榆林教育网建设方案

PAGE榆林教育网建设方案二○XX年五月二十三日目录总述……………（1页）初步实施方案…………………（1页）软件构架………（1页）整体设计………（6页）4.1设计原则………………（6页）4.2功能目标………………（7页）4.3技术指标………………（7页）服务建设………（8页）5.1Web服务………………（8页）5.2Ftp服务………………（10页）5.3SMTP服务……………（12页）6．安全性能………（12页）6.1安装……………………（13页）6.2windows2021设置……（15页）6.3IIS设置(IIS5.0)………（21页）6.4ASP编程安全…………（23页）6.5SQLSERVER的安全…………………（26页）6.6PCANYWHERE的安全………………（27页）7．附录……………（29页）榆林教育网建设方案总述近几年来的校园网建设热潮，尤其是2021年城域教育网的快速发展，让我们深刻体会到网络的建设与发展给教育带来的巨大冲击。教学软件的应用更新，教育管理的电子化，教学资源的逐步丰富，信息交流的快速便捷等都向我们展示了现代教育技术及教学手段的变革给教育教学带来的全新面貌。教育信息化离不开网络基础设施与教育软件的长期建设，在政府的行政指导与专家的理论导向下，各个教育企业针对国家政策法规和信息化的发展趋势陆续推出了一系列解决方案。无论是纯硬件与网络的全面解决方案，还是应用软件的整体规划，都体现出企业的特长、优势与实力。就目前城域教育网建设而言，因资源共享、信息交流和管理等应用的焦点集中在城域教育中心网站的建设，因此，城域教育网中心网站的整体解决方案就成为城域教育网建设的核心，其重点又表现在中心网站的软件构架、整体设计、服务建设、安全性能上。初步实施方案第一：软件构架本公司在2021年4月份就初步完成了榆林教育网网站源代码的开发，源代码以动网文章V2.0商业ACCSEE版本为核心，修补了以往出现的漏洞并增加了文件上传、用户权限控制等功能；增加了JS代码生成器、教育看台管理；在程序美化方面，本公司专门为榆林教育网开发了10（5×2）种模版，为以后的改版打下良好的基础。最重要的一项改要是把原来的asp改为现在最为流行的。其具体功能如下：1.文章录入和修改模块提供目前最好最方便的HTML在线编辑器。1)可以完全可视化编辑文章内容，所见即所得;也可直接编辑HTML源代码。2)自动识别各种网址和Email地址。3)支持四种贴图功能：A.直接复制网上的图片，然后粘贴到此编辑器中即可，编辑器会自动获得图片的URL地址。（强烈推荐使用此功能插入图片！）B.使用“插入图片URL”按钮。可以在插入图片时指定图片的URL地址、图片大小、对齐方式、边框粗细等。（推荐使用！）C.使用“上传文件”功能，上传本地图片，上传后会直接显示出来。D.在编辑HTML源代码状态下，手工输入图片代码。支持和[IMG][/IMG]标签。4)可插入表格。并可在插入表格时指定各项参数。可即时显示出效果并进行修改。5)无组件上传文件。上传的图片和FLASH动画会自动显示出来，其他文件则以UBB代码显示。6)如果要手动书写源代码，请选中“查看HTML源代码”选项。支持所有的HTML标签。支持动网论坛的大部分UBB代码。书写完毕后，请取消选中“查看HTML源代码”选项，HTML代码可立即显示实际效果。2.无组件上传文件服务器无需安装任何上传组件，无需支持FSO，即可上传文件。可限制文件上传的类型和文件大小。上传的图片和FLASH动画会自动显示出来，其他文件则以UBB代码显示。3.强大的文章管理功能1)提供文章审核功能。录入员添加的文章必须经过审核才能发布。管理员和超级用户可以直接发布文章。2)提供文章固顶功能。显示时固顶文章将显示在最上面。3)文章可以设置多种属性：推荐文章、热点文章。可随时更改这些属性。文章点击次数超过10次后自动设为热点文章。4)可以批量删除文章和审核文章4.强大的文章搜索功能可按文章标题、内容或作者搜索文章，搜索时可指定文章大类和文章小类和关键字等条件。关键字会在搜索结果中以红色标记。5.功能非常强大的JS代码生成器可根据需要灵活生成任意条件的JS代码，然后将生成的JS代码复制到网页代码的相应位置处即可。可参看js.htm文件中范例。这样实现首页调用变得异常简单。6.人性化的栏目管理1)支持2级分类：文章大类和文章小类2)栏目管理非常人性化7.支持专题管理如文章“《在ASP中使用SQL语句之1:SELECT语句》”属于“ASP技术〉ASP基础”栏目，同时也可以属于“SQL查询语句详解”专题。8.完善的用户管理：支持三级管理员：超级用户、普通管理员、文章录入员超级用户：可以进行所有功能的操作，可以修改添加、修改、删除用户，但不能修改或删除其他超级用户的权限及密码。文章管理员：只具有文章录入及管理、审核权限。文章录入员：只有添加文章的权限，添加的文章必须经过审核才能发布。9.模块化设计，页面设计与程序分离度非常高这样，若要修改系统或对系统进行美化，也是比较简单的事。只需对页面进行修改就行了。程序只需做很少改动就可应用于新的页面中。10.提供文章评论功能。访问者可对文章进行评论。可在后台对评论进行修改或删除等管理操作。11.提供发送邮件功能（需要服务器安装JMail组件）访问者可将看到的好文章发送给好友。12.提供文章打印功能。13.提供网站调查及管理功能。可在后台添加、修改、删除网站调查。前台即时更新。14.提供网站公告及管理功能。可在后台添加、修改、删除网站公告。前台即时更新。15.提供网站广告管理功能。可在后台添加、修改、删除广告。前台即时更新。16.提供网站配置功能（需要服务器支持FSO）可直接在后台对网站名称、网站标题、网站地址、LOGO地址、Banner地址、站长姓名、站长信箱等进行设置。前台即时更新。17.提供上传文件管理功能（需要服务器支持FSO）可在后台删除上传的无用文件。18.提供数据库在线压缩功能（需要服务器支持FSO）可以在后台在线压缩数据库。压缩前，建议先备份数据库，以免发生意外错误。+19.提供数据库备份功能（需要服务器支持FSO）可以在后台在线将数据库备份到指定的位置。（请注意数据库的安全！）20.数据库恢复功能（需要服务器支持FSO）可以从指定位置将备份的数据库恢复回来。21.提供系统初始化功能用于不同网站时，可使用此功能清除指定数据库的所有数据。请慎用此功能，因为一旦清除将无法恢复！22.提供查看服务器信息功能（感谢阿江提供此探针程序）可以查看服务器的各种信息。如组件支持情况。23.提供“本站统计”功能可以统计网站的文章数目、评论数据，注册用户等信息。24.网站风格统一由CSS定义。如要修改网站风格，请修改style.css文件。如果你对CSS不熟，请勿随意修改。25.