局域网安全体系

局域网安全体系（精选8篇）

局域网安全体系 篇1

1 引言

信息技术的迅猛发展正将战争形态由工业时代的机械化战争推向信息时代的信息化战争。打赢信息化战争, 必须夺取制信息权, 而掌握制信息权离不开强有力的军事通信保障。无线局域网 (WLAN, Wireless Local Area Network) 具有方便、快捷、廉价等诸多优势, 使其适应了信息化战争对军事通信提出的新要求, 已成为各国军事通信研究的一个重点问题[1]。

无线局域网[2]是计算机网络与无线通信技术相结合的产物, 是以射频RP (Radio Frequency) 或者红外IR (Infrared) 作为传输媒介的计算机局域网络。无线局域网具有易安装、易扩展、易管理、高移动性及低成本投入等优点, 并且其传输速率高、抗干扰能力强、扩展性比较好, 所以可有效满足现代信息化战争对军事通信传输提出的高效要求。但同时无线局域网又面临着抗截获、抗干扰能力差等典型的信息安全保密挑战。

本文首先对无线局域网的技术进行了概述, 然后系统分析了军用无线局域网的安全需求, 最后, 针对军用无线局域网面临的安全威胁, 设计了军用无线局域网的安全体系结构。

2 无线局域网技术概述

无线局域网是利用无线电波来实现计算机设备与位置无关的网络数据传送的系统, 有效拓展了有线网络的数据传输范围, 使用无线射频技术通过电波收发数据, 从而减少电缆连接。

2.1 无线局域网的组成

无线局域网的物理组成由站 (Station) 、无线介质 (Wireless Medium) 、基站 (Base Station) 或接入点 (Access Point, AP) 和分布式系统等几部分组成。

(1) 站

站 (点) 也称主机或终端, 是无线局域网的最基本组成单元。网络就是进行站与站之间的数据传输, 把联接在无线局域网中的设备称为站, 它是具有无线网络接口的计算设备。无线局域网中的站可分为固定站、半移动站和移动站。无线局域网中的站之间可以直接相互通信, 也可以通过基站或者接入点进行通信。一般把无线局域网中移动站的无线收发信机覆盖的通信区域称为基本服务区 (Basic Service Area) , 它是构成无线局域网的最小单元。在一个基本服务区内彼此之间相互联系、相互通信的一组主机组成一个基本服务集 (Basic Service Set) 。

(2) 无线介质

无线介质一般是指空气, 它是无线电波和红外线传播的良好介质。无线局域网中的无线介质由无线局域网物理层标准定义。

(3) 无线接入点

无线接入点是无线局域网的重要组成单元, 它包括无线网络接口和各种控制、管理软件等。无线接入点是一种特殊的站, 通常位于基本服务区的中心, 固定不动。它的功能包括:作为接入点, 完成其它非AP的站对分布式系统的接入访问和同一基本业务组中的不同站之间的通信连接;作为无线网络和分布式系统的桥接点完成无线局域网与分布式系统间的桥接功能;作为基本业务组的控制中心完成对其它非AP站的控制和管理。

(4) 分布式系统DS (Distribution System)

通常一个基本服务区的覆盖范围有限, 为了覆盖更大的区域, 就需要把多个基本服务区通过分布式系统连接起来, 形成一个扩展服务区 (Extended Service Area, ESA) 。DS可以是有线的, 也可以是无线的, 通常无线分布式系统 (Wireless Distribution System, WDS) 可通过AP间的无线信道取代有线电缆来实现不同基本业务组间的连接。

2.2 无线局域网的拓扑结构

无线局域网的拓扑结构可以从物理角度、逻辑角度或者控制方式角度进行分类。此外, 因为基本服务集是无线局域网的最小组成单元, 根据基本服务集的组合方式, 可将无线局域网分为:分布对等式网络 (也即自组网络, 即Ad-Hoc网络) 和基础结构网络 (Infrastructure Network) 。

(1) 分布对等式拓扑 (Ad-Hoc网络)

分布对等式WLAN是一种独立的基本服务集, 至少包括两个站, 它是一种典型的、以自发方式构成的网络。独立基本服务集中任意站之间可直接通信而无需通过接入点转接, 如图1-1所示。

(2) 基础结构网络拓扑 (Infrastructure Network)

基础结构网络由无线接入点AP、无线工作站以及分布式系统构成。在WLAN的基础结构网络拓扑中, 至少必须包含一个AP, 即网络中心节点, 所有其他节点对网络的访问均由AP来控制。由于每个节点只需在中心节点覆盖范围内就可与其他站点通信, 所以这种布局受环境的限制也比较小。基础结构网络拓扑结构如图1-2所示。

与独立基本服务集相比, 基础结构网络的抗毁性差, 如果中心节点损坏, 整个基础结构网络将完全瘫痪。而且作为中心节点的AP的复杂度也较大, 增加了网络的实现成本。

2.3 无线局域网标准

无线局域网标准[3]主要有IEEE标准和WAPI标准。IEEE802.11标准是IEEE在1997年为无线局域网定义的一个无线网络通信的工业标准, 此后这一标准又不断得到补充和完善, 形成802.11x的标准系列。WAPI是WLAN Authentication and Privacy Infrastructure的英文缩写, 是中国的无线局域网安全标准, 由ISO/IEC授权的IEEE Registration Authority审查获得认可, 与IEEE“有线加强等级保密 (WEP) ”安全协议类似。

(1) Wi-Fi标准

在802.11x的标准系列中应用最多的是802.11a/b/g这3个标准以及802.11i, 均已得到广泛应用;最新通过的标准是802.11n, 该标准已于2009年9月获得IEEE正式批准。关于常用的IEEE 802.11a/b/g这三个标准的比较如表1-1所示。

(2) WAPI

WAPI[4]是我国首个在计算机宽带无线网络通信领域自主创新并拥有知识产权的安全接入技术标准, 该协议与802.11b传输协议类似。作为全球在此领域的两个标准之一, 相比另一个由美国IEEE主导完成的公认存在严重安全缺陷的802.11i标准, WAPI具有明显的安全和技术优势。2010年1月, WAPI顺利通过了NP (新工作项目提案) 阶段投票, 正式成为国际标准立项项目。

3 军用无线局域网安全需求

3.1 军用无线局域网面临的安全威胁

无线局域网因其在体系架构和标准协议方面存在的不足导致其易受网络攻击。而军用无线局域网因为承载着文本、图像及视频等涉密信息, 其保密性、完整性和时效性更需得到保障。根据无线局域网络传输的特点, 对军用无线局域网的攻击可分为被动攻击 (Passive Attack) 和主动攻击 (Active Attack) 两种类型, 如图3-1所示。

