学校宿舍网安全探究.doc

　0.前言　　如今，校园宿舍网呈现用户多且密度大、网络节点多、难以管理的特点。宿舍网的用户相对其他网络的用户分布要密集很多，而众多用户与不同宿舍楼之间的网络连接结构相似，但节点甚至比办公大楼、实验室等其他区域的网络节点还要多，管理起来工作量大。同时，不容忽视的是，学校拥有一大批活跃、求知欲强的学生用户，因此IP地址盗用等现象频频发生。在传统的IP和MAC地址绑定、流量计费的运营管理模式下，为了防止IP地址盗用现象，将大量IP和MAC地址绑定，不仅加大了服务中心工作人员的工作量，甚至造成了超负荷工作，工作人员对此有很大意见；同时，用户对不能正常使用网络的抱怨也时有发生。各种原因交织在一起最终导致了管理难的问题。因此，我们一直在寻找由难到易的宿舍网运营计费认证管理办法，需要它营造出一种方便、实用、快捷、易于管理的网络环境。　　同时，由于宿舍区网络使用者知识能力等所限，被病毒、木马等威胁的实例也层出不穷，例如：局域网爆发ARP病毒，具体表现为局域网内一些正在上网的电脑主机频繁掉线或是断线。这是因为局域网内有电脑运行ARP欺骗程序（比如：传奇、QQ盗号的软件等）发送ARP数据包，致使被攻击的电脑不能上网。为了有效防范宿舍区内病毒等的发生与蔓延，有必要认真研究解决对策。　　1.宿舍网络安全简介　　随着网络的快速发展和上网用户的急剧增多，网络中的不安全因素日益暴露无遗，主要表现在：　　1）由于IP和MAC地址的可变性而导致的冒用合法用户入网问题。非法用户只要连接网线，对电脑进简单的网络配置就可以上网。由于IP和MAC盗用会导致合法用户不能上网，甚至非法入网者会以合法用户的名义从事非法勾当，对网络的安全管理造成很大的威胁；　　2）操作系统和应用软件存在大量漏洞，这是造成网络安全问题的严峻的一个主要原因。国际权威应急组织CERT/CC统计，截至2004年以来漏洞公布总数16726个，并且利用漏洞发动攻击的速度也越来越快；　　3）校园网用户安全意识不强及计算机水平有限。大部分学校普遍都存在重技术、轻安全、轻管理的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，甚至有些学校直接连接互联网，严重缺乏防范黑客攻击的意识。　　学生宿舍网作为服务于教育、科研和行政管理的计算机网络，实现了校园内连网、信息共享，并与 Internet 互联。宿舍网连接的校内学生机，存在许多安全隐患，主要表现有：　　1)宿舍网与 Internet 相连，面临着外网攻击的风险。　　2)来自内部的安全威胁。　　3)接入宿舍网的节点数日益增多，这些节点会面临病毒泛滥、信息丢失、数据损坏等安全问题。　　通过对宿舍网的安全设计，在不改变原有网络结构的基础上实现多种信息安全，保障宿舍网络安全 ，一个整体一致的内网安全体系，应该包括身份认证、授权管理、数据必威体育官网网址和监控审计四个方面，并且，这四个方面应该是紧密结合、相互联动的统一平台，才能达到构建可信、可控和可管理的安全内网的效果。　　身份认证是内网安全管理的基础，不确认实体的身份，进一步制定各种安全管理策略也就无从谈起。内网的身份认证，必须全面考虑所有参与实体的身份确认，包括服务器、客户端、用户和主要设备等。其中，客户端和用户的身份认证尤其要重点关注，因为他们具有数量大、环境不安全和变化频繁的特点。　　授权管理是以身份认证为基础的，其主要对内部信息网络各种信息资源的使用进行授权，确定谁能够在那些计算机终端或者服务器使用什么样的资源和权限。授权管理的信息资源应该尽可能全面，应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。　　数据必威体育官网网址是内网信息安全的核心，其实质是要对内网信息流和数据流进行全生命周期的有效管理，构建信息和数据安全可控的使用、存储和交换环境，从而实现对内网核心数据的必威体育官网网址和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样，所以要求数据必威体育官网网址技术必须具有通用性和应用无关性。　　监控审计是宿舍网络安全不可缺少的辅助部分，可以实现对宿舍网络安全状态的实时监控，提供宿舍网络安全状态的评估报告，并在发生宿舍网络安全事件后实现有效的取证。　　宿舍网络安全已经成为信息安全的新热点，其技术和标准也在成熟和演进过程中，我们有理由相信，随着同学们对宿舍网络安全认识的加深，用户宿舍网络安全管理制度的完善，整体一致的宿舍网安全解决方案和体系建设将成为宿舍网安全的主要发展趋势。　　宿舍内部网络安全经常会发生IP盗用现象，恶意修改MAC地址，严重危害了正常的上网秩序，下面我们先从网卡开始探讨网络的安全问题。　　2.网卡　　2.1网卡的基本构造　　网卡包括硬件和固件程式（只读存储器中的软件例程），该固件程式实现逻辑链路控制和媒体访问控制的功能，还记录唯一的硬件地址即MAC