网络安全的方案

网络安全的方案（通用12篇）

网络安全的方案 篇1

大多数刚开始做网络工程的朋友都会犯这样一个错误，就是搭建服务器或者配置网络设备的时候，往往服务器的安全考虑的非常周到，而忽略了他们的底层平台-操作系统或者IOS系统漏洞，就拿windows来说吧，搭建了一个WEB站点，web的权限做到了目录的每个文件夹中，但是，系统的漏洞却没有打上，比如说Windows的各个盘的隐藏共享属性等，再比如说密码的复杂度不够或者是端口的过多开放等等都会造成系统的漏洞，即使你的服务器安全做的再 好，系统的漏洞还是有的，等你找到问题的所在时，你才发现系统的崩溃源自系统的漏洞造成的，而不是服务搭建的问题！上面只是举了两个简单例子而已！而Linux的漏洞更是不容忽视，比如说多余账户是否被禁用，是否关闭Ctrl+Alt+Del键等等问题下面我用三张灵感触发图来说明这些问题的存在，大家可根据触发图中的一些设置来增加你服务器底层的安全性，当然，这也仅仅是安全的一部分，并不能代表全部，比如说防火墙上的策略问题，已经其它设置等等，更有待于大家不断的去完善，

网络底层安全解决的方案

，

网络安全的方案 篇2

然而核心业务几乎都是通过网络操作的, 一旦信息被窃取, 资料被泄露, 将会对企业构成灾害。就此而言, 基于WEB管理功能及ESIGHT网管拉软件的平台成为有效监管方式。

1 企业网络安全方案设计的具体原则

具体而言, 需要遵循以下几大基本原则。

1.1 整体性原则

想要做到这一点, 必须站在全局的高度来分析网络的安全及具体措施。其中包括行政法律方式、管理制度 (比方说工作流程、人员审查等) 以及相关的专业措施 (比方说存取控制、识别技术、容错、防病毒等) 。据大量的实践结果表明, 行之有效的安全措施往往是综合应用的结果。一般地说, 计算机网络, 包括个人、软件、设备等。我们要想在真正意义上体现出这些环节在网络中的影响作用。就必须站在全局的高度综合性的去看待和分析方可找到切实可行的措施, 然后根据规定的安全策略制定出科学合理的网络安全体系结构。

1.2 一致性原则

指的是网络安全问题应与整个网络的生命周期同时存在着, 与此同时所指定的安全体系结构与需求保持一致。换言之, 就是需要相关工作人员在网络建设的起步阶段就应当开始考虑到网络安全的具体对策, 因为这样比起网络建设完成之后再去考虑安全措施不仅简单很多, 而且开支方面也要少很多

1.3 易操作性原则

就目前而言, 所制定出的安全措施通常情况下还是需要考虑人去完成, 如果措施很复杂的话, 前期不仅需要耗费大量的时间进行培训, 相应的工作者也需要耗费很多的时间, 而且随着后期的更新与升级需要不断地进行学习和操作, 这样一来对人的要求就会非常高, 并且这种全部靠人为操作, 本身就具有很大的安全隐患。但是有一点值得大家注意的是, 采用的措施切忌影响系统的正常运转。千万不要为了简便操作而使得相关功能无法实现, 这样就会因小失大了。

2 企业网络安全方案设计理念

众所周知, 企业对网络的安全需求往往都是整体性而且是全方位的, 与之对应的网络安全防御体系就需要根据不同的层次分别予以设定, 其中每一个层次所反映出来的安全问题也是不尽一致的。我们根据网络的应用现实状况, 可以将其分为物理层、网络层、系统层、应用层以及安全管理五大重要组成部分, 具体如图1所示。

2.1 物理层的安全性

其中包括通信线路、机房、物理设备的安全等。一般地说, 物理层的安全主要体现在通信线路的可靠性上 (包含网管软件、线路备份以及传输介质) 。防灾害能力, 软硬件设备的安全性;设备的运行环境 (包含湿度、温度、烟尘) 等。

2.2 系统层

一般的讲, 系统层的安全问题主要来自于网络内部所使用的操作系统XP、WINDOWS等。据调查表明, 系统层的安全性问题主要表现在三个方面。首先是操作系统本身的不足引发的安全问题, 其中包括访问控制, 身份认证等。其次是操作系统的安全配置存在缺陷。最后是遭遇病毒侵袭所造成的安全威胁。

2.3 网络层

这也是当前出现得比较频繁的安全问题了, 那就是企业重要信息资料被窃取或者泄露。需要通过访问控制, 远程安全接入, 路由系统安全, 防病毒等。

2.4 应用层

主要是考虑到企业提供服务所使用到的应用软件安全性是否达标。其中包括DNS、WEB等, 网上会诊与网上医疗等, 当然了, 病毒也不会例外。

2.5 管理层

主要包括安全设备与技术的有效管理, 以及安全管理制度等。通过以往大量的实践结果表明, 管理的制度化程度将会大大影响整个网络的安全是否达标, 鉴于此, 企业单位务必要按照相关标准严格的执行下去, 与此同时要做到责任到人。事实证明, 合理的人员角色定义通常能够大大降低其他层次的安全漏洞。

3 结束语

综上所述, 网络的依赖以及网络安全问题已经成为各大企业非常关注的重要问题。在企业网络安全方案设计的过程中, 设计师应当根据实际需要综合性的考虑到各个影响因素。主要从物理安全、系统安全、网络结构安全、病毒入侵防护以及人工管理等方面都提出针对性的解决方法。企业自身要配备齐全必要的网络监控手段, 通过这种方式提高网络中出现问题的预见性, 以免将来某一台机器突然出了问题就会手忙脚乱, 不知所措的情况发生。当然, 除此之外, 还有很多需要注意的细节方面, 需要我们的工作人员在平时的工作中及时发现并且针对性的予以处理。总之一点, 就是要想方设法防患于未然, 不要留给漏洞可乘之机, 给企业网络创造一个安全的外部环境。

参考文献

[1]周练兵, 张万.浅议企业网络方案的设计[J].中国共同安全, 2012 (3) .

[2]李晶.企业网络安全方案的设计与实现[D].西安电子科技大学, 2010.

[3]孔祥.县级供电企业信息网络安全方案的设计与应用[D].中国海洋大学, 2012.

[4]赵明宇, 孟庆鑫, 徐天明.基于企业计算机网络安全方案的设计与实现[J].华北工学院学报, 2011 (6) .

