ARP应用范文

ARP应用范文（精选9篇）

ARP应用 第1篇

一、应用概况

我台自2011年开始对部分课题在ARP预算管理系统中启动试用,在2012年进行了全面应用。在预算管理模块推广过程中,我单位更多的强调预算管理的预算分析功能,结合信息化要求优化单位经费管理流程,对预算管理模块进行全面应用,有效提高了单位资金管理水平。

1. 系统应用着重定位于“预算分析”功能

目前院对ARP预算管理模块功能侧重为预算内控制经费使用,为了满足不同单位的控制需要,系统内对控制范围分总额控制、明细控制,控制方式分强制控制、提醒控制、不控制,功能设置灵活,很好的适应了单位管理的需要。

但结合中国科学院经费实际和财政经费管理重点,在推广中我台重点强调预算管理模块的预算分析功能。在不同场合分别强调:对于管理部门,强调其可以帮助单位对比各类资金实际支出与预算、经费到位情况,协助单位更好完成预算执行、降低财政资金结余、降低往来款等财政资金管理目标;对于科研人员,强调其如何在ARP预算管理中实时查询到项目预算、项目到账经费、项目经费支出、项目经费累计借款、项目经费预算结余、项目可用资金等数据,为其统筹考虑今后课题支出安排提供决策数据。而且相对于控制经费使用目标,预算分析功能更有利于这个模块的推广,比较容易得到使用人员的接受。

2. 结合系统应用优化单位经费管理流程

预算管理模块的应用涉及到财务部门与科技部门共同合作做好科研经费管理,为了更好的推进这个系统,理顺关系,我台在推广中将经费管理与信息化要求相结合,优化单位经费管理流程,由科技部门负责项目立项和经费预算申请,在收到财务经费到账通知后及时开题;财务根据已开课题号、经费性质在网上报销中进行子课题会计科目设置,分别对应521、531、532、533等支出科目,其中521科目对应非财政科研经费,531对应当年财政科研经费,532对应往年财政结转科研经费,533对应往年财政结余科研经费,并同时在预算管理模块中选择预算经费控制模板,输入预算数据,对该课题启用预算功能。

启用ARP预算管理后经费使用管理流程如表1。

3. 全面应用ARP预算管理模块

我台预算管理模块在单位领导的高度重视下,管理部门的积极配合和经费使用人员的支持下,2012年对所有的支出课题,包括管理部门虚拟课题、科研续开课题、科研新开课题全部录入预算管理系统进行控制分析。目前我台2012年预算管理系统中有科研课题286个(如图1所示),虚拟课题18个(如图1、图2所示)。

二、具体应用实践

我台ARP预算管理模块在具体应用中,对下面三个部分进行了深入应用:

(1)对管理部门行政经费根据需要自设模板进行控制,如图3、图4。我台将管理部门行政经费根据性质分成部门业务费和公共运转经费,其中:部门业务费是指本部门为完成本部门行政职责所进行的日常运行的直接支出,包括差旅费、交通费、邮电通讯网络费、会议及培训费、办公用品维修及耗材费、设备费、宣传资料费、咨询评审费、劳务费、奖励费和招待费;公共运转经费指完成本部门任务、服务全台所应支出的经费,包括:水电费、物业管理费、全台公用设备、公共维修费、零星基建费、公用图书购置费、社会服务费、工青妇团费、职工福利费、研究生教育支出费等。

(2)对于财政科研课题根据经费来源自设模板进行管理。目前,系统中按照经费性质预设了八个模板,但是考虑到目前财政经费管理重点(要求各单位分清当年财政资金、往年财政结转结余资金,为了提高各单位财政资金预算执行率,院也先后发文要求将年度财政资金预算执行、财政资金结转结余规模与单位基本科研费挂钩)和单位管理实际(部分科研人员容易将财政经费和纵向经费概念混淆等),我台对财政科研经费也通过自设模板进行管理,分设“2012年院拨财政项目经费模板”和“2012年院拨财政项目往年经费模板”,并说明这两类模板课题年度预算安排的项目经费,这类项目经费院需按年度进行预算执行和结余资金下降考核。这样科研人员可以根据课题所属模板来了解该经费是否属于财政经费以及属于哪类财政经费,而管理人员可以通过预算模板选择很容易了解到所有的财政经费支出情况,如图5和图6。

(3)启用预算信息主动推送。对于大部分课题负责人,所承担的科研任务比较繁忙,日常工作中更习惯使用电子邮件,而很少主动到ARP预算管理系统登录查询课题预算执行情况,为了更好发挥预算管理系统作用,让科研人员及时了解课题经费信息,我台启用并设置为每月10日自动为课题负责人主动推送预算执行信息,如图7和图8。

三、应用总结

通过ARP预算管理系统应用,本研究认为:

(1)满足了单位实时控制经费支出的功能。预算管理模块的应用是将ERP综合财务系统中的预算控制功能关口前移。ERP综合财务系统中的预算控制是资金使用者在财务报销后,财务进行账务处理时进行的预算控制,这种预算控制是一种事后控制,单独部署上线ARP预算管理模块,并将其与网上报销挂钩,有效实现了科研经费支出按预算项目进行实时控制。

(2)为单位科研人员与管理部门进行决策提供了实时的信息支持。在预算管理模块推广后,我台科研人员可以通过系统实时查询到课题预算、收入、支出等相关信息,为其统筹考虑今后课题支出安排提供了实时的信息支持,同时管理人员也可以利用系统提供的数据进行实时预算监督和进度分析,有效提高了单位资金管理水平。

(3)通过对系统的深度应用,促进单位财政资金预算执行。提高预算执行和降低财政资金结余是现行财政资金管理的重要目标,也是中科院系统单位财政资金管理面临的重点和难点,做好这项工作需要单位领导的高度重视、财务和科技等管理部门的积极配合,也更需要单位科研人员的积极参与和支持,通过对财政经费科研课题自设模板,很直观的让科研人员了解到自己有哪些科研课题属于财政科研课题,这些财政科研课题预算执行进度如何,是否与考核目标存在差距等,通过科研人员的参与可以有效提高单位财政资金预算执行。

摘要：本文结合ARP预算管理模块应用实践,介绍了我台在系统推广中对系统功能的定位、优化的经费管理流程以及目前应用现状,重点说明了我台预算管理应用实践的三个方面:对管理部门行政经费自设模板进行控制;结合财政资金管理要求,对科研财政经费根据经费来源自设模板进行管理;启用预算信息主动推送功能。

关键词：ARP应用,预算管理,实践

参考文献

[1]中科院ARP中心.ARP二期工程核心实施团队第三次集训学习资料[Z].北京,2010.

[2]中科院ARP中心.ARP综合财务系统应用培训学习资料[Z].武汉,2011.

[3]高军,高克明,洪本云.国库集中支付下改进预算经费管理的建议[J].预算管理与会计,2011,(6):30～32.

ARP应用 第2篇

Interface: xxx.xxx.xxx.xxx

Internet Address Physical Address Type

xxx.xxx.xxx.xxx 00-00-93-64-48-d2 dynamic

xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dynamic

...... ......... ....

这里第一列显示的是ip地址，第二列显示的是和ip地址对应的网络接口卡的硬件地址（MAC），第三列是该ip和mac的对应关系类型。可见，arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。为什么要将ip转化成mac呢？简单的说，这是因为在tcp网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义。但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。也就是说，只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip包。因为在网络中，每一台主机都会有发送ip包的时候。所以，在每台主机的内存中，都有一个 arp-- mac 的转换表。通常是动态的转换表（注意在路由中，该arp表可以被设置成静态）。也就是说，该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的，

通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的mac地址。如果没有找到，该主机就发送一个ARP广播包，看起来象这样子：

我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来

ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：

我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2

于是，主机刷新自己的ARP缓存，然后发出该ip包。

了解这些常识后，现在就可以谈在网络中如何实现ARP欺骗了，可以看看这样一个例子：

一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机，所以他要这么做：

1、他先研究192.0.0.3这台主机，发现这台95的机器使用一个oob就可以让他死掉。

2、于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。

3、这时，主机发到192.0.0.3的ip包将无法被机器应答，系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。

4、这段时间里，入侵者把自己的ip改成192.0.0.3

5、他发一个ping(icmp 0)给主机，要求主机更新主机的arp转换表。

6、主机找到该ip，然后在arp表中加入新的ip--mac对应关系。

ARP应用 第3篇

关键词：ARP,呼叫中心用,户服务

中国科学院资源规划项目 (Academia Resource Planning, 简称ARP) , 是实现中国科学院科学的资源规划的信息系统工程。10年来, 初步完成组织管理体系、标准规范体系、安全保障体系和运维支持体系建设, 完成院所两级系统运行支撑平台建设, 形成了包含科研项目、综合财务、人力资源、科研条件、国际合作、院地合作、知识产权、评估评价、基本建设、教育管理应用在内的ARP10大应用系统以及公共事务处理和信息资源管理与服务两大平台。系统已融入研究所的各项日常管理工作, 在提高管理工作效率、促进管理方式变革等方面发挥重要作用。

ARP系统在分布在全国各地的130多个院属单位上线, 为中国科学院所领导、管理人员、科研人员提供科研管理核心业务支持, 核心用户2000多人, 部分功能如员工自助、网上报销、日常事务等涉及全体员工, 用户达5.5万人。对于如此大型的分布式信息管理系统, 除了硬软件平台的开发部署, 理念宣传、应用推进、系统监控、技术支持等与用户的沟通交流和运维服务也工作量大且至关重要。通过培养各地区的核心团队、建设ARP呼叫中心系统、向中国科学院机关各部门派遣“信息化应用助理”、为分院选派“区域应用支持专员”、在呼叫中心特设“专项坐席”等举措, 现逐步形成较健全的运维体系、ARP文化精神和服务模式, 保障了系统的持续优化、深入应用和稳定运行, 用户满意度高。

