局域网安全分析与策略

2024-09-07

局域网安全分析与策略（精选10篇）

局域网安全分析与策略篇1

随着信息化的不断扩展, 各类网络版应用软件推广应用, 计算机网络在提高数据传输效率, 实现数据集中、数据共享等方面发挥着越来越重要的作用, 网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行, 保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提, 因此计算机网络和系统安全建设就显得尤为重要。

一、局域网安全现状

随着网络应用的普及, 人们对网络安全的认识也日益深入, 广域网络已有了相对完善的安全防御体系, 防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御, 重要的安全设施大致集中于机房或网络入口处, 在这些设备的严密监控下, 来自网络外部的安全威胁大大减小。但是这些产品有一个共同点:防外不防内。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施, 安全威胁较大。目前, 局域网络安全隐患是利用了网络系统本身存在的安全弱点, 而系统在使用和管理过程的疏漏增加了安全问题的严重程度。

二、局域网安全威胁分析

局域网 (LAN) 是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑, 因此局域网内信息的传输速率比较高, 同时局域网采用的技术比较简单, 安全措施较少, 同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:

(1) 欺骗性的软件使数据安全性降低。网络钓鱼攻击是指利用欺骗性的电子邮件和伪造的WEB站点来进行诈骗活动, 受骗者往往会泄露自己的用户名, 口令, ID、信用卡号等敏感数据。诈骗者通常会伪装成知名银行、在线零售商和信用卡公司等可信的品牌。网络钓鱼攻击的主要方法有:发送电子邮件, 以虚假信息引诱用户中圈套;建立假冒网上银行, 网上证券网站, 骗取用户帐号、密码实施盗窃;利用虚假的电子商务进行诈骗;利用木马和黑客技术等手段窃取用户信息后实施盗窃活动;利用用户弱口令等漏洞破解、猜测用户帐号和密码;使用欺骗性的超链接。 (2) 计算机病毒及恶意代码的威胁。由于网络用户不及时安装防病毒软件和操作系统补丁, 或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击, 正是利用了用户的这个弱点。越是网络应用水平高, 共享资源访问频繁的环境中, 计算机病毒的蔓延速度就会越快。恶意代码 (malicious code) 是一种程序, 它通过把代码在不被察觉的情况下镶嵌到另一段程序中, 从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。 (3) 黑客攻击。黑客们的攻击行动是无时无刻不在进行的, 而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证, 是黑客可以轻易地骗过服务器, 得到系统的口令文件并将之送回。黑客侵入服务器后, 有可能修改特权, 从普通用户变为高级用户, 一旦成功, 黑客可以直接进入口令文件。 (4) 非授权访问。利用各种假冒或欺骗的手段非法获得合法用户的使用权限, 对网络设备及信息资源进行非正常使用或越权使用, 以达到占用合法用户资源的目的。 (5) 主机系统中存在许多安全漏洞。网络中存在大量不同操作系统的主机如unix、Windows 2000SERVER、windows xp、windows 98。这些操作系统自身也存在许多安全漏洞。 (6) 服务器区域没有进行独立防护。局域网的数据传递速度快, 造就了病毒感染的直接性和快速性, 如果局域网中服务器区域不进行独立保护, 其中一台电脑感染病毒, 并且通过服务器进行信息传递, 就会感染服务器, 这样局域网中任何一台通过服务器信息传递的电脑, 就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击, 但无法抵挡来自局域网内部的攻击。 (7) IP地址冲突。对于局域网来讲, 此类IP地址冲突的问题会经常出现, 用户规模越大, 查找工作就越困难, 所以网络管理员必须加以解决。 (8) 局域网用户安全意识不强。许多用户使用移动存储设备来进行数据的传递, 经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网, 同时将内部数据带出局域网, 这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。长期的安全攻击事件分析证明, 很多攻击事件是由于人员的安全意识薄弱, 无意中触发了黑客设下的机关、打开了带有恶意攻击企图的邮件或网页造成的。 (9) 管理中存在的问题。管理是网络中安全最最重要的部分。责权不明, 管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时 (如内部人员的违规操作等) , 无法进行实时的检测、监控、报告与预警。同时, 当事故发生后, 也无法提供黑客攻击行为的追踪线索及破案依据, 即缺乏对网络的可控性与可审查性。

三、局域网安全控制与病毒防治策略3.1加强人员的网络安全培训

安全是个过程, 它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看, 主要涉及管理、技术和应用三个层面。增强内部人员的安全防范意识, 提高内部管理人员整体素质。同时要加强法制建设, 进一步完善关于网络安全的法律, 以便更有利地打击不法分子。对局域网内部人员, 从下面几方面进行培训:

1、加强安全意识培训, 让每个工作人员明白数据信

息安全的重要性, 理解保证数据信息安全是所有计算机使用者共同的责任。

2、加强安全知识培训, 使每个计算机使用者掌握一

定的安全知识, 至少能够掌握如何备份本地的数据, 保证本地数据信息的安全可靠。

3、加强网络知识培训, 通过培训掌握一定的网络知

识, 能够掌握IP地址的配置、数据的共享等网络基本知识, 树立良好的计算机使用习惯。

4、提高网络使用人员的安全意识, 定期进行相关的

网络安全知识的培训, 全面提高网络使用人员的安全意识, 是提高网络安全性的有效手段。

3.2局域网安全控制策略

安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分, 对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题, 才可以排除网络中最大的安全隐患, 对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。

1、利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用, 是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源, 控制用户入网的时间和在哪台工作站入网。

2、采用防火墙技术。防火墙技术是通常安装在单独的计算机上, 与网络的其余部分隔开, 它使内部网络与Internet之间或与其他外部网络互相隔离, 限制网络互访, 用来保护内部网络资源免遭非法使用者的侵入, 执行安全管制措施, 记录所有可疑事件。它是在两个网络之间实行控制策略的系统, 是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。

3、封存所有空闲的IP地址, 启动IP地址绑定, 采用上网计算机IP地址与MCA地址唯一对应, 网络没有空闲IP地址的策略。 (1) 交换机控制:交换机的每一个端口只允许一台主机通过该端口访问网络, 任何其它地址的主机的访问被拒绝。 (2) 路由器隔离:通过SNMP协议定期扫描局域网各路由器的ARP表, 获得当前IP和MAC的对照关系, 和事先合法的IP和MAC地址比较, 如不一致, 则为非法访问。 (3) 防火墙与代理服务器:防火墙用来隔离内部网络和外部网络, 用户访问外部网络通过代理服务器进行。

4、服务器属性安全控制。它能控制以下几个方面的权限:防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。

5、启用杀毒软件强制安装策略, 监测所有运行在局

域网络上的计算机, 对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。

3.3病毒防治

病毒的侵入必将对系统资源构成威胁, 影响系统的正常运行。特别是通过网络传播的计算机病毒, 能在很短的时间内使整个计算机网络处于瘫痪状态, 从而造成巨大的损失。防病毒体系是建立在每个局域网的防病毒系统上的, 主要从以下几个方面制定有针对性的防病毒策略:

1、增加安全意识和安全知识, 对工作人员定期培训。首先明确病毒的危害, 文件共享的时候尽量控制权限和增加密码, 对来历不明的文件运行前进行查杀等, 都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒, 主观能动性起到很重要的作用。

2、小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀, 也可把病毒拒绝在外。

3、挑选网络版杀毒软件。一般而言, 查杀是否彻底, 界面是否友好、方便, 能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。

四、结语

网络安全是动态的、整体的, 并不是简单的安全产品集成就解决问题。安全不是一劳永逸的, 安全总会随着用户网络现况的变化而变化。随着时间推移, 新的安全风险又将随着产生, 只有大力加强信息安全的宣传和教育, 树立牢固的信息安全意识, 提高网络使用人员的技术水平, 才可能实现网络的畅通和信息的安全。

局域网安全控制与病毒防治是一项长期而艰巨的任务, 需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化, 安全问题日益复杂化, 网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系, 要具备完善的管理系统来设置和维护对安全的防护策略。

摘要：随着Internet、网络信息技术的迅速发展及各种应用的日益普及, 各单位计算机局域网已成为重要的基础设施。如何保障数据的安全性、可靠性是建设局域网网络安全过程中所必须考虑的重要事情之一。本文依据自己的工作实际, 从安全角度出发提出局域网网络的安全解决方案。

关键词：局域网,病毒,恶意代码,安全控制,病毒防治

局域网的安全控制与病毒防治策略篇2

关键词:LAN;威胁;安全控制;病毒防治

随着信息化的不断扩展,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行,保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提。网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。

一、局域网安全威胁分析

由于局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:

(一)欺骗性的软件使数据安全性降低

由于局域网很大的一部分用处是资源共享,而正是由于共享资源的“数据开放性”,导致数据信息容易被篡改和删除,数据安全性较低。例如“网络钓鱼攻击”,最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。

(二)服务器区域没有进行独立防护

局域网内计算机的数据快速便捷的传递,造就了病毒感染的直接性和快速性,如果局域网中服务器区域不进行独立保护,一台电脑感染病毒,并通过服务器进行传递,就会感染服务器,这样局域网中任何一台电脑,就有可能感染病毒。

(三)计算机病毒及恶意代码的威胁

由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。

(四)局域网用户安全意识不强

许多用户使用移动存储设备来进行数据的传递,经常将数据不经过安全检查带入带出局域网,这给木马、蠕虫等病毒的进入提供了方便增加了数据泄密的可能性。

二、局域网安全控制与病毒防治策略

(一)加强人员的网络安全培训

要确保信息安全工作的顺利进行,必须加强对工作人员的安全培训,增强内部人员的安全防范意识,提高内部管理人员整体素质。对局域网内部人员,从下面几方面进行培训:1.加强安全意识培训,让每个工作人员理解保证数据信息安全是所有计算机使用者共同的责任。2.加强安全知识培训,使每个计算机使用者掌握一定的安全知識,保证数据信息的安全可靠。3.加强网络知识培训,通过培训掌握一定的网络知识,树立良好的计算机使用习惯。

(二)局域网安全控制策略

目前网络管理工作量最大的部分是客户端安全部分,只有解决网络内部的安全问题,才可以排除网络中的安全隐患:1.利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用,是网络安全防范和保护的主要策略。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问的目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行的操作。2.采用防火墙技术。采用防火墙技术发现及封阻应用攻击所采用的技术有:(1)深度数据包处理。深度数据包处理在一个数据流当中有多个数据包,在寻找攻击异常行为的同时,保持整个数据流的状态。(2)IP/URL过滤。一旦应用流量是明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,这就需要一种方案不仅能检查URL,还能检查请求的其余部分。(3)TCP/IP终止。应用层攻击涉及多种数据包,并且常常涉及不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。(4)访问网络进程跟踪。这项功能通常借助于TDI层的网络数据拦截,得到操作网络数据报的进程的详细信息加以实现。3.封存所有空闲的IP地址,启动IP地址绑定,采用上网计算机IP地址与MCA地址唯一对应,网络没有空闲IP地址的策略。另外,还可以采取属性安全控制、启用杀毒软件强制安装策略等。

(三)病毒防治

防毒的关键是对病毒行为的判断,主要从以下几个方面制定有针对性的防病毒策略:1.增加安全意识和安全知识,对工作人员定期培训。明确病毒的危害,对来历不明的文件运行前进行查杀等,都可以很好地防止病毒在网络中的传播。2.小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,也可把病毒拒绝在外。3.挑选网络版杀毒软件。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。

参考文献:

[1]钟平.校园网安全防范技术研究[DB].CNKI系列数据库,2007.

