前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的無(wú)線網(wǎng)絡(luò)安全防范措施主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:無(wú)線網(wǎng)絡(luò);安全;防范措施
一、針對(duì)無(wú)線網(wǎng)絡(luò)的主要安全威脅
1.數(shù)據(jù)竊聽(tīng)
竊聽(tīng)網(wǎng)絡(luò)傳輸可導(dǎo)致機(jī)密敏感數(shù)據(jù)泄漏、未加保護(hù)的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗(yàn)的入侵者手機(jī)有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進(jìn)行社會(huì)工程學(xué)攻擊的一系列商業(yè)信息。
2.截取和篡改傳輸數(shù)據(jù)
如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計(jì)算機(jī)通過(guò)偽造網(wǎng)關(guān)等途徑來(lái)截獲甚至修改兩個(gè)合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。
二、常見(jiàn)的無(wú)線網(wǎng)絡(luò)安全措施
1.MAC地址過(guò)濾
MAC地址過(guò)濾在有線網(wǎng)絡(luò)安全措施中是一種常見(jiàn)的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過(guò)無(wú)線控制器將指定的無(wú)線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個(gè)AP中,或者直接存儲(chǔ)在無(wú)線控制器中,或者在AP交換機(jī)端進(jìn)行設(shè)置。
2.隱藏SSID
SSID(Service Set Identifier,服務(wù)標(biāo)識(shí)符)是用來(lái)區(qū)分不同的網(wǎng)絡(luò),其作用類(lèi)似于有線網(wǎng)絡(luò)中的VLAN,計(jì)算機(jī)接入某一個(gè)SSID的網(wǎng)絡(luò)后就不能直接與另一個(gè)SSID的網(wǎng)絡(luò)進(jìn)行通信了,SSID經(jīng)常被用來(lái)作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。一個(gè)SSID最多有32個(gè)字符構(gòu)成,無(wú)線終端接入無(wú)線網(wǎng)路時(shí)必須提供有效的SIID,只有匹配的SSID才可接入。一般來(lái)說(shuō),無(wú)線AP會(huì)廣播SSID,這樣,接入終端可以通過(guò)掃描獲知附近存在哪些可用的無(wú)線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無(wú)線網(wǎng)絡(luò)的SSID羅列出來(lái)。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個(gè)不容易猜解的長(zhǎng)字符串。這樣,由于SSID被隱藏起來(lái)了,接入端就不能通過(guò)系統(tǒng)自帶的功能掃描到這個(gè)實(shí)際存在的無(wú)線網(wǎng)絡(luò),即便他知道有一個(gè)無(wú)線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無(wú)法接入到這個(gè)網(wǎng)絡(luò)中去的。
三、無(wú)線網(wǎng)絡(luò)安全措施的選擇
應(yīng)用的方便性與安全性之間永遠(yuǎn)是一對(duì)矛盾。安全性越高,則一定是以喪失方便性為代價(jià)的。但是在實(shí)際的無(wú)線網(wǎng)絡(luò)的應(yīng)用中,我們不能不考慮應(yīng)用的方便性,因此,我們?cè)趯?duì)無(wú)線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。
在接入無(wú)線AP時(shí)采用WAP加密模式,又因?yàn)椴徽揝SID是否隱藏攻擊者都能通過(guò)專(zhuān)用軟件探測(cè)到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時(shí)只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決無(wú)線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實(shí)意義。來(lái)訪用戶所關(guān)心的是方便和快捷,對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式,對(duì)來(lái)訪用戶來(lái)說(shuō)簡(jiǎn)單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無(wú)線網(wǎng)絡(luò)中使用無(wú)線網(wǎng)絡(luò)入侵檢測(cè)設(shè)備進(jìn)行主動(dòng)防御,也是進(jìn)一步加強(qiáng)無(wú)線網(wǎng)絡(luò)安全性的有效手段。
關(guān)鍵詞:無(wú)線網(wǎng)絡(luò);入侵;安全;防范
中圖分類(lèi)號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 01-0000-01
隨著無(wú)線網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和商業(yè)化普及,無(wú)線網(wǎng)絡(luò)正在成為單位局域網(wǎng)絡(luò)的重要組成部分。由于無(wú)線網(wǎng)絡(luò)的微波信號(hào)在空氣中進(jìn)行數(shù)據(jù)信息傳輸?shù)臅r(shí)候,受自然天氣情況、建筑物障礙,以及與其他微波信號(hào)的相互干擾等原因都可以導(dǎo)致無(wú)線網(wǎng)絡(luò)信號(hào)的中斷、衰減,從而影響無(wú)線信號(hào)的穩(wěn)定性,同時(shí)也影響者無(wú)線網(wǎng)絡(luò)的安全性,所以建立安全、穩(wěn)定的無(wú)線網(wǎng)絡(luò)是各單位網(wǎng)絡(luò)部門(mén)必須考慮的問(wèn)題,而無(wú)線網(wǎng)絡(luò)的安全性又是首要考慮的問(wèn)題。
一、威脅無(wú)線網(wǎng)絡(luò)安全的途徑
(一)進(jìn)行搜索攻擊。NetStumbler軟件是第一個(gè)被廣泛用來(lái)發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)的軟件。很多無(wú)線網(wǎng)絡(luò)是不使用加密功能的,或即使加密功能是處于活動(dòng)狀態(tài),如果沒(méi)有關(guān)閉(wirelessAccessPoint,無(wú)線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來(lái)推斷出WEP密鑰的明文信息,如網(wǎng)絡(luò)名稱、SSID(SecureSetIdentifier,安全集標(biāo)識(shí)符)等可給黑客提供入侵的條件。
(二)網(wǎng)絡(luò)接管與篡改。同樣因?yàn)門(mén)CP/IP設(shè)計(jì)的原因,某些欺騙技術(shù)可供攻擊者接管為無(wú)線網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個(gè)AP,那么所有來(lái)自無(wú)線網(wǎng)的通信量都會(huì)傳到攻擊者的機(jī)器上,包括其他用戶試圖訪問(wèn)合法網(wǎng)絡(luò)主機(jī)時(shí)需要使用的密碼和其他信息。
(三)竊取網(wǎng)絡(luò)資源。有些用戶喜歡從鄰近的無(wú)線網(wǎng)絡(luò)訪問(wèn)互聯(lián)網(wǎng),即使他們沒(méi)有什么惡意企圖,但仍會(huì)占用大量的網(wǎng)絡(luò)帶寬,嚴(yán)重影響網(wǎng)絡(luò)性能。
(四)泄露威脅包括竊聽(tīng)、截取和監(jiān)聽(tīng)。即使網(wǎng)絡(luò)不對(duì)外廣播網(wǎng)絡(luò)信息,只要能夠發(fā)現(xiàn)任何明文信息,攻擊者仍然可以使用一些網(wǎng)絡(luò)工具,如AiroPeek和TCPDump來(lái)監(jiān)聽(tīng)和分析通信量,從而識(shí)別出可以破解的信容。另外,還有其它一些威脅,如客戶端對(duì)客戶端的攻擊、干擾、對(duì)加密系統(tǒng)的攻擊、錯(cuò)誤的配置等,這都屬于可給無(wú)線網(wǎng)絡(luò)帶來(lái)風(fēng)險(xiǎn)的因素。
二、安全防護(hù)對(duì)策
(一)使用各種最新的身份認(rèn)證措施來(lái)防止未經(jīng)授權(quán)用戶的訪問(wèn)。無(wú)線信號(hào)都是在空氣中傳播的,那么也就難免會(huì)傳播到其它一些不希望到達(dá)的地方,只要是在信號(hào)覆蓋范圍內(nèi),那非法用戶無(wú)需任何物理連接就可以獲取無(wú)線網(wǎng)絡(luò)的數(shù)據(jù),因此,必須從多方面防止非法終端接入以及數(shù)據(jù)的泄漏問(wèn)題。
(二)利用網(wǎng)卡MAC地址來(lái)防止非法AP的接入訪問(wèn)。每塊無(wú)線網(wǎng)卡都擁有唯一的一個(gè)MAC地址,如果我們?yōu)锳P設(shè)置一個(gè)基于MAC地址的Access Control(訪問(wèn)控制表),就可確保只有經(jīng)過(guò)注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。預(yù)防非法AP的接入訪問(wèn),可以利用對(duì)AP的合法性驗(yàn)證以及定期的站點(diǎn)審查來(lái)防止。
(三)無(wú)線網(wǎng)絡(luò)設(shè)備典型情況下都包括WEP或WPA加密。這兩種加密形式都有助于保護(hù)網(wǎng)絡(luò),但WPA要比WEP更加健壯和安全。為了實(shí)施WPA或WEP,用戶需要在無(wú)線網(wǎng)絡(luò)的所有無(wú)線設(shè)備上都輸入一個(gè)加密密鑰,一般情況下,產(chǎn)品的用戶手冊(cè)都會(huì)包括一個(gè)如何配置加密密鑰的詳細(xì)指南。簡(jiǎn)言之,基本的安全要求用戶至少考慮以下幾個(gè)方面:互聯(lián)網(wǎng)和本地網(wǎng)絡(luò)之間有一個(gè)NAT防火墻;啟用MAC地址過(guò)濾;啟用了無(wú)線客戶端的WPA或WEP加密嗎。
(四)建議禁用DHCP和SNMP設(shè)置。從禁用DHCP對(duì)無(wú)線網(wǎng)絡(luò)而言,這很有意義。如果采取這項(xiàng)措施,黑客不得不破譯你的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)。無(wú)論黑客怎樣利用你的訪問(wèn)點(diǎn),他仍需要弄清楚IP地址。而關(guān)于SNMP設(shè)置,要么禁用,要么改變公開(kāi)及專(zhuān)用的共用字符串。如果不采取這項(xiàng)措施,黑客就能利用SNMP獲得有關(guān)你方網(wǎng)絡(luò)的重要信息。
(五)反病毒軟件。反病毒軟件的基本功能是相同的,但用戶至少需要考慮以下幾個(gè)方面:這種軟件支持自動(dòng)更新從而便于檢測(cè)新病毒的時(shí)間;掃描病毒的速度如何;它可以掃描并清理即時(shí)通信程序的附件;它附帶一個(gè)軟件防火墻;病毒的清除要求用戶的參與。
(六)軟件防火墻。防火墻管理著通過(guò)這些端口的通信,它可以阻止,或放行,有時(shí)它會(huì)問(wèn)用戶是否希望準(zhǔn)許一個(gè)將要打開(kāi)的連接?多數(shù)防火墻包括一個(gè)通用的規(guī)則集,它準(zhǔn)許用戶設(shè)置準(zhǔn)許什么、禁止什么類(lèi)型的通信。
(七)硬件防火墻。許多路由器都內(nèi)置了硬件防火墻。硬件防火墻利用其自己的處理器進(jìn)行端口過(guò)濾和加密任務(wù),這意味著幾乎不太可能耗盡計(jì)算機(jī)中的資源,這也就給用戶們更佳的總體性能。還有一些防火墻準(zhǔn)許用戶建立從互聯(lián)網(wǎng)到LAN的VPN連接,這就使得用戶即使在路途中也可以訪問(wèn)自己的計(jì)算機(jī)。
三、網(wǎng)路的服務(wù)與管理。
(一)無(wú)線疏于防范。在網(wǎng)絡(luò)中,對(duì)于無(wú)線網(wǎng)絡(luò)的管理更應(yīng)該加強(qiáng)。雖然目前在無(wú)線安全保障機(jī)制方面包括有WEP加密、VLAN、VPN、802.1x,以及最新頒布實(shí)施的802.11i無(wú)線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)等多種方式,但稍有一絲疏忽,整個(gè)網(wǎng)絡(luò)就會(huì)受到致命的破壞。
