序言:寫作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的局域網(wǎng)網(wǎng)絡(luò)安全措施樣本����,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請(qǐng)盡情閱讀�����。
第1篇
>> 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)存在的安全威脅與應(yīng)對(duì)措施 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)存在的安全威脅及措施 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)存在的安全威脅與應(yīng)對(duì)措施分析 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)存在的安全威脅與應(yīng)對(duì)措施探討 計(jì)算機(jī)網(wǎng)絡(luò)安全存在的威脅與防范措施 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅因素與防范措施 淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全中存在的威脅及防范措施 淺析計(jì)算機(jī)網(wǎng)絡(luò)存在的威脅及防范措施 淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)的安全威脅及其防范措施 計(jì)算機(jī)網(wǎng)絡(luò)安全威脅及防范的技術(shù)措施 淺議計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅及防范措施 計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅及維護(hù)措施 解析計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅及防范措施 針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)面臨威脅的安全防范措施 計(jì)算機(jī)網(wǎng)絡(luò)信息安全面臨的威脅及防護(hù)措施 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全管理技術(shù)分析 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全技術(shù)的優(yōu)化 淺談現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全問(wèn)題 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全技術(shù)方案的探究 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全的維護(hù)策略研究 常見(jiàn)問(wèn)題解答 當(dāng)前所在位置:��。在IIS每個(gè)網(wǎng)站都設(shè)置對(duì)應(yīng)的權(quán)限,把放在網(wǎng)站后臺(tái)管理中心上傳文件的目錄執(zhí)行權(quán)限改為“無(wú)”效果更好���,避免ASP木馬�����,服務(wù)器管理員重視工作��。
4 結(jié)論
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理中����,數(shù)據(jù)庫(kù)的安全是重要的一部分�����,應(yīng)該采取多種保護(hù)措施����,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全進(jìn)行保護(hù),有效的防止非法入侵與襲擊�����,為網(wǎng)路用戶提供一個(gè)安全���、穩(wěn)定的網(wǎng)絡(luò)環(huán)境�。
參考文獻(xiàn)
[1] 李林艷.網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)數(shù)據(jù)庫(kù)安全[J].電子世界,2012(14).
[2] 方鵬.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全機(jī)制問(wèn)題[J].計(jì)算機(jī)光盤軟件與應(yīng)用����,2011(22).
第2篇
一、低檔次網(wǎng)絡(luò)的安全弊病
以無(wú)線方式連接到小區(qū)寬帶網(wǎng)絡(luò)�,并通過(guò)寬帶網(wǎng)絡(luò)進(jìn)行共享訪問(wèn)Internet的組網(wǎng)環(huán)境下,我們往往只要先通過(guò)普通雙絞線將低檔無(wú)線路由器的WAN端口與小區(qū)寬帶網(wǎng)絡(luò)的交換端口連接在一起���,然后參照說(shuō)明書對(duì)無(wú)線路由器的連接端口參數(shù)進(jìn)行合適的設(shè)置,就能上網(wǎng)訪問(wèn)了�。由于在默認(rèn)狀態(tài)下,低檔無(wú)線路由器會(huì)自動(dòng)啟用DHCP服務(wù)功能���,當(dāng)我們將無(wú)線網(wǎng)卡設(shè)備正確地安裝到普通計(jì)算機(jī)上后��,不需要進(jìn)行任何參數(shù)設(shè)置就能自動(dòng)連接到無(wú)線局域網(wǎng)網(wǎng)絡(luò)中了�����。然而在享受組網(wǎng)便利的同時(shí)�,低檔次無(wú)線路由器的信號(hào)覆蓋范圍最遠(yuǎn)可達(dá)到300米左右�,要是不采取安全措施進(jìn)行防范的話��,那么處于300米范圍之內(nèi)安裝了無(wú)線網(wǎng)卡設(shè)備的普通計(jì)算機(jī)都能自動(dòng)加入本地?zé)o線局域網(wǎng)網(wǎng)絡(luò)中���,那樣一來(lái)本地?zé)o線局域網(wǎng)就容易遭遇非法攻擊。
從目前來(lái)看���,組建方便的低檔次無(wú)線局域網(wǎng)存在下面一些安全弊?����。?/p>
1 安全機(jī)制不太健全
低檔次無(wú)線局域網(wǎng)大部分都采用了安全防范性能一般的WEP協(xié)議�����,來(lái)對(duì)無(wú)線上網(wǎng)信號(hào)進(jìn)行加密傳輸��。而沒(méi)有選用安全性能較高的WAP協(xié)議來(lái)保護(hù)無(wú)線信號(hào)的傳輸����。普通上網(wǎng)用戶即使采用了WEP加密協(xié)議���、進(jìn)行了WEP密鑰設(shè)置���,非法攻擊者仍然能通過(guò)一些專業(yè)的攻擊工具輕松破解加密信號(hào)����,從而非常容易地截取客戶上網(wǎng)地址��、網(wǎng)絡(luò)標(biāo)識(shí)名稱���、無(wú)線頻道信息�����、WEP密鑰內(nèi)容等信息�����,有了這些信息在手,非法攻擊者就能方便地對(duì)本地?zé)o線局域網(wǎng)網(wǎng)絡(luò)進(jìn)行偷竊隱私或其他非法入侵操作了�。
此外,低檔次無(wú)線局域網(wǎng)幾乎都不支持系統(tǒng)日志管理�����、入侵安全檢測(cè)等功能�����,可以這么說(shuō)低檔次無(wú)線局域網(wǎng)目前的安全機(jī)制還不太健全。
2 無(wú)法進(jìn)行物理隔離
低檔次無(wú)線局域網(wǎng)從組建成功的那一刻���,就直接暴露在外界����,無(wú)線網(wǎng)絡(luò)訪問(wèn)也無(wú)法進(jìn)行任何有效的物理隔離�,各種有意的、無(wú)意的非法攻擊隨時(shí)存在��,那么無(wú)線局域網(wǎng)中的各種隱私信息也會(huì)隨時(shí)被偷偷竊取����、訪問(wèn)。
3 用戶安全意識(shí)不夠
低檔次無(wú)線局域網(wǎng)往往只支持簡(jiǎn)單的地址綁定�����、地址過(guò)濾以及加密傳輸功能�����,這些基本安全功能在非法攻擊者面前幾乎沒(méi)有多大防范作用���。不過(guò)���,一些不太熟悉無(wú)線網(wǎng)絡(luò)知識(shí)的用戶為了能夠快速地實(shí)現(xiàn)移動(dòng)辦公���、資源共享等目的,往往會(huì)毫不猶豫地選用組網(wǎng)成本低廉�����、管理維護(hù)操作簡(jiǎn)便的低檔次無(wú)線局域網(wǎng)�,至于無(wú)線局域網(wǎng)的安全性能究竟如何,相信這些初級(jí)上網(wǎng)用戶幾乎不會(huì)進(jìn)行任何考慮���。再加上這些不太熟悉無(wú)線網(wǎng)絡(luò)知識(shí)的初級(jí)用戶�,對(duì)網(wǎng)絡(luò)安全知識(shí)了解得更少了��,這些用戶在使用無(wú)線網(wǎng)絡(luò)的過(guò)程中很少有意識(shí)去進(jìn)行一些安全設(shè)置操作�����。
4 抗外界干擾能力差
無(wú)線局域網(wǎng)在工作的過(guò)程中�,往往會(huì)選用一個(gè)特定的工作頻段����,在相同的工作頻段內(nèi)無(wú)線網(wǎng)絡(luò)過(guò)多時(shí)���,信號(hào)覆蓋范圍會(huì)互相重疊,這樣會(huì)嚴(yán)重影響有效信號(hào)的強(qiáng)弱�����,最終可能會(huì)影響無(wú)線局域網(wǎng)的信號(hào)傳輸穩(wěn)定性:此外�。無(wú)線上網(wǎng)信號(hào)在傳輸過(guò)程中,特別容易受到墻體之類的建筑物的阻擋或干擾�,這樣也會(huì)對(duì)無(wú)線局域網(wǎng)的穩(wěn)定性造成一定的影響。對(duì)于那些低檔次的無(wú)線局域網(wǎng)來(lái)說(shuō)���,它的抗外界干擾能力就更差了�����,顯然這樣的無(wú)線局域網(wǎng)是無(wú)法滿足高質(zhì)量網(wǎng)絡(luò)訪問(wèn)應(yīng)用要求的�。
二����、組網(wǎng)便利下的安全威脅
既然低檔次無(wú)線局域網(wǎng)存在上述一些安全弊病,這些弊病要是突然發(fā)作起來(lái)或被非法攻擊者利用的話����,那么就可能給我們帶來(lái)不小的安全威脅:
1 造成隱私信息外泄
有的時(shí)候���,不少無(wú)線局域網(wǎng)上網(wǎng)用戶為了方便工作,往往會(huì)在不經(jīng)意間將單位的重要隱私信息或核心工作信息�,甚至將一些屬于絕密范疇的信息通過(guò)移動(dòng)設(shè)備掛上無(wú)線局域網(wǎng)網(wǎng)絡(luò)中,這樣無(wú)形之中就容易發(fā)生重要隱私信息外泄的危險(xiǎn)�����,嚴(yán)重的時(shí)候能夠給單位或個(gè)人造成巨大的經(jīng)濟(jì)損失����。
2 降低內(nèi)網(wǎng)安全能力
單位無(wú)線局域網(wǎng)附近有時(shí)還會(huì)存在一些家用無(wú)線局域網(wǎng)或者其他單位的無(wú)線局域網(wǎng),這些無(wú)線局域網(wǎng)常常會(huì)用于移動(dòng)辦公或共享訪問(wèn)Internet網(wǎng)絡(luò)的���,這些無(wú)線網(wǎng)絡(luò)的使用者大多沒(méi)有足夠的安全防范意識(shí)��,并且他們應(yīng)用無(wú)線網(wǎng)絡(luò)的要求不是很高���,也用不著對(duì)無(wú)線上網(wǎng)進(jìn)行一些安全設(shè)置操作。在這種情形下�,單位中任何一臺(tái)安裝了無(wú)線網(wǎng)卡設(shè)備的筆記本電腦都有可能自動(dòng)連接到其他單位的無(wú)線局域網(wǎng)中�,如此一來(lái)就容易發(fā)生這個(gè)單位的無(wú)線局域網(wǎng)與其他單位的無(wú)線局域網(wǎng)直接互聯(lián)的現(xiàn)象,甚至可能出現(xiàn)單位無(wú)線局域網(wǎng)直接與Internet網(wǎng)絡(luò)互聯(lián)的現(xiàn)象。這些現(xiàn)象明顯會(huì)降低單位內(nèi)網(wǎng)安全防范能力���。容易給單位造成嚴(yán)重的安全后果���。
3 危及信息系統(tǒng)安全