局域网安全分析与策略篇3

关键词：局域网,维护,安全

0 引言

局域网技术的普遍应用给公司工作带来了便利, 逐渐成为各个工作单位获取和共享资源的主要渠道。由此同时, 局域网的安全就变得至关重要, 要确保网络信息传输的稳定性, 重视企事业单位内部信息管理的安全性, 加强硬件维护, 维持网络功能的正常有效发挥, 才能提高企事业单位的工作效率, 避免因为局域网的安全问题给企业造成不必要的损失。

1 局域网的定义

局域网络所指的是利用特定传输媒介, 如网线、无线媒体与光纤等, 与网卡等网络适配器相连接, 所组成的网络通讯系统[1]。局域网广泛应用在企事业单位和校园范围中, 成为人们工作、学习和生活中重要的一部分。

2 局域网在应用中的问题

随着局域网络应用的愈加广泛, 局域网安全漏洞也越来越多, 我们不得不关注网络应用的安全性问题, 以免对工作和生活带来影响。

2.1 计算机病毒的传播

局域网络作为资源共享与数据传输的有效手段, 极大地方便了人与人之间的信息传递, 但给人们带来便利的同时, 也可能传播恶性病毒资源, 例如蠕虫病毒、木马病毒等, 有时候人们并没有意识到自己正在传播病毒, 却给整个局域网络的使用者们带来无法弥补的损失, 造成计算机的运行速度变慢、电脑蓝屏或死机、数据丢失等影响。其传播途径也是多样化的, 比如有毒U盘在硬件设备的插拔, 内外网的切换等等, 都可能把病毒带到局域网的环境中。如果是有人恶意传播病毒, 后果更为严重, 可能会利用计算机病毒盗取内部信息, 通过非法手段谋取利益等, 后果不堪设想。

2.2 遭遇黑客攻击

网络的快速发展, 让很多人精通了有关计算机的黑客技术, 秘密黑客网站层出不穷, 发布有关网络攻击方法或软件攻击硬功方法的介绍, 详细指出系统存在的漏洞, 助长了潜在黑客的嚣张气焰, 加大了局域网络受到攻击的概率。由于黑客在攻击局域网过程中有极大的目的性, 企事业单位的局域网一旦受到黑客攻击, 资源就可能会遭到严重破坏, 进而令公司境遇岌岌可危。

2.3 网络管理缺失

网络具有开放性, 导致在网络管理过程中存在一些漏洞。要确保企业、机构、用户等不受到来自网络的攻击, 需要加强网络系统管理, 仍有一些企业或单位, 不重视网络系统的管理, 这就增大了网络遭遇攻击的概率。更有甚者, 有些企业单位内部人员会利用管理的漏洞非法泄露企业本身的商业机密, 来自内部用户的安全威胁远大于外部网用户的安全威胁[4]。另外, 某些外部人员通过恶劣手段, 获取机构的商业机密, 这些行为都严重威胁了网络的安全[5]。同时, 这也暴露了一个问题, 某些单位的局域网络技术与硬件设备配置采用的网络设施过于老化落后, 不能够满足局域网络的安全管理要求, 促使其尽快升级技术和硬件。

3 剖析局域网络维护中网络安全与硬件的维护策略

针对网络应用过程中所出现的种种问题, 需要使用者加强网络与硬件设备的维护, 及时应对局域网的应用风险。无论采取何种策略维护计算机和维护网络安全, 其安全保护的主体实则是人本身, 这就要求我们重视对局域网络的日常维护工作, 做好以下三个方面的工作, 来确保局域网的安全:物理安全、网络结构安全、网络系统安全

3.1 物理安全-加强局域网络的硬件管理

硬件完好是局域网络应用的基础, 企事业单位或机构要及时检查设备, 尽量使用较新的设备和技术, 尤其是工作站主机与服务器主机, 这两个设备一定要定期维护, 保证其能够正常运转。对其他硬件设备也要及时检测和更换, 做好日常的清洁工作, 及时升级相关软件, 以便软件能够与硬件相匹配, 维持计算机设备的正常运行。局域网络连线要选择通讯和安全性能都良好的双绞线。硬盘维护的硬件设施维护中的重中之重, 可以应用硬盘保护卡技术给与其有效保护, 以实现检查维护的工作。这其中还有很多关于硬件设备的管理细节, 在使用局域网过程中切不可忽视。在网络的安全方面, 主要考虑两个大的层次, 一是整个网络结构成熟化, 主要是优化网络结构, 二是整个网络系统的安全。

3.2 网络结构安全-构建完整的安防网络架构

重视局域网络安全, 构建完整有效的安全防护系统是应用网络的基础, 而且这是一个极为复杂的过程, 不仅要维护设备本身, 还要加强软件系统的合理性和兼容性, 这几项要求都要达成, 才能构建一套完整的安防系统。

首先, 建立防火墙, 在不同的网络安全域间, 设置网络防火墙为唯一的信息出口, 能为网络信息提供安全的服务, 同时也是网络信息安全维护的重要手段, 防止外部的恶意访问, 能够有效阻挡来自网络的攻击, 最大化的确保局域网络内部使用安全。

其次, 添加过滤系统, 在其应用的因特网网关上, 配置合理的过滤网关, 有效阻止病毒侵入局域网计算机。随着网络安全相关辅助产品的日趋成熟, 局域网安防系统可以实现理性的搭建。

最后, 为局域网设置检测系统, 在应用防火墙的基础上, 仍然要合理设置局域网的入侵检测系统。入侵检测技术对于违反安全策略的行为进行识别, 从而限制此类违法行为, 以实现网络系统的安全监管和有效维护[4]。

3.3 网络系统安全

3.3.1 访问控制及内外网的隔离

访问控制可以通过制订严格的管理制度和配备相应的安全设备:在内部网与外部网之间, 设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警[6]。

3.3.2 内部网不同网络安全域的隔离及访问控制

在这里, 主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域, 实现内部一个网段与另一个网段的物理隔离。这样, 就能防止影响一个网段的问题穿过整个网络传播。针对某些网络, 在某些情况下, 它的一些局域网的某个网段比另一个网段更受信任, 或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的LAN段内, 就可以限制局部网络安全问题对全局网络造成的影响。

3.3.3 网络安全检测

网络系统的安全性取决于网络系统中最薄弱的环节。网络安全检测工具通常是一个网络安全性评估分析软件, 其功能是用实践性的方法扫描分析网络系统, 检查报告系统存在的弱点和漏洞, 建议补救措施和安全策略, 达到增强网络安全性的目的。

4 结束语

通过对企事业局域网的网络安全分析, 发现局域网应用过程中存在很多漏洞, 让使用者暴露在风险之中。这就要求用户在应用时采取有效的手段和积极的应对策略维护其安全性, 防止计算机病毒在局域网内外恶意传播、严防黑客入侵、构建完整的安防系统, 在应用局域网络的过程中网络中的每个人都要尽最大努力把风险降低到最小, 共同维护一个良好的局域网络环境。

参考文献

[1]白光厚, 刘伟, 李夕平, 陈爱业.浅析个人计算机信息的网络安全[J].硅谷, 2012, 3 (06) :112-113.

[2]罗细平.计算机信息安全问题成因及防御体系研究[J].科技咨询, 2011, 10 (07) :238-240.

[3]卢艳.个人计算机网络安全管理[J].职业杂志, 2010, 10 (05) :123-124.

[4]谭国瑞.个人计算机信息安全与防护措施[J].科技信息, 2011, 10 (19) :237-239.

[5]罗宏俭.计算机网络信息技术在公路建设项目管理中的应用[J].交通科技, 2010, 11 (19) :114-116.

无线局域网安全分析与改进研究篇4

关键词：无线局域网；访问控制协议；TKIP协议

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)12-21567-01

Analysis and Improvement of Wireless Local Area Network

GUO Hao

(Taiyuan University of Technology School of Computer and software, Taiyuan 030024, China)

Abstract:In this paper, it mainly introduces the flaws of Wireless Local Area Network 802.11、802.1x/EXP. It also analyzes the security of Application the TKIP. At last, it tells the development and improvement.

Key words:wireless local area network; access control protocol; temporal key integrity protocol

无线局域网技术是当前网络应用的热点，而安全性和可靠性是这种应用能否成功的关键。因此，对无线局域网安全技术的研究就具有特别重要的意义。本文将主要就当前无线局域网安全技术和标准进行深入讨论，并且提出改进方案。

1 无线局域网技术和标准

1.1 无线局域网技术

无线局域网(WLAN)，就是一个使用无线多址信道在节点间传输数据的分组交换网络，是对普通有线局域网的一种扩充。常见的WLAN按无线信道的不同划分为三种：红外线LAN、无线扩频LAN和RadioLAN(如微波、Bluetooth等)。目前成熟并得到广泛应用的是采用无线扩频技术的WLAN，其技术规范由IEEE 802.11b协议描述。

1.2 无线局域网的安全标准

网络信息安全有三个主要目标或要求：完整性(Integrity)、机密性(Confidentiality)和可用性(Availability)。这三大目标反映在无线局域网中分别是访问控制(Access Control)和数据保密(Access Privacy)。访问控制用以保证只有合法的用户才能登录系统和存取敏感安全数据，数据保密用以对传输的数据加密，确保敏感数据只能被预期的用户接收和解读。

802.11b定义了SSID(Service Set IDentifiers)和WEP(Wired Equivalent Privacy)两个安全机制，分别提供WLAN的访问控制和数据保密。此外，802.11b还定义了两种身份验证的方法：开放和共享密钥。在缺省的开放式方法中，用户即使没有提供正确的WEP密钥也能接入访问点，共享式方法则需要用户提供正确的WEP密钥才能通过身份验证。

2 WEP协议的安全分析

2.1 WEP协议

WEP协议是802.11b标准中最基本的安全机制，Equivalent的意思就是说WEP设计的目标是提供WLAN与有线局域网(Wired LAN)相同的安全等级。WEP主要通过加密在中心HUB和访问点(Access Point)进出的数据包完成对数据的保护。此外，WEP也支持基本的用户认证功能。但是，WEP显然达不到其所宣称的安全目标。2001年8月，CISCO的Scott Fluhrer等人在一份长达23页的报告中指出了WEP密钥调度算法的缺陷和可能的攻击方法。而其后AT&T的Adam Stubblefield等人甚至在程序上实现了其中一种攻击[1，2]。WEP协议的安全问题主要来自于其加密机制的固有缺陷[3]，具体来说就是其密钥推导机制的缺陷。首先，WEP用于合成密钥的初始化向量(IV)仅有有限的24位，在很短的时间就会出现重复；其次，从初始化向量推导封包密钥的算法存在严重问题[4]：定义EK为数据加密密钥，SK为共享密钥，Φ为推导算法，则有：

EK=Φ(IV，SK)