3.2 军用无线局域网的安全需求

针对军用无线局域网面临的安全威胁, 军用无线局域网的安全需求主要体现在受保护对象和信息管理方面, 借鉴计算机网络安全模型建立起立体防护, 如图3-2所示。军用无线局域网中受保护的对象包括:信息节点、信息链路、网络边界和基础设施, 而对网络中传输信息的管理则包括:信息获取、信息存储、信息传输、信息利用和信息销毁等方面, 为此综合起来, 军用无线局域网的安全防护包括:物理安全防护、平台安全防护、网络安全防护、数据安全防护和管理安全等。

4 军用无线局域网安全体系结构设计

基于对军用无线局域网安全需求的分析, 设计军用无线局域网安全体系结构需要针对军用无线局域网的网络层次模型, 综合考虑所面临的安全威胁, 基于网络安全的基本属性, 采用相关的安全防护技术实现网络安全服务的基本目标[5]。如图4-1所示。

无线局域网的安全服务是基于网络安全的基本属性建立, 其中可追踪性服务是基于无线网络的无线特性提出的。实现军用无线局域网的关键服务则要通过相关的安全技术实现, 如图4-2所示。这些服务均建立在密钥管理基础设施和身份认证基础设施上。

对军用无线局域网来说, 它的安全功能主要包括安全审计、身份认证、访问控制、数据保密、数据流保密、数据完整性、数据流完整系、脆弱性管理、不可否认性、消息源鉴别、恶意代码防范、攻击检测、系统备份与恢复和安全评估等, 是根据系统的各项安全需求提出的。这些安全功能可以是各种具体的安全保障系统、安全产品和安全组件配合实现的, 它们分别构成了系统的安全功能体系和安全结构体系。

基于设计的军用无线局域网安全体系结构, 可以建立起实现军用无线局域网安全服务的体系结构。系统可用性、完整性、机密性和可追踪性安全服务的体系结构分别如图4-3、4-4、4-5所示。

5 总结

无线局域网具有应用方便、可扩展性好、传输速率高且抗干扰性好等优点, 所以在军事通信领域得到越来越多的应用。但是如何保证军用无线局域网的可用性、完整性、保密性以及攻击源可追溯性等是军用无线局域网安全研究的重点。在系统分析军用无线局域网面临的典型安全威胁的基础上, 确定了军用无线局域网的安全需求, 基于军用无线局域网的网络模型设计了军用无线局域网的安全体系结构, 为无线局域网的军事实际应用奠定了基础。

摘要：无线局域网因其使用方便、扩展性好、传输速率高、抗干扰性能强等, 已在军事通信领域得到广泛应用。对无线局域网技术进行了概述, 分析了军用无线局域网的面临的安全威胁和安全需求, 基于无线网络的网络模型设计了军用无线局域网的安全体系结构。

关键词：无线局域网 (WLAN) ,军用无线局域网,安全体系结构

参考文献

[1]甘翼.无线局域网发展及军事应用前景分析[J].通信技术, 2012, 45 (2) :1-5.

[2]钟章队.无线局域网[M].北京:科学出版社, 2004.

[3]穆晓霞, 范海菊, 牛振齐.无线局域网络的理论与技术研究[J].河南师范大学学报 (自然科学版) , 2011, 39 (6) :154-157.

[4]陆晓鹏, 薛润苗.WAPI在军用无线局域网中应用研究[J].自动化指挥与计算机, 2010 (2) :24-31.

[5]Mohit Virendra, Shambhu Upadhyaya.SWAN:A Secure Wireless LAN Architecture[J].Proceedings of the29th Annual IEEE International Conference on Local Computer Networks, 2004:16-18.

局域网安全与对策 篇2

[关键字]安全策略Internet TCP/IPVLAN技术防火墙服务器共享

1威胁局域网安全的因素

1.1物理因素

从物理上讲，局域网络的安全是脆弱的，就如通讯领域所面临的问题一样，网络涉及设备分布极为广泛，任何个人或部门都不可能时刻对这些设备进行全面监控，任何安置在不能上锁的地方的设施，包括通信光缆、电缆、电话线、局域网、远程网等都有可能遭到破坏，从而引起局域网络的瘫痪。如果是包含数据的软盘、光碟、主机等被盗，更会引起数据的丢失和泄露。

1.2技术因素

目前的局域网络大都是利用Intemet技术构造的，同时又与Internet相连。]ntemet网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP／IP协议，缺乏相应的安全机制，而且lnlemet最初的设计基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外，随着软件交流规模的不断增大，系统中的安全漏洞或“后门”也不可避免地存在，比如我们常用的操作系统，无论是Windows还是Unix儿乎都存在或多或少的安全漏洞，众多的服务器、浏览器、一些桌而软件等等都被发现过存在安全隐患。

1.3管理因素

严格的管理是局域网安全的重要措施。事实上，很多管理部¨都疏于这方面的管理，对网络的管理思想麻痹，对网络安全保护不够重视，舍不得投人必要的人力、财力、物力来加强网络的安全管理。

2局域网安全防范对策

所谓的网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和。网络的安全策略就是针对网络的实际情况(被保护信息价值、被攻击危险性、可投入的资金)，在网络管理的整个过程，具体对各种网络安全措施进行取舍，网络的安全策略可以说是在一定条件下的成本和效率的平衡。

2.1服务器的安全设置

2.1.1关闭不必要的服务

每个服务都会占用系统资源。一些服务可能会给系统带来安全漏洞，如Windows 2000的Terminal services(终端服务)、IIS和RAS(远程访问服务)等。并不是每台服务器都需要提供这些服务。所以，请将服务的种类进行细分，不在需要提供相关服务的服务器上，关闭不必要的服务。

2.1.2协议和端口的处理

作为网络服务器，使用TCPflP通讯协议已经足够。不必要的协议放在服务器上没有任何用处，反而会被某些黑客工具利用。而端几作为TCP/IP协议和外部网络相连的逻辑接口，可以说是计算机的一道重要屏障，端口配置正确与否直接影响到主机的安全。当服务器只提供较单一的功能时，可考虑只开往某些端口。

2.1.3设置用户权限

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限：Windows2000的访问权限分为：写入、读取、及执行、修改、列目录、完全控制和拒绝。在默认的情况下，大多数的文件夹对所有用户(Everyone)这个组是完全敞开的(Full Contr01)，您需要根据应用的需要重新设置权限。

2.2共享文件的安全设置

2.2.1选准系统，增强免疫

也许你会说，选用什么操作系统与共享安全有什么关联呢?其实操作系统的不同，直接决定了计算机在共享安全方而的“免疫”能力的强弱。

2.2.2共享密码，时刻启用

尽管非法攻击者能够利用比较专业的破解工具来轻易获得共享资源的访问密码：不过笔者以为，防范普通用户随意访问共享资源的最有效、最直接的方法，仍然是设置共享密码，一旦为共享资源添加上了访问密码后，那么不借助其他工具，任何人也是无法“偷窥”到共享隐私的。南于设置共享密码的操作已经在很多媒体中都有详细介绍，本文在这里就不述了。当然，我们在设置共享密码时，一定要确保密码设置得足够长，而且要比较复杂。