考慮到低檔次無(wú)線局域網(wǎng)組網(wǎng)成本低廉,不需要進(jìn)行復(fù)雜布線����,管理維護(hù)也很方便,要是安全意識(shí)不到位�,那么一些規(guī)模較小的單位很可能出于技術(shù)、成本等因素�,來(lái)選用一些價(jià)格低廉、質(zhì)量低劣的無(wú)線網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)升級(jí)�、信息點(diǎn)的延伸,由這些網(wǎng)絡(luò)設(shè)備搭建而成的網(wǎng)絡(luò)將會(huì)天然暴露在外界�����,無(wú)線網(wǎng)絡(luò)訪問(wèn)無(wú)法做到有效的物理隔離�����,那樣一來(lái)單位的信息系統(tǒng)安全將會(huì)隨時(shí)受到危及��。
三、化解無(wú)線網(wǎng)絡(luò)安全威脅
雖然低檔次無(wú)線局域網(wǎng)容易給我們帶來(lái)各種意想不到的安全威脅���,會(huì)給單位的信息系統(tǒng)造成不小的安全隱患���,不過(guò)對(duì)于那些對(duì)安全性要求不是很高的小規(guī)模單位來(lái)說(shuō),仍然可以選用低檔次的無(wú)線局域網(wǎng)�����,畢竟這種類型的組網(wǎng)成本非常低廉���,更為重要的是通過(guò)制定有效的措施完全可以將低檔次無(wú)線局域網(wǎng)的安全威脅降到最低限度��,讓規(guī)模不大的單位用戶也能盡情地享受組網(wǎng)便利��。
1 向檢查要安全
為了隨時(shí)了解單位無(wú)線網(wǎng)絡(luò)的安全狀態(tài)�����,我們應(yīng)該定期對(duì)單位的內(nèi)網(wǎng)�、外網(wǎng)使用情況以及核心網(wǎng)絡(luò)設(shè)備的工作狀態(tài)進(jìn)行詳細(xì)檢查����,并做好詳細(xì)的檢查記錄�。與此同時(shí)�����,我們還應(yīng)該加大力度對(duì)單位無(wú)線局域網(wǎng)附近區(qū)域的無(wú)線網(wǎng)絡(luò)工作環(huán)境進(jìn)行動(dòng)態(tài)監(jiān)測(cè)��,一定的時(shí)候還需要對(duì)單位的網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行評(píng)估以及審計(jì):此外�,對(duì)于涉及到處于單位核心隱私信息以及進(jìn)行重要網(wǎng)絡(luò)應(yīng)用的工作場(chǎng)所�,應(yīng)該及時(shí)采取電磁屏蔽等手段,來(lái)阻止非法網(wǎng)絡(luò)入侵或攻擊�����。
2 向宣傳要安全
由于低檔次無(wú)線局域網(wǎng)很容易影響到單位內(nèi)部網(wǎng)絡(luò)的使用安全性���,為此單位負(fù)責(zé)人必須準(zhǔn)備好豐富齊全的網(wǎng)絡(luò)安全資料����,在單位上�����、下定期開(kāi)展無(wú)線上網(wǎng)安全知識(shí)的宣傳���、培訓(xùn)�����,以便強(qiáng)化每一位無(wú)線上網(wǎng)用戶的安全防范意識(shí)��,同時(shí)有必要針對(duì)性地進(jìn)行網(wǎng)絡(luò)安全專項(xiàng)整治工作�����,保證單位所有員工都能在思想上高度重視無(wú)線網(wǎng)絡(luò)安全工作�。
3 向管理要安全
第3篇
關(guān)鍵字:WLAN,WEP����,SSID,DHCP���,安全措施
1�、引言
WLAN是WirelessLAN的簡(jiǎn)稱����,即無(wú)線局域網(wǎng)。所謂無(wú)線網(wǎng)絡(luò)�����,顧名思義就是利用無(wú)線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò),由于WLAN產(chǎn)品不需要鋪設(shè)通信電纜�����,可以靈活機(jī)動(dòng)地應(yīng)付各種網(wǎng)絡(luò)環(huán)境的設(shè)置變化�。WIAN技術(shù)為用戶提供更好的移動(dòng)性�����、靈活性和擴(kuò)展性���,在難以重新布線的區(qū)域提供快速而經(jīng)濟(jì)有效的局域網(wǎng)接入,無(wú)線網(wǎng)橋可用于為遠(yuǎn)程站點(diǎn)和用戶提供局域網(wǎng)接入���。但是�,當(dāng)用戶對(duì)WLAN的期望日益升高時(shí)��,其安全問(wèn)題隨著應(yīng)用的深入表露無(wú)遺,并成為制約WLAN發(fā)展的主要瓶頸�。[1]
2�����、威脅無(wú)線局域網(wǎng)的因素
首先應(yīng)該被考慮的問(wèn)題是,由于WLAN是以無(wú)線電波作為上網(wǎng)的傳輸媒介�,因此無(wú)線網(wǎng)絡(luò)存在著難以限制網(wǎng)絡(luò)資源的物理訪問(wèn),無(wú)線網(wǎng)絡(luò)信號(hào)可以傳播到預(yù)期的方位以外的地域�,具體情況要根據(jù)建筑材料和環(huán)境而定,這樣就使得在網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了WLAN的接入點(diǎn)�,給入侵者有機(jī)可乘,可以在預(yù)期范圍以外的地方訪問(wèn)WLAN���,竊聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)�����,有機(jī)會(huì)入侵WLAN應(yīng)用各種攻擊手段對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行攻擊�,當(dāng)然是在入侵者擁有了網(wǎng)絡(luò)訪問(wèn)權(quán)以后��。
其次�,由于WLAN還是符合所有網(wǎng)絡(luò)協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò),所以計(jì)算機(jī)病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有WLAN內(nèi)的計(jì)算機(jī)�����,甚至?xí)a(chǎn)生比普通網(wǎng)絡(luò)更加嚴(yán)重的后果�����。
因此��,WLAN中存在的安全威脅因素主要是:竊聽(tīng)�����、截取或者修改傳輸數(shù)據(jù)�、置信攻擊�、拒絕服務(wù)等等。
IEEE802.1x認(rèn)證協(xié)議發(fā)明者VipinJain接受媒體采訪時(shí)表示:“談到無(wú)線網(wǎng)絡(luò)�,企業(yè)的IT經(jīng)理人最擔(dān)心兩件事:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多����,使得用戶無(wú)所適從;第二����,如何避免網(wǎng)絡(luò)遭到入侵或攻擊�?無(wú)線媒體是一個(gè)共享的媒介����,不會(huì)受限于建筑物實(shí)體界線,因此有人要入侵網(wǎng)絡(luò)可以說(shuō)十分容易�。”[1]因此WLAN的安全措施還是任重而道遠(yuǎn)�����。
3��、無(wú)線局域網(wǎng)的安全措施
3.1采用無(wú)線加密協(xié)議防止未授權(quán)用戶
保護(hù)無(wú)線網(wǎng)絡(luò)安全的最基本手段是加密����,通過(guò)簡(jiǎn)單的設(shè)置AP和無(wú)線網(wǎng)卡等設(shè)備,就可以啟用WEP加密��。無(wú)線加密協(xié)議(WEP)是對(duì)無(wú)線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法�。許多無(wú)線設(shè)備商為了方便安裝產(chǎn)品,交付設(shè)備時(shí)關(guān)閉了WEP功能��。但一旦采用這種做法����,黑客就能利用無(wú)線嗅探器直接讀取數(shù)據(jù)��。建議經(jīng)常對(duì)WEP密鑰進(jìn)行更換�,有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰�。另外一個(gè)必須注意問(wèn)題就是用于標(biāo)識(shí)每個(gè)無(wú)線網(wǎng)絡(luò)的服務(wù)者身份(SSID),在部署無(wú)線網(wǎng)絡(luò)的時(shí)候一定要將出廠時(shí)的缺省SSID更換為自定義的SSID?����,F(xiàn)在的AP大部分都支持屏蔽SSID廣播�,除非有特殊理由,否則應(yīng)該禁用SSID廣播���,這樣可以減少無(wú)線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。[2]
但是目前IEEE802.11標(biāo)準(zhǔn)中的WEP安全解決方案�,在15分鐘內(nèi)就可被攻破,已被廣泛證實(shí)不安全����。所以如果采用支持128位的WEP,破解128位的WEP的是相當(dāng)困難的�,同時(shí)也要定期的更改WEP,保證無(wú)線局域網(wǎng)的安全�����。如果設(shè)備提供了動(dòng)態(tài)WEP功能,最好應(yīng)用動(dòng)態(tài)WEP�,值得我們慶幸的,WindowsXP本身就提供了這種支持���,您可以選中WEP選項(xiàng)“自動(dòng)為我提供這個(gè)密鑰”�。同時(shí)���,應(yīng)該使用IPSec����,VPN�,SSH或其他
WEP的替代方法。不要僅使用WEP來(lái)保護(hù)數(shù)據(jù)��。
3.2改變服務(wù)集標(biāo)識(shí)符并且禁止SSID廣播
SSID是無(wú)線接人的身份標(biāo)識(shí)符����,用戶用它來(lái)建立與接入點(diǎn)之間的連接。這個(gè)身份標(biāo)識(shí)符是由通信設(shè)備制造商設(shè)置的�,并且每個(gè)廠商都用自己的缺省值。例如�����,3COM的設(shè)備都用“101”。因此�����,知道這些標(biāo)識(shí)符的黑客可以很容易不經(jīng)過(guò)授權(quán)就享受你的無(wú)線服務(wù)����。你需要給你的每個(gè)無(wú)線接入點(diǎn)設(shè)置一個(gè)唯一并且難以推測(cè)的SSID。如果可能的話���。還應(yīng)該禁止你的SSID向外廣播����。這樣���,你的無(wú)線網(wǎng)絡(luò)就不能夠通過(guò)廣播的方式來(lái)吸納更多用戶.當(dāng)然這并不是說(shuō)你的網(wǎng)絡(luò)不可用.只是它不會(huì)出現(xiàn)在可使用網(wǎng)絡(luò)的名單中��。[3]
3.3靜態(tài)IP與MAC地址綁定
無(wú)線路由器或AP在分配IP地址時(shí),通常是默認(rèn)使用DHCP即動(dòng)態(tài)IP地址分配��,這對(duì)無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)是有安全隱患的��,“不法”分子只要找到了無(wú)線網(wǎng)絡(luò),很容易就可以通過(guò)DHCP而得到一個(gè)合法的IP地址��,由此就進(jìn)入了局域網(wǎng)絡(luò)中����。因此,建議關(guān)閉DHCP服務(wù)����,為家里的每臺(tái)電腦分配固定的靜態(tài)IP地址,然后再把這個(gè)IP地址與該電腦網(wǎng)卡的MAC地址進(jìn)行綁定�,這樣就能大大提升網(wǎng)絡(luò)的安全性?����!安环ā狈肿硬灰椎玫胶戏ǖ腎P地址��,即使得到了�,因?yàn)檫€要驗(yàn)證綁定的MAC地址,相當(dāng)于兩重關(guān)卡��。[4]設(shè)置方法如下:
首先�,在無(wú)線路由器或AP的設(shè)置中關(guān)閉“DHCP服務(wù)器”。然后激活“固定DHCP”功能�����,把各電腦的“名稱”(即Windows系統(tǒng)屬陸里的“計(jì)算機(jī)描述”),以后要固定使用的IP地址�����,其網(wǎng)卡的MAC地址都如實(shí)填寫好�,最后點(diǎn)“執(zhí)行”就可以了。
3.4VPN技術(shù)在無(wú)線網(wǎng)絡(luò)中的應(yīng)用
對(duì)于高安全要求或大型的無(wú)線網(wǎng)絡(luò)�����,VPN方案是一個(gè)更好的選擇�。因?yàn)樵诖笮蜔o(wú)線網(wǎng)絡(luò)中維護(hù)工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務(wù)���。