WEP协议规定在一个基本服务集(BSS)中所有成员使用相同的共享密钥SK，那么当IV重复时，将为不同的数据封包生成相同的WEP密钥。这种密钥的相似性就给攻击者提供了机会。

2.2 WPA协议

WPA显著改善了WEP的安全性能，并且可以与原有采用WEP协议的Wi-Fi产品兼容。Wi-Fi联盟2003年4月在一份文件中为WPA定义了一个公式[5]：

WPA = 802.1x+EAP+TKIP+MIC

这个公式大致说明了WPA对原有WEP协议的主要改进：

引入临时密钥完整性协议TKIP(Temporal Key Integrity Protocol)，加强了密钥破解的难度。TKIP与WEP一样基于RC4流加密算法，但是将密钥位数从40位增加到128位，将IV的长度也由24位加长到48位，并采用动态生成以及通过认证服务器来分配的多组密钥取代了WEP的单一静态的密钥。TKIP使用一种密钥层以及一套密钥管理方法，去掉了入侵者通过可预测性來破解的部分。

TKIP首先获取一个临时密钥作为算法起点，然后从临时密钥推导出数据加密密钥，并以此加密所有无线传输中的数据封包。同时，TKIP还会周期性地更新临时密钥，使得相同的密钥永远不会出现两次。所有这些过程对用户来说是透明的。

3 算法的改进

3.1 基本原理

TKIP算法的加密过程包括以下几个步骤：

(1)利用MAC服务数据单元MSDU(MAC service data unit)的明文数据，MSDU 的源地址(SA)，目标地址(DA)和临时Michael密钥(MIC Key)来计算该MSDU的消息完整性校验码(MIC)，并以此来取代RC4算法中的ICV，将计算出的MIC值(8个字节)追加到MSDU上生成传输载荷；

(2)TIOP按照实际需要，将带有MIC的MSDU传输载荷分段形成一个或多个MPDU；考虑到同一个MSDU生成的所有MPDU使用来自同一计数空间的相同的计数器值，TKIP为每个MPDU分配一个单增的TSC (TKIP Sequence Counter)值，以防止重放攻击；

(3)对于每一个MPDU，由临时密钥(Temporal Key)、发方MAC地址(TA)和TSC使用两级密钥杂凑函数来计算WEP种子密钥；

(4)采用WEP种子密钥作为WEP初始向量和RC4算法的共享密钥，MPDU明文数据作为RC4算法的明文数据，将MPDU及其WEP种子密钥送入RC4加密机制进行加密，最后生成MPDU密文数据进行无线传输。WEP协议使用WEP种子密钥作为缺省的WEP密钥，通过与临时密钥TK相关的密钥ID来识别WEP缺省密钥，通过与临时密钥TK相关的密钥ID来识别WEP缺省密钥。

3.2 改进算法增强的安全策略

TKIP算法在WEP协议的基础上增加了4种算法来弥补WEP所存在的安全隐患，增强WLAN系统的安全性：

(1)基于密码学的消息完整性校验码MIC(采用新提出的Michael算法)来防止篡改攻击；

(2)新的，序号规则，防止重放攻击；

(3)包密钥混和函数，破坏和加密密钥之间的相关性，避免弱密钥；

(4)密钥更新机制，及时提供全新的加密密钥和完整性校验密钥，防止由于密钥重用带来的威胁。

4 实验

随机选择100组临时密钥，在每组生成的加密密钥中测试得到前n个字节相同的加密密钥的最大数目max(n)，图1给出了max(n)的均值其中n=2，3，4，5。很明显随着n的增加，前n字节相同的加密密钥数量不断减少，在100次实验中，没有发现前6字节相同的加密密钥。

图2给出了max(5)的概率分布P(max(5))。由图5可见，在100组加密密钥中，最多只有2个加密密钥的前5字节相同，而且，出现这种现象的概率只有15％。所以采用改进的算法后，密钥流重用的概率大大降低，依靠统计分析攻击或字典攻击破译密文在计算上是不可行的，由于攻击者无法找到WEP密钥相同，而又符合攻擊要求的密钥流来实施攻击，所以FMS攻击也不可能实现。

图1 max(n)的均值图2 max(5)的概率分布

5 结论

安全性对于WLAN来说并不是什么新话题，自它诞生之日起，与其灵活便捷的优势共存的就是安全漏洞这个挥之不去的阴影。在决定WLAN产业未来的发展之路上，永远无法回避的就是安全对应用带来的影响。在实际应用中，相当多的客户不愿采用WLAN的原因就是基于安全方面的考虑。安全已经成为阻碍WLAN进入信息化应用领域的最大障碍。因此，对WLAN安全技术和安全标准的研究非常重要。本文指出了WEP协议的固有算法缺陷，详细阐述了为弥补WEP协议缺陷的协议WPA。改进了TKIP算法，实验表明改进的算法增强了网络的安全性。

参考文献：

[1]FLUHRER S., MANTIN I., SHAM IR A. Weaknesses in the Key Scheduling Algorithm of RC4[EB/OL]. 2001-08-03.

[2]STUBBLEF IELD A., IOANND IS J. RUB N AD. Using the Fluhrer, Mantin, and Shamir Attack[EB/OL]. 2001-08-06.

[3]陈凯迪，李浩君. 基于802.1无线局域网的现状与未来[EB/O].2003-12-23.

[4]H IGGINS T. Wireless Security for the rest of us [EB/OL].2002-11-01.

[5] ALL IANCE W-F. Wi-Fi is Everywhere[EB/OL]. 2003-04.

无线局域网安全技术与安全策略篇5

1 无线局域网安全技术相关简介

无线局域网作为信息化技术发展的产物, 满足了人们愈加复杂化和多样化的通信需求, 与有线网络相搭配, 为用户提供了更加便捷的信息服务体验。在这样的环境下, 无线局域网技术逐步迈入了快速发展轨道。

1.1 技术发展背景

信息化时代背景下, 随着电子政务及电子商务的快速发展, 越来越多的人选择网络传输和处理数据信息。在此过程中, 无线局域网安全问题不断暴露出来, 安全技术成为了无线局域网发展的关键因素。与有线网络传输相同的是, 安全性能亦是广大用户对无线局域网效果的最高追求, 而且缘于其本身特性, 它还面临着更大、更多的安全风险。例如, 有线网络的线缆作为一种物理防御屏障, 当攻击者无法连接网络线路时, 则切断了其窃取网络信息的路径。然而, 无线局域网则有所不同, 它是通过无线电波实现信息传播的, 任何人都可能成为攻击者。除此之外, 一般连接无线局域网的设备计算能力、存储能力以及蓄电能力等都较弱, 容易造成数据传输中断或丢失, 因而无线局域网的安全问题具有很强的特殊性和复杂性。在现实生活中, 人们为了追求信息数据传输便利, 对无线局域网的依赖性越来越高, 同时也面临着严重的安全威胁。因此, 无线局域网安全技术发展备受社会各界关注, 同时面临着机遇和挑战。

1.2 接入认证技术

在无线局域网的应用过程中, 合法用户可以通过无线连接的方式共享计算机资源信息。因此, 如何确认合法用户身份, 是保证无线局域网安全的重要基础。以IEEE 802.11标准支撑的无线局域网系统, 可支持对用户开放式以及共享密钥的认证服务。其中, 开放式认证技术只要求用户提供正确的SSID, 但是根据系统默认值设置, 该SSID会在AP信标力广播, 即使面临关闭的情况, 黑客或入侵者依然可以探测到SSID的相关信息, 从而危险无线局网安全。相比于前者, 共享密钥认证技术的应用较为安全, 用户需要正确使用AP发送的challenge包, 并返回给AP, 进而进入无线局域网络, 但这种虽然操作较为复杂, 但依然存在黑客攻击的危险。在此基础上, EAP认证技术在一定程度上弥补了上述认证技术的不足, 并由此衍生出的SIM、AKA等认证协议满足了3G、4G互通的需求, 在无线局域网领域的应用更为广泛。

1.3 密钥管理技术

认证技术确认安全后就会产生密钥并对密钥进行管理, 无线数据传输保密工作因为密钥管理的参与将会更加安全。密钥管理最初是建立在静态WEP密钥基础之上的, 静态WEP密钥是所有的设备拥有一样的WEP密钥, 这不仅需要管理员耗时耗力地将WEP密钥输入到每一个设备中, 而且如果带有WEP密钥的设备丢失或者被盗时, 黑客可能会通过这个设备侵入无线局域网, 这时管理员是很难发现的。即使管理员发现了并想要阻止, 就需要具有一样的WEP密钥设备并对WEP密钥进行更新。在面对庞大数量的用户时, 这项工作将是对管理员工作的严重考验。而且如果黑客解密出一个新的静态WEP密钥, 管理员也毫不知情。在现行更安全的方案中采取的是动态密钥, 动态密钥是在EAP认证时, RADIUS服务器将与客户生成会话密钥并将密钥发送给AP, 客户和AP同时激活密钥开始会话直到超时, 超时后将会重新发送认证生成新的会话密钥。

2 无线局域网面临的安全威胁因素

由于传输介质的开放性, 无线局域网本身就具有更大的脆弱性, 同时还侵受着外部的恶意威胁。从某种意义上而言, 无线局域网面临的安全威胁取决于其承载的信息资产价值, 大致可以分为以下几种因素, 具体表述如下:

2.1 非法介入

对于广大用户而言, 内部无线局域网上流转的数据包含着十分宝贵的信息资产, 关系到自己的切身利益, 一旦泄露或被窃势必会造成物质或精神上的损伤。对于电信通讯来说, 无线局域网非法介入可能会导致客户信息泄露, 有损自身品牌信誉, 同时还给客户带来了不可挽回的经济损失。近年来, 关于电信诈骗的案件报道比比皆是, 为社会大众所恐慌。以现有的技术条件和水平, 无线局域网的电磁辐射还很难精准地控制在某一范围之内, 攻击者只需架设一座天线即可截获部分数据信息, 而且用户很难发现。在现实生活中, 某些恶作剧者常常热衷于寻找“免费”无线网络资源, 并通过带有无线网卡的笔记本将这些信息在网上公开。在带宽有限的无线局域网上, 所有AP用户共享, 攻击者可产生大量数据包, 从而耗尽网络资源, 导致网络中断或瘫痪, 影响了合法用户的正常网络体验。此外, 与有线网络相比, 无线局域网还容易受到IP重定向及TCP响应等攻击。

2.2 伪造网络

在无线局域网中伪造的AP和网络带来的威胁非常严重, 攻击者可能会通过在计算机上安装Sniffer、ethereal等软件捕获显示网络上的数据包对合法用户的数据进行窃听。其主要是窃听合法用户的业务数据。无线局域网其传输介质是共享的这一原因造成无线局域网上面收发的数据很容易被窃听。另外, 攻击者往往利用这些假冒的网络诱使合法的用户进入访问, 进而骗取合法用户的账号口令对其平时工作用到的业务数据进行篡改造成合法用户的困扰或者将一些合法网络的数据加以篡改以达到欺骗合法用户的目的。甚至利用伪造或者篡改的数据造成系统或者设备无法正常运转或者瘫痪。伪造的AP和网络还可能让攻击者伪造一些网络设备如 (DNS或DHCP服务器) 引导用户进入到其不想进入的网络, 比如一些收费网站或者色情网站等从而对合法用户造成一定的损失或者影响。