提供多种子栏目显示方式子栏目显示方式可设置成“菜单显示”（默认）、顶端显示、左边显示、树形显示。可以后台管理网站配置中进行设置。26.更多功能请你自己在使用过程中慢慢体会。上述功能完全可以满足各县教育局及所有通讯员编辑文件上传文件审批文件发表文件等一系列过程。第二：整体设计1．设计原则榆林教育网的建设，要为教育教学服务，为促进学校教育现代化服务。要紧密结合教育教学的需要和经济承受能力的实际，本着高效、适用的原则，有计划、有重点，分地区、分层次，积极稳妥地推进校园网建设。要严格规范校园网建设及相应的软件开发标准，确保信息化校园的整体建设规划和管理要求的落实。榆林教育网建设应做到培训在先、建网建库同行、重在应用。切实做好学校教师、技术与管理及行政人员的不同层次的培训，形成一支能使教育网充分发挥使用效益的应用队伍、教学软件开发队伍和能保证教育网正常持续运行的软、硬件管理队伍。积极开发和推广使用教育教学软件，建设信息资源库，充分发挥教育网的使用效益。在建设教育网的同时，要充分利用原有设施设备，继续实施实验教学和电化教学。并努力将TCP/IP网络与原有闭路电视网和广播网紧密结合，保证资源优化配置和合理应用。2．功能目标一个完备的教育网，应在教师备课教学、学生学习、教务管理、行政管理、图书资料管理、资源信息、对外交流等方面发挥辅助、支持功能，并通过与广域网的互联，实现校际间的信息共享及与因特网(INTERNET)的连接，通过与宽带数字卫星相联，实现远程教育，为学校的教学、管理、日常办公、内外交流等各方面提供全面、切实的支持。3．技术指标榆林教育网的设计应采用国际通行的TCP／IP协议，并达到以下目标：·先进性：先进的设计思想、网络结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品。·实用性：建网时应充分考虑利用和保护现有资源，充分发挥设备效益，要保证系统和应用软件全中文界面，且功能完善，界面友好，兼容性强，使用户最方便地实现各种功能。·开放性：系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及与外界信息的沟通。·适应性：采用积木式模块组合和结构化设计，使系统配置灵活，使网络具有强大的可增长性和强壮性，方便管理和维护。·可扩展性：网络规划设计要满足校园不断发展的要求，还要满足因技术发展需要而实现低成本扩展和升级的需求。·可靠性：具有容错功能，能满足学校所在地环境、气候条件，抗干扰能力强，对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠。·安全性：提供多层次安全控制手段，建立完善的安全管理体系，防止数据受侵击和破坏，有可靠的防病毒措施和阻挡不良信息进入的措施。·经济性：着眼于近期目标和长期的发展，选用先进的设备进行最佳性能组合，利用有限的投资构造一个性能最佳的网络系统。第三：服务建设Web服务（1）WebService概念什么是WebService呢？从表面上看，WebService就是一个应用程序，它向外界暴露出一个能够通过Web进行调用的API。这就是说，你能够用编程的方法通过Web调用来实现某个功能的应用程序。例如，笔者创建一个WebService，它的作用是查询某公司某员工的基本信息。它接受该员工的编号作为查询字符串，返回该员工的具体信息。你可以在浏览器的地址栏中直接输入HTTPGET请求来调用罗列该员工基本信息的ASP页面，这就可以算作是体验WebService了。从深层次上看，WebService是一种新的Web应用程序分支，它们是自包含、自描述、模块化的应用，可以在网络(通常为Web)中被描述、发布、查找以及通过Web来调用。WebService便是基于网络的、分布式的模块化组件，它执行特定的任务，遵守具体的技术规范，这些规范使得WebService能与其他兼容的组件进行互操作。它可以使用标准的互联网协议，像超文本传输协议HTTP和XML，将功能体现在互联网和企业内部网上。WebService平台是一套标准，它定义了应用程序如何在Web上实现互操作性。你可以用你喜欢的任何语言(笔者用的是C#)，在你喜欢的任何平台上写WebService。（2）WebService软件的支持操作系统离不开丰富的应用软件的支持。同样，WebService这项技术只有通过日益广泛的应用才能体现出其价值，目前比较流行的实现方法是使用.NET和Java两种技术，并且两种实现方法可以互相操作；如今我们已经可以看到使用微软、IBM、SUN、Borland等不同厂商的WebService构建工具建立的WebService应用。微软的.NET技术应该算是时下最为流行的WebService开发技术。首先因为其公司在以前相应的产品就占有相当大的市场份额，以至使新推出的.NET得以有比较稳定的用户群；其次也是更重要的是.NET平台不仅延续了微软一贯的编程风格，而且还增加了许多支持Web服务的关键性技术，使得.NET在操作的简单性和执行的稳定性，高效性上达到了一个非常好的结合。微软的VisualStudio.NET便是一个便于Web服务的开发工具。微软的目标是，将其新编程语言——C#作为WebService的首选语言。虽然C#看起来与Java类似，但是还有一些Java中没有的独特的功能。.NET技术中用于WebService开发的主要工具是ASP.NET（目前，榆林教育网源码就是用此编写）从技术上说，ASP提供了一些超出ASP以前版本的优点(例如：代码和HTML的分离，与脚本语言相比较，对“真正”的编程语言如C#的支持)。榆林教育网所用服务器的Web服务现以搭建完成，此后的工作重点将是开通各县教育局和各学校用户的web服务及web的安全问题。Ftp服务（1）为什么要开FTP服务：FTP（FileTransferProtocol）是Internet上用来传送文件的协议（文件传输协议）。它是为了我们能够在Internet上互相传送文件而制定的的文件传送标准，规定了Internet上文件如何传送。也就是说，通过FTP协议，我们就可以跟Internet上的FTP服务器进行文件的上传（Upload）或下载（Download）等动作。和其他Internet应用一样，FTP也是依赖于客户程序/服务器关系的概念。在Internet上有一些网站，它们依照FTP协议提供服务，让网友们进行文件的存取，这些网站就是FTP服务器。网上的用户要连上FTP服务器，就要用到FPT的客户端软件，通常Windows都有“ftp”命令，这实际就是一个命令行的FTP客户程序，另外常用的FTP客户程序还有CuteFTP、Ws_FTP、FTPExplorer等。要连上FTP服务器（即“登陆”），必须要有该FTP服务器的帐号。