为您找到与关于网络安全问题的论文相关的共200个结果:
以下是读文网小编为大家整理到的浅论无线网络安全问题的论文,欢迎大家前来阅读。
随着互联网技术的飞速发展,计算机通信网络从传统的有线网络发展至今天的无线网络,而作为无线网络的主要网络之一的无线局域网WLAN(Wireless Local Area Network)被众多家庭和企业用户所认识,实现了人们移动办公的梦想,由于无线网络的用户日益增多,覆盖面越来越大,应用领域日趋广泛,无线网络的安全问题受到越来越多的关注。
1 无线局域网的概念及其特点
WLAN是利用无线通信技术在一定的局部范围内建立网络,是计算机网络与无线通信技术相结合的产物,它以无线传输介质(无线多址信道、微波、卫星等)作为传输的介质,提供传统有线局域网LAN(Local Area Network)的功能,能够使用户真正地实现随时、随地的宽带网络接入。
目前各团体、企事业单位、单个家庭广泛地应用了WLAN技术来构建其办公网络,随着互联网技术的进一步的发展,WLAN正在逐渐从传统意义上的局域网技术发展成为“公共无线局域网”,成为国际互联网宽带接入手段,实现“无论您在任何时间、任何地点都可以轻松上网”的功能。
无线局域网的特点主要有:
1.1 高移动性。无线网络通过特定的无线电波来传送信号,在有效的发射频率范围内,任何具有合适接收设备的人都可以捕获该频率的信号,进入目标网络,因此,无线网络不受时间、空间等环境条件的限制,网络传输范围广。
1.2 相对于有线局域网,网络安全性、灵活性、扩展能力强。(1)无线局域网的网络安全性主要表现在无线网络采取的是网络隔离和网络认证措施、设置了严密的用户口令及认证措施,防止非法用户入侵,同时,增加了第三方数据加密方案等加密机制。(2)无线网络不受电缆的限制,可以任意增加和配置工作站,使用灵活;而且,它还可以在已有无线网络的基础上,增加AP(无线接入点)及相应的软件设置就可以对现有的网络进行有效的扩展,扩展能力是有限网络不可比拟的。
1.3 建网容易,易安装、低成本,管理方便。无线网络组建、设置与维护比较容易,安装简便,一般计算机工作人员便可以胜任网络管理的工作,而且,不需要大量的网络工程布线和线路维护,大大降低了管理成本。
1.4 组网速度快、工程周期短。无线扩频通信在数分钟之内便可以组建起通信的链路,实现临时、应急、抗灾等特殊情况的网络通信需求,与有线通信相比建网速度快、工程周期短。
2 无线局域网的安全现状
无线网络最大的优点就是逐步使网络从有形的设备网络发展成无形的“无限连接”,而无线网络固有的缺点是通信安全性不高,这个特性客观地摆在了用户的面前;在利用无线网络传递信息时,信道上的安全威胁包括信息截取、网络窃听、WEP解除、假冒攻击、信息干扰与篡改、服务后依赖、重传攻击等,无线网络的安全问题成为当前无线网络应用和研究的一个焦点问题,无线网络的安全也成为了信息安全的新领域。
2.1 无线网络安全问题主要表现。(1)WEP密钥发布问题,802.11没有规定密钥如何进行分发,一般在工作中都是手工进行设置,并且长期固定使用4个可选的密钥之一。(2)WEP服务集标识SSID和MAC地址过滤。(3)WEP加密机制天生的脆弱性
2.2 无线网络安全的威胁主要表现。私接AP、不当设置的AP、客户端不当连接、非法连接、直连网络等方面。
2.3 无线网络非法设备的威胁。无线网络的非法设备通过AP与企业网络连接会导致数据失窃、数据重路由、数据崩溃、身份模拟、DOS、病毒感染,以及其他类型在企业有线网络中存在的网络安全威胁。
2.4 无线网络安全主要包括系统安全、网络安全和应用安全等内容,同时需要遵循安全风险分析、安全结构设计和安全策略确定的基本实施规律。
3 无线局域网的应用
WLAN广泛应用在生活社区、游乐园、旅馆、机场车站等游玩领域,实现旅游休闲上网的功能;可以应用在政府办公大楼、校园、企事业单位实现移动办公,方便开会和学生上课等功能;可以应用在医疗、金融证券等方面,实现医生在任何环境下对病人进行及时有效的网上诊断功能,实现金融证券室外网上交易的功能。同时,对于老式建筑、沙漠地区等难以布线的环境,对于展览大楼、会议场所等频繁变化的环境,对于需要临时搭建宽带接入点、流动工作站等情况,建立WLAN是理想的选择。
3.1 销售行业的应用。针对大型超市商品流通量大,日常工作数据变化多的特点,使用WLAN,可以在超市的接货区、发货区、货架、仓库、办公室、财务室等任意区域,现场处理各类问题,及时得到各种数据,达到移动办公、提高工作效率的效果。
3.2 物流行业的应用。随着经济的高速发展和我国加入WTO,各个港口、储存区对物流业务的数字化提出了极高的要求,物流运输车辆、装卸、装箱机组等具体的工作状况、物品统计,都需要及时地将数据录入并传送到网络中心机房,因此,部署WLAN是物流业的一个基础设施,也是物流现代化的一个必然趋势。
3.3 电力行业的应用。WLAN可以对远距离的电力变电站进行检测和记录,将变电站的运行和维护情况实时的传送给电力中心机房,而且,可以实现远程的遥控和遥调,将操作指令传入到各个远程变电站中,有助于将电力系统应用到普通家庭,完成有线网络无法完成的工作。
3.4 服务行业的应用。由于WLAN的高移动、灵活便捷性的特点,广泛应用在大中型酒店和宾馆中,而且将会逐步应用在机场、车站等交通枢纽和移动着的交通运输工具中,有利于节省人们的办公时间。
3.5 教育行业的应用。WLAN已经在广泛应用于校园网络中,成为学校网络化教学的重要基础设施,有利于实现教师与学生教学之间的互动,及时解决学生对理论知识的学习,方便学生随时提交作业,对教师进行考评。
3.6 证券行业的应用。有了WLAN,用户可以实时关注股市行情,进行时时交易,增强了股市的活跃度,搞活证券市场经济。
3.7 展厅的应用。鉴于WLAN的可移动性、可重组性、灵活性,在大中型的展览厅内布置WLAN,方便服务商、参展商、客户随时接入互联网,了解展厅的布局、场地使用情况和各个供应商的企业信息,更为客户提供方便,提升展厅的盈利空间。
4 结束语
无线网络的迅速发展,直接影响和改变着人们的生活和沟通方式,必将对人类历史产生积极而深远的影响,随着新的安全理论和技术不断的涌现,我们有信心从容面对众多安全挑战,无线接入的商机正在到来,无线网络的明天将会更加光明。
浏览量:2
下载量:0
时间:
本文分析了无线网络中存在的安全问题,阐述了无线网络安全保障机制和无线网络安全问题防护对策。以下是读文网小编为大家整理到的无线网络安全问题研究的论文,欢迎大家前来阅读。
1 引言
因特网是计算机技术和网络技术发展的产物,经给人们的工作与生活带来了极大的方便;而无线网络则是计算机技术、网络技术以及无线通信技术三者相结合的产物。无线网络的使用实现了网络互联的可移动性,加快了用户对信息访问的及时性、有效性,并克服了通讯过程中受线缆限制的不便性。所以,无线网络在我国发展非常迅速,并且深刻的改变着人们的对信息的各种观念,同时也改变着人们的传统工作与生活方式。但是在为人们提供如此方便快捷服务的同时,由于无线网络应用具有较大的开放性,数据信息传播范围的控制具有一定的难度,因此无线网络将存在着非常严峻的安全问题。
2 无线网络面临的安全问题
无线网络的数据信息,主要是通过电磁波在开放的空间进行全方位发射的,数据传输范围的控制难度较大,对于一些越权存取数据以及窃听信息的行为的设防具有一定的难度,所以只要在无线网络信号覆盖范围之内,就有可能接收到无线网络传输的数据信息。无线网络所面临的安全问题主要有如下几方面:
2.1 非法攻击者接入而导致的网络安全问题
无线网络的数据信息是通过电磁波进行全方位传输,而电磁波能够穿越各类建筑物等遮挡物体,所以,在一个无线网络所覆盖的范围内,授权客户端或非授权客户端均可以接收到无线网络所传输的数据信息,因此如果数据信息在传输过程中没有强大的安全防御措施,那么传输的数据会比较容易被攻击者破坏、窃取以及篡改。另外,无线网络所使用的网络设备技术还不够完善,安全漏洞不能及时进行修补,这便给非法入侵者带来了可乘之机,这也是造成无线网络安全问题的一个主要原因。
2.2 无线网络的开放性而导致的网络安全问题
无线网络的数据信息是在开放的空间通过电磁波进行全方位传输的,所以无线网络没有固定的防御边界,黑客很可能从各个方位对每个接入点进行攻击。无线网络的这种开放性给其自身带来了非法信息窃取以及未授权信息服务等信息安全问题。
2.3 无线网络终端移动性而导致的网络安全问题
无线网络终端不但能够在较大范围内自由移动,也可以跨越区域进行漫游,这表明移动接点不具备足够的物理防范,所以数据信息很容易被攻击者窃听、破坏、窃取,同时攻击者还可以在任何位置通过一些设备实施非法攻击行为。
3 无线网络安全性防范措施
从无线网络的出现开始,网络安全问题与他的灵活方便的优势就同时存在,网络安全问题的防范措施制约和影响着无线网络的在各个领域的应用与推广,因此为了实现无线网络中传输数据信息的安全性,需要从以下几点进行防范:
3.1 设置高级别用户登录密码
用户的登录密码,称之为无线网络信息安全系统的最外层防线,用户在登录过程中,系统会自动检查用户的登录名和密码是否正确,只有合法的用户才能够进入网络系统。所以这种登录密码的级别需要设置的高一些,这种密码最好不要与其他人共用,并且密码最好经常更换。
3.2 设置正确的网络资源访问权限
网络资源访问通常包括打印机、网络通信设备等,这些是网络用户都有能够使用的资源。访问权限通常体现在用户对网络资源的可用与否。为此可以设置指定网络资源属性以及访问权限,通过这种防护措施可以有效地控制网络系统的安全可靠性。
3.3 确保启用防火墙
防火墙是连接外部网络与内部网络之间的通道,是网络安全的第一道防线。它是由软件以及硬件设备相结合的一种网络安全设备的总称。内部网络与外部网络所交换的数据信息都需要经过防火墙这一通道,可以在通道内过滤掉外部网络的非法用户的入侵与攻击行为,同时也能够阻止内部网络的用户非法向外部网络传递数据信息。
3.4 正确使用无线入侵检测系统
无线入侵检测系统是一种动态网络安全防范措施,是网络安全的第二道防线。设置在内部网络的边界上,用来监视、分析用户的上网活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警,还能加强策略,检测MAC地址欺骗,找出伪装WAP的无线上网用户。
4 结束语
无线网络存与有线网络相比,虽然存在更多的安全问题,但近些年无线网络在我国发展非常迅速,正在深刻的改变着人们的各种观念,也改变着人们传统的工作以及生活方式。在未来的几年里,我国很可能建成世界上最大的无线网络系统,如何安全应用这一巨大的无线网络系统,是网络技术人员以及网络使用者的一个重要研究方向,这不仅是一个技术问题,也是一个信息安全管理问题,同时也是涉及到社会道德与法律法规相关问题。所以要解决无线网络的安全问题,我们必须多种合理的防范措施进行综合治理。
浏览量:2
下载量:0
时间:
4G无线网络通信系统主要包括智能移动终端、无线接入网、无线核心网、IP主干网等部分[1],这几部分的安全通信问题是造成4G通信系统安全问题的主要因素。以下是读文网小编为大家整理到的4G通信的无线网络安全问题的论文,欢迎大家前来阅读。
引言
随着3G网络的火热,以及 4G网络的推广,无线网络在中国乃至世界范围内大肆流行起来。与此同时,无线网络技术也开始广泛运用于各个领域,比如:酒店、高校、交通、企业等等。然而,无线网络天生便是一种不安全的网络,其本身的安全性也是最令人担忧的,经常成为入侵者的攻击目标,导致各种重要数据和信息的泄露遗失。因此,在4G时代,对无线网络安全的重视,便成了大势所趋。
1 4G通信技术概述
移动通信技术经历了三个主要发展阶段。每一个阶段的发展都是一次技术上的突破。第一代起源于20世纪80年代,它完成于20世纪90年代初,主要采用模拟传输技术。第二代起源于90年代初期,主要采用时分多址和码分多址技术。第三代移动通信系统最基本的特征是智能信号处理技术,智能信号处理单元将成为基本功能模块,支持话音和多媒体数据通信。然而,第三代移动通信系统没有一套统一的标准而且频谱利用率低下,尽管其传输速率可高达2Mb/s,但仍无法满足多媒体通信的要求,因此,第四代移动通信系统(4G)的研究随之应运而生。新兴的4G通信系统可以适应移动计算、移动数据和移动多媒体的运作,并能满足数据通信和多媒体业务快速发展的需求。4G的核心技术包括:接入方式和多址方案、调制与编码技术、高性能的接收机、智能天线技术、MIMO技术、软件无线电技术、基于IP的核心网和多用户检测技术等。
2 4G无线网络安全问题及应对措施
2.1 4G无线网络面临的安全问题
(1)传输层面临的安全威胁:由于4G移动通信系统是通过Internet与无线网络互连而组成的,而有线链路部分可视为不开放的独立网络,所以传输层面临的威胁更大。其主要表现如下:攻击者通过主动攻击,随意篡改、插入或删除传输层上的数据。攻击者被动窃取链路上的未加密信息,收集数据和非法获取用户的隐私。这些攻击手段可导致ME和无线网络的信息不同步而增加误码率的提高。
(2)网络层面临的安全威胁:网络实体主要包括无线网络和核心网络中的实体,如无线2G/3G系统中的VRL(拜访位置寄存器)和HRL(归属位置寄存器),以及无线LAD中的AP和认证服务器等。主要安全威胁如下:Windows操作系统基本上都具有自动查找无线网络的功能,只要对无线网络有些基本的认识,对于不设防或是安全级别很低的无线网络,未授权的用户或是黑客通过一般的攻击或是借助攻击工具都能够接入发现的无线网络。一旦接入,非法用户将占用合法用户的网络带宽,恶意的非法用户甚至更改路由器的设置,导致合法用户无法正常登陆,而有目的非法接入者还会入侵合法用户的电脑窃取相关信息。