一、ARP用户服务模式的发展历程

10年间, ARP用户服务模式经过几个阶段的发展和演变, 从最初的热线电话发展到现在的企业级呼叫中心, 已成为了用户服务的一把利器, 提升了用户一线支持的及时性和准确性。

第一阶段:热线电话呼叫中心

该阶段为纯人工型的呼叫中心, 2006-2007年间的ARP呼叫中心属于该类型。该阶段的特点是人员相对集中, 操作基本依靠人工, 通过应答电话和人工转接电话为用户提供服务。突出问题是呼叫中心人员劳动强度大、效率低, 直接影响了用户满意度。

第二阶段:集团电话呼叫中心

为了提高呼叫中心人员工作效率, 减少用户呼入电话等待时间, 2008年初, 呼叫中心在资源有限的情况下, 引入了威普集团电话, 实现了来电自动分配 (ACD) , 即用户来电自动转接空闲坐席的基本功能, 在一定程度上减轻了呼叫中心人员的劳动强度, 减少了出错率, 提高了用户呼入电话的效率。

第三阶段 (当前阶段) :基于CTI技术的企业级呼叫中心

2008年8月, 随着ARP项目二期工程的启动, ARP中心开始着手搭建服务中国科学院ARP用户的统一运维服务平台。在建设理念上, 遵循当前IT服务行业最佳实践标准的ITIL流程, 在功能上, 平台包括企业级呼叫中心平台, 以减轻呼叫中心日益增大的运维压力, 提高用户电话接通率以及服务效率。在该阶段, 采用当前业界流行的CTI技术, 从电话接通开始到服务结束, 实现了客户资料的及时展现, 用户问题的及时便捷记录, 快速查询知识库, 迅速解决用户问题, 同时可实现海量通话的记录和存储, 完成通话过程的录音、存储和查询等全过程。

第四阶段 (发展阶段) :分布式、资源共享的CNIC统一呼叫中心

计算机网络信息中心承担了中国科学院科研信息化和管理信息化的支撑服务工作, 在CNIC“一三五”发展战略规划中, 明确提出了建立整体运维支撑中心, CNIC统一呼叫中心建设是其重要内容之一。在不久的将来, ARP呼叫中心将并入CNIC统一呼叫中心平台, 为全院用户提供信息化应用的一站式支持和服务。

二、ARP呼叫中心系统概述

1. 呼叫中心定义

呼叫中心 (call centre) 系统, 是充分利用现代通讯与计算机技术, 如IVR (交互式语音800呼叫中心流程图应答系统) 、ACD (自动呼叫分配系统) 等, 可以自动灵活地处理大量各种不同的电话呼入和呼出业务和服务的计算机、电话集成系统。

ARP呼叫中心建立于2008年, 自建立期初, 便以客户为服务为主。ARP呼叫中心兼具呼入与呼出的功能, 不仅处理用户的信息查询、业务咨询、技术求助等, 可以进行用户回访、满意度调查、用户通知等呼出业务。

2. ARP呼叫中心硬件体系架构

ARP呼叫中心系统支持12名坐席, 采用PSTN电话公网接入。交换机采用AVAYAS8300, 通过网线与CNIC的电话交换机相连。两台IBMX3650服务器作为工单处理的应用服务器和数据库服务器, 此外, 硬件设备中还包括两台工控机, 分别作为录音服务器和CTI服务器。目前, 该系统已经在生产环境运行了4年 (如图1所示) 。

3. ARP呼叫中心系统逻辑结构与技术架构

从系统逻辑上讲, 系统分为三个层次, 数据层用来进行数据持久化保存, 提供关系数据库、文件系统、LDAP三种存储形式;服务层封装公共服务, 对下层提供访问适配器, 对上层提供调用接口, 其内部实现采用注入的方式, 服务分层, 服务内部高内敛, 对外松耦合, 成为面向应用层的支撑层;业务应用层基于服务层提供的服务, 个性化定制业务应用系统, 为最终用户提供系统。如图2所示。

从技术上讲, 也是三层结构, 在呈现层, 利用struts2.0, 完成前台和后台之间的参数传递, 完成页面、逻辑的跳转、路由等控制功能, 很好的实现呈现和逻辑的分离, 在页面上利用struts tag, ajax, 第三方控件、标签进行页面呈现, 涉及到调用逻辑的部分统一提交到struts的controller来完成;在服务层利用spring的bean管理功能, 统一注册bean, 统一注入实现, 达到实现和接口分离的目的, 彻底为服务调用解耦, 并且利用spring的aop功能统一处理事务、权限, 利用spring提供的hibernate、jdbc template实现关系数据库的数据访问适配器;在数据访问层, 封装各种数据访问方式, 统一以fa!ade的方式提供, 其中hibernate、jdbc的实现跟spring结合, 直接实现了基本的ORM和JDBC适配器 (如图3所示) 。

4. ARP呼叫中心工作流程

普通用户提交事件工单, 填写事件标题和事件描述后提交, 系统自动当前人员填写用户信息、系统分类、所属模块。提交工单时, 系统根据系统分类、所属模块自动派发到对应的处理人。

服务台提交事件工单, 按照上表填写基本信息, 选择派发的人员提交。

服务台对工单的处理包括以下三种情况:

内部转派:当服务台人员接到事件工单, 可以选择本环节的人员 (服务台人员) 进行转派;

事件解决:服务台直接解决事件, 填写:解决方案、优先级、完成期限 (根据优先级自动填写) 、解决时间 (系统自动填写当前时间) 、解决人角色 (系统自动选择服务台) 、解决人;系统根据事件发生时间和解决时间自动计算出历时, 根据完成时间和完成期限计算出是否超时。事件解决后回到建单人。

提交二线:选择二线支持人员, 填写派发说明、优先级、完成期限 (根据优先级自动填写) 提交到二线。

对于二线人员, 同样可以对工单进行如下处理:

内部转派:二线支持接到工单后, 可以选择本环节的人员 (二线支持人员) 进行转派;

事件解决:二线解决事件, 填写:解决时间 (系统自动填写当前时间) 、解决人角色 (系统自动选择服务台) 、解决人;系统根据事件发生时间和解决时间自动计算出历时, 根据完成时间和完成期限计算出是否超时。事件解决后回到建单人。

退回:二线可以填写退回说明后把事件工单退回到服务台。

三、呼叫中心系统在ARP用户服务中的应用情况

1.ARP呼叫中心系统应用情况分析

(1) 工单分析

ARP呼叫中心平台中记录了自2008年以来呼叫中心受理的用户求助 (如图5所示) , 从图中可以看出, 在“十二五”期间, 随着ARP系统二期工程的分步部署和推进, 系统应用范围日益广泛, 用户求助呈逐年递增趋势。

由于各模块的用户群体规模不同、业务发生的频度不同以及各模块上线时间长短不同, 故各个模块的用户求助数量也不同, 具体如图6。综合财务、人力资源由于上线时间长、涉及的用户群体广泛, 所以用户求助相对较多;次之是科研条件、系统管理、电子政务等模块, 而其他模块由于上线时间短、业务涉及的用户群体少等因素, 故用户求助较少。

其中, 综合财务又分为财务核算、网上报销、国库支付、预算管理四个子模块, 各子模块工单数量对比分析如下 (如图7所示) 。

(2) 用户分析

截止2012年9月17日, 呼叫中心平台共记录用户4364人, 其中综合财务 (含网上报销) 用户数最多, 共1595人, 次之是人事薪酬、科研项目、电子政务等 (参见图8) 。

2. ARP呼叫中心在用户服务中的作用

依靠呼叫中心系统, ARP中心可以变被动服务为主动服务、建立服务品牌形象、为不断进行的系统升级完善提供了应用推广的平台。在用户服务中其发挥的作用日益显现。

(1) 提升品牌形象, 建立一站式服务平台

通过呼叫中心, 将ARP中心内各部门资源进行联动, 集中在一个统一的对外联系“窗口”, 最终实现一个电话解决客户所有问题的目标。

(2) 提升工作效率, 丰富了服务手段

呼叫中心能有效地减少通话时间, 降低电话费用, 提高一线人员的业务量, 在第一时间内就将来电转接到正确的分机上, 通过呼叫中心发现问题并加以解决。建立平台之前, 采用人工方式进行电话转接, 不仅需要额外的人员成本, 同时电话接通效率较低。平台建立后, 首次接通电话路由需要40秒, 再次拨打只需要5秒钟就可以接通, 自动语音应答可以直接导航用户到所属坐席。节省了人员成本, 提高了电话接通效率。

系统搭建之前, 服务手段和渠道有限, 主要通过电话和邮件受理用户求助。系统建立后, 用户还可以登陆ARP技术支持网站, 通过自建网络工单的方式将问题提交到客服人员。

(3) 提高了资源的有效合理配置

可以根据坐席人员的技能、工作地点、来话者的需要、来话者的重要性、不同的工作时间/日期来选择最合适的支持人员, 或事先根据需要及时调整坐席人员的规模, 提高了用户求助的解决效率, 也使得人力资源得到了有效的配置。

(4) 提高客户服务质量

由于电话处理速度的提高, 大大减少了用户在线等候的时间。在呼叫到来的同时, 呼叫中心即可根据主叫号码或被叫号码提取出相关的信息传送到座席的终端上。这样, 座席工作人员在接到电话的同时就得到了很多与这个客户相关的信息, 简化了电话处理的程序。在用户进入呼叫中心时, 呼叫中心便可根据它的主叫号码到数据库中提取与之相关的信息。这些信息既包括用户的基本信息, 诸如公司名称、电话、地址等, 也可以按照以往的电话记录, 以及已经解决的问题与尚未解决的问题。这样双方很快就可进入问题的核心。呼叫中心还可根据这些信息智能地处理呼叫, 把它转移至相关专业人员的座席上。这样用户就可以马上得到专业人员的帮助, 从而使问题尽快解决。