随身的网络安全方案 篇3

如何能够更简便、安全地进行网络连接呢?这里我们发现了一个正在被越来越多的企业所选用的，个人便携式VPN防火墙解决方案——ZyWALL P1(下面简称P1)。它其实是一个类似移动硬盘大小的掌上网络安全连接设备，可以塞入旅行包中随身携带，可助你轻松完成企业网络安全配置，自动建立好VPN连接。

具体来说，P1提供了WAN和LAN 2个网络接口，在使用时，我们要做的就是分别将它们连接到所住酒店的宽带网络接口和笔记本电脑有线网口上，然后打开电源。多数情况下，酒店宽带都是基于端口的认证服务。这时，P1默认可以从当地网络中自动获得一个IP地址和与之配套的网关、DNS信息，并自动根据P1内置的VPN参数进行企业VPN管道连接。一旦连接成功，你会看到P1的VPN指示灯变绿。整个过程，完全无需用户任何干预，像在公司内部一样。

如果你所住的酒店使用IE窗口认证模式，则你还需要在VPN连接成功前先开启IE窗口，随便输入一个网址，系统会自动弹出相应的酒店宽带网络登录窗口，你也只要按照酒店上网说明，输入你房间的宽带口令，即可激活Internet服务。接下来，P1仍然会自动配置好网管事先设定好的VPN连接，将你接入公司的网络安全体系中。

其实，P1这样的个人硬件安防解决方案最大的好处还是在于企业安全的统一管理和部署。

在完全没有用户干预的情况下，网管能通过ZyXEL的Vantage CNM中央网管系统远程强制分发统一的企业安防策略。确保身处异地的员工电脑一样可以在远程连入企业网络前，都确实执行最新的企业网络安全规范，既。节省了网管逐一为大家升级防火墙的麻烦，也避免了百密一疏的危险。真正做到贴身的安防服务。

三心二意玩电脑

随着电脑更新速度的日益提升，谁家还没有个把淘汰下来的旧电脑，或者被笔记本电脑替换下来的台式机。这些电脑大都已成食之无味、弃之可惜的鸡肋。怎样利用这些电脑，帮你做更多的事情呢?这里，我们给你再支一招：用多电脑切换器(KVM Switch)实现多机并用互不干扰。

这里我们拿Aten(宏正自动科技)的双机USB切换器CS-173ZA为例给大家做一示范。它具备2套主机接口，包括VGA、音频(MIC、音箱)和USB总共4个接口，可以满足2台主机共享同一套显示器、键鼠以及USB打印机等外设。这样，你就可以将家中空闲的主机也架起来完成一些简单的后台工作，比如进行BT下载。或者更方便地将笔记本电脑连到家里台式机的大屏幕液晶显示器和高保真音箱上，用标准键鼠更舒适地进行操控，而不必受制于笔记本电脑的配置。

多电脑切换器的连接也很简单，你只要将随机附带的2条主数据线，分别连接到电脑主机和KVM后的CPU1/2接口上(注意连接方向：数据线包括VGA、音频和USB接头的一端接在主机对应接口上，数据线的另一端接到KVM上)，然后将显示器、USB键鼠(PS/2键鼠可以通过附带USB-2-PS/2转接线转换连接)和音响系统的MIc／音箱接入到KVM对应端口上，一切就算ok了!KVM的使用也非常容易。在开机2台电脑后，你可以直接通过KVM正面的1、2主机对应按钮，进行双机操控、显示、声音系统的快速切换。即要显示、操控1号机的信息，就按下1号机切换键，然后就跟原来一样，直接使用1号电脑。待需要使用2号主机时，就简单地按下2号机切换键，显示屏和键鼠就都连接到2号电脑上，你即可以开始操作2号电脑。

相比早期的机械式KVM，CS-1732A采用电子切换结构，信号切换更加稳定，不会出现接触不良、色偏、噪音等问题，而且可以同步或异步切换音频信号，以实现在监控1号机的状态下，同时监听2号机音频的功能。这样，如果你喜欢边工作、边听MP3，又担心会影响你主机的性能，就可以让另外一台配置较低的电脑在后台帮你播放MP3音乐了。

其实，不光是2台台式机之间或者台式机和笔记本电脑间的共享，对于很多既需要用苹果电脑，又不能完全脱离PC的朋友，这个解决方案也是非常实用的。这样你就可以随时在PC和Mac之间快速切换而且互不影响，比在同一台电脑上用Bootcamp之类的软件进行双系统安装后，再来回重启切换要方便、高效得多。

网络安全的方案 篇4

用户及需求介绍

防毒体系现状

某校园网有计算机 1000多台，其中笔记本电脑400台左右，台式机 600多台，分布在三个校区。这三个校区共设了三个子网，同时在线计算机500台左右，每个校区IP地址均为自动分配，IP租约设置为 4小时过期，三校区通中心三层交换机能相互访问，各校区主教学楼，办公楼均使用光纤连接。目前所采取的防病毒措施包括：系统补丁更新由本地服务器成在本地服务器上安装了 WSUS 3.0服务，管理校园网计算机补丁更新；计算机安装 ××单机版防病毒软件，病毒库本地更新。

防毒症结揭示

学校网络的结构向来复杂，还要涉及到众多服务器的管理和多个校区之间的协调。从前面介绍也可以看到，该校园网所覆盖的范围相对分散，且在信息安全防护方面没有实施统一管理，只是在用户终端上简单安装了防毒软件和相关的安全防护软件，缺乏网络范围内的集中统一管理。在网络环境下，计算机中的资源是可以互相访问的，网络中的所有计算机构成了一个完整的系统。对于一个系统的安全而言，整个系统的安全程度取决于这个系统中的最薄弱的环节，

如果具体到一个网络来说，只要网络中有一台计算机存在安全漏洞，网络中的所有算机就都将陷入危险的境地。单机版杀毒软件设计之初就没有考虑网络环境的特殊性，无法解决整个网络的安全问题。因为缺少控制，病毒所带来的威胁普遍存在，即使染毒信息能够及时上报至网管处，如果网管没有有效的手段对整个网络内的计算机进行杀毒和策略设置操作，病毒上报功能也只能算是个“摆设”。

瑞星方案简介

为保证斩断病毒可以传播或寄生的每一个节点，必须实现病毒的全面防范。以瑞星杀毒软件网络版 为基础提供如下解决方案。首先，在学校的网络中心建立一个一级系统中心，在其下属校区分别建立二级系统中心，建立一个具有统一管理的防病毒体系。统一管理后，上级中心统一发送查杀病毒命令、下达版本升级提示，并及时掌握全部系统中心（包含下级中心）的病毒分布情况等。另外，下级中心既可以在收到上级中心的命令后做出响应，也可以管理本级，并主动向上级中心发送请求和汇报信息。在病毒监控管理中心安装后，系统中心会自动在系统中心所在的服务器上安装一个管理控制台；此外，瑞星杀毒软件网络版采用分布式三层体系设计，管理员可以在网络上任何一台 Windows计算机上安装瑞星管理员控制台。所以，它又被称为“移动控制台”。通过该系统，可实现反病毒的统一管理和分级管理，并主动向上级中心发送请求和汇报信息。多级中心系统支持大型的、多层级的、复杂的网络，这样，即使是下级的任何一个客户端出现病毒，一级系统中心都可以及时发现。