(3)应用层面临的安全威胁:随着智能手机和平板等移动终端不断普及,以及移动终端的计算和存储能力不断增强为应用层带来了更大安全威胁。这些无线应用也丰富了移动终端感染病毒、木马或恶意代码所侵蚀的渠道。
2.2应对措施
(1)加强网络访问控制。如果AP安置在网络安全设备的外面,可考虑通过技术连接到主干网络,使用基于 IEEE802.1X的新的无线网络产品,并将前端基于 IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。
(2)加强安全认证。由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过技术能够有效地保护通过电波传输的网络流量。一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。此外还需定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保设备的配置正常。
(3)安全传输。在通信过程中,移动终端可选择与无线接入网络之间建立加密传输通道,如果用户接入的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,如采用像SSL、IPSec等加密技术来加强数据的安全性。
(4)隔离无线网络和核心网络。由于无线网络非常容易受到攻击,因此被认为是一种不可靠的网络。所以应将无线网络布置公共区域,即核心网络防护外壳的外面,如防火墙的外面。
(5)统一监控与审计。对移动终端的访问行为、无线接入设备的运行情况建立统一的监控与审计系统,可以有效地分析移动终端行为规律、记录异常操作,保证无线接入网的高效、可靠。
3结语
无线网络以其经济适用、安装方便、使用灵活等优点扩展了用户自由度,使用户体验到了前所未有的效果,但是这种自由和便利也带来了新的威胁和挑战。本文从最基础的知识入手阐述了4G网络,相信只要我们利用得当,4G网络会带给我们一个更美好的未来。
浏览量:2
下载量:0
时间:
随着科学技术的不断发展,计算机已经成为了人们日常生活中重要的信息工具,那么你知道网络安全防护措施吗?下面是读文网小编整理的一些关于网络安全防护措施的相关资料,供你参考。
为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。
浏览量:2
下载量:0
时间:
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。
计算机网络安全基本简介:
计算机网络安全不仅包括组网的硬件、管理控制网络的软件,也包括共享的资源,快捷的网络服务,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义,认为计算机网络安全是指:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。
计算机网络安全问题在以下几点:
保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
可控性:对信息的传播及内容具有控制能力。
可审查性:出现的安全问题时提供依据与手段。
浏览量:3
下载量:0
时间:
以下是读文网小编为大家整理到的关于无线网络安全技术的论文,欢迎大家前来阅读。
1 引言
随着无线上网本、iPad、智能手机等移动终端的不断推陈出新,以WLAN技术为核心的移动宽带互联应用呈爆炸式增长。与此同时,大量基于物联网、云计算而生的企业级移动业务在园区网内得到广泛应用,如智能电网、物流定位、无线语音、P2P共享等。无线网络已经深刻地改变了我们的生活与工作,无线网络在为我们带来丰富与便捷应用的同时,安全威胁也在不断蔓延,个人信息的泄漏、各类账号密码的被盗、私密信息的被公开,也在困扰着使用无线网络的人们。
2 无线网络的安全隐患
利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有几点。2.1 未经授权使用网络服务
由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,降低合法用户的服务质量,而且未经授权的用户没有遵守运营商提出的服务条款,甚至可能导致法律纠纷。
2.2 地址欺骗和会话拦截
在无线环境中,非法用户通过非法侦听等手段获得网络中合法终端的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,非法用户很容易伪装成AP进入网络,并进一步获取合法用户的鉴别身份信息,通过拦截会话实现网络攻击。
2.3 高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。多数企业部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,就会使整个网络暴露在非法用户面前。
3 无线网络安全技术
为了应对无线网络中存在的各种安全威胁,相应的无线安全技术也应运而生,包括物理地址( MAC )过滤、服务区标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA(Wi-Fi Protected Access)、IEEE 802.11i等。上述的各类技术均是围绕着网络安全的核心要素:认证性、加密性、完整性。
认证性:确保访问网络资源的用户身份是合法的。
加密性:确保所传递的信息即使被截获了,攻击者也无法获取原始的数据。
完整性:如果所传递的信息被篡改,接收者能够检测到。
此外,还需要提供有效的密钥管理机制,如密钥的动态协商,以实现无线安全方案的可扩展性。
3.1 物理地址( MAC )过滤
每个无线客户端网卡都由唯一的48位物理地址(MAC)标识,可在AP中手动设置一组允许访问的MAC地址列表,实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络侦听就可获得合法的MAC地址表,而MAC地址并不难修改,因而非法用户完全可以盗用合法用户的MAC地址来非法接入。因此MAC地址过滤并不是一种非常有效的身份认证技术。
3.2 服务区标识符 ( SSID ) 匹配
无线客户端必需与无线访问点AP设置的SSID相同 ,才能访问AP;如果设置的SSID与AP的SSID不同,那么AP将拒绝它通过接入上网。利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP)及SSID区域的划分和权限控制来达到保密的目的,因此可以认为SSID是一个简单的口令,通过提供口令认证机制,实现一定的安全。
3.3 WEP加密机制
IEEE 802.11-1999把WEP机制作为安全的核心内容,包括几个方面。
身份认证:认证采用了Open System认证和共享密钥认证,前者无认证可言,后者容易造成密钥被窃取。
完整性校验:完整性校验采用了ICV域,发送端使用Checksum算法计算报文的ICV,附加在MSDU后,MSDU和ICV共同被加密保护。接收者解密报文后,将本地计算的CRC-32结果和ICV进行对比,如果不相等,则可以判定报文被篡改。CRC-32算法本身很弱,使用bit-flipping attack就可以篡改报文,同时让接收者也无法察觉。
密钥只能静态配置,密钥管理不支持动态协商,完全不能满足企业等大规模部署的需求。
数据加密:数据加密采用加密算法RC4,加密密钥长度有64位和128位两种,其中24Bit的IV是由WLAN系统自动产生的,需要在AP和STA上配置的密钥就只有40位或104位。RC4并不是很弱的加密算法,安全的漏洞在于IV。IV存在的目的是要破坏加密结果的规律,实现每次加密的结果都不同,但是长度太短了。在流量较大的网络,IV值很容易出现被重用。目前有很多软件都可以在短短几分钟内完成对WEP的破解。
3.4 WPA加密机制
在IEEE 802.11i 标准最终确定前,WPA标准是代替WEP的无线安全标准协议,为 IEEE 802.11无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。可以认为:WPA = 802.1x + EAP + TKIP + MIC?。 身份认证:在802.11中只是停留在概念的阶段,到了WPA中变得实用而又重要,它要求用户必须提供某种形式的凭据来证明它是合法的,并拥有对某些网络资源的使用权限,并且是强制性的。
WPA的认证分为两种:第一种采用802.1x+EAP的方式,用户提供认证所需的凭证,例如账户口令,通过专用认证服务器(一般是RADIUS服务器)来实现。在大型企业网络中,通常采用此种方式。不过面对中小型企业或者家庭用户时,架设一台专用的认证服务器未免昂贵,维护也非常繁杂,针对此种情况WPA也提供一种简化的方式,这种方式称为WPA预共享密钥(WPA-PSK),它不需要专门的认证服务器,仅需要在每个WLAN节点预先输入一个密钥即可完成。只要密钥相符,客户就可以获得无线局域网的访问权。由于这把密钥仅用于认证过程,并不用于加密过程,因此会避免诸如使用WEP加密机制中认证安全问题。
完整性校验:是为防止攻击者从中间截获数据报文、篡改后重发而设置的。802.11中对每个数据分段(MPDU)进行ICV校验ICV本身的目的是为了保证数据在传输途中不会因为电磁干扰等物理因素导致报文出错,因此采用相对简单高效的CRC算法,但是攻击者可以通过修改ICV值来使之和被篡改过的报文相符合,可以说没有任何安全的功能。WPA除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外,WPA为802.11的每个数据分组(MSDU)都增加了一个8字节的消息完整性校验值。而WPA中的MIC则是专门为了防止工具者的篡改而专门设定的,它采用Michael算法,安全性很高。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,WPA还会采取一系列的对策,比如立刻更换组密钥、暂停活动60秒等,来阻止攻击者的攻击。
数据加密:WPA采用TKIP为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。同时,TKIP采用802.1x/EAP构架,认证服务器在接受了用户身份后,使用802.1x产生一个唯一的主密钥处理会话。然后,TKIP把这个密钥通过安全通道分发到客户端和AP,并建立起一个密钥构架和管理系统,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密无线通信数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破。
3.5 IEEE 802.11i标准
为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, IEEE802.11工作组开发了新的安全标准IEEE802.11i ,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准针对802.11标准的安全缺陷,进行了如下改进。
身份认证:802.11i的安全体系也使用802.1x认证机制,通过无线客户端与Radius 服务器之间动态协商生成PMK(Pairwise Master Key),再由无线客户端和AP之间在这个PMK的基础上经过4次握手协商出单播密钥以及通过两次握手协商出组播密钥,每一个无线客户端与AP之间通讯的加密密钥都不相同,而且会定期更新密钥,很大程度上保证了通讯的安全。
完整性校验:采用了CBC和Michoel算法实现完整性校验。
数据加密:数据加密采用了CCMP加密,CCMP基于AES-CCM算法,结合了用于加密的CTR和用于完整性的加密块链接消息认证码(CBC-MAC),保护MPDU数据和IEEE 802.11 MPDU帧头部分域的完整性。
密钥协商:通过4次握手过程进行动态协商密钥。
4 无线网络安全策略选择
无线的网络技术发展到今天给人们提供了多种选择,虽然目前802.11i方兴未艾,考虑到升级成本、部署难度、网络效率等多方面的因素,在进行无线网络安全策略选择时,根据具体情况进行分析。如表1所示给出不同场合下,无线安全方案。
在充分体验无线网络给人们带来的便利与丰富体验的同时,安全威胁一直如影相随,保证无线网络安全也就成为了无线网络应用与发展中所有问题的焦点问题,WiFi联盟推出的各项技术与标准不断增强着无线网络安全,加强了无线安全管理。安全技术与标准的完善不断推动者无线网络的应用,同时无线网络安全不仅与认证、加密、完整性检测等技术有关,还需要入侵检测系统、防火墙等技术的配合,因此无线网络的安全是一个多层次的问题,根据实际情况,综合利用各项技术设计无线网络安全方案。
浏览量:2
下载量:0
时间:
最近有网友想了解下企业网络安全策略论文怎么写,所以读文网小编就整理了相关资料分享给大家,具体内容如下.希望大家参考参考!!!
