序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁�����,我們?yōu)槟x了8篇的局域網(wǎng)網(wǎng)絡(luò)安全措施樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā)��,請盡情閱讀��。
第1篇
>> 計算機網(wǎng)絡(luò)數(shù)據(jù)庫存在的安全威脅與應(yīng)對措施 計算機網(wǎng)絡(luò)數(shù)據(jù)庫存在的安全威脅及措施 計算機網(wǎng)絡(luò)數(shù)據(jù)庫存在的安全威脅與應(yīng)對措施分析 計算機網(wǎng)絡(luò)數(shù)據(jù)庫存在的安全威脅與應(yīng)對措施探討 計算機網(wǎng)絡(luò)安全存在的威脅與防范措施 淺析計算機網(wǎng)絡(luò)安全的威脅因素與防范措施 淺談計算機網(wǎng)絡(luò)安全中存在的威脅及防范措施 淺析計算機網(wǎng)絡(luò)存在的威脅及防范措施 淺談計算機網(wǎng)絡(luò)的安全威脅及其防范措施 計算機網(wǎng)絡(luò)安全威脅及防范的技術(shù)措施 淺議計算機網(wǎng)絡(luò)安全的威脅及防范措施 計算機網(wǎng)絡(luò)安全的威脅及維護措施 解析計算機網(wǎng)絡(luò)的安全威脅及防范措施 針對計算機網(wǎng)絡(luò)面臨威脅的安全防范措施 計算機網(wǎng)絡(luò)信息安全面臨的威脅及防護措施 計算機網(wǎng)絡(luò)數(shù)據(jù)庫的安全管理技術(shù)分析 計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)的優(yōu)化 淺談現(xiàn)代計算機網(wǎng)絡(luò)數(shù)據(jù)庫的安全問題 計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)方案的探究 計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全的維護策略研究 常見問題解答 當前所在位置:�����。在IIS每個網(wǎng)站都設(shè)置對應(yīng)的權(quán)限�,把放在網(wǎng)站后臺管理中心上傳文件的目錄執(zhí)行權(quán)限改為“無”效果更好����,避免ASP木馬����,服務(wù)器管理員重視工作。
4 結(jié)論
在計算機網(wǎng)絡(luò)系統(tǒng)的安全管理中�,數(shù)據(jù)庫的安全是重要的一部分,應(yīng)該采取多種保護措施�,對計算機網(wǎng)絡(luò)數(shù)據(jù)庫的安全進行保護,有效的防止非法入侵與襲擊�,為網(wǎng)路用戶提供一個安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境�����。
參考文獻
[1] 李林艷.網(wǎng)絡(luò)環(huán)境下的計算機數(shù)據(jù)庫安全[J].電子世界�����,2012(14).
[2] 方鵬.淺談計算機網(wǎng)絡(luò)數(shù)據(jù)庫的安全機制問題[J].計算機光盤軟件與應(yīng)用�,2011(22).
第2篇
一、低檔次網(wǎng)絡(luò)的安全弊病
以無線方式連接到小區(qū)寬帶網(wǎng)絡(luò)�����,并通過寬帶網(wǎng)絡(luò)進行共享訪問Internet的組網(wǎng)環(huán)境下,我們往往只要先通過普通雙絞線將低檔無線路由器的WAN端口與小區(qū)寬帶網(wǎng)絡(luò)的交換端口連接在一起�����,然后參照說明書對無線路由器的連接端口參數(shù)進行合適的設(shè)置�����,就能上網(wǎng)訪問了�。由于在默認狀態(tài)下,低檔無線路由器會自動啟用DHCP服務(wù)功能��,當我們將無線網(wǎng)卡設(shè)備正確地安裝到普通計算機上后�����,不需要進行任何參數(shù)設(shè)置就能自動連接到無線局域網(wǎng)網(wǎng)絡(luò)中了��。然而在享受組網(wǎng)便利的同時�,低檔次無線路由器的信號覆蓋范圍最遠可達到300米左右�����,要是不采取安全措施進行防范的話��,那么處于300米范圍之內(nèi)安裝了無線網(wǎng)卡設(shè)備的普通計算機都能自動加入本地?zé)o線局域網(wǎng)網(wǎng)絡(luò)中,那樣一來本地?zé)o線局域網(wǎng)就容易遭遇非法攻擊�。
從目前來看,組建方便的低檔次無線局域網(wǎng)存在下面一些安全弊?���。?/p>
1 安全機制不太健全
低檔次無線局域網(wǎng)大部分都采用了安全防范性能一般的WEP協(xié)議,來對無線上網(wǎng)信號進行加密傳輸�。而沒有選用安全性能較高的WAP協(xié)議來保護無線信號的傳輸。普通上網(wǎng)用戶即使采用了WEP加密協(xié)議��、進行了WEP密鑰設(shè)置��,非法攻擊者仍然能通過一些專業(yè)的攻擊工具輕松破解加密信號����,從而非常容易地截取客戶上網(wǎng)地址、網(wǎng)絡(luò)標識名稱�、無線頻道信息、WEP密鑰內(nèi)容等信息�,有了這些信息在手,非法攻擊者就能方便地對本地?zé)o線局域網(wǎng)網(wǎng)絡(luò)進行偷竊隱私或其他非法入侵操作了����。
