時間:2023-06-08 11:00:33
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全筆記,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
幾年前,網絡上的黑客圈內盛傳,許多公司的源碼遭竊,甚至連知名安全軟件的源碼都已經可以公然在網絡上買到。這聽起來不禁讓人有點膽顫心驚,其中的緣由,據說是因為當時無線網絡開始盛行,許多企業由于尚未對無線網絡安全做出有效的管理,便因此遭到了入侵與破壞。
忘了要安內
不管是安裝防火墻、入侵檢測系統等,企業的著眼點往往是放在外部的威脅上,企業網內部的安全管理,就常常被忽略了。我們可以不難體會到,隨著網絡技術的演進,整個網絡世界已與以前大大不同,不再只是單純的有線環境,網絡控管也變得較為困難。
此前,企業習慣于攘外再安內的原因是,以往對于企業網絡的攻擊主要來自于企業外部,所以企業習慣先部署防御外在威脅的安全架構,如防火墻、入侵檢測系統等;然而現今的網絡攻擊模式,如間諜軟件等,都是先在企業內部網絡進行檔案破壞或密碼解譯等動作,更有甚者是在之后再將企業內部信息打包送出,這種攻擊模式已經變成一種新的趨勢。因此,企業網絡安全要做得透徹,應該要從連上網絡的那一刻便開始注意。
企業控管有三大層面,除了管制使用者能否上網之外,接下來要管制使用者的上網行為,讓其符合企業內部的安全規范;最后一個部份則是分層管理,也就是針對使用者取得內部網絡使用授權之后的資源管理,像是每個部門都應該受到不同的權限要求與保障。
零時差攻擊所造成的慘劇
我們見到許多惡意軟件作者在“空窗期”(辨識出惡意軟件并提供修補程序之前)試圖感染計算機,此趨勢似乎一直延續至今。即便企業已經部署了所有必要的防火墻、入侵檢測系統、病毒防護程序等,此類利用 WMF 弱點的零時差攻擊就足以讓企業 IT 管理者頭痛不已。
越來越多的員工現在都使用筆記本電腦在家工作,或是出差時在旅館或機場內工作。不過一個非常重要的環節卻可能被忽略:公司網絡內部的接入控制。因此在員工直接聯機到企業內部網絡時,審慎控制接入流程 (包括員工的身份認證、檢查 PC或筆記本電腦的安全狀態等) 是非常重要的。不過,Gartner 最近的報告指出,即使最好的企業也只能控制大約 80% 的網絡端點 (員工的筆記本電腦/PC)。
UAC的概念與管理
所謂UAC (Unified Access Control,統一接入控制) 是產業級的協同研究成果,可以協助保證每一個接入點在進入網絡前皆符合網絡安全規范,每個使用者要先取得PC及其它裝置的接入權限才能進入特定的網絡。UAC的解決方案保證端點設備在接入網絡前是完全遵循已建立的安全策略,并確保不符合安全策略的設備無法接入該網絡、并設置可補救的隔離區供端點修正網絡政策,或限制其可接入的資源。
UAC的架構基本上是由三個主要的組件所組成,包含了Policy Server (政策服務器,即控制器)、Agent(器)以及 Enforcer(執行器)。政策服務器(控制器)的作用是檢查從網絡接入裝置轉送來的端點安全憑證,判定并給予其適當的接入權限 (如允許進入、隔離或拒絕進入);Agent 的功能在于搜集端點的安全信息與設定等信息,并把這些信息傳遞到網絡接入裝置 (Enforcer);Enforcer 則是強制執行的設備,負責阻擋或隔離不符合網絡政策的網絡行為。
UAC是業界對企業網絡更高的安全需求所產生的反應,是一種更為全面性的防護方式,持續監控使用者的聯機,而不是單純假設只要使用者通過網絡聯機一開始的安全和惡意軟件檢查,便不會做出其它違反安全規范的行為。
基本上,完整而有效的UAC 架構應該要能提供以下幾個層面的安全功能:
端點安全狀態檢查―評估聯機裝置的“安全健康狀況”;
零時攻擊防御―主動預測出潛在威脅,而非只針對已發現的威脅做出反應;
動態執行政策―能夠實時對網絡上的高風險活動立即采取行動;
精確進行隔離與矯正―隔離威脅來源并排解疑難;
提供網絡情報―提供 IT 管理人員進行管理決策所需的信息;
政策決定和政策執行―將網絡接入對應至企業需求。
有了安全沒了方便?
病毒與蠕蟲不斷的透過網絡來影響企業營運,因為它而導致企業必須面對停工、恢復所需費用、無止盡的修補、公共責任、收入損失等。零時差攻擊表明了,系統安全更新 (patch) 遠跟不上脆弱的系統被攻擊的速度,往往系統在安全管理者提供最新的更新碼 (patch、病毒碼) 前就已經遭受了攻擊。
UAC 是應對無所不在的攻擊模式所產生的防護架構,只是,防堵了因為圖一己之便所衍生出的網絡安全問題,卻有可能因此降低了企業流程的便利性?
企業在部署 UAC或其它安全防護機制時,一定要在安全維護與使用便利性上取得平衡。
根據知名研究機構 Current Analysis調查指出,企業在部署安全防護方案時有四點基本的考慮與需求,第一個要求是部署簡單,可以快速完成;第二個考慮是開放標準,也就是希望未來新的解決方案要能支持各端點的安全需求,要能整合各種增值應用,如此才不會被特定安全提供商所牽絆住,各項產品才有機會整合成一個完美的防護機制;第三個考慮則是希望除了內部員工之外,包括合作廠商、訪客等在進入企業網絡范疇之前都能夠受到管控;最后一項則是,希望能夠分階段部署這些安全機制與設備,不管是按照部門或是依照網絡層的不同來分段設置,也希望能夠整合不同時間所設置的安全設備。
接入控制機制除了要針對內部員工之外,也常需針對外在的訪客來作出反應。目前,一些先進的科學園區中許多企業在訪客攜帶筆記本計算機進入公司之前,都會要求其填寫一份安全防護問卷表,若是填寫的問卷表中顯示,訪客沒有符合該公司的安全防護規定,如未安裝某些防毒軟件等,常會被要求須在特定區域等候負責人員替訪客執行筆記本計算機的掃毒動作,確認安全無虞之后才準在企業內部上網。如此的安全維護動作雖然很確實,但卻是非常不方便,除了會增加企業 IT 人員的負擔外,也耽誤到訪客的寶貴時間。
平衡方案與未來趨勢
有了安全就沒了方便,要方便使否就要忽略安全呢?有企業開始使用無的方式來平衡便利接入與安全防護這兩個難以取舍的網絡安全議題。
許多企業開始以較簡易而不用直接安裝防護機制的方式來做到安全與便利性的并重;譬如當外來訪客上網準備進入內網體系時,類似UAC架構中Enforcer(執行器)的機制,若發現訪客電腦尚未安裝某些防毒程序或是病毒碼未更新等違反企業安全規范的狀況,便會自動將其導引至某些特定的網頁,讓其自動可以更新病毒碼,或是干脆讓其只能接入特定網頁,而無法接入企業網絡內的資源,這就是系統的矯正以及隔離功能。
隨著可選擇的網絡連結方式增加,企業網絡的發展正逐步擺脫傳統的思考模式與過去的約束。現在的企業逐步開始認識到,互聯網聯機的普遍性所帶來的彈性和賦予的能力,必須與完善詳盡的安全措施達到一個平衡點,以保持企業的優勢不受到負面影響。
如何能夠更簡便、安全地進行網絡連接呢?這里我們發現了一個正在被越來越多的企業所選用的,個人便攜式VPN防火墻解決方案――ZyWALL P1(下面簡稱P1)。它其實是一個類似移動硬盤大小的掌上網絡安全連接設備,可以塞入旅行包中隨身攜帶,可助你輕松完成企業網絡安全配置,自動建立好VPN連接。
具體來說,P1提供了WAN和LAN 2個網絡接口,在使用時,我們要做的就是分別將它們連接到所住酒店的寬帶網絡接口和筆記本電腦有線網口上,然后打開電源。多數情況下,酒店寬帶都是基于端口的認證服務。這時,P1默認可以從當地網絡中自動獲得一個IP地址和與之配套的網關、DNS信息,并自動根據P1內置的VPN參數進行企業VPN管道連接。一旦連接成功,你會看到P1的VPN指示燈變綠。整個過程,完全無需用戶任何干預,像在公司內部一樣。
如果你所住的酒店使用IE窗口認證模式,則你還需要在VPN連接成功前先開啟IE窗口,隨便輸入一個網址,系統會自動彈出相應的酒店寬帶網絡登錄窗口,你也只要按照酒店上網說明,輸入你房間的寬帶口令,即可激活Internet服務。接下來,P1仍然會自動配置好網管事先設定好的VPN連接,將你接入公司的網絡安全體系中。
其實,P1這樣的個人硬件安防解決方案最大的好處還是在于企業安全的統一管理和部署。