企业网络安全策略论文(读文网小编这里就以企业网络安全策略设计与实现的论文为例子给大家参考参考)
一、企业网络信息系统安全需求
(一)企业网络信息安全威胁分析
大部分企业在网络信息安全封面均有一些必要措施,因为网络拓扑结构和网络部署不是一成不变的,因此还会面临一些安全威胁,总结如下:
(1)监控手段不足:企业员工有可能将没有经过企业注册的终端引入企业网络,也有可能使用存在安全漏洞的软件产品,对网络安全造成威胁。
(2)数据明文传输:在企业网络中,不少数据都未加密,以明文的方式传输,外界可以通过网络监听、扫描窃取到企业的保密信息或关键数据。
(3)访问控制不足:企业信息系统由于对访问控制重要性的忽视,加之成本因素,往往不配备认证服务器,各类网络设备的口令也没有进行权限的分组。
(4)网间隔离不足:企业内部网络往往具有较为复杂的拓扑结构,下属机构多,用户数量多。但网络隔离仅仅依靠交换机和路由器来实现,使企业受到安全威胁。
(二)企业网络信息安全需求分析
企业信息系统中,不同的对象具备不同的安全需求:
(1)企业核心数据库:必须能够保证数据的可靠性和完整性,禁止没有经过授权的用户非法访问,能够避免各种攻击带来的数据安全风险。
(2)企业应用服务器:重要数据得到有效保护,禁止没有经过授权的用户非法访问,能够避免各种攻击带来的数据安全风险。
(3)企业web服务器:能够有效避免非法用户篡改数据,能够及时发现并清除木马及恶意代码,禁止没有经过授权的用户非法访问。
(4)企业邮件服务器:能够识别并拒绝垃圾邮件,能够及时发现并清除木马及蠕虫。
(5)企业用户终端:防止恶意病毒的植入,防止非法连接,防止未被授权的访问行为。
二、企业网络安全策略设计与实现
企业网络的信息安全策略是涵盖多方面的,既有管理安全,也有技术安全,既有物理安全策略,也有网络安全策略。结合上文的安全分析与安全需求,企业网络应实现科学的安全管理模式,结合网络设备功能的不同对整体网络进行有效分区,可分为专网区、服务器区以及内网公共区,并部署入侵检测系统与防火墙系统,对内部用户威胁到网络安全的行为进行阻断。
在此基础上,本文着重阐述企业信息系统的网络层安全策略:
(一)企业信息系统网络设备安全策略
随着网络安全形势的日趋严峻,不断有新的攻击手段被发现,而这些手段的攻击目标也已经从用户终端、服务器厌延展至交换机、路由器等硬件设施。而交换机与路由器属于网络核心层的重点设备,如果这些设备退出服务,企业信息系统网络安全便会面临很大的威胁。由此本文给出以下的网络设备安全策略。
最大化地关闭网络交换机上的服务种类。尤其是不经常使用的服务更应关闭,举例来讲:交换机的邻居发现服务CDP,其功能是辨认一个网络端口连接到哪一个另外的网络端口,邻居发现服务锁发出和接收的数据包很容易暴露用户终端的属性信息,包括交换机端口与用户终端的IP信息,网络交换机的型号与版本信息,本地虚拟局域网属性等。
因此,本文建议在不常使用此服务的情况下,应该关闭邻居发现服务。另外,一些同样不常使用的服务,包括交换机自举服务、文件传输服务、简单文件传输服务、网络时间同步服务、查询用户情况服务、简单网络管理服务、源路径路由服务、代理ARP服务等等。
企业信息系统的网管往往以Telnet协议实现对全网所有交换机、路由器的配置与管理。众所周知,此协议使用的是明文传输模式,因此在信息安全方面不输于非常可靠的协议。
入侵者只要以抓包软件便能够轻易得知网管的登录ID与密码,以抓包软件同样能够获取网络管理员发出、受到的全部数据。所以在网络管理中,应引入安全性能更高的协议,读文网小编推荐SSH(Secure Shell Client)协议。这种协议借助RSA生成安全性能极高的签名证书,通过该证书,全部以SSH协议进行传输的数据包都被良好加密。此外VTP 的安全使用也是一个应该得到重视的问题,VTP应配置强口令。
(二)企业信息系统网络端口安全策略
由于大部分企业网络的终端均以网络交换机在接入层连入网络,而网络交换机属于工作在ISO第二层的设备,当前有不少以第二层为目标的非法攻击行为,为网络带来了不容忽视的安全威胁。
二层网络交换机使用的数据转发方式是以CAM表为基础的。在网络交换机加点之后,首选会清空CAM 表,并立即启动数据帧源地址学习,并将这些信息存入交换机CAM表中。这时候,加入非法入侵者通过伪造自身的MAC地址并不停地发出数据帧结构,便很容易导致网络交换机CAM表溢出,服务失效。而此时便会导致该MAC的流量向交换机其他端口转发,为非法入侵者提供网络窃听的机会,很容易造成攻击风险。
读文网小编所推荐的策略是:网络交换机的端口安全维护应随时打开;在交换机配置中设置其学习MAC地址的最大数目为1;设置网络交换机能够存储其学习到的全部MAC地址;一旦网络交换机的安全保护被触发,则丢弃全部MAC 地址的流量,发送告警信息。对网络交换机进行以上的配置,一方面能够防止基于交换机MAC地址的泛洪攻击,另一方面也能对网络内部的合法地址做好记录。
在成功阻止未知MAC地址接入的基础上,还应阻止来自已知地址的攻击。本文推荐基于MAC限流的策略,这是由于网络交换机不必向所有端口广播未知帧,因此可以对未知帧进行阻止,增强网络交换机安全性。
(三)企业信息系统网络BPDU防护策略
一般情况下,企业的内部网络往往以网络交换机作为网络拓扑的支撑,因为考虑到交换机通道的沟通,加之系统冷、热备份的出发点,在企业网络中是存在第二层环路的,这就容易引发多个帧副本的出现,甚至引起基于第二层的数据包广播风暴,为了避免此种情况的发生,企业网络往往引入了STP协议。而这种协议的效果则取决于交换机共享的BPDU信息。这就为一些攻击者提供了机会,通过假冒优先级低的BPDU数据包,攻击者向二层网络交换机发送。
由于这种情况下入侵检测系统与网络防火墙均无法生效,就导致攻击者能够方便地获取网络信息。可以采用的防范措施为:在二层网络交换机启用BPDU过滤器模块。该模块能够控制此端口,使其对BPDU数据包不进行任何处理,加入收到此种类型的数据包,该端口将会自动设置为“服务停止”。在此基础上,在根交换机上引入链路监控体系。一旦该交换机设备检测到优先级更高的 BPDU数据包,则发出“失效”的消息,及时阻塞端口。
(四)企业信息系统网络Spoof防护策略
在企业内部网络中,往往有着大量的终端机,出于安全性与可靠性的考虑,这些终端机均以动态主机设置协议获得自身的IP地址。这就为Spoof 攻击留下了机会。在这种攻击中,非法入侵者会将自身假冒动态主机设置协议服务器,同时向用户主机发出假冒的动态IP配置数据包,导致用户无法获取真实IP,不能联网。
可以采用的防范措施为:引入动态主机设置协议Snooping 策略。在二层网络交换机上安装Snooping模块并激活,系统便会把设备的全部可用端口设置为untrust 接口。这种接口能够收到消息,并丢弃假冒的动态IP配置数据包,从而防止Spoof 攻击带来的风险。
考虑到地址解析协议在安全方面的防范性不足,加入非法入侵者不断地发出ARP数据包,便容易导致全部用户终端的ARP表退出服务,除去静态绑定IP与MAC之外,本文推荐动态ARP监测策略。此种策略会将交换机全部端口设置为untrust状态。此种状态之下,端口将无法发出ARP的响应,因此,党用户主机染毒时,其发出的假冒ARP数据包将由于与列表不匹配而被丢弃,系统安全得到了保障。
三、结束语
企业信息系统亟需一个整体性的解决方案与安全策略。本研究在阐述企业整体信息安全威胁与需求的基础上,总结了企业网络常见的安全问题,结合这些问题进行了信息安全策略设计,并从网络设备防护策略、端口安全策略、BPDU 防护策略、Spoof 攻击防护策略四个方面对企业信息安全实现方法进行了阐述,设计了相关的安全策略。
浏览量:2
下载量:0
时间:
随着计算机在日常生活和工作中的普及应用,计算机网络安全也逐渐为人们所重视,及时识别计算机网络安全隐患,进而采取针对性防范措施,对安全使用计算机具有重要意义。下面读文网小编给大家分享计算机网络安全隐患及防范策略的论文,欢迎阅读:
随着网络信息技术的快速发展,为了便于人们或者政府与企业之间的相互沟通和交流,非信任网络已经逐渐进入人们的生活和工作中。对非信任网络依赖度的增强,已经成为人们使用网络的重要特征。网络安全问题也成为了我们必须关注的重点。在我国,网络信息安全形式十分严峻。特别是在信息产业和经济金融领域,电脑硬件和软件都面临着各种问题,如市场垄断或价格歧视;此外从国外进口的电脑硬件、软件中均存在着不同程度的恶意功能,而我国网络信息安全技术落后和人们的安全理念薄弱是造成网络安全不设防,导致网络信息具有较大的危险性,导致黑客攻击事件和病毒不断攻击网络,造成数据泄露和丢失。此外,网络安全在面对不断出现的新的威胁时,其应对能力有待进一步提高。
2.1网络攻击
计算机系统是个庞大的复杂的系统,系统开发者很难做到十分完美,因此,计算机系统大多存在着较为严重的安全隐患,十分容易收到安全侵袭。其中网络攻击方式主要有以下几种[2]:
1)利用型攻击。这种攻击方法主要利用口令猜测,木马程序或者缓存区溢出等方式发控制电脑系统。这种攻击方式的解决相对比较容易,主要通过设置密码的方式来及时更新浏览器,避免木马病毒攻击。
2)拒绝服务式攻击。这种网络攻击主要是通过破坏计算机系统使计算机和网络停止提供拂去,又称为DOS(DanielofService)。其中危害最严重的拒绝式服务攻击是分布式拒绝服务攻击,它将多台计算机联合为一个攻击目标,针对其发动拒绝服务式攻击,其威力十分巨大。一般情况下,的DOS攻击主要有互联网带宽攻击及其连通性的攻击。带宽攻击通过发送流量巨大的数据包,耗尽网络流量,造成网络数据无法传输。而连通性攻击主要是通过阻止用户连接宽带而达到拒绝服务的攻击。#p#副标题#e#
3)信息收集型攻击。这种攻击方法主要以截取信息或植入非法信息为目的,在网络攻击中十分常见,且十分难以发现。主要有系统扫描,系统结构探测以及信息服务利用三种信息收集攻击方式。系统扫描和系统结构探测攻击的基本原理较为相似,前者主要采用一些远程软件对要攻击系统进行检测并查处系统漏洞从而攻击。后者则是对攻击对象的特点进行判断确定适合的攻击手段。利用信息服务主要是控制攻击对象操作系统中信息服务功能保存的主信息,对主机进行攻击。