此外,低檔次無線局域網(wǎng)幾乎都不支持系統(tǒng)日志管理、入侵安全檢測等功能����,可以這么說低檔次無線局域網(wǎng)目前的安全機制還不太健全。
2 無法進行物理隔離
低檔次無線局域網(wǎng)從組建成功的那一刻�,就直接暴露在外界,無線網(wǎng)絡(luò)訪問也無法進行任何有效的物理隔離�,各種有意的、無意的非法攻擊隨時存在�����,那么無線局域網(wǎng)中的各種隱私信息也會隨時被偷偷竊取����、訪問。
3 用戶安全意識不夠
低檔次無線局域網(wǎng)往往只支持簡單的地址綁定��、地址過濾以及加密傳輸功能�,這些基本安全功能在非法攻擊者面前幾乎沒有多大防范作用。不過��,一些不太熟悉無線網(wǎng)絡(luò)知識的用戶為了能夠快速地實現(xiàn)移動辦公�����、資源共享等目的�����,往往會毫不猶豫地選用組網(wǎng)成本低廉����、管理維護操作簡便的低檔次無線局域網(wǎng),至于無線局域網(wǎng)的安全性能究竟如何����,相信這些初級上網(wǎng)用戶幾乎不會進行任何考慮。再加上這些不太熟悉無線網(wǎng)絡(luò)知識的初級用戶�����,對網(wǎng)絡(luò)安全知識了解得更少了��,這些用戶在使用無線網(wǎng)絡(luò)的過程中很少有意識去進行一些安全設(shè)置操作����。
4 抗外界干擾能力差
無線局域網(wǎng)在工作的過程中,往往會選用一個特定的工作頻段�,在相同的工作頻段內(nèi)無線網(wǎng)絡(luò)過多時,信號覆蓋范圍會互相重疊����,這樣會嚴重影響有效信號的強弱�,最終可能會影響無線局域網(wǎng)的信號傳輸穩(wěn)定性:此外�。無線上網(wǎng)信號在傳輸過程中,特別容易受到墻體之類的建筑物的阻擋或干擾�����,這樣也會對無線局域網(wǎng)的穩(wěn)定性造成一定的影響�����。對于那些低檔次的無線局域網(wǎng)來說�,它的抗外界干擾能力就更差了,顯然這樣的無線局域網(wǎng)是無法滿足高質(zhì)量網(wǎng)絡(luò)訪問應(yīng)用要求的��。
二��、組網(wǎng)便利下的安全威脅
既然低檔次無線局域網(wǎng)存在上述一些安全弊病����,這些弊病要是突然發(fā)作起來或被非法攻擊者利用的話,那么就可能給我們帶來不小的安全威脅:
1 造成隱私信息外泄
有的時候�,不少無線局域網(wǎng)上網(wǎng)用戶為了方便工作,往往會在不經(jīng)意間將單位的重要隱私信息或核心工作信息��,甚至將一些屬于絕密范疇的信息通過移動設(shè)備掛上無線局域網(wǎng)網(wǎng)絡(luò)中,這樣無形之中就容易發(fā)生重要隱私信息外泄的危險�,嚴重的時候能夠給單位或個人造成巨大的經(jīng)濟損失��。
2 降低內(nèi)網(wǎng)安全能力
單位無線局域網(wǎng)附近有時還會存在一些家用無線局域網(wǎng)或者其他單位的無線局域網(wǎng)����,這些無線局域網(wǎng)常常會用于移動辦公或共享訪問Internet網(wǎng)絡(luò)的,這些無線網(wǎng)絡(luò)的使用者大多沒有足夠的安全防范意識��,并且他們應(yīng)用無線網(wǎng)絡(luò)的要求不是很高����,也用不著對無線上網(wǎng)進行一些安全設(shè)置操作。在這種情形下����,單位中任何一臺安裝了無線網(wǎng)卡設(shè)備的筆記本電腦都有可能自動連接到其他單位的無線局域網(wǎng)中,如此一來就容易發(fā)生這個單位的無線局域網(wǎng)與其他單位的無線局域網(wǎng)直接互聯(lián)的現(xiàn)象��,甚至可能出現(xiàn)單位無線局域網(wǎng)直接與Internet網(wǎng)絡(luò)互聯(lián)的現(xiàn)象�����。這些現(xiàn)象明顯會降低單位內(nèi)網(wǎng)安全防范能力��。容易給單位造成嚴重的安全后果。
3 危及信息系統(tǒng)安全
考慮到低檔次無線局域網(wǎng)組網(wǎng)成本低廉����,不需要進行復(fù)雜布線,管理維護也很方便��,要是安全意識不到位��,那么一些規(guī)模較小的單位很可能出于技術(shù)�、成本等因素,來選用一些價格低廉�����、質(zhì)量低劣的無線網(wǎng)絡(luò)設(shè)備進行組網(wǎng)升級��、信息點的延伸��,由這些網(wǎng)絡(luò)設(shè)備搭建而成的網(wǎng)絡(luò)將會天然暴露在外界�,無線網(wǎng)絡(luò)訪問無法做到有效的物理隔離,那樣一來單位的信息系統(tǒng)安全將會隨時受到危及��。
三����、化解無線網(wǎng)絡(luò)安全威脅