在完全沒有用戶干預的情況下,網管能通過ZyXEL的Vantage CNM中央網管系統遠程強制分發統一的企業安防策略。確保身處異地的員工電腦一樣可以在遠程連入企業網絡前,都確實執行最新的企業網絡安全規范,既。節省了網管逐一為大家升級防火墻的麻煩,也避免了百密一疏的危險。真正做到貼身的安防服務。
三心二意玩電腦
隨著電腦更新速度的日益提升,誰家還沒有個把淘汰下來的舊電腦,或者被筆記本電腦替換下來的臺式機。這些電腦大都已成食之無味、棄之可惜的雞肋。怎樣利用這些電腦,幫你做更多的事情呢?這里,我們給你再支一招:用多電腦切換器(KVM Switch)實現多機并用互不干擾。
這里我們拿Aten(宏正自動科技)的雙機USB切換器CS-173ZA為例給大家做一示范。它具備2套主機接口,包括VGA、音頻(MIC、音箱)和USB總共4個接口,可以滿足2臺主機共享同一套顯示器、鍵鼠以及USB打印機等外設。這樣,你就可以將家中空閑的主機也架起來完成一些簡單的后臺工作,比如進行BT下載。或者更方便地將筆記本電腦連到家里臺式機的大屏幕液晶顯示器和高保真音箱上,用標準鍵鼠更舒適地進行操控,而不必受制于筆記本電腦的配置。
多電腦切換器的連接也很簡單,你只要將隨機附帶的2條主數據線,分別連接到電腦主機和KVM后的CPU1/2接口上(注意連接方向:數據線包括VGA、音頻和USB接頭的一端接在主機對應接口上,數據線的另一端接到KVM上),然后將顯示器、USB鍵鼠(PS/2鍵鼠可以通過附帶USB-2-PS/2轉接線轉換連接)和音響系統的MIc/音箱接入到KVM對應端口上,一切就算ok了!KVM的使用也非常容易。在開機2臺電腦后,你可以直接通過KVM正面的1、2主機對應按鈕,進行雙機操控、顯示、聲音系統的快速切換。即要顯示、操控1號機的信息,就按下1號機切換鍵,然后就跟原來一樣,直接使用1號電腦。待需要使用2號主機時,就簡單地按下2號機切換鍵,顯示屏和鍵鼠就都連接到2號電腦上,你即可以開始操作2號電腦。
相比早期的機械式KVM,CS-1732A采用電子切換結構,信號切換更加穩定,不會出現接觸不良、色偏、噪音等問題,而且可以同步或異步切換音頻信號,以實現在監控1號機的狀態下,同時監聽2號機音頻的功能。這樣,如果你喜歡邊工作、邊聽MP3,又擔心會影響你主機的性能,就可以讓另外一臺配置較低的電腦在后臺幫你播放MP3音樂了。
2012年6月15日,在國家網絡信息安全技術研究所(NINIS)指導下,由《信息安全與通信保密》雜志社主辦的“網絡空間新階段安全威脅”高峰論壇在京舉行。工信部通信保障局網絡安全管理處閆宏強處長、國家網絡信息安全技術研究所(NINIS)杜躍進所長、北京大學互聯網安全技術北京市重點實驗室鄒維主任、北京大學信息科學技術學院信息安全實驗室李青山副主任、中國移動研究院安全所楊光華副所長,以及啟明星辰、綠盟科技、安天、瀚海源等公司代表參加了此次高峰論壇。國家網絡信息安全技術研究所(NINIS)杜躍進所長在會上作了“APT攻擊總體情況和思路介紹”的報告。他指出,繼“震網”、“DuQu”讓人們震驚于安全威脅的日益專業化之后,近期的“火焰”病毒再次引發關注,網絡安全威脅正式進入全新的階段,已經成為國際共識。(嚴威川)
希捷重塑備份概念
2012年6月14日,希捷科技公司宣布推出Backup Plus產品系列。作為希捷的重塑消費存儲產品系列,Backup Plus可實現最簡單的設置、一鍵備份、保存及共享Facebook和Flickr內容等各種功能。它能與Windows及Apple計算機互操作,并提供各種全新的功能,以保護、共享和保存我們數字生活的方方面面。產品預裝希捷全新的無障礙Dashboard軟件,可實現一鍵本地備份。(浛博)
Immersion帶來新的觸覺震撼
2012年6月20日,Immersion公司在亞洲移動通信博覽會現場演示了其內置TouchSense技術的軟件解決方案。在Immersion技術的幫助下,OEM廠商能夠將精心設計的觸摸反饋效果持續應用于整個移動用戶界面中,從而打造出越來越具吸引力的差異化用戶體驗。隨著Immersion推出易于使用的集成工具,安卓系統的OEM廠商和應用開發者們可以在其移動游戲和應用中加入更高端的觸摸反饋效果,借助觸覺技術實現逼真的體驗感受。(浛博)
有道首發Android Pad版
伴隨著Google首臺平板電腦Nexus 7的,有道詞典也推出了Android Pad 1.0版本,成為Android Pad上國內首個翻譯服務類應用,繼續領跑同類產品。有道詞典及時填補了翻譯領域的空白,推出首個Android Pad版詞典應用,滿足了Android Pad用戶的翻譯需求。Android版有道詞典具有詞典、百科和翻譯三大經典功能,并且支持中、英、日、韓、法多語種查詞及全文翻譯。與PC端一樣,用戶除了能享受到豐富的網絡釋義和海量例句等翻譯服務,在離線環境下還可以使用包含10萬個常用詞匯的中英本地詞庫。(浛博)
東芝21:9超寬屏超極本
2012年6月13日下午,東芝電腦在北京舉辦了以“超越巔峰 極致體驗”為主題的新品媒體溝通會,本次會議的主角是東芝即將的兩款14英寸全新超極本Satellite U800與Satellite U800W。其中U800外殼采用鋁合金金屬材質制成,機身最厚處僅有19.9毫米,重量僅為1.7kg,搭載英特爾最新一代的Ivy Bridge i3/i5處理器,且配備了AMD Radeon HD 7550M獨立顯卡。而U800W是全球唯一一款使用21比9屏幕顯示比例的超極本,21比9的超長屏幕為各類應用帶來了全新的體驗。(王健)
富士通2012年夏季新品
6月26日,富士通個人電腦夏季新品會在北京盛大舉行,延續高端“匠”理念,富士通在此次會上了包括A系列、P系列、S系列、U系列在內的十款新品筆記本電腦。其中,全新推出的超極本LIFEBOOK U系列以其極具匠心的設計、超纖薄機身、超長續航能力以及卓越的商務性能開創了超極本新時代,特別是LIFEBOOK U772,其機身最厚處僅為15.6mm,是目前全球最纖薄的14英寸超極本,具有極高的安全性能,其配備的45Wh新型聚合物鋰電池亦可提供長達約9.1小時的續航能力。它的推出更加充分展現了富士通注重研究用戶體驗、不斷追求頂級品質的創新精神。(王健)
三星新一代9系列筆記本
2012年6月18日,三星舉辦了新一代9系列筆記本會,整場活動通過科技與藝術的完美融合,恰到好處地凸顯了三星新一代9系列筆記本的精湛工藝與驚世之薄。三星新一代9系列筆記本擁有900X3C、900X4C、900X4D三種型號,其中13英寸的900X3C重量僅為1.16kg,厚度僅為12.9mm。三星全新一代9系列的問世顛覆了傳統超輕薄筆記本帶給人們的固有觀念,以更迅捷的處理速度、更卓越的性能表現、更輕松的觸控操作,帶給消費者一種全新的高端商務體驗。(王健)
關鍵詞:WLAN;網絡結構;AP;WEP
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)01-0025-02
On the WLAN Application in the Campus Network
CUI Long-wei, HU Jia-bao, QIN Feng-wei
(Computer Science and Technology, Wuhan University of Technology, Wuhan 430063, China)
Abstract: With the rapid of the wireless network communication technology and the increasingly complex network requirements,and the wireless campus network construction rise。This paper describes the characteristics of the campus network using wireless, network structure and security issues.