如果是该服务器主机的注册客户，你将会有一个FTP登陆帐号和密码，就凭这个帐号密码连上该服务器。但Internet上有很大一部分FTP服务器被称为“匿名”（Anonymous）FTP服务器。这类服务器的目的是向公众提供文件拷贝服务，因此，不要求用户事先在该服务器进行登记注册。Anonymous（匿名文件传输）能够使用户与远程主机建立连接并以匿名身份从远程主机上拷贝文件，而不必是该远程主机的注册用户。用户使用特殊的用户名“anonymous”和“guest”就可有限制地访问远程主机上公开的文件。现在许多系统要求用户将Emai1地址作为口令，以便更好地对访问进行跟综。出于安全的目的，大部分匿名FTP主机一般只允许远程用户下载（download）文件，而不允许上载（upload）文件。也就是说，用户只能从匿名FTP主机拷贝需要的文件而不能把文件拷贝到匿名FTP主机。另外，匿名FTP主机还采用了其他一些保护措施以保护自己的文件不至于被用户修改和删除，并防止计算机病毒的侵入。在具有图形用户界面的WorldWildWeb环境于1995年开始普及以前，匿名FTP一直是Internet上获取信息资源的最主要方式，在Internet成千上万的匿名PTP主机中存储着无以计数的文件，这些文件包含了各种各样的信息，数据和软件。人们只要知道特定信息资源的主机地址，就可以用匿名FTP登录获取所需的信息资料。虽然目前使用WWW环境已取代匿名FTP成为最主要的信息查询方式，但是匿名FTP仍是Internet上传输分发软件的一种基本方法。（2）FTP使用软件：Serv-U是一种被广泛运用的FTP服务器端软件，支持3x/9x/ME/NT/2K等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等，功能非常完备。SMTP服务榆林教育网开通SMTP服务是必要的，SMTP(SimpleMailTransferProtocol)即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。SMTP协议属于TCP／IP协议族,它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器,我们就可以把E－mail寄到收信人的服务器上了,整个过程只要几分钟。SMTP服务器则是遵循SMTP协议的发送邮件服务器，用来发送或中转你发出的电子邮件。通过SMTP服务我们可以更好更快的和各学校及所有个人用户联系，并可以相互传送文件等。第四：安全性能用windows2021建立的Web站点在所有的网站中占了很大一部分比例，但windows2021的安全问题也一直比较突出，使得一些每个基于windows2021的网站都有一种如履薄冰的感觉，然而微软并没有明确的解决方案，只是推出了一个个补丁程序，各种安全文档上对于windows2021的安全描述零零碎碎，给人们的感觉是无所适从。于是，有的网管干脆什么措施也不采取，有的忙着下各种各样的补丁程序，有的在安装了防火墙以后就以为万事大吉了。这种现状直接导致了大量网站的windows2021安全性参差不齐。只有极少数windows2021网站有较高的安全性，大部分网站的安全性很差。为此，我公司决心对windows2021主要漏洞予以搜集整理，同时，站在整体的高度，力图找出一套用windows2021建立安全站点的解决方案来，让榆林教育网安全的使用windows2021服务器。对windows2021来说web站点主要解决的安全问题如下：Web应用程序;Internet信息服务(IIS)5.0;Windows2021AdvancedServer操作系统;IP安全标准(IPSec)策略;远程管理与监视;SQLServer2021;密码。解决方案：（说明：本方案主要是针对建立Web站点的windows2021服务器安全，对于局域网内的服务器并不合适。）一、安装：1.硬盘分区为NTFS分区；说明：（1）NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。（2）建议最好一次性全部安装成NTFS分区，而不要先安装成FAT分区再转化为NTFS分区，这样做在安装了SP4的情况下会导致转化不成功，甚至系统崩溃。（3）安装NTFS分区有一个潜在的危险，就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统不能正常启动，后果就比较严重，因此平时做好防病毒工作是必要的。2.只安装一种操作系统；说明：安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。3.安装成独立的域控制器（StandAlone）,选择工作组成员，不选择域；说明：主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使黑客有可能利用域方式的漏洞攻击站点服务器。4.将操作系统文件所在分区与Web数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将\WINNT改为其他目录；说明：黑客有可能通过Web站点的漏洞得到操作系统对操作系统某些程序的执行权限，从而造成更大的破坏。5.Windows程序，都要重新安装一次补丁程序，windows2021下更需要这样做。说明：（1）最新的补丁程序，表示系统以前有重大漏洞，非补不可了，对于局域网内服务器可以不是最新的，但站点必须安装最新补丁，否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点；（2）安装windows2021的SP4有一个潜在威胁，就是一旦系统崩溃重装windows2021时，系统将不会认NTFS分区，原因是微软在这个补丁中对NTFS做了改进。只能通过Windows2021安装过程中认NTFS，这样会造成很多麻烦，建议同时做好数据备份工作。（3）安装ServicePack前应先在测试机器上安装一次，以防因为例外原因导致机器死机，同时做好数据备份。6.尽量不安装与Web站点服务无关的软件；说明：其他应用软件有可能存在黑客熟知的安全漏洞。二、windows2021设置：1.帐号策略：（1）帐号尽可能少，且尽可能少用来登录；说明：网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多一份被攻破的危险。（2）除过Administrator外，有必要再增加一个属于管理员组的帐号；说明：两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有机会重新在短期内取得控制权。