校园网络安全分析.docx

1、校园网络安全分析 校园网络安全分析教育信息化、校园网络化作为网络时代的教育方式和环境，已经成为教育的发展方向。随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，校园网在学校的信息化建设中扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证校园网络正常运行，不受各种网络黑客的侵害成为学校不可回避的一个紧迫问题。1.校园网安全现状Internet最初是一个开放的供研究人员使用的网络，几乎所有的通信协议都没有考虑安全因素。然而，自20世纪90年代以来，Internet步入商业化的发展阶段，它暴露出来的安全问题越来越突出。在此期间我国大多数学校建设的校园网，由于资金及当初认

2、识上的局限，专门用于网络安全的考虑很少，使得校园网在享受Internet提供服务的同时，也同样面临着遭遇攻击的威险。黑客攻击、病毒入侵和垃圾邮件等已经是校园网安全不可回避的现实。最近几年，来自各方面的网络安全威胁更是愈来愈烈，呈猖獗之势。虽然已有一批网络安全产品，很多学校的校园网也开始加强和完善其自身的安全机制，但是与目前严峻的网上攻击相比，校园网的完全还是陷入了一种“道高一尺，魔高一丈的尴尬境地。”其次，有些用户缺乏安全意识，特别是那些对计算机和Internet技术不太了解的人，更是加重了校园网的安全压力，有的用户只是简单地打开邮件，却没有发现原来此邮件带有病毒，等到发现时却为时已晚了。对大

3、多数的用户来说，能管好和记住自己的密码常常是一件比较困难的事，方便性和安全性总是相互冲突。另外，校园网使用的操作系统，无论是Microsoft的windows系统还是Unix系统都存在安全漏洞，而人们又能够从Internet上很容易获得有关安全漏洞的核心资料和各类黑客软件，这给本来就脆弱的校园网安全雪上加霜。因此，作为学校如何构筑可靠的校园网络安全体系，成了当前学校急需考虑的问题。2.威胁校园网安全的因素当前学校基本上存在“重技术、轻安全、轻管理”的倾向，认为在校园网与互联网之间安放防火墙就万事大吉，有些学校甚至直接接入互联网，无任何防范措施。这就给病毒、黑客提供了充分施展身手的空间，导致病毒

4、泛滥、信息丢失、黑客攻击、服务被拒绝事件的发生。一般来说，学校产生此类安全隐患的因素主要体现在以下方面：1.物理因素 校园网络涉及的设备分布较广，不可能时刻进行全面的监控。通信线、局域网、远程网等都有可能遭到破坏，引起业务的中断。如果是包含数据的软盘、光碟、主机等被盗，更会引起数据的丢失和泄露。 2.技术因素 目前的校园网络大都是利用Internet技术构建的，同时又与Internet相连。Internet的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP/IP协议，缺乏相应的安全机制，而且Internet最初的设计基本上没有考虑安全问题，因此它在安全可靠、服务质量等方面存在着

5、不适应性。此外，随着软件系统规模的不断增大，系统中的安全漏洞也不可避免地存在。比如，常用的操作系统，无论是Windows还是Unix几乎都存在或多或少的安全漏洞。校园网若未采取先进的网络安全技术，缺乏先进的系统恢复、备份技术和工具软件，也是威胁网络安全的重要因素。3.管理因素 严格的管理是校园网安全的重要措施。事实上，很多学校都疏于这方面的管理。对网络的管理思想麻痹，对网络安全保护不够重视，舍不得投入必要的人力、财力、物力来加强网络安全的管理。4.用户因素 校园网是以用户为中心的系统。一个合法的用户在系统内可以执行各种操作。管理员可以通过对用户的权限分配，限定用户的某些行为。以避免故意的或非故

