无线网络安全措施篇1
关键词:无线网络安全防范措施
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
一、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
it技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的it环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
1.maC地址过滤
maC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(maC地址)下发到各个ap中,或者直接存储在无线控制器中,或者在ap交换机端进行设置。
2.隐藏SSiD
SSiD(ServiceSetidentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLan,计算机接入某一个SSiD的网络后就不能直接与另一个SSiD的网络进行通信了,SSiD经常被用来作为不同网络服务的标识。一个SSiD最多有32个字符构成,无线终端接入无线网路时必须提供有效的SiiD,只有匹配的SSiD才可接入。一般来说,无线ap会广播SSiD,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如winDowSXp自带扫描功能,可以将能联系到的所有无线网络的SSiD罗列出来。因此,出于安全考虑,可以设置ap不广播SSiD,并将SSiD的名字构造成一个不容易猜解的长字符串。这样,由于SSiD被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSiD全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线ap时采用wap加密模式,又因为不论SSiD是否隐藏攻击者都能通过专用软件探测到SSiD,因此不隐藏SSiD,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
参考文献:
[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.
无线网络安全措施篇2
关键词:无线网络;安全;防范措施
一、针对无线网络的主要安全威胁
1.数据窃听
窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的it环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商业信息。
2.截取和篡改传输数据
如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
1.maC地址过滤
maC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(maC地址)下发到各个ap中,或者直接存储在无线控制器中,或者在ap交换机端进行设置。
2.隐藏SSiD
SSiD(ServiceSetidentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLan,计算机接入某一个SSiD的网络后就不能直接与另一个SSiD的网络进行通信了,SSiD经常被用来作为不同网络服务的标识。一个SSiD最多有32个字符构成,无线终端接入无线网路时必须提供有效的SiiD,只有匹配的SSiD才可接入。一般来说,无线ap会广播SSiD,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如winDowSXp自带扫描功能,可以将能联系到的所有无线网络的SSiD罗列出来。因此,出于安全考虑,可以设置ap不广播SSiD,并将SSiD的名字构造成一个不容易猜解的长字符串。这样,由于SSiD被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSiD全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性,因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线ap时采用wap加密模式,又因为不论SSiD是否隐藏攻击者都能通过专用软件探测到SSiD,因此不隐藏SSiD,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
无线网络安全措施篇3
【关键词】无线网络安全性研究电磁波
从上个世纪90年代以来,移动通信和internet是信息产业发展最快的两个领域,它们直接影响了亿万人的生活,移动通信使人们可以任何时间、任何地点和任何人进行通信,internet使人们可以获得丰富多彩的信息。那么如何把移动通信和internet结合起来,达到可以任何人、任何地方都能联网呢?无线网络解决了这个问题。无线网络和个人通信网(pCn)代表了21世纪通信网络技术的发展方向。pCn主要用于支持速率小于56bit/s的语音/数据通信,而无线网络主要用于传输速率大于1mbit/s的局域网和室内数据通信,同时为未来多媒体应用(语音、数据和图像)提供了一种潜在的手段。计算机无线联网方式是有线联网方式的一种补充,它是在有线网的基础上发展起来的,使联网的计算机可以自由移动,能快速、方便的解决以有线方式不易实现的信道联接问题。然而,由于无线网络采用空间传播的电磁波作为信息的载体,因此与有线网络不同,辅以专业设备,任何人都有条件窃听或干扰信息,因此在无线网络中,网络安全是至关重要的。
目前常用的计算机无线通信手段有无线电波(短波或超短波、微波)和光波(红外线、激光)。这些无线通讯媒介各有特点和适用性。
红外线和激光:易受天气影响,也不具有穿透力,难以实际应用。
短波或超短波:类似电台或是电视台广播,采用调幅、调频或调相的载波,通信距离可到数十公里,早已用于计算机通信,但速率慢,保密性差,没有通信的单一性。而且是窄宽通信,既干扰别人也易受其他电台或电气设备的干扰,可靠性差。并且频道拥挤、频段需专门申请。这使之不具备无线联网的基本要求。
微波:以微波收、发机作为计算机网的通信信道,因其频率很高,故可以实现高的数据传输速率。受天气影响很小。虽然在这样高的频率下工作,要求通信的两点彼此可视,但其一定的穿透能力和可以控制的波角对通信是极有帮助的。
综合比较前述各种无线通信媒介,可看到有发展潜力的是采用微波通信。它具有传输数据率高(可达11mbit/s),发射功率小(只有100~250mw)保密性好,抗干扰能力很强,不会与其他无线电设备或用户互相发生干扰的特点。
扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从一开始它就设计成抗噪声,干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展频谱的实现方式有多种,最常用的两种是直接序列和跳频序列。
无线网技术的安全性有以下4级定义:第一级,扩频、跳频无线传输技术本身使盗听者难以捉到有用的数据。第二级,采取网络隔离及网络认证措施。第三级,设置严密的用户口令及认证措施,防止非法用户入侵。第四级,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容。
无线网的站点上应使用口令控制,如novellnetware和microsoftnt等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常变更。假如用户的数据要求更高的安全性,要采用最高级别的网络整体加密技术,数据包中的数据发送到局域网之前要用软件加密或硬件的方法加密,只有那些拥有正确密钥的站点才可以恢复,读取这些数据。无线局域网还有些其他好的安全性。首先无线接入点会过滤掉那些对相关无线站点而言毫无用处的网络数据,这就意味着大部分有线网络数据根本不会以电波的形式发射出去;其次,无线网的节点和接入点有个与环境有关的转发范围限制,这个范围一般是很小。这使得窃听者必须处于节点或接入点附近。最后,无线用户具有流动性,可能在一次上网时间内由一个接入点移动至另一个接入点,与之对应,进行网络通信所使用的跳频序列也会发生变化,这使得窃听几乎无可能。无论是否有无线网段,大多数的局域网都必须要有一定级别的安全措施。在内部好奇心、外部入侵和电线窃听面前,甚至有线网都显得很脆弱。没有人愿意冒险将局域网上的数据暴露于不速之客和恶意入侵之前。而且,如果用户的数据相当机密,比如是银行网和军用网上的数据,那么,为了确保机密,必须采取特殊措施。
常见的无线网络安全加密措施可以采用为以下几种。
一、服务区标示符(SSiD)
无线工作站必需出示正确的SSD才能访问ap,因此可以认为SSiD是一个简单的口令,从而提供一定的安全。如果配置ap向外广播其SSiD,那么安全程序将下降;由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSiD,很容易共享给非法用户。目前有的厂家支持“任何”SSiD方式,只要无线工作站在任何ap范围内,客户端都会自动连接到ap,这将跳过SSiD安全功能。
二、物理地址(maC)过滤
每个无线工作站网卡都由唯一的物理地址标示,因此可以在ap中手工维护一组允许访问的maC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求ap中的maC地址列表必须随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
三、连线对等保密(wep)
在链路层采用RC4对称加密技术,钥匙长40位,从而防止非授权用户的监听以及非法用户的访问。用户的加密钥匙必需与ap的钥匙相同,并且一个服务区内的所有用户都共享一把钥匙。wep虽然通过加密提供网络的安全性,但也存在许多缺陷:一个用户丢失钥匙将使整个网络不安全;40位钥匙在今天很容易破解;钥匙是静态的,并且要手工维护,扩展能力差。为了提供更高的安全性,802.11提供了wep2该技术与wep类似。wep2采用128位加密钥匙,从而提供更高的安全。
四、虚拟专用网络(Vpn)
虚拟专用网络是指在一个公共ip网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用Vpn技术。Vpn可以替代连线对等保密解决方案以及物理地址过滤解决方案。采用Vpn技术的另外一个好处是可以提供基于Radius的用户认证以及计费。Vpn技术不属于802.11标准定义,因此它是一种增强性网络解决方案。
无线网络安全措施篇4
在无线网络迅速发展的今天,高校也将网络进行了深入的运用,无线网络的有利之处正在不断的放大,同时它也成为高校网络的一个组成部分。高校设置无线网络不仅可以提高教师的教学质量,增加教师教学的相互交流,还可以为学生的生活提供更多便利,让学生可以将一些课本中所没有的学习资源很好的利用。但是目前高校在网络的分布和使用上仍然存在着一定的问题,这也是高校无线网络目前需要解决的核心问题,本文也针对这些做出了具体的分析。
1高校无线网络存在的问题
我国高校目前多数已经基本实现了无线网络的分布使用,校园内也基本都已设立了无线网络的分布点,让无线网络慢慢发展成为高校网络系统中的重要部分。目前无线网络需要花费的资金投入越来越大,这对于高校而言是一笔不小的金额,网络系统的设计在高校资金占比重的指数越来越高,无线网络的体系覆盖大多还是在有线网络的基础之上设立,并且无线网络也是有线网络的一个提高与发展,高校需要将这二者充分的利用才能实现网络系统的完美结合,但是资金投入却成为目前棘手的一个问题。在网络系统中进行资源硬件共享是在所难免的,但是这一过程也无法避免一些非法的用户通过连接到无线网络免费的使用这些信息资源,同时高校中学生的部分资料包括教师的一些教学资料信息也会被盗取,甚至用在不利之处,还有一些不法分子会盗取高校的一些考试信息,导致考试题型外泄影响高校正常教学工作开展。高校中有大量的信息资源,不管是个人的信息还是教学知识方面的信息,一旦被泄露都会为教学带来很多不利影响。高校中使用无线网络的人越来越多,学生或者教师都可以通过无线网络的平台去了解到一些校园中或者是院校外发生的事情,这让无线网络的用途变得越发广泛,但是也导致无线网络的危险指数不断增加,许多人都可以通过非法的手段将高校内的网络系统信息盗取或者更改甚至发送一些错误的数据,这样一来网络信息系统接收到的就是错误的信息,而正确的信息就会被隐藏。这些非法攻击更改的信息对高校而言是巨大的损失,让高校内的网络系统没办法与互联网正常的连接使得高校发展受到阻碍。
2高校无线网络安全防范措施
2.1高校网络安全防范措施
为了防止高校无线网络系统不受破坏,需要设计一个更加完善的无线局域网系统,因为在无线局域网传送的数据很容易被窃取,所以无线网络系统需要进行加密以及认证,wep就采用了加密的原理,使用的加密的密钥802.11,这样一来,只有两个设备同时具备802.11才能进行通信。其次高校无线网络中需要增加适当的检测系统,这也是为了能够更好地将网络提供的数据进行监控,如今iDS就是这个途径的检测与监控,它主要是通过检测无线网络的信号来辨别信号是否正常是否有非法侵入的信号存在,另外对数据包的分析也是检测无线网络接入是否正常的重要方法。在高校无线路由器里面都会存在一个过滤地址被称之为maC,它可以将使用计算机的maC地址进行加入和允许,这样除了识别到的无线数据可以进入其他的都没有权限进入,这种方法的原理是单一的,所以它的成效也存在不足之处,因为这样一来有些非法分子会想办法更改maC的地址,所以说需要SSiD来进一步加强对无线网络的保护工作。
2.2活动用户群