Key words: WLAN; network structure; AP; WEP
隨著筆記本電腦、PDA的普及,為了滿足學生及教師在教室、圖書館、體育館、實驗室等場所的上網需求,傳統的校園有線網絡不能人們的需要。隨著無線網絡技術的發展,利用無線網絡技術來擴充傳統校園有線網絡,可以滿足目前的需求。利用無線網絡技術組建無線校園網目前是各校建設校園網的發展趨勢。
1 無線局域網的介紹
WLAN(Wireless Local Area Network,無線局域網),也稱為無線Ethernet,它是一種計算機網絡與無線通信技術相結合的產物,它利用射頻技術來提供傳統有線局域的全部功能,是一種能支持較高速率,采用蜂窩或微蜂窩的自我管理的計算機局域網技術。WLAN的數據傳輸速率現在已經能夠達到11Mb/s,傳輸距離可遠至20km以上,它是對有線聯網方式的一種補充和擴展,從而使網絡的構建和終端的移動更加靈活,并且能更快速、方便的解決有線方式不易實現的網絡連通問題。
1.1 無線局域網的工作原理
無線局域網采用直序擴頻接入技術,使用戶可以在2.4GHz的ISM頻段上進行無線Internet連接。無線局域網絡的系統包括無線網絡接入管理系統、無線中心路由器、用戶端無線路由器。網絡接入管理系統可以為網絡運營商提供如用戶管理功能和網絡安全等方面的操作與維護支持;無線中心路由器同時提供多個無線接口,并采用扇區覆蓋方式,提供多用戶大容量的IP接入,它可以進行用戶驗證、訪問服務控制、動態IP地址分配等。同時,它比傳統的無線網絡接入設備增加了強大的IP組網和路由功能,提高了無線寬帶網絡的擴展性、傳輸速率以及安全性。
1.2 無線局域網的特點
無線局域網與有線局域網相比,具有很大的優勢。其具體優點如下:
1) 網絡安裝維護簡單方便:無需布線,只需安裝無線局域網卡,再將其配備的軟件安裝在個人電腦上,安裝瞬間即可完成。
2) 移動靈活:筆記本電腦,PDA等便攜式電子產品,只要在其覆蓋范圍內,可實現不同環境場所下隨時隨地上網,方便靈活。
3) 組網費用降低:筆記本電腦只需安裝無線網卡,無需布線,這樣可以解決布線費用,降低成本。
2 無線校園網的構建
2.1 無線校園網的網絡結構
無線校園網絡的組網方式有主要有:有固定基礎設施和無固定基礎設施。
1) 有固定基礎設施
固定基礎設施指預先建立的基站或接入點AP(access point),主要用于將無線客戶端接到現有的有線網絡,AP網絡節點用于橋接有線網絡和WLAN。在有固定基礎設施模式下,無線客戶端與其他無線客戶端及有線網絡主機之間的通信需要AP轉發,才能發送到目的端。有固定基礎設施網絡結構如圖1所示。
這種結構的弱點是抗毀性差,中心點的故障容易導致整個網絡癱瘓,并且中心站點的引入增加了網絡成本。在實際應用中,無線網往往與有線主干網絡結合起來使用。這時,中心站點充當無線網與有線主干網的轉接器。
2) 無固定基礎設施
沒有AP的WLAN也稱為自組網絡(ad hoc network)或對等網絡(peer to peer network),主要用于無線客戶端之間的通信,自組網絡最多容許9個無線客戶端。無固定基礎設施網絡結構如圖2所示。
這種結構的優點是網絡抗毀性好、建網容易、且費用較低。但當網中用戶數過多時,信道競爭成為限制網絡性能的要害。并且為了滿足任意兩個站點可直接通信,網絡中站點布局受環境限制較大。因此這種拓撲結構適用于用戶相對減少的工作群網絡規模。
2.2 無線校園網網絡設備組成
隨著學生中筆記本電腦的普及和現代化教學的普及,加上教室、圖書館、會議室等地方一般是不可能布設太多信息點的,目前的有線校園網沒有辦法使學生們在這些區域上網。采用無線方式,在有限的信息點上連接無線接入器,就可以輕松從一個信息點擴展到成百上千個信息點的應用。
無線校園網絡主要采用無線路由器、無線接入點、無線網卡來進行組網。無線網絡與有線網絡連接,使得無線網絡用戶輕松訪問Internet。簡單的無線校園網絡結構如圖3所示。
3 無線校園網的安全性問題
無線局域網組要采用IEEE802.11有線等價保密協議WEP(Wired Equivalent Privacy)來解決其安全性問題,由于WEP在考慮安全性和易用性之間的均衡時,更多地考慮了易用性和加密算法的高效性,在WEP默認配置、加密、密鑰管理和服務設置標識等方面已經發現存在大量的漏洞,導致WLAN安全受到威脅。針對無線校園網中的安全問題,提高網絡安全性,應該采取相應的安全措施。
1) 設置安全口令:為無線的互聯網訪問設置一個口令至關重要,授權他們接入特定的資源,同時拒絕為未經授權的用戶提供接入。
2) 數據加密:重要數據在WLAN 上的傳輸可采用無線信道加密或終端加密(如AES無線信道加密技術),防止未經授權的用戶竊聽、插入或修改通過無線網絡傳輸的數據。
3) MAC地址過濾:無線MAC地址過濾功能通過MAC地址允許或拒絕無線客戶端接入無線網絡的接入權限,從而獲取較高的安全性。
在提高校園網絡安全的措施中,我們應該在不使用網絡時將其關閉,從而減少網絡攻擊的機會;通過設置防火墻,以保護內網的安全性,從而提高網絡的安全性。
4 結束語
無線局域網技術不斷發展,其優勢日益突出,WLAN與有線網絡相結合組建校園網是目前校園網絡組建的主要方法。選擇合適的無線校園網組網模式,優化校園網結構和校園網絡的復雜性,提高網絡安全。目前,大部分高校已經完成了校園無線網絡的組建。
參考文獻:
[1] 劉乃安.無線局域網(WLAN):原理、技術與應用[M].西安:西安電子科技大學出版社,2004.
[2] 段水福, 歷曉華.無線局域網 (WLAN) 設計與實現[M].杭州:浙江大學出版社,2007.