吊篮的安全专项施工方案 篇5

关于吊篮安全的专项施工方案

编制人:

职称（职务）：

审核人：

职称（职务）：

批准人：

职称（职务）：

温州市亚飞沈阳铝业分公司

2010年5月20日

对于积家购物广场工程幕墙安装工程吊篮的使用问题我们根据实际情况做了如下的专项施工方案：

一、吊篮产品的选择：使用据有产品合格证书及安装、使用、维护说明书等的吊篮产品

二、吊篮的安装：1.悬挑梁挑出长度应使吊篮钢丝绳垂直地面，并在挑梁两端分别用纵向水平杆将挑梁连接成整体。挑梁必须与建筑结构连接牢靠；当采用压重时，应确认配重的质量，并有固定措施，防止配重产生位移。.吊篮平台组装后，应经2倍的均布额定荷载试压（不少于4h）确认，并标明允许载重量。.吊篮提升机应符合JG/T5033-93《高处作业吊篮用提升机》的规定。

三、安全绳：在各吊篮平台悬挂处增设一根安全绳（直径8mm），安全绳每提升1m要系一下安全绳。

四、脚手板1.吊篮属于定型工具式脚手架，脚手板应按吊篮的规格尺寸采用定型板，严密平整与架子固定牢靠。

2.脚手板材质应按一般脚手架要求检验，木板厚度不小于 5cm；采用钢板时，应有防滑措施。

3.不能出现探头板，当双层吊篮需设孔洞时，应增加固定措施。

五、升降操作

1.吊篮升降作业应由经过培训的人员专业负责，并相对固定，如有人员变动必须重新培训熟悉作业环境。

2.吊篮升降作业时，非升降操作人员不得停留在吊篮内；在吊篮升降到位固定之前，其他作业人员不准进入吊篮内。

3.单片吊篮升降（不多于两个吊点）时，可采用手动葫芦，两人协调动作控制防止倾斜。

4.吊篮在建筑物滑动时，应设护墙轮。升降过程中不得碰撞建筑物，临近阳台、洞口等部位，可设专人推动吊篮，升降到位后吊篮必须与建筑物拉牢固定。

六、交底与验收1.吊篮脚手架安装拆除和使用之前，由施工负责人按照施工方案要求，针对队伍情况进行详细交底、分工并确定指挥人员。

2.吊篮在现场安装后，应进行空载安全运行试验，并对安全装置的灵敏可靠性进行检验。

3.每次吊篮提升或下降到位固定后，应进行验收确认符合要求时，方可上人作业。

七、防护

1.吊篮脚手架外侧应按临边防护的规定，设高度1.2m以上的两道防护栏杆及挡脚板。靠建筑物的里侧应设置高度不低于80cm的防护栏杆。

八、架体稳定

1.吊篮升降到位必须确认与建筑物固定拉牢后方可上人操作，吊篮与建筑物水平距离（缝隙）不应大于20cm，当吊篮晃动时，应及时采取固定措施，人员不得在晃动中继续工作。2.无论在升降过程中还是在吊篮定位状态下，提升钢丝绳必须与地面保持垂直，不准斜拉。若吊篮需横向移动时，应将吊篮下放到地面，放松提升钢丝绳，改变屋顶悬挂梁位置固定后，再起升吊篮。

九、荷载

1.吊篮脚手架属工具式脚手架，其施工荷载为1kN/m，吊篮内堆料及人员不应超过规定。

安全生产的活动方案 篇6

一、指导思想

牢固树立科学发展、安全发展理念，坚持“安全第一、预防为主、综合治理”方针，以落实企业安全生产主体责任和“一岗双责”为重点，确保全市地方小水电系统安全稳定运行。

二、总体目标

通过开展“安全生产年”活动，努力实现：

1、坚决遏制行业较大以上事故发生。

2、地方小水电系统农村触电事故控制在指标以内。

3、安全生产意识明显提高。

4、安全生产和监管能力显著加强。

5、建立健全应急救援体系。

三、保障措施

(一)加强安全生产法律、法规、规章和标准、规范的宣传

重点抓好《安全生产法》、《生产安全事故报告和调查处理条例》、《省安全生产条例》、《省生产经营单位安全责任规定》等重点内容的宣传，牢固树立“隐患就是事故”的理念和“安全生产主体责任”意识。

(二)坚持标本兼治，夯实安全管理基础

在开展“三项行动”、“三项建设”的基础上，进一步开展“三深化”(深化企业主体责任落实、深化依法监管、深化专项整治)和“三推进”(推进科技进步、推进安全达标、推进长效机制建设)的工作，推动各项工作措施落实，着力排查治理安全生产隐患，科学编制安全度汛预案，规范易燃易爆危险物品和特种作业人员持证上岗管理，切实解决安全生产薄弱环节和突出问题，建立健全安全生产责任体系，以人为本，规范作业，措施到位，责任到人。对设备陈旧、管理混乱、隐患严重、不具备安全生产条件的农村水电站，要依法停产停业。努力实现安全管理工作的制度化、规范化和科学化。

(三)抓好全员安全培训工作

通过培训，提高全员的安全意识和责任意识，提高运行操作人员的自我保护能力和操作水平。

(四)科技兴安

网络安全的方案 篇7

网络安全问题一直伴随着互联网技术而发展,互联网安全与互联网攻击之间的较量从未停止,而且越演越烈,从技术更新的角度进行分析,网络攻击本身就体现了互联网技术的发展历程,也促进了互联网技术的革新。近年来,随着互联网的应用成本逐年降低,“黑客”已经不再局限于高端技术人群,任何接触互联网的人群都有可能成为“黑客”。而且,TCP/IP协议的发展也逐渐暴露出先天缺陷,网络攻击已经发展至应用层,目前,大多数网络安全软件已经可以对网络应用层数据包进行安全扫描,但导致网络结构日益复杂,传统网络安全模型显然已经无法适应当前互联网发展的需求,下面将详细阐述基于SCPDA模型的网络应用层安全方案。