四、当前ARP呼叫中心存在的问题及应对方法

1. 坐席人员的能力有待提高

能力提升、打造核心竞争力是任何组织面临的共同问题。ARP呼叫中心也不例外。随着ARP系统应用推进逐步深入、用户使用系统、挖掘系统功能能力日益增强, 对呼叫中心人员能力也提出了更高的要求。

提升呼叫中心综合能力, 可以从以下几个方面考虑:加强内部、外部的交流培训和沟通;建立适应呼叫中心的考核、激励机制;进一步梳理并细化呼叫中心的工作, 在人员专业背景不同、工作经验差异大、技术和业务储备不同的情况下, 强调呼叫中心的整体团队能力, 团队成员之间各有侧重、分工合作, 实现优势互补。

2. 呼叫中心的运营管理需进一步加强

ARP呼叫中心不同于企业呼叫中心以及政府行业的呼叫中心, 照搬照抄其他呼叫中心的相关制度或考核指标, 并不能适应ARP呼叫中心的管理需求。在加强呼叫中心运营管理方面, 首先要明确ARP呼叫中心的地位、作用, 再制定符合ARP呼叫中心实际的绩效评估和日常管理标准。

3. 未能发挥CRM的作用

CRM是呼叫中心客户关系最基础的一环。目前ARP呼叫中心已建立并保存了客户 (用户) 数据库, 但是, 细分客户、对重点客户进行直接有效的关系管理, 是当前ARP呼叫中心的薄弱环节。CRM不仅实现数据的集成和整理, 还应对数据进行充分挖掘和利用, 使其进一步发挥推进系统深入应用、提高ARP凝聚力的作用。

4. 信息资源更新不到位, 不能适应用户服务及系统应用推进的需要

ARP呼叫中心负责ARP技术支持网站信息资源的更新与维护, 知识库、报表资源、培训资源是其重要组成部分。由于信息资源更新、推送不及时, 甚至有些信息已经过期, 导致资源的利用率不高, 在用户自助服务、系统应用推进方面未能发挥应有的作用, 网站的凝聚力还需进一步加强。

5. 呼叫中心系统未能与内部各系统进行整合

呼叫中心作为IT服务链条中的一个环节, 与其他IT资源紧密结合, 才能为用户提供优质的服务。由被动响应到主动服务, 不仅需要在管理制度上强化各部门的沟通和协调, 还需要依靠信息化平台, 整合内部各系统, 实现资源共享、知识共享和信息共享。

回望ARP十年, 中国科学院科研管理信息化已经进入了一个全新的时期, ARP已然成为了创新文化中的一颗明珠, ARP的用户服务工作也在信息化浪潮中不断成长演变, 借助呼叫中心系统, ARP用户服务工作也提升到了一个新水平。然而, 运维服务手段 (渠道) 仅是ARP系统三级运维服务体系中的一个环节, 包含院、分院和研究所在内的运维服务体系的建设, 还需要政策支持、制度保障以及资源配套措施。如何为用户提供更贴心的服务, 如何增强ARP的凝聚力, ARP中心还任重道远。

参考文献

[1]赵溪.呼叫中心运营与管理[M].清华大学出版社, 2010.

[2] (美) 乔恩.安东 (John Anton) .呼叫中心数字化管理.经济管理出版社, 2001.

[3]中国科学院ARP专题网站:http://www.arp.cn/.

[4]中国科学院计算机网络信息中心网站:http://www.cnic.cn/.

[5]呼叫中心论坛http://www.51callcenter.com/index.html.

ARP应用 第4篇

网络接口号 : 65539(可用route.exe print看到)

子网掩码 : 255.255.255.0

网关IP : 74.74.74.74

网关MAC : 00-74-74-74-74-74(先ping.exe 74.74.74.74，后arp.exe -a查看)

任意外网IP : 1.1.1.1

route.exe delete 0.0.0.0

arp.exe -d 74.74.74.74

arp.exe -s 1.1.1.1 00-74-74-74-74-74

cscript.exe //nologo route.vbs add 0.0.0.0 0.0.0.0 1.1.1.1 1 65539

如果没有route.vbs，请直接通过GUI界面修改缺省路由，route.exe可能无法完成最

后一步操作，

对付ARP Spoofing的一个备用手段[防arp欺骗]WEB安全

，

这样处理之后，本机仍可正常出网关，好好想想为什么。假设有人在同一子网内进行

ARP Spoofing攻击，为了完成有效监听，他必须刷本机ARP Cache中的网关项，但现

在他不易猜测出1.1.1.1这个地址，也就无从刷起。至少本机到网关的流量不会经过

攻击者所在主机。

这一备用手段有可能用于Windows 9x/NT/2000。这些系统上“arp.exe -s”所设置的静

态项仍受ARP Spoofing影响，会被刷新，如果不想动用个人防火墙，不妨一试。

对于Windows XP/2003，“arp.exe -s”所设置的静态项不受ARP Spoofing影响，不会

ARP应用 第5篇

通过十年的积累,ARP系统内形成了丰富而全面的数据以及知识资源。全面开发利用系统内信息和知识资源是ARP系统一直以来的核心。而信息服务与管理平台是ARP系统进行数据挖掘和数据利用的重要窗口。尤其对于所级ARP系统,信息服务与管理平台应用效率直接关系着所级ARP系统在研究所应用推广的效果。因此如何提高所级ARP系统中信息服务与管理平台应用效率对于所级ARP系统进一步推广和应用具有重要的意义。

一、信息服务与管理平台所级应用现状

1. 信息服务与管理平台功能

ARP系统经过二期的发展形成了十大应用模块和两大应用平台的局面,来全面支撑院所两级科研管理工作。信息服务与管理平台是两大应用平台其中之一,它在涵盖ARP系统一期的查询系统功能基础上,增加了系统管理、辅助决策支持等等新功能。信息服务与管理平台基础分析数据来自于ARP系统业务数据,根据ARP项目的业务特点进行功能划分,主要分为信息共享与服务、信息处理与发布、信息交换与传输、信息采集与管理以及系统管理五个模块,每个模块下都根据业务需要划分有功能集合。

信息共享与服务是所级ARP系统用户用以分析共享ARP数据和信息的主要模块。普通用户在信息共享与服务里,可以查询与个人有关的所有信息,可以查询到人事部门维护的个人人事薪酬信息、科技部门维护的个人有关的课题信息、财务资产部门维护的个人有关的财务资产信息等。对于ARP关键用户,可以在此模块里,对各自的业务系统数据进行一些决策支持分析,包括人力资源、财务分析、科研装备、科研项目、国际合作、知识产权等,还可以利用报表分析功能对存放对各个模块的报表分析结果。对于ARP关键用户,除了可以查询与个人有关的信息外,还可以利用信息查询功能查询业务系统内的有关信息,并可以利用统计系统对数据进行统计分析和验证。在信息共享与服务模块里,还支持上载的一些相关数据和资料的资源服务查看等功能。信息共享与服务模块在满足所级ARP用户对系统信息查询的普通需求的同时,还支持ARP关键用户对各自业务范围内数据和信息进行分析决策等高级需求。

信息处理与发布模块是信息管理与服务平台对ARP系统数据进行数据挖掘的功能模块,它允许系统用户根据自己需求,定义查询模型。信息处理与发布模块设有内置查询解析引擎,解释并执行预定义的查询模型,并可根据元数据的定义维护,解释各类查询数据项,同时可以根据元数据定义的业务关系提供简单的数据挖掘。这意味着,如果ARP关键用户发现信息共享与服务模块提供的查询或分析功能不能满足自己的分析需要,可以自己创新和定义,通过信息处理与发布模块功能,完成对数据的个性分析和挖掘。

信息交换与传输模块是实现所级和院级数据交换,实现院对所数据监控管理的重要模块。除了作为高效的数据交换管理平台外,此模块具有数据映射功能,支持所级ARP系统通过界面化配置,实现将所内其他系统数据映射到信息服务与管理平台。信息采集与管理模块是一个提供资源上载服务的模块,它允许上传各种类型的数据文件如办公文档、文本、图片、XML、HTML、各类报表、图像、和音频/视频信息等等。系统管理模块是系统管理员对信息服务与平台进行系统相关配置和权限分配管理等。

信息服务与管理平台还提供一个辅助决策动态显示的功能,能够运用直观的图表形式对ARP系统数据进行分类的统计和显示,能够为领导层进行辅助决策支持服务。通过对信息服务与管理平台功能分析,我们可以发现,信息服务与管理平台除了满足ARP系统数据查询和分析的普通功能外,如普通用户查询个人信息、院所两级数据交换等,它还具有提供数据挖掘和数据分析以及数据显示的创新功能,能够为ARP系统关键用户进行业务数据深入分析和加工提供平台,为领导层把握全所情况进行决策提供有力支持和辅助。

2. 信息服务与管理平台应用现状

信息服务与管理平台从部署开始,中国科学院ARP中心就进行了针对性的培训和推广。对于信息服务与管理平台的功能也在持续性的优化和完善。2011年7月,院ARP中心在西安针对信息服务与管理平台开设了信息服务与管理高级培训班,全国大部分研究所都参加了培训。这对于信息服务与管理平台在所级应用起到了积极的作用。2011年年底,在研究所进行ARP系统年底评估时,信息服务与管理平台承担了数据质量检查的功能依托作用并平台本身作为被检查的对象,这也从侧面促进了信息服务与管理平台的所级应用。

大部门研究所的系统管理员兼任了从事信息服务与管理平台所内推广的角色。根据作者所在的中国科学院广州分院情况,一些研究所系统管理员也积极进行了信息服务与管理平台的推进工作。比如亚热带农业研究所以及广州能源所,都针对全所用户进行了信息服务与管理平台使用的所内培训会,中国科学院广州能源所为研究所领导撰写了《ARP系统辅助决策动态展示功能介绍》操作文档等。