（3）所有帐号权限需严格控制，轻易不要给帐号以特殊权限；（4）将Administrator重命名，改为一个不易猜的名字。其他一般帐号也应遵循这一原则。说明：这样可以为黑客攻击增加一层障碍。（5）将Guest帐号禁用，同时重命名为一个复杂的名字，增加口令，并将它从Guest组删掉；说明：有的黑客工具正是利用了guest的弱点，可以将帐号从一般用户提升到管理员组。（6）给所有用户帐号一个复杂的口令（系统帐号出外），长度最少在8位以上，且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2021）等。说明：口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了，而这往往是不少网管所忽视的地方，据我们的测试，仅字母加数字的5位口令在几分钟内就会被攻破，而所推荐的方案则要安全的多。（7）口令必须定期更改（建议至少两周改一次），且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）；（8）在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕。2.解除NetBios与TCP/IP协议的绑定说明：NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。方法：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS。3.删除所有的网络共享资源说明：windows2021在默认情况下有不少网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。（卸载“Microsoft网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时，将显示该选项。单击“卸载”按钮删除该组件；清除“Microsoft网络的文件和打印机共享”复选框将不起作用。）方法：(1)控制面版——管理工具——计算及管理——共享文件夹———停止共享。但上述两种方法太麻烦，服务器每重启一次，管理员就必须停止一次（2）修改注册表：运行Regedit，然后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键Name:AutoShareServerType:REG_DWORDValue:0然后重新启动您的服务器，磁盘分区共享去掉，但IPC共享仍存在，需每次重启后手工删除。4.改NTFS的安全权限；说明：NTFS下所有文件默认情况下对所有人（EveryOne）为完全控制权限，这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作，建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。5.系统启动的等待时间设置为0秒，控制面板->系统->启动/关闭，然后将列表显示的默认值“30”改为“0”。（或者在boot.ini里将

TimeOut的值改为0）6.只开放必要的端口，关闭其余端口。说明：缺省情况下，所有的端口对外开放，黑客就会利用扫描工具扫描那些端口可以利用，这对安全是一个严重威胁。端口扫描在网络扫描中大约占了96%，UDP（UserDatagramProtocol）服务次之，占3.7%。除了这两种之外，剩余的0.3%是用户名和密码扫描、NetBIOS域登录信息和SNMP管理数据等。TelAviv大学已经开始努力防止蠕虫攻击和对NetBIOS弱点的网络攻击，因为这些攻击可能会感染所有的Windows系统。同时，在发送流量之前，要求ISP对所有的NetBIOS流量进行过滤。现将一些常用端口列表如下：端口协议应用程序21TCPFTP25TCPSMTP53TCPDNS80TCPHTTPSERVER1433TCPSQLSERVER5631TCPPCANYWHERE5632UDPPCANYWHERE（附）10种最易受攻击的端口7.加强日志审核；说明：日志任何包括事件查看器中的应用、系统、安全日志，IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等，从中可以看出某些攻击迹象，因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录，帐号审核可以从域用户管理器——规则——审核中选择指标；NTFS中对文件的审核从资源管理器中选取。要注意的一点是，只需选取你真正关心的指标就可以了，如果全选，则记录数目太大，反而不利于分析；另外太多对系统资源也是一种浪费。8.加强数据备份；说明：这一点非常重要，站点的核心是数据，数据一旦遭到破坏后果不堪设想，而这往往是黑客们真正关心的东西；遗憾的是，不少网管在这一点上做的并不好，不是备份不完全，就是备份不及时。数据备份需要仔细计划，制定出一个策略并作了测试以后才实施，而且随着网站的更新，备份计划也需要不断地调整。9.只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议；说明：网站需要的通讯协议只有TCP/IP，而NETBEUI是一个只能用于局域网的协议，IPX/SPX是面临淘汰的协议，放在网站上没有任何用处，反而会被某些黑客工具利用。10.停掉没有用的服务，只保留与网站有关的服务和服务器某些必须的服务。说明：有些服务比如RAS服务、Spooler服务等会给黑客带来可乘之机，如果确实没有用处建议禁止掉，同时也能节约一些系统资源。但要注意有些服务是操作系统必须的服务，建议在停掉前查阅帮助文档并首先在测试服务器上做一下测试。11.隐藏上次登录用户名,修改注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon中找到DontDisplayLastUserName，将其值设为1。说明：缺省情况下，上次登录的用户名会出现在登录框中，这就为黑客猜测口令提供了线索，最好的方式就是隐藏上次登录用户名。12.不要起用IP转发功能。说明：缺省情况下，windows2021的IP转发功能是禁止的，但注意不要启用，否则它会具有路由作用，被黑客利用来对其他服务器进行攻击。13.安装最新的MDAC说明：MDAC为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来档漏洞，祥见漏洞测试文档。三、IIS设置(IIS5.0)1.只安装OptoinPack中必须的服务，建议不要安装IndexServer、FrontPageServerExtensions、示例WWW站点等功能。