校园网络安全防御方法(共7篇)
校园网络安全防御方法 篇1
0 引言
随着网络技术的飞速发展和社会信息化进程的加快,以网络技术为核心的现代教育技术在高等教育领域应用非常普遍。高职院校作为高等教育重要组成部分,也充分利用了网络技术。但高职校园网络建设起步普遍较晚,受技术、资金和社会因素的影响,校园网络存在很多安全缺陷,经常受到黑客、恶意软件或病毒的攻击,来自校园内部和外部的恶意入侵和非法访问事件时有发生,并呈现出上升的趋势,因此必须要有行之有效的网络安全防御措施,来保证高职校园网络安全高效的运行。
1 高职校园网安全所面临的问题
当前,绝大部分高职院校办学经费紧张,在网络软硬件投入严重不足。并且大多数高职校园网络通过CERNET与IN-TERNET相连,面临着遭遇来自外部互联网攻击的风险。同时,高职校园网连接学院各个部门和校内学生机等,一些企业办学的院校还连接企业内部网络,加上管理上的疏漏,因此也面临着来自校园内部的安全威胁。总之,高职校园网络安全问题主要有:
1.1 高职校园网软硬件投入不足
长期以来,高职院校计算机网络建设普遍存在对网络安全所需的软硬件设施的投入严重不足,重技术、轻安全、轻管理。现在网络病毒、黑客工具的泛滥,也促使计算机网络设备更新速度非常快,不断地对网络安全防范措施提出新的要求,一些旧的网络安全设备已不能防范现在黑客和恶意软件的攻击。大多数高职院校因为办学经费紧张不能持续投入大量资金改善网络安全所需的软、硬件设施,致使加强高职校园网络安全的防范无法到位。
1.2 内部攻击
随着网络技术的发展和个人计算机的普及,绝大多数高职院校学生公寓都与互联网相连,但上网学生安全防范意识良莠不齐,有些学生对于一些安全防范观念、技术一无所知。另一方面高职院校学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索新知识冲劲,却缺乏全面思考的责任感,加之高职院校对学生上网行为没有有效的规范和约束。相关数字显示,目前高职院校校园网遭受的恶意攻击,90%来自高职校园网络内部。
1.3 外部互联网的攻击
1.3.1 病毒攻击
高职校园网络一般都通过CERNET与Internet相连或直接,在Internet上有许多共享软件、免费软件和其他应用软件,然而他们也有可能带有一些病毒。计算机病毒一直是计算机安全的主要威胁。病毒的种类和传染方式也在增加,现在其种类已达上万。
1.3.2 黑客攻击
随着互联网黑客技术的飞速发展,黑客的攻击无时无刻不在进行,他们利用网络系统和管理上的漏洞,进行信息的窃取,篡改,或者对网络本身进行攻击,网络世界的安全性不断受到挑战。高职校园网络普遍起步晚,管理也比较松散,校园网络安全具有致命的脆弱性和易受攻击性。
1.4 高职校园网管理上的漏洞
管理在一个网络中是非常重要的。如果责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理上的安全风险,例如让一些非本地人员或外来人员进入网络,而管理上没有相应的制度来约束。
高职校园网的用户群体多,网络承担的数据量大,接入校园网节点在不断地增多,很容易造成网络风暴和病毒传播。绝大多数高职学院对上网场所管理比较混乱,缺乏网络行为约束、网络管理软件、日志记录,更缺乏有效监控和管理,上网用户的身份根本无法识别,存在极大的安全隐患。
2 高职校园网安全管理措施
由上面的分析可以看出,构建安全的高职校园网络需要解决以下三个关键问题:(1)如何加强内部人员特别是学生上网的道德教育,提升学生的计算机水平,对学生的上网行为有效的监控。(2)如何保证所有接入网络的终端设备(用户PC、服务器等)是安全可信的,只有保证每一台网络终端设备的安全才能确保网络整体的安全,做到无懈可击。(3)如何能够将网内所有的网络设备(路由器、交换机、防火墙等)有效加以整合,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,提升网络的可控制、可管理性,提高网络安全的水平。
2.1 增强网内用户网络安全意识
人在网络安全中起着决定性因素,重视校园网络安全首先要培养人的网络安全意识,从每一个学生、每一个员工做起。面对充满变数的互联网网络环境和日益严峻的网络安全形势,高职校园网络用户应采取以下措施进行防范:(1)安装个人防火墙软件,拦截一些常见的破坏行为;(2)安装网络版杀毒软件,及时防范病毒入侵;(3)勤打操作系统和应用程序补丁,不给破坏者提供机会。
2.2 设计健壮扩展性好网络体系
网络应用是建立在网络硬件建设的基础上,高职校园网络要具有强大的安全的防御能力,必须要有一个健壮扩展性好的网络硬件环境,因此高职校园网需要合理的规划和运营。
(1)首先设计健壮扩展性好的校园网是建立在网络硬件建设的基础上,各高职院校根据自己院校的实际情况,在综合布线时要注意设备的可扩充性,以便于以后系统需要发展时,可以有充分的余地将设备扩展进去。(2)根据各高职院校的情况,进行合理的运营收费,依靠市场化的手段能够推动校园网的运作规范化和提高建设水平。
2.3 优化网络维护策略