经过院所两级应用推广,信息服务与管理平台应用现状如何,本文将以中国科学院广州能源所为例进行分析。以下数据均来自于中国科学院广州能源所ARP系统,起始时间为2011年1月6日,截止时间为2012年8月26日。

中国科学院广州能源所信息服务与管理平台在2011年1月6日到2012年8月26日投入运行1年零7个月以来,除去系统管理员登入进行操作部署的272次,全所ARP用户共登入信息服务与管理平台12682人次。中国科学院广州能源所ARP系统有效用户数共553人,登入使用信息服务与管理平台人数共431人,使用平台的人数比例达78%。由此可见,信息服务与管理平台为绝大数的ARP系统用户所使用,具有较好的适用性。

而在所级ARP系统普通用户登陆信息服务与管理平台进行使用的功能人次(数据均去除了系统管理员进入系统进行操作配置的次数,以下均是)统计如图1所示。从图中我们可以看出,在研究所,普通用户对自己的课题信息最为关注,其次为个人欠费信息。而课题负责人对于经费收支概况以及课题经费明细查询关注度最高。在实际系统中,能够查询经费收支概况以及课题经费明细查询的用户数远远小于普通用户,但从图表数据可以看出,查询经费收支概况功能的使用人次却远在于普通用户查询功能之上。由此可见,涉及课题经费查询功能是信息服务与管理平台最受用户欢迎的功能模块。

普通用户除了利用平台内配置好的功能进行资源信息查询外,还根据自己查询需求,配置查询参数完成自己个性查询需求。数据统计在数据统计期间共有402人次的新建参数的配置操作。图2显示出其中配置参数人次位于前列的参数情况。从图中可以看出,“任务来源”是配置次数最多的参数。因此平台可以对应的将配置次数多的参数在系统内配置为默认参数,位于用户易于体验的位置。

从中国科学院广州能源所ARP系统普通用户运用信息服务与管理平台的情况来看,信息服务与管理平台应用发挥了其强大的查询功能,但同时也可以看出查询功能模块被使用的差别比较大,一些查询模块很少甚至几乎没有被用户使用过。

中国科学院广州能源所ARP系统关键用户除了作为普通用户一员使用信息服务与管理平台外,利用信息服务与管理平台进行业务模块操作的情况如何呢?图3显示的是广州能源所ARP系统关键用户利用平台进行业务相关操作的使用情况。从图中我们可以看出,利用信息服务与管理平台进行相关业务查询和分析的模块主要是一期上线的模块,人事、财务、资产及科研项目模块,而其他模块的关键用户还未能利用信息服务与管理平台进行相关业务的分析。

科研模块关键用户利用信息服务与管理平台完成科技资源统计,因此使用效率最高。虽然人事、财务、资产及科研项目模块利用了信息服务与管理平台进行相关业务分析,但这种分析和应用大都停留在使用业务查询分析功能,进一步的数据挖掘还未有实施。因此信息服务与管理平台应用效率的提高对研究所关键用户提出了要求。

综合中国科学院广州能源所普通用户以及关键用户使用信息服务与管理平台的情况,我们可以看出,(1)研究所使用信息服务与管理平台的人数较多(中国科学院广州能源所使用平台的人数占到总用户数的78%);(2)信息服务与管理平台能够满足所级ARP系统普通用户的查询需求,其中对于课题经费相关信息以及个人课题信息、欠费信息、工资信息等是普通用户关注的热点;(3)研究所关键用户利用信息服务与管理平台进行业务分析的使用还不够,应用效率在关键用户层面较低,需要提升。

二、提高应用效率的几点建议

1. 提高ARP系统数据质量

如果将信息服务与管理平台比喻为巧妇,那么ARP系统内的数据就对应为大米。“巧妇难为无米之炊”。ARP系统经过近十年的应用,系统内的数据数量有保障,但是由于研究所信息化水平有高低,从事业务的业务人员有区别,系统内数据质量参差不齐。巧妇用坏米煮出的饭,危害可能更大。对应的,错误的数据分析出的结果会与现实情况偏离,对应做出的辅助决策也是有偏差的。因此,提高信息服务与管理平台应用效率,数据质量是需要保证的第一关。

中国科学院ARP中心也在为提高ARP系统数据质量做出了许多努力,每季度都为研究所出具数据质量监控报告,2011年也下所对研究所数据质量进行了专项监督检查。对于院层面,研究所期望能够得到标准的数据质量的评估体系,这在具备评价评估同时也具有指导意义。

对于研究所层面,提高ARP系统数据质量,作者认为有两个关键,第一是研究所高层领导的重视。高层领导重视除了来源于ARP系统文化和培训之外,更重要的是需要信息服务与管理平台辅助决策功能的应用。只有数据质量高了,辅助决策功能才会应用效率和效果双赢;反之亦成立,辅助决策功能真正被研究所高层领导予以应用,数据质量要求就会由上而下贯彻。数据质量和信息服务与管理平台应用需要形成良性循环,互促互进。第二,研究所各业务模块关键用户的细心和责任。这一块工作,除了运用评估评价硬性指标要求外,更应该着重发挥ARP文化的凝聚力。尤其对于ARP系统历史性数据质量问题,补缺补漏工作量大,ARP现任关键用户积极性的调动是解决问题的关键。研究所可以尝试形成自己研究所的ARP团队和文化。如广州能源所针对ARP系统关键用户设有ARP关键用户嘉奖制度,虽然物质奖励力度很低,但效果显著。

2. 调动用户主动反馈建议,优化平台功能,增强用户友好应用体验

自信息服务与管理平台部署应用以来,中国科学院院ARP中心一直在对平台进行不断优化和完善,研究所信息服务与管理平台后续优化部署多次。优化平台功能是信息服务与管理平台仍然需要保持和促进的,而优化平台功能应着重发挥研究所用户力量。

由于信息服务与管理平台模块与其他业务模块有本质的区别,其他业务模块与平时业务工作密切相连,所以遇到的问题和建议,用户必须并且愿意向上反馈。但信息服务与管理平台与业务工作存在一定的分离,所以在平台上遇到的问题或建议,用户难以主动的去反馈。

调动用户主动反馈建议,优化平台功能是促进信息服务与管理平台应用的有力帮手。信息服务与管理平台在研究所已经运行近两年,通过主动收集用户意见,可以有效针对性的进行功能完善和开发。如研究所知识产权关键用户反映,信息共享与服务模块里报表分析下的科研项目内的产出物管理分析功能就可以取消,因为知识产权模块上线前的产出物管理内的内容都迁移到知识产权模块。作者通过平时的系统管理和信息服务与管理平台推广经验,发现一些ARP系统普通用户认为信息服务与管理平台没有一期的查询平台好用。作者思考认为,信息服务与管理平台无论从功能还是服务上,都优于一期的查询平台,而一些用户之所以认为查询平台好用的原因恰恰是因为它的简单明了。因此,提高信息服务与管理平台应用效率应着重考虑加强普通用户的友好应用体验。

3. 针对ARP关键用户进行平台应用的系列强度培训

从中国科学院广州能源所信息服务与管理平台现状分析,可以看出虽然ARP系统普通用户使用信息服务与管理平台频率高,但ARP关键用户利用信息服务与管理平台进行业务分析和业务数据挖掘的效率很低。这违背了信息服务与管理平台的出发点,也浪费了信息服务与管理平台强大而优秀的功能。因此提高平台的应用效率急需对ARP关键用户进行平台应用的系列强度培训。

虽然院所两级都针对信息服务与管理平台的应用进行了培训,但针对ARP关键用户业务分析和数据挖掘的培训还相对较少。建议将信息服务与管理平台培训融入到各关键用户的业务培训中,将业务分析和数据挖掘作为业务模块的一部分,更有利于关键用户的理解和应用。也可以在ARP文化活动中,增加信息服务与管理平台业务分析的比赛或总结内容。促进ARP关键用户对平台的应用。同时对于信息服务与管理平台所级推广角色的系统管理员或其他人员,应该加强信息服务与管理平台的应用,突破系统管理的内容,加强业务分析、辅助决策等相关内容,提高他们的知识转移能力,从而在研究所信息服务与管理平台的应用推广中,知识转移并创新。

4. 针对所级高端用户,推广决策支持应用

所级高端用户对平台的应用是推动信息服务与管理平台应用,推动所级ARP系统应用的重要催化剂。针对所级高端用户推广决策支持应用,除了是上述属于ARP数据质量良性循环中的一环,还是ARP系统发挥作用的目的之一,即实现“决策依据科学化”。提高信息服务与管理平台应用效率,尤其是提高决策支持应用时,我们需要走出建设完备再应用的误区。

决策支持应用是信息服务与管理平台的最高功能,但这绝不意味着必须建设完备才能应用。针对所级高端用户推广决策支持应用,一方面能够发现决策支持功能本身是否完善和是否需要进行优化,另一方面能够检阅ARP系统数据或者信息。这两个方面假如存在问题,被发现对应被解决,信息服务与管理平台才能够进一步被优化,从而更有效率的被应用。而针对所级高端用户推广决策支持应用,需要院层面有意识的培训,也需要所层面由下而上的建议和配合。总之,院所两级的努力值得为推广决策支持应用而付出。

三、结语

信息服务与管理平台是ARP系统展示的窗口,是实现ARP系统整体目标的重要部分。提高信息服务与管理平台应用效率,对研究所ARP系统的推广,对研究所科研管理水平的提高,对研究所决策支持依据科学化强化,都有积极的促进作用。期望作者对信息服务与管理平台所级应用的思考,能够为ARP系统的应用推广有所裨益,期待能够为ARP的下一个十年继续添砖加瓦。

参考文献

[1]中国科学院信息办公室.管理创新的重大举措[J].中国科学院院刊,2003,(6):432～435.