高校无线网络使用端口进行访问的技术是对无线网络安全系数的一个巩固,因为一旦Sta与所需要访问点即ap连接之后,需要802.1x的认证工作方可继续进行,一旦认证这一过程顺利的通过之后ap就可以将端口为Sta打开,一旦这一过程认证失败那么就无法识别无法打开。802.1x协议就是为了杜绝没有经过授权的高校无线网络用户的进入,允许经过授权的用户进入访问wLan,所以在高校无线网络工作站中必须安装802.1x协议客户端才可以保证无线网络连接的正常进行,而802.1x另外的一个作用就是保证系统认证和计费正常进行。在此基础上实行ap的阻碍,这样无线网络的客户端会被阻碍,如此一来就只能访问连接ap的网络,以确保无线网络的安全性。
2.3高校数据库加密
给高校数据库进行加密是对无线网安全防范的进一步举措,高校用户在成功的进行身份验证之后就可以进入数据库,但是即便可以成功的进入数据库也并不代表可以将内部所有的信息进行查找,因为需要对数据库进行进一步的加密工作,一些应当特别保密的资料数据等都需要进行特别的保护,也需要将它们与普通的数据进行区分对待,将这些需要特别保密的数据资料信息用密文的形式进行储存是现在数据库加密最常用的方法之一,通过不同的加密方法以及加密程序可以将数据库中的信息进行不同程度的加密,对于账号这些重要的资源信息就应当采取更为高级的加密措施。高校无线网络接入点最常见的认证方式就是802.1X协议,对加密密钥的要求也要做适当提高可以适当的增加难度,这样非法用户才不会轻易的解破。其实除了上述的方法之外高校还可以将发射的功率进行适当的调整,这是从物理学的角度想出的办法,将覆盖无线网络的范围进行调控。
2.4划分高校用户群设定安全措施
如今在高校网络大氛围下,一般无线网络的使用用户主要分布在办公地点或者高校内的计算机房,这些用户都是固定的用户群,这些地点都是使用互联网最多的地方而且几乎是时刻使用,其次还有一些流动性的用户群,主要是高校内学生的手机或者笔记本以及教师的电脑等等,由于用户所在的地点不固定所以使用地点也就不固定,还有一类用户,这类用户是临时使用,一般就是开会时或者有大型活动时才会使用。将这些用户群划分之后才可以按照他们的划分不同来选择合适的安全操作方案措施。高校内使用比较普遍的就是利用wep进行加密保护,但是由于使用的用户以及地点人群的不同,所以可以列出相应的安全防范措施,对于第一类固定的用户群其实完全可以将maC的地址进行固定限制,不允许非法用户的访问,让非法用户没有访问权限。无线网信息将ip地址进行统一,通过这种方法可以将非法的用户进行剔除。对于第二类流动性的用户可以让他们进行端口访问,将工作站即Sta与访问点即ap进行连接,连接成功后通过802.1X协议系统认证正确后才可以进行访问,只要确保认证过程是正确的,那么ap便可以为Sta提供端口,否则是没有访问权限的。这样一来802.1X协议不仅有着端口访问的决定权而且还可以将认证与计费进行一体化管理。最后一种用户群可以采用设置密码作为访问的权限,用户必须通过密码的正确输入才能有权限进入无线网络,这样可以保证无线网络的安全性,也可以避免非法用户对无线网络的不正当使用。
3结束语
高校内无线网络的建立可以让高校学生的学习和生活得到一定的改善,但是在无线网络不断发展的今天却也为高校发展带来了一定的隐患,在科技水平不断改革创新中应当保证高校无线网络的安全操作,同时实现资源信息的共享让高校可以真正意义上的实现互联网时代的教学。对于高校而言要想让无线网络可以正常使用必须要保证它的安全性,高校无线网络由于其自身存在的不足之处,应当从多方面多角度考虑无线网络的安全性,这也是我国高校应当共同努力的方向。
作者:张乐单位:运城学院
引用:
[1]郑东兴.浅谈无线网络安全防范措施分析及其在校园网络中的应用研究[J].职业技术,2012.
无线网络安全措施篇5
【关键词】网络安全局域网无线网络应用
自互联网逐渐一体化以后,其极大的丰富了人们的生活。但是网络是一把双刃剑,其在安全上容易受到一些黑客以及不法分子的入侵,从而使得网络系统崩溃,使得用户的信息被盗取。因此加强局域网以及无线网络的网络安全极为重要。
1虚拟局域网和无线网络的网络安全的问题
1.1网络黑客的入侵是一个极大的网络安全问题,在我国互联网发展越来越快的今天,黑客的入侵也越来越猖獗
其主要攻击计算机的软件系统,利用木马等程序进行攻击,从而盗取户主的个人信息。通常情况下,虚拟局域网以及无线网络都是有相应的密码进行保护的,但是很多黑客会直接侵入其网络安全保护系统,,如果网络安全防范系数过低,那么就很容易导致网络安全问题的出现,使得户主个人信息泄露,严重时甚至造成了财产损失和计算机系统瘫痪。
1.2网络病毒也是导致网络安全的一个重要因素
通常情况下对计算机造成最大危害的就是病毒。其具有较强的频繁性,能够多次和重复的对计算机的系统进行入侵。在虚拟局域网和无线网络在提供网络共享的同时,也有利于病毒的传播。近年来网络病毒层出不穷,尤其蠕虫病毒以及木马病毒表现的尤为显著。比较传统的病毒入侵方式就是,用蠕虫病毒让计算机的网络安全保护系统陷于瘫痪,然后使用木马病毒进行个人信息的盗取。使得很多用户的生活以及工作受到严重的影响。其二另一个影响网络安全的因素是网络安全认证出现漏洞。从而出现ip地址被盗用,账号密码泄露等在无线网络的应用中也时有发生。
2虚拟局域网的安全防护措施
2.1使用VLan技术能够对虚拟局域网进行有效地防护
VLan技术可以不受位置地域的影响,可以根据不同用户的需求不同进行虚拟局域网的网络分段,从而提高了网络的灵活性以及扩张性。而利用VLan技术可以有效的解决电视、广播以及电信信号的相互干扰,从而使得网络运行的更加流畅。提高了虚拟局域网运行的效率。其次VLan在经过详细的划分后,在缩小其广播域的同时还能降低网络网络广播包所消耗宽带占的比例,从而大幅度的提高了网络运行的安全效率。在进行VLan网络层的实现时,要加强VLan数据之间的传输。然后结合数据链路层进行网络层设备之间的转化,从而搭建安全可靠的网络。
2.2可以采用防火墙技术进行网络安全的防护
对虚拟局域网的入口处进行防火墙的部署,主要是针对其外部做出的防御。防火墙还能对非授权访问的网络安全技术进行智能化的识别,从而提高其对网络环境的进化功能。从而有效的保障互联网内部网络环境的安全。通常情况下,防火墙大致可以分为两种:其一是外部防火墙,其主要是针对防火墙的外部进行网络安全的防护,主要针对一些病毒的入侵,例如蠕虫病毒以及木马病毒。而且还能有效地防止网络黑客对网络内部进行入侵,其预防措施主要是通过网络进出通道对网络环境进行限制,从而对外来的非法信息进行有效地抵御。因此外部防火墙是保证虚拟局域网安全的关键。其二就是内部防火墙的防护。内部防火墙主要是将局域网进行分段管理。可以对虚拟局域网进行分段保护,从而使得外部攻击的损失受到限制。
2.3使用入侵保护系统进行保护监督
入侵检测系统iDS是一种较为常见的网络监督系统,其主要作用是对网络传输进行一定的监督。当局域网的网络安全受到威胁时,其不仅可以提出警示还能进行主动防御,其有效的弥补了防火墙被动防御上的不足。如果说防火墙是门卫,那么iDS就是监视器可以有效地提高其网络安全环境,防患于未然。