2.2.3藏好共享，护好隐私

有时为了方便局域网中的数据交流，我们都需要先将文件夹设置为共享：不过，由于局域网中的所有工作站，都可以通过网上邻居访问到该共享文件央，这样一来，一些重要的共享信息，就可能被其他不相关的人所“偷窥”到。为此，我们很有必要，将重要的共享文件夹巧妙地隐藏起来，以便让毫不相干的人，无法“偷窥”到。

2.3配置网络防火墙

网络防火墙作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是不时被允许并监视网络运行状态。

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)及电路层网关、屏蔽主机防火墙、双宿主机等类型。

2.3.1防火墙的选择

选择防火墙的标准有很多，但最重要的是以下几条：

1)总拥有成本。

2)防火墙本身的安全

3)管理与培训

4)可扩充性

5)防火墙的安全性 2.3.2防火墙的加密技术

2.3.2.1对称加密技术

在对称加密技术中，对信息的加密和解密都使用相同的密钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形，这种方法使用两个独立的56位密钥对信息进行3次加密，从而使用效密钥长度达到112位。

2.3.2.2非对称加密，公开密钥加密

在非对称加密体系中，密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开，而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题上，是计算机复杂性理论发展的必然结果。最具有代表性的是RSA公钥密码体制。

3结束语

总之，局域网的安全问题是一个较为复杂的系统工程，从严格的意义上来讲，没有绝对安全的网络系统，提高局域网络的安全系统是要以降低网络效率和增加投入为代价的。随着计算机技术的飞速发展，网络的安全有待于在实践中进一步研究和探索。在目前的情况下，我们应当全面考虑综合运用防火墙、加密技术、防毒软件等多项措施，互相配合，加强管理，从中寻找到确保网络安全与网络效率的平衡点，综合提高局域网络的安全性，从而建立起一套真正适合局域网络需要的安全体系。

参考文献：

[1]王相林，服务器安全与设置，北京，清华大学出版社，2001

局域网安全体系 篇3

一、计算机局域网的安全风险分析

国际标准化组织 (ISO) 对网络安全 (network security) 的定义是:为数据处理系统建立和采用的技术和管理的安全保护, 保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

计算机局域网基本是以TCP/IP协议为架构建立的, TCP/IP协议由物理层、链路层、网络层、传输层和应用层构成。这几个层次在提供网络服务的同时也给网络安全带来了风险。大部分的局域网安全问题包括物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理安全等都与这几个方面密切相关。其中, 物理层的安全风险主要包括环境、设备和传输介质等方面的安全;链路层的安全风险主要体现在LAN内部的嗅探和基于ARP协议的欺骗;网络层的安全风险主要受到以下方面的安全威胁, 包括明文传输、IP地址的欺骗和盗用、源地址路由欺骗、端口扫描带来的威胁, 此外, 还包括TCP序列号欺骗和TCP同步轰炸等等;应用系统本身存在的漏洞也给安全带来了风险;管理制度不健全、管理不严格等问题都会带来管理的安全风险。

二、计算机局域网安全保证体系的构建和主要实现策略

计算机局域网安全的主要目标就是要使局域网中信息在采集、存储、处理、传播和运用的过程中, 使信息在自由性、秘密性、完整性、共享性等方面都能够得到良好保护和控制, 最大程度的避免被非法授权的泄露、更改或者破坏等。为了实现以上目标, 局域网安全保证体系的构建需要遵循以下设计原则:第一, 平衡的原则。事实上, 计算机局域网是无法保证绝对的安全的, 因此, 在安全保证体系的构建方面要遵循需求、风险和代价相互平衡的原则。在此原则下制定安全规范和措施。第二, 整体性的原则。本质上, 计算机局域网安全保证体系是一个复杂的系统, 因此需要采用系统论的观点和研究方法对其安全问题进行分析研究, 从系统和整体的角度去考虑问题。第三, 适用性原则。局域网安全措施归根到底需要人去完成, 因此安全措施的制定需要充分考虑到人的因素, 不能过于复杂而影响正常使用或者降低系统运行效率。另外, 制定的安全策略还要适应网络性能及安全需求, 并于整个网络的生命周期同步。第四, 扩展性的原则。随着安全技术的不断发展, 局域网的安全措施和策略也面临不断改进和扩展的需求。在局域网安全保证体系的构建研究中需要充分考虑到较强的扩充和升级兼容能力, 使之能够满足未来发展的需要。

由于TCP/IP协议的开放性, 计算机局域网在接入互联网时面临着非常多的安全威胁, 需要网络管理者构建科学可靠的安全保证体系。根据上述分析的计算机局域网面临安全风险的几个方面, 考虑构建以下层次的计算机局域网安全保证体系:

第一, 物理层次的安全保证措施。主要包括局域网基础设施的安全和局域网连接的安全。例如网络的关键设备 (如核心交换机、服务器等) 、物理环境安全等, 主要通过维护物理安全环境、安装不间断电源 (UPS) 和制定应急措施等安全规章制度等方面进行。

第二, 应用层次采用的主要安全技术手段。随着近年来网络安全问题的增多, 网络安全技术得到了极大的发展。在局域网应用层次可以采用的安全技术手段很多, 常用的有以下几种。

VLAN (Vitual Local Area Network:虚拟局域网) 划分。从逻辑上将局域网设备划分成不同的网段, 实现虚拟工作组, 使每个VLAN在逻辑上成为独立的局域网, 并表现出与物理形成的局域网相同的属性。对于局域网的一些安全应用场合, 采用VLAN技术可以限制局域网不同用户的网络需求, 得到增强网络安全性的目的。

ACL访问控制列表。由于计算机病毒能够通过网络进行快速传播, ACL访问控制列表可有效应对这一威胁, 通过在交换机上配置相应的访问控制表关闭一些端口, 实现对某种访问进行控制, 可以预防诸如“冲击波”、蠕虫等病毒数据的传播。例如对某一交换机的ACL访问控制列表可配置如下:

用户认证技术。用户认证主要是针对来自局域网内部的访问, 为最大限度保证局域网内部的应用安全以及通过局域网访问互联网的安全, 可以采用二次认证方式, 即在用户访问局域网内部事采用802.1 x认证, 而在访问互联网时进行BAS认证, 这样使802.1 x交换机和BAS串连, 不但使802.1 x认证充分发挥其强大的用户控制能力, 也使BAS控制灵活和功能丰富的特点得到充分利用, 实现网络安全和灵活控制的结合。

第三, 管理层面采用的主要安全措施。不论对于基于何种用途的计算机局域网, 组织和建立网络安全管理队伍以及制定科学有效的网络安全管理制度都是必不可少的。通过人员的管理和制度的约束, 提高网络应用人员的安全防范意识, 最大程度的消除内部隐患, 从而保证网络安全稳定运行。

三、结束语

随着网络的普及和广泛应用, 确保计算机局域网的安全已经是网络发展中的热点问题。不断研究和开发多种安全技术和各种管理手段, 构建稳定的局域网安全保证体系, 是我们无法回避和必须解决的问题。

