中學校園網絡安全的問題及對策——網管十年談網絡安全

2020-12-30 19:42:29宋偉玲

網絡安全技術與應用 2020年10期

◆宋偉玲

◆宋偉玲

（山東省濟南第九中學山東 250022）

中學校園網絡是學校信息化教學的重要設施，確保校園網絡的安全使用是學校開展正常教育教學工作的必要條件，隨著網絡應用的逐步深入，中學校園網絡正面臨著各種各樣的安全威脅，本人對于網絡管理工作中所遇到的網絡安全問題，結合個人多年的實踐經驗及所掌握的理論知識，探討了中學校園網絡安全的防護策略。

中學校園網絡；網絡安全；防護策略

隨著全球信息化程度的不斷提高，計算機網絡應用越來越廣泛，人們對計算機網絡的依賴性也越來越強，中學校園網絡日漸成為學校對內資源共享、對外信息交流的重要工具，在教學、科研、管理以及對外交流與合作中起到了不可替代的作用。但網絡如同一柄雙刃劍，隨著校園網絡上各種數據的急劇增加，各種各樣的安全威脅開始接踵而至，校園網絡一旦因安全問題而停止運行、中斷服務，將極大地影響學校的教育教學工作，所以校園網絡的安全問題必須引起足夠重視，確保系統運行的穩定可靠和網絡服務的連續暢通至關重要。

1 中學校園網絡安全所面臨的威脅

我們的網絡是一個開放的平臺，網絡設計之初僅考慮到信息交流的便利和開放，而對于保障信息安全方面的考慮則非常有限，伴隨著計算機網絡的普及應用和迅猛發展，網絡攻擊與防御技術，在“魔高一尺，道高一丈”的循環往復中不斷攀升，網絡固有的開放性和互聯性，曾經是網絡最大的優越性，如今變成了網絡安全的隱患。網絡安全已經變成越來越棘手的問題，只要是接入到因特網中的計算機都有可能被攻擊或入侵，而遭受安全問題的困擾。

首先，網絡協議的脆弱性，成為網絡安全的隱患之一。

目前網絡上所使用的TCP/IP協議，由于其協議簇完全公開，因此，利用TCP/IP協議簇的漏洞進行的網絡攻擊，已成為校園網中目前最常見的安全威脅之一，比較典型的ARP地址欺騙，就是利用ARP協議的接收與發送無須身份驗證的特性而進行的ARP攻擊。曾經因為ARP地址欺騙導致校園網中的很多用戶無法登錄網絡，影響了正常的教育教學。

其次，廣泛使用的Windows操作系統存在各種漏洞，成為網絡安全的隱患之二。

Windows出現之前，這個世界還是一個紙張的世界，Windows的偉大成就之一在于使工作成果方便地看到并且打印出來，這樣一個開端也影響了Windows的后期發展，導致了Windows天生的安全性問題。Windows操作系統中存在著大量漏洞（也稱為脆弱性，又稱為安全缺陷），除了可能的人為原因，客觀原因主要是受編程人員的能力、經驗和當時的安全技術加密方法所限，在程序中難免會有不足之處，輕則影響程序的效率，重則導致非授權用戶的權限提升。Windows作為PC使用最廣泛的圖形界面操作系統顯然居于壟斷地位，招致了無數黑客的目光，這就使得Windows自身的漏洞無所遁形，而這些漏洞一旦被利用，就會造成信息泄漏、數據丟失等后果，成為網絡安全的隱患。

2 中學校園網絡安全的常見問題及解決措施

我校校園網始建于2002年，采用三層結構和星形拓撲設計，形成了千兆為主干、百兆到桌面的校園網絡（2016年辦公電腦、網絡核心設備再次更新之后，學校網絡實現了千兆到桌面，并具備萬兆主干的可擴展功能），目前覆蓋全校的辦公室、教室、實驗室、微機室、音樂教室、美術教室、動漫教室、智慧空間和視頻會議室、網絡直播室等所有辦公與教學的場所。校園網出口從濟南廣電的10Mbps帶寬，到2008年改為濟南聯通的100Mbps帶寬，并擁有16個C類超網IP地址，為校園網用戶提供網絡接入、WWW、研究性學習平臺、FTP文件傳輸、心理網站、選課系統、網上閱卷、電子監考、網絡版安全防護軟件的控制臺等等各種服務，布線信息點在2002年建網時300多個，2017年原公寓樓改造為2號教學樓，網絡規模進一步擴大，總信息點數達到了540多個，并在原來100Mbps帶寬基礎上升級到200Mbps帶寬，2018年學校實現無線網絡全覆蓋，同年并入濟南教育城域網。

