“ 全区系统安全服务 ” 推广培训

顺德教育信息中心 http://www.sdedu.net 第 1页

“ 全区系统安全服务”推广培训

孙家炜电话： 0757-22333879QQ ： 226799785

顺德教育信息中心http://www.sdedu.net


培训内容大纲

• “ 教育城域网”的整体结构，与学校连接，网络安全控制；

• 如何更好地使用“教育城域网”；

• 常见网络问题检测简述；

• 如何获取可升级的 Windows 系统；

• 重点内容： WSUS 服务的安装、使用；

• 重点内容：集中式趋势防病毒软件的安装和使用；

• 相关知识和资源的获取；


培训完后必须完成的任务

• 所有电脑必须完成 WSUS 服务的安装和完成操作系统补丁的升级。

• 除使用了正版且为网络版的杀毒软件的学校外，任何使用盗版杀毒软件、或者单机版杀毒软件、或者没有安装杀毒软件的电脑，必须安装趋势防病毒软件。

• 在指定截止日期前，填写和提交校园网所有电脑的 MAC 地址、 IP 地址和用户姓名对应表——《全区系统安全服务安装登记表》。

• 填写并提交《全区系统安全服务培训效果问卷》


“教育城域网”的整体结构介绍，如何和各学校连接

“ 教育城域网”整体结构；1 、“教育城域网”、“教育网”、“教育信息网”、“教育信息中心”在概念上的区别；

2 、 270 多所学校共享 1000 兆带宽与“教育城域网”相连；

3 、 “教育城域网”与佛山信息中心、顺德区政府均有光纤专线连接；

4 、 “教育城域网”提供 1000 兆网络互联网出口带宽；


“教育城域网”的整体结构介绍，如何和各学校连接


学校与“教育城域网”的连接方式：直连或代理


直连优点：速度最快，减少中间环节；配置方法和连接方式简单，技术水平要求低；无须特定设备；信息中心可检测校内哪台电脑可能存在问题。缺点：出口速度易受学校内部干扰而扩散到整个教育网（如网络广播风暴、病毒发作等等），适合 300 台电脑以下的学校。

代理（透明代理）优点：出口速度一样容易遭受学校内部干扰，但关于广播或病毒引起的网络风暴，不会扩散到上层网络。控制权在学校。缺点：多一层代理多一个环节，速度将变慢；配置方法和连接方式相对复杂；技术水平要求比较高；需要一个代理服务器或一个地址转换路由器；信息中心不能检测校内具体哪台电脑可能存在问题。适合 300 台电脑以上学校。


校间访问控制及网络安全控制策略简介

校间访问控制及网络安全控制策略简介

1 、学校与学校之间通信，只对容易引发病毒扩散的个别端口作出限制，其它全部开放；

2 、学校与信息中心服务器之间，只对必要的通信端口开放，其它端口全部关闭；

3 、学校与互联网之间的通信，只开放必要的和常用的通信端口，其它大部分通信端口均关闭。

4 、总体原则是开放教学相关的通信，关闭与教学无关的通信，同时只要学校老师提出合理理由，可针对具体通信端口进行开放。


如何更好地使用“教育城域网”

• 为什么在“教育城域网”使用部分网外内容或功能出现问题？

有可能端口被封了（可咨询教育信息中心，提出开放理由）；

• 为什么回家后访问“教育城域网”的资源和网站，感觉慢？1 、使用联通、网通、电视宽带线路（线路经北京转换，肯定慢）？2 、多电脑共享上网（家中多电脑共享、邻居共享、小区共享）？3 、本身电脑系统不稳定（电脑中毒、浏览器中木马等）？4 、 ADSL电话线接触不良？潮湿天气下外线接口氧化？（可联系电信局检测）

• 网络速度正常，可是网页功能不正常1 、选择合适的浏览器；2 、调整浏览器安全属性技巧，增加受信任站点；


如何更好地使用“教育城域网”

教育信息中心主要网站的受信任站点清单：

http://www.sdedu.nethttp://oamis.sdedu.nethttp://mail.sdedu.net http://meeting.sdedu.nethttp://vod.sdedu.nethttp://im.sdedu.nethttp://res.sdedu.net http://*.trend.sdedu.net