[2]王凤霞,卢景秀,杜义华.基于数据挖掘的ARP数据分析系统[J].计算机系统应用,2012,(4):27～30.

[3]王玉杰.企业实施ERP培训存在的问题与措施[J].前沿,2012,(6):98～99.

ARP应用 第6篇

ERP (Enterprise Resource Planning, 企业资源计划) , 是指建立在信息技术基础上, 以系统化的管理思想, 为企业决策层及员工提供决策运行手段的管理平台。ERP系统具有人力资源管理、供应链管理、项目管理、财务管理和市场销售管理等多种功能, 旨在通过使用计算机来达到企业管理的自主化、自动化和信息化, 从而能够提高企业的总体生产效率。ERP系统的管理理念较早得到了科研院所的认可, 其中最具代表性的就是中国科学院资源规划项目 (Academia Resource Planning, ARP) 系统的推广应用。

中国科学院是国家科学技术方面最高学术机构, 也是全国自然科学与高新技术综合研究发展中心, 肩负着国家科技进步和推进国家现代化的重任, 它的信息化建设水平对反映科研院所的信息化水平具有代表意义。2002年中国科学院提出科研管理活动的信息化, 即启动ARP项目建设, 最终目标是要实现中国科学院的资源规划信息系统工程。ARP项目从中国科学院院所两级治理结构出发, 以科技计划与执行管理为核心, 综合运用创新的管理理念和先进的信息技术, 对全院人力、资金、科研基础条件等资源进行配置, 对相关管理流程进行整合与优化, 以构建有效的管理服务信息技术平台。通过ARP项目的实施, 进一步推进中国科学院管理创新, 不断提升管理工作水平和效率, 促进科技创新和人才培养效益的最大化。

经过十余年的发展, 中国科学院在全院100多家科研院所开通了ARP系统, 并逐步扩展了网上报销、预算管理等系统功能, 实现了决策依据科学化、资源配置最优化、管理工作协同化、工作流程规范化和信息资源共享化的目标。

2 ARP系统在科研院所财务管理中的积极作用

财务管理是整个科研院所管理的核心, 财务模块是整个ARP系统的核心模块, ARP系统的推广应用对科研院所财务管理水平的提升起到了重要作用。

2.1 有利于财务信息采集模式更新, 提高会计基础工作效率

实施了ARP系统后, 能够对财务数据进行快速准确的收集、处理和传递。部门、人员、科研项目、固定资产等基础信息直接通过财务模块的外围模块录入, 通过网上报销系统自动生成记账凭证, 大大地减少了传统财务软件下手工输入数据的重复性, 有效减少数据录入出错率, 提高了会计基础工作效率, 保证了人力数据、物力数据、业务数据与资金数据的一致性。

另外, 利用互联网技术的开放性, 通过角色授权, 可以把财务数据适当地集成和共享, 打破了传统财务信息在时间和空间上的限制, 满足管理者对实时财务信息的需求。同时, 可以提高科研院所要求相对较高的保密项目等会计数据的安全性, 提升了会计凭证和会计单据的存档质量。

2.2 有利于提高财务人员的专业能力, 创新财务管理理念

传统科研院所体制下, 强调专款专用, 科学事业单位会计制度采用收付实现制原则, 财务核算难度小, 大多数财务人员财务管理和会计判断等专业能力薄弱。现代科研院所经营业务日益多元化, 新的《科学事业单位财务制度》的颁布对会计核算和财务管理工作提出了新的要求。这对科研院所财务人员的工作提出了挑战, 亟需培养一支高素质的财务管理人才队伍。

ARP系统的应用, 降低了日常会计核算工作量, 丰富了财务信息来源, 有助于财务人员转移工作重点, 实现由会计核算者向财务管理信息和财务决策信息提供者的转变。ARP信息系统把科研院所的人力资源、物力资源和财力资源通过计算机和信息技术网络整合于一体, 财务人员充分地参与到科研院所的事业管理之中, 能够及时地处理和分析财务系统中出现的问题, 收集和反馈相关的财务信息, 从而为领导的各种决策提供有价值的依据。财务管理人员将把提升科研院所的总体价值作为最新的使命, 并且为科研院所的未来发展服务。

2.3 有助于加强财务预测和分析能力, 提升预算管理水平

科研院所财务工作执行事业单位财务规则, 隶属于预算会计体系, 以预算管理为中心, 以预算收支核算为重点。科研院所一方面接受国家科技管理部门对科研经费的严格监管, 一方面强调市场竞争能力的提升。这需要科研院所拥有较为完备的核心业务信息系统、财务信息系统、流程监控信息系统的支持, 采用合理的管理方法降低成本, 提高资源利用效率, ARP的应用正好提供了这样一种管理平台。

通过ARP系统的科研项目模块和预算管理模块, 各研究中心的项目支出可以进行多维度、交互即时汇总。这些数据在不同角度的即时处理, 可以使管理层快速得到需要的信息, 实现对科研项目预算大类和预算总金额的控制, 做到了对预算管理需求的快速响应;利用ARP信息系统的资源共享功能, 财务预算信息能够在得到授权的层级共享, 使课题负责人、科研项目管理人员等的管理需求和信息供给完全一致, 避免了决策的相互冲突, 加强了行动的协同性;ARP系统提供了信息化集成的最佳方案, 以价值链为基础, 将科研院所的人力、资金、信息进行有效整合, 为企业管理层制订、落实行动方案提供了有效支撑, 使财务管理的事前预测、事中控制成为现实, 真正实现了预算会计的管控职能。

2.4 有助于提高科研院所的内部控制, 降低科研经费流失风险

随着国家科研经费投入的日益增大, 科研经费流失风险问题突出, 国家“十二五”科技发展规划明确提出要“根据科研活动的规律和特点, 加强科研经费的过程监管”。

ARP本身就是一个控制系统, 它为内部控制的有效运行提供了支撑。首先, ARP系统的实施能够有效解决传统信息系统下信息孤岛的问题, 记录所有活动的相关数据, 提供所有可能相关的信息。这样做出决策可依据的信息数据类型更广, 更多维, 数据重复更少, 决策力更强, 有助于实现全面控制活动过程。其次, ARP系统有助于企业实现实时控制。ARP系统的有效实施能够解决传统系统信息处理滞后的问题, 自动记录业务直至产生报表, 使科研院所能实时控制内部资源。再次, ARP环境下, 加强了财务人员和科研人员的沟通, 财务信息对相关课题负责人公开透明, 并通过预算管理模块, 限制预算大类超支, 为国家审计节省了人力物力, 保证了科研经费使用的合规性和效益性。

3 ARP系统在科研院所财务管理中存在的问题

随着我国科学研究事业的不断发展, 科研院所由公益性角色逐步向市场竞争角色的转变, 科研院所越来越重视对科学事业的管理, 尤其是对信息系统的应用和管理。但是, 还有很多的科研院所对ARP系统的认识不足或者管理者的综合素质不高, 导致了许多问题的出现, 进而影响了科研院所的总体经营绩效。ARP系统在科研院所财务管理中存在的突出问题如下:

3.1 对整个ARP系统的认识不够, 未能推动ARP系统有效实施

部分科研院所缺乏对ARP系统的管理思想和管理软件的认识, 领导参与到ARP系统中的管理不到位, 没有引起足够的重视。将ARP信息系统中出现的问题归入技术问题之中, 过分地看重信息功能, 而忽视了其管理职能, 甚至将其视为一种繁琐的和跨度周期过长的管理系统, 持排斥心理。

部分科研院所未能有效解决ARP实施过程中出现的诸多矛盾, 比如ARP的集成性与各部门的协调性之间的矛盾、ARP的应用范围很广与数据收集量巨大之间的矛盾、科研院所管理人员的素质低下与ARP信息系统的先进性之间的矛盾、ARP的有效性与合理性之间的矛盾等。这些矛盾的存在和不断激化可能导致ARP系统不能真正地为科研院所所用。

3.2 ARP系统功能使用不彻底, 未能全部实现财务管理信息化

中国科学院下属的各家科研院所在管理模式和管理流程上不尽统一, ARP系统在某些方面难以通用。部分院所管理者观念上对系统功能认识不够, 不愿意改变固有的管理模式, ARP系统在科研院所财务管理中的应用呈现出不平衡的态势。部分科研院所未实现薪酬模块和总账模块的互联, 未能通过工资薪金发放明细信息自动归集生成会计分录并导入总账模块, 不能保证薪酬模块与总账模块数据的完全一致性。部分科研院所一再延迟预算管理模块的上线, 不愿意受制于系统对预算大类的限制, 存在会计科目与预算大类之间任意组合、随意调整的现象。

另外, 网上报销系统目前仅实现了网上提交报销单功能, 未能将报销的原始单据等扫描入网上报销系统, 从而未能实现完全的电子化签批, 停留于电子报账和纸质签批并存的半自动化阶段;尚未启用合同管理系统, 未与网上报销系统互联, 无法实现合同经济条款对财务付款业务进度的控制;采购模块和库存模块待启用, 对于一些大型的仪器设备等采购事项, 无法从采购申请阶段即采集信息, 未实现成本支出预测和资金统筹安排。对于科学研究过程中使用量大且部分价值较高的科研专用材料, 无法真实反映收发存实物信息, 从而做好科研材料的精细化管理。

3.3 财务人员在ARP系统建设过程中发挥的作用有限

在项目建设前期, 财务人员由于受到种种因素影响, 常常难以提供及时、合适、正确的流程设计思路。在ARP系统上线后, 又忙于财务系统的操作, 不能成为系统真正意义上的主人, 无法很好地驾驭财务系统管理职能, 管理效率和成本管控并没有明显改善, 反而苦于流程复杂, 工作量增加。