雖然低檔次無線局域網(wǎng)容易給我們帶來各種意想不到的安全威脅��,會給單位的信息系統(tǒng)造成不小的安全隱患��,不過對于那些對安全性要求不是很高的小規(guī)模單位來說����,仍然可以選用低檔次的無線局域網(wǎng)��,畢竟這種類型的組網(wǎng)成本非常低廉�����,更為重要的是通過制定有效的措施完全可以將低檔次無線局域網(wǎng)的安全威脅降到最低限度�����,讓規(guī)模不大的單位用戶也能盡情地享受組網(wǎng)便利����。
1 向檢查要安全
為了隨時了解單位無線網(wǎng)絡(luò)的安全狀態(tài)�,我們應(yīng)該定期對單位的內(nèi)網(wǎng)、外網(wǎng)使用情況以及核心網(wǎng)絡(luò)設(shè)備的工作狀態(tài)進行詳細檢查��,并做好詳細的檢查記錄����。與此同時��,我們還應(yīng)該加大力度對單位無線局域網(wǎng)附近區(qū)域的無線網(wǎng)絡(luò)工作環(huán)境進行動態(tài)監(jiān)測����,一定的時候還需要對單位的網(wǎng)絡(luò)系統(tǒng)安全進行評估以及審計:此外��,對于涉及到處于單位核心隱私信息以及進行重要網(wǎng)絡(luò)應(yīng)用的工作場所��,應(yīng)該及時采取電磁屏蔽等手段�,來阻止非法網(wǎng)絡(luò)入侵或攻擊。
2 向宣傳要安全
由于低檔次無線局域網(wǎng)很容易影響到單位內(nèi)部網(wǎng)絡(luò)的使用安全性�,為此單位負責(zé)人必須準備好豐富齊全的網(wǎng)絡(luò)安全資料,在單位上��、下定期開展無線上網(wǎng)安全知識的宣傳�����、培訓(xùn)����,以便強化每一位無線上網(wǎng)用戶的安全防范意識�����,同時有必要針對性地進行網(wǎng)絡(luò)安全專項整治工作,保證單位所有員工都能在思想上高度重視無線網(wǎng)絡(luò)安全工作����。
3 向管理要安全
第3篇
關(guān)鍵字:WLAN,WEP��,SSID��,DHCP��,安全措施
1�、引言
WLAN是WirelessLAN的簡稱����,即無線局域網(wǎng)�����。所謂無線網(wǎng)絡(luò),顧名思義就是利用無線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò),由于WLAN產(chǎn)品不需要鋪設(shè)通信電纜����,可以靈活機動地應(yīng)付各種網(wǎng)絡(luò)環(huán)境的設(shè)置變化。WIAN技術(shù)為用戶提供更好的移動性�����、靈活性和擴展性����,在難以重新布線的區(qū)域提供快速而經(jīng)濟有效的局域網(wǎng)接入��,無線網(wǎng)橋可用于為遠程站點和用戶提供局域網(wǎng)接入��。但是�����,當用戶對WLAN的期望日益升高時�����,其安全問題隨著應(yīng)用的深入表露無遺,并成為制約WLAN發(fā)展的主要瓶頸�����。[1]
2����、威脅無線局域網(wǎng)的因素
首先應(yīng)該被考慮的問題是�,由于WLAN是以無線電波作為上網(wǎng)的傳輸媒介��,因此無線網(wǎng)絡(luò)存在著難以限制網(wǎng)絡(luò)資源的物理訪問����,無線網(wǎng)絡(luò)信號可以傳播到預(yù)期的方位以外的地域����,具體情況要根據(jù)建筑材料和環(huán)境而定,這樣就使得在網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了WLAN的接入點,給入侵者有機可乘�,可以在預(yù)期范圍以外的地方訪問WLAN,竊聽網(wǎng)絡(luò)中的數(shù)據(jù)����,有機會入侵WLAN應(yīng)用各種攻擊手段對無線網(wǎng)絡(luò)進行攻擊����,當然是在入侵者擁有了網(wǎng)絡(luò)訪問權(quán)以后。
其次����,由于WLAN還是符合所有網(wǎng)絡(luò)協(xié)議的計算機網(wǎng)絡(luò)�����,所以計算機病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有WLAN內(nèi)的計算機,甚至?xí)a(chǎn)生比普通網(wǎng)絡(luò)更加嚴重的后果。
因此����,WLAN中存在的安全威脅因素主要是:竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊�、拒絕服務(wù)等等�。
IEEE802.1x認證協(xié)議發(fā)明者VipinJain接受媒體采訪時表示:“談到無線網(wǎng)絡(luò),企業(yè)的IT經(jīng)理人最擔心兩件事:首先�����,市面上的標準與安全解決方案太多����,使得用戶無所適從��;第二�����,如何避免網(wǎng)絡(luò)遭到入侵或攻擊����?無線媒體是一個共享的媒介��,不會受限于建筑物實體界線��,因此有人要入侵網(wǎng)絡(luò)可以說十分容易�����?�!盵1]因此WLAN的安全措施還是任重而道遠�����。
3�����、無線局域網(wǎng)的安全措施
