刘佳
摘要:网络安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏、篡改和泄露,保证网络系统的正常运行、网络服务不中断。从当前校园网建设中存在的诸多问题出发,对威胁局域网安全的因素进行了分析,提出了构建局域网网络安全体系方案。
关键词:局域网;安全技术;入侵检测;病毒防治;MAC地址和IP地址;防火墙
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)05-1030-02
1安全威胁的因素
随着互联网建设的不断发展,校园网的建设在全国各高校已经越来越普及,网上教学、网上办公、网上信息发布等校园网络信息服务越来越广,校园网的安全问题也逐渐暴露出来。计算机安全问题逐步成为计算机界关注和讨论的焦点。如何构架安全的校园网络环境,保证关键数据的安全性及各类信息的准确性,使校园网安全、稳定、高效地运转,已成为各高等院校越来越重视的问题。
1.1来自互联网的安全威胁
由于局域网与INTERNET是互联的,因此为局域网带来了一系列的安全问题,如果局域网没有采取严格的防范措施,很容易遭到来自互联网的攻击,如窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、射频截获、计算机病毒、木马程序等。
1.2来自局域网内部的安全威胁
网络攻击不仅仅来自于外网,有的局域网内部的攻击更为隐蔽、目标性更强。影响局域网安全的因素很多,如系统存在的漏洞,系统安全体系的缺陷,使用人员薄弱的安全意思及管理制度等,诸多的原因使网络面临的威胁日益严重,我们把威胁局域网的网络安全的因素概况起来,主要分成以下几类:
1.2.1具有欺骗性质的软件降低数据安全性
局域网的作用之一是资源共享,但由于共享资源的数据开放性,容易导致信息的篡改和删除,数据的安全性较低。例如“网络钓鱼攻击”,它利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。
1.2.2服务器区域没有进行独立防护
服务器是IT系统中的核心,因此服务器的安全问题是需要引起重视的。如果不对服务器区域进行独立保护,其中一台电脑感染病毒,并且通过它传染给服务器,那么局域网中其他的电脑也将会感染病毒。对服务器进行保护,避免服务器遭受恶意的攻击。
1.2.3计算机病毒及恶意代码的威胁
计算机病毒,是指编制或者计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并自我复制的一组计算机指令或程序代码。随着网络的普及,网络已经成为病毒传播的最佳途径,病毒具有破坏性、隐蔽性、持久性,传染性等特点,病毒的侵入会对系统资源构成威胁,严重时可以使整个计算机网络处于瘫痪状态,从而影响系统的正常运行。
1.2.4局域网用户安全意识不强
局域网用户安全意识不强,使用移动存储设备来进行数据的传递,这样一来容易将病毒带入局域网内,另外将自己的账号随意转借他人或与别人共享等行为都将对网络构成威胁。管理员可以通过对用户的权限分配,限制用户的某些行为,避免故意或非故意的破坏,但是依靠管理员并不是解决之道,提高局域网用户的网络安全意识,共同参与网络安全维护,构建一个健康安全的网络环境。
1.2.5 IP地址冲突
局域网用户在同一个网段内,经常造成IP地址冲突,造成部分计算机无法上网。对于局域网来讲,此类IP地址冲突的问题会经常出现,用户规模越大,查找工作就越困难,所以管理员必须加以解决。正是由于局域网内这些特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。
2校园网的现状
校园网群是以校园网为基本单元构成的网络群体。通过对校园网的现状进行分析,了解校园网安全隐患的来源。为校园内的
网络安全提供更加完善的解决方案,以确保为广大师生提供一个安全稳定的网络环境。
2.1开放的网络环境
校园网络环境是开放的,管理也是较为宽松的。企业网可以限制允许Web浏览和电子邮件的流量,甚至限制外部发起的连接介入网内,但是在校园网环境这些维护方案通常是行不通的,校园网的网络环境是宽松开放的,不能实施过多的设置。
2.2活跃的用户群体
学校局域网的群体大多是面对学生,对网络充满好奇,勇于尝试。有些学生会尝试使用网上学到的,甚至自己研究的各种攻击技术,甚至有些学生会学着黑客去攻击校园网的DNS服务器。而这些行为会对网络造成一定的影响和破坏,甚至严重时会造成网络瘫痪。
3局域网安全控制策略
针对校园网的各种安全隐患,深人分析产生这些安全问题的根源以及随时出现的网络安全需求,采取相应的网络安全防范策略,从而构架一个安全、通用、高效的校园网络系统。