校園無線網絡對學校以及師生的成長和發展起著越來越重要的作用。但由于網絡管理技術上的不足、師生網絡安全意識不強、非法用戶的惡意侵入等因素的影響,校園無線網絡安全還存在諸多問題。首先分析了校園無線網絡安全存在的問題,并在基礎上探討了應對的策略,以期能對校園無線網絡安全的建設提供一些建議。
[關鍵詞]
校園無線網絡 安全 問題 策略
隨著網絡信息化的迅速發展,網絡的使用逐步由有線網絡過渡到無線網絡。建構覆蓋面廣、安全而迅捷的無線網絡也成為很多公共場所的重要需求,學校校園更是如此。隨著學生擁有的筆記本電腦和智能手機越來越多,他們對建構校園無線網絡的愿望也越來越迫切。同時,無線網絡的建構,不僅有利于方便學生及時瀏覽重要訊息、下載重要學習資料、方便師生和學生之間的互動,而且對教學和管理也帶來了重大變革。一方面無線網絡的覆蓋有利于加快推動教師在教學過程中使用現代多媒體教學手段,并且有利于教師更為快捷地運用和及時分享最新網絡資料;另一方面,無線網絡的覆蓋也使得學校管理駛入信息化的快車道,在教學、安全、后勤管理等方面發揮越來越重要的作用。但同時我們也要清醒地看到校園無線網絡給學校帶來諸多便利的同時,也存在很多安全隱患,需要我們注意防范。
一、校園無線網絡安全存在的問題
校園無線網絡的安全問題主要涉及的是接入安全和信息傳輸安全。由于無線網絡在使用過程中片面追求覆蓋面和普及速度,致使對網絡安全的加密技術以及使用者的安全意識缺乏有效的監管,使得無線網絡存在一定的安全隱患。主要表現在以下幾個方面:
(一)病毒隱患影響接入安全
病毒一直是網絡安全的主要殺手。隨著網絡信息化的發展,病毒不僅變得更具隱蔽性,而且也越來越具有殺傷力。它們廣泛存在于我們使用的筆記本電腦、智能手機以及其他移動終端設備中。在無線網絡中,由于信息和資料的傳遞不受空間限制,對于病毒的傳播也就不容易監控。因此,當我們在接入無線網絡的過程中,如果我們的移動設備潛藏了某些病毒,那么他們一旦被激活將會迅速傳播,嚴重影響校園無線網絡安全,對學校的網絡平臺和儲存的信息給予嚴重沖擊,甚至會使學校無線網絡運行癱瘓。
(二)信息傳輸容易被截取和泄密
和病毒傳播會超越物理空間界定一樣,使用無線網絡在傳輸信息的過程中也存在較大的安全隱患。在以往的有線網絡中,其物理空間被限定在一定的范圍內,計算機或網絡管理人員對信息的傳遞能夠很好地給予監控。但在無線網絡狀態下,由于缺少了一定的物理空間限制,而且資料是通過無線通信的方式傳遞的,導致信息數據包很容易就可以被截獲和破譯,從而導致信息被泄密。
(三)易遭受黑客或其他非法用戶入侵
校園無線網絡服務的人群比較多、相對也比較開放。很多別有用心的人群,(比如黑客等)也可能會借機闖入網絡并進行一些非法活動。出現黑客或其他非法人員入侵的時候,管理員一般也很難進行有效的管理并將其拒絕。黑客或其他非法用戶入侵校園無線網絡后,不僅會造成無線網絡的訪問壓力,而且會盜取校園內部人員的賬號,竊取有價值的信息,也可以對校園重要資訊進行竊聽、篡改以及轉發,給學校師生財產和個人隱私等帶來嚴重傷害。有些非法用戶利用MAC地址欺騙,他們在對用戶進行竊聽或竊取有效資料的基礎上,獲取網絡中合法站點的MAC地址,然后通過ARP欺騙,利用這些合法的MAC地址進行欺騙攻擊。更嚴重時,非法用戶可以冒充AP進入網絡,獲得真實的認證信息,以合法用戶的身份進行一系列違法活動。由此采取適當措施有效地阻止非法用戶的入侵是維護校園網絡安全極為重要的問題。
(四)AP地址易受攻擊,致使其拒絕服務
攻擊AP地址,并讓其停止服務,也是無線網絡存在的重大安全隱患。非法入侵者如果攻擊AP地址成功,將會導致AP產生錯誤的判斷,嚴重情況下將會停止繼續服務。非法入侵者一般會對AP地址采取泛洪式攻擊或對某個節點進行攻擊兩種方式。可以說每一種攻擊方式對校園無線網絡的安全都是致命的。輕者會對校園部分局域網造成破壞,嚴重的將會使整個校園網癱瘓。
(五)管理者和用戶網絡安全意識不強
校園無線網絡之所以有很多安全隱患,一方面是由于網絡管理者對無線網絡的安全沒有引起足夠的重視,另一方面是由于無線網絡的用戶缺乏網絡安全意識,無意中對無線網絡進行了破壞。
1.一般而言校園網絡是相對比較純潔的網絡,使用者也主要是學生和教師。由此學校在建設無線網絡的過程中可能對無線網絡的安全認識不足,致使很多的無線接入點都沒有考慮到無線接入的安全問題。MAC地址的認證、共享密鑰的認證等基本認證方法并沒有完全普及,大多學校都沒有引進高級的認證協議,從而使得學校的安全體系未能有效地建構起來。
2.校園無線網絡的用戶主要是教師和學生,他們一般都比較缺乏專業的計算機網絡安全知識,大多對無線網絡技術和智能電腦和手機的系統不是太熟悉,而且有的時候為了方便,他們對網絡或個人終端的密碼設置過于簡單,從而為黑客或非法用戶入侵帶來一定的便利。
二、維護校園無線網絡安全的應對策略
針對校園無線網絡安全存在的諸多隱患,筆者認為應主要從引進先進的網絡安全管理技術、加強對非法用戶的監控、提高廣大師生的網絡安全意識等幾個方面來進行應對。具體策略主要有以下幾點:
(一)學校應對校園無線網絡安全給予充分重視
校園無線網絡安全不僅事關學校教學和管理的安全,而且也事關學校師生財產和個人隱私等安全。因此學校應給予校園無線網絡安全充分的重視。一方面加大對校園無線網絡安全設施的投入,組建較為完善的安全體系;另一方面,聘請專業人員對校園無線網絡進行管理和維護,對于學校比較重要的資料和信息要及時加密和備份,避免被非法人員入侵造成不應有的損失。
(二)使用隱藏SSID和無線入侵檢測技術保障無線網絡安全
校園無線網絡之所以容易被攻擊,主要是因為缺乏有效的認證、對非法用戶不能進行有效的攔截。因此,從技術上對校園無線網絡加以改進是有效應對安全隱患的重要舉措。
1.校園無線網絡可以引入SSID技術。SSID技術可以把一個整體的無線局域網劃分為若干個需用不同身份驗證的子網絡,這樣在進入無線網絡使用子網絡的過程中需要進行身份驗證,由此可以防止一些未經授權的用戶使用無線網絡。但是AP地址為方便終端使用無線網絡,會自動廣播SSID,這在一定程度上也對無線網絡的安全有較大影響。為此,可以通過設置隱藏SSID并禁止AP,在一定程度上就會使得非法入侵用戶因不知曉SSID的全名而使得入侵失敗。
2.積極引用無線入侵檢測技術。引用無線入侵檢測技術能使網絡管理人員及時發現入侵者的蹤跡并給予跟蹤和監控,也可以對非法入侵者的網絡行為進行分析,從而有針對性地實施破解方案,及時將可能發生的危險扼殺在搖籃中。
(三)加強對網絡病毒的查殺和防御
學校可以在網絡安全中心安裝一個強大的殺毒軟件,定期對整體網絡進行查殺,及時發現可能出現的可疑病毒,最大限度地杜絕病毒攻擊。同時也及時提醒學生和教師在使用移動設備的過程中經常和及時查殺相關病毒,盡可能使移動設備遠離病毒,從而保障校園網絡的安全。另外,充分利用防火墻技術有效隔絕來自網絡外部的病毒和不良信息以保證網絡環境的純潔。
(四)提高廣大師生的網絡安全意識
提高廣大師生的網絡安全意識是保障校園無線網絡安全的重要途徑。學校可以通過培訓或專業人士的解答和演示,讓師生知曉哪些不當操作會對校園無線網絡造成威脅、安全隱患產生后應如何防范等,從而提高大家維護校園無線網絡安全的意識和自覺性。
三、總結
總之,維護學校無線網絡安全是一個系統的工程,它不僅需要技術上的支持,也需要學校師生的配合。只有大家都盡力投入到維護校園無線網絡安全的行動中,才能真正實現校園網絡平穩、安全地運行。
作者:焦計劃 單位:廣州市交通技師學院
關鍵詞 無線網絡;高校網絡系統;安全措施;防范
1 引言
網絡技術的飛速發展,為教學科研作出了巨大的貢獻。但是網絡安全問題也一直困擾著高校。目前病毒、黑客猖獗,而學校的科研資料等相關資料都非常重要,因此網絡安全尤其重要。當前許多企事業單位都已經采用了無線網絡。了解無線網安全隱患,再結合高校