维护高职校园网络的安全,必须采用多方面技术来保障。其一在路由和核心交换机之间部署1套防火墙实现防火墙、VPN等功能。配置流量整形网关,实现应用层的流控管理和用户上网行为控制,可根据各种策略、以及不同时间段实现针对BT、P2P应用、电游、QQ、MSN、数据库、视频等关键应用业务进行控制、分类统计和分析。记录并可分析查询用户的上网行为日志,包括记录访问的URL、BBS帖子的内容等。其二,为了实现网络的安全可运营管理,划分合理的VLAN,部署一套认证系统,既能完成对用户的认证,同时还可与第三方软件联动。
2.3.1 防火墙
防火墙可以抵御外来非法用户的入侵,是内部网络和外部网络之间的一道安全屏障,外部网络用户的访问必须先经过安全策略过滤,而内部网络用户对外部网络的访问则无需过滤,防火墙允许网络管理员定义一个中心点来防止非法用户进入内部网络,可以很方便地监视网络的安全性并报警。
2.3.2 流量控制
一般的流控设备都可以为网络链路划分多个虚拟带宽通道,能够实现最大带宽限制、保证带宽、带宽租借、带宽配额、应用优先级、随机公平队列等一系列带宽管理功能,能够有效的检测和防止不正常应用对网络带宽资源的非正常消耗,保证关键应用带宽,限制非业务应用带宽,能改善和保障了高职校园网络应用的服务质量。
2.3.3 日志审计
当前解决网络安全问题的主要手段是在网络中增加防火墙、防病毒软件等网络安全设备。而日志数据则详实地记录了系统和网络的运行事件,是安全审计的重要数据,所以拥有日志服务器也是保证高职校园网络安全的有效措施。
2.3.4 VLAN安全设计
虚拟局域网(VLAN)可以有效的控制网络广播,提高网络的安全性,如限制网络计算机之间相互访问的权限,可以实现有效的网络监控,实现不同地域部门内的局域网通信。根据实际需要划分出多个安全等级不同的区域,合理地进行安全域的划分,对网络进行初步的安全防护。
2.3.5 用户身份管理
在高职校园网建立成熟可靠的网络身份管理体系,确保入网用户身份的合法有效,将非法用户隔离在内网大门之外,也是有效的网络安全防御措施。
2.3.6 网络设备与第三方软件联动
(1)第三方杀毒软件联动。如果网络设备能够通过和第三方杀毒软件的联动,强制入网用户必须正常安装、运行指定的杀毒软件。对于杀毒软件检测未通过的用户,将视情况进行警告、隔离处理。(2)与微软WSUS联动进行Windows补丁更新。WSUS是微软提供的免费Windows补丁自动更新系统,网络设备能够与内网的WSUS服务器进行联动,引导用户使用WSUS的服务进行Windows补丁自动更新,帮助内网的用户主机及时更新操作系统补丁,避免因为操作系统漏洞带来的安全隐患威胁。
2.3.7 数据安全
按时备份数据是一种简单但又十分重要的保证数据完整性的方法,网络管理人员可以根据实际情况选择完全备份、增量备份和差分备份。在实际应用中,备份策略通常是以上三种的结合。网络数据备份系统的建成,对保障系统的安全运行,保障各种系统故障的及时排除和数据库系统的及时恢复起到关键作用。
2.4 做好IPV4向IPV6过渡的准备工作
随着Internet的规模以近乎于指数的趋势增长,40亿个IPv4的地址已经用掉了3/4,IPv4的地址空间面临即将耗尽的危险,整个互联网从IPv4向IPv6过渡势在必行,因此高职院校也要提前做好IPv4向IPv6过渡的准备工作。
实现由IPv4向IPv6过渡的一种办法是先将整个网络的一小部分升级为IPv6网,IPv6网将被大量IPv4网所包围。此时可采取IP网中的节点不支持IPv4、但在网络边界处的节点必须支持IPv4的策略,这样IPv6的内部节点能相互直接通信并通过适用双IP的路由器经由隧道与其他IP网通信。
另一种办法是将各个独立的节点升级使之支持IPv6与IPv4两种IP版本,那么这些节点就可以通过(下转第92页)(上接第78页)各自的节点链路直接通信或通过隧道与远程IPv6/IPv4节点通信,这种方案允许某些单位为了访问远程的IPv6节点与网络而将其网络中的一些节点进行升级,但其缺点是需手工配置。
这种过渡与顺序无关,即可先对主机升级,也可先对路由器升级,甚至也可以将部分主机与部分路由器同时升级。各高职院校可根据自己的实际情况进行重点逐步的升级。
3 总结
高职校园网络的安全问题,不仅是设备和技术的问题,更是管理的问题。网络管理人员应注重对教师和学生网络安全的培训,提高他们的上网安全意识,加强他们网络安全技术。而且制定一套完整的规章制度来规范上网教师和学生的行为,也是保障高职校园网络安全的重要防御措施。
摘要:随着网络技术的飞速发展,高职校园网络信息化规模不断扩大,由于计算机网络所具有开放性、分布性、互联性和自由性的特点,高职校园网络不可避免地遭遇着来自内部和外部的安全威胁。本文从安全意识、资金投入、技术、管理等方面分析了高职校园网络存在的安全隐患,并提出了相应的防御措施。
关键词:高职院校,网络安全,防范措施
参考文献
[1]刘少明.高职院校校园网安全体系的构建与思考[J].福建电脑,2006(2):38-42.
[2]胡献泽,陈辉.浅议高职校园网络安全策略[J].淮南职业技术学院学报,2007(3).
[3]吕玉珠.计算机与信息技术[J].广西轻工业,2009(5).
[4]陈辉.高职校园网络安全防范对策[J].淮南职业技术学院学报,2009(1).