4 ARP系统在科研院所应用前景分析

随着科研院所ARP系统使用的熟练和事业管理水平的提升, ARP的系统功能将进一步扩展。

4.1 ARP系统的财务管理空间进一步拓展

随着ARP系统对科研院所财务工作的“包揽”, 财务人员会有更多的精力和机会去开拓财务管理的空间, 把越来越多的科研院所资源纳入财务管理。除传统的资金、材料、设备等资源的规划外, 还将扩展至人力资源管理。结合科研院所知识型人才密集的特点, 科研院所将利用ARP系统进行人力资源价值管理, 对人力资源进行评估, 充分挖掘科技人才价值。

4.2 ARP系统将用于成本管理, 提升绩效

随着科研院所转制工作的推进, 科研院所逐步走向市场化经营。科研院所的成本管理问题将成为重点难点, 需要一个能够协调所有计划、管理各种成本的全面且集成化的综合系统。ARP系统将用于成本管理, 对成本的获利能力进行分析和比较。此外, 通过对所有成本的管理使用一个统一的标准和体系, 保证收集到的数据具有一致性, 建立一个标准的成本体系。对所有物料的收、发、存进行标准的核算, 把成本的费用控制在科研院所能够承受的范围内, 提高科研绩效。

4.3 ARP系统将扩展外端接口功能

受项目资金性质限制, 使用财政资金的科研设备等采购均须遵循《政府采购法》的相关要求。政府采购目录一般会定期更新, 这就需要科研院所及时掌握最新数据, 及时上报“政府采购计划”;当需要进口设备时, 向财政部门申请变更采购方式。ARP系统将实现采购模块与政府采购系统、财政部采购方式变更审批系统等的互联, 从根本上规范采购方式的合理性。

随着国家科研投入的日益增加, 科研院所资金流量和存量额日益增大, 财务工作结算任务重。通过开放网上报销系统与银行结算系统端口, 实现银企互联功能, 将大大减少银行支付系统的录入工作量和工作差错, 降低财务人员资金支付压力。

4.4 ARP系统由管理信息系统向决策应用系统转变

在未来, 科技进步对经济增长的贡献率大幅上升, 中国将进入创新型国家行列。中国科学院坚持“创新科技、服务国家、造福人民”的发展宗旨, 落实“一三五” (一个定位、三个重大突破、五个重要培育方向) 规划, 积极探索激发创新能力的体制机制。ARP系统将用于支撑服务中国科学院“创新2020战略”, 进一步推进管理信息化的进程, 根据技术发展的要求, 建设中国科学院管理云环境, 实施“信息化管理与决策支持工程”, 实现由管理信息系统向决策应用系统的转变。

5 结论

ARP信息系统是一种先进的科研院所管理工具, 作为财务管理者要正确地使用ARP系统, 为整个科研院所的财务管理工作提供便利。ARP系统的广泛应用, 使得科研院所的组织结构趋向于扁平化, 使信息沟通更加便利和有效。在科研院所的财务管理人员的财会知识方面也体现出现代科研院所管理的理念和最新模式。应进一步完善ARP系统, 充分发挥其在科研院所财务管理过程中的积极作用, 提升科研院所的综合竞争力。

摘要：随着我国科学研究事业的不断发展, 科研院所由政府主导的公益性角色逐步向市场主导的竞争性角色转变。要想在激烈的市场竞争中取得优势, 科研院所必须进行相应的体制改革和管理创新, ERP管理理念的引入是一项重要举措。本文以中国科学院ARP系统应用为例, 对ERP在财务管理中产生的积极作用、存在的问题和改进措施进行了系统的研究。

关键词：ERP,ARP,科研院所,财务管理

参考文献

[1]赖晓烜.对ERP环境下企业财务管理问题的几点思考[J].中国管理信息化, 2012 (12) .

[2]吕文勇.ERP系统在企业财务管理中的作用[J].现代商业, 2012 (23) .

ARP漏洞及其ARP攻击防范 第7篇

自从2005年ARP病毒首度发现, 到2007年CERNET应急响应组在报告里指出APR病毒是首要威胁, 再到今天的ARP木马病毒已经排在世界危害病毒的前5位, 它就像大型流感病毒一样, 极大地威胁着以太网用户的安全。的确, ARP病毒已经在相当程度上影响了网络的正常运行。ARP攻击有其自己的特点, 它造成的主要危害有:数据篡改及窃取、网络异常、非法控制等。表现症状为掉线、IP冲突、隐私信息泄露、网络速度受第三方控制等, 其根本原因是ARP病毒可以对网络参数进行强行修改。随着网络规模的日渐变大与网络节点的增加, ARP病毒攻击现象也随之日渐凸显, 所以分析ARP协议漏洞并且提出防范其病毒攻击的措施有着非常重要的现实意义。

1 ARP协议原理及其漏洞与攻击

1.1 ARP协议定义

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。地址解析协议是将OSI模型第三层逻辑IP地址映射成OSI模型第二层的物理地址 (即MAC地址) 。是在仅知道目标主机IP地址时为确定其MAC地址时所使用的一种协议。第三层即网络层的交互是靠IP32位逻辑地址进行通信的, 而到第二层数据链路层实际传输的地址必须要靠48位的物理地址 (即MAC地址) 才能够实现, 因为以太网的第二层交换设备是无法识别IP地址的, 所以必须通过ARP协议将IP地址映射成MAC地址才能完成通信。图1为ARP协议与IP层协议之间的逻辑图。

1.2 ARP协议工作原理

安装了TCP/IP协议栈的主机会有一个ARP高速缓存, 里面有所在同网段上的各主机和路由器的IP地址到MAC地址的映射表。在一个内网中, 如果主机Y向主机X (IP地址为x.x x.x, MAC地址为xx-xx-xx-xx-xx-xx) 发送IP数据报, 那么主机Y会在其缓存表中寻找有无主机X的IP地址, 如果有, 那么就可以查出主机X的MAC地址, 然后将MAC地址写入MAC帧直接发送。如果没在ARP缓存表中找到主机X的IP地址, 那么主机Y会在内网中发送一个广播, 内网上所有主机都会收到, 但是只有主机X会响应这个请求, 当主机Y收到主机X的响应后, 主机Y的ARP高速缓存表就会写入主机X的IP地址到其MAC地址的映射 (如图2所示) 。ARP缓存表采用了所谓的老化机制, 也就是说, 该表会在主机需要的时候进行刷新, 在一段时间内如果表中的某一行映射关系没有使用, 系统就会自动删除该行, 这样可以减少ARP表的长度, 提高查询速度。

1.3 ARP协议漏洞

ARP协议是一个网络中必不可少的协议, 虽然它有着高效率的映射机制, 但是美中不足之处在于, 作为一个局域网协议, 它在设计之初并没有把网络安全因素考虑进去, 而是把网络的安全和信任作为其前提条件。ARP协议是工作在IP协议层的更底层 (即OSI模型第二层) , 因此它的危害更加隐蔽, 这也是为什么ARP欺骗更能让人在神不知鬼不觉的情况下出现网络故障的原因。ARP协议机制有着动态性、无认证性、无连接性、广播性等安全隐患。这些弊端是ARP协议本身固有的缺陷, 如果做较大修改则会破坏它与TCP/IP协议栈的兼容性。以下是ARP协议漏洞的具体分析。

(1) 动态性。所谓动态性是指ARP高速缓存可以随时根据接收到的ARP数据包进行动态更新。由于主机间ARP缓存表在一定的时间段里需要动态更新, 这样欺骗者就可以在被攻击主机下次缓存表更新之前对其进行修改, 于是便可以对该主机进行欺骗和攻击。

(2) 无认证性。无认证性是说只要主机接收到的ARP数据包是有效的, 该主机就会无条件地刷新ARP缓存表, 而无需认证。这样就会给欺骗者提供了修改被攻击主机的机会, 对被欺骗者主机的ARP缓存表进行修改, 而该主机并没有提供检验IP地址到MAC地址映射表的检验机制, 不会考虑它的真实性。

(3) 无连接性。是指任何主机随时都可以接受ARP数据包, 即便该主机没有发出ARP请求时, 也可以做出ARP应答。并用其接受的信息刷新其ARP缓存表。

(4) 广播性。ARP的请求是以广播的方式进行的, 由于主机不知道目的主机的MAC地址时需要在局域网中进行广播, 这样欺骗者就可以伪装ARP应答, 与发送广播的主机实际要通信的计算机进行恶性竞争, 欺骗者还可以知道什么时候该内网的计算机刷新ARP缓存表, 以确保可以最大限度的进行攻击。

1.4 ARP攻击

(1) 伪造网关。简单来说就是欺骗者主机伪装成网关, 而其他受骗主机本来该发往网关的数据包却发往了假网关, 导致受骗主机不能上网。这也是所谓的拒绝服务攻击 (DoS攻击) , 如图3所示。

(2) 中间人攻击 (Man-in-the-Middle Attack) 。是指攻击者插入到通信双方的连接中, 截获并且转发双方数据包的行为。这样通过获得数据包可以获得有价值的信息, 同时也可以篡改信息, 于是信息的机密性和完整性就遭到了破坏, 如图4所示。

(3) 对网关的攻击。由于ARP协议的无连接性、无认证性、和动态性, 攻击者将发送给网关一系列错误的内网MAC+IP地址, 并按照一定的频率不断地进行, 使真正的地址信息无法通过更新保存在网关中, 结果网关的所有数据只能发送给错误的MAC地址, 造成正常主机无法收到信息。

(4) ARP泛洪攻击。攻击者伪造大量的ARP报文, 在内网中进行广播, 导致网关ARP缓存表被占满, 合法用户的ARP表项无法正常学习, 导致合法用户无法正常访问外网。主要是对局域网资源消耗的一种攻击手段。