(二)無(wú)線網(wǎng)絡(luò)的管理被很多單位建設(shè)者認(rèn)為可有可無(wú)。眾所周知,在目前所出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題中,雖然病毒、DoS攻擊日益猖獗,但80%以上的不安全因素來(lái)自于網(wǎng)絡(luò)內(nèi)部。在對(duì)有線網(wǎng)絡(luò)的管理上,由于其自身的成熟技術(shù)和意識(shí)已日趨完善,而對(duì)于無(wú)線網(wǎng)絡(luò),存在著不經(jīng)常使用,或只是使用很少的錯(cuò)誤意識(shí)而忽視對(duì)其管理,這樣就容易造成與有線網(wǎng)絡(luò)脫節(jié),從而引起管理中的失誤,形成整個(gè)網(wǎng)絡(luò)的不安全漏洞。因此,管理需要系統(tǒng)考慮。
總之,雖然無(wú)線網(wǎng)絡(luò)自身技術(shù)中所存在的缺陷容易造成對(duì)其管理上的缺陷,但要想真正管理好無(wú)線網(wǎng)絡(luò)其實(shí)并不難,除了加強(qiáng)有線網(wǎng)絡(luò)自身的管理之外,從整個(gè)網(wǎng)絡(luò)系統(tǒng)全面考慮網(wǎng)絡(luò)的管理就足以使無(wú)線局域網(wǎng)更加穩(wěn)定可靠地運(yùn)行。采用類(lèi)似于對(duì)有線網(wǎng)絡(luò)的管理方式,通過(guò)監(jiān)控整個(gè)無(wú)線局域網(wǎng)的運(yùn)行狀況,發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸和設(shè)備故障,方便配置WLAN設(shè)備,以及對(duì)網(wǎng)絡(luò)資源進(jìn)行合理分配即可實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)的全面管理。
參考文獻(xiàn):
關(guān)鍵詞:無(wú)線網(wǎng)絡(luò)安全防范措施
隨著信息化技術(shù)的飛速發(fā)展,很多網(wǎng)絡(luò)都開(kāi)始實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的覆蓋以此來(lái)實(shí)現(xiàn)信息電子化交換和資源共享。無(wú)線網(wǎng)絡(luò)和無(wú)線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質(zhì)量,為很多的用戶提供了便捷和子偶的網(wǎng)絡(luò)服務(wù),但同時(shí)也由于無(wú)線網(wǎng)絡(luò)本身的特點(diǎn)造成了安全上的隱患。具體的說(shuō)來(lái),就是無(wú)線介質(zhì)信號(hào)由于其傳播的開(kāi)放性設(shè)計(jì),使得其在傳輸?shù)倪^(guò)程中很難對(duì)傳輸介質(zhì)實(shí)施有效的保護(hù)從而造成傳輸信號(hào)有可能被他人截獲,被不法之徒利用其漏洞來(lái)攻擊網(wǎng)絡(luò)。因此,如何在組網(wǎng)和網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候?yàn)闊o(wú)線網(wǎng)絡(luò)信號(hào)和無(wú)線局域網(wǎng)實(shí)施有效的安全保護(hù)機(jī)制就成為了當(dāng)前無(wú)線網(wǎng)絡(luò)面臨的重大課題。
一、無(wú)線網(wǎng)絡(luò)的安全隱患分析
無(wú)線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過(guò)無(wú)線通訊技術(shù)來(lái)連接單個(gè)的計(jì)算機(jī)終端,以此來(lái)組成可以相互連接和通訊的資源共享系統(tǒng)。無(wú)線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點(diǎn)就是通過(guò)空間電磁波來(lái)取代傳統(tǒng)的有限電纜來(lái)實(shí)施信息傳輸和聯(lián)系。對(duì)比傳統(tǒng)的有線局域網(wǎng),無(wú)線網(wǎng)絡(luò)的構(gòu)建增強(qiáng)了電腦終端的移動(dòng)能力,同時(shí)它安裝簡(jiǎn)單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男剩瑫r(shí),也正是由于無(wú)線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機(jī)制來(lái)保護(hù)信息傳輸?shù)陌踩?,換句話無(wú)線網(wǎng)絡(luò)的安全保護(hù)措施難度原因大于有線網(wǎng)絡(luò)。
IT技術(shù)人員在規(guī)劃和建設(shè)無(wú)線網(wǎng)絡(luò)中面臨兩大問(wèn)題:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多,到底選什么好,無(wú)所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段,技術(shù)人員可以通過(guò)部署防火墻硬件安全設(shè)備來(lái)構(gòu)建一個(gè)防范外部攻擊的防線,但是,“兼顧的防線往往從內(nèi)部被攻破”。由于無(wú)線網(wǎng)絡(luò)具有接入方便的特點(diǎn),使得我們?cè)群馁Y部署的有線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過(guò),成為形同虛設(shè)的“馬奇諾防線”。
針對(duì)無(wú)線網(wǎng)絡(luò)的主要安全威脅有如下一些:
1.數(shù)據(jù)竊聽(tīng)。竊聽(tīng)網(wǎng)絡(luò)傳輸可導(dǎo)致機(jī)密敏感數(shù)據(jù)泄漏、未加保護(hù)的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗(yàn)的入侵者手機(jī)有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進(jìn)行社會(huì)工程學(xué)攻擊的一系列商信息。
2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計(jì)算機(jī)通過(guò)偽造網(wǎng)關(guān)等途徑來(lái)截獲甚至修改兩個(gè)合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。
二、常見(jiàn)的無(wú)線網(wǎng)絡(luò)安全措施
綜合上述針對(duì)無(wú)線網(wǎng)絡(luò)的各種安全威脅,我們不難發(fā)現(xiàn),把好“接入關(guān)”是我們保障企業(yè)無(wú)線網(wǎng)絡(luò)安全性的最直接的舉措。目前的無(wú)線網(wǎng)絡(luò)安全措施基本都是在接入關(guān)對(duì)入侵者設(shè)防,常見(jiàn)的安全措施有以下各種。
1.MAC地址過(guò)濾
MAC地址過(guò)濾在有線網(wǎng)絡(luò)安全措施中是一種常見(jiàn)的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過(guò)無(wú)線控制器將指定的無(wú)線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個(gè)AP中,或者直接存儲(chǔ)在無(wú)線控制器中,或者在AP交換機(jī)端進(jìn)行設(shè)置。
2.隱藏SSID
SSID(ServiceSetIdentifier,服務(wù)標(biāo)識(shí)符)是用來(lái)區(qū)分不同的網(wǎng)絡(luò),其作用類(lèi)似于有線網(wǎng)絡(luò)中的VLAN,計(jì)算機(jī)接入某一個(gè)SSID的網(wǎng)絡(luò)后就不能直接與另一個(gè)SSID的網(wǎng)絡(luò)進(jìn)行通信了,SSID經(jīng)常被用來(lái)作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。一個(gè)SSID最多有32個(gè)字符構(gòu)成,無(wú)線終端接入無(wú)線網(wǎng)路時(shí)必須提供有效的SIID,只有匹配的SSID才可接入。一般來(lái)說(shuō),無(wú)線AP會(huì)廣播SSID,這樣,接入終端可以通過(guò)掃描獲知附近存在哪些可用的無(wú)線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無(wú)線網(wǎng)絡(luò)的SSID羅列出來(lái)。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個(gè)不容易猜解的長(zhǎng)字符串。這樣,由于SSID被隱藏起來(lái)了,接入端就不能通過(guò)系統(tǒng)自帶的功能掃描到這個(gè)實(shí)際存在的無(wú)線網(wǎng)絡(luò),即便他知道有一個(gè)無(wú)線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無(wú)法接入到這個(gè)網(wǎng)絡(luò)中去的。
三、無(wú)線網(wǎng)絡(luò)安全措施的選擇
應(yīng)用的方便性與安全性之間永遠(yuǎn)是一對(duì)矛盾。安全性越高,則一定是以喪失方便性為代價(jià)的。但是在實(shí)際的無(wú)線網(wǎng)絡(luò)的應(yīng)用中,我們不能不考慮應(yīng)用的方便性。因此,我們?cè)趯?duì)無(wú)線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。
在接入無(wú)線AP時(shí)采用WAP加密模式,又因?yàn)椴徽揝SID是否隱藏攻擊者都能通過(guò)專(zhuān)用軟件探測(cè)到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時(shí)只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決無(wú)線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實(shí)意義。來(lái)訪用戶所關(guān)心的是方便和快捷,對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式,對(duì)來(lái)訪用戶來(lái)說(shuō)簡(jiǎn)單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無(wú)線網(wǎng)絡(luò)中使用無(wú)線網(wǎng)絡(luò)入侵檢測(cè)設(shè)備進(jìn)行主動(dòng)防御,也是進(jìn)一步加強(qiáng)無(wú)線網(wǎng)絡(luò)安全性的有效手段。
最后,任何的網(wǎng)絡(luò)安全技術(shù)都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個(gè)使用者加強(qiáng)無(wú)線網(wǎng)絡(luò)安全意識(shí),才能真正實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的安全。否則,黑客或攻擊者的一次簡(jiǎn)單的社會(huì)工程學(xué)攻擊就可以在2分鐘內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全措施變得形同虛設(shè)。
現(xiàn)在,不少企業(yè)和組織都已經(jīng)實(shí)現(xiàn)了整個(gè)的無(wú)線覆蓋。但在建設(shè)無(wú)線網(wǎng)絡(luò)的同時(shí),因?yàn)閷?duì)無(wú)線網(wǎng)絡(luò)的安全不夠重視,對(duì)局域網(wǎng)無(wú)線網(wǎng)絡(luò)的安全考慮不及時(shí),也造成了一定的影響和破壞。做好無(wú)線網(wǎng)絡(luò)的安全管理工作,并完成全校無(wú)線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證,是當(dāng)前組建無(wú)線網(wǎng)必須要考慮的事情。只有這樣才能做到無(wú)線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無(wú)縫對(duì)接,確保無(wú)線網(wǎng)絡(luò)的高安全性,提高企業(yè)的信息化的水平。
參考文獻(xiàn):
[1]譚潤(rùn)芳.無(wú)線網(wǎng)絡(luò)安全性探討[J].信息科技,2008,37(6):24-26.