说明：IIS中的众多安全隐患是由一些其他的功能引起的，如果仅做一个WWW站点，就需要安装必须的服务，如WWW服务、FTP服务，这样减少黑客利用这些漏洞攻击的机会。2.停止默认的FTP站点、默认的Web站点、管理Web站点，在新的目录下新建WWW服务与FTP服务。说明：默认的站点与管理Web站点含有大量有安全漏洞的文件，极易给黑客造成攻击机会。具体漏洞见所附安全文档。因此，必须禁止。同时，应该在新的目录下建立服务，这个目录千万不要放在InetPub\wwwroot下，最好放在与它不同的分区下。3.删除不必要的IIS扩展名映射。最好去掉.IDC、.HTR、.STM、.IDA、.HTW应用程序映射，.shtml、.shtm等如果无用，也应去掉。说明：上述应用程序映射，具有大量安全隐患。方法：Web站点——属性——主目录——配置——应用程序映射4.安装新的ServicePack后，IIS的应用程序映射应重新设置。说明：安装新的ServicePack后，某些应用程序映射又会出现，导致出现安全漏洞。这是管理员较易忽视的一点。5.设置IP拒绝访问列表说明：对于WWW服务，可以拒绝一些对站点有攻击嫌疑的地址；尤其对于FTP服务，如果只是自己公司上传文件，就可以只允许本公司的IP访问改FTP服务，这样，安全性大为提高。6.禁止对FTP服务的匿名访问说明：如果允许对FTP服务做匿名访问，该匿名帐户就有可能被利用来获取更多的信息，以致对系统造成危害。7.建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为FullControl）说明：作为一个重要措施，既可以发现攻击的迹象，采取预防措施，也可以作为受攻击的一个证据。8.慎重设置Web站点目录的访问权限，一般情况下，不要给予目录以写入和允许目录浏览权限。只给予.ASP文件目录以脚本的权限，而不要给与执行权限。说明：目录访问权限必须慎重设置，否则会被黑客利用。四、ASP编程安全：安全不仅是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则，会给黑客造成可乘之机。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但如果写程序的时候注意的话，还是可以避免的。1.涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限。说明：用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。因此要尽量减少它们在ASP文件中的出现次数。出现次数多得用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及到与数据库连接，理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户以修改、插入、删除记录的权限。2.需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。说明：现在的需要经过验证的ASP程序多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入，因此有必要跟踪上一个页面。具体漏洞见所附漏洞文档。3.ASP主页.inc文件泄露问题当存在asp的主页正在制作并没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象，如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。解决方案：程序员应该在网页发布前对其进行彻底的调试；安全专家需要固定asp包含文件以便外部的用户不能看他们。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。.inc文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的，尽量使用无规则的英文字母。4.注意某些ASP编辑器会自动备份asp文件，会被下载的漏洞在有些编辑asp程序的工具，当创建或者修改一个asp文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个..bak文件，如你创建或者修改了some.asp，编辑器自动生成一个叫some.asp.bak文件，如果你没有删除这个bak文件，攻击有可以直接下载some.asp.bak文件，这样some.asp的源程序就会给下载。5.在处理类似留言板、BBS等输入框的ASP程序中，最好屏蔽掉HTML、JavaScript、VBScript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查，同时要在服务器端程序中进行类似检查。说明：输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏；如果该输入框涉及到数据查询，他们会利用特殊查询输入得到更多的数据库数据，甚至是表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查，仍有可能被绕过，因此必须在服务器端再做一次检查。6.防止ACCESSmdb数据库有可能被下载的漏洞在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。解决方法：(1)为你的数据库文件名称起个复杂的非常规的名字，并把他放在几目录下。所谓"非常规"，打个比方：比如有个数据库要保存的是有关书籍的信息，可不要把他起个"book.mdb"的名字，起个怪怪的名称，比如d34ksfslf.mdb，再把他放在如./kdslf/i44/studi/的几层目录下，这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。(2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：DBPath=Server.MapPath("cmddb.mdb")conn.Open"driver={MicrosoftAccessDriver(*.mdb)};dbq="&DBPath假如万一给人拿到了源程序，你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源，再在程序中这样写：conn.open"shujiyuan"(3)使用ACCESS来为数据库文件编码及加密。首先在选取"工具->安全->加密/解密数据库，选取数据库（如：employer.mdb），然后接确定，接着会出现"数据库加密后另存为"的窗口，存为：employer1.mdb。