對(duì)于無(wú)線商用網(wǎng)絡(luò)����,基于VPN的解決方案是當(dāng)今WEP機(jī)制和MAC地址過(guò)濾機(jī)制的最佳替代者��。VPN方案已經(jīng)廣泛應(yīng)用于Internet遠(yuǎn)程用戶的安全接入�。在遠(yuǎn)程用戶接入的應(yīng)用中���,VPN在不可信的網(wǎng)絡(luò)(Internet)上提供一條安全�、專用的通道或者隧道。各種隧道協(xié)議�����,包括點(diǎn)對(duì)點(diǎn)的隧道協(xié)議和第二層隧道協(xié)議都可以與標(biāo)準(zhǔn)的�����、集中的認(rèn)證協(xié)議一起使用����。同樣,VPN技術(shù)可以應(yīng)用在無(wú)線的安全接入上�,在這個(gè)應(yīng)用中,不可信的網(wǎng)絡(luò)是無(wú)線網(wǎng)絡(luò)�����。AP可以被定義成無(wú)WEP機(jī)制的開(kāi)放式接入(各AP仍應(yīng)定義成采用SSID機(jī)制把無(wú)線網(wǎng)絡(luò)分割成多個(gè)無(wú)線服務(wù)子網(wǎng))�����,但是無(wú)線接入網(wǎng)絡(luò)VLAN(AP和VPN服務(wù)器之問(wèn)的線路)從局域網(wǎng)已經(jīng)被VPN服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來(lái)�����。VPN服務(wù)器提供網(wǎng)絡(luò)的認(rèn)征和加密,并允當(dāng)局域網(wǎng)網(wǎng)絡(luò)內(nèi)部�。與WEP機(jī)制和MAC地址過(guò)濾接入不同,VPN方案具有較強(qiáng)的擴(kuò)充�、升級(jí)性能,可應(yīng)用于大規(guī)模的無(wú)線網(wǎng)絡(luò)�����。
3.5無(wú)線入侵檢測(cè)系統(tǒng)
無(wú)線入侵檢測(cè)系統(tǒng)同傳統(tǒng)的入侵檢測(cè)系統(tǒng)類似���,但無(wú)線入侵檢測(cè)系統(tǒng)增加了無(wú)線局域網(wǎng)的檢測(cè)和對(duì)破壞系統(tǒng)反應(yīng)的特性���。侵入竊密檢測(cè)軟件對(duì)于阻攔雙面惡魔攻擊來(lái)說(shuō),是必須采取的一種措施�。如今入侵檢測(cè)系統(tǒng)已用于無(wú)線局域網(wǎng)。來(lái)監(jiān)視分析用戶的活動(dòng)�����,判斷入侵事件的類型����,檢測(cè)非法的網(wǎng)絡(luò)行為�����,對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。無(wú)線入侵檢測(cè)系統(tǒng)不但能找出入侵者�����,還能加強(qiáng)策略��。通過(guò)使用強(qiáng)有力的策略��,會(huì)使無(wú)線局域網(wǎng)更安全���。無(wú)線入侵檢測(cè)系統(tǒng)還能檢測(cè)到MAC地址欺騙�。他是通過(guò)一種順序分析�,找出那些偽裝WAP的無(wú)線上網(wǎng)用戶無(wú)線入侵檢測(cè)系統(tǒng)可以通過(guò)提供商來(lái)購(gòu)買,為了發(fā)揮無(wú)線入侵檢測(cè)系統(tǒng)的優(yōu)良的性能���,他們同時(shí)還提供無(wú)線入侵檢測(cè)系統(tǒng)的解決方案�����。[1]
3.6采用身份驗(yàn)證和授權(quán)
當(dāng)攻擊者了解網(wǎng)絡(luò)的SSID����、網(wǎng)絡(luò)的MAC地址或甚至WEP密鑰等信息時(shí),他們可以嘗試建立與AP關(guān)聯(lián)����。目前,有3種方法在用戶建立與無(wú)線網(wǎng)絡(luò)的關(guān)聯(lián)前對(duì)他們進(jìn)行身份驗(yàn)證�����。開(kāi)放身份驗(yàn)證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰����。開(kāi)放身份驗(yàn)證的問(wèn)題在于,如果您沒(méi)有其他的保護(hù)或身份驗(yàn)證機(jī)制��,那么您的無(wú)線網(wǎng)絡(luò)將是完全開(kāi)放的�,就像其名稱所表示的。共享機(jī)密身份驗(yàn)證機(jī)制類似于“口令一響應(yīng)”身份驗(yàn)證系統(tǒng)�。在STA與AP共享同一個(gè)WEP密鑰時(shí)使用這一機(jī)制。STA向AP發(fā)送申請(qǐng)�����,然后AP發(fā)回口令。接著��,STA利用口令和加密的響應(yīng)進(jìn)行回復(fù)�����。這種方法的漏洞在于口令是通過(guò)明文傳輸給STA的�����,因此如果有人能夠同時(shí)截取口令和響應(yīng)�,那么他們就可能找到用于加密的密鑰�。采用其他的身份驗(yàn)證/授權(quán)機(jī)制。使用802.1x����,VPN或證書對(duì)無(wú)線網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證和授權(quán)。使用客戶端證書可以使攻擊者幾乎無(wú)法獲得訪問(wèn)權(quán)限���。
[5]
3.7其他安全措施
除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術(shù)��,例如設(shè)置附加的第三方數(shù)據(jù)加密方案�,即使信號(hào)被盜聽(tīng)也難以理解其中的內(nèi)容����;加強(qiáng)企業(yè)內(nèi)部管理等等的方法來(lái)加強(qiáng)WLAN的安全性�。
4��、結(jié)論
無(wú)線網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛�,但是隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出,在文中分析了WLAN的不安全因素�,針對(duì)不安全因素給出了解決的安全措施,有效的防范竊聽(tīng)�����、截取或者修改傳輸數(shù)據(jù)����、置信攻擊、拒絕服務(wù)等等的攻擊手段����,但是由于現(xiàn)在各個(gè)無(wú)線網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商生產(chǎn)的設(shè)備的功能不一樣,所以現(xiàn)在在本文中介紹的一些安全措施也許在不同的設(shè)備上會(huì)有些不一樣�,但是安全措施的思路是正確的,能夠保證無(wú)線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性�,有效地維護(hù)無(wú)線局域網(wǎng)的安全。
參考文獻(xiàn)
[1]李園,王燕鴻,張鉞偉,顧偉偉.無(wú)線網(wǎng)絡(luò)安全性威脅及應(yīng)對(duì)措施[J].現(xiàn)代電子技術(shù).2007,(5):91-94.
[2]王秋華,章堅(jiān)武.淺析無(wú)線網(wǎng)絡(luò)實(shí)施的安全措施[J].中國(guó)科技信息.2005,(17):18.
[3]邊鋒.不得不說(shuō)無(wú)線網(wǎng)絡(luò)安全六種簡(jiǎn)單技巧[J].計(jì)算機(jī)與網(wǎng)絡(luò).2006,(20):6.
第4篇
關(guān)鍵字:wlan�����,wep,ssid�,dhcp,安全措施
1���、 引言
wlan是wireless lan的簡(jiǎn)稱�,即無(wú)線局域網(wǎng)�����。所謂無(wú)線網(wǎng)絡(luò)�����,顧名思義就是利用無(wú)線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò)�,由于wlan產(chǎn)品不需要鋪設(shè)通信電纜��,可以靈活機(jī)動(dòng)地應(yīng)付各種網(wǎng)絡(luò)環(huán)境的設(shè)置變化�����。wian技術(shù)為用戶提供更好的移動(dòng)性�、靈活性和擴(kuò)展性�����,在難以重新布線的區(qū)域提供快速而經(jīng)濟(jì)有效的局域網(wǎng)接入�,無(wú)線網(wǎng)橋可用于為遠(yuǎn)程站點(diǎn)和用戶提供局域網(wǎng)接入��。但是�,當(dāng)用戶對(duì)wlan的期望日益升高時(shí),其安全問(wèn)題隨著應(yīng)用的深入表露無(wú)遺���,并成為制約wlan發(fā)展的主要瓶頸�����。
2���、 威脅無(wú)線局域網(wǎng)的因素
首先應(yīng)該被考慮的問(wèn)題是,由于wlan是以無(wú)線電波作為上網(wǎng)的傳輸媒介��,因此無(wú)線網(wǎng)絡(luò)存在著難以限制網(wǎng)絡(luò)資源的物理訪問(wèn)��,無(wú)線網(wǎng)絡(luò)信號(hào)可以傳播到預(yù)期的方位以外的地域�,具體情況要根據(jù)建筑材料和環(huán)境而定,這樣就使得在網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了wlan的接入點(diǎn)��,給入侵者有機(jī)可乘,可以在預(yù)期范圍以外的地方訪問(wèn)wlan��,竊聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)�,有機(jī)會(huì)入侵wlan應(yīng)用各種攻擊手段對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行攻擊,當(dāng)然是在入侵者擁有了網(wǎng)絡(luò)訪問(wèn)權(quán)以后�����。
其次�����,由于wlan還是符合所有網(wǎng)絡(luò)協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)�,所以計(jì)算機(jī)病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有wlan內(nèi)的計(jì)算機(jī),甚至?xí)a(chǎn)生比普通網(wǎng)絡(luò)更加嚴(yán)重的后果��。
因此����,wlan中存在的安全威脅因素主要是:竊聽(tīng)����、截取或者修改傳輸數(shù)據(jù)、置信攻擊�����、拒絕服務(wù)等等。
ieee 802.1x認(rèn)證協(xié)議發(fā)明者vipinjain接受媒體采訪時(shí)表示:“談到無(wú)線網(wǎng)絡(luò)�����,企業(yè)的it經(jīng)理人最擔(dān)心兩件事:首先��,市面上的標(biāo)準(zhǔn)與安全解決方案太多���,使得用戶無(wú)所適從�;第二�,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?無(wú)線媒體是一個(gè)共享的媒介����,不會(huì)受限于建筑物實(shí)體界線,因此有人要入侵網(wǎng)絡(luò)可以說(shuō)十分容易����。”因此wlan的安全措施還是任重而道遠(yuǎn)�����。
3、無(wú)線局域網(wǎng)的安全措施
3.1采用無(wú)線加密協(xié)議防止未授權(quán)用戶
保護(hù)無(wú)線網(wǎng)絡(luò)安全的最基本手段是加密�,通過(guò)簡(jiǎn)單的設(shè)置ap和無(wú)線網(wǎng)卡等設(shè)備,就可以啟用wep加密�����。無(wú)線加密協(xié)議(wep)是對(duì)無(wú)線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法�����。許多無(wú)線設(shè)備商為了方便安裝產(chǎn)品��,交付設(shè)備時(shí)關(guān)閉了wep功能�。但一旦采用這種做法,黑客就能利用無(wú)線嗅探器直接讀取數(shù)據(jù)���。建議經(jīng)常對(duì)wep密鑰進(jìn)行更換�,有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為wep自動(dòng)分配密鑰��。另外一個(gè)必須注意問(wèn)題就是用于標(biāo)識(shí)每個(gè)無(wú)線網(wǎng)絡(luò)的服務(wù)者身份(ssid)����,在部署無(wú)線網(wǎng)絡(luò)的時(shí)候一定要將出廠時(shí)的缺省ssid更換為自定義的ssid?,F(xiàn)在的ap大部分都支持屏蔽ssid廣播�����,除非有特殊理由��,否則應(yīng)該禁用ssid廣播����,這樣可以減少無(wú)線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能�����。