2.3 拒绝服务

拒绝服务攻击又被成为Dos攻击, 与其他形式的攻击差异体现为, 它的目的在于破坏计算机或无线局域网络正常服务。目前, 802.11b已经成为了无线局域网市场的主流标准, 在各类用户中的应用十分广泛, 适用于家庭、车站、办公等多个场所。但是, 这种无线局域网络安全技术也存在一定的弊端, 即它与微波炉、无线电话和蓝牙芯片等都使用2.4GHz的ISM开放频段, 而且没有限制授权, 因而很容易受其他生活设备的干扰, 其中存在很大的潜在威胁。在合适的设备和工具支持下, 攻击者完全可以对无线局域网发起flooding攻击, 实现非法业务在无线网络有效频段上的覆盖, 进而阻止用户正常接收合法业务数据, 最终导致整个网络系统瘫痪。在实际的运行系统中, 拒绝服务攻击是最难做好预控和处理的, 既要求全面考虑设计构成要素, 又要有针对性地采取科学的本地策略。

3 提高无线局域网安全性能的策略

时至今日, 无线局域网安全关乎国计民生, 是和谐社会主义构建的重要历程。作者结合上文的分析, 有针对性地提出了以下几种提高无线局域网安全性能的策略, 以供参考和借鉴。

3.1 资源保护

在无线局域网应用中, 两个及以上的设备可以实现多种方式的数据通信, 可以通过对链路层加密的方法提高无线局域网安全性能。虽然无线信号还存在被窃听的危险, 但是如果把无线信号承载的数据信息转化成密文, 并且保证其强度够高的情况下, 这种安全威胁发生的几率则会大大降低。除却这些, 无线局域网还时刻面临着传输信号被伪造或篡改的安全隐患。对此, 用户可以在无线局域网承载的数据中, 融入部分只有内部人员才得以掌握的冗余数据, 从而精准地检测这些数据是否被更改, 在这种情况下基本可以确定无线信号的安全性。同时, 值得肯定的是独有秘密势必会降低伪造数据被认为合法的可能性, 为无线局域网提供了类似于有线网络物理安全的保护屏障。

3.2 密钥管理

密码是接入无线局域网的重要屏障, 通常可由数字、字母及特殊符号共同组成。在无线局域网的应用中, 密码设置强度一般分为三个等级, 并且保证在八个字符以上。根据无线局域网密码破解测试结果显示, 用户应适当提高密码破解难度, 如增加字符长度或增加特殊字符等, 并按照需求定时进行更换。关于无线局域网密钥管理, 现行的还有一种WEP标准方法, 通过动态变化来避免密钥重用。但是, WEP本身对无线局域网的加密保护作用是非常脆弱的, 很容易被黑客攻击和破解, 基于此Wi-Fi联盟开发了WPA新加密标准。根据用户需求的不同, WAP又分为个人版、企业版, 它采用TKIP协议, 使用预共享密钥, 解决了小型无线局域网环境安全威胁。与之相对应的, WAP/WAP2-Enterprise则更加适用于大型无线局域网环境。

3.3 地址绑定

用来定义网络设备位置的MAC地址, 存在于每一台主机当中, 它是一种采用十六进制数标示, 由六个48位字节构成的物理地址, 例如00-28-4E-DA-FC-6A。在OSI模型中, 数据链路层负责MAC地址, 第三层网络层则负责IP地址。为了进一步提高无线局域网的安全性能, 可以在接入设备中进行MAC地址过滤设置, 只准许特定合法MAC地址接入无线局域网, 从而防护攻击者的非法侵入。现阶段, 地址绑定已然成为了无线局域网常用的安全策略之一。此外, 在每一个无线局域网创建中, 都存在专属的服务集标识符即SSID, 它是帮助区分不同无线局域网的重要手段。为了防止黑客攻击, 应将SSID修改成难以被外人辨识的字符串, 同时对其进行隐藏处理, 降低被黑客检测到的几率, 保护无线局域网安全。

3.4 安装软件

随着无线局域网安全技术的进步与发展, 市场上流通的很多软件都可以实现对无线局域网一定程度的安全防护。因此, 用户可以在主机系统上加装合适的查杀软件或病毒卡, 实时检测系统异常, 并对木马数据及非法AP等进行清理, 以免给自身造成更大的经济损害。对于拒绝服务攻击, 用户可以在无线局域网运行的系统上增加一个网关, 使用数据包过滤或其他路由设置有效拦截恶意数据, 隐藏无线局域网接入设备IP地址, 降低安全风险。事实表明, 无线局域网安全威胁不仅仅存于外界, 还可能受到内部攻击, 针对此类状况, 应加强审计分析, 通过有效安全检测手段确定内部攻击来源, 并辅以其他管理机制, 防治无线局域网安全。此外, 对于硬件丢失威胁, 应基于用户身份完成认证, 并通过某种生物或秘密特征将硬件设备与用户紧密联系在一起。

4 结语

总而言之, 无线局域网安全技术发展势在必行。由于个人能力有限, 加之无线局域网环境复杂多变, 本文作出的相关研究可能存在不足之处。因此, 作者希望业界更多学者和专家持续关注无线局域网技术发展, 全面解析无线局域网应用中存在的安全隐患, 并充分利用无线局域网安全技术, 有针对性地提出更多提高无线局域网安全性能的策略, 从而净化无线局域网应用环境, 为广大用户提供更加方便快捷、安全高效的网络服务体验。

参考文献

[1]原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护, 2014 (02) :68-69.

[2]郭建峰.无线局域网安全技术研究[J].科技风, 2014 (15) :190.

[3]颜军, 田祎.探析无线局域网的安全技术及应用[J].福建电脑, 2013 (01) :36-37.

[4]刘艳丽.无线局域网安全技术及标准发展探究[J].电脑迷, 2016 (04) :35.

局域网安全分析与策略篇6

1 网络安全的定义

网络安全的通用定义是指网络系统的硬件、软件及其系统中的数据受到保护, 不会因偶然或者恶意的原因遭到破坏、更改、泄露, 系统连续可靠正常地运行, 网络服务不中断。从本质上讲就是网络上的信息安全, 凡涉及到信息的保密性、完整性、可用性、真实性、可控性的相关方面, 都是网络安全的具体防范范畴[1]。

2 局域网安全面临的主要威胁

2.1 计算机网络病毒

病毒自从诞生以来, 一直是计算机面临的最大威胁之一, 随着网络的发展, 其传播速度和破坏的威力也越来越大。计算机网络病毒轻则容易造成系统资源被极大消耗, 系统运行变慢、变缓;重则容易造成个人信息、单位数据遭到破坏或丢失;有的甚至能破坏计算机的硬件或造成工业危害, 如CIH病毒和“震网”病毒。现在, 往往一个病毒具有以往多个病毒的特点, 把以前病毒的传播方式都融合到了一起, 采取复合传播、联合攻击, 对网络安全的危害更加严重, 防范也更加困难和复杂, 计算机网络病毒已成为网络安全威胁的一个重要方面。

2.2 操作系统自身缺陷漏洞

计算机操作系统是计算机运行最基本的软件系统, 运行在计算机硬件系统之上, 为用户提供操作硬件的接口, 同时为数据库、应用软件等提供基础服务。目前广泛使用的网络服务器、终端操作系统主要是微软产品, 由于这些软件功能强大、规模庞大, 本身就需要一个逐步完善的过程, 存在自身的设计缺陷和各种各样的安全漏洞。这些缺陷和漏洞以及对系统配置的不当操作都容易被网络攻击者利用, 造成较大的损失。

2.3 网络外部的威胁

随着信息化时代的到来, 单位局域网基本都与外部网络通过专线相连, 形成一个开放的网络环境, 局域网内任意一台计算机, 只要连接到网络, 就有被黑客攻击的风险。随着社会竞争的加剧, 网络上出现了利用黑客技术手段频繁攻击内部网络的情况, 相比于计算机病毒, 他们的攻击具有明显的目的性, 主要包括窃取信息、获取密码、控制主机、获取超级用户权限, 很容易造成局域网内数据和个人信息的丢失, 使单位在经济、声誉上受到影响。目前, 黑客攻击网络安全问题越来越突出, 而且危害更为严重, 已经成为危害人们日常工作和社会发展的一个重要方面。

2.4 网络管理问题

随着社会信息化的发展, 各单位对网络的依赖越来越强, 网络设备逐步增多, 网络办公逐步普及, 对外提供宣传访问越来越多, 但是网络建设普遍存在对网络安全威胁的认识不足, 重视硬件投入, 忽视软件投资;重运行, 轻管理的现象。主要表现为单位管理者没有在网络安全方面进行基本投入, 网络系统管理员主要精力用于维护网络的日常运行, 对局域网的安全缺少评估和检测, 更谈不上针对性预防, 往往是出现了安全问题才采取亡羊补牢的方法。

3 局域网安全威胁的防范措施

3.1 构建病毒防范体系

局域网的病毒防治应该从网络整体考虑, 在基于网络管理的基础上进行, 透过网络管理终端。利用网络唤醒功能, 在工作的空闲时段对全网计算机进行杀毒;采用网络病毒报警功能, 提示网络管理员及时进行处理;建立局域网的病毒升级系统, 定期更新病毒库。养成异地备份、定期备份、重要工作后备份的良好习惯, 做好重要数据的备份工作。

3.2 操作系统漏洞防范

尽量选购正版软件系统, 并及时安装各种补丁程序, 弥补软件设计方面的缺陷和漏洞。对操作系统进行合理配置和操作, 一是根据计算机担负的功能和任务需要, 关闭不必要的端口和共享;二是加强对计算机管理权限的设置, 在安装完系统后, 要对账户及权限进行重新设置, 删除不必要的账号, 对需要的账户在保证完成任务的前提下进行最小化权限设置, 并对帐户名和密码进行修改, 避免帐户密码为空或密码设置过于简单, 被轻易破解, 尽量不给攻击者留下可乘之机。

3.3 黑客攻击的防范

随着网络技术的不断进步, 黑客攻击的技术也不断升级和变化, 尤其是网络病毒与黑客技术的结合, 对网络安全的威胁也越来越大, 应该采用网络系统与个人用户相结合的防范方式。在局域网出口加装防火墙, 根据使用需求进行设置, 对内外网络的访问进行控制;定期进行网络攻击检测, 对网络异常行为进行分析, 尽量做到未雨绸缪;采用身份认证技术, 阻止非授权用户对网络进行访问;采用数据加密技术, 对重要数据加密后再进行传输, 避免黑客从传输渠道窃取信息。

3.4 建立健全网络管理制度

常言道“三分技术、七分管理”, 严格的管理是局域网安全的重要基础, 为了确保整个网络的安全有效运行, 首先要落实单位的网络管理人员, 保证有人具体负责这项工作;其次有必要对单位局域网进行全面的安全性分析和研究, 制定出一套满足自身安全需要的、切实可行的安全管理制度, 如机房管理制度、病毒防范制度、信息发布制度等;还有就是对单位的人员进行网络使用安全教育, 增强安全风险意识和自我防护能力, 保证局域网的安全。