浅谈校园网络安全防御策略 篇2
一、学校校园网系统的具体情况
1. 就以往的安全管理来看,以整体防御确保每一台计算机的安全对于学校来说只存在理论的可能性,实践起来较为困难;
2. 学校只有一个专职网管人员而且脱离教学任务,对实际情况掌握的不是很熟悉。只能完成网管中心的局部安全;
3. 就功能而言,学校的计算机网络可分为4大类型:教师集中办公的微机网络、学生上机的微机网络、网管中心网络、学校职能部门例如档案室、会计室、校长室、试卷库等部门网络;
4. 学校了解网络安全的专业教师非常多,而且专业各有特长;
5. 网络安全课程必须开设,内部攻击不能从制度上禁止。
6. 分区防守,增强“壁垒”。
二、建立校园网络安全体系结构
建立符合安全体系结构的校园网络主要是根据所需要保护的校内系统资源, 对该资源攻击者的假设攻击及其攻击的目的技术手段以及造成的后果来分析该系统所受可能的和相关的威胁并考虑到构成系统各个部件的缺陷和患共同形成的风险, 然后建立起系统的安全需求, 建立校园网络安全体系结构的目的, 是从管理和技术上保证安全策略得以完整准确的实现, 安全需求全面准确地得以满足, 包括确定必须的安全服务安全机制和技术管理, 以及它们在校园网络系统上的合理部署和关系配置图等。
三、校园网络安全防御策略
1. 由专业教师包括网管在内组成网络安全小组负责校园网络安全。小组成员根据专业方向的不同负责对威胁网络安全因素的具体防守,从人员方面加强力量。
2. 针对功能不同的网络,例如教师网络、学生网络等进行网络分段,分区域进行防守,不同区域根据安全问题的不同侧重采取相应的网段安全策略。
3. 整个网络安全体系由主防火墙和子防火墙一起构成。主防火墙由网管负责,进行网络整体防守。子防火墙由专业老师具体负责,配置到具体网段进行区域防守。
4. 不同的区域就是网段配置不同的五大安全部件,在防火墙、防毒墙、身份验证、传输加密、IDS/IPS几个方面区别配置来适应不同区域的具体要求。
以上我谈的校园网络安全防御策略主要是分区域防守与增强网段“壁垒”的总体安全策略。我们在具体实施之后发现网络安全有以下几点可喜的变化:
1.校园整体网络安全有所提高,不同区域的网络安全由具体人负责,责任到人,相关网络安全问题可以快速解决。
2.因为专业人员的方向不同,负责不同区域的防守个人的专业特长有所体现,处理问题得心应手。
3.在出现安全问题时可以轻松做到尽量减少损失。在损失掉一个区域之后其他区域仍有很强的安全性,以往整个网络同时出现一种安全问题的现象基本杜绝。
4.成立了安全委员会后,负责不同防守任务的人员互通情况相互促进学校安全人员的技能和素质有很大的提高。
四、集群堡垒主机策略在校园网络的安全防御体系
安全策略是指在特定的网络运行环境中,外保证提供一定级别的网络安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相应的法律,安全策略决定采用何种方式和手段来保障网络系统的安全是网络安全体系的基础和核心。
1. 设计思想
集群堡垒式防御策略式在制定合理, 符合数字化校园建设的校园网安全于防范整体规划下提出的, 在有限资金投入的情况下制定高校灵活多便的安全策略式集群堡垒式防御策略的突出表现.文中已阐述校园网的安全威胁主要来自内部网, 如何解决来自内部网的安全威胁是该课题研究的重点。如何把集群堡垒主机安全管理经验及相关试验数据文档纳入高校计算机网络安全教学活动中, 是该课题研究的内容。
2. 防范措施含缺点
因为这种网络布置比较简单,易于管理,网络管理员只要根据各个节点反馈回来的安全问题,对防火墙加以严格的规则设置,或做适当的修改,就能解决整个网络出现的安全问题。但是,这种网络的缺点也很明显,当网络发生大规模的蠕虫病毒攻击,ARP攻击。大量的P2P流量时,防火墙的数据包过滤处理会出现高峰甚至会导致拒绝服务,这时整个网络的互联网惟一出口将被阻断。
3. 集群堡垒主机防御对该策略的改进
大规模的网络攻击都是分布式的,分布式防御是防止网络攻击的一种手段。集群堡垒式防御策略式分布式防御的一种表现。在各个主要节点布置堡垒主机,设置类似防火墙规则,分担防火墙的数据包过滤,或在各个主要节点架设防毒墙(病毒网),在病毒未到达防火墙实施拦截。
摘要:计算机网络诗信息社会的基础, 已经进入社会的各个角落。然而, 网络的开放性无边界性自由性, 使网络存在严重的安全威胁。作者对目前高校校园网安全与防范策略进行分析和论述, 并结合自己校园网络安全实践工作经验, 提出了校园网络安全防御策略的一些观点。
校园网络安全防御方法 篇3
随着计算机网络的飞速发展和计算机应用范围的不断扩大, 各大高校为了方便教学资源管理, 相继加入校园网络。校园网络的普及为教师和学生的学习、工作和生活带来了方便, 但也为校园安全带来了不少隐患。例如各种各样的病毒, 如网络蠕虫、黑客木马、网络钓鱼等, 为了应对这些网络中存在的安全隐患, 必须采取一些必要的安全性措施对校园网络进行有效管理, 如运用各类与网络安全相关的网络协议和防火墙技术, 如ARP防御技术, 成为首要维护校园网络安全的技术手段。
2 ARP协议和基本工作原理
ARP (Address Resolution Protocol, 地址解析协议) 是把计算机的网络地址 (IP地址) 转变成物理地址 (即MAC地址) 的一个TCP/IP协议。它工作于OSI模型中的数据链路层, 是TCP/IP协议中最底层的协议之一。
ARP协议工作原理分为两种状态:
第一种状态:同一网络中, 选取两台计算机, 分别命名为计算机A和计算机B, 假定计算机A的IP地址为10.10.51.34, 网卡地址MAC为00-55-44-33-22-01;计算机B的IP地址为10.10.51.35, 网卡地址MAC为00-55-44-33-22-02。当计算机A要与计算机B进行通信, 计算机A就先查找自身的ARP缓存, 检索是否有计算机B的MAC地址, 如果存在就可以直接进行通信, 如果不存在, A机就广播一个ARP请求, 请求含有A机的IP地址和网卡地址MAC以及B机的IP地址, 在该本地网络中的所有计算机都会接收到这个请求, 在正常的情况下只有计算机B会回应这个ARP请求, 并在这个请求中加入B机的网卡地址MAC, 并回复给A机, 当A机收到回复后, 就会与B机建立通信。计算机A和计算机B分别会更新自己的ARP缓存, 为通信提供方便。
第二种状态:在远程网络中, 选取计算机C和计算机D, 计算机C的IP地址为202.116.1.1, 网卡地址MAC为00-55-44-33-22-03;计算机D的IP地址为200.116.1.1, 网卡地址MAC为00-55-44-33-22-04。当计算机C与计算机D进行通信, 先查找路由表中D机对应的路由地址, 如果没有, 就采用默认网关, 然后在ARP缓存中查找该网关对应的网卡地址MAC, 如果有, 就进行通信, 如果没有, ARP将广播一个包含网关地址而不是计算机D的IP地址的请求。路由器用自身的网卡地址MAC响应计算机C, 并获取C机的MAC地址, 如果此网关的网卡地址MAC不在ARP缓存中, 则通过ARP广播获得。一旦它获得MAC, ICMP响应就送到路由器上, 然后传回计算机C。
3 遭受ARP攻击的后果
在校园网中, 通过ARP协议层攻击网络是校园网络遭受攻击的常见现象。在没有完善网络安全防范措施的情况下, 校园网中出现攻击ARP协议层, 会导致整个校园网络瘫痪, 用户无法正常使用网络, 信息被攻击者截取, 大量个人安全信息泄漏, 使原来设置的的“客户—网关”模式变成“客户—攻击者—网关”模式。
因为ARP缓存有生存时间, 超时后会重新刷新, 因此校园网会间断性出现掉网现象, 这是因为校园网受到一次ARP攻击后, ARP表信息被修改, 与网关失去联系, 网络终端计算机就会断网;当ARP缓存超时后, ARP表被刷新, 使网络终端计算机能正常和网关联系, 所以终端计算机又能连接到网络。
4 ARP攻击原理
ARP所有活动都与ARP转化表结合, 该表会被主机在一定的时间间隔后刷新, 这个时间也是ARP高速缓存的生存时间, 一般为10分钟。恶意攻击者完全可能利用这个时间段发送一个带有欺骗性的ARP请求和回答, 来改变另一个主机ARP高速缓存中的地址映射 (即IP与MAC的对应关系) , 使得被攻击的主机地址解析时发生错误结果, 导致所封装的数据被发往入侵者希望投送的目的主机。
一般来说主机在发送一个IP包前, 要在自身ARP转化表中查找IP包中对应的MAC地址, 如果没有找到, 主机会广播一个ARP包, 然后刷新自身的ARP缓存, 接着发出IP包。攻击原理图如图1所示。
ARP协议并不是只在发送了ARP请求才接收ARP应答, 恶意攻击者可以制作一个ARP响应包, 发送给想要攻击的主机, 通过假的ARP请求来修改主机中动态的ARP缓存实现ARP攻击;接着攻击者会在该网络中不断发送广播, 诱使其他计算机认为攻击者主机是网关, 把信息发到攻击者的计算机上, 正常的信息就不能到达正确的网关, 也导致被诱骗的计算机断网。与此同时, 如果攻击者计算机诱骗网关, 使网关确认攻击者计算机是该网络中的任意一台计算机, 使网关把其他计算机发送的信息发给了这台虚假的计算机, 那么相关的信息就会被窃取, 使整个网络出现安全隐患。受到ARP攻击的计算机一般会出现两种情况:
1.在主机窗口中不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。;
2.计算机无法正常上网, 网络中断。
5 ARP攻击的防御解决方法
5.1 设置静态的ARP转化表
在网络内通过主机IP地址和网关进行IP地址和MAC绑定。ARP遭受攻击是由攻击者计算机通过改变ARP动态实时的规则诱骗局域网内机器实现的, 把ARP全部设置为静态可以解决攻击者对局域网内计算机的诱骗, 同时在网关进行计算机IP地址和网卡地址MAC的静态绑定, 实现双向绑定。设置方法如下:
通过命令“arp-s”实现对每台主机进行IP地址和MAC地址静态绑定。
例:“arp-s 10.10.51.82 AA-AA-AA-AA-AA-AA”。
如果设置成功会在主机通过执行arp╞a看到相关的提示:
这个操作方法对于只有少数主机的校园局域网来说是非常可靠的, 但是对于主机数量大的校园局域网, 如果每一台都进行双向静态绑定, 工作量是非常大的;而且如果网络中部分存在主机是移动设备时, 就不能采用这种方法。
5.2 运用ARP防火墙软件防御
目前比较主流的ARP防火墙软件有:360ARP防火墙、金山防火墙、瑞星防火墙、采用防火墙、超级巡警软件等。因为大部分防火墙软件都是免费的, 较安全、快捷, 所以适合一般局域网使用。
以360ARP防火墙软件为例, 目前大部分电脑都选择安装360安全卫士作为后台保护软件, 其ARP防火墙功能使用相对简单。具体操作:在360木马防火墙中开启“局域网防火墙 (ARP) ”后, 此前能连通网络但不能打开网页的问题即可解决。在校园局域网中基本可以通过这个方法解决主机不能上网的问题。
5.3 采用防ARP攻击的路由器
这类路由器的主要原理是定期发送自己正确的ARP信息。
ARP遭受攻击最常见的特征就是掉网, 一般情况下不需要处理, 在一定时间内可以恢复正常上网。现在大多数主流路由器都会在很短时间内不停广播正确ARP信息, 使受攻击的主机恢复正常。带有防ARP攻击的路由器原理图如图2所示。
这种操作能彻底防御ARP攻击, 用三层交换机把端口、IP、MAC给绑定起来, 控制ARP流量, 并可以及时断开被ARP攻击的端口。
6 结束语
校园网的使用者是学生和教师, 涉及的信息安全是非常重要, 因此校园网是非常容易受到ARP攻击的一个大型局域网。ARP攻击利用ARP协议的安全漏洞, 给局域网内各主机的安全通信带来了极大的危害。本文提出了三种ARP攻击的防御解决方法, 这些方法具有如下特点: (1) 可进一步完善校园网的网络管理、节约带宽, 增强校园局域网的安全性和稳定性。 (2) 这些方法对用户透明, 可操作性强, 与网络结构无关, 后台服务器相对独立。 (3) 在网络用户、网关、交换机、路由器、服务器之间采用不同的ARP防御技术构建一个多层次的ARP防御体系, 最大限度地减少ARP攻击, 保障网络安全畅通。
摘要:ARP攻击是一种非常恶劣的网络攻击行为, 会造成网络不稳定, 用户无法上网甚至整个局域网通信中断。ARP攻击直接威胁着局域网用户的信息安全, 有效地防范ARP攻击已成为确保网络畅通的必要条件。本文主要介绍ARP协议的概念和工作原理, 分析了ARP的攻击表现和攻击原理, 最后提出了ARP攻击的防御解决方法。
校园网络安全防御方法 篇4
随着互联网在高校校园的普及,网络安全成为高校网络管理一大难题。教学活动对校园网的依赖程度越来越高,网络安全成为高校教学工作能顺利进行的重要保障之一。近两年,校园网普遍爆发一种叫“ARP欺骗型”病毒,该病毒发作时会导致网络时断时续,严重影响了校园网的正常运行,给网络管理人员带来了前所未有的挑战。
1 ARP病毒欺骗原理
1.1 ARP协议
地址解析协议(Address Resolution Protocol,ARP)。是一种将IP地址转化为物理地址的协议。一般用于局域网中,它将IP地址解析为网卡的物理地址,又称为MAC地址。局域网中的所有IP通讯最终都必须转换成基于MAC地址的通信。ARP协议的工作就是查找目的主机的IP地址所对应的MAC地址,并实现双方通信。
1.2 ARP协议的设计缺陷
由于ARP协议的设计初衷是为了方便数据传输,设计的前提是网络绝对安全的,因此ARP协议不可避免的存在设计缺陷。
(1)ARP高速缓存根据所接到的ARP协议包随时进行动态更新。
(2)ARP协议没有连接的概念,任意主机即使在没有ARP请求的时候也可以做出应答。
(3)ARP协议没有认证机制,只要接收到的协议包是有效的,主机就无条件的根据协议包的内容刷新本机ARP缓存,并不检查该协议包的合法性。
1.3 ARP欺骗方式
ARP欺骗分为两种:一种是对路由器ARP表的欺骗;另一种是对网段中网关的欺骗。第一种ARP欺骗的原理是截获网关数据。然后按照一定频率不断的发送给路由器错误的MAC地址,结果路由器记录的是错误的MAC地址。另一种方式是伪造网关。就是一台感染ARP病毒的主机伪造成网关,使本网段内所有欲访问Internet的主机转而访问病毒主机,导致同一网段内的所有主机都无法上网。
1.4 感染ARP病毒网络症状
感染ARP病毒的网络一般会有如下症状:
(1)网络时断时续且网速很慢,客户端无法正常访问网络,本地连接中发包数据量远远大于收包数据量。
(2)同一网段的所有上网主机均无法正常连接网络。
(3)打开Windows任务管理器,出现可疑进程,如“MIE0.dat”等进程。
(4)客户端利用“arp-a”命令返回的网关MAC地址与实际网关MAC地址不符。
(5)介入交换机指示灯大面积相同频率的闪烁。
如果出现以上网络现象,就表明该网段中至少有一台主机感染了ARP病毒。
2 ARP病毒防御方法
2.1 安装ARP软件防火墙
目前ARP软件防火墙比较多,比如360安全卫士、AntiARP、瑞星ARP防火墙等等。其原理是对本机IP地址和MAC地址及网关IP和MAC进行绑定,达到控制ARP病毒的目的。当网络中出现ARP欺骗时,ARP防火墙需要占用一定的网络带宽来阻挡欺骗,因此对客户端的正常上网造成一定的影响。
2.2 在介入交换机上做IP、Mac与交换机端口绑定
在介入交换机中将计算机的IP地址和MAC地址与交换据的正常转发。但是此方案操作量大,不易维护,适合规模较小的校园网。
2.3 划分VLAN(虚拟局域网)
ARP欺骗攻击一般是针对同一网段内的所有主机,因此只要VLAN划分的足够小,就可以缩小ARP病毒影响范围。而且可以很方便的找到病毒源,该方法适合规模适中校园网。
2.4 使用DHCP Snooping技术
如果校园网比较大,可以使用DHCP Snooping技术实现主机的IP地址动态分配。DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期和VLAN-ID接口等信息。交换机上连接普通主机的端口在发送ARP报文时受到交换机检测,报文中IP地址与MAC地址对必须与DHCP Snooping检测并记录的主机当时动态申请的IP地址相符。这样中毒主机就无法发送虚假的ARP报文了,同时还对端口发送ARP报文数量进行限制,防止中毒主机发送大量ARP报文造成网络拥塞。
3 总结
由于ARP欺骗利用的是网络协议本身的缺陷,所以在IPv4时代我们无法从源头上控制,只能制定出一套防御策略,将ARP病毒的发作几率降到最低。随着IPv6技术的即将的实施,相信高校校园网解决ARP欺骗的问题指日可待。
摘要:本文通过对ARP病毒欺骗的原理进行了分析,提出多种防御方法,可以有效的解决高校校园网的ARP欺骗问题。
关键词:校园网,ARP病毒欺骗,MAC,IP
参考文献
[1]马玲.如何防范校园网ARP攻击[J].黑龙江科技信息.2009.
[2]樊景博,刘爱军.ARP病毒的原理及防御方法[J].商洛学院学报.2007.
校园网安全隐患的分析和防御 篇5
一、安全隐患
1. 校园网络存在安全风险
第一,校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
第二,校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解,因而来自内部的安全威胁更大一些。
2. 操作系统存在安全漏洞
第一,目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。网络服务器安装的操作系统有Windows NT/2000、UNIX、Linux等,这些系统安全风险级别不同,例如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统;自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。
第二,随着校园内计算机应用的大范围普及,接入校园网的节点数日益增多,其大部分都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
第三,内部用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;内外网恶意用户可能利用一些工具对网络及服务器发起攻击,导致网络及服务不可用。
3. 缺乏相应的安全防护体系
第一,网络自身存在缺陷。网络的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题。因此,它在安全可靠、服务质量、宽带和方便性等方面存在着不适应性。许多的网络协议和应用没有提供必要的安全服务,比如电子邮件使用的协议SMTP没有提供认证机制,曾经是导致垃圾邮件泛滥的重要原因,远程登录的telnet协议明文传输用户名和口令等,而且IP网络也不提供任何服务质量控制机制,导致目前在大规模拒绝服务攻击面前几乎无能为力。
第二,校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁。
二、安全防御
1. 设置防火墙
防火墙是网络安全的屏障。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。在防火墙设置上可按以下原则配置来提高网络安全性:
第一,根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
第二,将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
第三,在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
第四,定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
第五,允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
2. 架设入侵监测系统(IDS)
在许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以同防火墙和路由器配合工作。
IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。IDS是被动的,它监测网络上所有的数据包。其目的就是扑捉危险或有恶意动作的信息包。IDS能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
3. 漏洞扫描系统
采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。要求每台主机系统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口。例如:如果主机不提供诸如FTP、HTTP等公共服务,尽量关闭它们。
4. 部署网络版杀毒软件
最理想的状况是在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时,为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。在学校网络中心配置一台高效的Windows2000服务器安装一个网络版杀毒软件系统中心,负责管理校园网内所有主机网点的计算机。在各主机节点分别安装网络版杀毒软件的客户端。安装完杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网时也能够定时进行对本机的查杀毒。网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它各个主机网点的客户端与服务器端,并自动对网络版杀毒软件进行更新。采取这种升级方式,一方面,确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
5. 制度化管理
第一,制定并严格执行各种管理制度。安全管理制度的制定必须能随着计算机应用、网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。
第二,建立以学校网络中心为主的计算机网络安全应急体系,各部门设立专门的计算机网络安全员。各安全员应及时向网络中心汇报所发现的情况,以便及时处理。
第三,实行管理员分级管理制度,由总管理员分配各部门的网络管理员的管理权限
第四,建立用户入网申请、登记制度,对上网的用户建立档案,记录访问日志,以便加强管理。
第五,加强用户网络安全培训,对用户进行安全教育,提高用户安全使用网络的自觉性,这是提高校园网的安全管理的一个非常重要的环节。
三、结论
校园网络安全防御方法 篇6
随着互联网技术和信息化技术的发展,中职学校的校园网络建设正在朝着数字化的方向迈进。目前,数字化校园网络已经成为中职学校在教育、教学、办公、科研等方面所依赖的重要基础设施,在日常教学活动和校园管理建设等方面也正在发挥着越来越大的作用。而随着数字化校园网络的建设与发展,其安全问题也逐渐的凸显出来。因此,如何确保数字化校园网络的安全,保证其正常运行并发挥出应有的作用,是当前我国中职学校校园网络建设中的重要问题。
1 数字化校园网络安全的概述
1.1 网络安全的概念
所谓网络安全,实际上就是网络中信息的安全,它指的是在网络系统当中的软硬件及系统当中的数据资料的安全。对其进行妥善的保护,以使其避免受到意外因素的干扰或恶意攻击,导致数据资料的破坏、丢失或泄漏。保障网络系统安全、稳定的运行,网络服务不会中断。总的来说,网络安全所需要注意的是网络系统中信息数据资料的完整性、真实性、保密性、可控性和可用性等方面。
1.2 数字化校园网络安全的意义
学校中数字化校园网络的安全,对学校的整体形象和整体利益都具有直接的关系。当前,我国很多学校的相关信息和数据资料都储存在校园网络系统当中。因此,如果校园网络的安全性出现问题,将会导致信息数据资料的丢失。这将会给学校带来巨大的损失,导致校园网络无法正常运行,甚至瘫痪。严重时,还可能会影响到学校的正常运转。所以,在进行数字化校园网络建设的时候,应当给予网络安全建设更多的重视,以确保校园网络能够正常的运行,并充分的发挥出其重要作用。
2 中职学校数字化校园网络的安全现状
2.1 系统自身的安全
当前,大多数中职学校的数字化校园网络所应用的操作系统主要有Windows、Unix和Linux这三种操作系统。然而,任何的操作系统都不是完美的,包括上述这三个应用比较广泛的操作系统,它们都存在着一定的安全漏洞,需要及时安装官方发布的漏洞补丁以提高安全性。但是,有一些中职学校为了节省数字化校园网络安全建设的成本,会选择采用盗版的操作系统和一些盗版软件。微软等操作系统运营商对于盗版软件的补丁都是有所限制的,因此其漏洞问题无法得到妥善解决,这就给很多新型的计算机网络木马和病毒提供了可乘之机。
2.2 网络病毒的破坏
计算机技术和互联网技术的发展所带来的并不全是正面的影响,也有网络木马和病毒等负面的产物。目前,计算机网络环境中存在着各种类型的木马病毒,并且不断的衍生出更加复杂的种类。这些病毒能够随着互联网信息的浏览、数据的传输、资料的下载、电子邮件的收发等多种渠道进行传播。占用大量的网络资源、盗取用户资料,对用户的计算机,甚至整个网络造成破坏。轻则导致网络不稳定、意外中断等情况,严重时可能造成整个网络系统的瘫痪、数据资料的丢失,甚至会造成计算机硬件系统的损坏。
2.3 硬件设备的安全
在校园网络当中,网络硬件设备是其正常运转的基础保障,在数字化校园网络安全建设的方面,也具有十分重要的意义。在实际运行过程中,很多原因都会给校园网络硬件设备的安全带来威胁。例如电源故障、电磁干扰、线路窃取、操作失误等人为因素,以及火灾、地震、雷击等意外因素。这些原因都可能会给校园网络硬件设备造成不同程度的损坏,进而影响校园网络的正常运行。
2.4 黑客的恶意攻击
黑客本意是指计算机技术和网络技术十分高超的专业人士,但是现在常被用来描述非法侵入和破坏用户系统的人。他们的攻击方式主要是利用对网络的探测和对计算机端口的扫描来寻找系统漏洞,针对漏洞进行恶意攻击和破坏,以达到盗取资料,破坏系统的目的。随着网络的发展,黑客的技术也在不断的提高。因此,很多中职学校的校园网络都会受到黑客的干扰,只要有利可图,这些黑客就寻找漏洞、发起攻击,导致校园网络的受损或瘫痪,影响学校的正常运作。
2.5 校园网络的安全管理
中职学校的数字化校园网络安全管理包括很多的方面,例如站点的运行和控制、资源的配置和管理、病毒的监测和查杀、日志记录、远程监控、交换机、路由器、服务器、工作站等方面。因此,学校中负责网络运行和安全管理的技术人员应当具备较高的水平和经验,以应对校园网络运行中可能出现的各类安全问题。但是,在实际管理过程中,很多中职学校中负责校园网络管理的人员都是非专业人员。这些人缺乏基本的网络运行管理和网络安全管理的知识,无法有效的维护校园网络的运行和保障校园网络的安全。
3 中职学校数字化校园网络安全的防御对策
3.1 防水墙技术
防水墙技术是相对于防火墙技术产生并发展起来的一项网络安全技术,它的作用恰好与防火墙相对应,是防止系统内部的信息向外扩散。防水墙能够利用访问控制、密码限制、审计、监测等技术手段,对一些重要的、保密的信息数据资料及其载体进行安全保护,防止黑客的非法入侵,阻止系统内资料的丢失或外泄。在中职学校的数字化校园网络建设中采用防水墙技术,可以有效的阻止校园网络中的敏感信息泄漏,实现了在事前、事中以及事后的全时段网络安全的保护。将其与外部安全产品和防病毒产品等共同应用,能够组成完整的网络安全系统。
3.2 病毒防范技术
目前,计算机网络木马和病毒在不断发展下,已经变得越来越复杂和高级,其自我隐藏能力和生存能力十分强大,很难被杀毒软件发现和清除,对计算机和网络的安全造成了严重的威胁。因此,病毒的防范和查杀工作是确保计算机网络安全的重要内容之一。在我国当前大多数的中职学校数字化校园网络的安全管理工作中,采取的病毒防范措施主要是设置安全防火墙、购买和安装正版的杀毒软件、实时更新病毒数据库、定期进行全盘安全扫面等手段。此外,对于一些非法网站或非正常网站的访问和下载链接要进行限制,将可以的下载资源自动进行屏蔽,也能够起到一定得病毒防范作用。
3.3 入侵防护技术
入侵防范技术是一种主动性的网络安全技术,它能够实时发现非法入侵的行为并主动做出阻止,极大的保护了网络的安全。当前中职学校的数字化校园网络安全管理中所采用的比较多的入侵防护技术主要有HIPS、NIPS以及AIP。一旦出现利用网络系统漏洞进行非法入侵和攻击的行为,入侵防护技术能够立即从数据流中将其找出并加以阻止,对于保护中职学校数字化校园网络的安全具有重要的意义。
3.4 信息数据加密技术
信息数据加密技术是防御黑客攻击的主要技术手段之一,在当前的中职学校数字化校园网络安全当中的应用十分广泛。数据加密技术主要分为传输加密和存储加密。其中传输加密的主要方式有端到端加密、节点加密和链路加密这三种。在数据通过网络传播时,它能够根据OSI的层次自动选择加密方式,对传输的整个过程进行加密,防止数据在传输过程中遭到攻击或破坏。而存储加密则是对储存在计算机硬盘当中的数据进行加密处理。这样,技术遭到黑客攻击,数据资料被其盗走,没有正确的解密信息,黑客也无法获取数据资料的真实信息。
4 总结
数字化校园网络的建设和发展对于中职学校的教学、管理等方面具有十分重要的意义。而校园网络的安全问题,是其发展过程中最为重要的问题之一。只有确保校园网络的安全,才能使中职学校数字化校园网络正常的运转,充分的发挥作用。因此,在日常的校园网络管理过程中,一定要注重网络安全方面的问题,积极采取措施,加强对网络安全的建设,以保证其正常的运行。
摘要:随着科技的不断发展,数字化技术和互联网技术得到了十分广泛的应用。我国各类学校也纷纷开始建设数字化校园网络。尤其是在中职学校当中,数字化校园网络更是发挥了十分重要的作用。网络安全是整个校园网络当中最为重要的部分。而随着数字化校园网络规模的不断扩大,各种网络攻击、病毒木马等网络侵袭给校园网络的安全带来了严重的威胁。本文结合中职学校数字化校园网络的意义及重要性,对其安全现状进行了分析,进而提出了一些相应的防御对策。
校园网络防御中的蜜罐技术研究 篇7
在今天科技飞速发展的信息化时代, 我国的各所高校基本都往数字化校园方向转型, 都拥有了自己的校园络, 给高校的教学带来级大方便, 给师生之间提供了一个良好的信息交流的平台, 可是由于使用校园网的人员增加存在的安全隐患也越来越多[1]。 在网络技术迅速发展的同时, 各种网络攻击入侵技术也在不断更新, 攻击的方式和工具多种多样, 由此可知研究如何防御校园网络不被攻击是非常重要的。
2 校园网络现状
2.1 校园网络安全防御局限性
当今的高校中基本都是采用安装防火墙作为技术防御的手段, , 由于防火墙的防御方式属于被动防御, 因此这种防御手段已经不能适应今天高速发展互联网时代, 特别是在黑客技术不断发展今天, 防火墙对于黑客来讲根本不起作用。
2.2 校园网络内部存在的安全问题
在校园网络中有很多网络攻击是校园内部人员所谓, 但这种情况经常不被校方所关注, 在校方的眼里认为学校的学生是无法掌握高超的网络攻击技术, 而这种来自于内部的安全危害, 主要来自于许多使用校园内部网络的人员误操作造成的, 当然, 这其中还包含部分毕业的学生, 他们想继续使用校园网络而进行入侵, 造成这种隐患的主要原因是校方没有重视到来自校园内部的攻击。
2.3 外来者对校园网络的攻击
许多高校对于校园网络安全问题存在着管理不到位、 防御不重视、安全意思差等现象, 在整个校园网络安全防护系统中仅仅只设置一道防火墙。经有关资料查证, 大部分高校都认为黑客基本不可能对校园网络进行攻击, 由此可知各高校的网络安全防护是多磨的脆弱。
2.4 高校对校园网络安全防范意识缺乏
许多高校校园网络经常遭受攻击, 但校方对此经常是不管不问, 他们认为校园网络中并没有什么值得窃取, 根本不加以重视, 使得校园网络内部人员及外来者经常对校园网络进行攻击, 以至于很多高校的机房变成了一个病毒库, 并且互相传播。
3 蜜罐技术
3.1 蜜罐技术概念
蜜罐就是一个情报收集系统, 故意让入侵者进行攻击的“ 陷阱”, 通过攻击者入侵后可以了解入侵者的攻击手法, 以此掌握针对校园网络服务器发动的最新攻击和漏洞, 从而形成主动防御, 就像在战场上, 你提前知道了敌人要射箭, 然后马上躲进堡垒中去。早起设计蜜罐技术的目的是隐藏服务器的真实地址和引诱攻击者进行入侵。
3.2 蜜罐的类型
蜜罐可以根据网络的实际需求可以进行不同的设置, 蜜罐针对性很强, 并不是随便进行设置就没问题了。所以蜜罐分为真实系统蜜罐和虚拟系统蜜罐, 真实系统蜜罐运行的系统是真实的, 有被入侵的漏洞, 但是真实系统蜜罐所得到的数据和信息也最真实。 虚拟系统蜜罐是在真实系统的基础上建立的, 但由于存在多种操作系统, 而且它们的核心也不同, 因此它们的缺陷漏洞也不一样, 而虚拟系统蜜罐正是依靠强大的模仿能力, 构建个不属于自己平台漏洞, 当攻击者入侵这样的漏洞时就只能在一个程序里进行攻击。这种蜜罐可以有效的防御被黑客入侵, 但是聪明的黑客经常会很快就能分辨出来。
4 蜜罐技术的运用
4.1 迷惑入侵者
在普通的服务器中, 访问者都是直接与服务器进行连接, 整个网站的服务器都是暴露在入侵者面前的, 假如该服务器防护系统非常弱的话, 那么这个服务器上的数据都会被入侵者随便的毁灭。 如果把蜜罐安装到这个服务器里, 让蜜罐来充当服务器, 隐藏起来真正的服务器, 这时入侵者即使入侵, 它入侵的只不过是蜜罐, 因为蜜罐在网络安全中的作用就是用来被入侵的, 由此可知使用蜜罐在提高服务器的安全的同时, 还能抓捕到入侵者的任何举动, 使得网络从被动防御转变成了主动防御[2]。
4.2 加固服务器抵御入侵
在今天的网络安全中讨论最多的话题是入侵和防御, 在使用蜜罐迷惑黑客, 收集入侵者数据和信息的同时, 我们可以根据入侵者经常使用的入侵方式, 来进行有针对性的防御, 也就是说就我们掌握了敌方善用作战方式, 我们来采取主动防御和还击。
5 蜜罐技术在校园网络安全中的应用
前面我们提到了在现代的校园网络防御入侵中一般只在校园网络中是安装一个防火墙, 但防火墙存在弊端, 它只能对已经掌握的攻击做出防御, 如果黑客要变换新的入侵手段, 由于防火墙先前没有掌握这种攻击手段, 因此就无法做出相应的防御, 这样薄弱的防护系统很容易被非专业技术人员入侵者, 本校内学生都可以随便入侵校园网络, 但是如果把蜜罐技术应用到校园网络中, 利用它强大的数据分析和记录功能, 在记录入侵者的入侵数据和行为的同时, 把已捕获的数据立即追加到规则库中, 从而达到让防火墙掌握和防御这种新入侵技术。 蜜罐技术可以对入侵者的攻击行为等进行分析和处理, 与使用单一的防火墙不同, 它可以采取主动防御的措施, 因为蜜罐系统的配置与服务器相比更容易吸引入侵者, 当系统在运行的时候, 一旦遇到外部攻击, 而优先被遭到异常数据攻击的蜜罐, 而此时蜜罐利用自身强大的捕捉和分析能力能够快速提取相关技术进行设计, 使在以后的攻击中主动防御该攻击手段。蜜罐技术主要是对入侵者的活动日志和信息的收集, 利用管理中心对入侵者进行分析和研究, 最终掌握入侵者的特征, 并采取相应的防护措施, 当入侵者在不知道自己已经入侵蜜罐系统的同时, 对其行为进行完整的记录并通过捕获的信息来确定入侵者的目的和入侵技术等。 蜜罐系统所拥有的强大分析能力可以在每次入侵时通过捕捉攻击者信息, 通过分析后存储至系统从而做出主动防御措施, 与单独安装防火墙这样过于被动的防护手段相比, 蜜罐技术在网络安全防护方面有较为主动的防御手段和分析能力, 大大提高了校园网络的安全。
6 结论
在今天这个网络化飞速发展的时代, 我国高校基本都进入了数字化校园时代, 特别是采用网络教学的今天, 校园网络安全问题已成为一个热门话题, 很多高校不重视校园网络的安全问题, 因此, 校园网络经常被校内学生和网络黑客入侵, 使得校园网信息遭到破坏, 特别是在个别学校机房里成了病毒泛滥的仓库, 高校机房是用来学习的场所, 不是养病毒的地方, 因此我们必须加强校园网络安全防范意识, 在校园网络上进行信息交流和资源共享的同时, 应当加强校园网络的安全防护。校方可以将蜜罐技术应用到校园网络中, 利用它强大的信息记录和数据分析能力, 对校园网络进行主动的防御, 使得高校的网络的安全系数得到大大提高。
摘要:21世纪我国的高校教育事业发展迅速, 全国高校普遍都进入了校园数字化时代, 数字化教学发展空间无限, 但同时校园网络存在的安全问题也越来越多, 为了让校园网络更加安全, 我们可以引入蜜罐技术来实现主动防御。本文主要阐述了校园网络中存在的安全问题并对蜜罐技术在校园网络安全中起到的主动防御的功能做出了研究分析。
关键词:校园网络,蜜罐技术,防火墙
参考文献
[1]王杨.基于校园网的网络安全与开销研究[J].软件, 2014.