前不久，国内著名安全厂商瑞星的官方网页被黑客“挂马”，部分用户浏览瑞星网站页面后，计算机被自动下载运行木马，使用户的网游、网银账号和个人隐私面临极大的失窃风险。

　　“覆巢之下，岂有完卵。安全领域永远只能看到阶段性的胜利。”29届奥运会应急处理专家组成员、武汉大学计算机学院兼职教授、安天实验室负责人肖新光认为，大量严重的安全事件正是被海量的应用所淹没、忽略了。越是如此，就越要警惕最终链条式崩盘事件的出现。他与恶意代码已经斗争了15年，他发现，安全的热点一直而且永远会在终端之上，防范和追溯，近年来已经成为网络安全的关键词。针对挂马事件，他负责的安天实验室研发的“猎狐”系统曾经被用于北京奥运会的安全保卫，并在近期发现了多起知名站点挂马事件，是一个基于蜘蛛技术的高速挂马页面探测系统。

　　安全网站不安全，这无疑是一个巨大的讽刺，但也给隐患重重的高校网站管理敲响了警钟。

　　高校应对挂马，也是屡出奇招。兰州大学利用爬虫的原理，采用统一的信息门户系统，对学校的二级网站进行巡检，防范挂马漏洞出现。中山大学从很早就开始漏洞防御和监测工作，部署了入侵检测系统，还在高校网络应急响应组中发出其他学校的网页木马警报；北京大学狩猎女神项目组采用客户端蜜罐技术监测网页木马，对挂马的网页发出警报……

　　高招期间，负责网上录取线路保障的赛尔网络公司还在全国推出体检中心，为学校招生工作提供技术服务。

　　兰州大学网络中心副主任李仲贤介绍，统一信息门户系统能够实现多站点独立管理，通过该软件的应用，主要的网页全部都是静态页面，页面只有后台操作时可以改写，木马代码没办法提交数据。这样就基本不会挂马。针对一些需要交互的动态应用，可以选择一些能够自定义病毒代码的杀毒软件。

　　北京大学狩猎女神项目组的技术负责人诸葛建伟说：关键是追溯，网页木马的泛滥是受地下经济链驱动的，防不胜防，但是如果能追溯，挖出一个源头，就能杜绝一大片隐患。

　　他分析了木马网络的形成过程：木马网络构建者通常是拥有丰富经验的“信封”盗窃者或团队，从地下经济链中病毒编写者购买网页木马或盗号木马，使用一系列编码、加密、加壳等“免杀”机制躲过反病毒软件，加大分析难度。而“信封”窃取者从“箱子”获取窃取到的网游等账号信息，出售给网络虚拟资产“盗窃者”进行非法牟利。从2006年起，狩猎女神项目组就开始监测网页挂马和僵尸网络，运用蜜罐技术追溯和破获了不少木马“窝点”。当然，他也提到，目前只能追溯到网络世界里的威胁源头，从网络进一步追溯真实世界中的攻击者还存在较多困难。

　　除了在应用层追溯，在网络层也有研究者探索安全可控可追溯的技术，并且试图与真实世界建立一种关联。清华大学网络中心毕军教授介绍，今年7月的IETF会议上，在SAVI(源地址认证提高，Source Address Validation Improvements)工作组中，清华大学提出一种支持源地址验证的交换机技术CPS（Control Plan/Packet Snooping）方法，是在网络层实现的追溯技术。该方法在与主机直接相连的交换机上进行配置，交换机通过协议嗅探建立源地址和交换机端口的绑定关系，能达到主机级别粒度的源地址验证。通过这个方法，用户无法通过恶意修改客户端或者被黑客控制，从而减少管理安全风险。

　　“源地址验证技术对追溯是有用的，因为这是基于一个真实的地址环境的。但要治本，还需要其他的配套措施。”毕军说。

　　作为影响互联网可用性的关键的Web安全，由于其爆发具有突发性、时效性等特点，因此，人们总是投入更多的精力寻找技术的解决办法，在防御工具上花费很大的力气进行改进。但是，以Web安全为代表的信息安全仅仅靠技术就能解决了吗？

　　信息安全是一个系统工程

　　复旦大学最近针对二级网站的问题，在全校范围内收缩公共账号，引得校园内议论纷纷。复旦大学信息办主任宓   说：“关乎校园信息安全体系建设，有再大的压力也要做。”

　　随着校园网络规模越来越大、信息系统越来越多、数据越来越丰富、用户越来越多，面临的问题和风险越来越大，人们发现安全的实质是管理问题，但仅仅考虑管理制度又是远远不够的。清华大学吴海燕认为，“见招拆招”，还是治标不治本。信息安全体系不应该是单纯技术或者单纯管理的东西，而是融合了技术体系和管理体系在内的一个可以全面解决安全问题的体系结构。实际上，信息安全应该被定位为系统工程。

　　根据权威数据的统计表明，70%以上的信息安全问题是由管理不善造成的，而这些安全问题中的95%是可以通过科学的信息安全管理制度来避免的。由于我国高校教育信息化起步较晚，比较重视在信息系统安全硬件基础设施的建设和各种安全技术，而有关的安全管理制度目前还不够完善。

　　多年来，人们对信息安全体系的研究一直没有中断过：通过出台各种标准来提供相应的控制措施。最近几年，人们对构建可控可管的完整的安全体系有了更加明确的认识。2007年，我国信息系统安全等级保护系列标准发布，标准规定了不同安全保护等级的信息系统的基本保护要求，既包括技术要求，也包括管理要求。