局域网安全问题直接影响单位的各项工作, 进行网络安全防范是十分必要的, 要针对单位具体实际, 综合运用部署防病毒系统、防火墙、入侵检测、漏洞扫描等安全系统, 形成一个安全防护体系。做到管理与技术并重, 牢固树立没有绝对安全的意识, 形成动态安全防护机制, 保证局域网的正常运行, 为单位和个人提供安全可靠的网络环境, 保护数据信息的安全。

参考文献

无线局域网安全分析与防范篇7

当今,在互联网飞速发展的趋势下,人们对于无线局域网的需求非常迫切,且人们对无线局域网的移动性及方便性要求也更加严格。只有在建设无线局域网时,加强安全管理,灵活运用各种高新技术,才能最大限度地避免无线局域网安全问题的出现。所以,广大网络用户及商家要高度重视无线局域网的安全性。

1 无线局域网安全分析

1.1 无线局域网拒绝服务攻击

无线局域网拒绝服务攻击作为系统漏洞普遍存在于世界各国网络中。我们最常见的拒绝服务攻击就是由于发送的合理服务请求占用的服务资源太多,使得无线局域网的服务超载,无法接受其他用户请求。一般来说,拒绝服务攻击产生的结果是资源过载和资源耗尽两种,但任何一种结果对网络系统的影响都特别大。此外,拒绝服务攻击的的形成原因还有可能是程序出现错误配置或者软件存在缺点。服务超载的非恶意性和拒绝服务攻击的恶意性之间的区别并没有一个明确的界定,可查看请求者在请求资源时,是否导致其他用户都不能共享这种服务资源,通过这种过分行为就能辨别出二者之间的区别。现在,网络安全问题中最常见的问题就是无线局域网安全问题,无线局域网具有的开放性特点,虽然给人们带来很多便利,却让网络管理者在管理中遇到很多难题。目前,无线局域网已被广泛应用于人们的生活、生产中,使得人们在依赖它的同时,也有了更高的安全要求,安全的无线局域网既方便了人们的生活,又保护了人们的资金、个人隐私及网络资源等的安全。

1.2 无线局域网极易被窃听

无线局域网在传播信号时,其物理信号是在空中完成的全方位传播,而不是有方向的直线传播,且无线局域网发送的无线信号的范围比较广,通常比实际的信号需求范围都要大。但黑客常通过无线监听技术,在覆盖的无线网络信号范围内获取其数据包,再利用相关软件分析得到的数据包,以得到相关信息。目前,无线局域网存在的最大的问题就是窃听问题,窃听是黑客利用Net Stumbler软件确认客户端所在的AP范围,再收集相关的AP参数等数据的过程。如果黑客将Net Stumbler软件安装在移动设备上,移动设备就会自动显示附近的无线AP信息,且相关的MAC、SSID地址等相关信息也会显示在移动设别上,泄露的这些信息都会影响无线局域网的安全。

1.3 无线局域网很容易被入侵

为了方便人们上网,无线局域网一般都是在易获取、方便的基础上完成设计的,这就使得入侵者不管在哪里,只要有信号就能攻击和入侵相关网络。由于入侵者很容易将分析或接听设备连入其窃听的网络中,以致检测系统基本上找不到入侵者。容易入侵是影响无线局域网安全的最大问题。

1.4 无线局域网存在 MAC 地址欺骗

由于无线局域网的数据帧得不到认证,以致黑客极易从无线局域网中获取MAC地址。例如,通过Net Stumbler软件就能检测到附近的很多网卡及无线网络的MAC地址,再将本机的MAC地址修改为检测到的MAC地址,就可合法入侵其他无线网络。为了防止非法用户入侵,我们经常对比节点AP中的MAC地址,识别非法用户,以致入侵者无法访问网络,但黑客可利用相关的网络工具软件在AP中获取MAC地址列表,然后将自己计算机的MAC地址放到列表中,以合法用户的身份共享网络资源。

1.5 无线局域网协议存在漏洞

目前,无线局域网的WEP协议加密法及标准IEEE802.11存在很大的缺陷。WEP协议的加密法是在客户端的接入及放送点预存密匙,在客户端发送相关认证请求到接入点时,就会有明文返回,客户端再将明文通过预存密匙对其进行加密,然后再将认证请求发送给接入点,最后接入点通过解密数据包、比较相关明文,以确定能否接受请求。这种加密算法有很大的漏洞,黑客利用相关的工具软件就能破解密钥,从而进行非法入侵,使得无线局域网存在很大的安全隐患。此外,蹭网软件目前普遍存在且容易下载,以致稍有网络知识的人都能破解无线密码。

2 无线局域网的安全防范

2.1 进入无线局域网需要身份验证

接入无线网的重要环节就是身份验证,也是第一关。为确保无线网络的使用安全,就需验证无线网络用户的授权及身份,并设置可靠、安全的身份认证机制。身份认证机制一般包括开放身份验证、其他身份授权以及共享机制身份验证三种,但开放身份验证和共享机密身份验证都存在一定的缺陷和漏洞,开放身份验证只有较简单的一层保护机制,共享机密身份验证也只是利用明文完成口令传输,两者都不是特别安全,但其他身份授权是在高度加密的情况下,完成个人的全部身份验证,相对来说比较安全。此外,我们还可利用关闭DHCP主机配置协议的方法强化网络的安全可靠,但这种需要自己动手输入网络参数的方法,在一定程度上影响网络的便捷性,比较适合无线局域网中具有固定终端设备的用户。

2.2 对无线局域网进行高级加密

无线局域网运行中,通常在发送数据包前,都要对其进行加密,这种设置数据包加密解密的方法,可确保无线网络内传送的数据包都有暗文,即使黑客截获了数据包,由于没有解密方法,也得不到相关数据。有关无线局域网中数据包的加密方法,一般包括WPA/WPA2和WEP两种,且WPA/WPA2加密方式比WEP更安全,但这两种加密方式都保证了无线局域网的安全。

2.3 更改并禁止无线局域网的 SSID 广播

SSID是无线局域网完成广播工作的重要标识,也是将计算机接入网络的关键因素。SSID可区分多个无线局域网之间的区别,必须有相互匹配的SSID,才能在无线局域网中接入无线的终端设备。工厂在生产路由器等设备时,商家已经给这些网络设备设置了同样且被默认的SSID,但将这种默认的SSID使用到无线网络中,黑客就很容易入侵无线网络,所以,可将SSID改成长字符串,但不能超过32个字符这个最大值,以阻止黑客入侵。此外,还需禁止SSID广播,这样就能避免扫描系统扫描到隐藏起来的接入端SSID,黑客侵入网络的难度就更大了。

(1)将无线局域网中的静态IP和MAC进行绑定

由于网络设备不断简化,建立DHCP服务也变得很简单,大部分家庭无线网的IP地址都是运用DHCP服务实现动态分配的,但这种服务带来便捷的同时,也产生了一些安全隐患,黑客可利用DHCP服务截获IP地址,以此侵入网络。所以,DHCP服务最好不要运用到家庭无线局域网中。家用无线网可将分配的静态IP地址和相关MAC地址绑定到路由器中,使得黑客很难进入无线网络,这就保证了无线局域网的安全可靠。

(2)设置无线局域网的MAC地址过滤

任何一个无线网络设备和网卡都有自己唯一的MAC地址,也叫物理地址。MAC地址过滤是指在无线局域网的相关MAC地址列表中,设置可以接入网络的合法用户,阻止其他用户的非法接入行为。设置的无线局域网MAC地址过滤能提高网络的可靠性及安全性,使得经过路由器及其他设备的MAC地址都会被追踪,再通过无线AP的检查及对比,以确保转发的MAC地址都是合法的,不然,就会将数据包丢除,这就在很大程度上避免了非法的网络接入,确保了无线局域网的安全。

3 结语

综上所述,无线网络安全问题随着其技术的广泛应用和快速发展而越来越多,网络安全问题的相关研究中,最为重要的就是无线局域网安全问题。无线局域网的很多安全问题都是可以有效避免的,但其安全威胁更多的是因为无线网络的使用不当和使用者缺少相关的安全知识造成的,所以,无线局域网的用户要熟练掌握使用技术和安全知识,以建立安全、完善的无线局域网使用环境。

摘要：对于无线局域网的广泛使用而言,安全问题尤为重要,而且安全问题也在一定程度上阻碍了无线局域网的发展,只有熟悉、了解无线局域网的各种安全问题,才能制定相应的防范措施,以便于用户安全上网。本文首先分析了无线局域网的安全问题,然后针对这些安全问题,提出了具体的防范措施。

无线局域网安全分析与防范篇8

关键词：无线局域网,WIFI,安全问题,防范措施

1 无线局域网安全现状

我们知道, 网络也是通信的一种, 它的特殊性也随着时代的发展而不断演绎着。那么现在无线网络通信也一直为大家所关注。2014年6月17日, 央视财经频道以“危险的WIFI”为题, 报道了无线网络存在的各种安全隐患, 再次给网民敲响警钟。无线网络的安全, 不仅威胁着网民的个人隐私安全, 更甚至是直接影响到大家资金财产安全。

无线局域网是采用无线技术进行网络连接及传输的开放式物理系统, 随着计算机科技的日新月异, 传统的有线网络已经慢慢的转向了无线网络。人们所拥有的设备也慢慢的从固定设备到移动设备的转换。所以, 在科技快速发展的今天, 无线网络作为对有线网络的一种补充, 给大家带来了许多便利, 但同样也使我们面临着无处不在的安全威胁。尤其是当前的无线网络安全性设计还不够完善的情况下, 这个问题就显得更加突出了。无线网络具有移动性, 使得移动网络中的各节点没有足够的物理防护, 攻击者可能在任何位置通过移动设备实施攻击, 安全管理难度大。

2 无线局域网的安全分析

无线局域网是一种开放式的网络系统, 主要是利用电磁波 (红外线或无线电) 实现通信而不需要任何硬件连接。这种连接模式为人们的生活提供了极大的快捷方便, 人们可以在任何时间、任何地点接入因特网。但也正是由于这种开放的连接模式, 在方便我们快速接入因特网的同时也给我们带来了一定的安全隐患。日常生活中, 一些稍微熟悉无线网络的用户借助一些软件, 就可以获取无线网络中的一些重要信息。如果不采取任何安全防范措施的话, 无线网络就会成为一个信息泄密的通道。由于局域网具有的这种开放性, 用户接入和数据传输比较难以控制, 给无线局域网的安全带来了一定的威胁。

2.1 容易入侵

无线局域网的设计要求其具有方便、易获取的特点, 以方便人们快速接入网络, 但也正是这种特性, 使得黑客可以在能够接受信号的任何地方入侵和攻击网络。而且入侵检测系统发现也很难找到入侵者。由于入侵者可以方便的将接听或分析设备接入被窃听的网络, 所以, 这种威胁已经成为无线局域网面临的重大问题之一。

市民小李的银行卡在自己身上, 密码也没有泄露, 但一夜之间银行卡上的8万元就全部不见了。经过调查, 小李的这8万元通过第三方交易平台被人盗刷, 目前警方已对此立案调查, 怀疑可能与小李使用了不安全的WIFI网络有关。那么, 小李的钱到底是怎样丢失的呢?一般情况下, 黑客首先破解小李家里的WIFI密码;在接入WIFI之后, 再破解路由器管理的账号和密码, 获取路由器管理权;然后修改路由器DNS, 使得小李在豪不知情的情况下访问钓鱼欺诈网站。而一般网民很难辨认出所谓的官方网站和钓鱼欺诈网站的区别, 小李的8万元就是这样被黑客成功的获取账号密码后盗刷的。