参考文献

[1]. (美) Yusuf Bhaiji[著], 田果, 刘丹宁[译].网络安全技术与解决方案 (修订版) [M].人民邮电出版社, 2010

计算机局域网主动防御体系浅析 篇4

1 主动防御体系的结构

1.1 主动防御定义

主动防御的定义是:计算机局域网的安全系统利用多种路径接受安全消息, 从而根据安全消息所描述的安全威胁信息, 提前在系统中部署安全防线, 抵御未来攻击。主动防御体系的关键在于系统具备接受和发送安全消息能力, 并且能够根据安全消息描述的安全威胁提前部署安全措施。实际中, 当计算机局域网中的某安全系统检测到具有安全威胁的安全事件后, 利用安全消息形式将该安全事件在局域玩中传播, 其它安全系统接收到该安全事件后则根据其内容部署相应的安全防线, 从而避免各安全系统重复检测安全事件的过程, 有效缩短预警时间, 预先在攻击到来之前部署防线, 有效防止安全威胁在局域网中扩散, 降低危险性, 从而提高局域网整体的安全性。

1.2 主动防御体系定义

动态安全体系的结构模型是以整个网络作为安全管理的对象, 把策略和管理当做核心, 利用相应安全技术来保证对象的安全, 例如检测、防护、反应和恢复等安全技术。而主动防御体系则是将局域网主机或者全部主机看做一个安全管理对象, 将相应的安全技术 (如检测、防护等) 部署到各个安全系统中, 同时各安全系统采用统一的通信方式进行安全消息共享, 从而使得各安全系统既相互关联又能相互独立, 从而各系统之间形成多层和纵深的防线, 整个网络在安全上形成交互的主动防御体系。具体来说, 主动防御体系就是把部署组织资源的主机看作安全系统对象, 利用动态安全体系结构模型作为指导, 在各安全系统中部署安全防线, 各系统之间利用同一的安全消息模式进行消息共享, 从而实现主动防御。

1.3 安全消息格式

各安全系统利用主动防御体系协调工作的基础就是安全消息通过统一的协议在各系统间相互传递, 通过这种方式有效缩短安全检测时间, 以便系统在攻击到来之前部署好安全防线, 保证系统安全。同时由于各安全系统技术以及产品千差万别, 通信方式各不相同, 为实现协同工作, 需在主动防御体系中采用统一的安全消息协议, 在此我们将安全消息格式定义为:

消息的类型:16位无符号整数, 用来表示消息的类型。

消息的ID:32位无符号整数, 在一个使用周期内禁止出现重复, 允许循环使用。消息ID与源IP地址一起惟一, 则表示是一个安全消息。

源的IP地址:32位无符号整数, 用来表示安全消息来源;

安全等级:16位无符号整数, 用来表示安全的等级;

危险IP的地址:32位无符号整数, 用来表示主机 (对局域网有安全威胁) 的IP地址。

1.4 安全消息的传播方式

安全消息定义后, 各安全系统之间的消息传递一致性问题得到了解决, 接下来面临该消息如何传播的问题, 在此安全消息的传递我们采用组播的形式。每当有以此模型的安全系统进入网络, 首先在安全系统服务器上登记, 等服务器收到安全消息后, 服务器根据其内部存储的各系统IP地址列表进行定时组播, 组播采用无连接协议, 也就是UDP协议。同时各安全系统也可以自己进行消息组播, 它们按照收到的服务器组播IP地址列表进行组播, 同样也采用无连接协议UDP协议。网络的安全构架是以检测、相应、防护和恢复作为具体技术来实现, 动态安全体系结构模型是以管理和策略为核心。在实际应用中, 局域网一般采用的防御措施是网络出口处部署数据包或者网关, 或者同时在局域网内部部署入侵检测、安全审计或者病毒防范等安全系统, 在实际应用中由于安全系统来自不同厂家, 各厂家之间采用的安全消息交换协议并非按照统一的标准, 因此各厂家产品均为独立工作, 即使相互关联也十分有限, 因此导致安全事件信息不能共享, 导致各安全系统独立检测安全事件, 从而预警时间不足, 系统暴露时间过长, 导致局域网整体危险性增加。下面对安全系统预警时间做出分析:

在这里, 我们假定一个独立的安全系统对网络提供防护需要的时间为Pt, Dt为安全系统检测入侵所需时间, 安全系统响应时间为Rt, 网络暴露时间为E r, At为共计所需时间, 则各变量存在如下关系:

根据以上公式我们可以看出, 只要Et

根据1.1章节中提到对主动防御的定义, 主动防御就是局域网中各安全系统通过相互交换安全消息以实现信息共享, 从而减少各系统安全事件的检测时间, 同时根据所获得安全消息, 提前主动针对性的部署安全措施, 从而实现主动提前确保局域网安全。我们假设St为安全消息传播时间, T0为局域网非主动防御安全体系部署时暴露时间, T1为主动安全防御体系部署时暴露时间, 假定局域网中所有主机均部署了安全系统 (若系统未部署安全系统, 则存在暴露的主机, 但该主机对于内部安全威胁来讲不存在安全性) , 则在这两种防御体系中存在如下关系:

i= (0, 1, 2…n) 为局域网中部署的安全系统数量, 根据假设也可理解为局域网中主机的数量。

针对一种具体的安全系统分析如下:

在这些网段间流量很大, 并且路由器以process-switches方式工作时, 这种情况下要在接口上采用enable ip route-cache sameinterface, 下面用采用show interfaces和show interfaces switching命令识别大量数据包进出的端口;进入端口确定后, 打开ip accounting on the outgoing interface看其特征, 如果此数据包是攻击命令, 则其源地址一般会不断变化, 但是其目的地址不变, 我们可以采用access list解决此类问题, 但这是暂时的措施, 最终的解决办法是停止攻击源, 需要我们通过在接近攻击源的设备上进行配置。在我们实际使用过程中, 会遇见很多网络拥塞的情况, 例如短时间内大量的UDP流量, 这种情况可以通过按照解决spoof attack的方法解决, 再比如大量的组播流穿越路由器, 而路由器配置了IP NAT并且有很多DNS包穿越等, 这些情况都会造成网络拥塞, 此时通信双方会丢弃不能传输的数据包以便控制流量。

数据丢包也有很多情况, 例如网络路径错误等, 如主机默认路由配置发生错误, 导致主机发出的访问其它网络的数据包会被网关屏蔽, 这种情况属于正常情况下的丢包, 对网络影响不大。

3 结语

在实际应用中还会出现丢包现象, 其中原因各不相同, 涉及到各方面因素, 我们可以采用排除法进行筛选, 确定丢包原因后再采用相应措施进行处理。

参考文献

[1]王敏杰.TCP隐式丢包检测技术分析.计算机应用研究, 2006.

