安全体系建设中的问题与解决

　　实施比较顺利，达到了预期的要求，但在过程中也遇到了一些困难，但基本都已经得到了解决。

　　1.分散在普通防护或无防护范围的各类服务器如何保护？

　　许多院系部门及课题组自行架设的各类服务器分布在普通防护或无防护区域各处，IP地址分散，既无法进行安全域的构建，也无法进行安全设备的直接部署。

　　解决方法：各种防护策略可在服务器自身完成。定期扫描，督促修复漏洞，确保服务器本身不存在漏洞。

　　2.如何在系统安全防护的有效性与用户使用的便利性之间取得平衡？

　　网站安装有漏洞的上传软件，允许任何类型文件的上传，因此造成WAF将上传的Word文档或图片识别为木马程序的情况。针对特定策略及特定链接放开，提示用户将上传目录设置为无运行权限。

　　目前很多网络应用会对网站或DNS服务器发起大量的并发连接。在设计DoS策略时，应采集一段时间的流量日志，通过统计分析得出不影响绝大多数用户的阈值。

　　其实，校园网安全问题频发的根本原因在于高校从上到下的安全意识淡薄，造成安全管理及监督的缺乏，从而才使得安全技术部署不到位。使用一些最基本的安全手段就可以有效预防大多数的网络攻击，比如：及时修复、更新升级各种软件、开启网络访问控制策略、使用强密码以及网页过滤威胁字符等。但不幸的是，安全问题遵循“木桶原理”，任何一环出现问题都将功亏一篑，因此无法依靠用户的自觉来实现安全技术实施，而只能通过部署安全设备来强制实现。

　　（作者单位为华中科技大学网络中心运行部）