自身網絡的特點,提出合理有效的安全防范措施,確保高校網絡安全。
2 無線網通訊協議和安全措施
2.1 通訊協議
無線網絡通訊協議主要有以下幾個:
(1).802.11b 協議:價格低廉、高開放性,支持A d H o c (點對點)和Infrastructure(基本結構)兩種工作模式。
(2).802.11g協議:傳輸速率高,可以達到54M傳輸速率,加強型的802.11g 產品已經步入無線百兆時代,兼容802.11b 協議。
(3).藍牙:主要是應用在筆記本電腦中,目前大部分無線網絡產品都支持藍牙。
(4).WEP 協議:WEP 協議為了保證802.11b協議數據傳輸的安全性而制訂的安全協議,該協議通過對傳輸的數據加密,保證無線局域網中數據傳輸的安全性。
2.2 安全措施
無線網絡中主要存在的威脅是截獲或修改傳輸數據。如果攻擊者可以訪問網絡,則可以插入惡意計算機來截獲、篡改兩個客戶端的通信。
無線網絡覆蓋的安全性對無線網絡是最為關心的問題之一,網絡覆蓋區域內,難免有非法用戶接入無線網絡。現在所有W L A N 產品均實現了一定程度的安全措施,目前常用的有M A C 地址訪問限制,數據傳輸加密等方法。
(1).AP 端的MAC 地址訪問限制,拒絕未經過登記許可的無線客戶端設備鏈接;
(2).128 bits WEP 數據加密,確保數據傳播途徑中的安全;
(3).無線設備自身的安全防范措施。
3 高校無線網安全措施
3.1 用戶劃分
高校網絡建設中,已經應用了無線網絡建設,將來普及面更廣,無線用戶數量眾多。
從現有的網絡環境和用戶分析,可以劃分成以下用戶群:
(1).固定用戶群:機關辦公、機房電腦、教學樓、實驗室等用戶群。
(2).活動用戶群:教師個人電腦、學生自用電腦等用戶群。
(3).臨時用戶群:學術交流會臨時電腦用戶群。
用戶群的劃分,有利于無線網絡接入Internet 網采取不同的安全策略,確保整個高校的無線網絡安全。
3.2 安全防范措施
高校無線網絡的安全防范措施,除了WEP 數據加密協議外,應根據不同的用戶群,采取不同的安全防范措施。
(1).固定用戶群
1)MAC 地址綁定,限制非法用戶訪問。這種策略適合高校固定用戶群,網絡信息中心可以統一分配IP,配置MAC 地址的過濾策略,確保無線網絡的安全。
(2).活動用戶群
1)端口訪問控制技術。該技術是無線局域網的一種增強性網絡安全解決方案。當工作站STA 與訪問點AP 連接后,使用AP 的服務要經過802.1x 的認證。如果認證通過,AP 為STA 打開這個邏輯端口,否則禁止接入。802.1x 要求工作站安裝802.1x客戶端軟件,訪問點要內嵌802.1x 認證,同時還作為Radius 客戶端,將用戶的認證信息轉發給Radius 服務器。802.1x 除提供端口訪問控制之外,還提供基于用戶的認證系統及計費。
2)A P 隔離。類似于有線網絡的VLAN,將所有的無線客戶端設備完全隔離,只能訪問AP 連接的固定網絡,從而提供安全的I n t e r n e t 接入。
(3).臨時用戶群
1)啟用密碼訪問限制,非密碼用戶不能訪問無線網。此方法可以確保授權用戶能訪問網絡。特別適合臨時場所使用,比如會議等。
4 結束語
高校無線網絡的建設,既帶來了方便,同時也帶來安全隱患。無線網絡技術的飛速發展和安全措施的完善,為高校提供了安全、可靠的網絡環境。
(一)數據加密機制
當數據加密密鑰與解密密鑰不相同時,說明每一個用戶同時擁有公開密鑰和秘密密鑰兩個密鑰,則其成為非對稱密碼系統。任意人員都可以使用一個用戶的公開密鑰,將數據信息進行加密之后在發送給該用戶,但是只要該用戶能夠使用自己的秘密密鑰對數據信息進行解密,沒有秘密密鑰的人員無法對數據信息解密。公鑰密碼的算法非常復雜,不適用于無線網絡的通信傳輸,否則會耗費大量的系統資源。
(二)身份認證機制
身份認證機制需要提供雙方的身份信息,防止非法人員假冒合法用戶身份。身份認證在密碼學中主要是檢驗證明一方是否能夠提供秘密答案,例如提供證明一方和驗證一方共有的秘密密鑰等等。由于身份認證方案是在運算簡單的算法基礎之上,因此適用于無線網絡通信中的用戶身份認證。
(三)不可否認機制
數字簽名技術的用于不可否認機制,目的是防止一方發生抵賴現象。數字簽名技術具有以下幾種優勢:一是采用電子數據信息形式,適用于在網絡中傳輸;只有掌握秘密密鑰的人員才能生成數字簽名,偽造數字簽名現象得以遏制;完成對整個消息的數字簽名后不可更改。
二、無線網絡的安全問題防御對策
(一)防火墻系統
防火墻系統由軟件部分和硬件部分共同構成,在兩個網絡之間進行設置進行隔離。防火墻系統的控制策略由使用人員自行配置,以此保證內網與外網之間的安全連接。防火墻系統的主要功能包括阻止和允許兩種。通常情況下,防火墻系統的主要任務是阻止控制,防火墻系統的兩個分組過濾路由器屬于標準路由器,但同時能夠對分組數據信息進行檢查,一個路由器負責檢查進入內網的分組數據,另一個路由器負責檢查內網輸出的分組數據,將符合安全條件的分組信息設置通過。
(二)虛擬專用網絡
虛擬專用網絡(VPN)在互聯網傳輸的內部數據報是已經完成加密的,因此,虛擬專用網絡在互聯網上經過的路由器都無法掌握內部數據報的內容,例如:一個企業的部門A到部門B就是一條VPN隧道。VPN具有以下幾個特點:一是能對兩個網絡節點或者兩個網絡之間的數據通信進行加密;二是VPN是基于軟件實現的,能夠提供不同級別的加密。因此,VPN的建立能夠實現異地辦公的網絡通信安全。
(三)遠程身份驗證撥入用戶服務
遠程身份驗證撥入用戶服務(RADIUS)主要包括三種網絡安全控制功能:一是身份認證,通過一個網絡安全控制中心對任意一個遠程用戶的口令和密碼進行驗證,當確認用戶用后合法身份時才能夠對無線網絡發起訪問;二是用戶授權,每一個新的連接都為遠程無線局域網用戶的訪問點提供需要的信息。三是日志記錄,能夠記錄遠程無線局域網的連接信息,包括連接時間、用戶身份等等。而且,RADIUS還可以實現雙向用戶身份認證,由此,非法入侵者就無法實現假冒合法用戶身份對網絡發起攻擊。
三、結論
2018年某某市統計局平安互聯網創建工作在某某市平安互聯網創建活動領導小組的精心指導下,某某市統計局全體干部職工積極配合,認真貫徹落實通知精神,真抓實干,認真做好了平安互聯網建設工作。現將上半年工作開展情況匯報如下:
一、領導重視,組織健全
根據《國務院辦公廳關于加強政府信息系統安全和保密管理工作的通知》、《關于進一步做好全省統計信息網絡安全管理工作的通知》等文件精神,成立了信息安全領導小組。信息安全領導小組為常設機構,設組長一名,由局長擔任;副組長一名,由分管信息化工作的副局長擔任;成員由各統計站負責人及局各科室負責人組成。信息安全領導小組下設辦公室由尤峰同志擔任辦公室主任。
二、建章立制,明確責任
我局確保干部職工人手一臺辦公電腦,今年新增更新了辦公電腦8臺,筆記本電腦15臺,數據服務器1臺,從硬件環境滿足了工作需要,為了保障計算機管理有序和網絡安全,我市已制定了《某某市統計局國家統計局某某調查隊 計算機網絡安全管理制度》和《某某市統計局 國家統計局某某調查隊 計算機網絡機房管理制度》,上網用戶嚴格遵守國家安全保密制度。除了相關制度外,給每一臺計算機配備了防病毒軟件和防火墻,上統計內網的電腦,強制安裝北信源程序,并加強辦公室日常防盜管理,定期檢查電路安全。
三、加強管理,確保安全
以平安互聯網創建活動為契機,進一步加強我局信息安全管理,確保我局信息系統長期安全穩定運行,有效防范和控制信息系統風險,信息安全領導小組在各個重要節日及重大事件之前都對全市信息網絡安全進行檢查評估,做好應急預案。由于領導得力,管理有效,我市統計系統網絡運行安全有序,沒有出現任何一起不安全事件。