3.1采用無線加密協(xié)議防止未授權(quán)用戶
保護無線網(wǎng)絡(luò)安全的最基本手段是加密�,通過簡單的設(shè)置AP和無線網(wǎng)卡等設(shè)備,就可以啟用WEP加密�。無線加密協(xié)議(WEP)是對無線網(wǎng)絡(luò)上的流量進行加密的一種標準方法。許多無線設(shè)備商為了方便安裝產(chǎn)品�����,交付設(shè)備時關(guān)閉了WEP功能�。但一旦采用這種做法,黑客就能利用無線嗅探器直接讀取數(shù)據(jù)��。建議經(jīng)常對WEP密鑰進行更換�,有條件的情況下啟用獨立的認證服務(wù)為WEP自動分配密鑰。另外一個必須注意問題就是用于標識每個無線網(wǎng)絡(luò)的服務(wù)者身份(SSID)����,在部署無線網(wǎng)絡(luò)的時候一定要將出廠時的缺省SSID更換為自定義的SSID。現(xiàn)在的AP大部分都支持屏蔽SSID廣播�,除非有特殊理由,否則應(yīng)該禁用SSID廣播����,這樣可以減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。[2]
但是目前IEEE802.11標準中的WEP安全解決方案��,在15分鐘內(nèi)就可被攻破,已被廣泛證實不安全�����。所以如果采用支持128位的WEP��,破解128位的WEP的是相當困難的�,同時也要定期的更改WEP,保證無線局域網(wǎng)的安全�����。如果設(shè)備提供了動態(tài)WEP功能����,最好應(yīng)用動態(tài)WEP,值得我們慶幸的�����,WindowsXP本身就提供了這種支持�����,您可以選中WEP選項“自動為我提供這個密鑰”��。同時,應(yīng)該使用IPSec��,VPN�����,SSH或其他
WEP的替代方法�����。不要僅使用WEP來保護數(shù)據(jù)����。
3.2改變服務(wù)集標識符并且禁止SSID廣播
SSID是無線接人的身份標識符�,用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設(shè)備制造商設(shè)置的�����,并且每個廠商都用自己的缺省值����。例如,3COM的設(shè)備都用“101”����。因此�,知道這些標識符的黑客可以很容易不經(jīng)過授權(quán)就享受你的無線服務(wù)�����。你需要給你的每個無線接入點設(shè)置一個唯一并且難以推測的SSID����。如果可能的話。還應(yīng)該禁止你的SSID向外廣播��。這樣��,你的無線網(wǎng)絡(luò)就不能夠通過廣播的方式來吸納更多用戶.當然這并不是說你的網(wǎng)絡(luò)不可用.只是它不會出現(xiàn)在可使用網(wǎng)絡(luò)的名單中�。[3]
3.3靜態(tài)IP與MAC地址綁定
無線路由器或AP在分配IP地址時,通常是默認使用DHCP即動態(tài)IP地址分配�,這對無線網(wǎng)絡(luò)來說是有安全隱患的,“不法”分子只要找到了無線網(wǎng)絡(luò)�,很容易就可以通過DHCP而得到一個合法的IP地址,由此就進入了局域網(wǎng)絡(luò)中��。因此����,建議關(guān)閉DHCP服務(wù)��,為家里的每臺電腦分配固定的靜態(tài)IP地址�,然后再把這個IP地址與該電腦網(wǎng)卡的MAC地址進行綁定�����,這樣就能大大提升網(wǎng)絡(luò)的安全性��?���!安环ā狈肿硬灰椎玫胶戏ǖ腎P地址��,即使得到了�����,因為還要驗證綁定的MAC地址����,相當于兩重關(guān)卡。[4]設(shè)置方法如下:
首先�,在無線路由器或AP的設(shè)置中關(guān)閉“DHCP服務(wù)器”。然后激活“固定DHCP”功能,把各電腦的“名稱”(即Windows系統(tǒng)屬陸里的“計算機描述”)�����,以后要固定使用的IP地址�����,其網(wǎng)卡的MAC地址都如實填寫好��,最后點“執(zhí)行”就可以了�。
3.4VPN技術(shù)在無線網(wǎng)絡(luò)中的應(yīng)用
對于高安全要求或大型的無線網(wǎng)絡(luò),VPN方案是一個更好的選擇�。因為在大型無線網(wǎng)絡(luò)中維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務(wù)�����。