但是目前ieee 802.11標(biāo)準(zhǔn)中的wep安全解決方案�,在15分鐘內(nèi)就可被攻破,已被廣泛證實(shí)不安全����。所以如果采用支持128位的wep,破解128位的wep的是相當(dāng)困難的�,同時(shí)也要定期的更改wep,保證無(wú)線局域網(wǎng)的安全���。如果設(shè)備提供了動(dòng)態(tài)wep功能��,最好應(yīng)用動(dòng)態(tài)wep�����,值得我們慶幸的�����,windows xp本身就提供了這種支持�����,您可以選中wep選項(xiàng)“自動(dòng)為我提供這個(gè)密鑰”�����。同時(shí)�����,應(yīng)該使用ipsec�����,vpn�����,ssh或其他
wep的替代方法���。不要僅使用wep來(lái)保護(hù)數(shù)據(jù)��。
3.2 改變服務(wù)集標(biāo)識(shí)符并且禁止ssid廣播
ssid是無(wú)線接人的身份標(biāo)識(shí)符����,用戶用它來(lái)建立與接入點(diǎn)之間的連接��。這個(gè)身份標(biāo)識(shí)符是由通信設(shè)備制造商設(shè)置的�,并且每個(gè)廠商都用自己的缺省值。例如�����,3com 的設(shè)備都用“101”��。因此���,知道這些標(biāo)識(shí)符的黑客可以很容易不經(jīng)過(guò)授權(quán)就享受你的無(wú)線服務(wù)��。你需要給你的每個(gè)無(wú)線接入點(diǎn)設(shè)置一個(gè)唯一并且難以推測(cè)的ssid�����。如果可能的話�����。還應(yīng)該禁止你的ssid向外廣播��。這樣����,你的無(wú)線網(wǎng)絡(luò)就不能夠通過(guò)廣播的方式來(lái)吸納更多用戶.當(dāng)然這并不是說(shuō)你的網(wǎng)絡(luò)不可用.只是它不會(huì)出現(xiàn)在可使用網(wǎng)絡(luò)的名單中。
3.3 靜態(tài)ip與mac地址綁定
無(wú)線路由器或ap在分配ip地址時(shí)�����,通常是默認(rèn)使用dhcp即動(dòng)態(tài)ip地址分配�,這對(duì)無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)是有安全隱患的,“不法”分子只要找到了無(wú)線網(wǎng)絡(luò)��,很容易就可以通過(guò)dhcp而得到一個(gè)合法的ip地址�����,由此就進(jìn)入了局域網(wǎng)絡(luò)中�。因此�,建議關(guān)閉dhcp服務(wù)���,為家里的每臺(tái)電腦分配固定的靜態(tài)ip地址���,然后再把這個(gè)ip地址與該電腦網(wǎng)卡的mac地址進(jìn)行綁定�����,這樣就能大大提升網(wǎng)絡(luò)的安全性�����?����!安环ā狈肿硬灰椎玫胶戏ǖ膇p地址���,即使得到了��,因?yàn)檫€要驗(yàn)證綁定的mac地址�����,相當(dāng)于兩重關(guān)卡�。 設(shè)置方法如下:
首先,在無(wú)線路由器或ap的設(shè)置中關(guān)閉“dhcp服務(wù)器”�。然后激活“固定dhcp”功能,把各電腦的“名稱”(即windows系統(tǒng)屬陸里的“計(jì)算機(jī)描述”)�,以后要固定使用的ip地址,其網(wǎng)卡的mac地址都如實(shí)填寫好�,最后點(diǎn)“執(zhí)行”就可以了。
3.4 vpn技術(shù)在無(wú)線網(wǎng)絡(luò)中的應(yīng)用
對(duì)于高安全要求或大型的無(wú)線網(wǎng)絡(luò)�����,vpn方案是一個(gè)更好的選擇�。因?yàn)樵诖笮蜔o(wú)線網(wǎng)絡(luò)
中維護(hù)工作站和ap的wep加密密鑰、ap的mac地址列表都是非常艱巨的管理任務(wù)�。
對(duì)于無(wú)線商用網(wǎng)絡(luò),基于vpn的解決方案是當(dāng)今wep機(jī)制和mac地址過(guò)濾機(jī)制的最佳替代者���。vpn方案已經(jīng)廣泛應(yīng)用于internet遠(yuǎn)程用戶的安全接入����。在遠(yuǎn)程用戶接入的應(yīng)用中�,vpn在不可信的網(wǎng)絡(luò)(internet)上提供一條安全、專用的通道或者隧道��。各種隧道協(xié)議,包括點(diǎn)對(duì)點(diǎn)的隧道協(xié)議和第二層隧道協(xié)議都可以與標(biāo)準(zhǔn)的�、集中的認(rèn)證協(xié)議一起使用。同樣�����,vpn技術(shù)可以應(yīng)用在無(wú)線的安全接入上��,在這個(gè)應(yīng)用中�����,不可信的網(wǎng)絡(luò)是無(wú)線網(wǎng)絡(luò)�。ap可以被定義成無(wú)wep機(jī)制的開(kāi)放式接入(各ap仍應(yīng)定義成采用ssid機(jī)制把無(wú)線網(wǎng)絡(luò)分割成多個(gè)無(wú)線服務(wù)子網(wǎng))��,但是無(wú)線接入網(wǎng)絡(luò)vlan (ap和vpn服務(wù)器之問(wèn)的線路)從局域網(wǎng)已經(jīng)被vpn服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來(lái)�。vpn服務(wù)器提供網(wǎng)絡(luò)的認(rèn)征和加密,并允當(dāng)局域網(wǎng)網(wǎng)絡(luò)內(nèi)部��。與wep機(jī)制和mac地址過(guò)濾接入不同��,vpn方案具有較強(qiáng)的擴(kuò)充��、升級(jí)性能�,可應(yīng)用于大規(guī)模的無(wú)線網(wǎng)絡(luò)�����。
3.5 無(wú)線入侵檢測(cè)系統(tǒng)
無(wú)線入侵檢測(cè)系統(tǒng)同傳統(tǒng)的入侵檢測(cè)系統(tǒng)類似��,但無(wú)線入侵檢測(cè)系統(tǒng)增加了無(wú)線局域網(wǎng)的檢測(cè)和對(duì)破壞系統(tǒng)反應(yīng)的特性���。侵入竊密檢測(cè)軟件對(duì)于阻攔雙面惡魔攻擊來(lái)說(shuō),是必須采取的一種措施�。如今入侵檢測(cè)系統(tǒng)已用于無(wú)線局域網(wǎng)。來(lái)監(jiān)視分析用戶的活動(dòng)�����,判斷入侵事件的類型�����,檢測(cè)非法的網(wǎng)絡(luò)行為����,對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。無(wú)線入侵檢測(cè)系統(tǒng)不但能找出入侵者����,還能加強(qiáng)策略���。通過(guò)使用強(qiáng)有力的策略,會(huì)
使無(wú)線局域網(wǎng)更安全�����。無(wú)線入侵檢測(cè)系統(tǒng)還能檢測(cè)到mac地址欺騙����。他是通過(guò)一種順序分析,找出那些偽裝wap的無(wú)線上網(wǎng)用戶無(wú)線入侵檢測(cè)系統(tǒng)可以通過(guò)提供商來(lái)購(gòu)買,為了發(fā)揮無(wú)線入侵檢測(cè)系統(tǒng)的優(yōu)良的性能�,他們同時(shí)還提供無(wú)線入侵檢測(cè)系統(tǒng)的解決方案。
3.6 采用身份驗(yàn)證和授權(quán)
當(dāng)攻擊者了解網(wǎng)絡(luò)的ssid��、網(wǎng)絡(luò)的mac地址或甚至wep密鑰等信息時(shí)���,他們可以嘗試建立與ap關(guān)聯(lián)。目前�,有3種方法在用戶建立與無(wú)線網(wǎng)絡(luò)的關(guān)聯(lián)前對(duì)他們進(jìn)行身份驗(yàn)證。開(kāi)放身份驗(yàn)證通常意味著您只需要向ap提供ssid或使用正確的wep密鑰�����。開(kāi)放身份驗(yàn)證的問(wèn)題在于,如果您沒(méi)有其他的保護(hù)或身份驗(yàn)證機(jī)制��,那么您的無(wú)線網(wǎng)絡(luò)將是完全開(kāi)放的�,就像其名稱所表示的。共享機(jī)密身份驗(yàn)證機(jī)制類似于“口令一響應(yīng)”身份驗(yàn)證系統(tǒng)�����。在sta與ap共享同一個(gè)wep密鑰時(shí)使用這一機(jī)制��。sta向ap發(fā)送申請(qǐng)�,然后ap發(fā)回口令。接著�,sta利用口令和加密的響應(yīng)進(jìn)行回復(fù)。這種方法的漏洞在于口令是通過(guò)明文傳輸給sta的��,因此如果有人能夠同時(shí)截取口令和響應(yīng)��,那么他們就可能找到用于加密的密鑰����。采用其他的身份驗(yàn)證/授權(quán)機(jī)制。使用802.1x�����,vpn或證書對(duì)無(wú)線網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證和授權(quán)。使用客戶端證書可以使攻擊者幾乎無(wú)法獲得訪問(wèn)權(quán)限�����。
3.7其他安全措施
除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術(shù)��,例如設(shè)置附加的第三方數(shù)據(jù)加密方案�,即使信號(hào)被盜聽(tīng)也難以理解其中的內(nèi)容;加強(qiáng)企業(yè)內(nèi)部管理等等的方法來(lái)加強(qiáng)wlan的安全性�。
4、 結(jié)論
無(wú)線網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛�,但是隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出,在文中分析了wlan的不安全因素��,針對(duì)不安全因素給出了解決的安全措施�,有效的防范竊聽(tīng)、截取或者修改傳輸數(shù)據(jù)�����、置信攻擊�����、拒絕服務(wù)等等的攻擊手段�,但是由于現(xiàn)在各個(gè)無(wú)線網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商生產(chǎn)的設(shè)備的功能不一樣,所以現(xiàn)在在本文中介紹的一些安全措施也許在不同的設(shè)備上會(huì)有些不一樣�,但是安全措施的思路是正確的,能夠保證無(wú)線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性�,有效地維護(hù)無(wú)線局域網(wǎng)的安全。
參考文獻(xiàn)
第5篇
關(guān)鍵詞:企業(yè)局域網(wǎng)�;安全風(fēng)險(xiǎn);分析�����;方案設(shè)計(jì)規(guī)劃����;討論
中圖分類號(hào):TP393.1
建立企業(yè)風(fēng)險(xiǎn)意識(shí),做好網(wǎng)絡(luò)安全防范預(yù)測(cè)���,成為了企業(yè)風(fēng)險(xiǎn)管理中的一項(xiàng)重要內(nèi)容����。防火墻�、漏洞掃描、防病毒�、入侵檢測(cè)等維護(hù)網(wǎng)絡(luò)安全的軟件,有效地提高網(wǎng)絡(luò)信息的安全性����。隨著網(wǎng)絡(luò)與信息技術(shù)應(yīng)用的范圍不斷擴(kuò)大�,各種形式的服務(wù)被展開(kāi)��,各種的網(wǎng)絡(luò)安全問(wèn)題也隨之出現(xiàn)了�。為了確保企業(yè)局域網(wǎng)信息能夠在網(wǎng)絡(luò)上進(jìn)行有效傳播,并且免受網(wǎng)絡(luò)黑客的攻擊����,可以加筑安全屏障在企業(yè)的局域信息網(wǎng)。為了維護(hù)局域網(wǎng)絡(luò)信息系統(tǒng)的安全性���,采用防火墻技術(shù)與入侵檢測(cè)系統(tǒng)相結(jié)合的防護(hù)技術(shù)�,使網(wǎng)絡(luò)的安全防御能力大大地提高了�����,實(shí)現(xiàn)了維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)營(yíng)�����。對(duì)企業(yè)的局域網(wǎng)絡(luò)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析����,并根據(jù)實(shí)際的需要進(jìn)行合理地規(guī)劃設(shè)計(jì),是非常必要的��。