原有的單一通信技術(shù),無(wú)線通信的產(chǎn)生方式和傳輸技術(shù)在逐步的完善,相應(yīng)的,信息的傳播安全和傳播途徑的可信度受到了大家的關(guān)注。國(guó)家電力企業(yè)將通信公司的2G/3G/4G無(wú)線移動(dòng)網(wǎng)絡(luò)和電力信息通信相結(jié)合,取長(zhǎng)補(bǔ)短,組建了具有廣泛性,高效能,嚴(yán)格保密特點(diǎn)的電力無(wú)線虛擬專(zhuān)網(wǎng),為智能化通信網(wǎng)絡(luò)在語(yǔ)音、數(shù)據(jù)、圖像、視頻等多媒體方面提供技術(shù)支持。
1電力無(wú)線虛擬專(zhuān)網(wǎng)組成結(jié)構(gòu)
國(guó)家電力企業(yè)信息內(nèi)網(wǎng)工作信息的傳送途徑主要以電力無(wú)線虛擬專(zhuān)網(wǎng)為主要途徑,電網(wǎng)組成是各級(jí)電網(wǎng)單位與通信公司相結(jié)合的集中接入的方式,如有想要加入到國(guó)家電網(wǎng)內(nèi)部信息網(wǎng)絡(luò)的客戶,客戶信息網(wǎng)絡(luò)會(huì)通過(guò)最終客戶端連入通信公司的無(wú)線網(wǎng)絡(luò),再通過(guò)信息公司的相應(yīng)傳送途徑進(jìn)行包裝,到達(dá)客戶端后進(jìn)行解析工作,然后,安裝信息安全裝置才能加入企業(yè)的信息內(nèi)網(wǎng)。
2電力無(wú)線虛擬專(zhuān)網(wǎng)的安全防范措施
國(guó)家電網(wǎng)無(wú)線網(wǎng)絡(luò)連接的共同途徑為電力無(wú)線虛擬專(zhuān)網(wǎng),它存在很多的安全隱患,包括信息傳送的安全隱患和信息范圍的安全隱患,從在網(wǎng)絡(luò)信息安全和傳送范圍兩個(gè)方面入手大力保護(hù),可減少信息傳送過(guò)程中出現(xiàn)的安全隱患。電力無(wú)線虛擬專(zhuān)網(wǎng)網(wǎng)絡(luò)起于通信公司無(wú)線基站止于電力安全防護(hù)設(shè)備,供電廠的主要工作是減少電力側(cè)網(wǎng)絡(luò)設(shè)備、電力側(cè)安全防護(hù)設(shè)備及客戶端的運(yùn)行問(wèn)題,確??蛻艚K端可以流暢應(yīng)用,通信公司主要工作是減少無(wú)線基站、運(yùn)營(yíng)商IP承載網(wǎng)、專(zhuān)線的運(yùn)行問(wèn)題,使其規(guī)律的工作。此篇文章主演探究電力無(wú)線虛擬專(zhuān)網(wǎng)電力網(wǎng)絡(luò)側(cè)、電力網(wǎng)絡(luò)邊界側(cè)信息安全防范措施。
3電力無(wú)線虛擬專(zhuān)網(wǎng)數(shù)據(jù)保護(hù)要點(diǎn)
國(guó)家電網(wǎng)公司電力無(wú)線虛擬專(zhuān)網(wǎng)主要覆蓋信息內(nèi)網(wǎng)業(yè)務(wù),根據(jù)信息內(nèi)網(wǎng)的安全防護(hù)要求,針對(duì)業(yè)務(wù)應(yīng)用數(shù)據(jù)的重要程度,結(jié)合國(guó)家電網(wǎng)公司終端實(shí)際使用情況及成本效益綜合考慮,電力無(wú)線虛擬專(zhuān)網(wǎng)可采用安全防護(hù)架構(gòu)。信息安全防護(hù)方案將電力無(wú)線虛擬專(zhuān)網(wǎng)分為三個(gè)區(qū)域:電力無(wú)線虛擬專(zhuān)網(wǎng)域、網(wǎng)絡(luò)邊界域和內(nèi)網(wǎng)域。專(zhuān)網(wǎng)域采用租用運(yùn)營(yíng)商的專(zhuān)用傳輸通道承載無(wú)線終端數(shù)據(jù);網(wǎng)絡(luò)邊界域采用防火墻和IDS等安全設(shè)備進(jìn)行訪問(wèn)控制和網(wǎng)絡(luò)攻擊檢測(cè),采用公司專(zhuān)用的安全接入設(shè)備實(shí)現(xiàn)終端到邊界的加密傳輸、終端合法性認(rèn)證和數(shù)據(jù)隔離交換等安全功能。
4電力無(wú)線虛擬專(zhuān)網(wǎng)信息安全防護(hù)措施
根據(jù)電力無(wú)線虛擬專(zhuān)網(wǎng)安全防護(hù)架構(gòu)、安全區(qū)域劃分以及安全責(zé)任分界面的劃分等方面考慮,分別從電力企業(yè)側(cè)與運(yùn)營(yíng)商側(cè)闡述信息安全防護(hù)措施。
4.1電力企業(yè)側(cè)信息安全防范方法
電力企業(yè)在網(wǎng)絡(luò)信息安全范圍和信息內(nèi)網(wǎng)域采用信息安全防范方法,以完成網(wǎng)絡(luò)信息安全范圍、信息內(nèi)網(wǎng)域的安全防范。4.1.1安全范圍規(guī)劃:電力無(wú)線虛擬專(zhuān)網(wǎng)邊界對(duì)安全范圍進(jìn)行嚴(yán)格規(guī)劃,使網(wǎng)絡(luò)使用范圍明了,對(duì)每個(gè)安全范圍都應(yīng)用合適的安全防范方法,并且,對(duì)已經(jīng)到達(dá)的網(wǎng)絡(luò)信息加以系統(tǒng)的安全保障措施,更好的提升瀏覽監(jiān)控、危險(xiǎn)檢測(cè)、輸送監(jiān)管和客戶端認(rèn)證等應(yīng)用的使用性能。4.1.2訪問(wèn)控制:在邊界接入設(shè)備上針對(duì)源地址制定訪問(wèn)控制,禁止不同APN業(yè)務(wù)互訪;使用防火墻制定嚴(yán)格的訪問(wèn)策略實(shí)現(xiàn)專(zhuān)網(wǎng)域至網(wǎng)絡(luò)邊界域的訪問(wèn)控制。4.1.3安全隔離:采用電力企業(yè)專(zhuān)用安全接入設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)邊界域與內(nèi)網(wǎng)域之間的數(shù)據(jù)安全交換,阻止非法網(wǎng)絡(luò)連接穿透網(wǎng)絡(luò)邊界訪問(wèn)信息內(nèi)網(wǎng)。4.1.4安全防御及入侵檢測(cè):在邊界部署防火墻及入侵檢測(cè)系統(tǒng),實(shí)現(xiàn)抗DOS攻擊、防惡意代碼等功能,即時(shí)監(jiān)視網(wǎng)絡(luò)行為和網(wǎng)絡(luò)攻擊檢測(cè)。4.1.5安全審計(jì):對(duì)邊界安全設(shè)備進(jìn)行日志記錄及審計(jì),為評(píng)估網(wǎng)絡(luò)安全性及網(wǎng)絡(luò)安全加固提供依據(jù)。4.1.6隧道加密傳輸:在無(wú)線終端與電力企業(yè)專(zhuān)用安全接入設(shè)備之間建立安全加密傳輸通道傳輸業(yè)務(wù)數(shù)據(jù),保障業(yè)務(wù)數(shù)據(jù)的安全傳輸。4.1.7接入控制:建立身份認(rèn)證系統(tǒng)對(duì)接入網(wǎng)絡(luò)用戶進(jìn)行強(qiáng)認(rèn)證,禁止非法用戶接入;信息內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)采取有效措施對(duì)接入電力無(wú)線虛擬專(zhuān)網(wǎng)的終端硬件特征進(jìn)行認(rèn)證。
4.2通信公司隱患預(yù)防方法
通信公司使用隱患預(yù)防方法,以完成無(wú)線信息專(zhuān)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全連接保護(hù)、專(zhuān)用途徑分類(lèi)等專(zhuān)網(wǎng)域安全防護(hù)。4.2.1網(wǎng)絡(luò)信息安全連接保護(hù):客戶端應(yīng)用特定的APN接入,同時(shí)通信公司進(jìn)行電力無(wú)線虛擬專(zhuān)業(yè)網(wǎng)絡(luò)合法SIM卡授權(quán),通過(guò)授權(quán)后的合法SIM卡可以獲得訪問(wèn)權(quán),但不可以瀏覽互聯(lián)網(wǎng)和其他網(wǎng)絡(luò)。4.2.2APN訪問(wèn)監(jiān)管:相同的APN內(nèi)客戶端不可以相互訪問(wèn),相反的,不同的APN內(nèi)客戶端允許互訪。4.2.3特定通道及分離:在GGSN上電力無(wú)線虛擬專(zhuān)網(wǎng)用戶應(yīng)用VRF技術(shù)與其他用戶路由分離;采取GRE/L2TP/MPLSVPN等VPN方法在通信公司網(wǎng)絡(luò)中輸送電力無(wú)線虛擬專(zhuān)網(wǎng)信息以完成專(zhuān)網(wǎng)專(zhuān)用的目的,使其更好的與其他網(wǎng)絡(luò)傳播途徑區(qū)別。
5結(jié)束語(yǔ)
1無(wú)線網(wǎng)絡(luò)介紹及應(yīng)用
無(wú)線局域網(wǎng),即“WLAN”(WirelessLocalAreaNetwork),是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)結(jié)合,高速發(fā)展的產(chǎn)物。比起傳統(tǒng)的以太網(wǎng),無(wú)線網(wǎng)絡(luò)是在空中傳播射頻信號(hào),能滿足信號(hào)范圍內(nèi)的數(shù)據(jù)接收,使得通信的移動(dòng)性、便捷化及個(gè)人化最大實(shí)現(xiàn)。WLAN能夠讓用戶及時(shí)有效的訪問(wèn)網(wǎng)絡(luò)信息,實(shí)現(xiàn)網(wǎng)絡(luò)的移動(dòng)互連,同時(shí)克服網(wǎng)線線纜的限制,改善有線網(wǎng)絡(luò)引起的不便。圖1是無(wú)線網(wǎng)絡(luò)的工作流程圖,從中可以看出無(wú)線網(wǎng)絡(luò)具體的工作過(guò)程。
