条条大道通罗马，权衡轻重很重要--中国人民大学顾涛

关于网络安全，我们首先要对整个网络的安全状况进行评估；其次是对存在的安全隐患进行列表、分析原因；第三是应对何种安全隐患应采取哪些措施，“条条大道通罗马”，可能多种方式多种渠道可以解决出现的安全问题，而我们需要综合考虑安全防范的成本、安全级别及为此所付出的代价；第四是安全措施的部署实施；第五是效果的评估。有人才有手段，权衡轻重缓急进行安全防范，也可以选择第三方来参与。

人大定期做相关的评估，我们现在的措施还比较简单，因为很多应用系统都正在部署开发中，所以安全分级工作还未进行。2003年6月信息化建设论证通过后，我们用一年的时间先进行巩固网络基础平台，平台不稳，谈不上网络应用的部署。这是一个阶段的目标。第二阶段我们才大规模开发应用。在第一阶段中，我们在应用方面主要进行一些修改，并进行拉网式的需求调研。

北京航空航天大学张德生--着手整个网络安全体系的方案实施

我们希望能看到专家对搭建校园网安全体系架构的建议，另外，针对安全体系的某一个环节、某一模块的技术方案也是学校很需要的内容，比如路由器、防火墙、访问控制、入侵检测等等。

对病毒的防范，北航目前通过单机版和网络版两种方式进行，做为客户端，不能进行强制杀毒，只能建议，有些软件可以做到定时地提醒客户端的更新升级及杀毒。

前一段时间我们用了绿盟的一个安全评估体系软件在一个小范围内测试了一下，发现不少问题，但是绿盟的软件太贵,所以，只能自己做。北航目前正在着手整个网络安全体系的方案实施，设计方案和措施都已经有了。这个评估体系方案将在九月底开始实施。

其实技术只是一方面的内容，网络中心遇到的最多的问题还是管理，所谓三分技术，七分管理，关系没理顺，工作开展不起来。

中国农业大学李吉祥技术手段易--好的没人问，坏的有人骂

在网络中心这么些年，就是一个感受：好的没人问，坏的有人骂。好是正常的，但是遇到问题，多方的责难就来了。

比如P2P流量，现在农大是每天一个G，网络负载不起的。流量控制无非两个手段，一是技术，二是经济。技术手段就是利用软件，限死流量，但这个似乎太不人性化了。经济手段是比较人性化的，就是流量收费，超过多少流量，收一定的费用，但是这么做，学生意见很大。

一句话，信息化是一把手工程，需要校领导的重视和支持。

西安交通大学李卫--安全管理难

网络安全只靠某种技术手段不行，要依靠综合手段来提高，简单来说，就是技术加管理。

技术手段是与时俱进,当然能超前最好,但目前普遍的情况还是头疼医头、脚疼医脚。比如用户认证、病毒过滤、垃圾邮件处理、补丁服务器等，都是出了问题再找对策。技术手段上的采用，实质是一个资金投入的问题。

安全管理是认识和机制的问题。安全管理需要一支队伍，维持日常的工作。比如对网络流量及应用的监控和响应，了解网络的动态，了解网络设备、安全设备等的运行情况、日志等。

西安交大拟进一步改进现有的安全风险评估系统，对用户终端进行风险等级的划分，采用强制报警和提示报警的方法，加强管理方与用户方之间的沟通，减轻管理上的负担。这需要整合厂商的产品，并自行开发相应的系统。比如我们安装了CISCO的主交换的IDS，但是IDS误报率高，我们又安装了安氏的ISS及相关的产品，而这些设置产生的报警不同，这都需要进行信息的融合。因此管理人员的作用在安全的各个方面都显得很突出。

校园网的普遍特点是用户量大，因此需要管理人员和用户共同的努力来改进网络环境的安全性，对用户的教育和用户培训也是不可少的。

所以，技术手段易，安全管理难。安全管理需要稳定的队伍、合理的业务流程、全面的投入。技术再先进也是需要人才的。没队伍有设备，就象打仗有武器没有人一样，失败是肯定的。

北京交通大学王锋--困扰多数高校的还是政策和管理上的问题

作为高校的网络安全，我认为在技术层面上各高校所做的工作都差不多，主要就是防火墙、病毒检测、垃圾邮件等方面的内容，而目前更困扰多数高校的还是政策和管理上的问题。打个比方说，网络规模年年扩充而网络中心的人员编制不增加，原有人员的大部分精力都被日常建设和维护工作占用，对于网络安全的关注势必欠缺，很多情况下是被动的，所以大家都叫我们是“消防队”。而我认为应该设专人平时就对全校安全问题进行较深入地研究并主动地查漏补缺，对于可能出现的安全问题进行防范，并从安全角度给领导以管理上的建议。

北京印刷学院岳从远--不同的管理模式会有不同的安全模式

从学校的实践角度来考虑，我认为网络安全不应单纯依靠技术来完成，它是一个系统工程，不同的管理模式会有不同的安全模式。不是所有的技术都能适用于所有的学校，需要整体地评价，要搭建整个的安全体系，包括管理、技术措施。对用户来说，网络本身是方便应用的，但是安全风险的控制与这个应用是一对矛盾，限制越多，越不方便。校园网络安全分两个方面，一是网络安全，包括恶意攻击、病毒等，一是信息安全，包括非法发布，非法入侵等。这两个方面都需要相应的信息管理措施，管理措施得当，采用不多的技术就能很好地解决这些问题。