2.2 协议漏洞

广东的陈先生, 在家里上网时, 发现上网速度比以前慢了许多。在路由器中查看时, 发现多了2台非法设备接入, 后来经过查看, 原来是隔壁租户通过WIFI密码破解软件破解了陈先生的网络密码, 利用陈先生的网络玩游戏, 导致陈先生的网络变慢。那么陈先生的网络是怎么被破解的呢?无线局域网的标准IEEE802.11具有一定的缺陷, 无线局域网WEP协议的加密算法存在较大的缺陷。它是由802.11标准定义的一种数据加密算法。密匙为40位, 采用RC4对称加密技术。首先, 客户端需要放送与接入点预存密钥匹配的密钥。客户端向接入点发送认证请求, 接入点返回一个明文。然后, 客户端利用预存的密钥对明文加密, 再次向接入点发出认证请求。最后接入点对数据包进行解密, 再比较明文, 并决定是否接受请求。而这种WEP的加密算法存在较大的缺陷, 入侵者很容易就可以借助工具软件破解共享密钥实现非法接入。而陈先生的无线WIFI在配置的过程中正是使用了WEP加密模式, 而且在密码设置时使用自己的生日这种单纯的数字为密码。这种简单的密码和简单的WEP加密模式很容易被破解, 导致网络安全隐患。而且这种蹭网软件在因特网上轻易就能下载。你周围一个稍微具有电脑知识的人员就能对你的无线WIFI密码进行破解。

2.3 容易被窃听

无线局域网的物理信号不是定向传播, 而是全方位的空中传播, 而且无线信号的发送覆盖范围一般都远远超过了实际需求, 只要是在无线网络信号覆盖的范围内, 黑客就可以利用无线监听技术来捕获无线网络的数据包, 然后通过软件进行分析, 获取有用的信息, 窃听已经成为无线局域网面临的最大问题之一。窃听的过程相当于提前“踩点”的过程, 通过Net Stumbler软件, 黑客就可以确认客户端已在某AP的覆盖范围内, 并通过AP信号的参数进行数据搜集。黑客通过移动设备上安装这种软件后就能自动显示周边检测到各种无线AP, 并且可以显示这些无线AP的SSID、MAC地址等详细信息。而这种信息的泄露就为我们的无线网络带来了安全隐患。

2.4 MAC地址欺骗

无线局域网IEEE 802.11标准对数据帧不进行认证操作, 黑客很容易就能获取网络中站点的MAC地址。比如, 通过前面提到过的Net Stumbler软件就能获取周边检测到得各种无线网络以及各种网卡的MAC地址, 再通过修改本机MAC地址, 这样就可以伪装成合法用户入侵网络。此外, 无线网络节点AP中存在一个MAC地址列表, 通过比对MAC地址来识别正常合法的用户, MAC地址列表以外的用户都不能访问网络, 黑客可以通过网络工具软件获取结点AP中的MAC地址列表, 并把自己的网卡MAC地址添加到地址列表中, 从而成为合法用户盗用网络资源。

2.5 拒绝服务攻击

拒绝服务攻击 (Deny of Service) 简称DOS攻击。它是一种遍布全球的系统漏洞。最基本的DOS攻击就是发送合理的服务请求, 使得其占用过多的服务资源, 导致服务超载, 无法响应其他的请求。DOS攻击会导致两种结果:资源耗尽和资源过载。无论哪一种结果都会对网络系统造成很大的影响。拒绝服务攻击还有可能是因为软件自身的缺点或者对程序的错误配置造成的。区分恶意的拒绝服务攻击和非恶意的服务超载没有明确的界限, 主要是看请求发起者对资源的请求是否过份, 从而使得其他的用户无法享用该服务资源。目前, 无线局域网的安全问题是最主要的网络安全问题, 它的开放性在给我们带来方便快捷服务的同时, 也给网络管理者带来了很大的难题。我们在对无线局域网越来越依赖的同时, 也对其安全提出了更高的要求。我们需要安全可靠的无线网络在为我们生活提供方便的同时又能保护我们的网络资源, 个人隐私, 以及重要的资金安全。

3 无线局域网的安全防范措施

随着无线局域网的快速发展, 无线局域网的开放性导致其非常容易受到恶意攻击。无线局域网没有一个明确的防御界线, 黑客可以在任何时间任何地点通过移动设备对我们的无线局域网发起攻击, 而我们想要找到一个随时可以移动的攻击节点是很不容易的。我们很难采取和有线局域网一样的安全保护措施来保护无线网络的安全。也就是说无线网络的安全保护措施难度远远大于有线网络。因此, 必须切实做好无线局域网安全防范工作。

3.1 身份验证

身份验证是无线网络接入的第一关, 也很最重要的一关。对每个无线网络的接入者的身份进行验证和授权, 设置严密而可靠的身份认证机制是保证无线网络安全的首要问题。身份验证有共享机密身份验证、开放身份验证和其他身份授权机制三种。共享机密身份验证和开放身份验证都不是非常安全, 前者通过明文进行口令传输, 后者更只有一层简单的保护机制。我们可以采用第三种自定义的身份认证, 先将密码用高强度的加密算法进行加密, 再使用802.1x让用户提供个人身份认证.全部验证合格后才能进入网络, 这是比较安全的一种方式。同时, 可以通过关闭DHCP动态主机配置协议来加强网络安全, 关闭DHCP服务后, 终端无法自动获取IP地址等信息, 需要手动配置IP地址等网络参数, 这样可以提高网络安全, 但是这种方法导致合法用户也能自动获取IP地址等信息, 需手动输入, 对网络接入的便捷带来一定的影响, 适用终端设备比较固定的无线局域网环境。

3.2 使用高级加密方法

在无线网络中, 数据包在发送之前都要进行有效的加密, 通过设置加密解密的方式, 保证数据包在无线局域网内传送时都带有暗文。即使数据包被截获, 没有正确的解密方式, 黑客也无法读取数据包里的数据。一般的无线网络设备提供了两种加密方式, 一种是WEP加密方式, 一种是WPA/WPA2加密方式, WEP在数据链路层使用加密, 密匙为40位, 采用RSA开发的RC4对称加密算法。用户的加密密钥必须与AP的密钥一致时才能获准身份认同, 以防止非法用户的监听访问。WPA/WPA2比WEP的加密方式更安全。WPA使用TKIP加密算法, WPA2使用AES加密算法。AES加密技术增强了加密算法, 使得攻击者很难算出通用密钥, 解决了WEP的缺陷, 保证了网络的安全可靠。

3.3 静态IP与MAC绑定

随着设备的简易化, DHCP服务建立越来越简单, 很多家庭无线网络都是通过这种服务来动态分配IP地址的。这种快捷方便相应来带来了一定的隐患, 黑客很容易通过DHCP服务获取一个合法的IP地址来进入网络, 因此, 在家庭小型的无线网络中, 建议不要开启DHCP服务。可以为每台合法设备分配静态IP地址, 然后在路由器中绑定相应的MAC地址, 这样, 入侵者就很难取得合法的IP地址, 即使获取了, 由于与路由器中绑定的MAC地址不一样, 入侵者还是很难进入网络。

3.4 设置MAC地址过滤

每一张网卡都具有唯一的物理地址也叫MAC地址.无线网络设备也同样拥有这样的MAC地址。MAC地址过滤就是通过设置无线局域网MAC地址列表允许合法的用户正常接入, 禁止列表以外的所有设备非法接入无线网络。通过设置MAC地址过滤可以提高无线局域网的安全性, 路由器等设备都会对所有经过自身的数据包源中的MAC地址进行跟踪, 在使用网络的过程中, 无线AP对接受到得每个数据包中的MAC地址进行比对检查, 只有合法授权的MAC地址的数据包才能被转发, 否则该数据包将被丢弃。这样, 就能通过设置MAC地址过滤防止非法设备接入网络, 提高网络的安全性。

3.5 更改并禁止SSID广播

无线网络在广播的时候都有一个标识, 也就是SSID (Service Set Identifi er, 服务集标识符) , 计算机就是通过SSID来接入无线网络的。SSID也是用来区分不同的无线局域网, 一个SSID最多只能有32个字符。无线终端在接入无线局域网时必须提供有效的SSID, 只有有效匹配的SSID才能接入。路由器等网络设备在生产时, 制造商为它们设置了默认的相同的SSID。如果无线网络在使用默认的标示符时, 就很容易被黑客入侵。因此, 可以将SSID改为不容易被黑客猜到的长字符串。另外, 还应该禁止SSID向外广播, 这样, SSID就隐藏起来了, 接入端就无法通过系统自带的功能扫描到这个SSID, 就更难入侵到该网络中。

最后, 所有的网络安全防范都是在人使用的前提下发挥作用的, 因此, 最后一道安全防线就是使用者, 只要每个使用者有了网络安全意识, 才能最大保证无线网络的安全。

4 总结

随着无线网络技术的快速发展和广泛应用, 产生出一系列新的网络安全问题, 无线网络安全问题研究是网络安全问题研究的重要课题之一, 在构建无线网络系统时, 只要落实好安全管理措施、结合多种技术、灵活运用, 就能够有效提高应对无线网络安全问题的防范能力。很多无线网络的安全问题从本质上是可以避免的, 更多的安全威胁源于使用者缺乏安全意识和使用过程中的不当应用, 因此只有更好地掌握、应用安全技术, 才会建立起更加完善、安全的网络环境。

参考文献

[1]李小瑜.企业无线局域网的威胁与安全防护[J].福建电脑, 2011 (11) .

[2]刘巍.浅析无线局域网及安全策略[J].科技风, 2013 (17) .

[3]侯燕.基于无线局域网的安全检测系统研究[J].信息安全与技术, 2013 (11) .

浅谈局域网安全策略篇9

关键词:局域网;病毒;ARP攻击;防范策略

中图分类号:TP393.1 文献标识码:A文章编号:1007-9599 (2010) 04-0000-02

LAN Security Strategy

Tang Min,Liao Shidong

(Chongqing Industry Technology College,Chongqing400042,China)

Abstract:With the wide use of local area network,network virus increasingly prominent,the phenomenon of ARP attack on network security pose a great threat.How to effectively prevent and eliminate the virus is the biggest problem facing to guarantee the normal operation of the computer network system.