6、意的某些破坏。然而，更多的安全措施必须由自己来完成，比如： 1) 密码控制。 对自己登录的密码的安全性负责. 2) 文件管理。 对自己的文件负责。 3) 运行安全的程序。用户只要有写文件、运行文件的权利，就有可能给系统装上木马程序。4) 增强防范意思。电子邮件的安全只能由用户自己控制，在浏览网页时，可能遇上陷阱，这些都要用户操持警惕。5.教育因素 学校网管中心虽然制定了各项管理制度，但宣传教育的力度不够。许多师生法律意识淡薄，出于好奇或卖弄编程技巧的心理，破坏了网络的安全。网上活跃的黑客交流活动，也为他们的破坏活动奠定了技术基础。3. 校园网络风险分析 网络安全是网络正常运行的前提。网络安全不

7、只是单个节点的安全，而是整个信息网的安全，需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护，首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层上的诸多风险类。无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况，应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。 风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测，对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。4. 校园

8、网络安全需求通过对网络系统的风险分析及需要解决的安全问题，我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即可用性： 授权实体有权访问数据 机密性： 信息不暴露给未授权实体或进程 完整性： 保证数据不被未授权修改 可控性： 控制授权范围内的信息流向及操作方式 可审查性：对出现的安全问题提供依据与手段 访问控制：需要由防火墙将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别，也需要使用防火墙将不同的LAN或网段进行隔离，并实现相互的访问控制

9、。 数据加密：数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 安全审计： 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容，一是采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应（如报警）并进行阻断；二是对信息内容的审计，可以防止内部机密或敏感信息的非法泄漏5.校园网络带来的问题与面临的威胁学校师生在享受互联网带来的种种便利的同时，如果网络安全考虑不周，它会给学校带来诸多问题：如学生上网时经常会好奇地去查看或者修改网上邻居中教师组电脑里共享的内容；教师办公室电脑的上网时间无法有效控制，有些内容如网上聊天、游戏已经严重影响到了教

10、师正常的备课；学生上网经常接触到不健康的信息，上网无法控制等,计算机病毒的肆意横行，干扰系统的正常运行，造成计算机运行速度变慢、频繁死机等现象，甚至造成数据被破坏、网络及服务器瘫痪等问题，严重影响正常的教学、科研等工作。与其他网络一样，校园网络面临的威胁大体可分为破坏网络中数据信息、干扰网络正常地运行及损坏学校名誉。1)非授权访问 非授权访问是指没有预先同意就使用网络或计算机资源的行为。由于校园网内部用户对网络的结构和应用模式比较了解，因此来自内部的非授权访问的威胁更大。非授权访问主要表现为：假冒、身份攻击、非法用户进入网络系统进行违法操作和合法的用户以未授权方式进行操作等。黑客的很多攻击行为

11、就是非授权访问。2)信息泄漏或丢失 校园网内的重要数据可能被有意或无意泄漏出去。如用户帐号、口令等重要信息，致使信息在存储介质中丢失或泄漏。学校重要的信息比如教学管理信息、财务信息、人事信息等具有一定机密性，通对校园网泄漏的风险也非常大.学生在好奇心的驱使下，可能会从互联网上下载黑客工具，来对校园内部服务器进行窥探，诸如试题库、成绩单、学生档案等服务器，对学生就有着极大的诱惑力，他们会不顾后果地对校园内部的服务器进行非法访问，窃取校园网上的重要信息。3）病毒入侵 病毒已经演变成互联网的头号威胁。蠕虫病毒利用邮件系统和网络，几分钟之内便可以迅速传遍整个互联网，给网络系统带来灾难性的破坏。随着校园

