。

而一位接近交大网络信息中心的工作人员则告诉记者，交大的情况比较特殊，工科生很多，学生中的“技术大牛”也特别多。所以在人员保障上，交大除了专职信息安全人员，在部分项目中，也会让少量学生参与进来。“有些好苗子，技术可能比老师都还牛了。我们就给他一点网站的管理权限，这是一种疏导的好方法。”在这位工作人员看来，学生参与校园网建设未必就不是好事情，关键还要看怎么参与，“从某种程度上说，与其让一些学生用自己的技术‘威胁’校园网，还不如让他们在学校的监督下，一定程度上管理校园网。”

定期系统漏洞扫描

而在主动防御方面，复旦大学也打了“预防针”。复旦信息办使用专用漏洞扫描软件定期对系统进行漏洞扫描并生成报告提醒管理员对存在漏洞的系统进行整改。并且，信息办建立了校园网络信息安全服务网站(FDU-CERT)发布计算机病毒预报和安全漏洞等安全公告、分发安全补丁并提供WSUS服务等。

“近几年，信息化校园的概念越来越受重视，校园卡充值系统、学生选课系统等都和大学生生活密切相关，只要一出纰漏，就会直接影响到大家的生活。因此，想尽一切办法预防恶性事件发生，是网络信息中心一直思考的问题。”前述交大网络信息中心的工作人员则透露，同沪上其他高校相比，交大的校园网网速较快，很容易遭来恶性的流量攻击。学校投入了一定财力，升级了一系列设备。他还透露，学校网络信息中心已经成功监测并拦截了一些恶意攻击。

安全工作小组全局把控

那么，在信息安全管理上，又该如何下苦功呢？记者了解到，复旦大学信息办制定了《系统安全管理方案》、《数据安全规范管理办法》、《安全应急处置预案》、《密码安全管理办法》等一系列规范。安全工作小组会定期通报安全工作情况，对安全工作进行审计，并督促各项信息安全工作开展。

此外，记者在交大网络信息中心的网站上，看到了多份《关于加强校园网信息安全管理工作的通知》。其中写道，“针对目前学校网络用户众多，IP地址管理不够规范，网络用户信息安全意识淡薄的问题，学校决定对校内IP地址的使用情况进行检查清理，并在此基础上重新签订《上海交通大学用户入网安全责任书》，明确网络信息安全的职责，从而进一步加强对我校校园网络IP地址申请、使用等规范化管理和监督工作。”前述的工作人员告诉记者，因为诸如此类的措施有针对性，近几年交大校园网的恶性事件几乎没有发生过。