2.4要加强数据库的信息防护和保密工作
通常情况下为了工作的方便,人们很少对系统中的数据库进行网络安全的保护。而数据库的信息可以以可读的方式储存在系统中。因此,要采取相应的方法进行数据库信息的保密。可以有效地提高网络安全。
3无线网络的安全防护措施
(1)要做好临时密钥完整性。在目前的很多无线网络中都会使用wep进行加密,而在加密过程中,要加强临时密钥的完整性,做好无线网络的安全设置,网络安全可以通过网络的安全选项设置进行安全防护,此外,还可以采用有效的安全防护软件进行网络攻击的组织等。防火墙是能够有效阻止网络攻击的有效途径,因此给自己的计算机安装防火墙以及网络防护软件,也是有效阻止网络攻击的有效手段。尤其是对于无线网络,更要加强其安全防护。现在的系统都有一定的安全防护设置功能。其中防火墙就是最基本的安全设置,尤其是针对于网络的安全设置。其可以从内外两个方面进行防护。有效地保障无线网络的安全。
(2)使用tKip能够增强无线网络共享时的安全性,其能够对网络的ip以及个人的账号信息进行加密保护。与其他的保密措施相比其有以下四个功能的保护:一是消息完整性的编码;其二是iV次序机制;其三是密钥的混合函数,其四是密钥的重置机制。
(3)要加强wpai方面的应用,其主要作用是对系统进行加密保护。wpai采用国家密码进行管理,进行精确的运算,实现了身份鉴别,实名认证以等多方面的访问控制,不断提高用户在无线网络传输过程中的效率。wapi可以从根本上解决无线网络数据传输的安全性。
4结语
虚拟局域网以及网线网络的安全运行关系着人们的正常生活以及工作。一旦网络环境出现不安全因素,其必然会导致用户信息泄露以及系统发生崩溃等多方面的危害。因此要做好网络安全的预防以及防控。
参考文献
[1]李培强、郑铁成,企业计算机安全运行的研究和解决[J].计算机光盘软件与应用,2011(12):33-34.
[2]韦容、申希兵、蓝振师,浅谈计算机网络信息安全存在问题和对策[J].信息系统工程,2012(04):84-84.
[3]余苏毅,使用虚拟局域网和访问控制列表实现机房访问控制[J].宁德师范学院学报:自然科学版,2012(01):54-56.
作者简介
王航伟(1979-),男,陕西省户县人。工学学士学位。现为西北工业大学明德学院助理工程师,从事网络管理和数据库管理、移动通信核心网。
无线网络安全措施篇6
关键词:无线局域网;安全措施
引言
随着无线技术和网络技术的发展,无线局域网(wLan)接入技术已经成为市场和应用的热点。无线局域网具备众多有线局域网不可比拟的优点,包括快捷方便的无线接入、灵活多变的拓扑结构、易于维护管理、低廉的建设成本等。然而,由于无线网络是基于无线空间的通信技术,入侵者无需物理线路连接就可以对其进行攻击;同时,由于wep协议本身的缺陷,使得wLan的安全问题显得尤为突出。本文主要针对wLan的安全问题提出了几种解决措施。
1wLan存在的安全问题
与传统的有线局域网相比,wLan比较灵活,而且它的投资少,扩展能力强。但是,从另一方面来讲,正是因为wLan的这种灵活性,给它带来了有线局域网不存在的安全隐患和安全漏洞。
1、非法接入网络
对于企业来说,内部网上的数据包含着企业宝贵的信息资产,肯定不希望“外人”有意或无意访问到。对于电信网络来说,非法接入网络也是运营商面临的最大的安全威胁。攻击者可以借此逃避通信费用;如果攻击者冒充其他合法用户,还会给他人造成经济损失。
2、伪ap和伪网络
攻击者部署假冒的网络接入设备诱使合法用户访问。这种攻击形式成本较高,但带来的威胁也是严重的。比如,攻击者可能在热点区域部署假冒的ap诱使合法用户接入,进而伪造登录页面骗取用户输入账号口令等。或者,攻击者可能伪造各种网络设备(如DnS或DHCp服务器),重定向用户通信数据到其不希望的网络。
3、网络窃听
有线网络可以采用物理隔离的手段减少网络窃听的威胁,而无线网络则完全暴露在窃听者面前。无线局域网由于其传输介质是共享的,其上收发的数据就更容易被窃听。现在市场上大多数的以太网卡都提供一种“混淆模式”,它带有蜕壳软件可以捕捉网络上的每一个包。窃听者通过在其计算机上安装Sniffer、ethereal等软件,可以轻易捕获、显示网络上的数据包。窃听者对网络数据的窃听主要是窃听用户业务数据。
4、数据篡改
篡改报文是一种常见的主动攻击形式,攻击者通过构造虚假报文对受害者进行欺骗。在无线局域网中,攻击者对数据的篡改存在以下三种可能:(1)对业务数据进行篡改,以达到欺骗合法用户的目的;(2)伪造用户请求,非法接入网络;(3)伪造或篡改网络管理控制报文,造成系统或设备无法正常工作。
2wLan的安全措施
针对上述的无线局域网的安全问题,现在已经有了很多针对性的解决方案,包括管理措施、操作措施和技术措施等方式。本文就从这几个方面来分别进行总结分析。
(1)管理措施:用以加强无线网络安全性的管双措施应该从一个全面的安全措施来考虑。安全的管理措施是规范和实现操作措施和技术措施等其他安全措施的基础。一个wLan安全措施应该做到以下几个方面。
在企业中确定可能使用wLan的用户;确定是否有必要访问internet;记录可能安装按入点ap和其他无线设备的人;对无线接入点ap位置和物理安全加以限制;描述无线连接上可能传输的信息类列:描述允许无线设备工作的条件;为接入点ap确定标准的安全配置;描述无线设各位用上的一些限制,如位置等:描述任何接入设备的软硬件配置;制定报告无线设备丢失及其他安全事件的制度;制定使用加密及其他安全软件的制度;确定安全评估的范围和次数。另外一条管理措施是确保所有核心雇员在无线技术使用方面,都接受良好的培训,网络管理员要充分认识到wLan和无线设备所引起的安全风险,要确保安全措施的确实施,清楚对攻击事件应该采取的措施。最周,最为重要的措施是培训用户。企业wLan系统模型如图1所示:
图1企业wLan系统模型
(2)操作措施:加强物理安全,确保只有授权的用户可以访问无线设备。支持无线网络的设备需要物理访问控制,例如照片识别、读卡机或生物特征识别等,这些方法能够将非法入侵设备的风险降到最低。在wLan中,决定接入点ap的放置位置时,必须考察ap的工作范围。如果ap的工作范围超过了办公大楼,那么这种范围的超出将产生一个安全威胁。位置勘测工具可以测量和增强ap覆盖范围的安全性。虽然给信号覆盖范围可以为wLan提供一些有利条件,但这并不能视为一种安全的网络解决方案。攻击者使用高性能天线仍有可能在无线网络上窃听传输的数据。但是只要使用较强的加密方法,用户完全可以防止攻击者进行窃听。
(3)技术措施:技术措施包括使用硬件和软件解决方案来增强无线网络的安全性。软件解决方案包括正确配置接入点ap、软件补丁与升级、身份认证、入侵检测系统(iDS)以及加密等措施。硬件解决方案包括智能卡、虚拟专用网(Vpn)、公钥基础设施(pKi)和生物特征识别等。
参考文献:
[1]JGeier,王群,李馥娟,叶清扬译.无线局域网[m].北京:人民邮电出版社,2001.