12、网内计算机应用的大范围普及，接入校园网络节点日渐增多，而这些节点用户大部分没有或忽视病毒防范措施，随时有可能造成校园网内的病毒泛滥。4）垃圾邮件 垃圾邮件步入病毒后尘，成为危及互联网发展的第二大公害。根据中国互联网协会（CNNIC）公布的中国互联网络发展状况统计报告，目前中国网民平均每周收到16.1封，其中垃圾邮件占据了8.9封，垃圾邮件数量超过了正常邮件数量，并有进一步增长的趋势，其中相当数量的垃圾电子邮件含有反动、色情、赌博以及病毒等有害信息，校园网上垃圾邮件的传播和蔓延，严重干扰了校园网电子邮件用户的使用，影响了电子邮件服务器的正常运行，危害校园网的安全和社会稳定。5）恶意破坏 利用黑客

13、技术对校园网络系统进行破坏，即对学校网站的主页面进行修改，破坏学校的形象；向服务器发送大量信息使网络陷于瘫痪；利用学校的邮件服务器转发非法信息。6.校园网络防御体系6.1防火墙与IDS(入侵检测系统)对于校园网来说，安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用，通过防火墙将公共服务器（WEB、DNS、EMAIL等）和外网及校园网内部其业务网络进行必要的隔离。必须对防火墙进行正确的设置，防火墙的安全策略应拒绝一切外来的主动连接，建立合理有效的安全过滤原则，对网络数据包的协议、端口、源/目的地址、流向等进行审核、禁止外网用户的非法访问，并定期查看防火墙访问日志。设置防火墙的路由功能

14、，以提高网络的分段管理功能，把整个校园网分成若干个网段并进行不同程度的管理和控制。最后对学生机应做更进一步的设置、包括设置学生机房的上网时间段，上网的日志记录等。防火墙实质上是基于网络的访问控制技术，三种类型的防火墙（包过滤、电路层网关、应用层代理网关）分别工作在网络层、传输层和应用层，完成不同程度访问控制。因此，选用的防火墙必须在网络层、传输层和应用层上进行数据的安全保护和过滤，特别是具有URL过滤功能，以便于网管人员将常见的不良信息站点添加到过滤规则。硬件防火墙拥有独立的硬件平台和自主的操作系统，数据检测和通过速率快，安全性高，但升级困难，安全策略配置不灵活，更改困难；软件防火墙依赖于运行

15、它的服务器，安全策略严密，配置调整灵活，但它处理速度慢，并且无法防范，根据服务器自身的实际来选择适用于网络环境的防火墙，在预算允许的情况下，建议软、硬防火墙结合使用。本着经济、高效的原则，有必要将关键主机和关键网段用防火墙隔离，形成多级防护体系，以实现对系统的访问控制和安全的集中处理，我们在校园网出口处放置防火墙，防止Internet或者本校外的用户攻击校园网；在安全性要求高 的部门（如财务室）与校园网接口处放置防火墙，可将该部门与校园网隔离，防止校园内对该部门攻击。防火墙针对非法访问进行限制，对进出防火墙的攻击进行检测并防御，而网络内部用户之间的攻击不经过防火墙，防火墙没有办法去防止。而ID

16、S(入侵检测系统)是旁路监听设备，放置在需要保护的网络之中，针对合法访问形成的攻击进行检测。当网络内部有攻击出现时，IDS提供实时的入侵检测，将信息交给防火墙，由防火墙对这些攻击进行控制、隔离或断开。所以对于一个安全的网络，IDS是必不少的。6.2.病毒防御由于网络环境下，计算机病毒有不可估量的威胁性和破坏能力，因此，计算机病毒的防范是校园网安全建设中重要的一环。网络反病毒技术包括:预防病毒、检测病毒和消除病毒，具体实现方法包括对网络服务器的文件进行频繁扫描和监测，在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。在该网络防病毒过程中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒

17、的感染、传播和发作，为了实现这一点，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。采取的方法如下：1）在学校网络中心配置一台高效的Windows2000服务器安装一个瑞星杀毒软件网络版的系统中心，负责管理主机网点的计算机；在分支机构分别安装瑞星杀毒软件网络版的客户端。 2）安装瑞星杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。 3）网络中心负责整个校园网的升级工作。为