無(wú)線網(wǎng)絡(luò)在個(gè)人、家庭和企業(yè)都得到了廣泛應(yīng)用,在各式各樣的無(wú)線網(wǎng)絡(luò)中,無(wú)線局域網(wǎng)是最為普遍的,它應(yīng)用到了硬件設(shè)備及軟件設(shè)備兩個(gè)不同的領(lǐng)域。無(wú)線網(wǎng)絡(luò)主要是通過(guò)紅外線、WiFi、藍(lán)牙這三種方式進(jìn)行數(shù)據(jù)傳輸,它們各有自己的特色和使用區(qū)域。紅外線無(wú)線傳輸主要應(yīng)用于電視、空調(diào)等家電遙控器中,它的通訊距離相對(duì)較短,傳輸速度也很快,可達(dá)到16Mbps左右,是利用紅外線中電磁波進(jìn)行數(shù)據(jù)傳送的一種方式。WiFi是“無(wú)線相容性認(rèn)證”的簡(jiǎn)稱,目前主要運(yùn)用的是802.11b標(biāo)準(zhǔn)和802.1lg標(biāo)準(zhǔn),雖然理想情況下它們的傳輸速度分別可以達(dá)到11Mbps和54Mbps,但實(shí)際使用時(shí),只能實(shí)現(xiàn)理想狀況的一半左右,但已經(jīng)足夠擺脫對(duì)網(wǎng)絡(luò)線纜的依賴,實(shí)現(xiàn)音頻傳輸。藍(lán)牙是全球開(kāi)放的無(wú)線傳輸,它的自由頻段為2.4GHz,雖然一般數(shù)據(jù)傳輸?shù)乃俣戎挥衛(wèi)Mbps,最高也只能達(dá)到3Mbps左右,但是卻是應(yīng)用最為廣泛的一種。市面上的無(wú)線家庭影院產(chǎn)品,不管使用的是哪種無(wú)線傳輸方式,在傳輸表現(xiàn)上都不錯(cuò),音質(zhì)完美,視屏流暢清晰,沒(méi)有出現(xiàn)大家擔(dān)心的訊號(hào)遲鈍、音質(zhì)不好、視頻粗糙等問(wèn)題。現(xiàn)在WiFi無(wú)線網(wǎng)絡(luò)技術(shù)已成為社會(huì)主流,英特爾公司在WiFi上取得了巨大成功,成為了倡導(dǎo)WirelessUSB技術(shù)的先鋒。無(wú)線USB接口技術(shù)在近距離能夠達(dá)到480Mbps的數(shù)據(jù)傳輸率,比起IEEE1394和USB2.0,WirelessUSB最大的優(yōu)勢(shì)是“無(wú)線”,這是現(xiàn)在的技術(shù)所難以抗衡的。另外,由于WirelessUSB技術(shù)強(qiáng)化了媒體數(shù)據(jù)傳輸?shù)男阅?,比起現(xiàn)在的有線USB技術(shù),能更快地進(jìn)入無(wú)線PC、數(shù)碼相機(jī)、打印機(jī)、鍵盤(pán)和鼠標(biāo)產(chǎn)品等科技領(lǐng)域,這是無(wú)線網(wǎng)絡(luò)技術(shù)的一次革新。
2無(wú)線網(wǎng)絡(luò)安全隱患
無(wú)線網(wǎng)絡(luò)安全威脅是指非授權(quán)用戶對(duì)資源進(jìn)行竊取,給資源的保密完整性及授權(quán)用戶合法使用資源的權(quán)力造成破壞的問(wèn)題。無(wú)線網(wǎng)絡(luò)與傳統(tǒng)的有線網(wǎng)絡(luò)相比,安裝簡(jiǎn)單、攜帶方便、靈活機(jī)動(dòng),解決了有線網(wǎng)絡(luò)在時(shí)間空間上的限制,大大提高了數(shù)據(jù)傳輸?shù)男省5沁@些特點(diǎn),使得無(wú)線網(wǎng)絡(luò)不僅存在有線局域網(wǎng)面臨的安全威脅,還存在其特有的一些安全隱患。
2.1信號(hào)干擾
信號(hào)干擾主要來(lái)自兩個(gè)方面,一個(gè)是周邊設(shè)備所帶來(lái)的,另一個(gè)是同類(lèi)設(shè)備導(dǎo)致?,F(xiàn)在的無(wú)線網(wǎng)絡(luò),一般是采用ISM,即工業(yè)、科學(xué)、醫(yī)學(xué)頻段,而最為常用的IEEE80211b/g與微波爐、移動(dòng)電話等的工作頻率相同,都是2.4GHz。另外,一些復(fù)印機(jī)、防盜設(shè)施等常用設(shè)備,也對(duì)其造成了一定的影響。而在無(wú)線網(wǎng)絡(luò)使用中,這些設(shè)備經(jīng)常與其同時(shí)出現(xiàn),對(duì)無(wú)線網(wǎng)絡(luò)的信號(hào)造成干擾。還有同類(lèi)設(shè)備帶來(lái)的干擾,由于無(wú)線網(wǎng)絡(luò)的廣泛應(yīng)用,同一建筑物或附近建筑物同時(shí)使用無(wú)線網(wǎng)絡(luò)的情況比比皆是,若使用的信息通道一樣,就會(huì)相互造成干擾,使得網(wǎng)速下降、信號(hào)不穩(wěn)。
2.2數(shù)據(jù)的竊聽(tīng)、截取和篡改
無(wú)線網(wǎng)絡(luò)的載體是公共的電磁波,玻璃、樓層等物體都能輕易穿過(guò),無(wú)線信號(hào)就會(huì)傳播到其余的無(wú)線客戶端。由于它的開(kāi)放性,無(wú)線網(wǎng)絡(luò)很容易被入侵,造成數(shù)據(jù)的泄露。而使用NetStumbler、AiroPeek、TCPDump等專(zhuān)門(mén)的軟件,更是能輕而易舉地截取信息,甚至進(jìn)行篡改。就是說(shuō)竊聽(tīng)網(wǎng)絡(luò)傳輸不需要專(zhuān)門(mén)的竊聽(tīng)設(shè)備,卻能得到機(jī)密數(shù)據(jù),對(duì)其他系統(tǒng)進(jìn)行攻擊。如果入侵者連接到了內(nèi)部網(wǎng)絡(luò),可以篡改使用者的數(shù)據(jù)信息,釋放病毒,使得合法用戶的服務(wù)降低,嚴(yán)重的話,甚至?xí)?dǎo)致電腦的癱瘓,這是無(wú)線網(wǎng)絡(luò)安全威脅中最為常見(jiàn)、嚴(yán)重的一種。
2.3拒絕服務(wù)和網(wǎng)絡(luò)堵塞
無(wú)線網(wǎng)絡(luò)入侵者會(huì)發(fā)出DOS(DiskOperationSystem)即磁盤(pán)操作系統(tǒng)攻擊,干擾低層無(wú)線網(wǎng)絡(luò)運(yùn)行,或發(fā)送大量數(shù)據(jù)導(dǎo)致網(wǎng)絡(luò)堵塞,破壞無(wú)線網(wǎng)絡(luò)的正常使用,造成安全隱患。
2.4用戶缺乏安全防范的意識(shí)
很多家庭用戶在使用無(wú)線網(wǎng)絡(luò)時(shí),沒(méi)有采取或采取的安全措施不到位,不能防止蹭網(wǎng)者及黑客的入侵。不僅是個(gè)人、家庭,很多企業(yè)在應(yīng)用無(wú)線網(wǎng)絡(luò)時(shí),忽視對(duì)它的管理,難以發(fā)揮出無(wú)線網(wǎng)絡(luò)的優(yōu)勢(shì),還給企業(yè)的網(wǎng)絡(luò)安全埋下了安全隱患。
3無(wú)線網(wǎng)絡(luò)安全防護(hù)策略
做好無(wú)線網(wǎng)絡(luò)安全防護(hù),保護(hù)其免受入侵者的威脅,提高使用的安全性,做好通信的保密性,主要可以從幾個(gè)方面進(jìn)行改善。
3.1要規(guī)劃天線的放置,把握信號(hào)覆蓋范圍
要將無(wú)線網(wǎng)絡(luò)的天線放置在合理安全的地點(diǎn),將信號(hào)控制在一定的范圍之中,讓覆蓋區(qū)以外的地點(diǎn)不能接收到。然后,將天線放在覆蓋區(qū)的中心位置上,減少信號(hào)的外泄。部署好之后,要進(jìn)行完整徹底的勘測(cè),確定信號(hào)的覆蓋和不外泄。
3.2變更SSID和禁止SSID廣播。
SSID(服務(wù)集標(biāo)識(shí)符)是客戶端用來(lái)建立連接的訪問(wèn)點(diǎn)識(shí)別字符串,是由無(wú)線設(shè)備制造商設(shè)定,如果入侵者得知,就可以輕易使用無(wú)線網(wǎng)絡(luò)。在安裝無(wú)線網(wǎng)絡(luò)后,一定要馬上變更SSID,改用別人難以猜到的命名。禁止SSID通過(guò)天線廣播,可以阻止入侵者,保障網(wǎng)絡(luò)的安全。也可以干脆關(guān)閉SSID,雖然會(huì)對(duì)網(wǎng)速產(chǎn)生一定的影響,但是安全性會(huì)大大提高,建議一般的個(gè)人和家庭使用者這么做。
3.3MAC地址的過(guò)濾
這是無(wú)線網(wǎng)絡(luò)安全措施較為常見(jiàn)的一種,可以達(dá)到過(guò)濾未知設(shè)備連接自己的網(wǎng)絡(luò)的目的。每個(gè)用戶的MAC地址都是唯一的,通過(guò)設(shè)置MAC地址列表,設(shè)置只有列表中的用戶才可以訪問(wèn)網(wǎng)絡(luò),杜絕入侵者的威脅。一般的家庭用戶,可以將家中電腦放在列表中,啟動(dòng)MAC地址過(guò)濾,避免鄰居蹭網(wǎng)和黑客入侵。
3.4禁用DHCP
DHCP(DynamicH0stConfi2urationProtocol)即動(dòng)態(tài)主機(jī)分配協(xié)議,可以幫助用戶進(jìn)行IP地址隨機(jī)分配,方便用戶,卻也造成在信號(hào)覆蓋范圍內(nèi),無(wú)線網(wǎng)絡(luò)都會(huì)分配到IP地址,很容易被某些入侵者利用,留下了極大的安全隱患。禁用DHCP,可以阻止黑客輕易入侵,從一定程度上起到了安全防護(hù)的作用,因此對(duì)于無(wú)線網(wǎng)絡(luò)用戶來(lái)說(shuō),這是很有必要的。
3.5采用虛擬專(zhuān)用網(wǎng)絡(luò)
VPN(VirtualPrivateNetwork)即虛擬專(zhuān)用網(wǎng)絡(luò),是指通過(guò)公共的IP網(wǎng)絡(luò)平臺(tái),應(yīng)用隧道及加密技術(shù),來(lái)保證專(zhuān)用數(shù)據(jù)的安全性。VPN技術(shù)只是用來(lái)增強(qiáng)網(wǎng)絡(luò)安全的一種方式,并沒(méi)有囊括在802.11標(biāo)準(zhǔn)定義中。目前已經(jīng)有許多企業(yè)和運(yùn)營(yíng)商已經(jīng)采用了這項(xiàng)技術(shù),來(lái)協(xié)助保密和地址過(guò)濾等。除了以上的一些措施外,用戶也要提高自身的安全用網(wǎng)意識(shí),積極采取措施,保證無(wú)線網(wǎng)絡(luò)安全。