1 企業(yè)局域網(wǎng)系統(tǒng)安全風(fēng)險(xiǎn)分析
企業(yè)局域網(wǎng)系統(tǒng)普遍存在的安全風(fēng)險(xiǎn)包括有網(wǎng)絡(luò)安全的物理風(fēng)險(xiǎn)和網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)�。
1.1 網(wǎng)絡(luò)安全的物理風(fēng)險(xiǎn)
網(wǎng)絡(luò)安全的物理風(fēng)險(xiǎn)一般是建立網(wǎng)絡(luò)的硬件設(shè)施很容易出現(xiàn)故障。除了一些自然因素���,如火災(zāi)�����、水災(zāi)����、地震等所造成的故障之外�,主要還是諸如由于不當(dāng)操作而造成的設(shè)備損壞或者是設(shè)備丟失以及線路被劫等等的人為因素影響。對(duì)于性能較高的硬件配置�,主要體現(xiàn)在雙機(jī)設(shè)計(jì)、報(bào)警系統(tǒng)��、機(jī)房的內(nèi)部環(huán)境的安全性上�。
1.2 網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)
網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)主要體現(xiàn)服務(wù)器的風(fēng)險(xiǎn)和整體結(jié)構(gòu)與路由的風(fēng)險(xiǎn)。
(1)服務(wù)器風(fēng)險(xiǎn)�。作為企業(yè)信息的平臺(tái),局域網(wǎng)的服務(wù)器一旦受到攻擊���,就容易導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓�。網(wǎng)絡(luò)管理人員就有其需要對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)提高警惕,因?yàn)檫@里是黑客試圖闖入的關(guān)鍵����。
(2)網(wǎng)絡(luò)的整體結(jié)構(gòu)與路由風(fēng)險(xiǎn)。企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的建立是非常簡(jiǎn)單的���,只要一臺(tái)路由器�����,加之一些輔助設(shè)備�����,就可以將局域網(wǎng)絡(luò)系統(tǒng)建立起來(lái)�。因此����,很容易出現(xiàn)安全問(wèn)題。
2 網(wǎng)絡(luò)安全的總體設(shè)計(jì)原則
2.1 網(wǎng)絡(luò)安全設(shè)計(jì)方案需要遵循的原則
(1)綜合規(guī)劃原則��。計(jì)算機(jī)的網(wǎng)絡(luò)結(jié)構(gòu)主要包括數(shù)據(jù)�、軟件�����、設(shè)備等等,那么���,在對(duì)網(wǎng)絡(luò)工程系統(tǒng)進(jìn)行安全設(shè)計(jì)的時(shí)候��,就需要從整體角度出發(fā)對(duì)設(shè)計(jì)方案進(jìn)行制定�����,并根據(jù)專業(yè)的需要分析�����、修改���。
從管理的角度來(lái)看,網(wǎng)絡(luò)安全的設(shè)計(jì)上����,要符合有關(guān)的法律法規(guī)已經(jīng)相應(yīng)的管理制度;在專業(yè)技術(shù)上�����,采取多種方法向融合的措施,以獲得最可行�、最有效的方案。
(2)平衡一致的原則�����。使用局域網(wǎng)絡(luò)�����,其可以帶來(lái)諸多的便利的同時(shí)��,用戶也要承擔(dān)了一定的風(fēng)險(xiǎn)�。通過(guò)對(duì)網(wǎng)絡(luò)的實(shí)際功能進(jìn)行研究,在設(shè)計(jì)安全策略之前�����,要對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)�、性能等進(jìn)行必要的分析,使其與網(wǎng)絡(luò)安全的需求保持一致�����。不但可以提高網(wǎng)絡(luò)的運(yùn)行效率,而且還會(huì)降低資金投入成本�����。
(3)多重保護(hù)�����,分步實(shí)施�����。為了防止系統(tǒng)在黑客的攻擊下���,受到破壞。建立起多重保護(hù)網(wǎng)絡(luò)的系統(tǒng)�����,可以加大安全防護(hù)系數(shù)��,以各層保護(hù)之間的互補(bǔ)����,實(shí)現(xiàn)保護(hù)系統(tǒng)信息的安全��。
鑒于網(wǎng)絡(luò)系統(tǒng)實(shí)際應(yīng)用范圍的不斷擴(kuò)展�����,網(wǎng)絡(luò)規(guī)模也在不斷加大����,這就導(dǎo)致網(wǎng)絡(luò)更加脆弱�����。網(wǎng)絡(luò)安全問(wèn)題不能一次性的解決�����,并且在使用安全措施時(shí)����,需要支出一定的費(fèi)用,針對(duì)這一問(wèn)題�����,可以采用分步實(shí)施的凡是來(lái)滿足網(wǎng)絡(luò)安全的需求,也能夠盡量節(jié)省開(kāi)支��。
2.2 安全技術(shù)�、服務(wù)、機(jī)制
(1)安全技術(shù)�����。在開(kāi)放的環(huán)境下����,用戶可以使用病毒預(yù)防技術(shù)����、防火墻技術(shù)等等。
(2)安全服務(wù)�����、機(jī)制���。安全服務(wù)中����,除了包括可靠服務(wù)、認(rèn)證對(duì)象服務(wù)之外�����,必要的控制服務(wù)也是非常很總要的���。相應(yīng)地�,也將認(rèn)證機(jī)制以及控制訪問(wèn)機(jī)制建立了起來(lái)����。
3 企業(yè)局域網(wǎng)系統(tǒng)安全設(shè)計(jì)規(guī)劃
建立防火墻和入侵檢測(cè)系統(tǒng),成為了企業(yè)局域網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)的規(guī)劃方案��。
3.1 防火墻技術(shù)
應(yīng)用防火墻�����,可以保證信息安全����。防火墻技術(shù)的功能就是阻攔一些不被允許的垃圾信息,因?yàn)檫@些信息容易對(duì)網(wǎng)絡(luò)造成干擾�����,有效組織可以避免出現(xiàn)信息上的濫竽充數(shù)?�?梢?jiàn)����,防火墻的目的就是對(duì)網(wǎng)絡(luò)之間的通信進(jìn)行控制。
防火墻其實(shí)就是一種軟件或者是硬件設(shè)備的組合�,將其安裝在企業(yè)信息網(wǎng)絡(luò)與Internet之間,可以在網(wǎng)絡(luò)信息相互傳送的過(guò)程中實(shí)現(xiàn)保護(hù)系統(tǒng)安全的作用���。在兩個(gè)信任程度不同的網(wǎng)絡(luò)之間安裝適當(dāng)?shù)姆阑饓?���,可以防止重要的信息資源被非法存取和訪問(wèn)�����。
3.2 入侵檢測(cè)系統(tǒng)
防火墻的作用是采用強(qiáng)制的方式�����,攔截不符合局域網(wǎng)絡(luò)要求的信息�。那么����,在企業(yè)的局域網(wǎng)絡(luò)信息系統(tǒng)中安裝入侵檢測(cè)系統(tǒng)�,不但可以實(shí)現(xiàn)防火墻的黑客堵截功能���,而且�����,還會(huì)對(duì)局域網(wǎng)絡(luò)內(nèi)部的攻擊性信息進(jìn)行監(jiān)督����。對(duì)于沒(méi)有被授權(quán)瀏覽的信息�����,依然會(huì)采取相應(yīng)的干擾措施��。
入侵檢測(cè)系統(tǒng)與防火墻相比�����,更具有優(yōu)越性����。作為一種動(dòng)態(tài)的安全技術(shù)�����,其可以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)以及計(jì)算機(jī)系統(tǒng)中風(fēng)險(xiǎn)系數(shù)比較高的關(guān)鍵點(diǎn)信息進(jìn)行收集�,并對(duì)這些信息進(jìn)行技術(shù)分析和檢測(cè)���。通過(guò)對(duì)于檢測(cè)記錄進(jìn)行匯總���,就可以從中判斷出一些信息所呈現(xiàn)出來(lái)的違反安全策略的行為。此時(shí)�����,入侵檢測(cè)系統(tǒng)就會(huì)啟動(dòng)報(bào)警系統(tǒng)��,同時(shí)阻撓不良信息的侵入����。
3.3 建立入侵檢測(cè)系統(tǒng)與防火墻相結(jié)合的安全防護(hù)體系
將防火墻系統(tǒng)和入侵檢測(cè)系統(tǒng)充分地結(jié)合起來(lái)�����,可以達(dá)到加強(qiáng)網(wǎng)絡(luò)安全系統(tǒng)防護(hù)墻的作用�。
具體操作上�,首先要安裝防火墻系統(tǒng)���,以使外部的入侵信息被過(guò)濾在局域網(wǎng)之外���,從而達(dá)到基本的防護(hù)作用,此為企業(yè)局域網(wǎng)絡(luò)防止黑客入侵的第一道防線�����。之后�����,將入侵檢測(cè)系統(tǒng)進(jìn)行安裝�����,形成防止黑客入侵的第二道防線����。一旦有不良信息闖過(guò)防火墻,遇到了入侵檢測(cè)系統(tǒng)后����,就會(huì)降低對(duì)信息網(wǎng)絡(luò)干擾力�。而入侵檢測(cè)系統(tǒng)可以對(duì)黑客進(jìn)行有效檢測(cè)�����,并啟動(dòng)報(bào)警系統(tǒng)�����。這樣安裝系統(tǒng)防御設(shè)備���,既可以降低保護(hù)局域網(wǎng)系統(tǒng)的風(fēng)險(xiǎn)系數(shù)�����,也可以將其工作負(fù)載降低�。
3.4 防火墻系統(tǒng)和入侵檢測(cè)系統(tǒng)的組合安裝方式
防火墻系統(tǒng)和入侵檢測(cè)系統(tǒng)的組合安裝方式包括有兩種���,一種是將入侵檢測(cè)系統(tǒng)嵌入到防火墻中�����;另一種是將防火墻或者入侵檢測(cè)系統(tǒng)開(kāi)放一個(gè)接口�����,將兩者進(jìn)行外部連接��。
采用入侵檢測(cè)系統(tǒng)嵌入的方式�����,其數(shù)據(jù)并不是來(lái)源于數(shù)據(jù)包�����,而是流經(jīng)防火墻的數(shù)據(jù)流�;使用接口進(jìn)行外部聯(lián)結(jié)的方式����,則具有靈活性的優(yōu)勢(shì)。很顯然�,兩者不是簡(jiǎn)單的疊加,而是技術(shù)性的組合��。
4 總結(jié)
綜上所述��,網(wǎng)絡(luò)信息的安全問(wèn)題已經(jīng)成為一種社會(huì)問(wèn)題�����,如果不及時(shí)將局域網(wǎng)系統(tǒng)產(chǎn)生的安全問(wèn)題分析。解決��,那么對(duì)企業(yè)來(lái)說(shuō)將是巨大的威脅����。由于網(wǎng)絡(luò)安全一直處在不斷變化與動(dòng)態(tài)發(fā)展的過(guò)程中,因此我們要及時(shí)掌握網(wǎng)絡(luò)變化的第一手資料�,對(duì)現(xiàn)階段存在的各類病毒全面了解,以便制定出有效的防范措施��,將網(wǎng)絡(luò)風(fēng)險(xiǎn)問(wèn)題降到最低��。
參考文獻(xiàn):
[1]張麗肖���,劉勁松�����,李超����,柴文磊����,李清霞.企業(yè)局域網(wǎng)系統(tǒng)安全的風(fēng)險(xiǎn)分析及設(shè)計(jì)規(guī)劃探討[J].信息與電腦(理論版)�,2011�,16(08):218-221.
[2]劉亞麗���,鄧高峰�,郝卓�����,俞能海.企業(yè)局域網(wǎng)ARP攻擊原理分析及防御措施[J].計(jì)算機(jī)安全�����,2011�,23(07):264-266.