18、了安全和管理的方便起见，由网络中心的系统定期地、自动地到瑞星网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到主机网点的客户端与服务器端，并自动对瑞星杀毒软件网络版进行更新。采取这种升级方式，一方面确保校园网内的瑞星杀毒软件的更新保持同步，使整个校园网都具有最强的防病毒能力；另一方面，由于整个网络的升级、更新都是有程序自动、智能完成，就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。6.3 系统安全系统的安全主要指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范，一方面对系

19、统进行升级和增强安全配置，另一方面，通过漏洞检测工具定时对系统进行安全漏洞扫描，以便于及时发现安全隐患，并修补系统。在应用系统安全上，首先考虑通信的授权、传输的加密和审计记录，加强登录过程的认证，特别是在到达服务器主机之前的认证，确保用户的合法性；其次，严格按制登录者的操作权限，将其完成的操作限制在最小范围内。第三，在加强主机的管理上，除了访问控制和系统漏洞检测外，还采用访问存取控制，对权限进行分割和管理，对于系统中不同应用设置不同的用户访问权限，例如在windows 2000系统中设置系统管理员、一般用户等多种权限，使用文件系统权限管理可以有效的防止非法进入系统。6.4 身份认证 随着校园网

20、提供的信息服务质量的提升，对信息安全的需求也越来越强烈。同时，在校园网提供更高层次服务的时候，对于用户的身份认证、服务权限管理的需求也相应地提高，需要有一个独立的、高安全性和可靠性的身份认证及权限管理系统，并由此系统完成对整个校园网用户的身份确认和权限管理。 考虑到学校是非赢利单位，不可能投入大量资金去开发或购买高效、安全的定制系统。因此我们主要用微软的域控制器加上ISA2000代理上网软件来提供安全、统一的身份认证和权限管理服务。具体做法是为每一位合法用户在域控制器上设置了域帐号，并分属于各个工作组，同时在三层交换机和域控制器上分别加上了静态路由，使学校所有VLAN的电脑都可以通过VLAN接

21、口（即子网的网关）登陆到该域控制器。这样既保证非法用户无法进入校园网内部，同时又使我们的好多安全策略和服务（如EMAIL、上网管理、FTP等）都能基于域帐号得以实现。由于ISA2000兼有软件防火墙功能，能实现访问权限与AD用户集成验证，能针对每一个帐号给出具体的访问策略，并且可以屏蔽非法网站和不健康网站，如规定某些帐号某些时间只能上学校内部网站，某些时间段不能使用某些功能（如QQ，网上看电影、听MP3、聊天室等），并且通过日志管理可以方便地查看用户浏览访问情况，通过报表管理程序可以清楚地分析网站的访问量、用户的上网时间等。同时为了保证避免城域网用户和校园内部用户的破坏，可用ISA将内部网和外

22、部网进行分割，使外部用户和内部用户PING不到防火墙对面的地址：这样既保证了学校内部校园网络的安全，又保证了内部用户不会对城域网进行攻击。另外，通过ISA的计划缓存和自动缓存功能，可以大大加快访问指定网站或访问过网站的速度。7.校园网络安全策略7.1捆绑MAC地址和IP地址 在网络管理中，IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户造成了大量的经济上的损失和潜在的安全隐患。有没有什么措施能最大限度地避免此类现象的发生呢？为了防止IP地址被盗用，可以在代理服务器端分配IP地址时，把IP地址与网卡地址进行捆绑。 对于动态分配IP，做一

23、个DHCP服务器来绑定用户网卡MAC地址和IP地址，然后再根据不同IP设定权限。对于静态IP，如果用三层交换机的话，可以在交换机的每个端口上做IP地址的限定，如果有人改了自己的IP地址，那么他的网络就不通了。现在针对静态IP地址的绑定讲解一个实例。 查看网卡MAC地址 在命令提示符下输入ipconfig /all命令，这就可以查出自己的网卡地址，记录后再到代理服务器让网络管理员把您上网的静态IP地址与所记录计算机的网卡地址进行捆绑。具体命令是： ARP -s 192.168.0.4 00-EO-4C-6C-08-75 这样，就将您上网的静态IP地址192.168.0.4与网卡地址为00-EO-