1 应用层安全分析

1.1 应用层特性分析

目前,我国关于网络层的很多安全问题已经解决,包括teardrop、ping of death等网络攻击,但是仍然有很多应用层的问题没有解决,网络应用层的安全问题具有一定特殊性,主要集中在七个方面,包括波及范围广、隐蔽性较强、复杂程度高、更新速度快、攻击时间短、防护难度高以及防火墙缺陷等。(1)波及范围广,一般网络层的安全问题会导致网络暂时性瘫痪或者无法访问,但网络应用层的危害则是导致用户信息泄露,直接威胁到用户的利益;(2)隐蔽性较强,网络应用层的木马或者病毒可以长期潜伏在系统中,可以利用Web漏洞发起攻击,普通安全系统难以及时辨识;(3)复杂程度高,网络应用层的安全威胁具有多态性;(4)更新速度快,目前,网络应用层的安全威胁正在逐年递增,一方面是网络应用层的复杂性决定的,另一方面是网络应用层软件的问题;(5)攻击时间短,网络应用层的攻击时间很多,可以快速获取管理员权限;(6)防护难度高,网络应用层比网络层更加贴近用户,用户使用失误导致的安全风险更高;(7)防火墙缺陷,传统防火墙无法识别网络应用层的攻击,更无法主动预测与防御网络应用层的攻击。

1.2 应用层风险分析

网络应用层的安全风险主要体现在五个方面,包括缺少漏洞检测方案、难以进行有效认知、无法有效阻止网络应用层攻击、缺乏实时监控系统以及未建立完善的安全审计体系。(1)漏洞检测方案,网络攻击的基础是系统漏洞,包括主机漏洞、服务器漏洞等,以Windows操作系统为例,本地缓冲区的溢出漏洞为黑客留下了攻击的后门,方案防护建立在漏洞检测基础之上,但很多安全软件无法及时检测出漏洞,除此之外,很多Web漏洞扫描设备的布置缺乏合理性;(2)难以进行有效认证,网络安全防护的第一道防御措施就是身份认证,现有的认证措施包括U盾、生物识别等,但常用的认证措施依然是密码口令,黑客可以用国密码猜测、暴力破解等方式绕过系统;(3)无法有效阻止网络应用层攻击,如果将安全防护全部开启,可能导致系统延迟,降低了系统运行效率,因此,很多企业并未完全开启安全协议,导致网络应用层安全风险较高;(4)缺乏实时监控系统;(5)未建立完善的安全审计体系,安全审计实际上是对安全技术的管理,但很多系统缺少对日志、网络数据等审计体系。

2 安全防御流程分析

网络应用层的安全防护策略建立在网络应用层攻击之上,需要对常见的网络应用层攻击进行分析,但不同的攻击方式采用的防护策略不同,同一攻击方式的目标差异也会导致防护策略差异。对网络应用层攻击方式进行分解,可以分为五个步骤,包括信息采集、网络攻击、网络破坏、预留后门以及行踪隐蔽等。

针对网络攻击的不同阶段,可以采用不同的防御措施。第一阶段是排除漏洞,在黑客发现系统漏洞之前及时修补系统安全漏洞,常用的漏洞扫描软件包括Nessus等,也可以针对服务器开放端口进行扫描,包括NMap等;第二阶段是在阻止黑客发动攻击,可以通过实时阻断攻击报文的方式阻止攻击行为,根据相关研究,该种防御方式可以有效阻止95%以上的网络攻击;第三阶段是针对攻击行为进行防御,通过对特征库与数据流的对比分析,扫描出攻击报文,同时及时发送警报信息,与联动防御设备进行防护;第四阶段是安全审计阶段,一是检测出已经被攻击的证据,二是找出系统后门与木马,三是及时修补安全漏洞。

3 网络安全平台设计

本次设计的网络应用层安全平台主要包括了五个安全模块,基于SCPDA进行安全模型构建,打破了传统的安全孤岛效应,每个模块之下又包括不同的子模块,比如攻击防护模块将WAF、NGFW、UTM、IPS、防火墙等纳入防控体系,同时减少了对操作人员的依赖。基于SCPDA的网络应用层安全平台框架如图1所示。基于SCPDA的网络应用层安全平台框架包括了漏洞扫描模块、加密认证模块、联动防护模块、实时监控模块、安全审计模块等。基于SCPDA的网络应用层安全平台框架的主要优势体现在三个方面,一是统一管理,通过平台统一配置任务与命令,减少了故障机率,二是安全联动,可以采集多种安全信息,实现实时响应,三是风险控制,对网络应用层的安全问题进行量化分析,掌握网络应用层安全漏洞以及薄弱环节,可以进行统一风险控制。

4 安全平台模块设计

基于SCPDA的网络应用层安全平台框架主要包括了漏洞扫描模块、加密认证模块、联动防护模块、实时监控模块、安全审计模块等五个模块,下面重点分析漏洞扫描模块、联动防护模块以及基于蜜罐技术的安全审核模块。(1)漏洞扫描模块,传统面向网络应用层的安全技术只部署一个检测模块,具有一定局限性,本次设计的基于SCPDA的网络应用层安全平台采用分布式部署策略,检测模块统一采集数据,进行联动分析,最后进行统一配置,具有较强的针对性,同时加强了各个子模块之间的交互性,扩展性更强;(2)联动防护模块,网络应用层的防护难度更大,因此系统运行效率较低,而检测模块属于旁路部署,将防护模块与检测模块进行联动,可以减小系统与网络压力;(3)基于蜜罐技术的安全审核模块,该模块具有响应速度快、精度高等优点,通过管理员对数据的分析,可以提高攻击辨识效率。

5 总结

本文深入研究了传统的网络安全协议的特征,对经典的PDR、P2DR等模型进行分析,并对以上模型进行综合对比,在现有模型基础上进行改进,从而提出了针对性的网络安全模型。之后对网络应用层的主要问题进行分析,包括加密认证方式、UTM、防火墙设计等,对网络应用层的安全特性进行阐述,从漏洞扫描、加密方式、入侵监测、主动防护、安全审核等五个方面提出了SCPDA的网络应用层安全解决方案。本文的研究具有一定针对性,主要研究了网络应用层的安全防护策略,并提出了可行的解决对策,希望本文的研究有利于我国互联网安全技术的发展。

参考文献

[1]徐川.应用层DDo S攻击检测算法研究及实现[D].重庆大学,2012.

[2]曾玮妮.无线传感器网络应用层安全关键技术研究[D].湖南大学,2011.

[3]谢柏林,余顺争.基于应用层协议分析的应用层实时主动防御系统[J].计算机学报,2011.