4)虚假信息攻击。虚假信息攻击具有十分强的隐蔽性,最常见的主要有DNS攻击和电子邮件攻击。在DNS进行信息交换时不进行信息来源验证,将虚假信息植入到要攻击的计算机系统中,使自己的主机控制要攻击的主机,这种虚假信息植入方式为DNS攻击。而电子邮件攻击则是由于部分用户对邮件发送者的身份不进行验证,打开攻击者植入木马程序的邮件,使电脑主机受到攻击。
5)脚本与Activex跨站攻击。这实质上是网页攻击,主要是利用网页操作系统的漏洞,将JavaApplet、Javascript以及Activex等具有自动执行的程序代码强行植入到网页中,并修改用户操作系统中的注册表,来达到攻击计算机网络的目的。网页攻击的危害十分强大,可以对数据产生较大的破坏[3]。网页攻击一方面通过IE浏览器将程序代码植入,修改受攻击的IE浏览器的主页,强行访问该网页。另一方面,将程序代码植入浏览器后不断的对系统进行攻击,当用户点击该网页时,便会不断的弹出同一个窗口,直至系统奔溃。 2.2计算机病毒攻击
1)蠕虫病毒。计算机蠕虫病毒因能够对用户终端实施单独攻击而被重视,该病毒程序主要以扫描系统漏洞为途径,一旦发现存在漏洞,就会自动编译攻击程序,被不断复制和转移,从而达到控制电脑主程序的目的,进而实施攻击。我国爆发的蠕虫病毒最著名的当属“熊猫烧香病毒”,该病毒甚至一度引起整个国家网络用户的恐慌。由于蠕虫病毒的潜伏性极强,任何程序都可能成为其传播的工具,而这个程序一旦为其他用户所使用也会被感染。此外,蠕虫病毒能够根据不同的系统漏洞进行针对性变异,这使得市场上的一般杀毒软件难以识别和扫杀,因此造成的危害也就更大。
2)脚本病毒。从专业的角度来讲,脚本病毒也称为VBS病毒。较之其他类型的计算机病毒,该病毒主要对互联网用户实施攻击。用户在浏览网页时,可能会无意识激活依附在网页中的病毒脚本,而这类脚本一旦被激动就会脱离IE的控制,从而使主机感染病毒。由于互联网用户的猛增,这类病毒的危害程度也不断加深,而用户一旦感染该类病毒,主机的内从空间就会被大量占用,进而导致系统运行不畅,甚至造成操作系统的瘫痪,更为严重的情况是格式化硬盘导致数据资料丢失。
3)木马病毒。该病毒是目前计算机用户普遍面临的病毒程序,又名特洛伊木马。该病毒的主要特点就是诱骗性极强,主要诱导用户下载病毒程序,一旦进入主机就会寻找系统漏洞并迅速隐藏,进而窃取用户关键信息。由于木马病毒的隐蔽性极强,用户一般很难及时发现,这为病毒攻击主程序提供了足够的时间,而用户一旦不能控制主机程序,计算机信息就会被病毒窃取。
4)间谍病毒。该病毒是近年出现的一种攻击性不太明确的病毒变种,主要影响计算机的正常网络访问,如主页劫持等。在日常网页访问过程中,我们会发现一些非法窗口会随着主网页程序弹出,通过这种方式来增加其访问量。由于该病毒对用户的实际应用影响不大,尚未引起足够的重视,相应的针对性防范策略也比较缺失。#p#副标题#e#
浏览量:189
下载量:0
时间:
由于互联网络的开放性和通信协议的安全缺陷,以及在网络环境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击非常严重,因此建立有效的网络安全防范体系就更为迫切。下面是读文网小编为大家整理的计算机网络安全问题及日常防范措施,希望大家能够从中有所收获!
计算机网络安全问题及日常防范措施:
由于互联网络的开放性和通信协议的安全缺陷,以及在网络环境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击非常严重,因此建立有效的网络安全防范体系就更为迫切。实际上,保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则,更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则,分析网络系统的各个不安全环节,找到安全漏洞,做到有的放矢。
浏览量:2
下载量:0
时间:
根据校园网络的发展趋势,论述了无线网络技术的优点,给出了建设无线校园网的具体架构方案,无线校园网络的管理方案,解决校园无线网安全的技术方案。指出了搭建无线网络可以充分提高网络的利用,提高学校教育信息化应用的深度和广度。以下是读文网小编为大家整理到的校园或者家庭的无线网络安全的论文,欢迎大家前来阅读。
随着网络的普及和推广,越来越多的用户将家庭中带有网络功能的电子电器通过无线技术连接成局域网络,并与外部Internet相连,构成智能化、多功能的现代家居智能系统。由于用户技术水平参差不齐,缺少安全意识,人们在享受家庭无线上网便利的同时也出现了各种各样的问题。如何保护用户个人隐私,防止网络带宽资源被他人窃用,家庭无线网络的安全防护就显得十分重要。
1 无线局域网概述
无线局域网(Wireless LocalArea Networks;WLAN)是利用无线射频的技术,取代传统的采用双绞线为传输介质的有线网络。它具有传统局域网无法比拟的灵活性和移动性,无需重新布线,允许用户在任何时间、任何地点,使用支持无线上网的笔记本、PAD、智能手机访问Internet。无线局域网已经在家庭、学校、医院和公司等不适合网络布线的场合得到了广泛的应用。目前大多数家庭使用无线AP或无线路由器组建无线局域网,采用IEEE802.11n标准协议,理论传输速度最高达到600Mbit/s。[1]
2 家庭无线网络存在的安全隐患
经过对许多家庭无线网络环境的分析,其面临的威胁主要来自于以下五个方面:。
(1)信号干扰。目前家庭无线网络使用的协议标准主要是IEEE 802.11g/n,这与家庭中使用的微波炉、蓝牙、无绳电话工作于同一频率2.4GHz,除此之外,还有来自于复印机、防盗装置、等离子灯泡、附近无线AP或无线路由器等相近频率信号的干扰。[2]
(2)非法接入。很多家庭在搭建无线网络后,并未修改无线AP或无线路由器等设备的默认出厂信息,如无线网络的管理账户和Web页面登陆地址,入侵者在搜索到附近的无线网络信号后,只需尝试使用常见的登陆用户名、密码(admin)和管理IP(192.168.X.1),就可以进入无线设备管理Web页面,获取通过SSID、信道、加密。
(3)地址欺骗、会话拦截。入侵者利用IEEE 802.11无线标准协议接收数据帧时不进行认证这一缺陷,能轻易获得网络中站点的MAC地址。此外,入侵者还通过监测AP发出的广播帧发现AP的存在,并冒充一个AP进一步获取身份认证信息。
(4)流量监听与数据加密。由于无线网络信号借助于空气介质传播,任何无线网络分析仪都可以不受阻碍地截获未经加密的信息。
(5)阻塞攻击与访问控制。无线局域网与传统的有线局域网一样,也会面临蠕虫病毒、拒绝服务(DoS)攻击等威胁。
3 对策与建议
针对以上家庭无线网络存在的安全隐患问题,必须对症下药,笔者建议从以下几个方面着手解决:
(1)为避免信号干扰,部署无线网络时,要根据家庭的实际环境,尽量将根据无线AP或无线路由器安放在无线上网区域的中心位置,同时也要远离微波炉、无绳电话、电视机等设备。
(2)修改无线AP或无线路由器出厂时的默认用户名、口令和管理IP地址。
(3)对无线网络进行加密。目前常见的安全加密类型有WEP、WPA、WPA2三种,建议使用WPA2,它使用AES作为加密算法,提供了一种安全性更高的加密标准-CCMP。[3]
(4)修改默认的服务区标识符(SSID)可以防止他人搜索信号时看到家庭无线网络名称,但最好禁止SSID使用广播。
(5)设置MAC地址过滤。在路由器、中继器等路由设备中建立允许访问通过的MAC列表规则,以此来防止非法设备主机接入网络。
(6)为设备分配静态IP。在无线路由器中取消DHCP服务功能,为网络成员设备分配固定的IP地址,设定允许接入设备的IP地址列表,可以有效地防止非法入侵。[4]
(7)设置防Ping功能。Ping命令可以检查网络是否能够连通,将家庭的无线路由器防Ping,可以降低被互联网黑客发现的几率,避免因受到拒绝服务攻击导致网络瘫痪。[5]
(8)启用防火墙。为防止个人计算机受到非法使用者侵入,用户电脑系统上一定要安装网络防火墙,实现内外网的隔离保护,根据记录的可疑事件及时采取措施。
(9)网络访问控制。现在很多无线AP或无线路由器都提供了网络访问控制功能,根据家庭需要,可以对不安全的IP、URL、MAC进行访问控制。
4 结语
技术总是不断更新快速发展,黑客的攻击手段也是不断变化升级的,所以说绝对安全的网络是不可能存在的,通过以上措施和手段只是对家庭无线上网用户的安全起到一定的保障作用。家庭用户还需加强学习,增强网络安全意识,才能确保我们的家庭、社会更加和谐美好。
浏览量:2
下载量:0
时间:
文章首先介绍了无线广域网、无线城域网、无线局域网、无线个域网、无线体域网等无线网络的基本特点,然后从无线网络的开放性、移动性、动态变化以及传输信号的不稳定性和终端设备等方面比较了无线网络安全和有线网络安全的区别,最后提出并详细解释了解决无线网络安全问题的一般思路。以下是读文网小编为大家整理到的无线网络安全技术的论文,欢迎大家前来阅读。
广义上的无线网络(Wireless network)是相对有线网络而言的,所有利用无线电波作为信息传输媒介所构成的网络都可称之为无线网络。无线网络的种类[1]有:无线广域网(WWAN)、无线城域网(WMAN、WiMAX)、无线局域网(WLAN)、无线个域网(WPAN)、无线体域网(WBAN)。WBAN主要用于医疗监控、娱乐等方面,WPAN典型应用就是蓝牙通信,WLAN用于办公局域网、校园网的无线接入,WMAN主要用于移动数据通信、移动宽带接入等,WWAN通过通信卫星进行数据通信。从WBAN到WWAN覆盖范围由小到大,WBAN最多传输2m,WWAN则可覆盖全球。狭义的无线网络通常是指WLAN,本文也主要讨论这种无线网络的安全技术。
一、 WLAN无线网络的搭建