對于無線商用網(wǎng)絡(luò)����,基于VPN的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。VPN方案已經(jīng)廣泛應(yīng)用于Internet遠程用戶的安全接入�。在遠程用戶接入的應(yīng)用中,VPN在不可信的網(wǎng)絡(luò)(Internet)上提供一條安全�、專用的通道或者隧道��。各種隧道協(xié)議�����,包括點對點的隧道協(xié)議和第二層隧道協(xié)議都可以與標準的�����、集中的認證協(xié)議一起使用����。同樣�,VPN技術(shù)可以應(yīng)用在無線的安全接入上����,在這個應(yīng)用中,不可信的網(wǎng)絡(luò)是無線網(wǎng)絡(luò)�。AP可以被定義成無WEP機制的開放式接入(各AP仍應(yīng)定義成采用SSID機制把無線網(wǎng)絡(luò)分割成多個無線服務(wù)子網(wǎng)),但是無線接入網(wǎng)絡(luò)VLAN(AP和VPN服務(wù)器之問的線路)從局域網(wǎng)已經(jīng)被VPN服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來��。VPN服務(wù)器提供網(wǎng)絡(luò)的認征和加密�,并允當局域網(wǎng)網(wǎng)絡(luò)內(nèi)部。與WEP機制和MAC地址過濾接入不同�����,VPN方案具有較強的擴充、升級性能��,可應(yīng)用于大規(guī)模的無線網(wǎng)絡(luò)����。
3.5無線入侵檢測系統(tǒng)
無線入侵檢測系統(tǒng)同傳統(tǒng)的入侵檢測系統(tǒng)類似,但無線入侵檢測系統(tǒng)增加了無線局域網(wǎng)的檢測和對破壞系統(tǒng)反應(yīng)的特性�����。侵入竊密檢測軟件對于阻攔雙面惡魔攻擊來說�,是必須采取的一種措施。如今入侵檢測系統(tǒng)已用于無線局域網(wǎng)��。來監(jiān)視分析用戶的活動�����,判斷入侵事件的類型�����,檢測非法的網(wǎng)絡(luò)行為�,對異常的網(wǎng)絡(luò)流量進行報警�����。無線入侵檢測系統(tǒng)不但能找出入侵者��,還能加強策略����。通過使用強有力的策略�����,會使無線局域網(wǎng)更安全��。無線入侵檢測系統(tǒng)還能檢測到MAC地址欺騙����。他是通過一種順序分析�����,找出那些偽裝WAP的無線上網(wǎng)用戶無線入侵檢測系統(tǒng)可以通過提供商來購買�,為了發(fā)揮無線入侵檢測系統(tǒng)的優(yōu)良的性能,他們同時還提供無線入侵檢測系統(tǒng)的解決方案����。[1]
3.6采用身份驗證和授權(quán)
當攻擊者了解網(wǎng)絡(luò)的SSID�、網(wǎng)絡(luò)的MAC地址或甚至WEP密鑰等信息時�����,他們可以嘗試建立與AP關(guān)聯(lián)��。目前�,有3種方法在用戶建立與無線網(wǎng)絡(luò)的關(guān)聯(lián)前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰�����。開放身份驗證的問題在于��,如果您沒有其他的保護或身份驗證機制��,那么您的無線網(wǎng)絡(luò)將是完全開放的�,就像其名稱所表示的。共享機密身份驗證機制類似于“口令一響應(yīng)”身份驗證系統(tǒng)�����。在STA與AP共享同一個WEP密鑰時使用這一機制�。STA向AP發(fā)送申請�,然后AP發(fā)回口令�。接著,STA利用口令和加密的響應(yīng)進行回復(fù)�����。這種方法的漏洞在于口令是通過明文傳輸給STA的����,因此如果有人能夠同時截取口令和響應(yīng),那么他們就可能找到用于加密的密鑰�。采用其他的身份驗證/授權(quán)機制。使用802.1x����,VPN或證書對無線網(wǎng)絡(luò)用戶進行身份驗證和授權(quán)。使用客戶端證書可以使攻擊者幾乎無法獲得訪問權(quán)限��。
[5]
3.7其他安全措施
除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術(shù)�����,例如設(shè)置附加的第三方數(shù)據(jù)加密方案�,即使信號被盜聽也難以理解其中的內(nèi)容�����;加強企業(yè)內(nèi)部管理等等的方法來加強WLAN的安全性。
4��、結(jié)論
無線網(wǎng)絡(luò)應(yīng)用越來越廣泛�����,但是隨之而來的網(wǎng)絡(luò)安全問題也越來越突出����,在文中分析了WLAN的不安全因素,針對不安全因素給出了解決的安全措施����,有效的防范竊聽、截取或者修改傳輸數(shù)據(jù)��、置信攻擊�、拒絕服務(wù)等等的攻擊手段,但是由于現(xiàn)在各個無線網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商生產(chǎn)的設(shè)備的功能不一樣����,所以現(xiàn)在在本文中介紹的一些安全措施也許在不同的設(shè)備上會有些不一樣,但是安全措施的思路是正確的�,能夠保證無線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性��,有效地維護無線局域網(wǎng)的安全�。
參考文獻
[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網(wǎng)絡(luò)安全性威脅及應(yīng)對措施[J].現(xiàn)代電子技術(shù).2007,(5):91-94.