[2]葛志辉.一种新的基于RTT的丢包率估计算法.计算机工程与应用, 2005.

[3]朱建民.在基于VxWorks的实时网络中统计UDP丢包率的方法.计算机工程与应用, 2005.

无线局域网安全技术与安全策略 篇5

1 无线局域网安全技术相关简介

无线局域网作为信息化技术发展的产物, 满足了人们愈加复杂化和多样化的通信需求, 与有线网络相搭配, 为用户提供了更加便捷的信息服务体验。在这样的环境下, 无线局域网技术逐步迈入了快速发展轨道。

1.1 技术发展背景

信息化时代背景下, 随着电子政务及电子商务的快速发展, 越来越多的人选择网络传输和处理数据信息。在此过程中, 无线局域网安全问题不断暴露出来, 安全技术成为了无线局域网发展的关键因素。与有线网络传输相同的是, 安全性能亦是广大用户对无线局域网效果的最高追求, 而且缘于其本身特性, 它还面临着更大、更多的安全风险。例如, 有线网络的线缆作为一种物理防御屏障, 当攻击者无法连接网络线路时, 则切断了其窃取网络信息的路径。然而, 无线局域网则有所不同, 它是通过无线电波实现信息传播的, 任何人都可能成为攻击者。除此之外, 一般连接无线局域网的设备计算能力、存储能力以及蓄电能力等都较弱, 容易造成数据传输中断或丢失, 因而无线局域网的安全问题具有很强的特殊性和复杂性。在现实生活中, 人们为了追求信息数据传输便利, 对无线局域网的依赖性越来越高, 同时也面临着严重的安全威胁。因此, 无线局域网安全技术发展备受社会各界关注, 同时面临着机遇和挑战。

1.2 接入认证技术

在无线局域网的应用过程中, 合法用户可以通过无线连接的方式共享计算机资源信息。因此, 如何确认合法用户身份, 是保证无线局域网安全的重要基础。以IEEE 802.11标准支撑的无线局域网系统, 可支持对用户开放式以及共享密钥的认证服务。其中, 开放式认证技术只要求用户提供正确的SSID, 但是根据系统默认值设置, 该SSID会在AP信标力广播, 即使面临关闭的情况, 黑客或入侵者依然可以探测到SSID的相关信息, 从而危险无线局网安全。相比于前者, 共享密钥认证技术的应用较为安全, 用户需要正确使用AP发送的challenge包, 并返回给AP, 进而进入无线局域网络, 但这种虽然操作较为复杂, 但依然存在黑客攻击的危险。在此基础上, EAP认证技术在一定程度上弥补了上述认证技术的不足, 并由此衍生出的SIM、AKA等认证协议满足了3G、4G互通的需求, 在无线局域网领域的应用更为广泛。

1.3 密钥管理技术

认证技术确认安全后就会产生密钥并对密钥进行管理, 无线数据传输保密工作因为密钥管理的参与将会更加安全。密钥管理最初是建立在静态WEP密钥基础之上的, 静态WEP密钥是所有的设备拥有一样的WEP密钥, 这不仅需要管理员耗时耗力地将WEP密钥输入到每一个设备中, 而且如果带有WEP密钥的设备丢失或者被盗时, 黑客可能会通过这个设备侵入无线局域网, 这时管理员是很难发现的。即使管理员发现了并想要阻止, 就需要具有一样的WEP密钥设备并对WEP密钥进行更新。在面对庞大数量的用户时, 这项工作将是对管理员工作的严重考验。而且如果黑客解密出一个新的静态WEP密钥, 管理员也毫不知情。在现行更安全的方案中采取的是动态密钥, 动态密钥是在EAP认证时, RADIUS服务器将与客户生成会话密钥并将密钥发送给AP, 客户和AP同时激活密钥开始会话直到超时, 超时后将会重新发送认证生成新的会话密钥。

2 无线局域网面临的安全威胁因素

由于传输介质的开放性, 无线局域网本身就具有更大的脆弱性, 同时还侵受着外部的恶意威胁。从某种意义上而言, 无线局域网面临的安全威胁取决于其承载的信息资产价值, 大致可以分为以下几种因素, 具体表述如下:

2.1 非法介入

对于广大用户而言, 内部无线局域网上流转的数据包含着十分宝贵的信息资产, 关系到自己的切身利益, 一旦泄露或被窃势必会造成物质或精神上的损伤。对于电信通讯来说, 无线局域网非法介入可能会导致客户信息泄露, 有损自身品牌信誉, 同时还给客户带来了不可挽回的经济损失。近年来, 关于电信诈骗的案件报道比比皆是, 为社会大众所恐慌。以现有的技术条件和水平, 无线局域网的电磁辐射还很难精准地控制在某一范围之内, 攻击者只需架设一座天线即可截获部分数据信息, 而且用户很难发现。在现实生活中, 某些恶作剧者常常热衷于寻找“免费”无线网络资源, 并通过带有无线网卡的笔记本将这些信息在网上公开。在带宽有限的无线局域网上, 所有AP用户共享, 攻击者可产生大量数据包, 从而耗尽网络资源, 导致网络中断或瘫痪, 影响了合法用户的正常网络体验。此外, 与有线网络相比, 无线局域网还容易受到IP重定向及TCP响应等攻击。

2.2 伪造网络

在无线局域网中伪造的AP和网络带来的威胁非常严重, 攻击者可能会通过在计算机上安装Sniffer、ethereal等软件捕获显示网络上的数据包对合法用户的数据进行窃听。其主要是窃听合法用户的业务数据。无线局域网其传输介质是共享的这一原因造成无线局域网上面收发的数据很容易被窃听。另外, 攻击者往往利用这些假冒的网络诱使合法的用户进入访问, 进而骗取合法用户的账号口令对其平时工作用到的业务数据进行篡改造成合法用户的困扰或者将一些合法网络的数据加以篡改以达到欺骗合法用户的目的。甚至利用伪造或者篡改的数据造成系统或者设备无法正常运转或者瘫痪。伪造的AP和网络还可能让攻击者伪造一些网络设备如 (DNS或DHCP服务器) 引导用户进入到其不想进入的网络, 比如一些收费网站或者色情网站等从而对合法用户造成一定的损失或者影响。

2.3 拒绝服务

拒绝服务攻击又被成为Dos攻击, 与其他形式的攻击差异体现为, 它的目的在于破坏计算机或无线局域网络正常服务。目前, 802.11b已经成为了无线局域网市场的主流标准, 在各类用户中的应用十分广泛, 适用于家庭、车站、办公等多个场所。但是, 这种无线局域网络安全技术也存在一定的弊端, 即它与微波炉、无线电话和蓝牙芯片等都使用2.4GHz的ISM开放频段, 而且没有限制授权, 因而很容易受其他生活设备的干扰, 其中存在很大的潜在威胁。在合适的设备和工具支持下, 攻击者完全可以对无线局域网发起flooding攻击, 实现非法业务在无线网络有效频段上的覆盖, 进而阻止用户正常接收合法业务数据, 最终导致整个网络系统瘫痪。在实际的运行系统中, 拒绝服务攻击是最难做好预控和处理的, 既要求全面考虑设计构成要素, 又要有针对性地采取科学的本地策略。