1. WLAN的技术标准。目前,WLAN的主要技术标准是IEEE 802.11系列、HomeRF和HiperLAN等几个标准体系。IEEE 802.11是国际电工电子工程学会(IEEE)制定的无线局域网标准,已先后推出了802.11、802.11b、802.11a、802.11g、802.11n等多项标准,其中802.11g的传输速率达到54Mb/s,802.11n又提高到300 Mb/s。HomeRF是美国家用射员会组织提出的WLAN标准。HiperLAN是欧洲推出的无线局域网标准,有HiperLAN/1和HiperLAN/2两种规格。目前,IEEE 802.11系列标准中应用较多的是802.11b/g/n。
2. WLAN的连接方法与拓扑结构。WLAN的连接方法主要有点对点的对等无线网络(Ad Hoc)和集中控制的无线网络(Infrastructure)两种模式。虽然Ad Hoc非常简单和经济,只需每台无线设备拥有无线网卡,即能组网,但安全性较差,容易受到窃听和攻击。Infrastructure需要通过无线AP或无线路由器进行网络连接,与Ad Hoc相比安全性和扩展能力更强。
采用Infrastructure组网一般需要无线网卡、无线AP或无线路由器,组建大中型网络还需要无线局域网控制器(WLC)、无线网桥等设备。图1是小型无线网络的拓扑图。通过Modem(如ADSL调制解调器等)可接入互联网,路由器将局域网(内网)和互联网(外网)连接起来,无线AP也称作无线接入点或无线访问节点,其相当于有线网络的交换机,将网络信号转化为无线电讯号发射出去,实现无线网络的覆盖。可以使用WLAN不仅有笔记本电脑、PDA(又称掌上电脑,如Pad等),目前不少智能手机也可利用WLAN上网。
二、 WLAN无线网络的安全技术
1. 无线网络的安全风险。无线网络的开放性使组网更方便和灵活,但也更容易受到窃听和主动攻击,因而其安全风险比有线网络更大一些,具体表现在以下几个方面:⑴无线网络容易搜索。由于无线网络的开放性和无边界性,使得任何一个进入网络覆盖范围的人都可以搜索到无线AP,借助移动设备和GPS定位系统不仅能标记该AP的地理位置,在禁用SSID广播的情况下也能获取SSID的信息、速率、默认配置等。⑵窃听难度小。当窃听者接收到网络信号,轻则对没有设置密码的网络或者安全防护强度较低的网络解除进入(如WEP静态密码较易被解除)后“蹭网”——未授权使用服务,重则窃取用户数据、恶意注入信息等,如进行拒绝服务攻击(DDoS)。⑶跟踪攻击者难度较大。无线网络的移动性增加了安全管理的难度,由于移动节点没有物理防护结构,在较大范围内对处于移动状态的攻击者进行精确定位是非常困难的;在已被入侵节点进行内部攻击破坏性很大,但更难检测。⑷安全方案实施难度大。由于无线网络拓扑结构是动态变化的,缺乏集中管理机制,安全技术更复杂,因而安全方案实施难度较大。
2. 提高无线网络安全性的技术措施
2.1 采用更可靠的无线加密方式。目前无线网络的加密方式主要有WEP、WPA/WPA2、WAPI等几种。WEP采用由数字、英文字母组成的密钥字符串,长度一般64位、128位或256位。由于网络中所有AP、访问接入设备等都使用相同密钥,而且没有身份验证机制,容易被解除,安全性较低。为了免受攻击,需要频繁更换密钥,故应采用以下安全性更高的加密方式。
WPA/WPA2采用更复杂的加密算法,每次访问与AP建立连接,都会产生新的动态密钥,因而解除WPA需要花费更长的时间要,成功率也低得多。WPA2是WPA的更新版本,采用了AES加密算法。
WAPI是我国以IEEE 802.11协议为基础开发的加密方式,采用国家管理密码机构批准的两种算法,即公开密钥体制的椭圆曲线密码算法以及秘密密钥体制的分组密码算法,是安全认证可靠性很高的一种保密机制。
2.2 重新配置SSID并禁用SSID广播。SSID是无线接入点的服务集标识,相当于为无线网络所起的名字。如果访问者没有SSID将不能访问网络,但SSID在设备出厂时有默认设置,于是黑客可以利用默认SSID入侵网络,所以首先应更改SSID值,使入侵者难以推测;其次禁止SSID广播,使黑客不知道SSID值。
2.3 建立MAC地址列表。由于网卡地址的唯一性,故可通过设置MAC地址列表提高安全性,操作方法是先启用IP地址过滤功能,使无线AP或无线路由器只允许已设在MAC地址列表中的设备能访问网络。但这种方法是靠手工输入,如果无线接入设备数量很大的话,工作量不小,此时可利用TFTP协议定期自动更新列表。
2.4其他一些安全措施。其他安全措施,如禁用动态主机配置协议和SNMP协议,将IP地址与MAC地址绑定等,都可提高安全性。
三、结语
随着无线设备的广泛使用,无线网络的应用必将越来越广泛,但无线网络的安全风险比有线网络更大,因而无线网络的安全问题需要受到更高程度重视。本文介绍的几种安全技术的设置方法并不是很复杂,若能加以综合应用,无线网络的安全性能必会得到大幅提升。
浏览量:2
下载量:0
时间:
可以使任何一个人的计算机都能通过自己购买的AP来肆意的无授权而进行联网,而有些用户员工为了使用方便,很多人都会自己去买AP,然后就会不经过允许来介入无线网络。这就是最常见的非法接入,由于是非法的,所以任意人员都能很容易进入。这使网络的安全风险很大。以下是读文网小编为大家整理到的浅谈计算机无线网络安全的论文,欢迎大家前来阅读。
1 概述
有别于有线网络的设备可利用线路找寻设备信息,无论是管理、安全、记录信息,比起无线网络皆较为方便,相较之下无线网络的环境较复杂。无线网络安全问题最令人担心的原因在于,无线网络仅透过无线电波透过空气传递讯号,一旦内部架设发射讯号的仪器,在收讯可及的任一节点,都能传递无线讯号,甚至使用接收无线讯号的仪器,只要在讯号范围内,即便在围墙外,都能截取讯号信息。
因此管理无线网络安全维护比有线网络更具挑战性,有鉴于政府机关推广于民众使用以及企业逐渐在公司内部导入无线网络架构之需求,本篇论文特别针对无线网络Wi-Fi之使用情境进行风险评估与探讨,以下将分别探讨无线网络传输可能产生的风险,以及减少风险产生的可能性,进而提出建议之无线网络建置规划检查项目。
2 无线网络传输风险
现今无线网络装置架设便利,简单设定后即可进行网络分享,且智能型行动装置已具备可架设热点功能以分享网络,因此皆可能出现不合法之使用者联机合法基地台,或合法使用者联机至未经核可之基地台情形。倘若企业即将推动内部无线上网服务,或者考虑网络存取便利性,架设无线网络基地台,皆须评估当内部使用者透过行动装置联机机关所提供之无线网络,所使用之联机传输加密机制是否合乎信息安全规范。
倘若黑客企图伪冒企业内部合法基地台提供联机时,势必会造成行动装置之企业数据遭窃取等风险。以下将对合法使用者在未知的情况下联机至伪冒的无线网络基地台,以及非法使用者透过加密机制的弱点解除无线网络基地台,针对这2个情境加以分析其风险。
2.1 伪冒基地台联机风险
目前黑客的攻击常会伪冒正常的无线网络基地台(Access Point,以下简称AP),而伪冒的AP在行动装置普及的现今,可能会让用户在不知情的情况下进行联机,当连上线后,攻击者即可进行中间人攻击(Man-in-the-Middle,简称MitMAttack),取得被害人在网络上所传输的数据。情境之架构详见图1,利用伪冒AP攻击,合法使用者无法辨识联机上的AP是否合法,而一旦联机成功后黑客即可肆无忌惮的窃取行动装置上所有的数据,造成个人数据以及存放于行动装置上之机敏数据外泄的疑虑存在。企业在部署无线局域网络时,需考虑该类风险问题。
2.2 弱加密机制传输风险
WEP (Wired Equivalent Privacy)为一无线加密协议保护无线局域网络(Wireless LAN,以下简称WLAN)数据安全的加密机制,因WEP的设计是要提供和传统有线的局域网络相当的机密性,随着计算器运算能力提升,许多密码分析学家已经找出WEP好几个弱点,但WEP加密方式是目前仍是许多无线基地台使用的防护方式,由于WEP安全性不佳,易造成被轻易解除。
许多的无线解除工具皆已存在且纯熟,因此利用WEP认证加密之无线AP,当解除被其金钥后,即可透过该AP连接至该无线局域网络,再利用探测软件进行无线局域网络扫描,取得该无线局域网络内目前有哪些联机的装置。
当使用者使用行动装置连上不安全的网络,可能因本身行动装置设定不完全,而将弱点曝露在不安全的网络上,因此当企业允许使用者透过行动装置进行联机时,除了提醒使用者应加强自身终端安全外,更应建置安全的无线网络架构,以提供使用者使用。
3 无线网络安全架构
近年许多企业逐渐导入无线局域网络服务以提供内部使用者及访客使用。但在提供便利的同时,如何达到无线局域网络之安全,亦为重要。
3.1 企业无线局域网安全目标
企业之无线网络架构应符合无线局域网络安全目标:机密性、完整性与验证性。
机密性(Confidentiality)
无线网络安全架构应防范机密不可泄漏给未经授权之人或程序,且无线网络架构应将对外提供给一般使用者网络以及内部所使用之内部网络区隔开。无线网络架构之加密需采用安全性即高且不易被解除的方式,并可对无线网络使用进行稽核。
完整性(Integrity)
无线网络安全架构应确认办公室环境内无其它无线讯号干扰源,并保证员工无法自行架设非法无线网络存取点设备,以确保在使用无线网络时传输不被中断或是拦截。对于内部使用者,可建立一个隔离区之无线网络,仅提供外部网际网络连路连接,并禁止存取机关内部网络。
认证性(Authentication)
建议无线网络安全架构应提供使用者及设备进行身份验证,让使用者能确保自己设备安全性,且能区分存取控制权限。无线网络安全架构应需进行使用者身份控管,以杜絶他人(允许的访客除外)擅用机关的无线网络。
因应以上无线局域网络安全目标,应将网络区分为内部网络及一般网络等级,依其不同等级实施不同的保护措施及其应用,说明如下。
内部网络:
为网络内负责传送一般非机密性之行政资料,其系统能处理中信任度信息,并使用机关内部加密认证以定期更变密码,且加装防火墙、入侵侦测等作业。 一般网络:
主要在提供非企业内部人员或访客使用之网络系统,不与内部其它网络相连,其网络系统仅能处与基本信任度信息,并加装防火墙、入侵侦测等机制。
因此建议企业在建构无线网络架构,须将内部网络以及提供给一般使用者之一般网络区隔开,以达到无线网络安全目标,以下将提供无线办公方案及无线访客方案提供给企业导入无线网络架构时作为参考使用。