接着employer.mdb就会被编码，然后存为employer1.mdb..要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。接下来我们为数据库加密，首先以打开经过编码了的employer1.mdb，在打开时，选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码"，接着输入密码即可。这样即使他人得到了employer1.mdb文件，没有密码他是无法看到employer1.mdb的。五、SQLSERVER的安全SQLSERVER是windows2021平台上用的最多的数据库系统，也正是我们教育网所用的数据库系统，但是它的安全问题也必须引起重视。数据库中往往存在着最有价值的信息，一旦数据被窃后果不堪设想。1.及时更新补丁程序。说明：与windows2021一样，SQLSERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试，同时提前做好目标服务器的数据备份。2.给SA一个复杂的口令。说明：SA具有对SQLSERVER数据库操作的全部权限。遗憾的是，一部分网管对数据库并不熟悉，建立数据库的工作由编程人员完成，而这部分人员往往只注重编写SQL语句本身，对SQLSERVER数据库的管理不熟悉，这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。3.严格控制数据库用户的权限，轻易不要给让用户对表有直接的查询、更改、插入、删除权限，可以通过给用户以访问视图的权限，以及只具有执行存储过程的权限。说明：用户如果对表有直接的操作权限，就会存在数据被破坏的危险。4.制订完整的数据库备份与恢复策略。六、PCANYWHERE的安全：目前，PCANYWHERE是最流行的基于windows2021的远程控制工具，同样也需要注意安全问题。1.建议采用单独的用户名与口令，最好采用加密手段。千万不要采用与windows2021管理员一样的用户名与口令，也不要使用与

windows2021集成的口令。说明：PCANYWHERE口令是远程控制的第一个关口，如果与windows2021的一样，就失去了安全屏障。被攻破后就毫无安全可言。而如果采用单独的口令，即使攻破了PCANYWHERE，windows2021还有一个口令屏障。2021-5-23

高考语文试卷一、语言文字运用（15分）1．在下面一段话的空缺处依次填入词语，最恰当的一组是（3分）提到桃花源，许多人会联想到瓦尔登湖。真实的瓦尔登湖，早已成为▲的观光胜地，梭罗的小木屋前也经常聚集着▲的游客，不复有隐居之地的气息。然而虚构的桃花源一直就在我们的心中，哪怕▲在人潮汹涌的现代城市，也可以获得心灵的宁静。A．名闻遐迩闻风而至杂居 B．名噪一时闻风而至栖居C．名噪一时纷至沓来杂居 D．名闻遐迩纷至沓来栖居2．在下面一段文字横线处填入语句，衔接最恰当的一项是（3分）在南方，芭蕉栽植容易，几乎四季常青。▲至于月映蕉影、雪压残叶，那更是诗人画家所向往的了。①它覆盖面积大，吸收热量大，叶子湿度大。②古人在走廊或书房边种上芭蕉，称为蕉廊、蕉房，饶有诗意。③因此蕉阴之下，是最舒适的小坐闲谈之处。④在旁边配上几竿竹，点上一块石，真像一幅元人的小景。⑤在夏日是清凉世界，在秋天是分绿上窗。⑥小雨乍到，点滴醒人；斜阳初过，青翠照眼。A．①③②④⑥⑤ B．①④②③⑥⑤C．②①④③⑤⑥ D．②③④①⑤⑥3．下列诗句与“悯农馆”里展示的劳动场景，对应全部正确的一项是（3分）①笑歌声里轻雷动，一夜连枷响到明②种密移疏绿毯平，行间清浅縠纹生③分畴翠浪走云阵，刺水绿针抽稻芽④阴阴阡陌桑麻暗，轧轧房栊机杼鸣A．①织布②插秧③车水④打稻 B．①织布②车水③插秧④打稻C．①打稻②插秧③车水④织布D．①打稻②车水③插秧④织布4．阅读下图，对VR（即“虚拟现实”）技术的解说不正确的是一项是（3分）A．VR技术能提供三个维度的体验：知觉体验、行为体验和精神体验。 B．现有的VR技术在精神体验上发展较快，而在知觉体验上发展较慢。C．VR技术的未来方向是知觉体验、行为体验和精神体验的均衡发展。D．期许的VR体验将极大提高行为体验的自由度和精神体验的满意度。二、文言文阅读（20分）阅读下面的文言文，完成5—8题。临川汤先生传邹迪光先生名显祖，字义仍，别号若士。豫章之临川人。生而颖异不群。体玉立，眉目朗秀。见者啧啧曰：“汤氏宁馨儿。”五岁能属对。试之即应，又试之又应，立课数对无难色。十三岁，就督学公试，补邑弟子员。每试必雄其曹偶。庚午举于乡，年犹弱冠耳。见者益复啧啧曰：“此儿汗血，可致千里，非仅仅蹀躞康庄也者。”丁丑会试，江陵公①属其私人啖以巍甲而不应。曰：“吾不敢从处女子失身也。”公虽一老孝廉乎，而名益鹊起，海内之人益以得望见汤先生为幸。至癸未举进士，而江陵物故矣。诸所为附薰炙者，骎且澌没矣。公乃自叹曰：“假令予以依附起，不以依附败乎？”而时相蒲州、苏州两公，其子皆中进士，皆公同门友也。意欲要之入幕，酬以馆选，而公率不应，亦如其所以拒江陵时者。以乐留都山川，乞得南太常博士。至则闭门距跃，绝不怀半刺津上。掷书万卷，作蠹鱼其中。每至丙夜，声琅琅不辍。家人笑之：“老博士何以书为？”曰：“吾读吾书，不问博士与不博士也。”寻以博士转南祠部郎。部虽无所事事，而公奉职毖慎，谓两政府进私人而塞言者路，抗疏论之，谪粤之徐闻尉。居久之，转遂昌令。又以矿税事多所蹠戾②，计偕之日，便向吏部堂告归。虽主爵留之，典选留之，御史大夫留之，而公浩然长往，神武之冠竟不可挽矣。居家，中丞惠文，郡国守令以下，干旄往往充斥巷左，而多不延接。即有时事，非公愤不及齿颊。人劝之请托，曰：“吾不能以面皮口舌博钱刀，为所不知后人计。”指床上书示之：“有此不贫矣。”公于书无所不读，而尤攻《文选》一书，到掩卷而诵，不讹只字。于诗若文无所不比拟，而尤精西京六朝青莲少陵氏。公又以其绪余为传奇，若《紫箫》、《还魂》诸剧，实驾元人而上。每谱一曲，令小史当歌，而自为之和，声振寥廓。识者谓神仙中人云。公与予约游具区灵岩虎丘诸山川，而不能办三月粮，逡巡中辍。然不自言贫，人亦不尽知公贫。公非自信其心者耶？予虽为之执鞭，所忻慕焉。（选自《汤显祖诗文集》附录，有删节）[注]①江陵公：指时相张居正，其为江陵人。②蹠戾：乖舛，谬误。5．对下列加点词的解释，不正确的一项是（3分）A．每试必雄其曹偶 雄：称雄B．酬以馆选 酬：应酬C．以乐留都山川 乐：喜爱D．为所不知后人计 计：考虑6．下列对原文有关内容的概括和分析，不正确的一项是（3分）A．汤显祖持身端洁，拒绝了时相张居正的利诱，海内士人都以结识他为荣幸。B．因为上书批评当权者徇私情、塞言路，汤显祖被贬官至广东，做了徐闻尉。