十多年來，在學校網絡管理的工作中，有時會遇到個別終端網絡的問題或者全校網絡的異常，管理中出現過嚴重的ARP地址欺騙等各種網絡問題，一定程度上影響了正常的教學和辦公。為不斷加強網絡安全建設，于2009年、2016年兩次進行了校園網絡各個環節的設備和軟件系統的更新，也解決了一些歷史遺留的問題，比如端口對應的測定，對2017年校內出現的網絡攻擊，進行了各環節、多方位、多策略持續地排查，在網絡安全專家及公司高級工程師的引領下，最終突破技術難題，查了個水落石出。總之，這些年遇到了諸多問題，也經過了不懈的努力和研究，采取了一系列措施，收到了明顯效果，積累了一些網絡安全方面經驗、教訓及對策，在此與大家交流并探討。

2.1 IP地址沖突，導致一些用戶無法上網

校園網中常見IP地址沖突，主要是因為病毒或其他原因導致了系統故障，所以才進行系統重裝，重裝后機主常常忘記了自己分配到的IP地址，有時臨時用一個，結果導致地址沖突，以至于無法上網；其次，為了配合教室內電腦的系統維護，教室內電腦的IP地址平時禁止外網連接，而課外活動期間有的學生為了上外網，就臨時改用一個可以登錄外網、卻是已經分配給同網段老師辦公電腦的IP地址，由此造成地址沖突，導致老師的辦公電腦不能正常訪問網絡。

對于此問題，可以在核心交換機上進行了IP地址與MAC地址綁定。同時，將各網段未分配的IP地址，在防火墻中禁止外網連接；2016年11月學校第二次網絡核心設備更新，啟用了深信服下一代防火墻和上網優化網關，這個問題變得非常智能，只要所用IP地址是開通外網、未被占用的，連通網絡之后，只要上網瀏覽量足夠，上網優化網關AC會自動識別網絡終端（網絡設備、電腦、手機等）的MAC地址并與所用IP地址綁定，這個問題得到了比較徹底的解決。

IP地址與MAC地址的綁定，同時也是下面一個問題的解決措施之一。

2.2 ARP地址欺騙比較瘋狂，導致電腦網絡時斷時續

2008年前后，校園網內的ARP地址欺騙比較嚴重，時常現出老師辦公電腦的網絡時斷時續。根據欺騙的對象可以將ARP欺騙分為兩種類型：欺騙網關型和欺騙主機型。其中，欺騙網關型是指攻擊發生時網關內存中維護的IP－MAC對照表被污染，網關找不到真實的主機，致使主機收不到網關的回應包，從而造成上網不正常；而欺騙主機型是指攻擊發生時，主機緩存中維護的ARP表被污染，網關的真實MAC地址被篡改，致使主機找不到真實的網關，同樣造成無法上網。

在解決這個問題的過程中，2016年第二次核心設備更新之前，基本上分為兩個階段，先后施策如下：

第一階段從2008年開始，側重于解決欺騙主機型的ARP攻擊。建議老師們在“啟動”項里放置批處理文件rarp-*.bat，*號代表不同的VLAN，在VLAN1的老師使用rarp-1.bat文件，在VLAN2的老師使用rarp-2.bat文件（IP與MAC綁定的命令），以此類推，運行bat文件以綁定網關。特別提醒：一定要在網絡正常時運行，才能綁定正確的網關。

第二個階段從2010年開始，側重于解決欺騙網關型的ARP攻擊。在核心交換機中綁定檢測到的、在線電腦的IP地址和MAC地址，算是徹底解決了ARP地址欺騙問題。這個工作需要經常去做：一是因為登錄核心交換機時，可能見不到暫未開機的電腦；二是因為工作調整、辦公位置變更，IP地址、電腦或者網卡更換等，都需要解綁，并根據現實的IP地址和MAC地址的對應情況，重新綁定。

2016年學校第二次網絡核心設備更新以后，上網優化網關AC自動檢測并綁定，需要的時候，再手動解綁。

2.3 IE瀏覽器出現故障，導致無法上網

當IE瀏覽器本身出現故障時，或者IE被惡意破壞后，都可能導致無法瀏覽網頁，這時候往往QQ是可以登錄的，這種情況下，建議重新下載并安裝IE；另外，特別推薦使用谷歌瀏覽器，多年的實踐反復證明，如果網絡其他環節正常，用IE瀏覽器瀏覽網頁卡滯，換用谷歌瀏覽器后，會流暢很多。