我信息化管理辦公室為專業統計報表數據處理提供技術支持,定期做好網絡設備和單機的維護,定期對殺毒軟件進行升級并對微機進行全面查殺病毒工作,保證各專業統計工作數據處理能力,提高工作效率,做到上報市局的數據文件無毒上載,定期要求各專業將專業數據資料和各項調查數據進行整理備份,確保全局統計數據資料的完整與安全。
四、搞好培訓,提升素質
一是信息化人員參與上級組織的安全培訓;二是采取多種途徑和方式提高統計人員運用信息技術的能力。
關鍵詞:計算機網絡安全網絡攻擊防范策略
1 計算機網絡攻擊的特點
1.1 損失巨大
由于攻擊和入侵的對象是網絡上的計算機,因此攻擊一旦成功,就會使網絡中的計算機處于癱瘓狀態,從而給計算機用戶造成巨大的經濟損失。如美國每年因計算機犯罪而造成的經濟損失就達幾百億美元。平均每起計算機犯罪案件所成的經濟損失是一般案件的幾十到幾百倍。
1.2 威脅社會和國家安全
一些計算機網絡攻擊者出于各種目的經常把政府部門和軍事部門的計算機作為攻擊目標,從而對社會和國家安全造成威脅。
1.3 手段多樣,手法隱蔽
計算機攻擊的手段可以說五花八門:網絡攻擊者既可以通過監視網上數據來獲取別人的保密信息,又可以通過截取別人的帳號和口令進入別人的計算機系統,還可以通過一些特殊的方法繞過人們精心設計的防火墻,等等。這些過程都可以在很短的時間內通過計算機完成,因而犯罪不留痕跡,隱蔽性很強。
1.4 以軟件攻擊為主
幾乎所有的網絡入侵都是通過對軟件的截取和攻擊進而破壞整個計算機系統的。因此,計算機犯罪具有隱蔽性,這要求人們對計算機的各種軟件(包括計算機通信過程中的信息流)進行嚴格的保護。
2 計算機網絡安全存在的隱憂
2.1間諜軟件
所謂“間諜軟件”,一般指從計算機上搜集信息,并在未得到該計算機用戶許可時便將信息傳遞到第三方的軟件,包括監視擊鍵,搜集機密信息(密碼、信用卡號、PIN碼等),獲取電子郵件地址,跟蹤瀏覽習慣等。間諜軟件還有一個副產品,在其影響下這些行為不可避免的響網絡性能,減慢系統速度,進而影響整個商業進程。
2.2 混合攻擊
混合攻擊集合了多種不同類型的攻擊方式,它們集病毒,蠕蟲以及其他惡意代碼于一身,針對服務器或者互聯網的漏洞進行快速的攻擊、傳播、擴散,從而導致極大范圍內的破壞。
2.3 繞道攻擊
網關級別的安全防護無法保護電腦免遭來自CD,USB設備或者閃盤上的惡意軟件攻擊。同理,那些被拿到辦公室之外使用的員工電腦也無法得到有效的保護。假如你將電腦拿到一個無線熱點區域之中,那么竊聽者以及AP盜用者都有可能攔截到電腦的相關通訊如果你的電腦并未采取足夠客戶端安全防護措施的話。而這些攻擊,我們就將其稱為“繞道攻擊”。
2.4 強盜AP
是指那些既不屬于IT部門,也并非由IT部門根據公司安全策略進行配置的AP,代表著一種主要的網絡安全風險來源,它們可以允許未經授權的人對網絡通訊進行監聽,并嘗試注人風險,一旦某個強盜AP連接到了網絡上,只需簡單的將一個WiFi適配器插入一個USB端口,或者將一臺AP連到一個被人忽略的以太網端口,又或者使用一臺配備了WiFi的筆記本電腦以及掌上電腦,那么未經授權的用戶就可以在公司建筑的外面(甚至可能是更遠一些的地方)訪問你的網絡。
2.5 網頁及瀏覽器攻擊
網頁漏洞攻擊試圖通過Web服務器來破壞安全防護,比如微軟的IISApache,Sunday的Java Web服務器,以及IBM的WebSphere。
2.6 蠕蟲及病毒
感染現有計算機程序的病毒,以及那些本身就是可執行文件的蠕蟲,是最廣為人知的計算機安全威脅病毒。一般傾向于棲身在文檔、表格或者其他文件之中,然后通過電子郵件進行傳播,而蠕蟲通常是直接通過網絡對自身進行傳播。一旦病毒或者蠕蟲感染了一臺電腦,它不僅會試圖感染其他系統,同時還會對現有系統大搞破壞。
2.7 網絡欺詐
網絡釣魚只是企圖欺騙用戶相信那些虛假的電子郵件、電話或網站,這些網站往往和網上銀行或支付服務相關,讓你認為它們是合法的,而其意圖則是讓用戶提交自己的私人信息,或是下載惡意程序來感染用戶的計算機。
2.8 擊鍵記錄
擊鍵記錄,或者輸人記錄,指的都是那些對用戶鍵盤輸人(可能還有鼠標移動)進行記錄的程序,那些程序以此來獲取用戶的用戶名、密碼、電子郵件地址,即時通信相關信息,以及其他員工的活動等。擊鍵記錄程序一般會將這些信息保存到某個文件中,然后悄悄的將這些文件轉發出去,供記錄者進行不法活動。
3 安全策略
3.1 防火墻技術
防火墻的作用是對網絡訪問實施訪問控制策略。使用防火墻(Firewall)是一種確保網絡安全的方法。防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的惟一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
3.2 建立安全實時相應和應急恢復的整體防御
沒有百分百安全和保密的網絡信息,因此要求網絡要在被攻擊和破壞時能夠及時發現,及時反映,盡可能快的恢復網絡信息中心的服務,減少損失,網絡安全系統包括安全防護機制、安全檢測機制、安全反映機制和安全恢復機制。
3.3 阻止入侵或非法訪問
入網訪問控制為網絡訪問提供第一層訪問控制,它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許在哪臺工作站入網。控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。對所有用戶的訪問進行審計,如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
3.4 數據傳輸加密技術
目的是對傳輸中的數據流加密,常用的方針有線路加密和端到端加密兩種。前者側重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護的。后者則指信息由發送者端自動加密,并進入TCP/IP數據包回封,然后作為不可閱讀和不可識別的數據穿過互聯網,當這些信息一旦到達目的地,將被自動重組、解密,成為可讀數據。
3.5 密鑰管理技術
為了數據使用的方便,數據加密在許多場合集中表現為密鑰的應用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁
帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配保存、更換與銷毀等各環節上的保密措施。
關鍵詞:無線微網;Wifi
中圖分類號:TN929.5
隨著科技的迅猛發展,電子產品,網絡設備、家居用品的使用越來越傻瓜化,復雜難用意味著被淘汰。現代社會的水、電、氣,打開開關即方便地享受到公共設施提供的服務,這已經形成了人們的習慣。網絡訪問、信息服務,也將逐步變成駐在云端的系統,實現召之即來的便利,實現人們的需求就是生產力前進的動力。
而大量商業客戶、金融客戶實現Wifi無線覆蓋比較困難,安裝維護的技術難度較大,成本也高,無法給客戶提供基礎網絡條件的同時,實現商業上的一些增值訴求。由此應運而生“無線微網”,它是一套低成本、零配置、高價值的創新型解決方案。
在商場、超市等場所只要給AP終端上電,插上網線,無需任何的初始配置,也不需要繁雜的日后維護,就可以輕松具備Wifi無線上網環境。同時還可以向自己的客戶推送企業信息、營銷廣告,更可以獲得與客戶交互的新型時尚途徑,精準感知并服務客戶,并通過詳實的數據分析結果來增強企業經營決策的科學性。
1 無線微網產品
無線微網產品是與基礎寬帶業務相結合,利用定制化portal頁面,結合集團客戶的產品需求,為集團客戶的公共服務場所或公共區域內的個人用戶提供免費的Wifi服務。該業務依托于寬帶網絡,采用無線局域網技術,目的是幫助企業提升客戶感知,創造營銷價值。