第6篇
關(guān)鍵詞:廣播電視監(jiān)測(cè)網(wǎng);網(wǎng)絡(luò)�����;安全
隨著廣播電視數(shù)字化�、網(wǎng)絡(luò)化的迅速發(fā)展,廣播電視監(jiān)測(cè)工作由過(guò)去靠人工的傳統(tǒng)落后手段轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)化�、自動(dòng)化的方式���,監(jiān)測(cè)網(wǎng)的建成使監(jiān)測(cè)工作發(fā)生了飛躍式的變化,提高了信息反饋速度�,豐富了監(jiān)測(cè)信息內(nèi)容,拓展了監(jiān)測(cè)業(yè)務(wù)類型�����,擴(kuò)大了監(jiān)測(cè)地理范圍�,大大提高了廣播電視監(jiān)測(cè)的綜合監(jiān)測(cè)能力。但是���,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大���,監(jiān)測(cè)網(wǎng)的復(fù)雜性和風(fēng)險(xiǎn)性也在不斷增加。業(yè)務(wù)的發(fā)展對(duì)網(wǎng)絡(luò)性能的要求也在不斷提高���,如何運(yùn)用先進(jìn)技術(shù)方案保障監(jiān)測(cè)網(wǎng)絡(luò)安全而高效地運(yùn)轉(zhuǎn)已經(jīng)成為我們面臨的重要工作����。
1 監(jiān)測(cè)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)
網(wǎng)絡(luò)規(guī)模大����、系統(tǒng)復(fù)雜�、專業(yè)性強(qiáng)�,通常由一個(gè)或多個(gè)局域網(wǎng)系統(tǒng)及數(shù)個(gè)地理位置分散的遠(yuǎn)程無(wú)人值守遙控站點(diǎn)組成分布式廣域網(wǎng)系統(tǒng)。
多種通信方式并存�����,監(jiān)測(cè)網(wǎng)系統(tǒng)的通信建立倚賴于當(dāng)?shù)氐耐ㄐ艞l件�,造成系統(tǒng)具有多種接入方式�。
軟件開(kāi)發(fā)基于J2EE平臺(tái),軟件體系多采用C/S架構(gòu)�����。
2 風(fēng)險(xiǎn)性分析
目前���,廣播電視監(jiān)測(cè)網(wǎng)主要面臨以下問(wèn)題:
2.1缺乏完整的安全體系
廣播電視監(jiān)測(cè)網(wǎng)建設(shè)是根據(jù)總體規(guī)劃�����,分步實(shí)施的�,系統(tǒng)往往邊運(yùn)行邊擴(kuò)展規(guī)模��。這種情況造成監(jiān)測(cè)網(wǎng)系統(tǒng)建設(shè)之初�,對(duì)系統(tǒng)安全很難進(jìn)行全面規(guī)劃�。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用范圍的擴(kuò)展����,網(wǎng)絡(luò)的脆弱性不斷增加,同時(shí)�����,系統(tǒng)配置的更改�����,軟件的升級(jí)也造成系統(tǒng)的安全需求不斷變化�����,現(xiàn)有的安全手段將很難勝任�。
2.2系統(tǒng)分布方式帶來(lái)安全的復(fù)雜性
監(jiān)測(cè)網(wǎng)系統(tǒng)具有節(jié)點(diǎn)分布廣,地理位置分散等特點(diǎn)��,使得對(duì)網(wǎng)絡(luò)安全狀況的集中控制變得困難���,帶來(lái)數(shù)據(jù)安全的復(fù)雜性�。不同的環(huán)節(jié)將需要不同手段的安全方案���。
2.3網(wǎng)絡(luò)本身的安全漏洞
監(jiān)測(cè)系統(tǒng)是一個(gè)基于IP的網(wǎng)絡(luò)系統(tǒng)����,采用TCP/IP協(xié)議軟件,本身在應(yīng)用�、傳輸時(shí)存在較多不安全因素。
3 安全技術(shù)方案
鑒于對(duì)以上幾種風(fēng)險(xiǎn)性因素的分析��,根據(jù)系統(tǒng)的實(shí)際情況��,結(jié)合考慮需求���、風(fēng)險(xiǎn)、成本等因素�,在總體規(guī)劃的基礎(chǔ)上制訂了既可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求,又不造成浪費(fèi)的解決方案��。
3.1網(wǎng)絡(luò)資源總體規(guī)劃
實(shí)踐證明����,合理、統(tǒng)一的網(wǎng)絡(luò)規(guī)劃對(duì)網(wǎng)絡(luò)維護(hù)及安全運(yùn)行都有極大的好處�,有利于保障監(jiān)測(cè)網(wǎng)系統(tǒng)在不斷擴(kuò)展中的可持續(xù)性,因此���,在監(jiān)測(cè)網(wǎng)建立之初統(tǒng)一進(jìn)行網(wǎng)絡(luò)資源的設(shè)計(jì)�����,制定合理的IP規(guī)劃�����、網(wǎng)絡(luò)拓?fù)湟?guī)劃����,對(duì)各種資源進(jìn)行統(tǒng)一編碼是保障網(wǎng)絡(luò)安全的第一步。
3.2設(shè)備安全配置
對(duì)于重要安全設(shè)備如交換機(jī)�����、路由器等��,需要制定良好的配置管理方案��,關(guān)閉不必要的設(shè)備服務(wù)�,設(shè)置口令、密碼�,加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán),升級(jí)BIOS,限制訪問(wèn)�、限制數(shù)據(jù)包類型等。
3.3操作系統(tǒng)安全方案
操作系統(tǒng)大部分的安全問(wèn)題歸根結(jié)底是由于系統(tǒng)管理不善所導(dǎo)致的�。解決方案是正確更新使用密碼設(shè)置、權(quán)限設(shè)置��,正確進(jìn)行服務(wù)器配置�����。建立健全操作系統(tǒng)安全升級(jí)制度���,及時(shí)下載并安裝補(bǔ)丁�����。
3.4備份方案
為保證監(jiān)測(cè)網(wǎng)的安全穩(wěn)定運(yùn)行�,對(duì)于監(jiān)測(cè)網(wǎng)的核心局域網(wǎng)系統(tǒng)硬件可采用雙機(jī)熱備方案����,磁盤陣列�����、交換機(jī)�、防火墻等硬件采用雙機(jī)并行�,負(fù)載均衡的方式運(yùn)行���,應(yīng)用服務(wù)器�、數(shù)據(jù)庫(kù)服務(wù)器還可互為備份�����,從而保證不會(huì)因某一點(diǎn)出現(xiàn)故障而影響整個(gè)系統(tǒng)的正常使用�����。
3.5病毒防護(hù)
監(jiān)測(cè)網(wǎng)系統(tǒng)覆蓋的點(diǎn)多面廣�,防毒系統(tǒng)應(yīng)采用集中控制多層防護(hù)的方案,在監(jiān)測(cè)系統(tǒng)各個(gè)網(wǎng)絡(luò)都分級(jí)部署防病毒軟件�,中心網(wǎng)絡(luò)對(duì)下一級(jí)系統(tǒng)進(jìn)行實(shí)時(shí)集中病毒監(jiān)測(cè),定時(shí)升級(jí)�����。制定和采用統(tǒng)一的防病毒策略��,使得網(wǎng)絡(luò)中的所有服務(wù)器和客戶端都能得到相同的防病毒保護(hù)����。
3.6防火墻系統(tǒng)
監(jiān)測(cè)網(wǎng)系統(tǒng)由于其分布特性往往由多個(gè)安全域組成�����,應(yīng)加裝防火墻�,以實(shí)現(xiàn)系統(tǒng)內(nèi)各級(jí)網(wǎng)絡(luò)之間的隔離和訪問(wèn)控制�;實(shí)現(xiàn)對(duì)服務(wù)器的安全保護(hù)及對(duì)遠(yuǎn)程用戶的安全認(rèn)證與訪問(wèn)權(quán)限控制,并實(shí)現(xiàn)對(duì)專線資源的流量管理控制和防攻擊�。
3.7應(yīng)用安全
可采用多種手段保障應(yīng)用層安全。如:系統(tǒng)日志審核��、服務(wù)器賬戶管理�、用戶登錄權(quán)限管理、數(shù)據(jù)定期備份等�。
3.8數(shù)據(jù)傳輸安全
監(jiān)測(cè)網(wǎng)作為一個(gè)廣域網(wǎng)主要利用廣電光纜或電信線路進(jìn)行通信,為保證安全性�,數(shù)據(jù)的傳輸須采取加密措施。具體方案可針對(duì)不同通信方式及數(shù)據(jù)安全級(jí)別制定���。
4 結(jié)束語(yǔ)
網(wǎng)絡(luò)是一個(gè)多樣�、復(fù)雜��、動(dòng)態(tài)的系統(tǒng)�,單一的安全產(chǎn)品和技術(shù)不能夠滿足網(wǎng)絡(luò)安全的所有要求,只有各個(gè)安全部件相互關(guān)聯(lián)�����、各種安全措施相互補(bǔ)充�����,網(wǎng)絡(luò)安全才能得到保障�����。同時(shí)�,任何一個(gè)網(wǎng)絡(luò)的安全目標(biāo)都不是僅依靠技術(shù)手段就能實(shí)現(xiàn)的,還應(yīng)采取措施加強(qiáng)操作人員素質(zhì)管理���,提高值班員責(zé)任心����。做到管理規(guī)范�����,才能確保監(jiān)測(cè)網(wǎng)安全�����、高效運(yùn)行。
參考文獻(xiàn)
第7篇
論文摘要:本文對(duì)船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全現(xiàn)狀和問(wèn)題原因進(jìn)行了概括性的敘述����,對(duì)網(wǎng)絡(luò)安全的需求進(jìn)行了研究分析。從實(shí)施船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理的現(xiàn)實(shí)條件和實(shí)際要求出發(fā)�����,提出了船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理的策略和解決方案�,針對(duì)不同情況的船舶提出了相應(yīng)的實(shí)施建議。
1引言
進(jìn)入二十一世紀(jì)以來(lái)��,隨著船舶自動(dòng)化和信息化程度不斷提高�����,船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用得到了迅速發(fā)展�����。越來(lái)越多的新造船舶采用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)將船舶輪機(jī)監(jiān)控系統(tǒng)�����、航海駕駛智能化系統(tǒng)��、船舶管理信息系統(tǒng)(SMIS)等應(yīng)用納入一個(gè)統(tǒng)一的網(wǎng)絡(luò)系統(tǒng)�����,實(shí)現(xiàn)船岸管控一體化�����。
在我司近幾年建造的4萬(wàn)噸級(jí)以上的油輪上�����,普遍安裝了計(jì)算機(jī)局域網(wǎng)�����。一方面���,計(jì)算機(jī)網(wǎng)絡(luò)用于傳輸船上動(dòng)力裝置監(jiān)測(cè)系統(tǒng)與船舶航行等實(shí)時(shí)數(shù)據(jù)����;另一方面��,計(jì)算機(jī)網(wǎng)絡(luò)用于船舶管理信息系統(tǒng)(功能包括船舶機(jī)務(wù)、采購(gòu)����、海務(wù)、安全�����、體系管理與油輪石油公司檢查管理)并通過(guò)網(wǎng)絡(luò)中船舶通訊計(jì)算機(jī)實(shí)現(xiàn)船岸間的數(shù)據(jù)交換�����,實(shí)現(xiàn)船岸資源共享����,有利于岸基他船舶管理人員對(duì)船舶的監(jiān)控與業(yè)務(wù)指導(dǎo)。前者屬于實(shí)時(shí)系統(tǒng)應(yīng)用�����,后者屬于船舶日常管理系統(tǒng)應(yīng)用����,在兩種不同類型的網(wǎng)絡(luò)應(yīng)用(子網(wǎng))之間采用網(wǎng)關(guān)進(jìn)行隔離。目前�����,船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)采用的硬件設(shè)備和軟件系統(tǒng)相對(duì)簡(jiǎn)單,因此�,船舶計(jì)算機(jī)網(wǎng)絡(luò)的安全基礎(chǔ)比較薄弱��。隨著船齡的不斷增長(zhǎng)�,船上計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備逐漸老化;并且���,船上沒(méi)有配備專業(yè)的人員負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)和設(shè)備的運(yùn)行維護(hù)和管理工作�����,所以船舶計(jì)算機(jī)及網(wǎng)絡(luò)的技術(shù)狀況比較差����,影響各類系統(tǒng)的正常使用與船岸數(shù)據(jù)的交換�。究其原因,除了網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路故障問(wèn)題之外��,大多數(shù)問(wèn)題是因各類病毒與管理不善等原因所引起的�。
2船舶計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)
目前在船舶上普遍采用工業(yè)以太網(wǎng),船舶局域網(wǎng)大多采用星型結(jié)構(gòu)��。
有些船舶已經(jīng)在所有船員房間布設(shè)了局域網(wǎng)網(wǎng)線,而有些船舶只是在高級(jí)船員房間布設(shè)了計(jì)算機(jī)局域網(wǎng)網(wǎng)線���。圖表1是一艘30萬(wàn)噸超級(jí)油輪(VLCC)的計(jì)算機(jī)局域網(wǎng)結(jié)構(gòu)圖����。
圖表2 是 船舶計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖��。其中�,局域網(wǎng)服務(wù)器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);網(wǎng)關(guān)采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G)���;交換機(jī)采用D-LINK DES-1024D快速以太網(wǎng)交換機(jī)(10/100M 自適應(yīng)����,工作在二層應(yīng)用層級(jí))�。
3船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題
2005年以來(lái),有很多的船舶管理公司推進(jìn)實(shí)施船舶管理信息系統(tǒng)���。對(duì)于遠(yuǎn)洋船舶來(lái)說(shuō)���,船上需要安裝使用船舶管理信息系統(tǒng)的船舶版軟件。大多數(shù)的船舶版軟件都是采用客戶端/服務(wù)器兩層架構(gòu),高級(jí)船員的辦公計(jì)算機(jī)作為客戶端�����,通過(guò)聯(lián)網(wǎng)使用船舶管理信息系統(tǒng)�����。船上的船舶管理信息系統(tǒng)通過(guò)電子郵件(一般采用AMOS MAIL或Rydex電子郵件)與岸基的船舶管理信息系統(tǒng)交換數(shù)據(jù)�,實(shí)現(xiàn)船���、岸船舶數(shù)據(jù)庫(kù)的數(shù)據(jù)同步����。