24、4C-6C-08-75的计算机绑定在一起了，即使别人盗用您的IP地址192.168.0.4也无法通过代理服务器上网。其中应注意的是此项命令仅在局域网中上网的代理服务器端有用，还要是静态IP地址，像一般的Modem拨号上网是动态IP地址就不起作用。 7.2安装补丁程序及电脑防病毒软件操作系统的安全漏洞不时被发现，校园网的系统管理员就及时地将操作系统的“安全补丁（Pack）打上，微软的windows nt/2000操作系统使用的人特别多，发现的Bug也特别多，同时，蓄意攻击它们的人也特别多，微软公司为了弥补操作系统上的安全漏洞，在其网站上提供了许多安全补丁，应到相应的网站上下载并安装相关升级包，对

25、使用其它操作系统的校园网，也及时安装相应的安全补丁。以震荡波病毒为例来讲，该病毒就是利用了Windows LSASS的一个已知漏洞。这是一个缓冲溢出漏洞，后果是使远程攻击者完全控制被感染的计算机。而实际上，微软针对该漏洞的补丁KB835732早就已经发布，如果进行了操作系统补丁升级，杜绝了该系统漏洞，震荡波也就失去了攻击目标。因此，及时对操作系统进行补丁升级，是防止漏洞型病毒最安全也最有效的方法。目前的电脑防病毒软件绝大部分都带有实时监控功能，大家只要在开机时让系统自动开启实时监控即可对电脑进行全程保护。国产的瑞星、江民及金山毒霸等电脑防病毒软件在公安部的防病毒测评中都获得了高分，是电脑用户不

26、错的选择。另外，国际知名的赛门铁克公司生产的Antivirus系列也在国内拥有大量的用户群。如果在电脑中安装了电脑防病毒软件，就会在电脑与病毒之间建立了一道牢固的屏障，对于保障电脑的安全运行有着巨大的作用。但是，即使安装了电脑防病毒软件，也不是一劳永逸的，还要经常对防病毒软件进行病毒代码的升级，以确保防病毒软件的病毒库中不断增加新的病毒,从而进一步识别并杀死新产生的电脑病毒。另外需要提醒大家的是：有的电脑防病毒软件虽然提供了检测新版本并自动升级的功能，但可能由于该软件模块存在Bug，实际使用时并不成功，还需要点击软件界面中的升级才能进行病毒代码的升级。7.3关闭系统默认共享、不必要的服务和端口

27、在Windows2000及Windows XP和WindowsServer2003等操作系统中，系统会根据计算机的配置，自动创建部分特殊共享资源。尽管在“我的电脑”里这些共享资源是不可见的，但通过使用共享资源名称的最后一位字符后键入$方法后，别人就能轻易找到这些特殊的共享资源。如果您开机进入系统的密码过于简单，网上流传的一些黑客软件能立刻查到您的计算机的地址、用户名及一些简易密码而侵入到您的计算机。这样，这些特殊共享资源就相当于在我们的系统中开了一扇后门，如果不注意防范，危害也是很大的。进行卓有成效的防范最彻底的办法就是打开注册表HKEY_LOCAL_MACHINESOFTWAREMicros

28、oftWindowsCurrentVersionRun分支，在其下新建“字符串值”，命名可随意，比如“delshareC$”,鼠标右键单击，在弹出的快捷菜单中左键单击“修改”，在接着出现的“编辑字符串”窗口的“数值数据”一栏中输入“net share C$ /del” (不包括引号)按“确定”按钮。同理添加“字符串值”如“delshareD$”，数值数据”为“net share D$ /del”等，有几个分区就加到哪为止。之后保存注册表重启计算机，即能实现开机自动关闭这些特殊共享资源。您还可以根据自己的需要与系统对服务的描述来关闭Windows2000/XP/2003 的一些不必要的服务和端口