[2]Douglas.R.Stinson,冯登国.密码学原理与实践[m].(第二版).北京:电子工业出版社,2003.
无线网络安全措施篇7
1高校无线网络使用现状概述
近年来,由于国内网络的不断发展与普及,尤其是高校校园网的普及,如今,大多数的高校都在有线网的基础上建设了无线网络。以高校图书馆的无线网为例,当下,各大高校的图书馆也都纷纷普及了无线网的使用,同时高校图书馆内部也开始建设了网络化、数字化,如建立自己独特的门户网站、电子资源等。与此同时,于高校的教师和学生们对上网的需求量也越来越大,因此,高校图书馆已经将电子阅览室等可以上网的机房,统统让学生和教师使用。但人数的庞大,根据现在已有的机房数量,远远不能满足教师和学生的需求,同时,要想再建设新机房,往往因资金的投放量大,使其高校无法很好的完成这项任务。这样馆内所能提供的网络资源就无法被教师和学生充分利用,因此使高校的资源大量的浪费[1]。
2高校无线网络安全问题
随着用户需求的增长,使无线网络的开放性也逐渐增大,因此出现了一些安全隐患[2]。
2.1用户非法访问
纵观当下,无线网络的开放性是严重阻碍无线网络安全使用的重要原因之一。一般情况下,无限网络开放式的访问很容易导致网络在传输数据的过程中,信息易被第三方拦截或者获取,与此同时,无线网络的三方用户在对网络进行访问时,无线信道中的资源也被网络资源进行了非法占用,这在一定程度上,使其他的用户在进行网络访问时被受到阻碍作用,以至于网络服务的质量同时也遭到一定的损害。
2.2保密协议易破解
无线网络中的wep是属于网络的一种基本的保密协议,一定程度上,虽然能够阻挡非法访问,但是由于网络技术的不断发展,一些较低级的保密协议依然无法使用户的数据得到更好的保障,而在一般情况下,wep保密钥的回复通常较为简单,因此,wep的保密钥很容易就被破解[3]。
3提高高校无线网络安全的防范措施
3.1建立、健全网络安全防范措施
安全的方法措施也就是要结合实际,建立出有效的安全策略,而安全策略是指在一个具体特定的环境里,有效的制定出能够保护安全的一种做法。而今,因特网,主要是以为人们提供信息资源的共享为目的,因此其在安全上具有很大的漏洞,例如,数据的流失、数据的保密协议破解等问题。由于无线网是建立在有线网的基础上,并且被高校多数的教师与学生所使用,因此对其做好安全防范措施是非常必要的,与此同时,还要建立健全的网络安全防范措施,例如,高校可以一方面可以提高系统的安全性,并且对网络的管理进行长期的监管,建立完善的终端管理制度,对网络进行定期的评估与维护。
3.2禁止SSiD广播
SSiD广播是无线网络用于定位服务的,通常情况下,无线路由器都会提供“允许SSiD广播”的功能,如果高校的无线网络使用了这项功能,其在一定程度上就暴露了无线路由器的位置,这样将会给无线网络带来安全问题。而想要提高高校无线网的安全性,最好的办法使通过手动来修改SSiD,并对其选择禁用。其修改的具体方法是:首先打开“我的电脑”,在地址栏中输入自己设定的ip地址,通常情况下,ip地址为192.168.0.1,随后再输入用户名和密码,并在此基础上,打开“tp-LinK”窗口,在单击窗口左边的“无线设置”,再点击“无线网络基本设置”的窗口,这样就会出现“开启SSiD广播”的复选框,然后对其选择取消复选框中的“√”,最后单击“保存”按钮,重新启动后,SSiD广播就会被禁用[4]。
3.3使用无线maC地址过滤
目前,由于无线maC地址有过滤的功能,因此可以通过maC地址在一定程度上,允许或拒绝无线客户端对无线网络进行访问,以此使客户在访问时受到一定的阻碍作用,从而让无线网络获得较高的安全性。举个例子,只允许maC地址为“01-23-24-B5-7a-20”的主机访问本无线,这样其他的机主均不可以访问本无线,其主要的设置方法为:用3.2中的方法打开"tp-LinK"窗口,然后再单击左边栏中“无线设置-无线maC地址过滤”,等窗口出现网络maC地址过滤设置,然后再打开“无线网络maC地址过滤设置”窗口,并单击过滤中的“允许生效的maC地址访问本无线网络”的单选钮,再单击“添加新条目”,在maC地址栏中输入允许访问本无线网络的主机maC地址“01-23-24-B5-7a-20”,然后再栏中输入“上述地址为某某的电脑”,最后单击“保存”,这样就可以达到maC地址过滤的目的。
3.4对数据进行加密
数据库加密,毫无疑问就是为数据库SQLServer,又安装了一把钥匙,使其更加安全,就算用户成功验证身份并进入数据库中,但也只是进入数据库中,并不能查看所有的数据,这就是数据库加密的作用。这就要求,在对待极为保密的档案数据时应及时的与普通数据区分加密,并运用密码的形式进行储存或传输。举个例,数据库SQLServer在加密的机制上,主要具体表现的是加密方法与加密的卓越成效,其主要通过数据库加密来实现数据库的分布与安全管理,同时用SQLServer语句对数据进行加密,一方面可以实现账号在数据中更加隐藏,一方面,可以在系统表中进行储存。
4结语
总而言之,无线网络,在目前存在很多的安全问题,但是由于近几年来,我国网络技术的不断发展,一定程度上改变了人们的生活环境与学习环境,因此,无线网络被越来越多的人使用。而在今天,由于高校无线网络的建设,一方面给人们带来了更多的方便,但它也存在着一些安全隐患。如,无线网络技术的发展为高校提供了可靠的网络环境。但同时伴随着安全隐患的出现,如一些截取或修改传输数据的黑客用户,时时刻刻的偷窥着高校的资料。这就需要高校,必须采取多种防范措施手段,才能有效的阻止非法用户的侵入,无线网络安全防范措施还有很多,但它必须紧跟时代的发展与科技的发展,从而不断的完善。
参考文献:
[1]陈亨坦.浅谈无线网络安全防范措施在高校网络中的应用[J].中国科技信息,2008,(17).