關(guān)鍵詞:無(wú)線局域網(wǎng) 校園網(wǎng) 安全防御
無(wú)線網(wǎng)絡(luò)已逐步在校園網(wǎng)絡(luò)普及,逐漸成為校園網(wǎng)絡(luò)建設(shè)的重點(diǎn)。無(wú)線網(wǎng)絡(luò)給我們帶來(lái)便捷的同時(shí),也帶來(lái)了網(wǎng)絡(luò)安全隱患,無(wú)線網(wǎng)絡(luò)的信道開(kāi)放的特點(diǎn),使得網(wǎng)絡(luò)數(shù)據(jù)容易被攻擊者竊聽(tīng)、修改或轉(zhuǎn)發(fā)。因此,探索校園無(wú)線局域網(wǎng)安全防御策略和解決方案具有非常重要的理論意義和現(xiàn)實(shí)意義。
一、校園無(wú)線網(wǎng)的安全問(wèn)題
(一)未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)
由于WLAN的開(kāi)放式訪問(wèn)方式特點(diǎn),未經(jīng)授權(quán)也可以使用網(wǎng)絡(luò)資源。占用無(wú)線通道,增加了帶寬費(fèi)用,合法用戶的服務(wù)質(zhì)量遭到影響,而且非法用戶濫用無(wú)線網(wǎng)絡(luò)資源,使得合法的無(wú)線校園網(wǎng)的用戶無(wú)法正常使用。
(二)地址欺騙和會(huì)話攔截
現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置,非法用戶可以通過(guò)將自己所用網(wǎng)絡(luò)設(shè)備的MAC地址改為合法用戶MAC地址的方法,使用MAC地址“欺騙”,成功通過(guò)交換機(jī)的檢查,進(jìn)而非法訪問(wèn)網(wǎng)絡(luò)資源。非法用戶利用無(wú)線網(wǎng)路的特點(diǎn)監(jiān)聽(tīng)合法站點(diǎn)的MAC地址,并對(duì)合法的MAC地址進(jìn)行惡意攻擊。
(三)高級(jí)入侵
一旦攻擊者侵入無(wú)線網(wǎng)絡(luò),它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。多數(shù)學(xué)校部署的WLAN都在防火墻之后,這樣WLAN的安全隱患就會(huì)成為整個(gè)安全系統(tǒng)的漏洞,只要攻破無(wú)線網(wǎng)絡(luò),整個(gè)網(wǎng)絡(luò)就將暴露在非法用戶面前。
二、無(wú)線局域網(wǎng)安全技術(shù)
目前有很多種無(wú)線局域網(wǎng)的安全技術(shù),有物理地址(MAC)過(guò)濾、服務(wù)集標(biāo)識(shí)符(SSID)匹配、有線對(duì)等保密(WEEP)、端口訪問(wèn)控制技術(shù)(IEEE802.1x)、IEEE 802.11i等。下面對(duì)在無(wú)線局域網(wǎng)中常用的安全技術(shù)進(jìn)行簡(jiǎn)介。
(一) 物理地址(MAC)過(guò)濾
物理地址過(guò)濾屬于硬件認(rèn)證,而不是用戶認(rèn)證,而且MAC過(guò)濾技術(shù)的可擴(kuò)展性比較差,MAC地址在理論上還可以偽造,因此這也是較低級(jí)別的授權(quán)認(rèn)證,也只適合于小型網(wǎng)絡(luò)規(guī)模。
(二)服務(wù)集標(biāo)識(shí)符(SSID)匹配
通過(guò)SSID設(shè)置,可以對(duì)用戶進(jìn)行有效分組,保證網(wǎng)路的安全和性能。對(duì)AP設(shè)置不同的SSID,無(wú)線工作站必須出示正確的SSID才能訪問(wèn)AP,這樣就可以允許不同的用戶群組接入,并且通過(guò)設(shè)置隱藏接入點(diǎn)及SSID的權(quán)限控制來(lái)達(dá)到保密的目的。
(三)有線對(duì)等保密(WEP)
有線對(duì)等保密(Wired Equivalent Privacy,WEP)是一種數(shù)據(jù)加密算法,用于提供等同于有線局域網(wǎng)的保護(hù)能力。使用了該技術(shù)的無(wú)線局域網(wǎng),所有客戶端與無(wú)線接入點(diǎn)的數(shù)據(jù)都會(huì)以一個(gè)共享的密鑰進(jìn)行加密,密鑰的長(zhǎng)度有40位至256位兩種,密鑰越長(zhǎng),黑客就需要更多的時(shí)間去進(jìn)行破解,因此能夠提供更好的安全保護(hù)。
(四)端口訪問(wèn)控制技術(shù)(IEEE802.1x)和可擴(kuò)展認(rèn)證協(xié)議(EAP)
IEEE802.1x是基于端口的網(wǎng)絡(luò)訪問(wèn)控制標(biāo)準(zhǔn),它能提供一種對(duì)連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段,達(dá)到接受合法用戶接入,保護(hù)網(wǎng)絡(luò)安全的目的。
(五)IEEE 802.1li
IEEE 802.11i的目標(biāo)是以針對(duì)無(wú)線網(wǎng)路原本所具備的弱點(diǎn)加以補(bǔ)強(qiáng),目前802.11i主要定義的加密機(jī)制可以分為T(mén)KIP(Temporal Key Integrity Protoco1)與AES,其中TKIP就是目前WPA 1.x(WPA/SSN)主要采用的加密機(jī)制。
三、校園無(wú)線網(wǎng)的安全防御策略
無(wú)線網(wǎng)絡(luò)利用空中載波信道作為傳輸媒介,物理層和數(shù)據(jù)鏈路層的工作原理與有線網(wǎng)絡(luò)不同,遵循的安全策略也不同。在校園無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)中,如何保證合法用戶的使用權(quán)限,避免非法用戶的侵入已成為無(wú)線網(wǎng)絡(luò)規(guī)劃者的設(shè)計(jì)重點(diǎn)。
現(xiàn)有的WLAN產(chǎn)品的安全技術(shù)中,SSID禁止廣播、WEP機(jī)密、WPA認(rèn)證、802.1X認(rèn)證、EAP—TLS擴(kuò)展認(rèn)證、VLAN劃分等一系列技術(shù)的得到廣泛運(yùn)用,有效的提升無(wú)線網(wǎng)絡(luò)的安全防御性能。我們可以把室內(nèi)型和室外型網(wǎng)絡(luò)設(shè)備均支持SSID禁止廣播、WEP機(jī)密、WPA認(rèn)證、802.1X認(rèn)證、EAP—TLS擴(kuò)展認(rèn)證、VLAN劃分技術(shù),可提供完備的安全防御功能。啟用了目前先進(jìn)的SSID廣播禁止功能之后,由于空中不再?gòu)V播明文的SSID號(hào)碼,使得那些擁有截獲SSID密碼的無(wú)線終端非法訪問(wèn)網(wǎng)絡(luò)。
另外,WEP(有線等效密鑰)和WPA/WPA2(接入保護(hù))技術(shù)的出現(xiàn),可以通過(guò)大量的密文加密位和動(dòng)態(tài)的密鑰協(xié)議(TKIP/AES),為非法訪問(wèn)者制造難以攻破的障礙,從而避免網(wǎng)絡(luò)安全事件的發(fā)生。我們?cè)谛@無(wú)線網(wǎng)絡(luò)規(guī)劃中,由于目前各高校校園有線網(wǎng)絡(luò)已具備一定規(guī)模,因此,在無(wú)線網(wǎng)絡(luò)融合進(jìn)有線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換之前,通過(guò)WEP和WPA加密技術(shù)可以增加一層保護(hù)手段,可以極大的提升安全防御的能力。
另外,對(duì)于室內(nèi)/室外型AP產(chǎn)品,由于其分別開(kāi)放于室內(nèi)高密度訪問(wèn)和室外環(huán)境,面對(duì)的是所有用戶群體,對(duì)不同的用戶群體的權(quán)限和身份識(shí)別則成為必須的功能。因此,AP產(chǎn)品應(yīng)選擇具備多BSS的劃分和802.1Q VLAN功能的無(wú)線產(chǎn)品,協(xié)助接入層無(wú)線用戶與接入層交換機(jī)用戶同樣接受全網(wǎng)統(tǒng)一管理和VLAN的劃分,這樣可以徹底解決無(wú)線用戶無(wú)法管、不方便管的疑難問(wèn)題。
對(duì)于覆蓋室內(nèi)/室外環(huán)境的無(wú)線接入點(diǎn)設(shè)備而言,由于接入用戶比較復(fù)雜,網(wǎng)絡(luò)應(yīng)用不盡相同,因此針對(duì)不同用戶、不同應(yīng)用的QOS保證必須具備。我們可以采用支持標(biāo)準(zhǔn)的 802.11i協(xié)議的網(wǎng)絡(luò)無(wú)線接入點(diǎn)產(chǎn)品,可針對(duì)不同的BSS或802.1 Q VLAN設(shè)置優(yōu)先級(jí)保證,有利于充分、合理的利用信道帶寬。
四、結(jié)束語(yǔ)
信息化的普及使得校園網(wǎng)絡(luò)已經(jīng)與教職工、學(xué)生的工作和生活息息相關(guān),是教職工和學(xué)生獲取信息和資源的主要途徑。校園網(wǎng)絡(luò)為用戶帶來(lái)了很大便捷的同時(shí),網(wǎng)絡(luò)安全問(wèn)題的存在時(shí)刻威脅著用戶信息的安全。只有運(yùn)用有效的安全技術(shù)和策略,才能阻止非法用戶利用校園網(wǎng)絡(luò)進(jìn)行非法操作,保證校園網(wǎng)絡(luò)的正常、穩(wěn)定運(yùn)行。
參考文獻(xiàn)
[1]孟彥.無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全問(wèn)題研究[J].信息安全與技術(shù),2012(01).
[2]趙祖應(yīng),鄧平.無(wú)線局域網(wǎng)安全策略方案設(shè)計(jì)[J].辦公自動(dòng)化,2010(14).