网络安全的方案 篇8

关键词：计算机；网络数据库；安全技术方案；威胁

中图分类号：TP311

计算机网络环境中信息数据的管理和储存都是通过计算机网络数据库实现的，但是随着计算机网络技术的快速发展和广泛普及，计算机网络数据库的安全性已经成为一个非常重要的问题，近年来，计算机网络数据库的安全问题已经引起了社会各界的普遍关注。所以必须加强对计算机网络数据库安全技术方案的研究和探讨，根据计算机网络数据库面临的威胁提出科学有效、针对性的安全技术方案，确保计算机网络数据库使用的安全性。

1 计算机网络数据库

计算机网络数据库是以数据库为基础，在普通后台建立，借助于浏览器等软件来实现信息数据查询、储存等操作，主要特征是可以作为很多信息数据存储的载体，同时还可以保证信息数据的一致性和完整性。目前，计算机网络数据库部署情况下最常见的两种形式是客户机/服务器模式和浏览器/服务器模式，这两种模式都比较简单方便[1]。

2 计算机网络数据库面临的安全威胁

由于各种原因导致计算机网络数据库会存在数据被恶意篡改、非法入侵、信息数据丢失等安全隐患，并且计算机网络数据库具有大文件存储、频繁更新、可靠性高、用户多等特性，还存放了重要、机密的信息。在这种背景下，采取科学有效、针对性的安全技术方案保障计算机网络数据库使用的安全性具有非常重要的意义。

计算机网络上的非法用户主要是通过计算机网络系统来对计算机网络数据库进行入侵，来达到攻击计算机网络数据库的目的，所以计算机网络数据库使用的安全性在很大程度上决定于计算机网络系统的安全性。计算机网络数据库面临的安全威胁主要分为以下几类：（1）对计算机网络数据库中的信息、数据等资源进行非法篡改或者窃取；（2）对计算机网络数据库中的信息数据进行恶意攻击；（3）对非权限范围内的信息数据进行非法访问；（4）由于用户操作失误而使计算机网络数据库出现错误[2]。

3 计算机网络数据库安全技术方案

在开放的计算机网络环境下，计算机网络数据库很容易受到来自各个方面的安全威胁，所以有关部门必须针对计算机网络数据库面临的安全威胁采取科学有效、针对性的安全技术方案，不断提高计算机网络数据库使用的安全性，确保数据库中信息数据的一致性和完整性。通常情況下，计算机网络数据库的安全技术方案可以总结为保证计算机网络数据库信息数据的安全性和确保计算机网络数据库中各种对象存取权的合法性[3]。

3.1 攻击检测和审计追踪。计算机网络数据库进行审计追踪是指用户在对计算机网络数据库操作时，管理人员或者计算机系统可以自动跟踪访问用户的所有操作，并且在审计日志文件中准确、详细的记录这些信息，为管理人员的查阅和管理提供必要的参考。通过审计日志文件中记录的访问用户追踪记录，管理人员可以准确掌握计算机网络数据库出现的情况。而计算机网络数据库系统出现故障时，管理人员也可以在很短的时间内准确找出故障发生的原因，或者迅速定位恶意篡改数据的操作人员，并追究相应的法律责任。此外，通过这种方法也可以及时发现计算机网络数据库使用安全方面的漏洞或者弱点，及时进行针对性的完善，确保计算机网络数据库使用的安全性[4]。

3.2 信息数据的备份和恢复。对计算机网络数据库中的信息数据进行备份，在必要的时候进行恢复，属于目前最常见的一种安全机制，可以确保计算机网络数据库信息数据的准确性和科学性，其作用已经得到社会上专业人士的认可。在这种安全机制的保护下，即使计算机网络数据库受到恶意攻击而发生影响系统功能的故障，管理人员就可以借助于故障发生之间已经备份好的信息数据，然后迅速进行数据的恢复，使计算机网络数据库中的数据文件可以完全回到故障发生之间的状态，确保计算机网络数据库可以正常访问。现阶段，计算机网络数据库数据备份安全技术方案通常包括逻辑备份、动态备份以及静态备份等，而数据恢复技术主要包括在线日志、备份文件以及磁盘镜像等[5]。

3.3 数据库加密。对计算机网络数据库采取加密措施指的是借助于加密功能来不断提高计算机网络数据库数据文件的安全以及正常访问的可靠性。对计算机网络数据库进行加密是指管理人员或者技术人员通过一种非常特殊的算法来对数据文件中的信息进行一定程度的改变，从而使没有被授权访问的客户即使得到了已经加密过的信息，但是由于不知道数据加密的方法，仍然无法即使获取正确的信息数据。计算机网络数据库的加密设置主要是加密和解密这两个过程的高度统一，主要包括使用密钥解密读取信息数据、算法以及将可辨信息数据转化成非可变的信息数据等。为了确保数据库加密功能可以正常使用，必须对计算机网络数据库加密系统的内部模块进行优化处理，采取有效的措施对加密和解密环境进行优化，增加非可辨信息数据和可辨信息数据进行转化的规范性，通过高效的加密和解密，使用户可以安全获取需要的信息数据[6]。

3.4 用户身份认证。计算机网络环境面向的用户非常多，并且属于一种开放式的环境，所以为了提高计算机网络数据库的安全性，必须对每一个有权访问计算机网络数据库的用户进行身份认证，有效防止防止计算机网络数据库被无权访问的用户恶意攻击或者非法访问。计算机网络数据库的用户身份认证主要是通过数据库对象、数据库连接和系统登录三级安全机制来实现用户身份认证的功能。其中，数据库对象是借助于不同程度的权限机制，为不同的用户设置针对性的访问对象权限；计算机网络数据库的连接是数据库关系系统要求对访问用户的身份进行验证；而系统登录主要是对用户输入的用户名和密码进行验证。

4 结束语

综上所述，由于计算机网络带有一定的开发性，导致计算机网络数据库中信息数据的安全性受到外界很多因素的冲击和影响，在很大程度上影响了计算机网络数据库的安全使用，所以必须加强对计算机网络数据库安全技术方案研究的力度，对计算机网络数据库面临的安全隐患进行深入的分析，不断更新、改进计算机网络数据库安全技术方案，通过攻击检测和审计追踪、数据库备份和恢复、数据库加密以及用户身份认证等安全技术方案，提高计算机网络数据库使用的安全性和完整性。

参考文献：

[1]罗军.计算机网络数据库安全技术方案浅探[J].数字技术与应用，2012，10：184.

[2]于丹妮.计算机网络数据库安全技术的优化[J].中国新技术新产品，2013，22：20.

[3]李太连，龙科.计算机网络数据库存在的安全威胁与应对措施探讨[J].信息与电脑（理论版），2014，04：130-131.

[4]滕萍.论计算机网络数据库安全技术[J].网络安全技术与应用，2014，03：170-171.

[5]史博.计算机网络数据库存在的安全威胁及措施[J].数字技术与应用，2013，03：212.

[6]李丽萍.计算机网络数据库的安全管理技术分析[J].科技与企业，2014，04：97+99.