[2]杨川.高校无线网络安全问题及防范措施[J].计算机光盘软件与应用,2014,(15).
无线网络安全措施篇8
关键词:移动通信;4G
4G移动网络系统融合了多种无线通信技术,可提供高速率、干扰小的通信环境,由于4G网络的无线传播、开放性等特性,其安全通信是整个4G移动网络系统的关键,结合当前4G移动网络系统的安全现状,积极采取有效的措施和策略,推动基于4G通信的无线网络安全通信快速发展。
一、当前4G通信的概述及无线网络安全问题
移动通信技术经历了三个主要发展阶段。每一个阶段的发展都是一次技术上的突破。第一代起源于20世纪80年代,它完成于20世纪90年代初,主要采用模拟传输技术。第二代起源于90年代初期,主要采用时分多址和码分多址技术。第三代移动通信系统最基本的特征是智能信号处理技术,智能信号处理单元将成为基本功能模块,支持话音和多媒体数据通信。然而,第三代移动通信系统没有一套统一的标准而且频谱利用率低下,尽管其传输速率可高达2mb/s,但仍无法满足多媒体通信的要求,因此,第四代移动通信系统(4G)的研究随之应运而生。新兴的4G通信系统可以适应移动计算、移动数据和移动多媒体的运作,并能满足数据通信和多媒体业务快速发展的需求。4G的核心技术包括:接入方式和多址方案、调制与编码技术、高性能的接收机、智能天线技术、mimo技术、软件无线电技术、基于ip的核心网和多用户检测技术等。
4G无线网络通信系统主要包括智能移动终端、无线接入网、无线核心网、ip主干网等部分,这几部分的安全通信问题是造成4G通信系统安全问题的主要因素。4G无线网络通信系统在管理、技术等方面都有了明显改进,但是在通信系统运行中还存在一些影响因素。例如,无线网络的链接安全问题,如果无线网络通信系统在链接过程中发生中断,会严重影响无线网络的安全通信,导致用户发送的重要数据信息中断,甚至被网络黑客恶意入侵,将一些攻击性病毒植入无线网络通信系统,无线网络传输的数据信息很容易被篡改、删除等。同时,4G无线网络通信系统的移动终端和用户之间的交互越来越频繁,越来越多复杂,移动终端是无线应用和各种无线协议最主要的执行者,这使得4G无线网络通信系统面临着很多不安全的因素。
二、基于4G的无线网络安全通信策略
(1)做好安全防护
基于4G的无线网络通信应充分考虑多种因素,如用户可移动性、系统可扩展性、兼容性和安全效率等,做好安全防护,如建立多策略机制、可配置机制、可协商机制和混合策略机制,多策略机制是指结合不同应用场景采用不同安全防护措施,如首次登陆无线网络和再次接入时必须要经过验证;可配置机制是指无线网络通信系统的合法用户江可根据自己的要求配置移动终端的安全防护选项;可协商机制是指无线网络和移动终端可自行协商安全算法和安全协议;混合策略机制是指结合各种安全机制,如数字口令和生物密码相结合、私钥和公钥相结合,以私钥确保无线网络通信系统切换过程的实时性,以公钥提高通信系统的可扩展性。
(2)物理硬件防护
基于4G通信的无线网络系统应加强物理硬件防护,减少可被入侵或者攻击的物理接口,提升系统的集成度,适当增加电压、电流检测电路,避免物理攻击,并且增加存储保护、可信启动和完整性检验等安全措施。
(3)优化网络设计
4G无线网络通信系统应尽量减少系统数据传输的时延和移动终端的任务量,减少无线网络通信过程中每条信息数据长度和安全协议信息量,避免过长的信息数据或者信息量过大延误系统通信,并且相关安全防护措施应透明化,明确无线网络通信系统的安全协议和安全级别,便于用户了解和有效识别。
(4)无线接入网的安全措施
1、安全传输。无线接入网和移动终端可加设置加密传输通道,结合基于4G通信的无线网络系统的业务需求,在用户侧和无线接入网中自主设置通信方式,或者无线接入网可通过专用网络进行逻辑隔离或者物理隔离。
2、安全接入。对无线接入网设置辅助安全设备或者有针对性地采取安全措施,实现基于4G通信的无线网络系统的安全接入,避免非可信移动终端随便接入无线网络。
3、身份认证。无线接入网和移动终端之间构建双向身份认证机制,从无线接入网连接移动终端需要经过数字认证,移动终端在接入无线接入网时,也应经过高可靠性的载体。
4、访问控制。对无线接入网采用端口访问控制、物理地址过滤等技术措施[3],设置4G无线网络通信系统的细度访问控制。
5、安全数据过滤。安全数据过滤是无线接入网安全防护的重要手段,在多媒体、视频等应用领域进行安全数据过滤,可有效防范网络黑客恶意入侵或者非法数据占用无线接入网,保护核心网络和内部系统。
6、统一审计和监控。结合无线接入设备运行的实际情况和移动终端访问行为,构建统一的审计和监控系统,有效监控移动终端的记录异常操作、行为规律等,保障无线接入网的可靠性和高效性。
三、结束语
随着社会的进步和科技的发展,现在人们使用的移动通信系统已更新到了第四代,它广泛应用于世界各国极大的改变了人们的生活方式和交流方式,为人们的生活提供了便捷。然而随着人们生活水平的提高,3G移动通信系统自身存在的不足已经不能满足人们日益提高的需求,在这种情况下4G移动通信系统的研发就得到了促进。与3G技术相比有了有效的提升,但也存在许多技术性问题亟待改进,4G通信技术的普及,为了提高无线网络通信系统的安全性和稳定性,必须重视基于4G通信的无线网络安全通信策略的设计,结合当前存在的安全问题,有针对性的采取安全防护措施,推动基于4G通信的无线网络安全通信快速发展。
参考文献
[1]胡国华,袁树杰,谭敏.4G移动通信技术与安全缺陷分析[J].通信技术,2008,07:155-157.