關(guān)鍵詞:無(wú)線;局域網(wǎng);安全問(wèn)題;防范措施
近些年,無(wú)線局域網(wǎng)技術(shù)發(fā)展速度是非常快的,它已經(jīng)替代了傳統(tǒng)的有限局域網(wǎng),受到了廣大用戶的歡迎。無(wú)線局域網(wǎng)具有以下優(yōu)勢(shì):(1)無(wú)線局域網(wǎng)使用戶的加入更加輕松;(2)無(wú)線局域網(wǎng)的布線節(jié)省了大量的人力和物力,不需要網(wǎng)線與插槽;(3)使用者可以使用移動(dòng)上網(wǎng)設(shè)備進(jìn)行自由活動(dòng);(4)在網(wǎng)絡(luò)發(fā)生故障時(shí),主需要對(duì)發(fā)送端和接收端的訊號(hào)進(jìn)行檢測(cè)就可以了。然而,無(wú)線局域網(wǎng)相對(duì)于有線局域網(wǎng)而言,產(chǎn)生了新的安全問(wèn)題。本文對(duì)這些問(wèn)題進(jìn)行了分析,并且提出了相應(yīng)的防范措施。
1、無(wú)線局域網(wǎng)安全分析
網(wǎng)絡(luò)的安全問(wèn)題是需要在建立時(shí)就應(yīng)該進(jìn)行考慮,無(wú)線局域網(wǎng)絡(luò)也是如此。以下對(duì)無(wú)線局域網(wǎng)所面臨的風(fēng)險(xiǎn)進(jìn)行分析。
1.1 容易侵入
為了能夠使用戶發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)的存在,網(wǎng)絡(luò)就必須發(fā)送有特定參數(shù)的信標(biāo)幀,這樣為攻擊者的攻擊提供了必要的網(wǎng)絡(luò)信息。
1.2未經(jīng)授權(quán)使用服務(wù)
開(kāi)放式訪問(wèn)方式是無(wú)線局域網(wǎng)的主要訪問(wèn)方式,沒(méi)有經(jīng)過(guò)授權(quán)就使用網(wǎng)絡(luò)資源不僅會(huì)使帶寬費(fèi)大大增加,而且還會(huì)導(dǎo)致法律糾紛。
1.3非法的AP
無(wú)線局域網(wǎng)有很多特定,易于訪問(wèn)和配置簡(jiǎn)單就是其中典型的特性,任何人的計(jì)算機(jī)都可以通過(guò)自己購(gòu)買(mǎi)的AP連入網(wǎng)絡(luò),而不經(jīng)過(guò)授權(quán)來(lái)實(shí)現(xiàn)。
1.4地址欺騙和會(huì)話攔截
攻擊者對(duì)數(shù)據(jù)流的重定可通過(guò)欺騙數(shù)據(jù)幀的方式來(lái)進(jìn)行,并且此方式的實(shí)施使ARP表變得更加混亂,然后將網(wǎng)絡(luò)中站點(diǎn)的MAC地址很容易就獲得到,這些地址可以被用來(lái)得以攻擊時(shí)使用。攻擊者可以通過(guò)AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在然后裝扮成AP進(jìn)入網(wǎng)絡(luò), 通過(guò)截獲會(huì)話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷,通過(guò)這樣的AP,攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。
1.5拒絕服務(wù)攻擊
無(wú)線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊,攻擊者可以發(fā)送與無(wú)線局域網(wǎng)相同頻率的干擾信號(hào)來(lái)干擾網(wǎng)絡(luò)的正常運(yùn)行,從而導(dǎo)致正常的用戶無(wú)法使用網(wǎng)絡(luò)。
2、 無(wú)線局域網(wǎng)策略
2.1加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制
無(wú)線網(wǎng)絡(luò)配置的風(fēng)險(xiǎn)可以通過(guò)加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制來(lái)進(jìn)行減少。如果在像防火墻這樣的網(wǎng)絡(luò)安全設(shè)備外安置AP,連接到主干網(wǎng)絡(luò)時(shí)最好通過(guò)VPN技術(shù)進(jìn)行,更好的辦法是使用基于IEEE802.1X的新的無(wú)線網(wǎng)絡(luò)產(chǎn)品。用戶級(jí)認(rèn)證的新的幀的類(lèi)型被IEEE802.1X新產(chǎn)品定義,借助于企業(yè)網(wǎng)已經(jīng)存在的用戶數(shù)據(jù)庫(kù),對(duì)IEEE802.1X進(jìn)行轉(zhuǎn)換。
2.2阻止未被認(rèn)證的用戶進(jìn)入網(wǎng)絡(luò)
通過(guò)加密辦法對(duì)認(rèn)證過(guò)程進(jìn)行加密是認(rèn)證的前提,這樣猶豫訪問(wèn)特權(quán)是基于用戶身份的,對(duì)通過(guò)電波傳輸?shù)木W(wǎng)絡(luò)流量進(jìn)行保護(hù)可以通過(guò)VPN技術(shù)來(lái)進(jìn)行。一旦網(wǎng)絡(luò)成功配置,嚴(yán)格的認(rèn)證方式和認(rèn)證策略是非常重要的。另外,對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行定期測(cè)試,從而網(wǎng)絡(luò)設(shè)備使用安全認(rèn)證機(jī)制得以保證,并且網(wǎng)絡(luò)設(shè)備的配置正常也得以保證。
2.3定期進(jìn)行的站點(diǎn)審查
無(wú)線網(wǎng)絡(luò)與其他網(wǎng)絡(luò)是一樣的,也需要注重安全管理。在入侵者使用網(wǎng)絡(luò)之前,尋找未被授權(quán)的網(wǎng)絡(luò)通過(guò)接收天線來(lái)進(jìn)行,應(yīng)當(dāng)盡可能地頻繁進(jìn)行物理站點(diǎn)檢測(cè),對(duì)于非法配置站點(diǎn)的存在幾率可以通過(guò)頻繁的檢測(cè)來(lái)發(fā)現(xiàn),但是這樣不僅會(huì)花費(fèi)很多的時(shí)間,而且移動(dòng)性較差。選擇小型的手持式檢測(cè)設(shè)備是一種折中的辦法。管理員可以隨時(shí)到網(wǎng)絡(luò)的任何位置進(jìn)行檢測(cè),主要通過(guò)手持掃描設(shè)備來(lái)進(jìn)行。
2.4采用可靠的協(xié)議進(jìn)行加密
如果用戶的無(wú)線網(wǎng)絡(luò)用于傳輸比較敏感的數(shù)據(jù),那么僅用WEP加密方式是遠(yuǎn)遠(yuǎn)不夠的,需要進(jìn)一步采用像SSH、SSL、IPSec等加密技術(shù)來(lái)加強(qiáng)數(shù)據(jù)的安全性。
2.5拒絕筆記本ad-hoc方式接入
在任何企業(yè)中都應(yīng)當(dāng)采取這一嚴(yán)厲的措施。ad-hoc模式將允許Wi-Fi用戶直接連接到另一臺(tái)相鄰的筆記本,這將構(gòu)成你完全不能想象的恐怖的網(wǎng)絡(luò)環(huán)境。
2.6利用MAC阻止黑客攻擊
利用基于MAC地址的ACLS(訪問(wèn)控制表)確保只有經(jīng)過(guò)注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。MAC過(guò)濾技術(shù)就如同給系統(tǒng)的前門(mén)再加一把鎖,設(shè)置的障礙越多,越會(huì)使黑客知難而退,不得不轉(zhuǎn)而尋求其他低安全性的網(wǎng)絡(luò)。
2.7有效管理無(wú)線網(wǎng)絡(luò)的ID
所有無(wú)線局域網(wǎng)都有一個(gè)缺省的SSID(服務(wù)標(biāo)識(shí)符)或網(wǎng)絡(luò)名。立即更改這個(gè)名字,用文字和數(shù)字符號(hào)來(lái)表示。如果企業(yè)具有網(wǎng)絡(luò)管理能力,應(yīng)該定期更改SSID。不要到處使用這個(gè)名字:即取消SSID自動(dòng)播放功能。
2.8提高已有的RADIUS服務(wù)
公司的遠(yuǎn)程用戶常常通過(guò)RADIUS(遠(yuǎn)程用戶拔號(hào)認(rèn)證服務(wù))實(shí)現(xiàn)網(wǎng)絡(luò)認(rèn)證登錄。企業(yè)的IT網(wǎng)絡(luò)管理員能夠?qū)o(wú)線局域網(wǎng)集成到已經(jīng)存在的RADIUS架構(gòu)內(nèi)來(lái)簡(jiǎn)化對(duì)用戶的管理。這樣不僅能實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的認(rèn)證,而且還能保證無(wú)線用戶與遠(yuǎn)程用戶使用同樣的認(rèn)證方法和帳號(hào)。
2.9采用強(qiáng)力的密碼
一個(gè)足夠強(qiáng)大的密碼可以讓暴力破解成為不可能實(shí)現(xiàn)的情況。相反的,如果密碼強(qiáng)度不夠,幾乎可以肯定會(huì)讓你的系統(tǒng)受到損害。
2.10對(duì)網(wǎng)絡(luò)入侵者進(jìn)行監(jiān)控
需要對(duì)攻擊的發(fā)展趨勢(shì)進(jìn)行跟蹤,了解惡意工具是怎么連接到網(wǎng)絡(luò)上的,怎么做可以提供更好的安全保護(hù)。你還需要對(duì)日志里掃描和訪問(wèn)的企圖等相關(guān)信息進(jìn)行分析,找出其中有用的部分,并且確保在真正的異常情況出現(xiàn)的時(shí)間可以給予及時(shí)的通知。
3、結(jié)語(yǔ)
在無(wú)線局域網(wǎng)的發(fā)展中,一個(gè)重要的問(wèn)題就是無(wú)線局域網(wǎng)絡(luò)的安全問(wèn)題。目前,基本上的安全防范措施的提出都是安全問(wèn)題出現(xiàn)問(wèn)題才提出來(lái)的,也就是說(shuō),發(fā)生損失才進(jìn)行防止。而最好的辦法就是進(jìn)行事前控制,將損失降至最低。不斷完善無(wú)線設(shè)備,加強(qiáng)加密技術(shù),提高傳輸速度,只有這樣無(wú)線局域網(wǎng)才會(huì)順利發(fā)展。
參考文獻(xiàn):
[1] 涂軍, 張穎江, 黃慶炬. 無(wú)線局域網(wǎng)的安全[J]. 湖北工業(yè)大學(xué)學(xué)報(bào), 2006, (04).
[2] 趙琴. 淺談無(wú)線網(wǎng)絡(luò)的安全性研究[J].機(jī)械管理開(kāi)發(fā), 2008, (01).