3.2内部网络安全架构
减轻无线网络风险之基础评估,应集中在四个方面:人身安全、AP位置、AP设定及安全政策。人身安全方面,须确保非企业内部使用者无法存取办公室范围内之无线内部网络,仅经授权之企业内部使用者可存取。可使用影像认证、卡片识别、使用者账号密码或生物识别设备以进行人身安全验证使用者身份。企业信息管理人员须确保AP安装在受保护的建筑物内,且使用者须经过适当的身份验证才允许进入,而只有企业信息管理人员允许存取并管理无线网络设备。
企业信息管理人员须将未经授权的使用者访问企业外部无线网络之可能性降至最低,评估每台AP有可能造成的网络安全漏洞,可请网络工程师进行现场调查,确定办公室内最适当放置AP的位置以降低之风险。只要企业使用者拥有存取无线内部网络能力,攻击者仍有机会窃听办公室无线网络通讯,建议企业将无线网络架构放置于防火墙外,并使用高加密性以保护流量通讯,此配置可降低无线网络窃听风险。
企业应侧重于AP配置之相关漏洞。由于大部分AP保留了原厂之预设密码,企业信息管理人员需使用复杂度高之密码以确保密码安全,并定期更换密码。企业应制定相关无线内部网络安全政策,包括规定使用最小长度为8个字符且参杂特殊符号之密码设置、定期更换安全性密码、进行使用者MAC控管以控制无线网络使用情况。
为提供安全无线办公室环境,企业应进行使用者MAC控管,并禁用远程SNMP协议,只允许使用者使用本身内部主机。由于大部分厂商在加密SSID上使用预设验证金钥,未经授权之设备与使用者可尝试使用预设验证金钥以存取无线内部网络,因此企业应使用内部使用者账号与密码之身份验证以控管无线内部网络之存取。
企业应增加额外政策,要求存取无线内部网络之设备系统需进行安全性更新和升级,定期更新系统安全性更新和升级有助于降低攻击之可能性。此外,政策应规定若企业内部使用者之无线装置遗失或被盗,企业内部使用者应尽快通知企业信息管理人员,以防止该IP地址存取无线内部网络。
为达到一个安全的无线内部网络架构,建议企业采用IPS设备以进行无线环境之防御。IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部无线内部网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御之策略。
考虑前述需求,本篇论文列出建构无线内部网络应具备之安全策略,并提供一建议无线内部网络安全架构示意图以提供企业信息管理人员作为风险评估之参考,详见表1。
企业在风险评估后确认实现无线办公室环境运行之好处优于其它威胁风险,始可进行无线内部网络架构建置。然而,尽管在风险评估上实行彻底,但无线网络环境之技术不断变化与更新,安全漏洞亦日新月异,使用者始终为安全链中最薄弱的环节,建议企业必须持续对企业内部使用者进行相关无线安全教育,以达到纵深防御之目标。
另外,企业应定期进行安全性更新和升级会议室公用网络之系统,定期更新系统安全性更新和升级有助于降低攻击之可能性。为达到一个安全的会议室公用网络架构,建议企业采用IPS设备以进行无线环境之防御。
IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部会议室公用网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御策略。
4 结论
由于无线网络的存取及使用上存在相当程度的风险,更显无线局域网络的安全性之重要,本篇论文考虑无线网络联机存取之相关风险与安全联机的准则需求,有鉴于目前行动装置使用量大增,企业可能面临使用者要求开放无线网络之需求,应建立相关无线网络方案,本研究针对目前常见之无线网络风险威胁为出发,以及内部网络与外部网络使用者,针对不同安全需求强度,规划无线网络使用方案,提供作为建置参考依据,进而落实传输风险管控,加强企业网络安全强度。
浏览量:2
下载量:0
时间:
针对计算机网络系统存在的安全性和可靠性问题,从网络安全的重要性、理论基础、具备功能以及解决措施等方面提出一些见解,并且进行详细阐述,以使广大用户在计算机网络方面增强安全防范意识。以下读文网小编整理的计算机网络安全技术应用的论文,供大家参考,希望大家能够有所收获!
浅谈计算机网络安全技术的应用:
要想实现网络安全功能,应对网络系统进行全方位防范,从而制定出比较合理的网络安全体系结构。下面就网络系统的安全问题,提出一些防范措施。
(一)物理安全。物理安全可以分为两个方面:一是人为对网络的损害;二是网络对使用者的危害。网络对使用者的危害主要是电缆的电击、高频信号的幅射等,这需要对网络的绝缘、接地和屏蔽工作做好。
(二)访问控制安全。访问控制识别并验证用户,将用户限制在已授权的活动和资源范围之内。网络的访问控制安全可以从以下几个方面考虑。
1.口令。网络安全系统的最外层防线就是网络用户的登录,在注册过程中,系统会检查用户的登录名和口令的合法性,只有合法的用户才可以进入系统。
2.网络资源属主、属性和访问权限。网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都有可以使用的资源。资源属主体现了不同用户对资源的从属关系,如建立者、修改者和同组成员等。资源属性表示了资源本身的存取特性,如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程度上。利用指定网络资源的属主、属性和访问权限可以有效地在应用级控制网络系统的安全性。
3.网络安全监视。网络监视通称为“网管”,它的作用主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全问题,如定位网络故障点、捉住IP盗用者、控制网络访问范围等。
4.审计和跟踪。网络的审计和跟踪包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。#p#副标题#e#
(三)数据传输安全。传输安全要求保护网络上被传输的信息,以防止被动地和主动地侵犯。对数据传输安全可以采取如下措施:
1.加密与数字签名。任何良好的安全系统必须包括加密!这已成为既定的事实。数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,它主要通过加密算法和证实协议而实现。
2.防火墙。防火墙(Firewall)是Internet上广泛应用的一种安全措施,它可以设置在不同网络或网络安全域之间的一系列部件的组合。它能通过监测、限制、更改跨越防火墙的数据流,尽可能地检测网络内外信息、结构和运行状况,以此来实现网络的安全保护。
3.User Name/Password认证。该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet(远程登录)、rlogin(远程登录)等,但此种认证方式过程不加密,即password容易被监听和解密。
4.使用摘要算法的认证。Radius(远程拨号认证协议)、OSPF(开放路由协议)、SNMP Security Protocol等均使用共享的Security Key(密钥),加上摘要算法(MD5)进行认证,但摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有MD5和SHA-1。
5.基于PKI的认证。使用PKI(公开密钥体系)进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
6.虚拟专用网络()技术。技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。
技术的工作原理:系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
综上所述,对于计算机网络传输的安全问题,我们必须要做到以下几点。第一,应严格限制上网用户所访问的系统信息和资源,这一功能可通过在访问服务器上设置NetScreen防火墙来实现。第二,应加强对上网用户的身份认证,使用RADIUS等专用身份验证服务器。一方面,可以实现对上网用户帐号的统一管理;另一方面,在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。一种方法是使用PGP for Business Security对数据加密。另一种方法是采用NetScreen防火墙所提供的技术。在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。
浏览量:2
下载量:0
时间:
许多学生都会学习计算机网络安全的知识,同时也要写相应的课程论文,读文网小编在这里就给大家带来计算机网络安全毕业论文,供大家参考。
计算机网络安全问题随着因特网之发展越来越受到人们之关注与重视。在这个信息资源强大之信息时代,由于网络之开放性、互联性,使得网络更加容易受到外界之干扰,这些干扰有自然因素,也有人为之因素,它们都对网络安全造成了严重之威胁。由于网络中储存着大量之信息资源与传输数据,一旦网络不安全,那么大量之信息数据在传输之过程中都有可能被盗用、暴光甚至修改,失去了本身之作用。因此,算机网络安全问题更值得人们重视与研究,做出相对应之防范措施。
对于越来越多之网络用户来说,在思想上加强网络安全防范意识是解决网络安全问题之根本。在计算机网络系统中,绝对之安全是不可能之,而制定健全之安全管理体制是必须之,要依靠管理人员与用户共同努力,运用一切可以使用之工具与技术发挥他们之主观能动性,将不安全之因素降到最低。
用户进入网络在获取信息之同时也应注意,一旦发现不良信息,或是进入未授权之页面,应自觉遵守有关规定,或是迅速采取相关措施,并及时向相关部门汇报,不要置之不理,因为只有用户都有网络安全意识与责任感,才能大大减少不安全之因素与不良信息。
浏览量:2
下载量:0
时间:
今天读文网小编就要给大家说说关于计算机与网络安全:如何应对身边的安全问题,下面就是读文网小编为大家整理到的相关资料,希望大家满意!!!