Keywords:LAN;Viruses;ARP attack;Prevention strategies

近年来,随着信息技术的不断发展,由于局域网具有网络资源共享等诸多优点,在人们日常的工作和生活中扮演着越来越重要的角色,学校和办公场所组建局域网的情况越来越多。但是,应该看到,网络在为人们提供便利的同时,针对局域网的病毒种类日益增多,其安全性面临很大考验,严重影响了人们正常的工作和生活,甚至可能造成无法挽回的后果,因此,如何预防计算机病毒,保护网络系统的安全性,是我们所面临的一个非常重要课题。本文结合作者多年从事计算机网络管理的经验,对经常危害局域网安全情况作一些分析,并提出了相应的防范策略。

一、局域网病毒特点

在局域网络环境下,网络病毒除了具有可传播性、可执行性、破坏性、隐蔽性等计算机病毒的共性外,还具有一些新的特点:

(一)病毒传染速度快。在单机系统环境下,病毒主要通过移动存储设备从一台计算机传到另一台计算机。而在局域网络环境中,由于通过服务器把每一台计算机连接,这不仅给病毒传播提供了有效的通道,而且病毒传播速度很快。在正常使用情况下,只要网络中有一台计算机存在病毒,通过网络通讯设备迅速扩散,可以在很短的时间内,导致局域网内计算机相互感染繁殖。

(二)对网络破坏程度大。如果局域网感染病毒,将直接影响到整个网络系统的工作,轻则降低速度,影响工作效率,重则破坏服务器重要数据信息,大量破坏计算机中的数据,导致整个网络系统崩溃,毁坏人们长期以来积累的工作成果,造成难以挽回的损失。对网络中的计算机破坏程度相当大。

(三)网络病毒不易清除。清除局域网中的计算机病毒,要比清除单机病毒复杂得多。如果单台微机带病毒,可以通过删除带病毒文件、低级格式化硬盘等措施,将病毒彻底清除。而在网络环境中,只要有一台计算机未能完全消除消毒,就可能使整个网络重新被病毒感染,即使刚刚完成清除工作的计算机,也很有可能立即被局域网中的另一台带病毒计算机所感染;

二、ARP攻击对网络的影响

ARP攻击主要存在于局域网网络中,对网络安全危害极大。本人对ARP攻击有深刻的印象,曾经有一段时间,我们学校计算机实验室的微机经常出现IP地址冲突,网络经常掉线,不能正常上网,开始我们认为是网络中心出现了问题,可是后来发现是系统中了ARP病毒,当安装了360安全卫士等防护软件以后,一切都正常了。

(一)ARP攻击特点

ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。具体来说,ARP就是将网络层地址解析为数据连接层的MAC地址。如果你的计算机受到ARP攻击,常常会出现这样一些现象:屏幕上不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框,局域网速度明显变慢,有时会突然掉线,但过一段时间后,网络可能又恢复正常。

(二)ARP攻击原理

ARP攻击就是通过伪造的IP地址和MAC地址,实现ARP欺骗,它能够在网络中产生大量的ARP通信数据,使网络系统传输发生阻塞。如果攻击者持续不断的发出伪造的ARP响应包,就能更改目标主机ARP缓存中的IP-MAC条目,造成网络遭受攻击或中断。基于ARP协议的工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误,导致不能进行正常的网络通信。

常见ARP攻击对象有两种,一是攻击网络网关,或伪造网关,然后广播出去,让大家都误认为它是网关,使得局域网中的用户都不能上网,ping网关时断时续,ping外网时更是糟糕,这就好像发送错误的地址信息给邮递员,使所有信件无法正常送达;二是攻击局域网中的计算机,也就是一般用户。通过伪造IP地址和MAC地址,让一般用户把需要的信息传送给发动攻击的计算机。

三、局域网病毒的防范

我认为预防和清除计算机病毒,主要从以下几方面入手:

(一)要防止网络系统出现病毒,首先要切断病毒传播的途径。在局域网中,病毒主要通过移动存储器、电子邮件、浏览网页、下载软件等形式传播。因此,我们在计算机上从事每一项操作时,都要考虑到是否会危及到系统的安全,保证传输数据的存储设备没有感染病毒。

(二)安装最新的防病毒软件

由于操作系统本身未提供检测或清除计算机病毒的软件,所以,局域网应安装正版杀毒软件,并且及时对版本进行升级。同时,为了防止ARP攻击,还应安装360安全卫士等防护软件,并且开启360安全卫士“实时保护”中的“局域网ARP攻击拦截”,通过在系统内核拦截ARP攻击数据包,确保网关正确的,MC地址不被篡改。保障数据流向正确,通讯数据不受第三者控制,从而保证网络畅通。如果怀疑或确认计算机已经感染了病毒,应立即使用最新的防病毒软件及时杀毒。

(三)绑定MAC地址和IP地址

为了防止局域网中的计算机机乱发伪造的ARP数据包,将IP地止和计算机绑定在一起,是解决ARP攻击的最好办法。具体办法如下:

进入“MS-DOS”方式,在命令提示符下输入命令:

ARP-s<空格>IP地址<空格>MAC地址

例如,假设有一台计算机,其IP地址为:172.18.15.10,MAC地址为00-14-5E-F8-E2-E1,将其MAC和IP绑定的命令如下:

ARP-s 172.18.15.1000-14-5E-F8-E2-E1

使用ARP –a命令查看ARP缓存列表,可以看出IP地址的类型为static.,表明它是静态项。通过以上操作,我们将IP地址172.18.15.10和网卡地址为00-14-5E-F8-E2-E1的计算机绑定在一起,从而防止局域网ARP欺骗,有效保护局域网的安全。

(四)使用防火墙

防火墙(firewall)是一种协助确保信息安全的设备,依照特定的规则,允许或限制传输的数据通过,帮助计算机系统抵御用户、计算机病毒和蠕虫的恶意侵入攻击。防火墙可以是一台专属的硬件,也可以是一套软件,现在针对防火墙的软件相当多,一般的杀毒软件都具有防火墙的功能。

(五)及时安装系统补丁

任何一个操作系统发布以后,如果发现程序中有些漏洞,会及时发布一些应用程序来修复这些漏洞,我们把这些应用程序也称为“补丁程序”。当系统安装补丁程序后,黑客就不会利用这些漏洞来攻击用户。

(六)做好系统备份

为了保证局域网的安全,随时做好网络资料的备份是十分重要的。所谓网络备份,是指在网络系统发生黑客攻击、病毒感染、操作失误、软件系统错误等意外情况下,应急恢复系统的一种处理方案。目前备份系统的方法有很多种,最简单实用的如GHOST软件等。

(七)一旦发现病毒,立即停止使用受病毒感染的计算机,并断开受感染机器的网络连接,关闭文件服务器,用最新版本的杀毒软件扫描服务器上所有的文件,清除病毒;如不能清除,则删除受到感染的文件; 并用干净的备份文件恢复系统,当确信网络中病毒已彻底清除后,重新启动网络及各项工作。

参考文献:

[1]杨丽锦.浅析局域网病毒的特点及防范策略,科技信息,2008

办公局域网网络安全分析与对策篇10

网络安全是传统的国界、领海、领空的三大国防和基于太空的第四国防之外的第五国防,称为Cyber-space。据美国FBI统计[1],美国每年网络安全问题所造成的经济损失高达75 亿美元,而全球平均每20 秒钟就发生一起Internet计算机侵入事件。网络安全不但涉及个人隐私、团体利益,更涉及社会稳定、经济安全、国家安全,是威胁人类和平发展的重大问题。

局域网,简称LAN,是指在某一区域内(如1km左右)由多台计算机通过高速通信线路相连成的计算机组,是计算机网络结构的基本单元。由于通过交换机和服务器连接网内每一台电脑,因此局域网有着信息传输速度快、稳定、方便、灵活等特性,也导致越来越多的单位建立起自己的局域网络,并将单位内部信息在局域网上共享,以方便单位的管理、实现信息资源共享、提升信息化水平,提高人员的工作效率等。由于局域网采用的技术比较简单,安全措施较少,给病毒传播提供了有效通道[2],如果局域网内部电脑遭遇病毒感染,轻者文件受损、工作效率下降;重者,数据库服务器的数据被破坏、丢失,所有服务将处于瘫痪状态,所以对于传输敏感数据的计算机局域网而言,网络安全尤为重要。

1 局域网面临的主要威胁

局域网以技术简单、组网容易、传输速率高等特点倍受人们青睐,这些特性也给局域网的安全带来了严重的外部威胁和内部威胁。

1.1局域网面临的外部威胁

(1)自然威胁

自然威胁主要是指火灾、水灾、风暴、雷电、地震等破坏,以及温度、湿度、震动、冲击、污染等环境因素的影响,包括计算机机房没有抗震、防水、避雷、防电磁泄露或干扰等措施,接地系统疏于配套,局域网的拓扑结构、线路的铺设、接口的冗余、抗干扰等方面[3]在网络规划设计阶段未充分考虑,导致的、计算机信息系统不能可靠地正常运行,设备损坏、数据丢失等现象。

(2)网络体系结构缺陷

局域网虽然在网络出口处有防火墙、防毒墙等网络边界设备阻断了外来攻击,但由于局域网通过交换机和服务器连接网内每一台电脑,如果服务器区域没有进行独立防护,当一台PC感染病毒,其与服务器进行信息传递就会感染服务器,这样局域网中任何一台通过服务器进行信息交换的PC就会感染病毒,从而加快病毒在局域网内的传播速度[4]。

(3)病毒威胁

计算机病毒是威胁局域网内部频率最高、影响最广、导致信息损失最严重的威胁,居所有安全威胁之首。在局域网内,如果一台计算机感染了病毒,在很短的时间内就可感染局域网内所有的计算机。计算机感染病毒后,轻则系统运行速度变慢,频繁关机,重则文件被删除,硬盘分区表被破坏,甚至硬盘被非法格式化,还可能引发硬件的损坏[5];还有些病毒一旦感染主机,就会将系统中的防病毒程序关掉,让防病毒防线整个崩溃。

(4)漏洞威胁

漏洞是造成安全问题的重要隐患。绝大多数非法入侵、木马、病毒等都是通过漏洞来突破网络安全防线的。现如今的操作系统和应用程序都存在缺陷和漏洞[6],一是软件系统的漏洞,如操作系统漏洞、IE漏洞、Office漏洞等;二是硬件方面的漏洞,如防火墙、路由器等网络产品的漏洞等。

(5)黑客威胁

电脑黑客利用系统中的安全漏洞,以编写计算机病毒、制造网络攻击、侵入局域网系统或网站后台为手段,非法访问内部网络,删除、复制或销毁数据,其技术水平与网络科技更新同步,甚至超前。对于使用传统安全措施的局域网,其安全环境极其脆弱,一直以来是黑客窃取秘密的场所。

(6)木马威胁

木马是一种带有恶意性质的远程控制软件,一般分为客户端和服务器端。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控,木马不会象病毒那样去感染文件。

1.2 局域网面临的内部威胁

相对于局域网而言,广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界防御等,在这些设备的严密监控下,来自网络外部的安全威胁大大减小,相反来自网络内部的计算机客户端的安全威胁由于缺乏必要的安全管理措施,安全威胁较大[2]。中国CNISTEC调查报告显示[7]:传统的黑客、木马、病毒等外部威胁仅占20%,而局域网内部威胁竟高达80%,而大多数企业正在用90%以上的投入(先进而昂贵的信息安全设备)解决20%的外部安全威胁问题,而面对高达80%的内部安全威胁(“政策”配套、“人”配合),局域网管理单位却往往容易忽视。

