摘 要:简要论述了校园网络安全的表现形式,影响网络安全的主要因素,以及如加强网络安全管理,主要分析了arp病毒。
关键词:校园网络;网络安全;安全管理;arp病毒
1 校园网络安全的表现形式
1.1 不良信息的传播
在校园网接入internet后,师生都可以通过校园网络在自己的机器上进入internet。而internet上各种信息良莠不齐,色情、暴力、邪教内容泛滥,如果控制不好,对学校各社会造成很大的影响。
1.2 病毒的危害
病毒可以通过电子邮件、软件下载、文件服务等侵入网络内部,它们动辄删除、修改文件,导致程序运行错误、死机,网络的普及为病毒检测与消除带来很大的难度,成为校园网络安全发展的一大公害,尤其是在局域网中流行的arp病毒,使得校园网内部防不胜防。
1.3 非法访问
学校来自外部的非法访问的可能性要少一些,关键是内部的非法访问。一些学生可能会通过非正常的手段获得习题的答案,更有甚者,可能在考前获得考试内容并散布,严重地破坏了学校的管理秩序。
1.4 恶意破坏
这包括对网络设备和网络系统两个方面的破坏。网络设备包括服务器、交换机、集线器、路由器、通信媒体、计算机等,它们分布在整个校园内,管理起来非常困难,有些人员可能出于各种目的,有意或无意地将它们损坏,造成校园网络全部或部分瘫痪。另一方面是黑客技术对校园网络系统的破坏,主要表现在以下几个方面:对学校网站的主页进行修改;破坏学校整体形象;利用黑客软件向服务器发送大量信息垃圾使整个网络陷于瘫痪;利用学校的邮件服务器转发各种非法的信息使邮件服务器不能正常工作等。wwW.11665.cOM
1.5 盗用ip地址
为管理方便,每台工作站都有专用的ip地址并禁止非授权ip工作站连入互连网络,有些人员为达到访问internet的目的,私自配置ip或盗用已有帐户的ip,造成ip管理混乱。
2 威胁校园网络安全的因素
2.1 物理因素
从物理上讲,校园网络的安全是脆弱的,任何个人或部门都不可能时刻对这些设备进行全面监控,从而造成通信问题。
2.2 技术因素
目前的校园网络大都是利用internet技术构建的,是完全非赢利性的信息共享载体,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在,比如我们常用的操作系统,众多的服务器、浏览器、一些应用软件等等都被发现过存在安全隐患。另外,校园网上没有采取正确的安全策略和安全机制,也是威胁网络安全的重要因素。
2.3 管理因素
严格的管理是校园网安全的重要措施,但很多学校都疏于这方面的管理,对网络的管理思想麻痹,对网络安全保护不够重视。
2.4 使用者因素
校园网络是以用户为中心的系统,管理人员可以通过对用户的权限分配,限定用户的某些行为,以避免故意的或非故意的某些破坏。
3 加强校园网络安全管理的措施
3.1 设备安全
在校园网规划设计阶段就应该充分考虑到网络设备的安全问题,将一些重要的设备做好明显标记,防止无意损坏。
3.2 技术保证
目前,网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、身份验证、存取控制、数据的完整性控制和安全协议等内容,针对校园网来说,我们觉得最主要应该采取以下一些技术措施:
(1)运用内容过滤器和防火墙。
过滤器技术可以对网上色情、暴力和邪教等内容有强大的堵截功能,防火墙技术包含了动态的封包过滤、应用代理服务、用户认证、网络地址转换ip防假冒、预警模块、日志及计费分析等功能,可以有效地将内部网与外部网隔离开来,保护校园网络不受未经授权的第三方侵入。
(2)运用vlan技术。
对于校园网络可以运用vlan技术来加强内部网络管理,根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。对于tcp/ip网络,可把网络分成若干ip子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。
(3)杀毒软件。
选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播,这些软件应支持所有的主流平台,用户上网时加强防病毒意识,单机要加装防病毒软件、防火墙,并及时进行病毒库的更新。
(4)系统保证。
网上大部分攻击是针对服务器系统的,如电子邮件、匿名ftp、/pc/">计算机的网络ip地址转化为物理mac地址。arp协议对网络安全具有重要的意义。在校园网中,网络中实际传输的是“帧”,帧里面是有目标主机的mac地址的。在网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的mac地址。但这个目标mac地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标ip地址转换成目标mac地址的过程。arp协议的基本功能就是通过目标设备的ip地址,查询目标设备的mac地址,以保证通信的顺利进行。
4.2 arp病毒的防治
(1)使用静态缓存,在操作系统中,设置arp静态映射,当然设置静态arp缓存表只能防范arp请求其骗,无法防范arp应答欺骗。而且当某一个主机拥有的物理地址更换的时候,需要全部重新定义静态缓存。
(2)交换机端口绑定,每个端口和一个固定的mac地址绑定,优点基本同使用静态缓存,但是只是具有网管功能的交换机才可以,工作量大。
(3)使用arp代理服务器,在服务器上配置所有mac地址和ip的映射表,同时将其它主机和arp响应设置为只响应来自arp代理服务器的应答。
(4)可以通过防火墙和修改系统的ip策略,拒收icmp重定向报文。
(5)建立虚拟局域网。在交换机上设置虚拟局域网,在虚拟局域网的端口上设置广播隔离防止arp。