威胁企业网络安全的主要因素
由于企业网络由内部网络、外部网络和企业广域网组成,网络结构复杂,威胁主要来自:病毒的侵袭、黑客的非法闯入、数据"窃听"和拦截、拒绝服务、内部网络安全、电子商务攻击、恶意扫描、密码破解、数据篡改、垃圾邮件、地址欺骗和基础设施破坏等。
下面来分析几个典型的网络攻击方式:
1.病毒的侵袭
几乎有计算机的地方,就有出现计算机病毒的可能性。计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘、光盘等诸多手段进行传播。正因为计算机病毒传播速度相当快、影响面大,所以它的危害最能引起人们的关注。
病毒的"毒性"不同,轻者只会玩笑性地在受害机器上显示几个警告信息,重则有可能破坏或危及个人计算机乃至整个企业网络的安全。
有些黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。员工在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,这导致了病毒的传播。这些病毒会从一台个人计算机传播到另一台,因而很难从某一中心点对其进行检测。
任何类型的网络免受病毒攻击最保险和最有效的方法是对网络中的每一台计算机安装防病毒软件,并定期对软件中的病毒定义进行更新。值得用户信赖的防病毒软件包括Symantec、Norton和McAfee等。然而,如果没有"忧患意识",很容易陷入"盲从杀毒软件"的误区。
因此,光有工具不行,还必须在意识上加强防范,并且注重操作的正确性;重要的是在企业培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。
2.黑客的非法闯入
随着越来越多黑客案件的报道,企业不得不意识到黑客的存在。黑客的非法闯入是指黑客利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至毁坏数据的活动。一般来说,黑客常用的入侵动机和形式可以分为两种。
黑客通过寻找未设防的路径进入网络或个人计算机,一旦进入,他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络,所有这些都会对企业造成危害。黑客非法闯入将具备企业杀手的潜力,企业不得不加以谨慎预防。
防火墙是防御黑客攻击的最好手段。位于企业内部网与外部之间的防火墙产品能够对所有企图进入内部网络的流量进行监控。不论是基于硬件还是软件的防火墙都能识别、记录并阻塞任何有非法入侵企图的可疑的网络活动。硬件防火墙产品应该具备以下先进功能:
●包状态检查:在数据包通过防火墙时对数据进行检查,以确定是否允许进入局域网络。
●流量控制:根据数据的重要性管理流入的数据。
●虚拟专用网()技术:使远程用户能够安全地连接局域网。
●Java、ActiveX以及Cookie屏蔽:只允许来自可靠Web站点上的应用程序运行。
●代理服务器屏蔽(Proxyblocking):防止局域网用户绕过互联网过滤系统。
●电子邮件发信监控(Outgoinge-mailscreening):能够阻塞带有特定词句电子邮件的发送,以避免企业员工故意或无意的泄露某些特定信息。
3.数据"窃听"和拦截
这种方式是直接或间接截获网络上的特定数据包并进行分析来获取所需信息。一些企业在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获,如用户信用卡号码等。加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变成只有授权接收者才能还原并阅读的编码。
进行加密的最好办法是采用虚拟专用网()技术。一条链路是一条采用加密隧道(tunnel)构成的远程安全链路,它能够将数据从企业网络中安全地输送出去。两家企业可以通过Internet建立起隧道。一个远程用户也可以通过建立一条连接企业局域网的链路来安全地访问企业内部数据。
4、拒绝服务
这类攻击一般能使单个计算机或整个网络瘫痪,黑客使用这种攻击方式的意图很明显,就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。例如,通过破坏两台计算机之间的连接而阻止用户访问服务;通过向企业的网络发送大量信息而堵塞合法的网络通信,最后不仅摧毁网络架构本身,也破坏整个企业运作。
5.内部网络安全
为特定文件或应用设定密码保护能够将访问限制在授权用户范围内。例如,销售人员不能够浏览企业人事信息等。但是,大多数小型企业无法按照这一安全要求操作,企业规模越小,越要求每一个人承担更多的工作。如果一家企业在近期内会迅速成长,内部网络的安全性将是需要认真考虑的问题。
6.电子商务攻击
从技术层次分析,试图非法入侵的黑客,或者通过猜测程序对截获的用户账号和口令进行破译,以便进入系统后做更进一步的操作;或者利用服务器对外提供的某些服务进程的漏洞,获取有用信息从而进入系统;或者利用网络和系统本身存在的或设置错误引起的薄弱环节和安全漏洞实施电子引诱,以获取进一步的有用信息;或者通过系统应用程序的漏洞获得用户口令,侵入系统。
除上述威胁企业网络安全的主要因素外,还有如下网络安全隐患:
恶意扫描:这种方式是利用扫描工具(软件)对特定机器进行扫描,发现漏洞进而发起相应攻击。
密码破解:这种方式是先设法获取对方机器上的密码文件,然后再设法运用密码破解工具获得密码。除了密码破解攻击,攻击者也有可能通过猜测或网络窃听等方式获取密码。
数据篡改:这种方式是截获并修改网络上特定的数据包来破坏目标数据的完整性。
地址欺骗:这种方式是攻击者将自身IP伪装成目标机器信任机器的IP 地址,以此来获得对方的信任。
垃圾邮件 主要表现为黑客利用自己在网络上所控制的计算机向企业的邮件服务器发送大量的垃圾邮件,或者利用企业的邮件服务器把垃圾邮件发送到网络上其他的服务器上。
基础设施破坏:这种方式是破坏DNS或路由器等基础设施,使得目标机器无法正常使用网络。
由上述诸多入侵方式可见,企业可以做的是如何尽可能降低危害程度。除了采用防火墙、数据加密以及借助公钥密码体制等手段以外,对安全系数要求高的企业还可以充分利用网络上专门机构公布的常见入侵行为特征数据-通过分析这些数据,企业可以形成适合自身的安全性策略,努力使风险降低到企业可以接受且可以管理的程度。
企业网络安全的防范
技术与管理相结合:技术与管理不是孤立的,对于一个信息化的企业来说,网络信息安全不仅仅是一个技术问题,也是一个管理问题。在很多病毒或安全漏洞出现不久,网上通常就会有相应的杀毒程序或者软件补丁出现,但为什么还会让病毒肆虐全球呢?为什么微软主页上面及时发布的补丁以及各种各样查杀的工具都无法阻止这些病毒蔓延呢?归根结底还是因为很多用户(包括企业级用户)没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。
要保证系统安全的关键,首先要做到重视安全管理,不要"坐以待毙",可以说,企业的信息安全,是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高企业信息系统安全性的目的。
风险评估:要求企业清楚自身有哪些系统已经联网、企业网络有哪些弱点、这些弱点对企业运作都有哪些具体风险,以及这些风险对于公司整体会有怎样的影响。
安全计划:包括建立企业的安全政策,掌握保障安全性所需的基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。企业网络安全的防范策略目的就是决定一个组织机构怎样来保护自己。
一般来说,安全策略包括两个部分:一个总体的安全策略和具体的规则。总体安全策略制定一个组织机构的战略性安全指导方针,并为实现这个方针分配必要的人力物力。
计划实施:所有的安全政策,必须由一套完善的管理控制架构所支持,其中最重要的要素是要建立完整的安全性解决方案。
物理隔离:即在网络建设的时候单独建立两套相互独立的网络,一套用于部门内部办公自动化,另一套用于连接到Internet,在同一时候,始终只有一块硬盘处于工作状态,这样就达到了真正意义上的物理安全隔离。
远程访问控制:主要是针对于企业远程拨号用户,在内部网络中配置用户身份认证服务器。在技术上通过对接入的用户进行身份和密码验证,并对所有的用户机器的MAC地址进行注册,采用IP地址与MAC地址的动态绑定,以保证非授权用户不能进入。
病毒的防护:培养企业的集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。
防火墙:目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问对专用网络的非法访问。一般来说, 这种防火墙的安全性能很高,是最不容易被破坏和入侵的。
网络安全问题简单化
大多数企业家缺乏对IT技术的深入了解,他们通常会被网络的安全需求所困扰、吓倒或征服。许多企业领导,不了解一部网关与一台路由器之间的区别,却不愿去学习,或因为太忙而没时间去学。
他们只希望能够确保财务纪录没被窃取,服务器不会受到一次"拒绝服务攻击"。他们希望实现这些目标,但不希望为超出他们需求范围的技术或服务付出更高的成本,就像销售计算机设备的零售店不愿意提供额外服务一样。
企业网络安全是一个永远说不完的话题,今天企业网络安全已被提到重要的议事日程。一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。
网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增。要永远保持在知识曲线的最高点,把握住企业网络安全的大门,从而确保证企业的顺利成长
浏览量:2
下载量:0
时间:
伴随网络技术使用范围的不断扩大,它在各行各业的应用也趋于广泛,我们在看到网络技术所带来的巨大经济效益的同时也不应忽视网络安全现状的思考,计算机网络中的一些不安全因素正逐渐威胁到正常的网络秩序,网络安全问题亟需引起人们的高度重视。以下是读文网小编给大家整理的计算机网络安全漏洞防范措施论文,希望能帮到你!