根據(jù)了解��,目前船舶計(jì)算機(jī)網(wǎng)絡(luò)最主要的問(wèn)題(也是最突出的現(xiàn)狀)是安全性和可用性達(dá)不到船舶管理信息系統(tǒng)運(yùn)行使用的基本要求�。船舶管理信息系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器與郵件服務(wù)器之間,以及船員的辦公計(jì)算機(jī)與船舶管理信息系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器之間經(jīng)常無(wú)法聯(lián)通��。經(jīng)過(guò)上船檢查發(fā)現(xiàn)�����,影響船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的主要原因是計(jì)算機(jī)病毒。大多數(shù)船舶的辦公計(jì)算機(jī)采用微軟操作系統(tǒng)�����,一方面沒(méi)有打補(bǔ)丁���,另一方面尚未采取有效的防病毒措施��,比如沒(méi)有安裝單機(jī)版或網(wǎng)絡(luò)版防病毒軟件��。有些船舶雖然安裝了防病毒軟件����,但是因?yàn)椴荒芗皶r(shí)進(jìn)行防毒軟件升級(jí)和病毒庫(kù)更新�����,所以無(wú)法查殺新病毒或新的變種病毒等�����,從而失去防病毒作用�。經(jīng)過(guò)調(diào)查分析,船上計(jì)算機(jī)病毒的主要來(lái)源是:(1)在局域網(wǎng)中的計(jì)算機(jī)上使用了帶有病毒的光盤��、優(yōu)盤、移動(dòng)硬盤等存儲(chǔ)介質(zhì)����;(2)將帶有病毒的筆記本電腦接入了船上的局域網(wǎng);(3)在局域網(wǎng)中的計(jì)算機(jī)上安裝有無(wú)線上網(wǎng)卡�,通過(guò)無(wú)線上網(wǎng)(沿海航行或停靠港口時(shí))引入了病毒/蠕蟲(chóng)/木馬/惡意代碼等�。
為了解決上述問(wèn)題,有的企業(yè)在船舶辦公計(jì)算機(jī)上安裝了硬盤保護(hù)卡�����;也有一些企業(yè)在船舶辦公計(jì)算機(jī)上安裝了“一鍵恢復(fù)”軟件�����;另外還有企業(yè)開(kāi)始在船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中安裝部署專業(yè)的安全管理系統(tǒng)軟件和網(wǎng)絡(luò)版防病毒軟件��。
若要從根本上增強(qiáng)船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性和可用性�,則需要考慮以下條件的限制:(1)船上的計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)在出廠時(shí)已經(jīng)固定���,除非船舶正在建造或者進(jìn)廠修理�,否則�,凡是處于運(yùn)營(yíng)狀態(tài)的船舶,不可能立即為船舶管理信息系統(tǒng)專門建設(shè)一個(gè)物理上獨(dú)立的計(jì)算機(jī)局域網(wǎng)。(2)限于資金投入和船上安裝場(chǎng)所等原因��,船上的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備或設(shè)施在短期內(nèi)也不可能無(wú)限制按需增加�����。(3)從技術(shù)管理的角度看����,在現(xiàn)階段,船舶仍不可能配備具有專業(yè)水平的網(wǎng)絡(luò)人員對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理�。(4)因衛(wèi)星通信通道和通信費(fèi)用等原因,遠(yuǎn)洋船舶的辦公計(jì)算機(jī)操作系統(tǒng)(微軟Windows 系列)不可能從因特網(wǎng)下載補(bǔ)丁和打補(bǔ)?。淮熬钟蚓W(wǎng)中的防病毒軟件和病毒庫(kù)不可能及時(shí)升級(jí)和更新�����??傮w上看,解決船舶計(jì)算機(jī)網(wǎng)絡(luò)安全方面的問(wèn)題�����,與陸地上確實(shí)有許多不同之處����。
4船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全需求分析
為提高船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的可用性�����,即船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)任何一個(gè)組件發(fā)生故障���,不管它是不是硬件,都不會(huì)導(dǎo)致網(wǎng)絡(luò)�、系統(tǒng)、應(yīng)用乃至整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓�,為此需要增強(qiáng)船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠性、可恢復(fù)性和可維護(hù)性�。其中:(1)可靠性是指針對(duì)船舶上的溫度、濕度��、有害氣體等環(huán)境����,提高網(wǎng)絡(luò)設(shè)備和線路的技術(shù)要求�����,有關(guān)的設(shè)計(jì)方案在船舶建造和船舶修理時(shí)進(jìn)行實(shí)施和實(shí)現(xiàn)�。(2)可恢復(fù)性��,是指船舶計(jì)算機(jī)網(wǎng)絡(luò)中任一設(shè)備或網(wǎng)段發(fā)生故障而不能正常工作時(shí)�,依靠事先的設(shè)計(jì)�,網(wǎng)絡(luò)系統(tǒng)自動(dòng)將故障進(jìn)行隔離。(3)可維護(hù)性�,是指通過(guò)對(duì)船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)的在線管理,及時(shí)發(fā)現(xiàn)異常情況��,使問(wèn)題或故障能夠得到及時(shí)處理��。 轉(zhuǎn)貼于
研究解決船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理問(wèn)題����,必須考慮現(xiàn)實(shí)的條件和實(shí)現(xiàn)的成本?����?偟脑瓌t是:方案簡(jiǎn)潔�����、技術(shù)成熟�����;經(jīng)濟(jì)性好、實(shí)用性強(qiáng)�����;易于實(shí)施���、便于維護(hù)�����。因此�,在盡量利用現(xiàn)有設(shè)備和設(shè)施�、擴(kuò)充或提高計(jì)算機(jī)及網(wǎng)絡(luò)配置、增加必要的安全管理系統(tǒng)軟件�、嚴(yán)格控制增加設(shè)備的前提下,通過(guò)采用邏輯域劃分���、病毒防殺�、補(bǔ)丁管理��、網(wǎng)絡(luò)準(zhǔn)入���、外設(shè)接口管理�����、終端應(yīng)用軟件管理和移動(dòng)存儲(chǔ)介質(zhì)管理等手段�,以解決船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)最主要的安全問(wèn)題�����。
在對(duì)船舶計(jì)算機(jī)網(wǎng)絡(luò)采取安全防護(hù)技術(shù)措施的同時(shí)����,還需要制定船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理制度;定制船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略和安全管理框架��;對(duì)船員進(jìn)行計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全知識(shí)教育�����,增強(qiáng)船員遵守公司制定的計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)定的意識(shí)和自覺(jué)性�。
(1)加強(qiáng)船舶計(jì)算機(jī)病毒的防護(hù),建立全面的多層次的防病毒體系����,防止病毒的攻擊;
(2)采用專用的設(shè)備和設(shè)施實(shí)現(xiàn)船舶安全策略的強(qiáng)制執(zhí)行�,配合防毒軟件的部署與應(yīng)用;
(3)加強(qiáng)船舶計(jì)算機(jī)網(wǎng)絡(luò)管理�,通過(guò)桌面管理工具實(shí)現(xiàn)船舶計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的有效控制;
(4)制定相關(guān)的網(wǎng)絡(luò)安全防護(hù)策略�����,以及網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)與恢復(fù)策略���,在正常預(yù)防網(wǎng)絡(luò)安全事件的同時(shí)�,做好應(yīng)對(duì)網(wǎng)絡(luò)安全事件的準(zhǔn)備�。
5船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理要求
5.1確定船舶網(wǎng)絡(luò)系統(tǒng)安全管理目標(biāo)
基于以上對(duì)船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題和可用性需求的分析,我們認(rèn)為解決網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題的最終目標(biāo)是:
通過(guò)船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理制度的制定�,安全策略和安全管理框架的開(kāi)發(fā),定制開(kāi)發(fā)和部署適合船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)特點(diǎn)的安全管理系統(tǒng)����,確保船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全可靠的運(yùn)行和受控合法的使用,滿足船舶管理信息系統(tǒng)正常運(yùn)行�����、業(yè)務(wù)運(yùn)營(yíng)和日常管理的需要�。
通過(guò)實(shí)施船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全技術(shù)措施,達(dá)到保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性�,保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性,防范網(wǎng)絡(luò)資源的非法訪問(wèn)及非授權(quán)訪問(wèn),防范人為的有意或無(wú)意的攻擊與破壞�,保護(hù)船上的各類信息通過(guò)局域網(wǎng)傳輸過(guò)程中的安全性、完整性�、及時(shí)性���,防范計(jì)算機(jī)病毒的侵害�,實(shí)現(xiàn)系統(tǒng)快速恢復(fù)�����,確保船舶計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行和有效管理��?���?傮w上從五方面考慮:
(1)針對(duì)管理級(jí)安全,建立一套完整可行的船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理制度�,通過(guò)有效的貫徹實(shí)施和檢查考核,實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行管理與維護(hù)���;
(2)針對(duì)應(yīng)用級(jí)安全�����,加強(qiáng)船舶計(jì)算機(jī)網(wǎng)絡(luò)防病毒���、防攻擊����、漏洞管理���、數(shù)據(jù)備份�����、數(shù)據(jù)加密���、身份認(rèn)證等,采用適合的安全軟硬件����,建設(shè)安全防護(hù)體系;
(3)針對(duì)系統(tǒng)級(jí)安全���,加強(qiáng)對(duì)服務(wù)器��、操作系統(tǒng)��、數(shù)據(jù)庫(kù)的運(yùn)行監(jiān)測(cè)��,加強(qiáng)系統(tǒng)補(bǔ)丁的管理����,通過(guò)雙機(jī)(或兩套系統(tǒng))的形式保證核心系統(tǒng)運(yùn)行,當(dāng)發(fā)生故障時(shí)���,能及時(shí)提供備用系統(tǒng)和恢復(fù);
(4)針對(duì)網(wǎng)絡(luò)級(jí)安全�,保證船舶計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路的運(yùn)行穩(wěn)定����,對(duì)核心層的網(wǎng)絡(luò)設(shè)備和線路提供雙路的冗余;
(5)針對(duì)物理級(jí)安全����,保證船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的安全和系統(tǒng)及時(shí)恢復(fù),加強(qiáng)信息和數(shù)據(jù)的備份和各類軟件介質(zhì)的管理�����。
5.2網(wǎng)絡(luò)系統(tǒng)安全配置原則
船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一套移動(dòng)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)�,沒(méi)有專業(yè)的安全管理人員,缺乏專業(yè)的安全管理能力;船舶數(shù)量多��,船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)規(guī)模小和相對(duì)比較簡(jiǎn)潔���,因此����,不能按照企業(yè)網(wǎng)絡(luò)的安全管理體系來(lái)構(gòu)建船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理體系�,必須制定經(jīng)濟(jì)實(shí)用的網(wǎng)絡(luò)安全設(shè)計(jì)原則。
需求�����、風(fēng)險(xiǎn)�����、代價(jià)平衡的原則
對(duì)船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行切合實(shí)際的分析與設(shè)計(jì)��,對(duì)系統(tǒng)可能面臨的威脅或可能承擔(dān)的風(fēng)險(xiǎn)提出定性�、定量的分析意見(jiàn),并制定相應(yīng)的規(guī)范和措施�����,確定系統(tǒng)的安全策略。
綜合性���、整體性�����、系統(tǒng)性原則
船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全是一個(gè)比較復(fù)雜的系統(tǒng)工程�,從網(wǎng)絡(luò)系統(tǒng)的各層次����、安全防范的各階段全面地進(jìn)行考慮�,既注重技術(shù)的實(shí)現(xiàn),又要加大管理的力度�����,制定具體措施�����。安全措施主要包括:行政法律手段��、各種管理制度以及專業(yè)技術(shù)措施�����。
易于操作、管理和維護(hù)性原則
在現(xiàn)階段�����,船舶上不可能配備專業(yè)的計(jì)算機(jī)系統(tǒng)安全管理員�,采用的安全措施和系統(tǒng)應(yīng)保證易于安裝、實(shí)施����、操作、管理和維護(hù)�,并盡可能不降低對(duì)船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)功能和性能的影響。
可擴(kuò)展性�、適應(yīng)性及靈活性原則
船舶計(jì)算機(jī)網(wǎng)絡(luò)安全管理系統(tǒng)必須組件化或模塊化,便于部署�;安全策略配置靈活,具有較強(qiáng)的適應(yīng)性����,能夠適應(yīng)各種船舶的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)復(fù)雜多樣的現(xiàn)狀;安全管理系統(tǒng)必須具有較好的可擴(kuò)展性��,便于未來(lái)進(jìn)行安全功能的擴(kuò)展�。
標(biāo)準(zhǔn)化�����、分步實(shí)施�、保護(hù)投資原則
依照計(jì)算機(jī)系統(tǒng)安全方面的有關(guān)法規(guī)與行業(yè)標(biāo)準(zhǔn)和企業(yè)內(nèi)部的標(biāo)準(zhǔn)及規(guī)定�����,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化�����、規(guī)范化的要求�����,為拓展��、升級(jí)和集中統(tǒng)一打好基礎(chǔ)�����。限于計(jì)算機(jī)系統(tǒng)安全理論與技術(shù)發(fā)展的歷史原因和企業(yè)自身的資金能力�,對(duì)不同情況的船舶要分期�、分批建設(shè)一些整體的或區(qū)域的安全技術(shù)系統(tǒng)���,配置相應(yīng)的設(shè)施。因此�,依據(jù)保護(hù)系統(tǒng)安全投資效益的基本原則,在合理規(guī)劃��、建設(shè)新的網(wǎng)絡(luò)安全系統(tǒng)或投入新的網(wǎng)絡(luò)安全設(shè)施的同時(shí)�,對(duì)現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)應(yīng)采取完善、整合的辦法�����,使其納入總體的網(wǎng)絡(luò)安全技術(shù)體系��,發(fā)揮更好的效能�����,而不是排斥或拋棄��。