(1) 由于ARP协议的无连接性和无认证性, 攻击者可以不断地向客户端client发送数据包, 称网关对应的MAC地址为MAC_C; (2) 客户端client想要上网时, 使用MAC_C网关地址发送数据包, 真正的网关发现MAC地址并不是自己的MAC_B, 于是忽略客户端发送的该数据包, 导致客户端不能与外网进行通信。

(1) 攻击者不断地向客户端client发送响应数据包, 欺骗说网关的MAC地址MAC_C; (2) 攻击者不断地向网关发送响应数据包, 欺骗client客户端的MAC地址为MAC_C。

2 ARP攻击防范

ARP攻击的最根本途径就是攻击者利用ARP漏洞的特点进行攻击, 即利用了主机对ARP应答的无条件信任, 强行修改主机ARP缓存表的条目, 进而实现了各种攻击。因此防范ARP攻击就要保证缓存表中MAC地址与IP地址映射关系的正确, 尽可能地做到防范对缓存表的非法篡改。

2.1 用户端计算机的防范范畴

(1) 设置静态的APR缓存。欺骗是通过ARP的动态性实时规则欺骗内网主机的, 所以我们把内网主机的ARP缓存表设置为静态, 攻击者即便向主机发送ARP响应包, 主机的ARP缓存表也不会进行刷新, 从而一定程度上避免了ARP欺骗的发生。即用户在DOS提示符下先利用arp-a命令, 再利用arp-s命令在网内主机上绑定网关的IP和MAC地址。同时在网关也要进行IP地址和MAC地址的静态绑定, 双向的绑定使得内网安全性更高。但是这种方法也有明显的不足, 在经常变化的网络环境中靠手工维护ARP缓存表对于维护人员来说工作量是非常巨大和繁琐的。

(2) 安装杀毒软件。及时对杀毒软件的病毒库进行更新, 同时对系统补丁及时进行更新安装;安装ARP防火墙或者开启ARP局域网防护;安装Sniffer, ArpKiller等软件防止ARP攻击。

(3) 通过RARP协议进行判断。RARP是反地址协议, 它的功能刚好和ARP协议相反, 是用来知道了MAC地址从而确定IP地址的协议。在局域网中如果主机发送一个RARP请求, 若发现一个MAC地址对应了多个IP地址, 则说明拥有该MAC地址的主机受到了ARP克隆攻击。

2.2 内网管理范畴

(1) 使用可防御ARP攻击的三层交换机, 第三层交换技术用的是IP路由交换协议。绑定端口MAC和IP地址;限制ARP流量;采用VLAN技术隔离端口, 内网管理人员可以根据本单位的网络拓扑结构划分若干个VLAN, 这样既能够在发生ARP攻击时减少受影响的网络范围, 又可以方便定位出现攻击时的网段和主机。

(2) 设置ARP服务器, 指定内网中某台主机为ARP服务器, 用来专门保护并且维护可信范围内所有主机的ARP缓存表。该服务器通过查阅自己的ARP缓存的静态记录并且以被查询主机的名义响应局域网内部的ARP请求。同时设置内网中的其他主机只使用来自该ARP服务器的ARP响应。当然前提是该ARP服务器没有被攻击者所攻击。

(3) 使用网关监听网络, 利用网关截取每一个ARP数据包, 并且分析该数据包包头的源地址、目的地址和ARP数据包的协议地址是否匹配。

(4) 可以对内网中传送的数据进行加密, 即使加密数据包被截获也增加了攻击者破获数据包的时间成本。

(5) 因为ARP通信双方的交互流程缺乏一个授信机制, 要从根本上解决ARP攻击问题可以在网内的通信双方建立一个可信任的验证体系。

3 结束语

由于ARP协议自身的漏洞的原因, 给ARP欺骗攻击滋生提供了温床。本文有针对性地提出了漏洞所在和基于漏洞攻击的防范机制, 并从软硬件、单个主机和局域网其他网络设备等方面立体式提出了具体解决方案。随着网络技术的不断发展, 在网络安全的领域里也给技术人员和网络用户们提出了更多的难题。在这种情况下不仅需要用户自身做好防范工作, 网络管理人员更要提高警惕, 确保网络的正常运行。

参考文献

[1]谢希仁.计算机网络[M].北京:电子工业出版社, 2004.

[2]杨延双.TCP/IP协议分析与应用[M].北京:机械工业出版社, 2007.

[3]胡恒峰.驱除恼人的ARP攻击[J].科学24小时, 2008 (Z1) .

[4]程春, 杨春.关于IP的几种欺骗的分析与研究[J].四川师范大学学报, 1999 (4) .

[5]R ITANJALI MAJHI, G.PANDA, G.Sahoo efficient prediction of ex-change rates with low complexity artificial neural network models[J].Expert Systems with Applications, 2009, 36:181-189.

[6]郑先伟.Cernet应急响应组2007年5月报告:ARP欺骗是首要威胁[J].中国教育网络, 2007 (7) .

ARP应用 第8篇

自清华大学作为第一所国内大学建立了校园网, 随后越来越多的高校相机开始建立校园网。同时作为园区网的另一个主要团体-公司也开始着手建立本公司的园区网。局域网的建立大大方便了对于一些共有资源的访问。但是目前, 大大小小的园区网中存在的问题众多, 在这其中, ARP欺骗有愈演愈烈的趋势。

1“ARP欺骗”

1.1“ARP中毒”症状

日常生活中我们实际上经常遇到ARP欺骗的现象, 只不过有时候我们没有注意到, 我们的主机只是受到了牵连。本文对于日常中常见的ARP欺骗的现象做如下总结:

(1) 、频繁出现“ip地址冲突”或“某某ip地址与某某MAC地址冲突”的提示信息

(2) 、打开网页非常慢

(3) 、网络连接正常, 但是联网困难, 有时需要多次连才能连上

1.2 ARP欺骗原理

(1) ARP协议

ARP (Address Resolution Protocol) 是局域网内用来进行地址解析的协议, 该协议负责将IP地址映射到MAC地址。

局域网内两台主机之间的通信必须要知道对方的MAC地址, ARP是一种数据链路层协议, 而我们通常所说的IP协议是工作在网络层, 当不同局域网之间通信的时候必须要通过路由器内的路由表进行转发, 而在局域网内部转发数据包的时候需要数据链路层发挥作用。因此真正决定数据包发送目的地址的是MAC地址, MAC地址唯一标识一台主机。当A主机想要与同一局域网内的B主机发送消息时, 首先查找B主机的IP地址在本主机的ARP缓存表中有无对应MAC地址, 若没有, 则发出ARP请求报文, 该请求报文在该局域网内广播, 所有主机都能收到该请求报文, 收到报文的主机查看报文里面封装的IP地址是否与自己的一样, 若相同则把自己的MAC地址写进ARP应答报文中, 发送给发送请求报文的主机。请求主机收到确认报文后, 重新写进自己的arp缓存表中, 更新缓存表。

(2) ARP协议漏洞

ARP协议设置的前提是本局域网内的所有主机都是“可信任的”。所有ARP协议没有对收到的ARP确认报文进行身份认证, 并且也不要求对发出去的每一个请求报文都要求有确认报文, 同时也不对每一个收到的确认报文进行身份认证和是对某一个请求报文的回复。

(3) “ARP欺骗”工作原理

ARP攻击主利用ARP协议不验证收到的回复报文是不是自己所发出的的请求报文的确认, 以及回复者身份是否合法, 确认报文中的IP地址是否是发送方的真正IP地址。

当发送请求方收到错误的IP-MAC关系映射后, 仍然写进自己的ARP缓存表中, 因此, 当发送方发送消息的时候实际上是按照错误的MAC地址发送给了错误的“IP指向者”。如果该攻击者是截取了网关的IP地址, 把自己伪装成网关的话, 将会造成本地局域网内的所有主机不能上网, 或是信息泄露, 从而造成重大影响。

2 文献综述

张云高, 吉杰在 (2009) 《ARP欺骗的自动探测、定位和隔离》一文中通过研究分析MAC地址和多个IP地址对应的情况的分析, 定位攻击者的MAC地址, 然后定位相应的交换机借口, 最后关闭该接口从而达到隔离ARP攻击的目的, 在该方法中还借助了数据库技术和SNMP技术, 自动完成该探测、定位、隔离过程。

金培莉等 (2009) 在《ARP欺骗分析及快速防御机制的建立》一文中在三层园区网设计的基础上通过对汇聚层交换机和接入层交换机的IP与MAC地址对应关系分析是否存在ARP攻击, 以及定位攻击者的接入端口, 从而关闭端口以达到隔离的目的。

3“静态ARP”和“DAI“两种方法解决ARP欺骗

(1) 工作原理

正常情况下, 可以联网的主机用arp-a查询本地主机的ARP缓存表, 有若干个IP-MAC地址映射关系。当主机收到ARP攻击后可能会出现两种情况:一是主机不能上网, 查询ARP缓存表发现存在IP与MAC地址多对一关系。二是主机不能上网, ARP缓存表为空这种情况是彻底攻击了主机的网卡。

这里主要介绍对于伪造网关的arp欺骗如何解决, 在命令行界面中使用arp–a查看主机arp缓存表的IP-mac对应关系。使用arp–d刷新当前主机的arp缓存表, 并且通过arp–s设置当前主机的arp缓存表内容, 通过该命令设置的缓存表是静态的IP-MAC对应关系, 该信息是存储在硬盘上, 是随着操作系统的启动而执行的, 是不会被删除的。因此成为静态ARP表。

(2) 用sniffers软件实施ARP攻击

(1) 两台主机A和B, 其中A作为攻击主机, B作为被攻击主机。

(2) 检测实施ARP攻击之前被攻击者的arp缓存表信息, 这里我们使用sniffers抓包软件进行抓取的数据包分析。

(3) 在A主机上使用sniffers软件对B主机进行arp攻击。

(4) 检测B主机arp缓存表是否发生变化, 同时用360查毒软件检查是否受到arp攻击。

(3) ARP攻击效果

(1) 实施ARP攻击之前的B主机的网关以及ip地址

(2) ARP攻击前被攻击主机ARP缓存表

参照相关教程文献在在A主机上运行Win Pcap, 然后在攻击机里面安装并运行“局域网终结者”, 并且写入目的主机ip地址, 如192.168.1.104。然后开始对目标主机实施攻击。