3.1采用防火墙技术
防火墙系统是一种网络安全部件,是建立在现代通信网络和信息安全基础上的安全技术,它可以是硬件,也可以是软件,也可能是软件和硬件的结合,它通常安装在单独的计算机上,与网络的其余部分隔开,它使内部网络与Internet之间或与其他外部网络互相隔离,限制网络互访,它不仅能保护网络资源不受外部入侵者的接近,还可以拦截从被保护网络向外传送有价值的信息。由此可以说防火墙系统可以说是网络的第一道防线。采用防火墙技术发现及封阻应用攻击所采用的技术有:1)深度数据包处理。2)IP/ URL过滤。3)TCP/IP终止。4)访问网络进程跟踪。
3.2病毒防治
安装杀毒软件,监测所有运行在局域网络上的计算机,防止病毒的侵入,防范是对付计算机病毒最有效积极的措施,要比发现和消除病毒更重要。其次,利用反病毒软件及时发现病毒入侵,对它进行监控、跟踪等操作,以保证网络的安全。
3.3服务器系统安全
1)服务器区域进行独立防护。2)禁用某些不必要的服务。3)关闭某些不必要的端口。4)打开审核策略。
3.4提高局域网用户安全意识
提高局域网内部人员的安全意识,做好相应的防范工作,有效杜绝病毒感染。就可以大大降低网络威胁,保证局域网的安全性,具体来说,做到以下几点:3.4.1病毒、黑客程序可以通过移动存储设备,邮件,浏览网页,下载软件等进行传播,所以不要打开来历不明的电子邮件,不随便运行别人传来的程序,避免下载不知名的软件和游戏,以防止不小心运行了黑客的服务器程序。3.4.2按照安全规定操作,不要将自己的账户随意转借他人或与别人共享,避免对网络安全带来威胁。3.4.3尽量不暴露自己的IP,保护自己的IP地址很重要,事实上即使你的电脑中了木马,如果没有你的IP,攻击者也没有办法,所以保护IP的最好办法是设置代理服务器。
3.5绑定MAC地址和IP地址
标识网络中的一台计算机,一般至少有3种方法,域名地址、IP地址和MAC地址,分别对应应用层、管理层、物理层,网络管理一般是对IP地址进行管理,但因为IP地址用户可以自行更改,不便于管理,mac是网卡唯一编号,是厂商生产的网卡的地址,而MAC一般难以更改,所以将IP地址和计算机绑定在一起,可将用户的使用权限和机器的MAC地址绑定起来,限制用户只能在固定的机器上网,保障安全,防止帐号盗用,IP和MAC绑定还可以保护路由器和网络不受IP欺骗的攻击,防止计算机乱发伪造的ARP数据包,是解决ARP攻击的最好办法。具体操作如下:进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:ARP-S空格IP地址空格MAC地址。列,ARP -s 10.88.56.72 00-10-5C-AD-72-E3,即可把MAC地址和IP地址捆绑在一起。这样,就不会出现IP地址被盗用而不能正常使用网络的情况,可以有效保证局域网内的安全和用户的应用。
3.6及时安装系统补丁
恶意攻击者利用计算机漏洞,在电脑中植入木马程序或病毒。所以及时的安装系统漏洞补丁,就可以有效的防止病毒入侵你的电脑。
3.7网络入侵检测系统
网络入侵检测系统也叫网络实时监控技术,它通过硬件或软件对网络传输进行即时监视,并对威胁进行分析和策略反应,一旦发现有被攻击的迹象,立刻做出反应,如切断网络连接,或者通知防火墙系统并对入侵数据包进行隔离过滤等,及时阻止侵入来源,主动保护免受攻击。它是继防火墙后的第二道安全屏障。入侵检测分为主动检测和被动检测,被动检测就是被攻击后使用检查日志,而主动检测则是有目标地查找攻击并对这些攻击阻止。有事件查看器,端口扫描,转储日志工具等。
4总结
局域网安全隐患及防治是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,说以网络安全技术在校园网系统中的运用是必须和非常重要的,计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。
参考文献:
[1]钟平.校园网安全防范技术研究.[DB].CNKI系列数据库,2007.
[2]王秀和,杨明.计算机网络安全技术浅析[J].中国教育技术设备,2007(5).
[3]李辉.计算机网络安全与对策[J].潍坊学院学报,2007(3).
[4] Roberta bragg.Mark Rhodes-Ousley.网络安全完全手册[M].北京:电子工业出版社,2010.
[5]葛秀慧,田浩,王凌云,等.计算机网络安全管理[M].北京:清华大学出版社,2010.
[6]戚文静.网络安全与管理[M].北京:中国水利水电出版社,2011.
[7]廖晓峰,李学明,张伟.计算机网络与信息安全[M]贵阳:贵州人民出版社,2004:167-169.