3 提高无线局域网安全性能的策略

时至今日, 无线局域网安全关乎国计民生, 是和谐社会主义构建的重要历程。作者结合上文的分析, 有针对性地提出了以下几种提高无线局域网安全性能的策略, 以供参考和借鉴。

3.1 资源保护

在无线局域网应用中, 两个及以上的设备可以实现多种方式的数据通信, 可以通过对链路层加密的方法提高无线局域网安全性能。虽然无线信号还存在被窃听的危险, 但是如果把无线信号承载的数据信息转化成密文, 并且保证其强度够高的情况下, 这种安全威胁发生的几率则会大大降低。除却这些, 无线局域网还时刻面临着传输信号被伪造或篡改的安全隐患。对此, 用户可以在无线局域网承载的数据中, 融入部分只有内部人员才得以掌握的冗余数据, 从而精准地检测这些数据是否被更改, 在这种情况下基本可以确定无线信号的安全性。同时, 值得肯定的是独有秘密势必会降低伪造数据被认为合法的可能性, 为无线局域网提供了类似于有线网络物理安全的保护屏障。

3.2 密钥管理

密码是接入无线局域网的重要屏障, 通常可由数字、字母及特殊符号共同组成。在无线局域网的应用中, 密码设置强度一般分为三个等级, 并且保证在八个字符以上。根据无线局域网密码破解测试结果显示, 用户应适当提高密码破解难度, 如增加字符长度或增加特殊字符等, 并按照需求定时进行更换。关于无线局域网密钥管理, 现行的还有一种WEP标准方法, 通过动态变化来避免密钥重用。但是, WEP本身对无线局域网的加密保护作用是非常脆弱的, 很容易被黑客攻击和破解, 基于此Wi-Fi联盟开发了WPA新加密标准。根据用户需求的不同, WAP又分为个人版、企业版, 它采用TKIP协议, 使用预共享密钥, 解决了小型无线局域网环境安全威胁。与之相对应的, WAP/WAP2-Enterprise则更加适用于大型无线局域网环境。

3.3 地址绑定

用来定义网络设备位置的MAC地址, 存在于每一台主机当中, 它是一种采用十六进制数标示, 由六个48位字节构成的物理地址, 例如00-28-4E-DA-FC-6A。在OSI模型中, 数据链路层负责MAC地址, 第三层网络层则负责IP地址。为了进一步提高无线局域网的安全性能, 可以在接入设备中进行MAC地址过滤设置, 只准许特定合法MAC地址接入无线局域网, 从而防护攻击者的非法侵入。现阶段, 地址绑定已然成为了无线局域网常用的安全策略之一。此外, 在每一个无线局域网创建中, 都存在专属的服务集标识符即SSID, 它是帮助区分不同无线局域网的重要手段。为了防止黑客攻击, 应将SSID修改成难以被外人辨识的字符串, 同时对其进行隐藏处理, 降低被黑客检测到的几率, 保护无线局域网安全。

3.4 安装软件

随着无线局域网安全技术的进步与发展, 市场上流通的很多软件都可以实现对无线局域网一定程度的安全防护。因此, 用户可以在主机系统上加装合适的查杀软件或病毒卡, 实时检测系统异常, 并对木马数据及非法AP等进行清理, 以免给自身造成更大的经济损害。对于拒绝服务攻击, 用户可以在无线局域网运行的系统上增加一个网关, 使用数据包过滤或其他路由设置有效拦截恶意数据, 隐藏无线局域网接入设备IP地址, 降低安全风险。事实表明, 无线局域网安全威胁不仅仅存于外界, 还可能受到内部攻击, 针对此类状况, 应加强审计分析, 通过有效安全检测手段确定内部攻击来源, 并辅以其他管理机制, 防治无线局域网安全。此外, 对于硬件丢失威胁, 应基于用户身份完成认证, 并通过某种生物或秘密特征将硬件设备与用户紧密联系在一起。

4 结语

总而言之, 无线局域网安全技术发展势在必行。由于个人能力有限, 加之无线局域网环境复杂多变, 本文作出的相关研究可能存在不足之处。因此, 作者希望业界更多学者和专家持续关注无线局域网技术发展, 全面解析无线局域网应用中存在的安全隐患, 并充分利用无线局域网安全技术, 有针对性地提出更多提高无线局域网安全性能的策略, 从而净化无线局域网应用环境, 为广大用户提供更加方便快捷、安全高效的网络服务体验。

参考文献

[1]原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护, 2014 (02) :68-69.

[2]郭建峰.无线局域网安全技术研究[J].科技风, 2014 (15) :190.

[3]颜军, 田祎.探析无线局域网的安全技术及应用[J].福建电脑, 2013 (01) :36-37.

[4]刘艳丽.无线局域网安全技术及标准发展探究[J].电脑迷, 2016 (04) :35.

无线局域网安全 篇6

无线局域网相当于有线局域网连接方式来讲, 无线的连接方式缺少了什么呢?应该是称职的“门卫”。所谓的无线局域网不安全性, 在一定的程度上是由于无线连接方式促成了连接更加方便, 导致了无线局域网的安全问题。如果设备已经连接到网络上, 那么两种连接方式安全性都是一样的。事实上任何网络都容易受到大量的安全风险和安全问题的困扰。与有线局域网相比, 无线局域网的安全问题主要在于信道开放, 使用者不必与网络进行“可视”的连接。这使得攻击者伪装合法用户更容易, 同时微波信号在空气中的传播业容易受到各种干扰导致信号的损失。

在全面介绍安全机制之前, 首先应该正确认识到无线局域网可能存在的安全问题。一个网络用户 (或者叫黑客) 能够通过几种方式搜索或试图获取对一个无线局域网访问的权限。这些方法主要包括:窃听 (被动攻击) 、非法登陆、连接、侦测和配置网络 (主动攻击) 和人为干扰。

2 无线局域网的安全措施

无线局域网的安全措施主要体现在:信息过滤、用户访问控制、数据加密三个方面。信息过滤暂时不满足用户要求的信息屏蔽在网络之外, 用户访问控制保证敏感数据只能由授权的用户进行访问, 数据加密保证发射的数据只能被所期望的用户接受和理解。后两者往往集中在一个安全协议中, 比如IEEE802.11中的有线等效加密和GB15629.11中的无线局域网的鉴别与加密基础结构 (WPAI) 。

2.1 信息过滤措施

信息过滤是能够使用的基本安全机制。常用的有3种信息过滤机制:MAC地址过滤、协议端口过滤、SSID过滤。其中, MAC地址过滤和SSID过滤一般用于简单的无线接入点AP中, 协议端口是建立在路由基础上的功能, 一般只有功能较强的无线接入点AP中才有, 比如无线路由器。