[2]王秋華,章堅武.淺析無線網(wǎng)絡(luò)實施的安全措施[J].中國科技信息.2005,(17):18.
[3]邊鋒.不得不說無線網(wǎng)絡(luò)安全六種簡單技巧[J].計算機與網(wǎng)絡(luò).2006,(20):6.
第4篇
關(guān)鍵字:wlan����,wep,ssid�,dhcp,安全措施
1�、 引言
wlan是wireless lan的簡稱,即無線局域網(wǎng)�����。所謂無線網(wǎng)絡(luò)�����,顧名思義就是利用無線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò)�,由于wlan產(chǎn)品不需要鋪設(shè)通信電纜,可以靈活機動地應(yīng)付各種網(wǎng)絡(luò)環(huán)境的設(shè)置變化��。wian技術(shù)為用戶提供更好的移動性�、靈活性和擴展性,在難以重新布線的區(qū)域提供快速而經(jīng)濟有效的局域網(wǎng)接入�,無線網(wǎng)橋可用于為遠程站點和用戶提供局域網(wǎng)接入。但是�,當用戶對wlan的期望日益升高時�,其安全問題隨著應(yīng)用的深入表露無遺��,并成為制約wlan發(fā)展的主要瓶頸�����。
2、 威脅無線局域網(wǎng)的因素
首先應(yīng)該被考慮的問題是,由于wlan是以無線電波作為上網(wǎng)的傳輸媒介�,因此無線網(wǎng)絡(luò)存在著難以限制網(wǎng)絡(luò)資源的物理訪問,無線網(wǎng)絡(luò)信號可以傳播到預(yù)期的方位以外的地域,具體情況要根據(jù)建筑材料和環(huán)境而定��,這樣就使得在網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了wlan的接入點�,給入侵者有機可乘�,可以在預(yù)期范圍以外的地方訪問wlan,竊聽網(wǎng)絡(luò)中的數(shù)據(jù),有機會入侵wlan應(yīng)用各種攻擊手段對無線網(wǎng)絡(luò)進行攻擊����,當然是在入侵者擁有了網(wǎng)絡(luò)訪問權(quán)以后����。
其次�,由于wlan還是符合所有網(wǎng)絡(luò)協(xié)議的計算機網(wǎng)絡(luò)����,所以計算機病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有wlan內(nèi)的計算機����,甚至?xí)a(chǎn)生比普通網(wǎng)絡(luò)更加嚴重的后果��。
因此,wlan中存在的安全威脅因素主要是:竊聽�����、截取或者修改傳輸數(shù)據(jù)��、置信攻擊�����、拒絕服務(wù)等等�。
ieee 802.1x認證協(xié)議發(fā)明者vipinjain接受媒體采訪時表示:“談到無線網(wǎng)絡(luò)�,企業(yè)的it經(jīng)理人最擔心兩件事:首先��,市面上的標準與安全解決方案太多����,使得用戶無所適從;第二�����,如何避免網(wǎng)絡(luò)遭到入侵或攻擊��?無線媒體是一個共享的媒介�,不會受限于建筑物實體界線�����,因此有人要入侵網(wǎng)絡(luò)可以說十分容易?�!币虼藈lan的安全措施還是任重而道遠����。
3�、無線局域網(wǎng)的安全措施
3.1采用無線加密協(xié)議防止未授權(quán)用戶
保護無線網(wǎng)絡(luò)安全的最基本手段是加密,通過簡單的設(shè)置ap和無線網(wǎng)卡等設(shè)備�����,就可以啟用wep加密�����。無線加密協(xié)議(wep)是對無線網(wǎng)絡(luò)上的流量進行加密的一種標準方法。許多無線設(shè)備商為了方便安裝產(chǎn)品�����,交付設(shè)備時關(guān)閉了wep功能��。但一旦采用這種做法�����,黑客就能利用無線嗅探器直接讀取數(shù)據(jù)�。建議經(jīng)常對wep密鑰進行更換��,有條件的情況下啟用獨立的認證服務(wù)為wep自動分配密鑰�。另外一個必須注意問題就是用于標識每個無線網(wǎng)絡(luò)的服務(wù)者身份(ssid)����,在部署無線網(wǎng)絡(luò)的時候一定要將出廠時的缺省ssid更換為自定義的ssid?����,F(xiàn)在的ap大部分都支持屏蔽ssid廣播�����,除非有特殊理由����,否則應(yīng)該禁用ssid廣播��,這樣可以減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能�。
但是目前ieee 802.11標準中的wep安全解決方案�����,在15分鐘內(nèi)就可被攻破����,已被廣泛證實不安全。所以如果采用支持128位的wep��,破解128位的wep的是相當困難的��,同時也要定期的更改wep,保證無線局域網(wǎng)的安全��。如果設(shè)備提供了動態(tài)wep功能�����,最好應(yīng)用動態(tài)wep�,值得我們慶幸的,windows xp本身就提供了這種支持�����,您可以選中wep選項“自動為我提供這個密鑰”�����。同時�,應(yīng)該使用ipsec,vpn��,ssh或其他