29、来提高您计算机的安全性能。如Error Reporting Service、Messenger、Net Logon等服务。具体方法：打开控制面板 管理工具 组件服务, 在选定服务项目上单击右键, 在出现的快捷菜单中点击“属性”一栏，接着，在出现的属性页面中将“启动类型”改为“手动”或者“禁用”即可。7.4定期对服务器进行备份为防止不可预料的系统故障或操作失误所造成的损失，必须对系统定期进行安全备份，对修改过的数据每周进行一次备份，将重要的系统文件打包存放在不同的服务器上，将重要数据打包存放在专用的服务器上，还可采用RAID技术对重要磁盘做镜象，防止入侵的系统有时也不是最保险了，一旦系统被破坏了

30、，应该建立快速、安全、完备的灾难性恢复机制，这属于响应的一部分。当然主要是恢复已经备份的数据。通过光盘、磁带、Raid磁盘阵列等设备和专用的恢复软件进行系统灾难性恢复，例如：对于工作站，我们使用Ghost进行备份和恢复；对于服务器，我们采用了磁带机和数据恢复进行恢复。7.5帐号和密码保护帐号和密码保护可以说是校园网系统的一道重要防线，网上的大部分攻击都是从截获和猜测密码开始的。一旦黑客进入了校园网系统，其后果就不堪设想了，必须对登录校园网系统的帐号和密码进行妥善严格的管理。账号的保护主要侧重于账号的管理和设置，包括：包含特殊的字符、在允许的范围内口令尽可能长一些，定期改变口令、在不同的系统中使

31、用不同的口令、不要使用字典中的词作为口令等，系统管理员的密码的位数一定要多，至少应该在8位以上，而且不要设置成容易猜测到的密码。对于普通的用户，设置一定的账号管理策略，如强制用户每个月更改一次密码。对于一些不常用的帐户应即时关闭，比如匿名登录帐号。通过加强系统登录过程的认证，确保用户的合法性，严格限制登录网络操作系统者的操作权限，将其完成的操作限制在最小的范围内。7.6监测系统日志现在校园网上使用的各种软硬件系统，大多有日志记录功能，通过运行系统日志程序，系统会记录下用户使用系统的情形，包括最近登录时间，使用的帐号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，检查是否有异常现象，

32、及时发现和排除系统所面临的威胁。8.建立校园网安全管理制度 常言说“三分技术，七分管理”，安全管理是保证校园网安全的基础。校园网的安全管理制度应包括：确定安全管理等级和安全管理范围，制定网络系统的维护制度、病毒防范制度和应急措施等，并采取切实有效的措施保证制度的执行，将校园网安全管理制度始终贯穿于校园网的运行过程中。只有制定相应的安全管理制度，充分发挥人的主观能动性，使上网、用网的师生能自觉地遵守网络道德与网络规范，才能使网络安全管理做到事半功倍。 为此，启用校园网的时候，就要求每个教师明确自己的责任、权利与应承担的义务。并明确要求他们使用统一、规范的工作组名、计算机名（用户名拼音简写），并确保自己电脑的计算机名、IP地址、网卡MAC地址、登陆帐号四统一。 另外制定严格的校园网安全管理条例，要求网管老师严格遵照执行，确保科学、有效地管理好校园网，促进校园网络系统安全、高效地运行。在物理层方面要求做到： 1）路由器、交换机和服务器以及通信设备是网络的关键设备，须放置在网络管理中心的机房内，不得自行配置或更换，更不能挪作它用。所有重要数据均要保留在网管中心服务器上。 2）严禁易燃易爆和强磁