常见网络问题检测简述 —— Ping 命令

当发现学校使用“教育城域网”出现问题时，可首先使用简单的测试方法缩小问题的范围，这些方法也适用于其它网络环境

• 打开 DOS 方式的“命令提示符”窗口（简称“ DOS 窗口”）

1 、使用“开始 -> 运行”菜单，输入“ cmd”命令从而打开“命令提示符”窗口。 2 、或者选择“开始 -> 程序 -> 附件 -> 命令提示符”菜单。

• 如何测试网络连通性—— ping 命令

1 、某些网络环境限制了 ping，此时 ping 不通不代表网络不通。 2 、在教育城域网内，允许了 IP=10.0.1.17 地址作为 ping的测试。 3 、在 DOS窗口中输入以下命令可以测试连通性：格式： ping <对方 ip> -t （ -t参数是连续 ping，可 CTRL+C 中断）例子： ping 10.0.1.17 –t


常见网络问题检测简述—— Ping 命令

Pinging 10.0.1.17 with 32 bytes of data:Reply from 10.0.1.17: bytes=32 time<1ms TTL=128Reply from 10.0.1.17: bytes=32 time<1ms TTL=128Reply from 10.0.1.17: bytes=32 time<1ms TTL=128Reply from 10.0.1.17: bytes=32 time<1ms TTL=128Reply from 10.0.1.17: bytes=32 time<1ms TTL=128Reply from 10.0.1.17: bytes=32 time<1ms TTL=128

网络通的情况下 ping 返回结果：

Pinging 10.0.1.17 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Request timed out.Request timed out.

网络不通的情况下 ping 返回结果：


常见网络问题检测简述—— Ping 命令

• 如何更进一步测试网络流畅度？——加大 ping 的数据包不指定数据包大小的 ping 命令默认只发出 32 个字节数据包，可通过 -l 参数，加大每次发出的数据包大小，才能判断线路通畅程度

格式： ping <对方 ip> -l < 数据包大小 > -t 例子： ping 10.0.1.17 -l 30000 –t

100M 教育网光纤专线在网络使用高峰期的 ping 结果（ time 应小于 40~60 ）：


10M 教育网光纤专线在网络使用高峰期的 ping 结果（ time 应小于 100 ）：



常见网络问题检测简述——交叉线独立测试

最直接的排查“教育城域网”不通原因的方法：直接通过“交叉线”把单独的电脑接在“光纤收发器”上，然后使用 ping命令。

• “ 交叉线”和“直通线”分别是网线的一种，制作方法、标准和使用差别可参阅 http://bbs.sdedu.net 上的“顺德教育虚拟社区 → 信息技术 → 信息安全与网络管理 → 直通网线和交叉网线的制作方法”帖子（如要下载文档，须先在论坛上注册帐号并登录）

• 先确保“交叉线”没问题！测试“交叉线”的方法：直接把两台电脑通过交叉线对接起来，配置好 IP 地址后，使用 ping 命令，互相能 ping 通则可确定“交叉线”没问题（注意要先关闭 XP自带的或其它限制了 ping的防火墙）。

• 用一台电脑，使用经过测试通过的“交叉线”，单独接“教育城域网”的“光纤收发器”，然后配置好教育信息中心分配给本学校的 IP 地址、网关、 DNS 等信息，使用 ping 命令检测网络连通性和通畅程度。



• 如果使用“交叉线”配合 ping 命令进行独立连通性测试通过， ping 命令在加大数据包的情况下也能正确返回有效范围的数据，不存在丢包现象，则说明学校所连接的“教育城域网”光纤线路不存在问题，从而可判断导致上网出现问题的原因发生在学校内部。此时应从学校机房的核心交换机开始，根据内部网络结构，一层层往下排查是否为楼层交换机故障或病毒影响等原因。

• 如果使用“交叉线”配合 ping 命令进行独立连通性测试不通过，或者ping 命令在加大数据包的情况下丢包严重，则说明学校所连接的“教育城域网”光纤线路存在问题。此时可联系教育信息中心： 22333879 孙老师，以解决问题。



导致网络出现问题的因素很多且很复杂，网管老师应保持清晰的思路和耐性，先将问题分类，进一步缩小范围，再逐一排查。

后面将安排各类更具体的网络使用、网络配置和优化等的远程培训活动，希望广大网管老师能积极参加，共同努力建立稳定的网络环境。


如何获取可升级的 Windows 系统

不建议随意使用网上下载的精简版、直接刻隆版等 Windows操作系统，因为它可能带来以下问题：

1 、功能不全，某些系统服务被关闭，或者某些参数设置不当，导致使用中的问题，这些问题往往难以跟踪和解决。

2 、可能隐藏制作者有意或无意留下的木马、病毒。

3 、不能升级，不能安装系统安全补丁，或者能安装但安装后出现某些异常。

4 、委托电脑公司维护电脑的学校，绝大多数电脑公司均使用已安装了应用软件的直接刻隆版了事！

5 、已安装了应用软件的“直接刻隆版”，需要关注另一个问题：所安装的应用软件，功能是否齐全（很多应用软件都有“默认安装”、“完全安装”和“自定义安装”等不同安装类型供用户选择）。