2.2 IEEE 802.11安全机制

在IE E E 8 02.11标准中规定的无线局域网连接过程包括4个步骤:扫描 (scan) 、连接 (join) 、链路验证 (authentication) 和关联 (association) 。

通常情况, 无线客户端会扫描整个周围环境寻找适合连接的无线接入点。实现数据传输时, 无线局域网要求一定的安全机制作为保障。

IEEE 802.11标准规定的安全机制包括两部分:一、访问认证机制;二数据加密机制, 也就是我们常常提到的有线等效加密 (wep) 。他们是现在常用的无线局域网系统中安全机制的主要形态和基础。

2.3 IEEE 802.1x协议

IEEE 802.11标准所规定的WEP安全机制最明显的不足在于缺乏使用者身份认证机制 (只对无线客户端设备的认证) 和动态数据加密密钥配送机制 (一般只是静态的密钥) 。为了解决无线局域网中的WEP安全机制的缺陷, 人们采用了将基于端口访问控制技术的安全机制结合到IEEE 802.11中的方式。IEEE802.1x协议起源于IEEE 802.11协议, 主要目的是为了解决无线局域网用户的接入验证问题。IEEE 802.1x基于互联网工程任务组 (internet engineering task force, IETF) 制定的可扩展验证协议 (extensible authentication protocol, EAP) , 采用对端口进行验证的方式

2.4 IEEE 802.11i安全标签

目前, 以IEEE 802.11标准规定的有线等效加密 (WEP) 为主的安全机制存在的问题主要为产品提供商和用户所关注, MAC地址过滤、WEP加密、SSID匹配都是一种基本的安全措施, 在很多情况下都不能满足安全需要。这使无线局域网技术受到很多的批评, 为了从这种被动的局面中解脱出来, 国际电气和电子工程师联合会 (IEEE) 制订了被称为IEEE 802.11i的安全标准。

2.5 国家标准GB15629.11

安全问题一直是笼罩在wlan便捷灵活的优势上的阴影, 已成为WLAN进入信息化应用领域的最大障碍。国际标准为此采用了WEP、WPA、802.1x、802.1li, VPN等方式来保证wlan的安全, 但都没有从根本上解决wlan的安全问题。我国在2003年5月提出了无线局域网国家标准GB15629.11, 引入一种全新的安全机制——WAPI, 使wlan的安全问题再次成为人们关注焦点。WAPI机制已经由ISO/IEC授权的注册权威机构 (IEEE Registration Authority) 审查获得认可,

并且分配了用于该机制的以太类型号 (IEEE Ether Type Field) 0x88b4, 这是我国在这一领域向ISO/IEC提出并获得批准的唯一以太类型号。

2.6 VPN安全解决方案

在Wi-Fi推出初期, 专家也建议用户通过VPN进行无线连接。VPN采用DES, 3DES等技术保障数据传输的安全性。IPSec VPN和SSL VPN是目前两种最具有代表意义的VPN技术。IPSec VPN运行在网络层, 保护站点之间的数据传输安全, 要求远程接入者必须正确的安装和配置客户端软件或者接入设备, 将访问限制在特定的接入设备、客户端程序。用户认证机制和预定义的安全关系上, 提供了较高水平的安全性。SSL被预先安装在主机的浏览器中, 是一种无客户机的解决方案, 可以节省安装和维护成本。

2.7 用户认证方式的选择

在无线用户接入认证选择上, 主要是两种:802.1x和Web+DHCP。这两种方式对用户来说各有利弊。802.1x的认证方式总的来说安全性较高, 但它需要客户程序端, 这往往约束了他的普及。Web+DHCP的认证方式安全级别低, 但是用户使用方便。所以我们要根据实际情况来选择用户的认证方式。一般的原则是:在一些安全级别高的地方使用802.1x;在一些休闲娱乐场所一般使用Web+DHCP认证方式。

摘要：随着无线技术的运用变得广泛, 无线网络的安全问题也就变得越来越受人们的关注。通常网络的安全性主要体现在数据加密和访问控制这两个方面。对于有线网络来说。访问控制一般是通过物理端口接入方式进行监控的, 有线网络的数据输出通过电缆传输到特定的目的地。一般情况下, 只有在物理链路受到破坏的情况下, 数据才可能出现泄漏, 而无线网络的数据传输则是利用微波在空气中进行辐射传播的, 因此只要在无线接入点 (access point, AP) 覆盖范围内, 所有的无线终端都可以接收到无线信号。AP无法将无线信号定向到一个特定的接收设备, 因此无线传输的安全保密问题显得很重要。

关键词：无线网络,安全措施

参考文献

局域网安全体系 篇7

一、局域网的安全威胁

局域网络安全隐患是利用了网络系统本身存在的安全缺点, 而系统在使用和管理过程的疏漏增加了安全问题的严重程度。局域网的安全威胁通常有以下几类:

1. 欺骗性的软件使数据安全性降低

由于局域网很大的一部分用处是资源共享, 而正是由于资源共享的“数据开放性”, 导致数据信息容易被篡改和删除, 数据安全性较低。

2. 服务器区域没有进行独立防护

如果局域网中服务器区域不进行独立保护, 局域网内计算机的数据快速、便捷的传递, 造就了病毒感染的直接性和快速性。

3. 计算机病毒及恶意代码的威胁

网络用户没有及时安装操作系统补丁和防病毒软件、也没有及时更新防病毒软件而造成计算机病毒侵入。

以上特点, 造成局域网内的病毒传播速度快、数据安全性低、电脑相互感染、数据经常丢失。

二、局域网的安全设计

明确了局域网的安全威胁, 首先应从局域网的安全设计来考虑局域网的安全, 主要进行以下几个方面的设计。

1. 网络物理安全设计

网络的物理安全设计, 主要从以下几方面考虑: (1) 服务器后备供电问题

为防止市电突然断电引起硬件损坏和软件系统故障, 服务器配置UPS。

(2) 电脑主机室设计

机房应加装空调、防火、防雷系统, 安装门禁系统, 出入机房严格管理。

(3) 结构布线

数据线和电线分不同的管道辅设, 网络节点全部采用铁盒安装在地板上。

2. 网络结构安全设计

隔离内网与互联网络是网络结构安全设计的主要考虑的, 采用两种方案:

(1) 完善路由器和防火墙组成的第一道隔离带, 加强二者配置。

(2) 引入一种代理软件部署成代理服务器, 形成第二道隔离带。

3. 网络应用系统安全设计

尽可能建立安全系统平台, 利用专业安全工具和及时修补应用系统的漏洞等方法, 提高应用系统的安全性。建议配置一台硬件垃圾邮件防火墙。

4. 网络管理系统安全设计

管理是网络安全中非常重要的部分, 建立可操作性的、健全的网络管理制度与专业的网络管理软件相结合, 保障网络的安全运行。

三、局域网的安全控制

1. 利用桌面管理系统控制用户入网。

用户入网访问控制是保证网络资源不被非法使用, 为网络访问提供了第一层访问控制。

2. 采用防火墙技术

防火墙技术是在两个网络之间实行控制策略的系统, 是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。

3. 杀毒软件强制安装

对所有运行在局域网上的计算机强制安装杀毒软件。

四、病毒防治

防止病毒侵入要比发现和消除病毒更重要, 防毒的重点是控制病毒的传染, 可从以下几个方面考虑:

1. 加强对工作人员的教育, 明确病毒的危害, 增强安全意识和安

全知识, 时常进行病毒监测和扫描, 对不明的文件运行前进行查杀, 有效地防止病毒在网络中的传播。

2. 检测每台计算机的杀毒软件的安装情况和病毒库更新情况,

以及操作系统或者其它应用软件的补丁安装情况, 如发现客户机或服务器存在安全缺陷和漏洞, 拒绝其接入单位网络。

3. 小心使用移动存储设备。

使用U盘、移动硬盘等移动存储设备传递各类数据, 已经成为各类病毒传播的主要途径之一。在使用移动存储设备之前进行病毒的扫描和查杀, 可把病毒拒绝在外。

4. 根据实际情况进行数据加密。

数据加密是不依赖于网络中数据通道的安全性来实现网络的安全, 而是通过对网络数据的的加密来保障网络安全的可靠性。

局域网网络安全一直是信息安全的重点, 本文从网络安全设计、网络安全控制、病毒防治进行了论述, 对于一个安全且运行良好的局域网具有一定的指导意义。

参考文献

[1]张建.川师大校园网安全方案设计与实现[D].四川大学, 2005

[2]陈明.计算机网络设计教程[M].北京清华大学出版社2008

[3]张得太.公司网络安全的规划设计与实践[D].西安电子科技大学, 2006

局域网的安全防卫 篇8

关键词：局域网,安全策略,安全中心,访问权限,安全选项

局域网 (Local Area Network, LAN) 是指在某一区域内由多台计算机互联成的计算机组。在讨论局域网安全性方面不仅需要从管理方面着手, 更需要辅以维护措施, 只有做到这两点才能使局域网始终处于安全稳定的状态。

1 配置Windows安全中心

“Windows安全中心”是Microsoft公司从Windows XP2开始提供的一种电脑安全工具。合理配置“Windows安全中心”, 可以降低单台电脑受病毒攻击的机会和风险, 为整个局域网系统的安全提供基础性的保障。

2 控制访问权限

3 设置IE的安全选项

IE是人们使用的最频繁但常受到网络攻击的网络浏览器。我们可以通过设置禁用“自动完成”功能、Cookie安全设置、分级审查设置和IE安全区域设置等项目, 最大限度地避免网络攻击。

4 杜绝恶意软件

恶意软件是对破坏系统正常运行的一类软件的统称。它往往会在没有经过用户许可的情况下强行潜伏到系统中, 且无法正常卸载和删除, 强行删除后还会自动生成。可以借助“瑞星卡卡上往安全助手”、“金山毒霸系统清理专家”、“恶意软件清理助手”等恶意软件查杀工具来检测和清除它们。

5 修补单机系统漏洞

系统漏洞, 也叫系统安全缺陷, 是操作系统在逻辑设计上的缺陷或在编写程序时出现的错误, 这些错误或缺陷一旦被黑客利用, 就可能通过植入木马、病毒等方式来攻击或控制整个电脑, 从而窃取电脑中的重要资料和信息, 甚至破坏系统。为了增强系统的安全性和稳定性, 我们可以利用系统软件生产厂商对已发现的缺陷进行修补的补丁程序来堵住这些“漏洞”。

6 备份重要数据

6.1 备份用户文挡

用户文档是数据备份的重点, 它包括用户在工作过程中创建、编辑和保存的各种信息, 在默认情况下, 大多数用户的文档存放在“我的文档”文件夹中。但为了方便管理, 我们最后在系统盘之外指定专门的文件夹来分类保存各种用户文档, 并经常备份这些文档, 包括备份在网络驱动器或存储器中。

6.2 备份收藏夹

我们在上网浏览网页时, 可以将一些网站的网址添加到IE的收藏夹中, 下次打开这些站点时, 只需在收藏夹列表中选择相应的网站名称即可。在默认情况下, 收藏夹的保存路径是“C:Documents and Settings<登录用户名>Favorites”。重装系统前, 如果没有备份个人的收藏夹, 在安装后只有一个空的收藏夹。如果备份了收藏夹, 只需要将备份文件复制到收藏夹的保存路径下即可。

6.3 备份电子邮件和QQ信息

重装系统前, 我们应将邮箱地址和原来保存的邮件、QQ好友信息与聊天记录等备份下来, 以便在重装系统后进行恢复。

6.4 备份输入法词库

目前, 常用的输入法都有一定的智能特性, 可以自动或半自动地记忆用户形成的个性化词汇。重装系统时没有备份输入法用户词库, 系统重装完毕后, 个性化词汇的积累将从零开始。

6.5 备份驱动程序

虽然大多数驱动程序可以使用随机附送的驱动盘来安装, 多数驱动程序也可以从厂商的网站上下载, 但如果使用一些早期设备, 驱动程序可能无法下载, 驱动盘也有可能损毁。此时, 我们就必须在重装系统前, 将相应的驱动程序备份下来。

7 备份磁盘分区

8 设置强密码

密码是人们登陆电脑并且访问文件、程序及其他资源时使用的验证字符串。在Windows中, 密码由字母、数字、符号和空格组成, 而且区分大小写。通过使用密码, 我们可以确保未经授权的人不能访问系统、特定软件或文件。

9 加密文件和文件夹

电脑中的信息都是以文件形式存储的, 要保护重要文件内容和个人隐私, 我们可以利用EFS、工具软件和软件自身的加密功等方法能对文件或文件夹进行加密。加密后, 必须输入正确的密码才能打开文件。

1 0 清除使用痕迹

Windows操作系统和部分应用软件具有一定的自动记录功能。当我们进行文件编辑、输入密码、聊天和上网等操作时, 都将被系统自动记录下相应的信息, 这些信息很容易将我们的操作暴露给其他人。

电脑系统的使用痕迹主要包括Windows使用痕迹、IE使用痕迹和其他应用软件使用痕迹3大类。我们可以手工清除各种使用痕迹, 也可以使用痕迹清除器 (Eraser) 、Clean Space、Tracks Eraser等专门的工具软件来清除使用过的痕迹。

参考文献

[1]李军锋.基于局域网安全策略的研究[J].武汉船舶职业技术学报.2009 (08) .[1]李军锋.基于局域网安全策略的研究[J].武汉船舶职业技术学报.2009 (08) .

[2]徐诚.浅论局域网安全管理[J].信息与电脑 (理论版) .2010 (01) .[2]徐诚.浅论局域网安全管理[J].信息与电脑 (理论版) .2010 (01) .