作者简介：王艳杰（1982.01-），女，讲师，研究方向：计算机网络及数据库应用。

网络营销的策划方案 篇9

（一）经过我在互联网上对SMT电子元件包装产品此行业的调查与分析，就行业内企业在电子商务领域的表现而言，得出以下几点结论：

1．行业内大部分企业还是以传统销售模式为主，明显忽视行业产品在电子商务领域的前景，仅几家知名企业将自己的企业品牌和产品推向电子商务平台，并做了少量的网络推广，可以看出行业内的重点企业已经对电子商务领域虎视眈眈。

2．行业内大部分企业都有自己的门户网站，但是我发现这些门户网站几乎都存在几个同样的问题：

（1）网站的整体设计风格单调、都以静态页面为主。

（2）内容过于陈旧更新过慢、且原创软文过少，可以说有部分门户网站内容几乎无更新，行业新闻和宣传软文大多是复制而来。

（3）网站投资过小、推广宣传力度不够。

（4）门户网站定位不够清晰。

（二）虽然行业内还没有重点进入电子商务的龙头企业，但我们不难看出，随着网络营销的日益强势、SMT电子元件包装产品在电子商务领域的前景和行业内企业在电子商务领域的重要性，因此企业进军电子商务领域已势在必行。

二、目标

我们行业内在电子商务领域中还没有真正意义上的龙头企业，因此谁能在领域中打下坚实的基础，能在此成功立足、打响企业品牌并深入到行业内形成良好口碑、达成企业品牌给产品销售带来的连锁反应，推广企业品牌和企业形象将成为进军电子商务领域初期的核心目标。

三、企业优势

四、团队建立

（一）组织架构

1．XXXX所生产的产品属于工业品，且所需产品的客户是企业性质或商家，那么结合以上分析情况，公司产品在电子商务领域里发展应选择B2B网络平台运营作为核心。以B2B网络运营平台为主，并根据行业及产品的分析报告选择其它网络平台进行有效推广。

2．工业品的网络营销与民用品相比有所不同，相对而言工业品的网络营销模式更为清晰简单，省去了复杂的营销链。并且工业品在网络营销中的第二个核心是推广。

3．综上、公司网络营销部初期的组织架构大至如下：

网络营销部组织架构说明：在总经理的带领下全面开展部门工作、建立完善的部门结构、合理安排各岗位工作迅速上岗。

（二）部门人员配置及岗职责

网络营销经理

网络安全的方案 篇10

本文出自于网奇网络科技公司转载请注明

未来发展趋势分析：以下网奇网络科技公司的的客户数据。由以下所知今后萘系高效减水剂将会迎来一个更加灿烂的明天。就国内市场而言，我国4万亿元经济复苏的政策，4万亿元政策中几乎有75％以上涉及建材业，建材业无疑是措施中受益最大、最直接的行业。近两年国家投在基础设施、生态环境和灾后重建等方面的资金，每年要超过20000亿元，其中只要投向公路，铁路，机场城市轨道交通灯领域，这无疑为外加剂开辟了巨大的市场。

基于此，单以目前的外加剂应用程度来说，若2010水泥用量比2009年增加1亿吨，则萘系减水剂产量将比2009年增加5.6％。考虑到2010年中国散装水泥使用率将从2009年的49％增加到55％（这样才能完成“十一五”规划的目标），这其中，混凝土商品化的贡献率为4％（尚有砂浆商品化2％的贡献率），萘系减水剂将有4％的增幅。这样两项合计，粗略估算下来，单就国内市场需求来说，萘系减水剂的增量为10％，也就是从2009年的266.4 万吨增加到2010年的293万吨。2010年以后，萘系减水剂的需求量仍将以每年10万～30万吨的量递增。所以我们要抓住这个时机，提高我们产品的知名度，建立自己的品牌形象，这就需要我们把传统营销与网络营销整合起来宣传我们的产品，相互促进，相互补充。

以下是根据网络发展现状，竞争对手和我公司的实际情况，结合我公司战略方向，制定此网络推广策划方案。

一、时间

2010年12月1日—2011年6月1日

二、该目标

1、完成品牌网站建设（改版）：公司网站作为网络营销的主要载体，其自身的好坏直接影响到企业的形象和网络营销的水平，所以一个企业想对外（网络）树立一种好的形象，想建立一个好的品牌知名度，就必须构建一个专业的服务好的网站，对客户提出的问题及时解决，以下几点是我们目前公司网站的弊端也是在建立新网站时应注意应添加的事项：

①企业网站内容应丰富：信息量太低是现在公司网站的通病，也是我公司目前网站的不足之处，网站应主要包括企业形象展示、员工面貌展示、产品展示、公司管理制度以及企业文化建设、企业风采等内容，让客户感觉我们企业就像一个大家庭、大集体、大团队，体现出一种精诚团结的精神。

②美观与实用度统一：以实用为主，兼顾效果视觉。这就需要公司派专人拍一些产品照片、企业照片、或者是员工出游所拍摄的照片等等，前提是照片的效果和质量要好尤其是产品图片，让人看上去有一种舒服的感觉，从而对我们公司产生一种信任感。

③网站人性化：以客户角度出发而非以本企业为中心。

④交互功能：公司QQ应每天在线及时登录，在客户浏览本公司网站的过程中，如果对公司产品有疑问的话可以直接通过客服系统在线咨询，及时为客户解决问题。

⑤功能强大：对新改版的网站加上一些方便客户访问的功能，比如在线咨询、飘移QQ，让顾客一访问本公司的网站就觉得专业、服务好，继而提高客户对公司的忠诚度。

2、网站改版以后，对新版网站进行优化：请专业SEO人员对网站进行优化，即关键词的优化，这就需要选择正确的“关键词”正确的关键词可以被客户在搜索引擎中及时准确的搜到，减少了客户搜寻的时间也提高了网站的访问量，使公司网站在各大搜索引擎里边获得好的排名，提高网站上页面被搜索的频率。

3对网站及时添加新内容和行业资讯，及时进行更新，及时添加一些新内容，最好是一些有关公司企业动态，企业销售优惠政策，主要做的目的是为了更快的更新百度快照，使搜索引擎更好的抓取我们公司的网站，使其获得比较好的排名，4、整合各种网络推广方法：

①搜索引擎宣传：（百度、谷歌、雅虎）通过这几种手段可以加大各搜索引擎对公司网站及产品信息的收录，从而获得更好的宣传效果。

②博客和行业bbs宣传：开通微博，多发一些热点的新闻帖子进行炒作，加大网络宣传的覆盖面，在行业论坛上发布文章链上企业网址。

③在第三方电子商务平台注册免费会员（如：阿里巴巴、慧聪网、减水剂网、混凝土网、搅拌站等相关网站），及时更新发布产品相关信息，留意求购的商家信息。

⑤交换链接：跟其他网站交换链接，不要看他的PR值，要看他的百度快照、看核心关键词排名。

④建立邮件列表，运用邮件推广：搜集潜在客户邮箱，定期发送公司的产品信息及最新优惠政策信息，不可乱发邮件，不然会取得相反的效果。

5、利用搜索引擎搜集竞争对手的信息，市场行情，分析产品发展趋势以及政府的政策，及时向领导汇报，采取相应措施。

6、在一些行业网站上搜集一些求购减水剂的客户信息，记录成册，必要的时候主动出击，主动电话联系，挖掘潜在客户。

7、必要时在一些排名比较好的行业网站上购买会员，使公司产品在网站上首先有广泛的覆盖面，使客户在搜索引擎中搜索关键字“减水剂”首先能搜到咱们公司的产品，咱们就抢占了先机。