如何获取可升级的 Windows 系统

http://www.sdedu.net打开后的右面，可见“全区系统安全服务”

进入“全区系统安全服务”页面后，可参看“主题一”的“选择合适自己使用的 Windows 操作系统”内容。


安装操作系统第一个值得探讨的问题——硬件要求

• 各种Windows 系统对电脑配置达到“运行流畅”的硬件要求操作系统名称核心硬件基本配置要求说明

Windows 98 第 2 版CPU ：奔腾 III 或以下；内存： 64M （操作系统） +128M （应用程

序）

1 、许多新购买的原装电脑， CPU 配置都奔腾四以上，内存配置却极低，不懂电脑的人们光看 CPU 配置以为电脑配置很高。这正中电脑厂家的圈套，事实上内存大小对于整台电脑的性能起极其关键的作用。

2 、新购买的电脑，所安装的一般只有操作系统，所需的内存无须太多，因此初买时，感觉电脑速度还算比较快，但随着时间推移和教学实际需要，在陆续安装了一些教学应用程序后，却感觉电脑速度越来越慢，这时应检查内存数量是否真正满足需要了。

3 、内存偏低的电脑，由于需要密集地与硬盘进行数据交换，而硬盘是慢速设备，比内存慢 3-4 个数量级，将严重影响整体性能。

Windows 2000 专业版CPU ：奔腾 III 或以上；内存： 192M （操作系统） +256M （应用

程序）

Windows 2000 高级服务器版

CPU ：奔腾四或以上；内存： 256M （操作系统） +256M 以上

（应用程序和其它软件服务）

Windows XP （含 SP2 ）

CPU ：奔腾 III 或以上；内存： 192M （操作系统） +256M （应用

程序）

Windows 2003 企业版CPU ：奔腾四或以上；内存： 256M （操作系统） +256M 以上

（应用程序和其它软件服务）

注意：其中 Windows98 、 Windows2000 系列已经淘汰不用！


安装操作系统第二个值得探讨的问题——规划

• 安装前的规划1 、根据 CPU 和内存情况选择合适的操作系统，不要贪大贪新；2 、 C盘只安装操作系统，经验值是：办公电脑 15G以内，服务器 18G以内；3 、 D盘安装应用软件。所有的应用软件，在安装时应选择“自定义”安装方式，去掉无需用到的组件，并把安装路径设置到 D盘中。经验值是： 15-20G以内。4 、 E 盘：作为当前工作内容的数据区，根据实际定义。5 、 F 盘：作为备份数据区，存放历史工作的备份、下载的软件等等，根据实际定义。

• 以上规划的好处1 、把操作系统和应用软件分开安装在 C盘和 D盘，因电脑启动时只需要用到 C盘中的操作系统文件，检索文件数量减少，启动速度更快；2 、除病毒攻击 C盘和 D盘会导致数据丢失外，由于磁头经常刮 C盘和 D盘， C盘和 D盘出现坏道导致数据丢失的情况也经常发生，因此应把数据存放在E和 F。3 、同理，经常性使用的数据最容易因产生磁盘坏道而丢失，因此应养成良好习惯，定期从 E 盘整理工作数据到 F 盘作为历史保存。


安装操作系统第三个值得探讨的问题——安装过程的安全

校园网内部、教育网内部都充满病毒、恶意攻击，“一边装系统，就一边中毒，没装完就中满毒，怎么办？ !”

1 、制作操作系统安装光盘，以及 ServicePack（ SP ）光盘，不要使用U盘； ftp://ftp2.sdedu.net/download/Software/System/ 里，各类操作系统目录中都已经提供了对应的 ServicePack。

2 、按以下流程进行安装，注意什么时候不能接网线，什么时候才能接网线：安装流程： a. 拔掉网线； b.格式化后安装操作系统； c. 操作系统安装好后，马上利用 SP 光盘把 XP 的 SP2 、或 2003 的 SP2 安装好； d.启动操作系统自带的防火墙； e. 连接网线及配置网络； f. 安装 WSUS及趋势杀毒软件，让电脑自动完成所有操作系统补丁安装升级，并在线升级杀毒软件到最新版本； g. 切记整个过程禁止访问任何无关的网站、禁止安装任何其它软件。

3 、只有当操作系统所有补丁已经安装，漏洞已被修复，并具备最新的防毒能力后，才安装其它应用软件。


WSUS 服务的安装、使用

Windows 自动更新服务（简称“ WSUS” 服务），是信息中心提供的免费系统安全服务：

1 、所有操作系统补丁均来源于微软，而不是来源于某些杀毒软件网站。补丁内容最齐全。覆盖WindowsXP 、 Windows2000 、 Windows2003系列操作系统。

2 、所有“教育城域网”内终端电脑和服务器均可使用 Windows自动更新服务。全自动运行，无须学校管理员及用户过多选择或干预。

3 、升级服务器存放在教育信息中心内部，您只需要 2分钟的人工设置，即可在 30分钟内通过快速的“教育城域网”，自动完成所有补丁的下载和安装，无须花费长时间等待从国外更新服务器上的响应。

4 、及时地为自己的电脑安装和更新系统补丁，是有效防止病毒和黑客程序攻击、避免病毒通过网络扩散、以及保护自身数据安全的重要途径。


WSUS 服务的安装、使用


进入“全区系统安全服务”页面后，可参看“主题二”的“如何使用信息中心提供的 Windows自动更新服务”内容。

内容包括：1 、 WUA 的安装、注册表的导入；2 、重新启动；3 、留意补丁更新和状态；


集中式趋势防病毒软件的安装和使用

集中式趋势防病毒服务，也是信息中心提供的另一项免费系统安全服务：

1 、对学校的安装及管理技术要求降到最低；

2 、适用于网络及机房条件较差的学校、以及适用于对服务器及网络缺乏技术管理能力和缺乏管理时间的学校。

3 、由信息中心的两台专用防病毒服务器提供服务，学校无须配备任何服务器。

4 、由信息中心提供日常管理和技术支持，学校只需在各终端电脑上安装客户端软件后，所有病毒码更新全自动执行。



顺德教育城域网

顺德教育信息中心

某学校

Win98/Win2000Pro/WinXP终端（安装了OfficeScan客户端软件）

学校机房其它用途的服务器

OfficeScan服务器A（OfficeScan网络版）

OfficeScan服务器B（OfficeScan完全版)

Win2000S Win2000AS Win2003ES

Win98/Win2000Pro/WinXP终端（安装了OfficeScan客户端软件）




进入“全区系统安全服务”页面后，可参看“主题三”的“如何使用“集中式防病毒服务””内容。

内容包括：1 、集中式趋势服务的安装；2 、掌握客户端的基本使用；



安装时的注意事项：

1 、同一台电脑，不能同时安装两个或两个杀毒软件，因此应先卸载原杀毒软件。

2 、必须使用 IE6.0浏览器以上才能正确安装。

3 、添加受信任站点： http://*.trend.sdedu.net ，注意“ *”号是必须的，不能缺漏。


系统还原软件

还原软件可以减轻网管员工作量，但是，还原软件可以防止电脑中毒吗？还原软件可以减少病毒冲击网络的机会吗？试想象某堂 40分钟的电脑课程开始时，一台电脑在开机后还原至历史初始状态，然后：1 、在 5分钟内电脑即可通过网络暴露所有的原始漏洞；2 、再过 5分钟，网络某处病毒即发现此电脑，并利用所暴露的漏洞进入系统，感染该电脑，使该电脑处于中毒状态；3 、再过 5分钟，该电脑病毒开始影响整个网络；4 、此时离下课时间，还有长达 25分钟；

结论1 、还原软件不能防病毒，也不能减少病毒冲击网络的机会；还原软件只负责开机时还原，至于还原后系统发生什么事情，影响有多严重，天知道！2 、网管员还是要老老实实地安装系统升级服务和杀毒软件；并定期取消还原软件，然后执行系统和杀毒软件更新，再重新启动还原软件。


委托电脑公司维护

把电脑甚至整个校园网所有设备委托电脑公司维护的学校，应时刻记住每次当电脑公司维护完您的电脑后，应检查WSUS服务和趋势杀毒软件是否受影响或被删除，最稳妥的方法是重新安装 WSUS 服务（反正安装也不需要 5分钟）。


相关知识和资源的获取

• 显示计算机中各网卡信息（包括网卡MAC 地址）的命令：ipconfig /all

• 检测对方服务器某个 TCP端口是否打开的命令：telnet <对方 ip 地址 > < 端口 >

• 文章及问题回答http://bbs.sdedu.net （可自由注册，教育城域网内才能访问）

• VNC 远程控制工具（含服务端和客户端）下载地址： ftp://ftp2.sdedu.net/download/Software/ 网络

工具 /VNC/vnc-4_1_2-x86_win32.exe


培训完毕

感谢大家 !!

“ 全区系统安全服务 ” 推广培训

Documents