无线网络安全措施篇9
【关键词】信息系统网络安全评价指标
根据国家网络和信息系统的安全性要求,结合多年的网络管理经验,从以下五个指标对信息系统网络安全进行评价:
1.实体与环境安全
实体与环境指计算机设备及计算机网管人员工作的场所,这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低限度。可以从以下几个方面来检查:
(1)机房周围环境
机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。
(2)机房周围100m内有无危险建筑
危险建筑:指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。
(3)有无监控系统
监控系统:指对系统运行的环境、操作环境实施监控(视)的设施,及时发现异常,可根据使用目的不同配备以下监视设备,如红外线传感器、监视摄像机等设备。
(4)有无防火、防水措施
防火:指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材,如卤代烷1211和1301自动消防系统或灭火器。
防水:指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层,有暖气装置的机房沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。是否装有漏水传感器。
(5)机房有无环境测控设施(温度、湿度和洁净度),如温湿度传感器
温度控制:指机房有空调设备,机房温度保持在18—24摄氏度。
湿度控制:指相对湿度保持在40%—60%。
洁净度控制:机房和设备应保持清洁、卫生,进出机房换鞋,机房门窗具有封闭性能。
(6)有无防雷措施(具有防雷装置,接地良好)
计算机机房是否符合GB157《建筑防雷设计规范》中的防雷措施。
在雷电频繁区域,是否装设有浪涌电压吸收装置。
(7)有无备用电源和自备发电机
(8)是否使用UpS
UpS:(UninterruptiblepowerSystem),即不间断电源,是一种含有储能装置,以逆变器为主要组成部分的恒压频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。
(9)是否有防静电措施(采用防静电地板,设备接地良好)
当采用地板下布线方式时,可铺设防静电活动地板。
当采用架空布线方式时,应采用静电耗散材料作为铺垫材料。
通信设备的静电地板、终端操作台地线应分别接到总地线母体汇流排上定期(如一周)对防静电设施进行维护和检验。
(10)是否保证持续供电
设备是否采用双路市电供电,提供冗余备份,并配有实时告警监控设备。是否与空调、照明用电分开,专线供电。
(11)是否有防盗措施
中心有人值班,出入口安装防盗安全门,窗户安装金属防护装置,机房装有无线电遥控防盗联网设施。
2.组织管理与安全制度
(1)有无专门的信息安全组织机构和专职的信息安全人员
信息安全组织机构的成立与信息安全人员的任命必须有有关单位的正式文件。
(2)有无健全的信息安全管理的规章制度
是否有健全的规章制度,而且规章制度上墙;是否严格执行各项规章制度和操作规程,有无违章操作的情况。
(3)是否有信息安全人员的配备,调离有严格的管理制度
(4)设备与数据管理制度是否完备
设备实行包干管理负责制,每台设备都应有专人负责保管(包括说明书及有关附件);在使用设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作;禁止在计算上运行与业务无关的程序,未经批准,不得变更操作系统和网络设置,不得任意加装设备。
(5)是否有登记建档制度
登记建档是做好网络安全工作的前提,一些技术资料对网络安全工作很重要,要注意收集和保存。可从以下几个方面检查相关文档:
策略文档(如,法规文件、指示)、系统文档(如,系统用指南、系统管理员手册、系统设计和需求文档、采购文档)、及安全相关的文档(如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略)都可提供系统使用的或计划的安全控制方面的信息。任务影响分析或资产重要性评估可提供有关系统和数据重要性及敏感性的信息。
设计资料,如网络拓扑结构图,综合布线结构图等。
安装资料,包括安装竣工及验收的技术文件和资料。
设备升级维修记录等。
(6)是否有紧急事故处理预案
为减少计算机系统故障的影响,尽快恢复系统,应制定故障的应急措施和恢复规程以及自然灾害时的措施,制成手册,以备参考。
(7)是否有完整的信息安全培训计划和培训制度
开展网络安全教育是为了使所有人员了解网络安全的基本常识及网络安全的重要性,要坚持经常的、多样化的安全教育工作,广播、图片、标语、报告培训班都是可以采用的宣传教育方式。
(8)各类人员的安全职责是否明确,能否胜任网络安全管理工作
应对网络管理人员严格分工,使其职责分明,要对网络管理人员定期进行安全培训及考核,对关键岗位人员,应该持有相应的认证。
3.安全技术措施
(1)是否有灾难恢复的技术对策
是否为网络中断和灾难做好准备,以及如何快速反应将中断和损失降至最小。灾难恢复措施包括灾难预防制度、灾难演习制度及灾难恢复制度。
(2)是否有系统安全审计功能
安全审计功能主要是监控来自网络内部和外部的用户活动,侦察系统中存在现有和潜在的威胁,对与安全有关的活动的相关信息进行识别,记录,存储和分析,安全审计系统往往对突发事件进行报警和响应。
(3)是否有系统操作日志
系统操作日志:指每天开、关机,设备运行状况等文字记录。
(4)是否有服务器备份措施
服务器数据备份是预防灾难的必要手段。随着对网络应用的依赖性越来越强和网络数据量的日益增加,企业对数据备份的要求也在不断提高。许多数据密集型的网络,重要数据往往存储在多个网络节点上,除了对中心服务器备份之外,还需要对其他服务器或工作站进行备份,有的甚至要对整个网络进行数据备份,即全网备份。网络备份需要专业备份软件,Backupexec就是其中的一种,是为中小企业提供的基于windows平台的网络备份与恢复解决方案。
(5)是否有防黑客入侵设施
防黑客入侵设施主要是设置防火墙和入侵检测等设施。