1大數(shù)據(jù)時(shí)代簡(jiǎn)介
大數(shù)據(jù)主要是指海量數(shù)據(jù),數(shù)據(jù)中一般存在著相當(dāng)多的有用信息,且這些數(shù)據(jù)的類(lèi)型以及結(jié)構(gòu)都趨向于多樣化、處理和更新速度快等特點(diǎn)。大數(shù)據(jù)的處理以及應(yīng)用主要借助于云計(jì)算,利用云計(jì)算將數(shù)據(jù)作為計(jì)算機(jī)網(wǎng)絡(luò)的中心,改變?nèi)藗儗?duì)資源進(jìn)行獲取的方式。大數(shù)據(jù)時(shí)代,網(wǎng)絡(luò)犯罪現(xiàn)象的明顯,以及網(wǎng)絡(luò)安全的重要性,導(dǎo)致大家對(duì)大數(shù)據(jù)時(shí)代下的網(wǎng)絡(luò)安全問(wèn)題越來(lái)越重視。要想充分保證大數(shù)據(jù)時(shí)代下的網(wǎng)絡(luò)安全,首先要認(rèn)識(shí)到網(wǎng)絡(luò)安全的現(xiàn)狀,并對(duì)網(wǎng)絡(luò)安全涉及的物理、信息安全等問(wèn)題做全面的分析。在分析保護(hù)網(wǎng)絡(luò)物理安全時(shí),要充分全面的考慮網(wǎng)絡(luò)設(shè)計(jì)和規(guī)劃、電源故障、硬件配置等問(wèn)題。對(duì)信息內(nèi)容安全進(jìn)行綜合分析時(shí),要注意保護(hù)數(shù)據(jù)信息的安全,以防止數(shù)據(jù)泄露以及破壞發(fā)生,并對(duì)用戶設(shè)置一定的權(quán)限,以防止非法用戶對(duì)信息進(jìn)行非法操作,隨意對(duì)數(shù)據(jù)進(jìn)行修改,偷竊,給合法用戶的安全造成威脅。當(dāng)信息數(shù)據(jù)被破壞時(shí),需要及時(shí)對(duì)數(shù)據(jù)的安全進(jìn)行維護(hù),并及時(shí)抑制非法操作。在分析數(shù)據(jù)的傳播以及管理安全時(shí),要防范病毒入侵以及網(wǎng)絡(luò)攻擊。對(duì)網(wǎng)絡(luò)安全系統(tǒng)做好維護(hù)工作,從而保障數(shù)據(jù)傳輸?shù)陌踩?。?duì)數(shù)據(jù)的安全進(jìn)行管理分析時(shí),要充分綜合的對(duì)軟件可操作性進(jìn)行分析,并對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全性進(jìn)行實(shí)時(shí)監(jiān)控,及時(shí)對(duì)威脅網(wǎng)絡(luò)安全的因素采取應(yīng)對(duì)措施,從而達(dá)到保護(hù)數(shù)據(jù)的目的??傊?,在大數(shù)據(jù)時(shí)代下進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全防范工作,既要做好計(jì)算機(jī)網(wǎng)絡(luò)的硬件維護(hù),還要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)安全性做好常規(guī)的維護(hù)管理,并綜合分析計(jì)算機(jī)網(wǎng)絡(luò)傳播和管理安全,從而保障大數(shù)據(jù)時(shí)代背景下計(jì)算機(jī)網(wǎng)絡(luò)的安全性。
2大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全的現(xiàn)狀
在大數(shù)據(jù)時(shí)代下,對(duì)網(wǎng)絡(luò)安全采取防范措施非常有必要。所謂的計(jì)算機(jī)網(wǎng)絡(luò)安全主要指管理、保障網(wǎng)絡(luò)數(shù)據(jù)的保密性、完整性和可用性。計(jì)算機(jī)網(wǎng)絡(luò)安全主要可以分為物理和邏輯安全兩方面,物理安全主要指計(jì)算機(jī)硬件設(shè)施受到的保護(hù),防止硬件設(shè)施上的信息數(shù)據(jù)被丟失,破壞。而邏輯安全主要指數(shù)據(jù)的完整性、保密性、可用性。避免非法用戶對(duì)數(shù)據(jù)進(jìn)行破壞以及篡改。伴隨著社會(huì)科技經(jīng)濟(jì)的不斷發(fā)展,信息技術(shù)的不斷發(fā)展,互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和各種云技術(shù)也在不斷地更新進(jìn)步,存儲(chǔ)的數(shù)據(jù)容量越來(lái)越多,導(dǎo)致海量的數(shù)據(jù)安全問(wèn)題現(xiàn)在受到人們的密切關(guān)心。伴隨著信息技術(shù)的普遍應(yīng)用,計(jì)算機(jī)網(wǎng)絡(luò)與人的關(guān)系越來(lái)越密切。計(jì)算機(jī)大數(shù)據(jù)時(shí)代所提到的大并不僅僅是描述數(shù)據(jù)量大,還代表了數(shù)據(jù)的種類(lèi)多,以及數(shù)據(jù)與數(shù)據(jù)之間的整合和交換以及分析。大數(shù)據(jù)時(shí)代下,計(jì)算機(jī)網(wǎng)絡(luò)的普及導(dǎo)致數(shù)據(jù)面臨的安全問(wèn)題也越來(lái)越多,大家對(duì)計(jì)算機(jī)數(shù)據(jù)安全問(wèn)題也越來(lái)越重視,并在防范計(jì)算機(jī)網(wǎng)絡(luò)安全方面做了很多的研究和探索。但計(jì)算機(jī)網(wǎng)絡(luò)還是經(jīng)常受到黑客的攻擊,從而造成網(wǎng)絡(luò)癱瘓、很多密碼賬號(hào)信息被竊取等問(wèn)題,使得計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題很?chē)?yán)重,嚴(yán)重威脅到了個(gè)人隱私安全的同時(shí),更威脅到了社會(huì)經(jīng)濟(jì)的發(fā)展以及社會(huì)和諧。
3威脅網(wǎng)絡(luò)完全的因素
隨著計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)各個(gè)方面的廣泛應(yīng)用,已成為很多人日常生活和工作中必不可缺的一部分。但計(jì)算機(jī)網(wǎng)絡(luò)在給人們帶來(lái)便利的同時(shí),也面臨著來(lái)自各個(gè)方面的安全威脅,主要有以下5個(gè)方面:
3.1病毒感染
隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)病毒的種類(lèi)越來(lái)越多,且不斷的發(fā)展變化,使得計(jì)算機(jī)網(wǎng)絡(luò)安全受到了嚴(yán)重的威脅。由于病毒具有可復(fù)制性的特征,使得它可以迅速的感染計(jì)算機(jī)的其他程序以及軟件。當(dāng)計(jì)算機(jī)的程序或者軟件被病毒感染時(shí),一旦運(yùn)行計(jì)算機(jī),病毒就會(huì)迅速的對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)發(fā)起攻擊、破壞,從而使得計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)信息安全受到嚴(yán)重影響,甚至使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)陷入癱瘓狀態(tài)。
3.2操作失誤
雖然計(jì)算機(jī)的應(yīng)用越來(lái)越普遍,但是對(duì)于計(jì)算機(jī)的使用很多人還不夠熟練,技術(shù)上還存在一定的缺陷。很多用戶不是很懂計(jì)算機(jī)使用的方法以及規(guī)則,所以經(jīng)常會(huì)有操作失誤的現(xiàn)象,從而引發(fā)計(jì)算機(jī)網(wǎng)絡(luò)的安全漏洞,導(dǎo)致計(jì)算機(jī)陷入癱瘓狀態(tài),或者不小心將重要信息泄露出去,使得不法分子有機(jī)可趁,對(duì)私密信息進(jìn)行剽竊,給用戶造成巨大的影響。
3.3黑客攻擊
在大數(shù)據(jù)時(shí)代下,黑客可以更隱秘的對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊,且攻擊所造成的后果影響很大。由于大數(shù)據(jù)時(shí)代下,信息的價(jià)值密度小,一般的計(jì)算機(jī)網(wǎng)絡(luò)分析工具很難從海量的數(shù)據(jù)中識(shí)別出黑客攻擊,導(dǎo)致黑客可以將海量的私密數(shù)據(jù)信息竊取出來(lái)。同時(shí),黑客還可以對(duì)系統(tǒng)發(fā)起攻擊,導(dǎo)致系統(tǒng)癱瘓,使得計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行受到嚴(yán)重的威脅。
3.4系統(tǒng)漏洞
系統(tǒng)沒(méi)有十全十美的,理論上,所有系統(tǒng)都是存在漏洞的。用戶在對(duì)計(jì)算機(jī)的軟件、硬件進(jìn)行使用,和對(duì)程序進(jìn)行下載的過(guò)程中,通常也都會(huì)由于一些疏忽而引發(fā)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞。前者相對(duì)容易解決,可以通過(guò)下載、安裝補(bǔ)丁等方法對(duì)漏洞進(jìn)行修復(fù);后者則會(huì)對(duì)系統(tǒng)造成很大的破壞,使數(shù)據(jù)的安全性受到嚴(yán)重威脅。還有非法分子對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊,也會(huì)引發(fā)系統(tǒng)漏洞,從而盜取客戶的隱私和信息。
3.5管理不到位
管理計(jì)算機(jī)網(wǎng)絡(luò)是維護(hù)其安全的關(guān)鍵環(huán)節(jié),是計(jì)算機(jī)管理員和計(jì)算機(jī)用戶的重要職責(zé)。很多計(jì)算機(jī)用戶疏忽對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行管理,使得計(jì)算機(jī)系統(tǒng)容易受到各種網(wǎng)絡(luò)威脅的破壞。如果管理員不加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的管理,用戶又缺乏網(wǎng)絡(luò)安全意識(shí),就很容易將重要的信息泄露出去,從而給用戶的生活造成嚴(yán)重的影響。各企業(yè),政府機(jī)關(guān)部門(mén)的辦公系統(tǒng)中一般都存儲(chǔ)有很多重要信息,所以計(jì)算機(jī)管理員更應(yīng)該加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理。否則,一旦不法分子入侵,將會(huì)給整個(gè)企業(yè)乃至整個(gè)國(guó)家都造成不可挽回的嚴(yán)重后果。
4網(wǎng)絡(luò)安全防范措施
加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)意義重大。所以以網(wǎng)絡(luò)安全為出發(fā)點(diǎn),建設(shè)一套完整的計(jì)算機(jī)網(wǎng)絡(luò)安全防范體系非常重要。既要從技術(shù)上加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范能力,又要提高用戶對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全的防范意識(shí),同時(shí)還要加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的管理,從而有效實(shí)現(xiàn)全方位保障計(jì)算機(jī)網(wǎng)絡(luò)安全。