C．汤显祖辞官回家后，当地官员争相与他交往，而汤显祖不为私事开口求人。D．汤显祖与邹迪光相约三月份到江南一带游玩，但没准备好粮食，因而作罢。7．把文中画线的句子翻译成现代汉语。（10分）（1）见者益复啧啧曰：“此儿汗血，可致千里，非仅仅蹀躞康庄也者。”（2）然不自言贫，人亦不尽知公贫。公非自信其心者耶？予虽为之执鞭，所忻慕焉。8．请简要概括汤显祖读书为文的特点。（4分）三、古诗词鉴赏（11分）阅读下面这首唐诗，完成9—10题。学诸进士作精卫衔石填海韩愈鸟有偿冤者，终年抱寸诚。口衔山石细，心望海波平。渺渺功难见，区区命已轻。人皆讥造次，我独赏专精。岂计休无日，惟应尽此生。何惭刺客传，不著报雠名。9．本读前六句是怎样运用对比手法勾勒精卫形象的？请简要分析。(6分)10．诗歌后六句表达了作者什么样的人生态度？（5分）四、名句名篇默写（8分）11．补写出下列名句名篇中的空缺部分。（1）名余曰正则兮，__________________。（屈原《离骚》）（2）__________________，善假于物也。（荀子《劝学》）（3）艰难苦恨繁霜鬓，__________________。（杜甫《登高》）（4）树林阴翳，__________________，游人去而禽鸟乐也。（欧阳修《醉翁亭记》）（5）__________________，抱明月而长终。（苏轼《赤壁赋》）（6）浩荡离愁白日斜，__________________。（龚自珍《己亥杂诗》）（7）道之以德，__________________，有耻且格。（《论语·为政》）（8）盖文章，经国之大业，__________________。（曹丕《典论·论文》）五、现代文阅读（一）（15分）阅读下面的作品，完成12~14题。表妹林斤澜矮凳桥街背后是溪滩，那滩上铺满了大的碎石，开阔到叫人觉着是不毛之地。幸好有一条溪，时宽时窄，自由自在穿过石头滩，带来水草野树，带来生命的欢喜。滩上走过来两个女人，一前一后，前边的挎着个竹篮子，简直有摇篮般大，里面是衣服，很有点分量，一路拱着腰身，支撑着篮底。后边的女人空着两手，几次伸手前来帮忙，前边的不让。前边的女人看来四十往里，后边的四十以外。前边的女人不走现成的小路，从石头滩上斜插过去，走到一个石头圈起来的水潭边，把竹篮里的东西一下子控在水里，全身轻松了，透出来一口长气，望着后边的。后边的走不惯石头滩，盯着脚下，挑着下脚的地方。前边的说：“这里比屋里清静，出来走走，说说话……再呢，我要把这些东西洗出来，也就不客气了。”说着就蹲下来，抓过一团按在早铺平好了的石板上，拿起棒槌捶打起来，真是擦把汗的工夫也节约了。看起来后边的是客人，转着身于看这个新鲜的地方，有一句没一句地应着：“水倒是清的，碧清的……树也阴凉……石头要是走惯了，也好走……”“不好走，一到下雨天你走走看，只怕担断了脚筋。哪有你们城里的马路好走。”“下雨天也洗衣服?”“一下天呢，二十天呢。就是三十天不洗也不行。嗐，现在一天是一天的事情，真是日日清，月月结。”客人随即称赞：“你真能干，三表妹，没想到你有这么大本事，天天洗这么多。”主人微微笑着，手里捶捶打打，嘴里喜喜欢欢的：事情多着呢。只有晚上吃顿热的，别的两顿都是马马虎虎。本来还要带子，现在托给人家。不过洗完衣服，还要踏缝纫机。”客人其实是个做活的能手，又做饭又带孩子又洗衣服这样的日子都过过。现在做客人看着人家做活，两只手就不知道放在哪里好。把左手搭在树杈上，右手背在背后，都要用点力才在那里闲得住。不觉感慨起来：“也难为你，也亏得是你，想想你在家里的时候，比我还自在呢。”主人放下棒槌，两手一刻不停地揉搓起来：“做做也就习惯了。不过，真的，做惯了空起两只手来，反倒没有地方好放。乡下地方，又没有什么好玩的，不比城里。”客人心里有些矛盾，就学点见过世面的派头，给人家看，也压压自己的烦恼：“说的是，”右手更加用力贴在后腰上，“空着两只手不也没地方放嘛。城里好玩是好玩，谁还成天地玩呢。城里住长久了，一下乡，空气真就好，这个新鲜空气，千金难买。”单夸空气，好比一个姑娘没有什么好夸的，单夸她的头发。主人插嘴问道：“你那里工资好好吧？”提起工资，客人是有优越感的，却偏偏埋怨道：“饿不死吃不饱就是了，连奖金带零碎也有七八十块。”“那是做多做少照样拿呀！”“还吃着大锅饭。”“不做不做也拿六七十吧？”“铁饭碗！”客人差不多叫出来，她得意。主人不住手地揉搓，也微微笑着。客人倒打起“抱不平”来：“你好脾气，要是我，气也气死了，做多做少什么也不拿。”“大表姐，我们也搞承包了。我们家庭妇女洗衣店，给旅店洗床单，给工厂洗工作服都洗不过来。”“那一个月能拿多少呢？”客人问得急点。主人不忙正面回答，笑道：“还要苦干个把月，洗衣机买是买来了，还没有安装。等安装好了，有时间多踏点缝纫机，还可以翻一番呢！”“翻一番是多少？”客人急得不知道转弯。主人停止揉搓，去抓棒槌，这功夫，伸了伸两个手指头。客人的脑筋飞快转动：这两个手指头当然不会是二十，那么是二百……听着都吓得心跳，那顶哪一级干部了？厂长？……回过头来说道：“还是你们不封顶好，多劳多得嘛。”“不过也不保底呀，不要打算懒懒散散混日子。”客人两步扑过来，蹲下来抓过一堆衣服，主人不让，客人已经揉搓起来了，一边说：“懒懒散散，两只手一懒，骨头都要散……乡下地方比城里好，空气第一新鲜，水也碧清……三表妹，等你大侄女中学一毕业，叫她顶替我上班，我就退下来……我到乡下来享几年福，你看怎么样？”（选自《十月》1984年第6期，有删改）12．下列对小说相关内容和艺术特色的赏析，不正确的一项是？A．小说开头的景物描写，以自由流动的溪水所带来的“水草野树”以级“生命的欢喜”，暗示着农村的新气象。B．小说中“一路拱着腰身”等动作描写，以及“真是日日清，月月结”等语言描写，为下文表妹承包洗衣服这件事做了铺垫。C．表姐两次提到乡下空气“新鲜”，第一次是出于客套，第二次提到时，表姐对农村的好已有了更多体会。D．表妹说的“不要打算懒懒散散混日子”，既表达了自己对生活的态度，也流露出对自己得不到休息的些许不满。13．请简要分析表姐这一人物形象。（6分）14．小说刻画了两个人物，作者以“表妹”为题，表达了哪些思想感情？（6分）六、现代文阅读（二）（12分）阅读下面的作品，完成15~17题。书家和善书者沈尹默“古之善书者，往往不知笔法。”前人是这样说过。就写字的初期来说，这句话，是可以理解的，正同音韵一样，四声清浊，是不能为晋宋以前的文人所熟悉的，他们作文，只求口吻调利而已。笔法不是某一个人凭空创造出来的，而是由写字的人们逐渐地在写字的点画过程中，发现了它，因而很好地去认真利用它，彼此传授，成为一定必守的规律。由此可知，书家和非书家的区别，在初期是不会有的。写字发展到相当兴盛之后（尤其到唐代），爱好写字的人们，一天比一天多了起来，就产生出一批好奇立异、相信自己、不大愿意守法的人，各人使用各人的手法，各人创立各人所愿意的规则。