2.4 DNS服務器問題，造成網絡登錄失敗

如果QQ能登錄、而網頁打不開，就有可能是DNS服務器的問題。原因之一可能是本機的DNS設置錯誤，原因之二可能是DNS服務器本身問題。這時可以先檢查本機所設置DNS服務器的IP地址是否正確，如果設置正確無誤，可以判斷是這個DNS服務器本身工作異常，可以考慮換用其他DNS服務器的IP地址，因為每個ISP 都有多個不同的DNS服務器。例如，聯通的DNS服務器IP地址有： 202.102.152.3、202.102.128.68等等。

有幾次全校的電腦一時間都不能訪問外網、而內網正常，QQ也在線，原因就是當時DNS服務器本身的問題，或者服務器故障，或者服務器進行系統維護暫停服務了，所以換用了其他DNS服務器，網頁瀏覽馬上就恢復正常了。

2.5 由于校園網內有電腦中毒，導致整個網絡時斷時續

2009年學校首次更新網絡核心設備，為防火墻購買了三年的安全軟件包（7個軟件，包括防病毒門戶等），各種原因只用了一年就顯示到期了，導致防火墻軟弱無力，而學校因為已經為電腦購買了網絡版的卡巴斯基，也不想再重復投入，網絡安全的第一道防線失守；自從2013年開始，電腦的系統管理員們選擇了免費殺毒軟件，把網絡版的卡巴斯基放棄了，網絡安全的第二道防線失守。而網絡環境復雜多變，病毒木馬不斷升級換代，所以系統卡滯、網絡時斷時續，就不足為奇了。直到2016年第二次網絡核心設備更新，啟用了深信服的下一代防火墻，由于歷經磨難大家也都認識到正版殺毒軟件的價值，幾乎全部電腦都安裝并定時掃描，這個問題才得以徹底解決。

2013年到2016年的兩三年之間，由于電腦系統的維護人員隨意使用免費的殺毒軟件，導致學校網絡時常卡滯——他們這樣做的原因是：電腦配置不夠，安裝學校購買的卡巴斯基之后，在更新或者掃描時用電腦辦公會比較卡。其實，如果自行設置定時更新、定時掃描（選擇自己不急用電腦的時段，比如中午），就可以正常使用卡巴斯基，比較安全而且工作時運行流暢。全校電腦更新換代也不是一時可以解決的，系統維護人員基本上只負責一鍵恢復，關鍵環節缺失，卡滯問題時常出現，期間試用了深信服的下一代防火墻，發現校園網中的僵尸主機比比皆是，而當時的僵尸主機IP地址列表明確顯示：所有的僵尸主機沒有一個是安裝了卡巴斯基的，可見免費殺毒軟件的效能，非常有限。

在網絡安全的兩道防線失守之后，學校網絡出現時斷時續的狀況，具體原因之一是DNS服務器檢測到了校園網中有電腦中毒或者有危險軟件，然后自動切斷網絡連接（斷網時間默認設置為20分鐘）。由于全校所有網絡終端在互聯網上對應于同一個外網IP地址，所以，其他正常電腦如果設置使用了相同的DNS服務器，也打不開網頁，更換DNS服務器的IP地址，網頁瀏覽馬上恢復正常；如果更換相同DNS地址的電腦多了，其中再有中毒電腦，網絡不通的現象又會重復出現。具體原因之二是中毒電腦大量發包，瞬間占用了絕大部分的網絡帶寬。2013年下學期，某網站制作公司寄生在學校的一臺服務器中毒（未安裝學校購買的正版殺毒軟件），嚴重影響了整個學校網絡的正常運行。由于當時經驗不足，頗費了些周折，最終通過科來網絡分析系統，檢測到學校多達98%的帶寬被中毒的服務器獨占，斷開該服務器的網絡連接，學校網絡馬上恢復正常，然后果斷處理中毒的服務器。

2.6 由于校園網內部的人為破壞，導致學校網絡異常

由于工作中難免意見沖突，有人或法律意識淡薄，或以為校內不可能有人覺察到，基于不為人知的目的進行了非法操作，導致學校網絡相當長的時間內，時不時出現網絡卡滯的現象。后來才逐漸明白這實際上已經屬于純正的網絡犯罪，也屬于網上危害公共安全犯罪。內網出現的攻擊，學校知情并支持解決問題，身為學校網管必須迎接挑戰、擔當作為，對網絡安全設備的運行情況每日觀察并截圖，在各層交換機開啟生成樹協議以排除形成環路等情況，想方設法、殫精竭慮，爭取了安全設備供應商有限的技術支持，在咨詢技術問題時意外引來了網絡安全專家的介入，網絡安全專家現場勘察之后當時定性，并給予了解決問題的方向和勇氣。

于是加班加點導出上網優化網關AC中的網絡日志，嘗試自行分析，中間困難重重。網絡攻擊嚴重的時段，不到一分鐘的網絡日志就需要一個滿格的電子表格文件來存儲，因為一個電子表格文件一次最多能導出10萬條網絡日志，而導出或者打開一個這樣的文件需要幾分鐘甚至十幾分鐘的時間，耗時之長、工作量之大，常人難以想象，網絡日志的分析也經歷了很曲折的研究過程。最終透過網絡日志的分析結果，校內攻擊源一目了然：外發攻擊的終端并發連接數特別大，有時在2、3分鐘時間內竟然占到總數的95%以上，有時甚至高達98%，遠遠大于其他正常終端，幾乎達到設備所允許并發連接數的上限，所以導致其他終端無法打開網頁，嚴重的時候QQ也登錄不了；而且回溯、分析之前網絡攻擊時段的日志，發現外發攻擊的終端、人員，相對固定，只是反反復復。針對這種情況，第一時間把網絡日志的分析結果提交學校網絡安全領導小組，然后在有限的處理措施得到允許的前提下，從技術上把外發攻擊終端有線網絡的相關IP地址，從上網優化網關AC中進行流控，并結合無線網絡的暫停使用（把相關人員手機或電腦無線網卡的MAC地址加入黑名單一個月，根據之后的表現，決定是否恢復開通）來提醒或者懲戒，效果明顯。

3 中學校園網絡安全的防護策略

中學校園網絡安全包括網絡系統安全和信息系統安全兩部分，即首先要保證硬件、軟件、運行服務的安全，也就是網絡暢通，其次要保證數據安全。網絡安全的問題是當今網絡技術的一個重要研究課題，安全是網絡賴以生存的保障，只有安全得到保障，網絡才能實現自身的價值。中學校園網絡安全的防護策略，一要注重提高人員素質，二要加強日常管理維護，三要綜合應用多種網絡安全技術，主要包括防火墻、劃分VLAN、安全認證與訪問控制等，并及時進行系統軟件升級、殺毒軟件和應用軟件的更新。

3.1 加強人員的網絡安全培訓

中學校園網絡安全主要涉及管理、技術和應用層面，要確保網絡安全，必須注重把每個環節落實到每個層面。進行所有這些具體操作的都是人，人員是網絡安全中最薄弱的環節，然而這個環節的加固又是最經濟、最高效的。因此必須加強對使用網絡和管理網絡的人員進行安全培訓，增強內部人員的安全防范意識，提高內部管理人員的整體素質，提高校內所有人員的法律意識，學習并遵守《中華人民共和國網絡安全法》，做到學法、知法、守法。

3.2 防火墻技術

防火墻是目前最為流行、也是使用最廣泛的一種網絡安全技術。防火墻常被安裝在內網與外網的節點上，用于邏輯隔離內網和外網。防火墻的功能之一是控制內部網絡對外部網絡的訪問，此功能分為兩個方面：一方面是可以控制內部網絡用戶對外部一些非法或者受限網絡的訪問，另一方面是控制內部網絡用戶是否可以連接到外部網絡，前者是通過對外部IP地址或者網址的控制來實現的，后者則通過對內部用戶的IP控制來實現；防火墻的功能之二是控制外部網絡用戶對內部網絡的訪問，此功能也分為兩個方面：一方面是只允許外部用戶訪問本地網絡的某些主機（主要是服務器），另一方面是只允許外部用戶中指定的用戶訪問本地網絡。

我校2009年配置的防火墻為Watch Guard X1250e，實際工作中常用的功能有：網絡地址轉換，開通某服務器的端口以允許外部訪問，或禁止內部部分IP地址連接外網，或設置特定外網地址拒絕內部訪問等。2016年配置的是深信服的下一代防火墻AF-1210，配合使用的是深信服的上網優化網關AC-1400，AF安全防護功能強大，對內部訪問的網絡檢測到安全隱患之后自動“拒絕”，來自外部網絡的異常連接直接“阻斷”；AF防外不防內，真可謂家賊難防，排查校內的網絡攻擊，則體現了配備AC是非常必要、非常重要的，二者各有所長、互為補充，可以解決絕大部分的網絡安全問題。為了充分發揮下一代防火墻和上網優化網關在保障網絡安全方面的潛能，一方面需要單位持續地投入以便能夠及時升級，另一方面需要網管不斷地學習，深入地研究和探索。