(3) 攻击后查看您被攻击主机网络连接状态:

(4) 目标主机arp缓存表

(4) 静态ARP方法

通过命令arp-s设置网关IP-MAC关联。在windows XP中在cmd中设置代码如下:

但是在win7中必须以管理员身份运行cmd界面, 并且命令如下:

netsh–c i i show in//找到正在使用的网卡idx号11, 然后运行如下设置命令完成ip与mac地址绑定:

netsh–c i i add neighbors 11192.168.1.1.40-16-9f-b0-36-12

然后用arp-a命令即可查看现在主机ARP缓存表中的IP-MAC映射关系。

(5) DAI技术

开启交换机的DHCP监听特性。代码如下:

全局模式下开启交换机DHCP监听特性

Switch (config) #Ip arp inspection//全局模式下开启DAI功能

到此为止DAI配置完成, 然后可以show出DAI的配置信息:

命令如下:

(6) 实验结果分析

通过实验结果可以发现, A主机运用本文所提出的该种防范能够有效的检测出ARP攻击, 然后通过手动静态配置被攻击主机的ARP缓存表可以恢复该主机的上网功能。

4 结论

总结ARP欺骗难以根除, 因为这是来源与ARP协议的本身, 创设ARP协议的假设条件与显示不一致, 而导致的ARP协议在现实生活中使用中造成危害, 并且被不法分子利用。ARP协议本身没有病毒的自我复制的特征, 但是由于她是广播数据包, 因此同一局域网内都会受到错误的IP-MAC地址映射关系, 从而造成全网的关系瘫痪。因此, 损失重大。这里我们使用上面所提出的方法可以很好地解决ARP病毒的攻击。

摘要：地址解析协议是建立在互相信任的基础之上的, 本身存在漏洞, 随着近年来园区网的泛滥, 随之而来的ARP病毒也有愈演愈烈之势。并且局域网内一台主机感染ARP病毒, 有可能造成局域网内其他主机也造成影响。本文介绍“静态ARP”和“DAI”两种简单易行的方法防范ARP攻击。

关键词：ARP,DAI,防范,检测

参考文献

[1]金培莉, 岳江红, 曹东亚, 愈丞涛《ARP欺骗分析及快速防御机制的建立》中山大学学报200 (93) .

[2]罗琳《校园网ARP欺骗分析与防范检测技术》电脑知识与技术, 2009 (13) .

[3]谢希仁.计算机网络原理 (第5版) 电子工业出版社2007.

[4]邢金阁, 刘扬《ARP欺骗攻击的检测及防御技术研究》东北农业大学学报201 (28) .

ARP攻击与防范 第9篇

ARP (Address Resolution Protocol) 是地址解析协议, 是一种将IP地址转化成物理地址的协议。在局域网中, 一个主机要和另一个主机进行直接通信, 除需要知道目标主机的IP地址外, 还必须要知道目标主机的MAC地址。这个目标MAC地址就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。即ARP协议是用来来完成IP地址转换为MAC地址 (即第2层物理地址) 的。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的, 默认情况下, ARP从缓存中读取IP-MAC条目, 缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此, 只要网络上有ARP响应包发送到本机, 即会更新ARP高速缓存中的IP-MAC条目。在DOS窗口输入命令arp-a可以看到如下所示的对应关系:

通过以上示例可以看出, IP地址192.16.16.1对应的物理地址 (即MAC地址) 为aa-aa-aa-aa-aa-aa, 其类型为动态。我们以主机A (192.168.1.1) 向主机B (192.168.1.2) 发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问:“192.168.1.2的MAC地址是什么”?网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“192.168.1.2的MAC地址是bb-bbbb-bb-bb-bb”。这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

从上面可以看出, ARP协议的基础就是信任局域网内所有的人, 那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗, A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候, 把C的MAC地址骗为DD-DD-DD-DD-DD-DD, 于是A发送到C上的数据包都变成发送给D的了。这就正好是D能够接收到A发送的数据包了, 这样欺骗就成功了。

ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗, 从而在网络中产生大量的ARP通信量使网络阻塞。用伪造源MAC地址发送ARP响应包, 是对ARP高速缓存机制的攻击。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。当攻击者大量向局域网中发送虚假的ARP信息后, 就会造成局域网中的机器ARP缓存的崩溃。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候, 就会对本地的ARP缓存进行更新, 将应答中的IP和MAC地址存储在ARP缓存中。因此, 当局域网中的某台机器B向A发送一个自己伪造的ARP应答, 而如果这个应答是B冒充C伪造来的, 即IP地址为C的IP, 而MAC地址是伪造的, 则当A接收到B伪造的ARP应答后, 就会更新本地的ARP缓存, 这样在A看来C的IP地址没有变, 而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行, 而是按照MAC地址进行传输。所以, 那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址, 这样就会造成网络不通, 导致A不能Ping通C。这就是一个简单的ARP欺骗。

2 ARP欺骗的种类

ARP欺骗是黑客常用的攻击手段之一, ARP欺骗分为两种, 一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

前一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址, 并按照一定的频率不断进行, 使真实的地址信息无法通过更新保存在路由器中, 结果路由器的所有数据只能发送给错误的MAC地址, 造成正常PC无法收到信息;后一种ARP欺骗的原理是伪造网关。它的原理是建立假网关, 让被它欺骗的PC向假网关发数据, 而不是通过正常的路由器途径上网。在PC看来, 就是上不了网, “网络掉线了”。

一般来说, ARP欺骗攻击的后果非常严重, 大多数情况下会造成大面积掉线。有些网管员对此不甚了解, 出现故障时, 认为PC没有问题, 交换机没掉线的“本事”, 电信也不承认宽带故障。而且如果第1种ARP欺骗发生时, 只要重启路由器, 网络就能全面恢复, 那问题一定是在路由器了。为此, 宽带路由器背了不少“黑锅”。

3 ARP攻击主要的方式

3.1 简单的欺骗攻击

这是比较常见的攻击, 通过发送伪造的ARP包来欺骗路由和目标主机, 让目标主机认为这是一个合法的主机, 便完成了欺骗。这种欺骗多发生在同一网段内, 因为路由不会把本网段的包向外转发, 当然实现不同网段的攻击也有方法, 便要通过ICMP协议来告诉路由器重新选择路由。

3.2 交换环境的嗅探

在最初的小型局域网中我们使用HUB来进行互连, 这是一种广播的方式, 每个包都会经过网内的每台主机, 通过使用软件, 就可以嗅谈到整个局域网的数据。现在的网络多是交换环境, 网络内数据的传输被锁定在特定目标。既已确定的目标通信主机, 在ARP欺骗的基础之上, 可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。

3.3 MAC Flooding

这是一个比较危险的攻击, 可以溢出交换机的ARP表, 使整个网络不能正常通信。

3.4 基于ARP的DOS

这是新出现的一种攻击方式, DOS又称拒绝服务攻击。当大量的连接请求被发送到一台主机时, 由于主机的处理能力有限, 不能为正常用户提供服务, 便出现拒绝服务。这个过程中如果使用ARP来隐藏自己, 在被攻击主机的日志上就不会出现真实的IP, 攻击的同时, 也不会影响到本机。

4 定位ARP攻击源头和防御方法

4.1 定位ARP攻击源头

(1) 主动定位方式:因为所有的ARP攻击源都会有其特征网卡会处于混杂模式, 可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的, 从而判断这台机器有可能就是“元凶”。定位好机器后, 再做病毒信息收集, 提交给趋势科技做分析处理。

(2) 被动定位方式:在局域网发生ARP攻击时, 查看交换机的动态ARP表中的内容, 确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具, 定位ARP攻击源的MAC。

也可以直接Ping网关IP, 完成Ping后, 用ARP-a查看网关IP对应的MAC地址, 此MAC地址应该为欺骗的MAC。

通过上述方法, 我们就能够快速地找到病毒源, 确认其MAC〉机器名和IP地址。

4.2 防御方法

(1) 使用可防御ARP攻击的3层交换机, 绑定端口-MAC-IP, 限制ARP流量, 及时发现并自动阻断ARP攻击端口, 合理划分VLAN, 彻底阻止盗用IP、MAC地址, 杜绝ARP的攻击。

(2) 对于经常爆发病毒的网络, 进行Internet访问控制, 限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端, 如果能够加强用户上网的访问控制, 就能极大地减少该问题的发生。

(3) 在发生ARP攻击时, 及时找到病毒攻击源头, 并收集病毒信息, 可以使用趋势科技的SIC2.0, 同时收集可疑的病毒样本文件, 一起提交到趋势科技的TrendLabs进行分析, TrendLabs将以最快的速度提供病毒码文件, 从而进行ARP病毒的防御。

摘要：全球性的网络化、信息化进程正改变着人们的生活方式, 各学校也建立了自己的计算机网络。但是计算机病毒、网络入侵等也随之危害到了各学校的计算机网络。对威胁学校计算机网络的ARP攻击作了简单介绍, 并对其对应的防范措施进行了说明。

关键词：网络安全,ARP攻击,网络入侵

参考文献

[1]W.Richard Stevens.TCP/IP详解 (卷1) :协议[M].范建华, 胥光辉, 张涛, 译.北京:机械工业出版社, 2000.

[2]杨家海.网络管理原理与实现技术[M].北京:清华大学出版社, 2002.

[3]郭卫兴, 刘旭, 吴灏.基于ARP缓存超时的中间人攻击检测方法[J].计算机工程, 2008 (13) .