防火墙是为了监测并过滤所有内部网与外部网之间的信息交换,保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志。防火墙有三种类型,包括过滤防火墙、型防火墙和状态监测型防火墙。
入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。它通过对计算机网络或计算机系统中若干关键点收集信息并对其分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
(6)是否有计算机病毒防范措施
计算机病毒防范措施:备有病毒预防及消除的软、硬件产品,并能定期的升级。设置客户端级防护、邮件服务器级防护和应用服务器级防护。
4.网络与通信安全
(1)放置通信设施的场所是否设有醒目标志
从安全防范的角度考虑,安装有关通信设备的地方不应加标志。配线架或moDem柜应加锁,禁止无关人员入内。
(2)重要通信线路及通信控制装置是否均有备份
重要的通信线双重化以及线路故障时采用DDn通信线或电话线iSDn等后备功能;从计算中心连出的重要通信线路应采用不同路径备份方式。
(3)是否采取加密措施
数据加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变只有授权接收者才能还原并阅读的编码。其过程就是取得原始信息并用发送者和接收者都知道的一种特殊信息来制作编码信息形成密文。
(4)系统运行状态有无安全审计跟踪措施
安全审计是模拟社会检察机构在计算机系统中监视、记录和控制用户活动的一种机制。它是影响系统安全的访问和访问企图留下线索,以便事后分析和追查,其目标是检测和判定对系统的恶意攻击和误操作,对用户的非法活动起到威慑作用,为系统提供进一步的安全可靠性。
(5)网络与信息系统是否加有访问控制措施
访问控制措施:指能根据工作性质和级别高低,划分系统用户的访问权限。对用户进行分组管理,并且应该是针对安全性问题而考虑的分组。
5.软件与信息安全
(1)操作系统及数据库是否有访问控制措施
把整个系统的用户根据需要分为不同级别;不同级别的用户享有对系统的文件、数据、网络、进程等资源的权限,并进行记费管理;还可根据不同的用户设置不同的安全策略,将超级用户的权限细化(可分为系统管理员、安全管理员、数据库管理员、用户管理员等)。
(2)应用软件是否有防破坏措施
对应用程序安全的考虑可以遵循如下的方向:对通用应用,如消息传递、文件保护、软硬件交付等,制定通用技术要求;对于特定的复杂应用,可分解为通用应用,同时考虑互操作性问题。一般来讲,应用程序的安全机制应该包括以下内容:身份标识与鉴别、数据保密性、数据完整性、数据可用性、配置管理等。
(3)对数据库及系统状态有无监控设施
可以使用系统安全检测工具来定期扫描系统,查看系统是否存在各种各样的漏洞。
(4)是否有用户身份识别措施
身份认证与数字签名策略,身份认证是证明某人或某物身份的过程,当用户之间建立连接时,为了防止非法连接或被欺骗,就可实施身份确认,以确保只有合法身份的用户才能与之建立连接。
(5)系统用户信息是否采用备份
无线网络安全措施篇10
4G无线通信网络的优势在于能满足不同网络之间的无缝互联,这个基于全ip网络的体系结构组成了它的核心网,主要包括承载机制、网络维护管理、网络资源控制、应用服务4大元素。相较于3G网络,其中蜂窝网络、电路交换分别被全ip核心网、分组交换所取代和升级,以保障4G网络在高速移动的环境中移动工作站依然可提供2-100mbit/s的数据传输速率。如下是4G无线通信网络体系结构,一种基于分组交换架构的全ip网络。
24G无线通信系统的网络安全威胁
2.1移动终端的安全威胁
①由于移动终端使用的是不同类型的操作系统,这些移动操作系统具有诸多公开漏洞,因而造成了移动终端的不安全性;
②因移动终端对于那些基于无线网络的电子商务、电子邮件等应用的支持性越来越普遍,这些无线应用的程序漏洞、安全隐患、病毒感染渠道等加大了无线终端的安全威胁;
③伴随病毒种类的不断增加,传统防病毒软件体积也越来越大,而移动终端有限的计算能力、存储能力、电池容量会逐渐无法适应和满足;
④因缺乏完整性、机密性、完善性的保护验证机制和访问控制机制,移动终端硬件平台中的各个模块、内部各个通行接口极易遭到攻击者的篡改、窃听信息、非法访问、信息窃取等。
2.2无线网络的安全威胁
①因无线网络的融合、共存特点,用户能够任意在不同系统之间漫游与切换,加大了无线网络移动性管理的安全威胁;
②4G网络必须与异构非ip网络相连接,且需有可靠的QoS提供,若无法满足这些条件则会存在安全隐患;
③无线网络由安全机图14G无线通信网络体系结构制、协议与体系构成,不同的无线网络具有差异性,在网络融合中会有安全威胁,且无线网络结构的不同也易造成容错性。
2.3无线业务的安全威胁
①随着基于电子商务的无线应用及增值业务的推陈出新,提出了更加高级的安全需求,但现有的安全机制却难以满足;
②因缺少完善的安全交易凭证,无线业务的利益冲突会越来越多;
③由于一次无线移动业务中会涉及多个网络运营商、业务提供商的服务,利益争端更为复杂,业务安全威胁更高。
34G无线通信系统的网络安全防护措施
3.1移动终端的安全防护措施
①在物理硬件的安全防护方面,为削弱物理接口的被攻击性,需要提升集成度,增加电流与电压检测电路,提高启动、检验与存储等方面的完善性;②在操作系统方面,需选用可靠性强的操作系统,并加固操作系统,使系统能够满足混合式访问控制、远程验证、域隔离控制等的安全操作。
3.2无线接入网的安全防护措施
①高可靠性载体是移动终端与无线接入网建立连接的第一道关卡,以数字证书等载体构建双向身份认证机制;
②采用相关技术措施(如物理地址过滤、端口访问控制等)设置无线接入网的细粒度访问控制策略;
③为防止非可信移动终端接入无线接入网络,需运用无线接入网自身安全策略来实现可信移动终端的安全接入功能,或是借助相关辅助安全设备来实现安全接入;
④根据业务需求,移动终端在与无线接入网进行传输过程中需建设加密传输通道,以自主设置数据传输方式来实现安全传输,或是开设专用网络来实现物理、逻辑隔离;
⑤满足无线接入网的安全数据过滤功能,发挥该功能对无线接入网资源在内部系统或核心网中的安全性,防止非法数据的侵入;
⑥为针对性、有效性分析和记录移动终端的行为规律、异常操作,以保障无线接入网的可靠性与高效性,需要结合移动终端的访问行为、无线接入设备的运作情况来构建统一的监控和审计系统。
4结语