無線微網產品在為用戶提供的免費Wifi互聯網接入服務的同時,利用Wifi的個性化定制門戶實現如品牌展示、營銷服務、產品推廣、廣告服務等多種需求。
2 無線微網產品解決方案
2.1 無線微網產品解決方案由云平臺側的業務管理(無線微網)、接入控制(AC)和接入側的Wifi接入點(AP)組成。其中接入控制(AC)根據組網需要選擇性配置,AP可以直接對接無線微網。這個時候AP集成了傳統AC接入控制的部分功能,可實現無線局域網協議的網絡介質轉換,傳輸用戶的登錄認證信息。支持IEEE802.11b/g/n標準,可以接入筆記本電腦、PAD、手機等各類用戶WIFI終端。(1)AP的主要作用是無線局域網協議的網絡介質轉換;支持IEEE802.11b/g/n標準,可以接入筆記本電腦、PAD、手機等各類用戶Wifi終端;(2)AC的主要作用是對AP進行集中的配合和管理、在AC和AP間建立起安全的管理隧道傳輸用戶的登錄認證及計費信息。
2.2 無線微網采用C/S模式的三層架構,具備配置和接口方面的靈活性。無線微網支持常用主流數據庫。無線微網可以部署在UNIX小型機或者x86架構的PCSERVER上,隨著用戶規模的擴展,無線微網支持硬件平臺的平滑升級。初期可以部署在一臺或者兩臺x86主機上,根據需要進行IT平臺的升級或者優化。通過對駐于云端的無線微網平臺的集中統一維護,可以便捷地擴展系統功能和容量,并對掌握的大量用戶信息和海量數據進行大數據挖掘,獲得新型的運營能力和更高的收益。無線微網軟件平臺的升級可以通過遠程操作實現,支持用戶的二次開發。
2.3 無線微網平臺主要提供用戶認證、用戶或者運營者自助支持、營銷輔助、業務統計和分析和系統維護和配置等功能,全方面滿足運營者的需求。
3 無線微網網絡安全
對部分行業和業務,公共安全部分要求實現網絡審計功能,以實現安全方面的監管。網絡安全需要專業的網絡安全或網絡審計設備配合無線微網云平臺實現。
3.1 用戶接入實名認證。無線微網平臺可接入本地公安系統,進行實名認證,實名認證形式包括:(1)手機號碼+設備MAC地址+地理位置(AP位置);(2)微博/微信賬號+設備MAC地址+地理位置(AP位置)。
3.2 用戶上網記錄溯源。無線微網平臺可接入本地公安部門,對登錄人信息及上網記錄做管理。無線微網平臺有記錄留存技術措施,并至少保存九十天記錄備份的功能。包括:用戶名、上下線時間、接入AP名稱、MAC、IP地址、所用終端設備型號信息(在可識別的情況下)。
4 無線微網商用價值
4.1 商戶自助服務(門戶界面、廣告策略、上網管理);企業/商家可DIY自管理,設置、查;Wifi名稱、Portal門戶界面樣式;廣告內容、廣告鏈接、輪換策略;客戶管理(限制使用時長,限制使用帶寬);設備(最小粒度到單個設備,根據AP所處位置設置個性化內容)。
4.2 營銷能力。(1)支持按【時間】策略推送,如按節假日分時段推送;(2)支持按【地域】推送,如接入SSID,AP推送;(3)支持按【人群】(用戶分組)推送,如顧客還是內部工作人員推送;(4)支持通過訪客的社交網絡賬號,發送企業定制的營銷信息;(5)支持與其它營銷平臺對接、互動,提供增強的營銷能力。
4.3 統計分析能力,包含:廣告點擊統計、客源來源統計、客戶來店統計等。
5 無線微網產品形態
參考文獻:
[1]蒯旭.質檢行業無線網絡技術應用[J].計算機光盤軟件與應用 ,2013(20):293+295.
【關鍵詞】大數據 網絡安全 神經網絡 主動防御系統
1 引言
隨著移動通信、光纖通信等技術的快速普及和改進,互聯網承載了政務辦公、金融銀行、物流運輸、智能制造、智能交通等多種應用軟件,這些應用軟件的運行也促進人類邁入大數據時代。大數據、互聯網在為人們提供便捷服務的同時也面連著嚴重威脅,許多黑客、病毒和木馬開始肆虐,攻擊各類型的服務器,為人們的財產、名譽等隱私信息帶來了嚴重的損害。因此,為了能夠提高大數據時代互聯網安全運行和管理,本文提出基于神經網絡構建一個主動防御系統,利用大數據分析和挖掘技術提高網絡防御能力,進一步保證網絡安全可靠運行。
2 大數據時代網絡安全管理現狀分析
隨著人類進入到大數據時代,互聯網在為人們提供便利服務的同時也面臨著嚴重的安全威脅,黑客、病毒和木馬已經呈現出爆發式增長模式,安全攻擊呈現出來新型特點,比如安全攻擊隱蔽的時間更長、攻擊渠道也更多。
2.1 安全攻擊威脅隱蔽時間更長
目前,許多互聯網病毒、木馬采用先進的面向對象、面向過程等技術,都偽裝成正常的數據文件保存在系統中,并且采取了長期保存模式,同時這些技術開發的攻擊威脅更加智能,埋伏的更加隱蔽,因此這就造成了360安全衛士、卡巴斯基殺毒軟件、江民殺毒軟件等及時的查殺病毒。
2.2 攻擊渠道更多
互聯網光纖接入終端ONT、光纖分發單元ONU、光纖陣列服務器、光纖交換機,同時接入互聯網的用戶端設備也包括臺式機、筆記本、智能手機、平板電腦、傳感器、家用電器等,形成了強大的物聯網、車聯網等多類型網絡,但是這些軟硬件資源集成在一起時,由于不同的開發框架和實現技術融合在一起形成了各類型的漏洞,導致遭受攻擊的渠道更多。
3 大數據時代網絡安全主動防御系統研究
傳統的安全保護類技術已無法滿足當前大數據時代網絡安全需求。防火墻雖然能夠有效地防止非法信息通過它進行傳輸,但對于不通過它傳輸的非法信息,它卻無法發現。網絡安全主動防御系統是一種更深層次上進行的主動網絡安全防御措施,它不僅可以通過監測網絡實現對內部攻擊、外部入侵和誤操作的實時保護,有效彌補防火墻的不足,而且能結合其它網絡安全產品,對網絡安全進行主動、實時的全方位保護。安全防御技術已經成為網絡安全領域必不可少的手段。在眾多的防御系統中,神經網絡以其強大的攻擊模式分析能力、處理噪聲數據的能力、簡單的建模能力和可識別未知攻擊等優點,吸引了人們的注意力。將神經網絡用于網絡安全主動防御系統,可以有效避免傳統防御系統的缺點,提高檢測性能,神經網絡在網絡防御方面有較好的應用前景。
神經網絡又被稱為連接機模型,它是基于心理學、現代神經學等專業的研究成果建立的,是生物神經系統活動過程在其他領域的再現和表現,是模仿人的大腦神經系統活動的規律建立起來的計算模式,是對眾多需要處理的單元進行互聯形成的網絡系統,其基本特點或特征與生物系統所具有的基本一樣,很大程度上體現了人腦功能的反應,是生物系統的一定程度上的模擬和再現,其包含自行學習和組織、分布式處理數據等的優點,在語音分析、計算機視覺、圖像識別等眾多方面具有突出的貢獻。大數據時代,互聯網安全運行產生了海量的數據,這些數據中可能蘊含許多的非法數據信息,因此利用神經網絡構建一個大數據在線采集信息,針對這些數據進行預處理,比如刪除不符合標準的數據,針對數據進行整合,構建一個數據矩陣,同時引入神經網絡算法,訓練和學習一個準確的安全威脅挖掘分析模式,將各類型的病毒、木馬等挖掘模式保存在模式庫中,同時將模式庫部署于網絡接入區域,這樣就可以獲取準確的挖掘結果,并且將結果輸出到前臺實時交互接口,阻斷病毒、木馬在網絡中的傳播,從而實現主動防御的目的。基于神經網絡的無線網絡安全防御系統結構如圖1所示。
4 結束語
互聯網安全防御是一個系統工程,其需要從網絡接口、網絡服務器、數據存儲器等每一個環節進行控制,但是傳統的防御模式依賴人工配置規則,屬于被動式防御,無法滿足大數據時代應用需求,因此本文提出構建一個基于神經網絡的主動防御系統,從海量數據流中發現潛在的風險,從根本上動態的提高網絡安全防御能力。
參考文獻
[1]何春.大數據時代計算機網絡安全主動防御模型設計[J].寧波職業技術學院學報,2016,20(04):97-99.