wep的替代方法�����。不要僅使用wep來保護數(shù)據(jù)。
3.2 改變服務(wù)集標識符并且禁止ssid廣播
ssid是無線接人的身份標識符�����,用戶用它來建立與接入點之間的連接��。這個身份標識符是由通信設(shè)備制造商設(shè)置的�����,并且每個廠商都用自己的缺省值����。例如,3com 的設(shè)備都用“101”�����。因此��,知道這些標識符的黑客可以很容易不經(jīng)過授權(quán)就享受你的無線服務(wù)����。你需要給你的每個無線接入點設(shè)置一個唯一并且難以推測的ssid�。如果可能的話。還應(yīng)該禁止你的ssid向外廣播。這樣��,你的無線網(wǎng)絡(luò)就不能夠通過廣播的方式來吸納更多用戶.當然這并不是說你的網(wǎng)絡(luò)不可用.只是它不會出現(xiàn)在可使用網(wǎng)絡(luò)的名單中�。
3.3 靜態(tài)ip與mac地址綁定
無線路由器或ap在分配ip地址時,通常是默認使用dhcp即動態(tài)ip地址分配��,這對無線網(wǎng)絡(luò)來說是有安全隱患的�,“不法”分子只要找到了無線網(wǎng)絡(luò),很容易就可以通過dhcp而得到一個合法的ip地址�,由此就進入了局域網(wǎng)絡(luò)中。因此����,建議關(guān)閉dhcp服務(wù),為家里的每臺電腦分配固定的靜態(tài)ip地址��,然后再把這個ip地址與該電腦網(wǎng)卡的mac地址進行綁定�,這樣就能大大提升網(wǎng)絡(luò)的安全性?!安环ā狈肿硬灰椎玫胶戏ǖ膇p地址,即使得到了����,因為還要驗證綁定的mac地址,相當于兩重關(guān)卡�。 設(shè)置方法如下:
首先,在無線路由器或ap的設(shè)置中關(guān)閉“dhcp服務(wù)器”。然后激活“固定dhcp”功能����,把各電腦的“名稱”(即windows系統(tǒng)屬陸里的“計算機描述”),以后要固定使用的ip地址��,其網(wǎng)卡的mac地址都如實填寫好��,最后點“執(zhí)行”就可以了��。
3.4 vpn技術(shù)在無線網(wǎng)絡(luò)中的應(yīng)用
對于高安全要求或大型的無線網(wǎng)絡(luò)�,vpn方案是一個更好的選擇。因為在大型無線網(wǎng)絡(luò)
中維護工作站和ap的wep加密密鑰�����、ap的mac地址列表都是非常艱巨的管理任務(wù)����。
對于無線商用網(wǎng)絡(luò),基于vpn的解決方案是當今wep機制和mac地址過濾機制的最佳替代者��。vpn方案已經(jīng)廣泛應(yīng)用于internet遠程用戶的安全接入����。在遠程用戶接入的應(yīng)用中,vpn在不可信的網(wǎng)絡(luò)(internet)上提供一條安全�����、專用的通道或者隧道�。各種隧道協(xié)議,包括點對點的隧道協(xié)議和第二層隧道協(xié)議都可以與標準的�、集中的認證協(xié)議一起使用。同樣�����,vpn技術(shù)可以應(yīng)用在無線的安全接入上����,在這個應(yīng)用中,不可信的網(wǎng)絡(luò)是無線網(wǎng)絡(luò)��。ap可以被定義成無wep機制的開放式接入(各ap仍應(yīng)定義成采用ssid機制把無線網(wǎng)絡(luò)分割成多個無線服務(wù)子網(wǎng))�����,但是無線接入網(wǎng)絡(luò)vlan (ap和vpn服務(wù)器之問的線路)從局域網(wǎng)已經(jīng)被vpn服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來��。vpn服務(wù)器提供網(wǎng)絡(luò)的認征和加密����,并允當局域網(wǎng)網(wǎng)絡(luò)內(nèi)部�����。與wep機制和mac地址過濾接入不同����,vpn方案具有較強的擴充��、升級性能�����,可應(yīng)用于大規(guī)模的無線網(wǎng)絡(luò)�。
3.5 無線入侵檢測系統(tǒng)
無線入侵檢測系統(tǒng)同傳統(tǒng)的入侵檢測系統(tǒng)類似,但無線入侵檢測系統(tǒng)增加了無線局域網(wǎng)的檢測和對破壞系統(tǒng)反應(yīng)的特性����。侵入竊密檢測軟件對于阻攔雙面惡魔攻擊來說,是必須采取的一種措施�。如今入侵檢測系統(tǒng)已用于無線局域網(wǎng)。來監(jiān)視分析用戶的活動��,判斷入侵事件的類型��,檢測非法的網(wǎng)絡(luò)行為,對異常的網(wǎng)絡(luò)流量進行報警����。無線入侵檢測系統(tǒng)不但能找出入侵者�,還能加強策略。通過使用強有力的策略����,會