5.3網(wǎng)絡(luò)安全管理的演進(jìn)過(guò)程
建立����、健全船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理體系,首先要建立一個(gè)合理的管理框架����,要從整體和全局的視角�,從信息系統(tǒng)的管理層面進(jìn)行整體安全建設(shè)��,并從信息系統(tǒng)本身出發(fā)�,通過(guò)對(duì)船上信息資產(chǎn)的分析、風(fēng)險(xiǎn)分析評(píng)估����、網(wǎng)絡(luò)安全需求分析、安全策略開(kāi)發(fā)����、安全體系設(shè)計(jì)、標(biāo)準(zhǔn)規(guī)范制定�����、選擇安全控制措施等步驟���,從整個(gè)網(wǎng)絡(luò)安全管理體系上來(lái)提出安全解決方案。
船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理體系的建設(shè)須按適當(dāng)?shù)某绦蜻M(jìn)行����,首先應(yīng)根據(jù)自身的業(yè)務(wù)性質(zhì)�����、組織特征�、資產(chǎn)狀況和技術(shù)條件定義ISMS的總體方針和范圍����,然后在風(fēng)險(xiǎn)分析的基礎(chǔ)上進(jìn)行安全評(píng)估,同時(shí)確定信息安全風(fēng)險(xiǎn)管理制度���,選擇控制目標(biāo)�,準(zhǔn)備適用性聲明�。船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理體系的建立應(yīng)遵循PDCA的過(guò)程方法,必須循序漸進(jìn)�����,不斷完善��,持續(xù)改進(jìn)�。
6建立健全船舶計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度
針對(duì)船舶計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全,需要制定相關(guān)法規(guī)�����,結(jié)合技術(shù)手段實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全管理。制度和流程制定主要包括以下幾個(gè)方面:
制定船舶計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全工作的總體方針��、政策性文件和安全策略等�����,說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)��、范圍�、方針、原則����、責(zé)任等;
對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度����,以規(guī)范安全管理活動(dòng),約束人員的行為方式��;
對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作�����,建立操作規(guī)程�����,以規(guī)范操作行為�����,防止操作失誤��;
形成由安全政策�����、安全策略�、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系�;
由安全管理團(tuán)隊(duì)定期組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定。
7 總結(jié)
對(duì)于船舶計(jì)算機(jī)網(wǎng)絡(luò)安全按作者的經(jīng)驗(yàn)可以針對(duì)不同類型�����、不同情況的具體船舶�,可以結(jié)合實(shí)際需要和具體條件采取以下解決方案:
1.對(duì)于正在建造的船舶和準(zhǔn)備進(jìn)廠修理的船舶,建議按照較高級(jí)別的計(jì)算機(jī)網(wǎng)絡(luò)安全方案進(jìn)行實(shí)施����,全面加固船舶計(jì)算機(jī)及網(wǎng)絡(luò)的可靠性�����、可恢復(fù)性和可維護(hù)性�,包括配置冗余的網(wǎng)絡(luò)設(shè)備和建設(shè)備用的網(wǎng)絡(luò)線路���。
2.對(duì)于正在營(yíng)運(yùn)的�、比較新的船舶�,建議按照中等級(jí)別的計(jì)算機(jī)網(wǎng)絡(luò)安全方案進(jìn)行實(shí)施,若條件允許��,則可以增加專用的安全管理服務(wù)器設(shè)備����,更新或擴(kuò)充升級(jí)原有的路由器或交換機(jī)。
3.對(duì)于其它具備計(jì)算機(jī)局域網(wǎng)�����、船齡比較長(zhǎng)的船舶��,建議按照較低級(jí)別的計(jì)算機(jī)網(wǎng)絡(luò)安全方案進(jìn)行實(shí)施�����,不增加專用的安全管理服務(wù)器設(shè)備,主要目標(biāo)解決計(jì)算機(jī)網(wǎng)絡(luò)防病毒問(wèn)題�����。
4.對(duì)于不具備計(jì)算機(jī)局域網(wǎng)的老舊船舶��,可以進(jìn)一步簡(jiǎn)化安全問(wèn)題解決方案��,著重解決船舶管理信息系統(tǒng)服務(wù)器或單機(jī)的防病毒問(wèn)題����,以確保服務(wù)器或單機(jī)上的系統(tǒng)能夠正常運(yùn)行使用�。
參考文獻(xiàn):
第8篇
關(guān)鍵詞 網(wǎng)絡(luò)威脅;網(wǎng)絡(luò)防御;網(wǎng)絡(luò)安全;防火墻
中圖分類號(hào)TP393 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2010)31-0211-01
1 企業(yè)內(nèi)部網(wǎng)絡(luò)安全面臨的主要威脅
一般來(lái)說(shuō),計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自以下幾個(gè)方面:
1)計(jì)算機(jī)病毒的侵襲。計(jì)算機(jī)病毒侵入網(wǎng)絡(luò),對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞,使網(wǎng)絡(luò)不能正常工作,甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓;
2)黑客侵襲�。黑客非法進(jìn)入網(wǎng)絡(luò)使用網(wǎng)絡(luò)資源。例如通過(guò)隱蔽通道進(jìn)行非法活動(dòng);采用匿名用戶訪問(wèn)進(jìn)行攻擊;通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)獲取網(wǎng)上用戶賬號(hào)和密碼;非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)等;
3)拒絕服務(wù)攻擊�。例如“郵件炸彈”,使用戶在很短的時(shí)間內(nèi)收到大量無(wú)用的電子郵件,從而影響正常業(yè)務(wù)的運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī),網(wǎng)絡(luò)癱瘓;
4)通用網(wǎng)關(guān)接口(CGI)漏洞�。搜索引擎是通過(guò)CGI腳本執(zhí)行的方式實(shí)現(xiàn)的,黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務(wù);
5)惡意代碼。惡意代碼不限于病毒,還包括蠕蟲(chóng)�、特洛伊木馬、邏輯炸彈等��。
2 企業(yè)網(wǎng)絡(luò)安全目標(biāo)
1)建立一套完整可行的網(wǎng)絡(luò)安全與管理策略,將內(nèi)部網(wǎng)絡(luò)、公開(kāi)服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離;2)建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施,保證系統(tǒng)安全;3)對(duì)網(wǎng)上服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制,使非法訪問(wèn)在到達(dá)主機(jī)前被拒絕;4)加強(qiáng)合法用戶的訪問(wèn)認(rèn)證,同時(shí)將用戶的訪問(wèn)權(quán)限控制在最低限度,全面監(jiān)視對(duì)公開(kāi)服務(wù)器的訪問(wèn),及時(shí)發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為;5)加強(qiáng)對(duì)各種訪問(wèn)的審計(jì)工作,詳細(xì)記錄對(duì)網(wǎng)絡(luò)�����、公開(kāi)服務(wù)器的訪問(wèn)行為,形成完整的系統(tǒng)日志備份與災(zāi)難恢復(fù);6)提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)�����。
3 安全方案設(shè)計(jì)原則
對(duì)企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)����、規(guī)劃時(shí),應(yīng)遵循以下原則:
1)綜合性、整體性原則:應(yīng)用系統(tǒng)工程的觀點(diǎn)�、方法,分析網(wǎng)絡(luò)的安全措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)�����。
2)需求����、風(fēng)險(xiǎn)、代價(jià)平衡的原則:對(duì)任一網(wǎng)絡(luò),絕對(duì)安全難以達(dá)到,也不一定必要�����。對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略,是比較經(jīng)濟(jì)的方法。
3)一致性原則:網(wǎng)絡(luò)安全問(wèn)題貫穿整個(gè)網(wǎng)絡(luò)的生命周期,因此制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致�。在網(wǎng)絡(luò)建設(shè)開(kāi)始就考慮網(wǎng)絡(luò)安全對(duì)策,比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施,要有效得多。
4)易操作性原則:安全措施需要人為去完成,如果措施過(guò)于復(fù)雜,對(duì)人的要求過(guò)高,本身就降低了安全性��。
5)分步實(shí)施原則:由于網(wǎng)絡(luò)規(guī)模的擴(kuò)展及應(yīng)用的增加�����。一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的,費(fèi)用支出也較大�。因此可以分步實(shí)施,即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求,亦可節(jié)省費(fèi)用開(kāi)支�。
6)多重保護(hù)原則:任何安全措施都不是絕對(duì)安全的,都可能被攻破。因此需要建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它保護(hù)仍可保護(hù)信息安全��。
4 主要防范措施
1)依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》�����、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》和《中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理辦法》建立健全各種安全機(jī)制和安全制度,加強(qiáng)網(wǎng)絡(luò)安全教育和培訓(xùn)��。
2)網(wǎng)絡(luò)病毒的防范��。作為企業(yè)應(yīng)用網(wǎng)絡(luò),同時(shí)需要基于服務(wù)器操作系統(tǒng)平臺(tái)�、桌面操作系統(tǒng)、網(wǎng)關(guān)和郵件服務(wù)器平臺(tái)的防病毒軟件��。所以最好使用全方位的防病毒產(chǎn)品,通過(guò)全方位、多層次的防病毒系統(tǒng)的配置,使網(wǎng)絡(luò)免受病毒的侵襲����。
3)配置防火墻。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制����。利用防火墻執(zhí)行一種訪問(wèn)控制尺度,將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)自己的網(wǎng)絡(luò),同時(shí)防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。
4)采用入侵檢測(cè)系統(tǒng)�。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為�。利用審計(jì)記錄,入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng),從而達(dá)到限制這些活動(dòng),以保護(hù)系統(tǒng)的安全。最好采用混合入侵檢測(cè),同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng),構(gòu)架成一套完整立體的主動(dòng)防御體系�����。
5)漏洞掃描系統(tǒng)�。解決網(wǎng)絡(luò)安全問(wèn)題,要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)�����。僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞����、做出風(fēng)險(xiǎn)評(píng)估顯然是不現(xiàn)實(shí)的���。能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具是較好的解決方案,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患����。
6)IP盜用問(wèn)題的解決。在路由器上捆綁IP和MAC地址�。當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)Internet時(shí),路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,否則不允許通過(guò)路由器,同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。
7)利用網(wǎng)絡(luò)監(jiān)聽(tīng)維護(hù)子網(wǎng)系統(tǒng)安全��。對(duì)于網(wǎng)絡(luò)外部的入侵可以通過(guò)安裝防火墻來(lái)解決,但是對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲則無(wú)能為力�����。在這種情況下,可以采用對(duì)各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件,為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)��。設(shè)計(jì)一個(gè)子網(wǎng)專用的監(jiān)聽(tīng)程序,長(zhǎng)期監(jiān)聽(tīng)子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況,為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份���。