3.3 VLAN劃分

運用VLAN技術來加強內部網絡管理。VLAN技術的核心是網絡分段，根據不同的部門及不同的安全級別，將網絡分段并進行隔離，實現相互間的訪問控制，可以達到限制用戶非法訪問的目的。運用VLAN技術主要是有利于：一是防范廣播風暴。限制網絡上的廣播，將網絡劃分為多個VLAN可減少參與廣播風暴的設備數量，網絡分段可以防止廣播風暴波及整個網絡。二是增強局域網的安全性。含有敏感數據的用戶組可與網絡的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其他VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等設備。

我們學校2009年核心設備更新，劃分的VLAN數為10個，其中兩個備用。服務器單獨一個VLAN，辦公區、教學區、教輔區，以及不同樓宇分別劃歸為不同的VLAN，而教學樓和公寓樓的1 二層教學區，劃分在同一個VLAN中；不同VLAN之間用戶要進行數據傳輸，首先要關閉Windows防火墻，其次關閉安全防護軟件（如卡巴斯基）的防火墻等，由此已經達到了VLAN劃分的目的。學校2016年核心設備再次更新，加上無線網絡全覆蓋、更新兩個新的云機房，改造后的2號教學樓單獨VLAN，總的VLAN數增至19個。

3.4 加強用戶認證

既考慮管理上安全，也兼顧使用上方便，長期以來嚴格落實網絡安全認證，保障不同用戶的相應權限，比如有線網絡和無線網絡、網絡核心設備、FTP文件傳輸服務器等等。

（1）在有線網絡中，靜態IP地址綁定MAC地址、IP地址實名分配到個人，可以實現相互關聯，保證安全用網、責任到人。在無線網絡中，啟用了嚴謹的用戶實名認證系統；同時克服種種困難實現了教學樓電子班牌、部分專用教室無線網絡通過MAC地址認證：在相應終端檢測到MAC地址并記錄，設置固定的IP地址，上網優化網關AC中手動添加IP地址綁定MAC地址，在無線網絡認證平臺RG-ESS易安全系統中添加MAC認證，為了便于對應，最好備注各終端的位置信息，保證安全問題落實到位。

（2）在網絡核心設備中，各網絡終端要么以靜態IP地址記錄、要么以用戶實名記錄，所有網絡行為都有跡可循、可以回溯，通過無線網絡核心設備中的用戶實名，可以對應到所用的IP地址、MAC地址、操作系統及對應的終端類型（是計算機還是手機等）；同時，允許登錄網絡安全設備（AF或者AC）的終端IP地址，可以進行預設，這在一定程序上保證了網絡的安全。

（3）學校現在的FTP服務器，采用實名認證登錄，每位老師用自己的用戶名/密碼登錄，登錄后可以自行改密；只對自己所在處室組的文件夾有全部的權限，并且每人只有3GB的空間可用，如果用盡了，需要自行清理后才可以繼續上傳文件；所有用戶每天的訪問日志自動生成一個文件，用戶實名制與日志生成的意義，還在于可以實現信息安全的不可否認性。

3.5 設置用戶權限

網絡中有資源節點和用戶節點兩大類，其中資源節點提供服務或數據，用戶節點訪問資源節點所提供的服務與數據。訪問控制就是一方面保護資源節點，阻止非法用戶對資源節點的訪問，另一方面限制特定用戶節點所能具備的訪問權限。權限控制是針對網絡非法操作所提出的一種安全保護措施，校園網絡是以用戶為中心的系統，對用戶和用戶組賦予一定的權限，可以限制用戶和用戶組對于目錄、文件、打印機以及其他共享資源的訪問，從而有效地保證網絡的安全。用戶級別與權限的設置，應該遵循的原則是：為了獲得最大的安全系數，盡可能給用戶完成任務所需的最小權限，即按最小化原則授權。