凡是人为的规则，它本身与实际必然不能十分相切合，因而它是空洞的、缺少生命力的，因而也就不会具有普遍的、永久的活动性，因而也就不可能使人人都满意地沿用着它而发生效力。在这里，自然而然地便有书家和非书家的分别了。有天分、有休养的人们，往往依他自己的手法，也可能写出一笔可看的字，但是详细监察一下它的点画，有时与笔法偶然暗合，有时则不然，尤其是不能各种皆工。既是这样，我们自然无法以书家看待他们，至多只能称之为善书者。讲到书家，那就得精通八法，无论是端楷，或者是行草，他的点画使转，处处皆须合法，不能四号苟且从事，你只要看一看二王、欧、虞、褚、颜诸家遗留下来的成绩，就可以明白的。如果拿书和画来相比着看，书家的书，就好比精通六法的画师的画；善书者的书，就好比文人的写意画，也有它的风致可爱处，但不能学，只能参观，以博其趣。其实这也是写字发展过程中，不可避免的现象。六朝及唐人写经，风格虽不甚高，但是点画不失法度，它自成为一种经生体，比之后代善书者的字体，要严谨得多。宋代的苏东坡，大家都承认他是个书家，但他因天分过高，放任不羁，执笔单钩，已为当时所非议。他自己曾经说过：“我书意造本无法。”黄山谷也尝说他“往往有意到笔不到处”。就这一点来看，他又是一个道地的不拘拘于法度的善书的典型人物，因而成为后来学书人不须要讲究笔法的借口。我们要知道，没有过人的天分，就想从东坡的意造入手，那是毫无成就可期的。我尝看见东坡画的枯树竹石横幅，十分外行，但极有天趣，米元章在后边题了一首诗，颇有相互发挥之妙。这为文人大开了一个方便之门，也因此把守法度的好习惯破坏无遗。自元以来，书画都江河日下，到了明清两代，可看的书画就越来越少了。一个人一味地从心所欲做事，本来是一事无成的。但是若能做到从心所欲不逾矩（自然不是意造的矩）的程度，那却是最高的进境。写字的人，也需要做到这样。（有删改）15．根据原文内容，下列说法不正确的一项是（3分）A．善书而不知笔法，这一现象出现在写字初期，当时笔法还未被充分发现和利用。B．唐代爱好写字的人渐多，有一批人好奇立异，自创规则，经生体就是这么产生的。C．二王、欧、虞、褚、颜诸家都是严格遵守笔法的典型，他们都属于书家的行列。D．元明清三代，书画创作每况愈下，优秀作品越来越少，与守法度的习惯被破坏有关。16．下列关于原文内容的理解和分析，不正确的一项是（3分）A．在写字过程中，那些与实际不能完全切合的人为的规则，不具有普遍的永久的活动性，因而不能称之为笔法。B．书与画相似，书家之书正如画师之画，谨严而不失法度，而善书者之书正如文人的写意，别有风致。C．苏东坡天分高，修养深，意造的书画自有天然之趣，但率先破法，放任不羁，成为后世不守法度的借口。D．一味从心所欲做事是不可取的，但写字的人如能做到“从心所欲不逾矩”，却能达到最高的境界。17．书家和善书者的区别体现在哪些方面？请简要概括。（6分）七、现代文阅读（三）（12分）阅读下面的作品，完成18~20题。天津的开合桥茅以升开合桥就是可开可合的桥，合时桥上走车，开时桥下行船，一开一合，水陆两便，是一种很经济的桥梁结构。但在我国，这种桥造得很少，直到现在，几乎全国的开合桥都集中在天津，这不能不算是天津的一种“特产”。南运河上有金华桥，于牙河上有西河桥，海河上有全钢桥、全汤桥、解放桥。这些都是开合桥。为什么天津有这样多的开合桥呢？对陆上交通说，过河有桥，当然是再好没有了。但是河上要行船，有了桥，不但航道受限制，而且船有一定高度，如果桥的高度不变，水涨船高，就可能过不了桥。要保证船能过桥，就要在桥下预留一个最小限度的空间高度，虽在大水时期，仍然能让最高的船通行无阻。这个最小限度的空间高度，名为“净空”，要等于河上航行的船的可能最大高度。根据河流在洪水时期的水位，加上净空，就定出桥面高出两岸的高度。如果河水涨落差距特别大，如同天津的河流一样，那么，这桥面的高度就很惊人了。桥面一高，就要在桥面和地面之间造一座有坡度的“引桥”，引桥不仅增加了桥梁的造价，而且对两旁的房屋建筑非常不利。这在城市规划上成了不易解决的问题。这便是水陆文通之同的一个矛盾。为了陆上交通，就要有正桥过河，而正桥就妨碍了水上交通；为了水上交通，就要有两岸的引桥，而引桥又妨碍了陆上交通，因为上引桥的车辆有的是要绕道而行的，而引桥两旁的房屋也是不易相互往来的。在都市里，除非长度有限，影响不大的以外，引桥总是一种障碍物，应当设法消除。开合桥就是消除引桥的一种桥梁结构。天津开河桥多，就是这个原因。开合桥的种类很多，一种是“平旋桥”，把两孔桥联在一起，在两孔之间的桥墩上，安装机器，使这两孔桥围绕这桥墩在水面上旋转九十度，与桥的原来位置垂直，让出两孔航道，上下无阻地好过船。一种“升降桥”，在一孔桥的两边桥墩上，各立塔架，安装机器，使这一孔桥能在塔架间升降，就像电梯一样，桥孔升高时，下面就可以过船了。一种是“吊旋桥”，把一孔桥分为两叶，每叶以桥墩支座为中心，用机器转动，使其临空一头，逐渐吊起，高离水面，这样两叶同时展开，就可让出中间通道，以便行船。一是“推移桥”把一孔桥用机器沿着水平面拖动，好像拉抽屉是一样，以使让出河道行船。开合桥桥面不必高出地面，不用引桥，但开时不能走车，合时不能通船，水陆交通不可同时进行。特别是，桥在开合的过程中，既非全开，又非全合，于是在这一段时间里，水陆都不能通行，这在运输繁忙的都市，如何能容许呢？因此，在桥梁史上，开合桥虽曾风行一时，但在近数十年来，就日益减少了。那么，开合桥怎样才能更好地服务呢？应当说，有几种改进的可能：一是将桥身减轻，改用新材料，使它容易开动；二是强化桥上的机器，提高效率，大大缩减开桥合桥的时间；三是利用电子仪器，使桥的开合自动化，以期达到每次开桥时间不超过3分钟，如同十字道口的错车时间一样。这些都不是幻想，也许在不久的将来就会实现。（有删改）18．下列对文中“引桥”的理解，不正确的一项（3分）A．引桥是建造在河的两岸有一定坡度的桥，其作用是引导车辆驶上正桥。B．在设计引桥时，需要综合考虑空间高度、桥梁造价、城市规划等因素。C．引桥方便了水上交通，但会妨碍陆上交通，因为上引桥的车辆必须绕道。D．在都市里，长度过长、影响太大的引桥是一种障碍物，应该设法消除。19．下列对原文内容的概括和分析，不正确的一项是（3分）A．开合桥成为天津的“特产”，与天津河流水位涨落差距特别大密切相关。B．建桥时，正桥桥面高出两岸的高度等于河流平时的水位加上桥的净空。C．除平旋桥之外，升降桥、吊旋桥、推移桥这三种都属于一孔桥。D．改进开合桥的关键是尽可能缩减桥的开合时间，提高通行效率。20．请结合全文，概括开合桥的优缺点。（6分）八、作文（70分）21．根据以下材料，选取角度，自拟题目，写一篇不少于800字的文章；除诗歌外，文体自选。物各有性，水至淡，盐得味。水加水还是水