4.1對(duì)設(shè)備輸入加強(qiáng)控制
隨著科技的發(fā)展,無(wú)線網(wǎng)絡(luò)的普及,大數(shù)據(jù)時(shí)代的到來(lái),設(shè)備輸入防范不再僅僅指?jìng)鹘y(tǒng)的有線接入防范,還包括了無(wú)線防范。傳統(tǒng)有線防范,只能有效的對(duì)有線接入的設(shè)備以及用戶進(jìn)行安全防范,而對(duì)無(wú)線防范的手段尚不成熟。用戶在使用無(wú)線網(wǎng)絡(luò)時(shí),有可能繞過(guò)安全設(shè)備,讓接入設(shè)備直接進(jìn)入大數(shù)據(jù)的系統(tǒng)中,因此難以保障安全性。
4.2加強(qiáng)系統(tǒng)漏洞修復(fù)功能
在大數(shù)據(jù)時(shí)代,必須及時(shí)更新計(jì)算機(jī)系統(tǒng)的補(bǔ)丁,全面修復(fù)計(jì)算機(jī)系統(tǒng)的漏洞,才能有效避免蠕蟲(chóng)病毒攻擊系統(tǒng),維護(hù)系統(tǒng)的安全。不過(guò),系統(tǒng)修復(fù)功能應(yīng)該在黑客以及蠕蟲(chóng)病毒攻擊之前做好防范措施,而不是在受攻擊之后再補(bǔ)救。當(dāng)微軟在更新站點(diǎn)了新的漏洞補(bǔ)丁時(shí),用戶應(yīng)該及時(shí)將補(bǔ)丁下載安裝,對(duì)系統(tǒng)進(jìn)行修復(fù)。另外用戶也可以下載一些計(jì)算機(jī)網(wǎng)絡(luò)安全管理工具,及時(shí)實(shí)現(xiàn)漏洞修復(fù),從而有效的保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。
4.3加強(qiáng)網(wǎng)絡(luò)病毒防范
在當(dāng)今大數(shù)據(jù)時(shí)代背景下,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)病毒進(jìn)行防范是計(jì)算機(jī)網(wǎng)絡(luò)安全防范中最困難的,但也是最重要的。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行日常安全管理時(shí),要做到持續(xù)、全面,才能有效的保障計(jì)算機(jī)網(wǎng)絡(luò)的安全。使用殺毒軟件,可以對(duì)系統(tǒng)安全進(jìn)行實(shí)時(shí)監(jiān)控,經(jīng)常性的掃描并處理病毒,對(duì)系統(tǒng)安全起著至關(guān)重要的作用。另外,由于殺毒軟件需要隨著病毒的不斷變化而不斷更新病毒的樣本庫(kù),所以殺毒軟件應(yīng)該保持及時(shí)更新。
4.4加強(qiáng)網(wǎng)絡(luò)黑客入侵防范
黑客入侵是計(jì)算機(jī)網(wǎng)絡(luò)安全的又一大威脅,整合大數(shù)據(jù)資源,建立防范攻擊模型,可以有效防范黑客入侵所造成的危害。同時(shí),防止黑客入侵,除了利用有效的工具外,還要在計(jì)算機(jī)網(wǎng)絡(luò)的內(nèi)外網(wǎng)之間加強(qiáng)隔離,并合理利用防火墻以及路由器,降低黑客入侵的可能性。
5結(jié)語(yǔ)
關(guān)鍵詞:無(wú)線校園網(wǎng);可擴(kuò)展性;可管理型;安全性
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2016)29-0036-02
智慧校園作為目前高校信息化發(fā)展的目標(biāo)借助了互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算等技術(shù),將教學(xué)、科研、管理、生活學(xué)習(xí)環(huán)境進(jìn)行深度融合,讓管理者、教師、學(xué)生能以更加精細(xì)和動(dòng)態(tài)的方式管理學(xué)習(xí)工作和生活的狀態(tài),最終提升管理、教學(xué)、科研、服務(wù)質(zhì)量。因此如何設(shè)計(jì)建設(shè)一個(gè)穩(wěn)定、高性能、安全的無(wú)線校園網(wǎng)則顯得尤為重要。
1無(wú)線方案需求分析
1.1無(wú)線覆蓋需求
無(wú)線信號(hào)應(yīng)該在覆蓋范圍內(nèi)無(wú)處不在,但是更多的覆蓋范圍,需要更多的設(shè)備和投資,因此覆蓋范圍和覆蓋程度和實(shí)際需求相關(guān),同時(shí)也和無(wú)線AP的部署方式相關(guān)。不同場(chǎng)所建筑由于用途不同,結(jié)構(gòu)千差萬(wàn)別,采用合適的AP部署方式將可以得到最優(yōu)的信號(hào)覆蓋。
1.2穩(wěn)定可靠的需求
無(wú)線網(wǎng)絡(luò)的傳輸方式和原理導(dǎo)致其穩(wěn)定性和可靠性有天生不足,電磁波非常容易受到各種障礙物、其他同頻率電磁波、相鄰AP甚至天氣的影響,正是如此無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)重點(diǎn)要考慮如何保障無(wú)線網(wǎng)絡(luò)的穩(wěn)定可靠。
1.3無(wú)線性能及容量的需求
無(wú)線網(wǎng)絡(luò)性能包括了AP吞吐量和用戶的吞吐量?jī)蓚€(gè)方面的因素,AP吞吐量與AP、K端支持的協(xié)議標(biāo)準(zhǔn)和空間流數(shù)量有關(guān),而用戶吞吐量還和AP接人用戶數(shù)量有關(guān),設(shè)計(jì)無(wú)線校園網(wǎng)時(shí)不能僅僅考慮信號(hào)覆蓋,還要考慮如何保證無(wú)線用戶的應(yīng)用能夠流暢運(yùn)行,無(wú)線網(wǎng)絡(luò)不成為性能瓶頸,特別高密度用戶環(huán)境中能夠確保所有并發(fā)用戶的無(wú)線性能。
1.4無(wú)縫漫游需求
無(wú)線用戶通常都會(huì)在移動(dòng)過(guò)程中使用網(wǎng)絡(luò),當(dāng)終端從一個(gè)位置移動(dòng)到另外一個(gè)位置,為了提升用戶的上網(wǎng)體驗(yàn),漫游過(guò)程中信號(hào)不能中斷、網(wǎng)絡(luò)不能中斷。達(dá)到無(wú)縫漫游、無(wú)感知漫游的目的。
1.5易管理需求
無(wú)線網(wǎng)絡(luò)的管理除具備有線網(wǎng)絡(luò)管理的部分特征外,還有自己的管理需求,如終端定位需求,怎樣直觀的查看無(wú)線信號(hào)覆蓋效果進(jìn)行無(wú)線規(guī)劃也成為無(wú)線網(wǎng)絡(luò)管理的必備需求。
2無(wú)線校園網(wǎng)設(shè)計(jì)原則
2.1穩(wěn)定可靠原則
無(wú)線網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)在可靠性方面有先天不足,電磁波傳輸更容易受到各種干擾導(dǎo)致網(wǎng)絡(luò)的不可靠,而隨著移動(dòng)應(yīng)用的發(fā)展,無(wú)線網(wǎng)絡(luò)對(duì)用戶的重要性越來(lái)越高,因此無(wú)線網(wǎng)絡(luò)穩(wěn)定可靠更為重要。在設(shè)計(jì)無(wú)線網(wǎng)絡(luò)時(shí)首要考慮盡量減少無(wú)線干擾、信號(hào)補(bǔ)償、關(guān)鍵部件冗余等措施。
2.2安全性原則
無(wú)線網(wǎng)絡(luò)的便利性也導(dǎo)致了其安全風(fēng)險(xiǎn)更高,而移動(dòng)應(yīng)用和智能終端的普及,用戶越來(lái)越依賴于無(wú)線網(wǎng)絡(luò),無(wú)線網(wǎng)絡(luò)上可以傳輸普通的數(shù)據(jù),也有用戶的身份信息神州銀行等隱秘性要求很高的數(shù)據(jù),因此無(wú)需網(wǎng)絡(luò)必須具有良好的安全防范措施和密碼保護(hù)技術(shù),靈活方便的權(quán)限設(shè)定和控制機(jī)制,使系統(tǒng)具有多種有效手段,防范各種形式對(duì)網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊,以保證網(wǎng)絡(luò)的實(shí)體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全,有效地保障正常的業(yè)務(wù)活動(dòng)和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。
2.3高性能原則
無(wú)線網(wǎng)絡(luò)是一個(gè)競(jìng)爭(zhēng)性的共享網(wǎng)絡(luò),用戶數(shù)量越多,單用戶性能越低,而移動(dòng)應(yīng)用的普及帶來(lái)了無(wú)線帶寬性能需求的提升,網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力,保證各種信息的高質(zhì)量無(wú)阻塞傳輸;交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力,保證網(wǎng)絡(luò)服務(wù)的質(zhì)量。
2.4可擴(kuò)展性原則
在網(wǎng)絡(luò)規(guī)模不斷發(fā)展的情況下,無(wú)線網(wǎng)絡(luò)應(yīng)滿足在不改變主體架構(gòu)與大部分設(shè)備的前提下,平滑實(shí)現(xiàn)升級(jí)和擴(kuò)充,降低原有網(wǎng)絡(luò)的硬件投資,并保證擴(kuò)展后的系統(tǒng)可用性與穩(wěn)定性。預(yù)留AC、AP可升級(jí)的能力,為未來(lái)無(wú)線校園網(wǎng)擴(kuò)容提供基礎(chǔ)。
3整體方案設(shè)計(jì)拓?fù)?/p>
在校園網(wǎng)網(wǎng)絡(luò)中心部署1臺(tái)或多臺(tái)AC無(wú)線控制器,對(duì)全校所有無(wú)線AP進(jìn)行統(tǒng)一管理控制,多臺(tái)無(wú)線控制器可以實(shí)現(xiàn)1+1或N+I冗余。在網(wǎng)絡(luò)中心部署有線無(wú)線網(wǎng)管系統(tǒng)(現(xiàn)有DCLM網(wǎng)管系統(tǒng))對(duì)全網(wǎng)有線無(wú)線設(shè)備進(jìn)行統(tǒng)一管理。部署統(tǒng)一認(rèn)證網(wǎng)關(guān)(現(xiàn)有CS16809核心交換機(jī)和城市熱點(diǎn)認(rèn)證計(jì)費(fèi)網(wǎng)關(guān))來(lái)實(shí)現(xiàn)有線無(wú)線接人用戶統(tǒng)一認(rèn)證計(jì)費(fèi)與運(yùn)營(yíng)管理。所有AP接入到POE交換機(jī)或通過(guò)POE模塊接入到接入交換機(jī),實(shí)現(xiàn)POE遠(yuǎn)程供電。在高性能、高密度區(qū)域選擇支持802.11ac協(xié)議的AP產(chǎn)品,可以得到更高的帶寬。
我院校園網(wǎng)采用了經(jīng)典的三層架構(gòu),即核心層、匯聚層和接入層。校園不同區(qū)域劃分了不同的VLAN和子網(wǎng)。這種架構(gòu)的校園網(wǎng),AC部署在網(wǎng)絡(luò)中心,各AP在不同區(qū)域有不同的管理地址和用戶地址段,屬于不同的VLAN。AC與AP之間三層連接。這種架構(gòu)有線用戶和無(wú)線用戶按同樣的區(qū)域來(lái)劃分不同的VLAN和子網(wǎng)。在網(wǎng)絡(luò)中心部署DHCP服務(wù)器和AC控制器為AP和無(wú)線用戶分配IP地址,為了實(shí)現(xiàn)準(zhǔn)入控制,利用AC實(shí)現(xiàn)BAS功能,配合DCN DCSM或其他RAIDUS實(shí)現(xiàn)POR-TAL認(rèn)證。