(1)软硬件配合失调

电脑和服务器选配时要综合考虑网络环境及应用软件的配合,优化硬件和软件配置,才能保证性能稳定,达到向网络客户提供不间断服务的能力。安全配置不当容易造成安全漏洞,如果硬件与系统搭配不当,会造成传输速度和资源质量的不稳定,还会限制数据信息进行扩充升级,成为网络功能发挥的阻碍;如果防火墙软件配置不正确,对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用,就根本起不到防火墙的作用。

(2)内部网络攻击

目前,对内部网络的攻击手段主要表现在:非授权访问、破坏数据完整性、拒绝服务攻击、利用网络传播病毒等。非授权访问,即没有预先经过同意,就使用网络或计算机资源;破坏数据完整性,以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,干扰用户的正常使用,以取得有益于攻击者的响应;拒绝服务攻击[8],通过不断对网络服务系统进行干扰,使其执行无关程序而改变其正常的作业流程,使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务;利用网络传播病毒,通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。

(3)频繁违章

局域网作为一个开放的网络,人员可以在其中执行共享、复制和发送等行为,这也增加了病毒和木马的传播机会,使得局域网内部数据存在巨大的安全隐患。在日常故障中,人员频繁违章而造成的问题也居高不下,例如,使用U盘、移动硬盘拷贝文件时,不注意杀毒;在计算机上随意安装/卸载软件;还有个人安全意识不强,用户口令设置简单;随意更改计算机的设置;随意更换计算机的硬件等。

(4)人为因素

人为因素是指人为有意无意的入侵、攻击和破坏网络系统正常运行。据不完全统计,由于人为因素所导致的资产损失比“黑客”和病毒所造成的损失高的多。主要表现在:内部人员有意或无意泄密、更改记录信息;内部非授权人员有意偷窃信息、更改记录信息;内部人员破坏信息系统;内部人员的无意识的误操作造成数据丢失;内部人员好奇心尝试造成的恶性攻击等。

(5)管理不善

一是安全管理制度不健全及缺乏可操作性。目前我国网络安全还缺乏相应的规范章程,以及有效的安全维护手段、监督机制和评估系统,对黑客、网络运营商、用户等也缺乏管理机制,网络的使用普及但杂乱无章,缺乏有序性条理,这样给网络维护造成了基础薄弱的限制。二是责权不明,治理混乱。责权不明,治理混乱,使得一些员工和网络管理人员随便让一些外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而治理上却没有相应制度来约束。三是局域网内部维护手段不当。如局域网接入管理不严,服务器端口管理不到位,IP地址规划与管理的缺陷,盗版软件滥用,电脑资源的广泛共享,移动存储设备的使用,操作系统补丁、病毒库的更新不及时等,都会使单机风险蔓延到整个局域网,导致整个网络安全受到威胁。四是网络用户缺乏网络安全防范意识,保密观念不强。主要表现在未经授权的网络设备或用户通过局域网的网络设备自动进入网络,对信息进行非法获取;网络管理者缺乏网络安全的警惕性,忽视网络安全,或对网络安全技术缺乏了解等。

2 局域网的安全防范对策

网络安全防范涉及的内容既有技术层面的,也有管理层面的,两方面相互补充,缺一不可。

2.1技术层面的防范

(1)物理环境可靠

在局域网规划设计时,应充分考虑物理环境和网络设备的安全问题,应根据单位对网络的需求来设计网络的拓扑结构,并确定传输介质的选型和铺设方法。对于一些重要的设备,如各种服务器、核心交换机等应该尽量实行集中管理,对可以进行远程操作的设备,如路由器、交换机、防火墙等设置安全口令,还要注意设备的运行环境,包括温度、湿度、通风、灰尘、静电、防盗等。

(2)系统平台安全

应用系统的安全跟具体的应用有关,涉及面广。在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞、修补漏洞,提高系统的安全性。

(3)网络系统配置合理

局域网内部存在着信息交换,由于网内PC的互信程度不同,安全级别不同,所以必须根据一定的安全策略来控制、允许或拒绝出入内部网络的信息流,剔除恶意的、带有攻击性质的信息流,保障内部网络的畅通与安全。

(4)网络分段

在网络使用初期,由于信息点少,只需设置成一个子网,不存在网络的分段问题,而随着用户的增加,就必须要采取措施来加强网络分段的管理。通过路由器、防火墙、带有虚拟局域网功能的三层交换机实现网络分段,从而对有关网段的访问进行控制,对不需要对外进行访问的主机封闭在固定的网段中,对需要对外进行有限访问的主机设定单点路由,最大限度阻止网络中的非法入侵者访问内部的网络,防止其随意更改、移动、删除网络上的重要信息。

(5)VLAN划分

VLAN是对连接到第二层交换机端口的网络用户的逻辑分段,可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组,不受网络用户的物理位置限制。划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。同时,如果局域网中没有路由,不同VLAN之间不能相互通信,在一定程度上增加了网络的安全性[9]。

(6)安装防火墙

防火墙是指设置在不同网络(内网和外网)或网络安全域之间的一系列部件的组合。它是不同网络或计算机与网络之间信息的唯一出入口,能根据已定的安全策略控制(允许、拒绝、监测)出入网络的信息流,能有效地防止跨越权限的数据访问,并对内网和外网之间的任何信息交换进行监控,保护内网敏感数据不被窃取与破坏,且本身具有较强的抗攻击能力[3]。在局域网中我们可以在网关服务器和重要的子网或计算机上安装防火墙系统,过滤不安全的连接访问,防止外部偷窥和内部信息外泄,执行安全管制措施,记录所有可疑事件。

(7)入侵检测

入侵检测系统是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术[10],是防火墙的合理补充[6]。在本质上,入侵检测系统是一种典型的“窥探设备”,通常只有一个监听端口,不跨接多个物理网段,无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文[3],并分析这些信息,帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。

(8)漏洞扫描

有很多病毒就是通过系统漏洞对计算机进行破坏的,很多非法入侵者也能够通过系统漏洞入侵到目标计算机中,并对其进行破坏。因此,应及时安装最新的系统补丁、数据库补丁,最好借助一种能查找漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式,最大可能地弥补最新的安全漏洞和消除安全隐患。

(9)病毒防护

网络病毒与木马能在短时间内使局域网瘫痪,造成巨大的损失,可见防毒比查杀病毒更重要。一是防病毒体系是建立在局域网内每台电脑防病毒系统上的,要选择一款适合于局域网的全方位的防病毒产品;二是及时更新操作系统补丁,计算机操作系统漏洞为病毒侵袭和执行提供了条件,及时有效的更新操作系统补丁能够有效控制病毒与木马的传播和执行;三是增大对工作人员定期培训,首先明确病毒的危害,文件共享的时候尽量控制权限和增加密码,对办公U盘和来历不明的文件运行前进行查杀等;四是要求工作人员在日常使用计算机时养成良好的习惯,并掌握一些常用的杀毒技巧,一旦发现感染病毒,首先进行隔离,将其从联网状态中分离出来,然后杀毒。

(10)访问控制

访问控制技术是一种用于控制用户能否进入系统,以及进入系统的用户能够读写数据集的网络安全技术[6]。其主要任务是对用户访问网络资源的权限进行严格的认证和控制,防止非法用户进入系统及防止合法用户对系统资源的非法使用。技术上可以采用多层次的访问控制与权限控制手段,如进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等,从而实现对数据的安全保护,有效保护内部网络的安全。

(11)软件升级

随着软件交流规模的不断增大,系统中的安全漏洞或“后门”也不可避免的被发现。包括我们经常使用的Windows、Unix、Liniux等操作系统,发布网页的IIS,文件共享的FTP服务器软件等都在不断地被发现存在安全漏洞。因此,要及时的升级相关系统软件和应用软件,避免安全漏洞被恶意利用。

(12)数据备份

为防止无法预料的系统故障,或用户不小心进行的非法操作,必须对系统进行安全备份,除了对系统进行定时备份外,还应该对修改过的数据进行备份。数据的备份可以采用本地硬盘备份、专用的移动存储设备定期转移备份、利用网络进行双机备份、刻录光盘等,以确保信息的安全完整性。

2.2 管理层面的防范

技术层面主要侧重于防范外部非法用户的攻击,管理层面则侧重于内部人为因素的管理。尽管实现了办公局域网与外界物理隔离,一定程度上避免了外部人员通过网络的攻击,但安全问题和隐患依然存在,仍然需要加大管理层面的防范。

(1)完善管理制度

网络信息安全不仅是技术问题,也是管理问题,没有完善的管理,网络安全防范只是空谈。据统计[7],传统的黑客、木马、病毒等外部威胁仅占20%,而内部由于管理不善造成的威胁竟高达80%。确保信息安全,一方面需要先进的技术,另一方面还需要完善的安全管理制度,只有把每个环节落实到实处,才能确保网络的安全运行。如:安全训练、安全技术监管、违章监控、强制使用密码、信息加密/保密、数据备份、使用日志等安全措施。

(2)加快建设网络人才队伍

随着系统规模扩大、复杂程度提高、依赖日益增强,导致网络人才队伍的系统维护能力明显不足。系统维护人员应及时更新知识,了解最前沿的安全防范措施,及时更改网络系统的安全布防,确保网络的正常运行。对于局域网管理员来说,除了要在第一时间为自己管辖的所有服务器升级外,还要为客户端下载适用于多种平台、多种语言环境的补丁包,之后还要检验这些补丁包是否都升级到位。

(3)加强使用人员的网络安全培训

安全是一个汇集了硬件、软件、网络、人员以及他们之间互相关系的系统。人正是网络安全中最薄弱的环节,要确保信息安全工作的顺利进行,就要加强对使用网络人员的安全培训,增强内部人员的安全防范意识,提高内部管理人员整体素质。一是加强安全意识培训,让工作人员明白数据信息安全的重要性,引导工作人员正确的使用网络。二是加强安全知识培训,使网络使用人员掌握一定的安全知识和安全技能,至少保证本机数据的安全可靠。三是加强网络知识培训,树立良好的计算机使用习惯,不做有违规章制度的行为。

(4)配套安全管理设备

目前,网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。可以使用一些安全管理工具,如桌面管理系统,利用此系统控制用户入网是保证网络资源不被非法使用,是网络安全防范和保护的主要策略,它为网络访问提供了第一层访问控制。

(5)进行安全评估

计算机系统的安全评估可以发现系统存在的薄弱环节和网络上的不安全因素,并能根据评估结论及时对不安全因素进行防范,从而确保网络系统连续、正常运行,杜绝不安全因素,从而把局域网的风险降低到可接受的程度,确保信息的完整性和可靠性。

3 结束语

综合分析,目前的网络安全主要有以下几个特点:

(1)采用被动式的防御策略,如防火墙、入侵检测系统等较多,而往往忽略了位于防火墙和传统网络安全范畴之外的基于Web的应用程序的安全。

(2)内外威胁防范投入失调。对网络外部威胁的投入较多,而对局域网内部威胁的投入较少。

(3)缺乏对局域网内终端计算机的安全管理,尤其是对网络使用人员的有效监督。

(4)安全管理制度不配套,网络人才队伍和安全评估没有与时俱进。

网络没有绝对的安全,只有绝对的不安全。在局域网中,要保证网络的相对安全运行,就需要针对新时期网络的特点,扬长避短,随时了解网络中存在的潜在威胁和隐患,及时采取相应措施,才能确保局域网的安全。

参考文献