计算机网络安全漏洞防范措施论文:
当前计算机网络技术的高速发展对人们的日常动作生活产生了极大冲击,随着计算机网络技术应用范围的不断扩大,网络的重要性不容忽视。然而,网络技术的发展也随之产生的一些问题,网络黑客和网络病毒的肆意泛滥给我们的网络安全带来了巨大威胁,与此同时网络信息资源的开放性也使得信息安全问题很难从根本上得到保障,由于网络安全事故导致的各项损失正成倍增长,针对计算机网络安全漏洞的防范迫在眉睫。作为一项系统化工程,计算机网络的安全防护问题是长期性的,需要我们在实践中积累经验,切实做好网络安全的规划与落实。
2.1 防火墙与防毒墙的应用
防火墙安全控制点的建立主要表现在网络系统的内外部及任意两个网络节点之间,借助重新定向的方式来对流经防火墙的数据流进行甄别,并对应作出允许和拒绝的操作,防火墙能够有效实施对网络服务及访问过程的监控,进而实现对内部网络系统的有效保护。防毒墙的建立主要位于网络入口位置,其主要功能在于过滤网络传输过程中局域网及互联网交接地存在的病毒。防毒墙通过对网关数据信息的全面扫描来清除其中的病毒。值得注意的是,防毒墙的应用有效实现了对内部网络的保护,然而与此同时网络连接速度也会或多或少受到影响。防火墙的运用更像是一扇门,表现为关闭与开启两种模式,然而却很难做到网络系统的即时检测,防毒墙则有效改善了这一存在的问题,现阶段不少杀毒软件研究也将重点置于防毒墙的研究开发方面,防毒墙正成为全新的计算机网络防毒装备。
2.2 网络漏洞特征信息库的构建
对于计算机网络安全检测工作而言,安全防护的高效性还体现在网络漏洞特征信息库的建设方面,借助网络漏洞信息库来提升安全漏洞验证的准确性。因此,每一个网络漏洞都应对应特征码,通过对网络数据包的实践检测来保证数据包测试的效率。网络漏洞本身千差万别,漏洞种类极其繁多,这就更加突出特征码提取的重要性,准确的特征码是对安全漏洞进行分析的必要前提。从漏洞扫描方式分析,科学扫描代码分离技术在漏洞特征信息库中的应用能够更好地实现对网络信息系统的安全维护。
2.3 有效的访问控制措施
计算机网络访问控制措施主要表现为两个方面,即认证系统与访问控制网关。控制网关或是防火墙通常设置在网络资源的边界位置,通过在资源网络内部构建认证服务系统的方式来达到网络信息的安全防范目的。针对内部网络系统的访问控制措施能够及时过滤存在的安全隐含,更好地实现授权控制,通过对访问者的身份验证来合理鉴别个人信息的真实性。除此之外,有效的访问控制措施还表现出卓越的时段连接ACL功能,对网络资源的使用区间进行合理规划。
2.4 数据加密与备份
计算机网络数据保密的最常见方法表现为数据加密,其中加密算法是加密技术的核心要点,它主要包括不可逆加密算法、对称加密算法以及不对称加密算法三种形式。数据加密能够有效保障计算机网络的数据信息安全。然而一些潜在的因素,比如人为破坏、系统故障或是自然灾害等也会对网络系统造成威胁,因此数据存储备份技术的应用也不可忽视。通常数据备份包括存储备份策略、存储硬件备份以及存储软件备份等方面,产品选择过程应当考虑其自动化存储性能,降低人工参与度。
综上所述,全球化信息时代的到来使得计算机网络技术逐渐得到普及,人们对于网络安全的关注度也不断提高。随着网络安全事故的频繁发生,网络系统破坏、网络黑客入侵、网络病毒蔓延等问题对于计算机网络安全造成了重大威胁。由于计算机网络覆盖率全球几乎所有的生活与工作领域,因此网络安全威胁所造成的后果自然是不可想象的,网络安全是当前计算机网络技术研究的核心与根源问题。除了必要的安全策略与防护措施之外,关于高素质网络管理人才的培养也不容忽视,只有切实贯彻落实计算机网络安全防范制度,才能从根本上保障计算机网络系统的安全与稳定,这对于网络信息安全而言至关重要。
浏览量:2
下载量:0
时间:
以下是读文网小编为大家带来的网络安全相关的论文三篇,希望大家满意。欢迎阅读!!!
网络做为一个传播信息的媒介,是为人们提供方便,快捷的共享资源而设立的,由于要使人们轻松的使用网络,它的复杂程度,不能太高,所以在网络上对安全的考虑就不能太多,因此网络自产生以来黑客等许多问题一直存在得不到有效解决。网络之所以容易被入侵,是由于网络自身的性质所决定的,而如果不重视网络的安全性,轻者个人的信息泄露,电脑使用不便,重者会给公司或个人造成很大的损失。非法侵入,造成保密资料泄露,财务报表,各种资料被任意地修改,使所在单位和公司蒙受重大的损失。黑客恶意攻击,使网络瘫痪,数据失效,使整个网络处于停顿,所造成的损失比侵入帐户的损失还大。所以作为网络使用者有必要了解一下网络入侵者的攻击手段以保护自己电脑的安全。
网络入侵者的攻击手段可大致分为以下几种:
(1)社会攻击。这是最简单,最阴险,也是最让人容易忽视的方法,入侵者在用户无意识的情况下将密码窃得,以正当身份进入网络系统。
(2)拒绝服务。目的是阻止你的用户使用系统,而为侵入提供机会。
(3)物理攻击。使用各种手段进入系统的物理接口或修改你的机器网络。
(4)强制攻击。入侵者,对口令一次次的精测重测试。
(5)预测攻击。根据所掌握的系统和用户的资料辅助进行攻击。
(6)利用操作系统和软件瑕疵进行攻击。
针对以上入侵者行为,电脑软件的开发者们采取了一些解决方法,如:
(1)帐户管理和登陆:根据用户的不同情况,将相同的帐户分成同组,按最小权限原则,确定组的权限,而不用单个帐户进行管理。使用配置文件脚本文件等,设置用户的工作环境。根据用户的工作环境,尽量将用户固定在固定的位置上进行登录,并用其它的硬件设置进行验证机器。防止非法用户从其他地方入侵,并可设置登录脚本对用户身份进行多重验证,确定登录次数。对传输的信息进行加密,防止帐户被截获,破译。
(2)存取控制:确保唯有正确的用户才能存取特定的数据,其他人虽然是合法用户但由于权限限制不能存取。将共享资源和敏感资源放在不同的服务器上,之间用防火墙分开,并施以不同的权限,让不同的用户访问不同的资源。
(3)连接完善:维护用户的正确连接,防止不正确的用户连接,通过电缆和所有有关的硬件安全保密事况。使用登录日志,对登录的情况进行记录以使查询,检查非法入侵者,对入侵者情况进行总结通报。
(4)备份和恢复:定期对资源进行普通,副本,差异,增量等备份,防止数据意外丢失。
当然,以上方法是为广大的电脑用户共同设置的,并不能完全将入侵者挡在门外。对于每一个使用电脑的普通个体来说应该大体了解自己电脑上的这些功能,使用这些功能来保护自己的电脑。比如当我们登陆网站使用邮箱、下载资料、QQ视频聊天时,必须要输入自己的账号和密码,为防止被盗,我们不要怕麻烦养成定期更改的习惯,尽量不使用自己的名字或生日、多使用些特殊词,最好随机产生(电脑会显示安全性强度帮助你比较)。对于不同的网站,要使用不同口令,以防止被黑客破译。只要涉及输入账户和密码,尽量在单位和家里上网不要去网吧;浏览正规网站,不要轻易安装和运行从那些不知名的网站(特别是不可靠的FTP站点)下载的软件和来历不明的软件。有些程序可能是木马程序,如果你一旦安装了这些程序,它们就会在你不知情的情况下更改你的系统或者连接到远程的服务器。这样,黑客就可以很容易进入你的电脑。不要轻易打开电子邮件中的附件,更不要轻易打开你不熟悉不认识的陌生人发来的邮件,要时刻保持警惕性,不要轻易相信熟人发来的E-mail就一定没有黑客程序,不要在网络上随意公布或者留下您的电子邮件地址,去转信站申请一个转信信箱,因为只有它是不怕炸的,对于邮件附件要先用防病毒软件和专业清除木马的工具进行扫描后方可使用。在使用聊天软件的时候,最好设置为隐藏用户,以免别有用心者使用一些专用软件查看到你的IP地址,尽量不和陌生人交谈。使用移动硬盘,U盘等经常备份防止数据丢失;买正版杀毒软件,定期电脑杀毒等。很多常用的程序和操作系统的内核都会发现漏洞,某些漏洞会让入侵者很容易进入到你的系统,这些漏洞会以很快的速度在黑客中传开。因此,用户一定要小心防范。软件的开发商会把补丁公布,以便用户补救这些漏洞。总之,注意电脑安全就是保护我们自己。
浏览量:3
下载量:0
时间:
今天读文网小编给大家分享喜爱计算机与网络安全论文具体有哪些~下面请大家仔细参考参考。
关于计算机网络安全问题的研究和探讨
〔摘要〕随着计算机网络越来越深入到人们生活中的各个方面,计算机网络的安全性也就变得越来越重要。计算机网络的技术发展相当迅
速,攻击手段层出不穷。而计算机网络攻击一旦成功,就会使网络上成千上万的计算机处于瘫痪状态,从而给计算机用户造成巨大的损失。
因此,认真研究当今计算机网络存在的安全问题,提高计算机网络安全防范、意识是非常紧迫和必要的。
〔关键词〕安全问题;相关技术;对策
1几种计算机网络安全问题
1.1 TCP/IP协议的安全问题目前网络环境中广泛采用的TCP/IP协议。互联网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信,正因为其开放性,TCP/IP协议本身就意味着一种安全风险。由于大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。
1.2网络结构的安全问题
互联网是一种网间网技术。它是由无数个局域网连成的巨大网络组成。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器的重重转发,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦测,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。加之互联网上大多数数据流都没有进行加密,因此黑客利用工具很容易对网上的电子邮件、口令和传输的文件进行破解,这就是互联网所固有的安全隐患。
1.3路由器等网络设备的安全问题
路由器的主要功能是数据通道功能和控制功能。路由器作为内部网络与外部网络之间通信的关键设备,严格说来,所有的网络攻击都要经过路由器,但有些典型的攻击方式就是利用路由器本身的设计缺陷展开的,而有些方式干脆就是在路由器上进行的。
2计算机网络安全的相关技术
计算机网络安全的实现有赖于各种网络安全技术。从技术上来说,网络安全由安全的操作系统、安全的应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件无法确保信息网络的安全性。目前成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。
2.1防火墙技术
所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。“防火墙”一方面阻止外界对内部网络资源的非法访问,另一方面也可以防止系统内部对外部系统的不安全访问。实现防火墙的主要技术有:数据包过滤、应用级网关、代理服务和地址转换。
2.2数据加密技术
从密码体制方面而言,加密技术可分为对称密钥密码体制和非对称密钥密码体制,对称密钥密码技术要求加密、解密双方拥有相同的密钥,由于加密和解密使用同样的密钥,所以加密方和解密方需要进行会话密钥的密钥交换。会话密钥的密钥交换通常采用数字信封方式,即将会话密钥用解密方的公钥加密传给解密方,解密方再用自己的私钥将会话密钥还原。对称密钥密码技术的应用在于数据加密非对称密钥密码技术是加密、解密双方拥有不同的密钥,在不知道特定信息的情况下,加密密钥和解密密钥在计算机上是不能相互算出的。加密、解密双方各只有一对私钥和公钥。非对称密钥密码技术的应用比较广泛,可以进行数据加密、身份鉴别、访问控制、数字签名、数据完整性验证、版权保护等。
2.3入侵检测技术
入侵检测系统可以分为两类,分别基于网络和基于主机。基于网络的入侵检测系统主要采用被动方法收集网络上的数据。目前,在实际环境中应用较多的是基于主机的入侵检测系统,它把监测器以软件模块的形式直接安插在了受管服务器的内部,它除了继续保持基于网络的入侵检测系统的功能和优点外,可以不受网络协议、速率和加密的影响,直接针对主机和内部的信息系统,同时还具有基于网络的入侵检测系统所不具备的检查特洛伊木马、监视特定用户、监视与误操作相关的行为变化等功能。
2.4防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,其扩散速度也越来越快,对计算机网络系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,它们主要注重于所谓的“单机防病毒”,即对本地和本工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源感染,网络防病毒软件会立刻检测到并加以删除。
3建议采取的几种安全对策
3.1网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。
3.2以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听,所以应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
3.3 VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。在集中式网络环境下,通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。当然,计算机网络安全不是仅有很好的网络安全设计方案就万事大吉,还必须要有很好的网络安全的组织结构和管理制度来保证。要通过组建完整的安全保密管理组织机构,制定严格的安全制度,指定安全管理人员,随时对整个计算机系统进行严格的监控和管理。
浏览量:2
下载量:0
时间: