校園網網絡病毒的危害與防護機制構建發(fā)布者：本站     時間：2020-05-02 15:05:24

隨著計算機技術和通信技術的飛速發(fā)展，網絡已經滲透到我們生活的方方面面，越來越多的學校在推進信息化建設的進程中都已經建成了校園網，學校廣大師生在享受網絡提供便利的基礎上，計算機病毒也在危害著校園網網絡安全，影響整個網絡平臺的穩(wěn)定運行，導致師生信息的泄漏和丟失，甚至出現網絡和服務器癱瘓的現象，對學校日常的教學、教研、管理工作帶來很大影響，因此構建校園網網絡安全防護體系也變得尤為重要。

1、 校園網網絡病毒的危害

1.1、 破壞性強

網絡病毒的攻擊目標是校園網中的計算機和數據信息，借助于校園網這一平臺，通過網絡安全漏洞發(fā)起攻擊。校園網自身特性決定其具有大量用戶，其數據信息的交互讓網絡病毒的傳播與感染更具有不確定性，也表現出較強的破壞性。

1.2 、傳播速度快

網絡病毒表現出較強的再生性，具有傳播速度快的特征，類似于生活中常見的病毒性流感，比如說前幾年造成較大危害的熊貓燒香、蠕蟲病毒等，當校園網主機出現感染之后，病毒會在短時間內迅速繁殖，逐漸蔓延至整個校園網絡，造成網絡堵塞、運行效率下降，在很大程度上影響到師生的正常使用。

1.3、 難于清除性

當計算機處于不聯(lián)網的狀態(tài)下，可選擇通過殺毒、格式化硬盤等途徑來對病毒進行清除，但在校園網中，若其中某一臺計算機感染病毒，其他聯(lián)網計算機都可能受到病毒的威脅，因為校園網中相互連接的計算機能夠進行交叉?zhèn)鞑?，導致病毒難于清除。
 

 2 、計算機病毒的特點

2.1、 寄生性

網絡病毒通常寄生于某些程序內部，當用戶下載運行該程序時，病毒即會起破壞作用，但在未運行之前，病毒往往難以被察覺[1]。

2.2 、傳染性

網絡病毒會經由不同的渠道從已感染的計算機逐漸蔓延到校園網中的其他計算機。病毒程序代碼感染計算機之后會主動尋找其他滿足傳染條件的程序或存儲介質，明確目標之后把病毒代碼融入其中，實現自我繁殖。網絡病毒的傳播速度較快，難以被完全預防。

2.3、 潛伏性

具有較大破壞性和傳染性的病毒程序，在進入到校園網中后常常不會第一時間發(fā)作，它往往會在幾天或幾周時間內都隱藏于某些合法文件中，潛在地進行自我復制并蔓延到其他計算機中。類似于一個定時炸彈，在其爆發(fā)之前很難被發(fā)現，當條件滿足之后大規(guī)模爆發(fā)，造成非常大的危害。

2.4 、隱蔽性

計算機病毒表現出非常大的隱蔽性，部分病毒能夠借助于殺毒軟件進行檢測，但還有很多病毒是難以發(fā)現的，它們時隱時現，變化無常，這類病毒處理起來存在很大的難度。因為校園網自身具有的特殊性，其規(guī)模不是很大，信道較窄，當病毒感染之后會在短時間內阻塞信道，導致校園網癱瘓。

3、 校園網網絡病毒防護體系的構建策略

3.1 、優(yōu)化校園網絡結構

科學的管理措施是預防校園網網絡病毒的基本保證，所以需要按照實際應用范圍、使用部門以及不同樓宇對校園網進行虛擬局域網（VLAN）細分。比如，可以把各教學樓設置為一個VLAN，各個教學管理部門設置為單獨的VLAN等等。

通常將校園網網絡結構劃分為接入層、分布層以及核心層，各個工作層運行于OSI模型的不同層次上。一般把網絡內部直面用戶連接或訪問網絡的部分設計為接入層，把處于接入層與核心層之間的部分設計為分布層（或是匯聚層）。接入交換機通常直接連接計算機，匯聚交換機設置在各個教學樓之間，匯聚層屬于非常重要的中轉站，設計匯聚層的目標在于降低核心負擔，核心層僅對本區(qū)域的數據交換進行處理。

在校園網中實施VLAN的細分，不僅有助于提升網絡管理效率，增強網絡安全性，還能夠抑制廣播風暴。如果其中一個VLAN發(fā)現網絡病毒，技術管理人員能夠借助于設置的三層網絡設備來將其和其它VLAN之間的通信予以隔離，從而避免病毒蔓延[2]。

3.2 、完善病毒防范管理

一方面，在校園網中部署防火墻以及網絡病毒防范系統(tǒng)，對校園網網絡安全給予充分的保障。在防火墻中設置訪問控制，避免校園網中的數據信息被病毒所竊取或破壞。借助于端口配置，對部分特定端口予以關閉或給予限制。另外還應當在網絡病毒系統(tǒng)上設置防護策略，對病毒庫定期進行更新，從而對整個校園網中的終端進行自動升級，避免新型病毒的入侵。

另一方面，訪問控制列表（Access Control List）屬于用于過濾與控制進出路由器數據流的訪問控制技術，能夠促進校園網網絡安全性的提升。例如，能夠對網絡中敏感數據信息的訪問限制，依靠關閉應用端口的方式來防范網絡病毒。比如惡性ping屬于局域網病毒常常選擇的一種攻擊模式，病毒會隨機生成ping的目標地址，隨后利用路由器報文轉發(fā)，所以可在路由器內為每個ping的ICMP報文創(chuàng)建一條NAT對應表。技術管理人員如果發(fā)現大量ICMP的NAT進程，則需要檢查是否受到拒絕服務器攻擊[3]。

3.3 、定位網絡故障

校園網網絡安全管理工作中的關鍵就是第一時間準確找出網絡故障點，并采取有針對性的方案予以解決。通常而言，技術管理人員能夠通過查看數據流量，發(fā)現多個IP地址對應一個MAC地址的現象，那么該MAC地址對應的計算機往往為病毒源，需要及時切斷此計算機的網絡連接，選擇專門的病毒查殺工具實施掃描，從而有效控制病毒蔓延范圍。

例如，技術人員觀察到網絡中存在網速下降或者無法上網的情況，則應當考慮是遭到ARP病毒攻擊。ARP病毒屬于校園網中的常見病毒，其依靠以太網ARP協(xié)議向校園網中的其他用戶和網關發(fā)送無效虛假的應答信息包，導致網絡堵塞，甚至無法上網。預防ARP病毒：(1)需要及時查找病毒源，對病毒源計算機予以處理，可采取殺毒或重做系統(tǒng)的方式，在第一時間處理源頭主機，能夠避免ARP病毒進一步蔓延到內網的其他計算機；(2)應當要求各終端計算機安裝正規(guī)殺毒軟件，定期實施全盤掃描殺毒。設置網絡防火墻，在預防ARP病毒中能夠發(fā)揮出非常關鍵的作用，可以對源于外網的攻擊和病毒入侵進行識別和阻擋；(3)應當定期對計算機系統(tǒng)進行更新升級，利用Windows Update安裝好系統(tǒng)補丁程序（關鍵更新、安全更新和Service Pack）。