8、控制网络推广费用，实现精准营销。

9、实现网站访问量达到一个客观的数字，提高行业论坛社区帖子浏览量和转载量。

三、具体工作安排表

我公司网络推广将分为两个阶段进行（三个月为一个阶段）

第一阶段：12月1日—3月1日

1、首先对公司产品进行全面了解，全面系统的了解产品优势，以便及时应对客户的询问，对外建立品牌优势。

2、对客户询问过的一些对我们产品质疑的问题记录下来，认真研究并向其说明我们公司产品的优势，目的是为了打消客户的顾虑和建立精诚品牌，补充自己的不足之处。

3、完成网站制作工作（改版），添加相关内容（也就是完成目标中的第一项）

4、对公司网站进行全面优化，主要是搜索引擎优化（第一阶段）实现企业网站“关键词”搜索自然排名居于前列。

5、分析网民搜索习惯，筛选不适合我公司网站推广的关键词，并整合相关宣传推广内容。

6、及时登录公司QQ、阿里巴巴及慧聪网其他免费账号，更新及查看产品信息。查看QQ群中消息，看是否有可用的信息，主动出击。

7、完成领导分配的其他任务。

以上这几点都是在完善了公司网站后每天所必须要进行的工作。

第二阶段：3月1日—6月1日

8、根据企业战略方向，选取最具影响力的品牌新闻网站宣传平台，并制作品牌软文内容性方案，筛选出较有影响力的论坛社区平台，对论坛帖子炒作制定性方案。

9、在行业门户网上寻找目标客户信息，客户联系方式（阿里巴巴、慧聪网、混凝土外加剂网站、中国减水剂网、搅拌站、复配厂等等）主动联系对方。

10、通过搜索引擎搜索竞争对手的信息，消费市场的市场信息及消费者自身的信息，通过对这种信息的跟踪、分析、整理判断自身网站在同类网站中的竞争地位，发现优势与不足，及时作出改进。

11、每周在行业论坛上、BBS发表5篇显目的、吸引人眼球的文章，加上网站链接，争取获得更高的访问量和转载量。

12、周结、月结、半年总结，主要针对企业网络推广效果进行分析评估，并制定相关优化方案。

企业网络安全解决方案 篇11

关键词:信息安全;网络;VPN

中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

Enterprise Network Security Solution

Lu Wenshuo

(National Computer Network Emergency Response Technical Team Coordination Centre,Guangdong Sub-center,Guangzhou510665,China)

Abstract:With the rapid development of information technology,management of the computer application system dependent enhancement,computer applications increased dependence on the network.Computer networks and computer application systems running on a higher network security requirements.Information security should be done to prevent the overall consideration of a comprehensive information system covering all levels,for the network,system,application,data do comprehensive prevention.

Keywords:Information security;Network;VPN

一、引言

隨着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

二、设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。

(一)标准化原则。本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。

(二)系统化原则。信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。

(三)分步实施原则。由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。

三、设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。

(一)网络安全基础设施。证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:身份认证(Authentication)、数据的机密性(Confidentiality)、数据的完整性(Integrity)、不可抵赖性(Non-Repudiation)。

(二)边界防护和网络的隔离。VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

(三)桌面安全防护。对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。

四、方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。

五、结论

无线网络的安全问题及解决方案 篇12

围绕着WLAN从技术设施的建设到软件和硬件的开发, 无线网络已经发展成为一个较为成熟的产业。802.11在设计时依赖访问控制和数据加密来保证网络的安全。

1.1 访问控制

利用服务区域认证ID和MAC地址访问控制技术来防止非法无线设备入侵。服务区域认证ID (ESSID) 方法中对每一个AP内都会设置一个服务区域认证ID, 每当无线终端设备需要连结AP时, AP会检查其ESSID是否与自己的ID一致, 只有当AP和无线终端的ESSID相匹配时, AP才接受无线终端的访问并提供网络服务, 如果不符就拒绝给予服务。利用ESSID, 可以很好地进行用户群体分组, 避免任意漫游带来的安全和访问性能的问题。

MAC地址访问控制技术, 就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。由于每一块无线网卡拥有唯一的MAC地址, 在AP内部可以建立一张“MAC地址控制表” (Access Control) , 只有在表中列出的MAC才是合法可以连接的无线网卡, 否则拒绝连接无线网络。

使用ESSID和MAC地址限制来控制访问权限的方法, 在一定程度上提高了无线网络使用的安全性。但由于AP每隔一定时间会送出一个信标帧 (Beacon Frames) , 其包含有信标间隔、时间戳和SSID等信息, 这样非法入侵者就能自动搜寻频道找到合法的ESSID接入网络。由于MAC地址可以伪造, 用户可以自行修改自己的MAC地址, 所以侵入者可以通过窃听合法用户AP的通信, 获取合法的MAC地址伪造自己的MAC地址, 从而使自己的身份合法化。所以ESSID和MAC地址很容易被窃取, 因此安全性较低。

1.2 数据加密

可以通过WEP (Wired Equivalent Privacy) 协议来进行。WEP是IEEE802.11协议中最基本的无线安全加密措施。WEP加密采用静态的保密密钥, 各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能, 当加密功能启用, 客户端尝试连接AP时, AP会发出一个Challenge Packet给客户端, 客户端再利用共享密钥将此值加密后送回存取点以进行认证对比, 如果正确无误, 才能获准存取网络的资源。利用WEP加密, 使得数据在无线发射之前进行复杂的编码处理, 在接受之后通过反向处理获取原数据。这种加密方式确保数据即使泄漏, 也不会暴露数据的原值。

但是数据加密的WEP协议也存在一定的漏洞。WEP使用了RC4算法来加密从接入点或者无线网卡发送的数据包。RC4算法本身是一种安全的算法, 但在RC4算法的无线实现中, 由于初始向量 (IV) 本身的弱点, 带来了很多安全问题。由于IV的数值有限 (0~16 777 215) , 侵入者只要能够取得足够的数据包, IV就会在数据流中再次出现, 在获得了足够多的使用相同IV加密的数据包后, 侵入者就可以获得WEP密钥。并且, 由于WEP密钥是静态的, 所有的无线客户端和AP通信都使用相同的WEP密钥, 从而所有的无线通信都可以被侵入者解密。WEP方法的缺点有:密钥更新速度慢;初始化向量IV的重复使用。这些缺点使得WEP的安全性进一步恶化。