[2]劉金勇.大數據時代互聯網安全管理系統研究與探討[J].網絡安全技術與應用,2015,7(06):61-61.
Abstract: With the rapid development of networks, people's economic life is increasingly dependent on the network, so network security is getting more attention. What the main network security failures we are facing now?How will we to eliminate those failures one by one? This paper lists several common network security failures, and analyzes how to protect the safe operation of the network from two aspects of management and technology.
關鍵詞:計算機網絡;安全故障;安全對策;安全技術
Key words: computer networks; security failures; safety measures; security technology
中圖分類號:TP30 文獻標識碼:A文章編號:1006-4311(2010)33-0168-01
1網絡所面臨的安全故障
1.1 系統漏洞:網絡系統普遍采用TCPAP協議,TCPAP在設計時以方便應用為首要任務。許多協議,如文件傳輸協議,缺乏認證和保密措施。
1.2 黑客攻擊:黑客會利用網絡掃描工具,發現目標系統的漏洞,發動攻擊,破壞目標系統的安全。
1.3 病毒入侵:網絡已成為病毒傳播的主要途徑。病毒通過網絡入侵,具有更高的傳播速度和更大的傳播范圍,其破壞性也不言而喻,有些惡性的病毒會造成系統癱瘓、數據破壞,嚴重地危害到網絡安全。
1.4 網絡配置管理不當:網絡配置管理不當會造成非授權訪問。網絡管理員在配置網絡時,往往因為用戶權限設置過大、開放不必要的服務器端口。或者一般用戶因為疏忽,丟失賬號和口令,從而造成非授權訪問。
1.5 陷井和后門:這是一段非法的操作系統程序。其目的是為闖入者提供后門,可以在用戶主機上沒有任何痕跡地運行一次即可安裝后門,通過后門實現對計算機的完全控制。而用戶可能莫名其妙地丟失文件、或被篡改數據等。
1.6 操作人員方面:①保密觀念:部分操作人員保密觀念差,缺乏相應的計算機信息安全管理制度,隨意讓閑散人進入機房重地,隨意放置相關密碼和系統口令的工作筆記、存儲有重要信息的系統磁盤和光盤等;②工作責任心:操作人員工作責任心不強。經常擅自離開工作崗位或者疏于定期檢查和系統維護,不嚴格執行安全操作規程。
2如何排除網絡安全故障,提高計算機網絡安全
2.1 提高思想認識。當前,世界各國對信息戰十分重視,假如我們的網絡安全無法保證,這勢必影響到國家政治、經濟的安全。因此,我們需從思想上提高對計算機網絡安全重要性的認識。
2.2 加強管理制度。任何網站都不是絕對安全的,需從兩方面加強管理,一是要狠抓日常管理制度落實,并把安全管理制度落實到第一個環節中;二是要加強計算機從業人員的行業歸口管理,對這些人員要強化安全教育和法制教育,建立人員管理檔案并進行定期的檢查和培訓;
2.3 應用網絡安全技術。①防火墻。根據防火墻所采用的技術不同,我們可以將它分為三種基本類型:包過濾型、網絡地址轉換-NAT、型。a.包過濾型。包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。b.網絡地址轉化-NAT。網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準,它允許具有私有IP地址的內部網絡訪問因特網。c.型。型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。②加密技術。與防火墻配合使用的還有數據加密技術。按作用不同,數據加密技術分為數據傳輸、數據存儲、數據完整性的鑒別和密鑰管理技術4種:a.數據傳輸加密技術是對傳輸中的數據流加密;b.數據存儲加密技術目的是防止存儲環節上的數據失密,可分為密文存儲和存取控制兩種;c.數據完整性鑒別技術目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,一般包括口令、密鑰、身份、數據等項的鑒別,系統通過對本驗證對象輸入的特征值是否符合預先設定的參數;d.密鑰管理技術是為了數據使用的方便,往往是保密和竊密的主要對象。密鑰的媒體有磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配保存、更換與銷毀等各環節的保密措施。
3PKI技術
①認證機構。它的主要職責是頒發證書、驗證用戶身份的真實性。②注冊機構。RA(Registration Authorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發證書的基礎。③策略管理。在PKI系統中,制定并實現科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求,并且能通過CA和RA技術融入到CA和RA的系統實現中。④密鑰備份和恢復。為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的。⑤證書管理與撤消系統。證書是用來證明證書持有者身份的電子介質,它用來綁定證書持有者身份和其相應公鑰。這種綁定在已頒發證書的整個生命周期里是有效的。但是,當一個已頒發證書不再有效的情況,就需要進行證書撤消。
4網絡防病毒技術
①預防病毒技術,即通過自身的常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。②檢測病毒技術,即通過對計算機病毒的特征進行判斷的技術,如自身校驗、關鍵字、文件長度的變化等。③消毒技術,即通過對計算機病毒的分析,開發出具有刪除病毒程序并恢復原文的軟件。
網絡反病毒技術的具體實現方法包括對網路服務器中的文件進行頻繁的掃描和監測;在工作站上用防毒芯片和對網絡目錄及文件設置訪問權限等。
5結語
網絡安全是一個復雜的問題,涉及法律、管理和技術等綜合方面。只有協調好三者之間的關系,構建完善的安全體系,才能有效地保護網絡安全。
參考文獻:
[1]劉蔭銘,李金海,劉國麗,等.計算機安全技術[M].北京:清華大學出版社,2000.
[2]高志國.龍文輝.反黑客教程[M].北京:中國對外翻譯出版公司,2000.
[3]胡道員.計算機網絡工程指南[M].北京:電子工業出版社,1999.
[4]張曉瑤.網絡安全任重而道遠[J].電腦知識與技術(學術交流),2007(19).