（1）在爭取學校總帶寬增至200Mbps以后，通過AC對學生機房、各種應用、無線網絡實現了流量分配，并積極回應老師們對流量需求的建議，及時調整流量策略，以保證校內每個用戶足夠的流量，保證教育教學工作中網絡應用的流量充足、正常運行；學生微機室的學生機IP地址列表對應于禁用游戲策略，啟用該策略后，學生機上將無法運行AC中實時更新的所有游戲。

（2）舊的FTP服務器多處故障無法修復，需要在新服務器上重新搭建，serv-U10.4功能強大，可以實現從舊服務器備份用戶信息后導入新服務器，不僅可以將每個用戶原有的數據正常遷移，而且能夠將所有用戶的賬號、密碼、可訪問路徑及相應權限安全遷移，使得每一位老師通過原來的IP地址或者原來的快捷方式、用原來的賬號和密碼無感知地登錄并使用新的服務器。

3.6 及時升級和更新

主要是操作系統升級和反病毒軟件升級。

（1）操作系統升級。操作系統是最重要的系統軟件，任何應用都運行于操作系統之上。為了使用上的方便，中學校園網絡中的多數客戶機、部分網絡服務器，均使用Windows操作系統，而Windows操作系統存在著眾多的系統漏洞，隱藏著很多的安全隱患。雖然操作系統開發商不斷開發新的版本，以提高其安全性，但并不能做到十全十美，操作系統開發商也在陸續為發現的系統漏洞提供安全補丁，以增強系統安全性。對于用戶來說，一定要定期或不定期地安裝這些補丁，以增強操作系統的免疫力。

（2）反病毒軟件升級。新的病毒和木馬產生的速度十分驚人，反病毒軟件不一定能夠在第一時間識別和清除它們，所以反病毒軟件一定要經常更新程序和病毒庫，才能夠及時對最新的病毒和木馬進行識別并清除。另外，我校的亞信安全客戶端一度和Office軟件沖突，導致Word等文件無法正常保存，而只能“另存為”，與亞信安全的廠家多次聯系并遠程之后，才成功安裝了相關補丁，Word文件、Excel等文件的保存得以恢復正常。

我們學校從2007年至2017年之間用了卡巴斯基網絡版，客戶端能夠及時升級，網管也可通過管理控制臺對全校電腦進行統一升級和掃描查殺，但是由于關鍵環節的安全意識不強，無法實現統一管理，而且從客戶端可以自行卸載；2017年至今學校用的是亞信安全網絡版，通過管理控制臺，對全校電腦進行預設掃描、實時掃描、全盤掃描等的設置，每周五中午12點開始對全校電腦統一進行全盤掃描。值得一提的是，作為網絡版安全防護軟件，亞信安全做得特別好的地方是：客戶端如果退出或卸載，需要管理員提供密碼，這就有效地防止了客戶端隨意退出或者卸載而失控。

另外，為了系統與網絡的安全，實現亞信安全客戶端的統一安裝、智能控制，經過反復研究，在AC中成功啟用了網絡準入策略，如果AC檢測不到亞信安全客戶端的關鍵進程，電腦就無法登錄外網，這一點AC表現特別出色，這樣可以保證全校所有電腦統一安裝正版防護軟件，最大限度保障學校的網絡安全。同時，亞信安全也具有人性化操作的功能，有的系統比如圖書流通系統、FTP服務器軟件Serv-U，還有之前競業達的電子監考系統等可信任程序，能夠單獨設置掃描例外，否則會被掃描清理，而無法正常運行。

隨著網絡的不斷發展，我們對網絡的依賴性將逐步增強，而網絡的安全問題也會隨之增多，因此校園網絡安全成為關系教育教學正常進行的重要因素。所以我們必須提高認識，加大投入，增強安全防范和法律意識，強化安全管理機制，采取有效安全策略，確保校園網絡安全，為學校的教育教學構筑安全、可靠、穩定的網絡環境。

[1]肖茜.網絡信息安全研究[J].網絡安全技術與應用，2009（4）：27-28.

[2]張軍偉.高校網絡安全分析及其對策[J].網絡安全技術與應用，2009（10）：62-64.

[3]毛方明.高職院校網絡安全體系研究[J].網絡安全技術與應用，2011（6）：46-48.

[4]彭俊.校園網的安全威脅及管理策略[J].網絡安全技術與應用，2011（7）：62-64.

[5]孔曉溪.淺析網絡安全犯罪的概念與分類[J].網絡安全技術與應用，2012（3）：68.

[6]Windows系統漏洞的防范:為了防范系統漏洞被黑客利用[EB/OL].http://www.101505.com/sixianghuibao/2019/0414/187028.html.