2 增强无线网络安全性的技术改进

目前, 针对802.11的安全问题, 业界人士广泛采用具有TKIP (Temporal Key Integrity Protocol) 加密的802.1x认证和VPN数据加密技术来增加无线网络传输的安全性。

2.1 具有TKIP加密的802.1x协议

该协议是由IEEE定义的一种基于端口访问与控制的标准, 它提供了一种既可用于有线网络也可用于无线网络的用户认证方法。

802.1x定义了受控和非受控两个逻辑端口用于控制不同类型业务流的接入。认证主要由3部分组成:申请者 (Supplicant) 、认证系统 (Authenticator) 、认证服务器系统 (Authentication Server) 。其中:申请者是申请接入的无线用户。认证系统在WLAN中就是AP, 在认证完成之前, 它仅负责转发申请者的认证信息包。在认证结束后, 向申请者提供无线接入服务。认证服务器系统存储有关用户的信息, 比如用户所属的VLAN, 口令、访问控制列表ACL等等, 为认证系统提供认证服务。

802.1x很好地解决了无线网络的身份认证问题, 但其本身并不是加密算法。因此, 不解决802.11中因WEP导致的安全缺陷, 也不能保证上层如网络层、应用层数据的安全。所以现在无线网络中常使用具有TKIP加密的802.1x。

暂时密钥完整性协议 (Temporal Key Integrity Proto-col, TKIP) 是专门用于纠正WEP脆弱性的协议, 由当初发现RC4实现漏洞的那几个研究人员开发。这个新协议仍然将RC4做加密算法, 但能避免生成脆弱的密钥, 并强制每10 000个数据包或者10k B (具体取决于数据源) 就生成一个新密钥。避免了密钥更新速度慢的缺点。

TKIP将密钥长度从40b增加到128b, 根据临时密钥TK (128b) 、TKIP序列计数器TSC (32b) 和发送地址TA (48b) 通过两阶段动态生成, 在通过802.1x认证结束后分配给申请者和认证系统使用, 并形成配对密钥。每次认证过程产生的TKIP配对密钥都不同, 每个TKIP配对密钥的泄密也只会影响一对无线客户端和AP之间的通信安全, 从而增加了安全性。在认证之后的数据传送中, TKIP配对密钥会和IV进行哈希运算, 产生一个新的包密钥 (packet key) , 数据包由包密钥加密后再加以发送。TKIP包密钥提供了500万亿组的可能, 从而使破解变得十分困难, 而且, TKIP在每个数据包中增加了一个消息集成检测MIC (Message Integri-ty Check) 数值位, 数据接收端会计算MIC数值位, 并和数据包中的MIC数值位进行比较。从而确保数据包在发送后没有被篡改。这样也极大地提高了无线通信的安全性。

2.2 VPN数据加密技术

VPN (Virtual Private Network, 虚拟专用网络) 是在现有网络上组建的虚拟的、加密的网络。VPN主要采用4项安全保障技术来保证网络安全, 这4项技术分别是隧道技术、密钥管理技术、访问控制技术、身份认证技术。实现WLAN安全存取的层面和途径有多种。而VPN的IPSec (Internet Protocol Security) 协议是目前In-ternet通信中最完整的一种网络安全技术, 利用它建立起来的隧道具有更好的安全性和可靠性。

IPSec包括安全协议部分和密钥协商部分。安全协议部分定义了对通信的各种保护方式;密钥协商部分定义了如何为安全协议协商密钥参数, 以及如何对通信实体的身份进行鉴别。IPSec数据包有以下两种类型:IP Protocol 50这是封装安全载荷 (Encapsulating Security Payload, ESP) 格式。他定义了保密性、身份验证及完整性。IP Protocol 51这是身份验证头 (Authentication Header, AH) 格式, 定义了身份验证和完整性, 但没有定义保密性。

IPSec有2种工作模式:传输模式和隧道模式。传输模式用保护现有的IP包, 让其从来源地安全传输到目的地, 仅对传输层的数据进行加密封装。隧道模式则对整个IP数据进行加密、封装, 并附加一个新的IP头, 以IPSec格式发送到一个隧道端点。两种模式都允许采用ESP和AH头封装。

由于VPN技术主要依靠加密和隧道通信, 这些都增加了数据包的数量, 网络硬件的负载会相应增加。但是通过使用VPN技术, 可以充分发挥VPN的高安全性、可扩展性、灵活性和可管理性的优点而且增加网络了的安全性。

3 无线网络安全方案

无线网络在不同的应用环境对安全的需求是不同的。为了最大限度方便用户组建安全的无线网络, 更好地发挥无线网络“有线速度无线自由”的特性, 不同的使用环境应该有不同的安全方案。

对小型企业和一般的家庭用户来说, 因为其使用网络的范围相对较小且终端用户数量有限, 因此只需要使用传统的加密技术就可以解决了。如果进一步采用基于MAC地址的Access Control就能更好地防止非法用户盗用。

由于公共场合存在相邻未知用户相互访问而引起的数据泄漏问题, 需要制定公共场所专用的AP。该AP能够将连接到它的所有无线终端的MAC地址自动记录, 在转发报文的同时, 判断该报文是否发送给MAC列表的某个地址, 如果是就截断发送, 实现用户隔离。

对于大、中型企业、金融机构来说, 无线网络的安全性是至关重要的。在使用了802.1x认证机制的基础上, 为了解决远程办公用户能够安全地访问公司内部网络信息的要求, 利用现有的VPN设施, 进一步完善网络的安全性能。VPN目前已经广泛应用于保护远程接入的数据传输安全, 很多公司的内部网络系统都已有VPN接入服务器, 利用现有资源就可以快速简便地满足这部分用户的安全需要。VPN协议包括第二层PPTP/L2TP协议以及第三层的IPsec协议, 因此, 具有比WEP协议更高层的网络安全性 (第三层) , 能够支持用户和网络间端到端的安全隧道连接。VPN技术的另外一个好处是可以提供基于RADIUS的用户认证以及计费。

在无线网络技术不断发展成熟的过程中, 其安全性问题是不可避免的话题。发现更加有效的加强安全的方法, 将对无线网络进一步的普及和发展起到至关重要的推动作用。

摘要：介绍了ESSID和MAC地址控制访问权限的方法以及WEP数据加密协议, 并分析了这几种方法的安全性漏洞;然后提出了更有效的增强无线网络安全性的技术;最后分析了不同的使用环境应该采用的不同的安全方案。

关键词：无线网络,安全性,WEP,VPN

参考文献

[1]王顺满.无线局域网络技术与安全[M].北京:机械工业出版社, 2005 (9) .

[2]Cyrus Peikari, Seth Fogie.无线网络安全[M].北京:电子工业出版社, 2004.