使無線局域網(wǎng)更安全。無線入侵檢測系統(tǒng)還能檢測到mac地址欺騙�。他是通過一種順序分析,找出那些偽裝wap的無線上網(wǎng)用戶無線入侵檢測系統(tǒng)可以通過提供商來購買��,為了發(fā)揮無線入侵檢測系統(tǒng)的優(yōu)良的性能�����,他們同時還提供無線入侵檢測系統(tǒng)的解決方案�����。
3.6 采用身份驗證和授權(quán)
當攻擊者了解網(wǎng)絡(luò)的ssid����、網(wǎng)絡(luò)的mac地址或甚至wep密鑰等信息時����,他們可以嘗試建立與ap關(guān)聯(lián)����。目前,有3種方法在用戶建立與無線網(wǎng)絡(luò)的關(guān)聯(lián)前對他們進行身份驗證�。開放身份驗證通常意味著您只需要向ap提供ssid或使用正確的wep密鑰。開放身份驗證的問題在于�����,如果您沒有其他的保護或身份驗證機制��,那么您的無線網(wǎng)絡(luò)將是完全開放的�,就像其名稱所表示的。共享機密身份驗證機制類似于“口令一響應(yīng)”身份驗證系統(tǒng)����。在sta與ap共享同一個wep密鑰時使用這一機制。sta向ap發(fā)送申請��,然后ap發(fā)回口令����。接著��,sta利用口令和加密的響應(yīng)進行回復(fù)�。這種方法的漏洞在于口令是通過明文傳輸給sta的�,因此如果有人能夠同時截取口令和響應(yīng),那么他們就可能找到用于加密的密鑰�����。采用其他的身份驗證/授權(quán)機制����。使用802.1x��,vpn或證書對無線網(wǎng)絡(luò)用戶進行身份驗證和授權(quán)�����。使用客戶端證書可以使攻擊者幾乎無法獲得訪問權(quán)限�����。
3.7其他安全措施
除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術(shù)�,例如設(shè)置附加的第三方數(shù)據(jù)加密方案,即使信號被盜聽也難以理解其中的內(nèi)容��;加強企業(yè)內(nèi)部管理等等的方法來加強wlan的安全性。
4�、 結(jié)論
無線網(wǎng)絡(luò)應(yīng)用越來越廣泛,但是隨之而來的網(wǎng)絡(luò)安全問題也越來越突出�,在文中分析了wlan的不安全因素,針對不安全因素給出了解決的安全措施�����,有效的防范竊聽�、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等的攻擊手段,但是由于現(xiàn)在各個無線網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商生產(chǎn)的設(shè)備的功能不一樣��,所以現(xiàn)在在本文中介紹的一些安全措施也許在不同的設(shè)備上會有些不一樣,但是安全措施的思路是正確的��,能夠保證無線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性����,有效地維護無線局域網(wǎng)的安全。
參考文獻
第5篇
關(guān)鍵詞:企業(yè)局域網(wǎng)�����;安全風(fēng)險;分析����;方案設(shè)計規(guī)劃;討論
中圖分類號:TP393.1
建立企業(yè)風(fēng)險意識����,做好網(wǎng)絡(luò)安全防范預(yù)測,成為了企業(yè)風(fēng)險管理中的一項重要內(nèi)容��。防火墻�、漏洞掃描��、防病毒���、入侵檢測等維護網(wǎng)絡(luò)安全的軟件�,有效地提高網(wǎng)絡(luò)信息的安全性���。隨著網(wǎng)絡(luò)與信息技術(shù)應(yīng)用的范圍不斷擴大�����,各種形式的服務(wù)被展開���,各種的網(wǎng)絡(luò)安全問題也隨之出現(xiàn)了�。為了確保企業(yè)局域網(wǎng)信息能夠在網(wǎng)絡(luò)上進行有效傳播����,并且免受網(wǎng)絡(luò)黑客的攻擊,可以加筑安全屏障在企業(yè)的局域信息網(wǎng)���。為了維護局域網(wǎng)絡(luò)信息系統(tǒng)的安全性�����,采用防火墻技術(shù)與入侵檢測系統(tǒng)相結(jié)合的防護技術(shù)��,使網(wǎng)絡(luò)的安全防御能力大大地提高了���,實現(xiàn)了維護網(wǎng)絡(luò)系統(tǒng)的安全運營。對企業(yè)的局域網(wǎng)絡(luò)系統(tǒng)進行風(fēng)險分析�,并根據(jù)實際的需要進行合理地規(guī)劃設(shè)計,是非常必要的���。
1 企業(yè)局域網(wǎng)系統(tǒng)安全風(fēng)險分析
企業(yè)局域網(wǎng)系統(tǒng)普遍存在的安全風(fēng)險包括有網(wǎng)絡(luò)安全的物理風(fēng)險和網(wǎng)絡(luò)平臺的安全風(fēng)險�。
1.1 網(wǎng)絡(luò)安全的物理風(fēng)險
網(wǎng)絡(luò)安全的物理風(fēng)險一般是建立網(wǎng)絡(luò)的硬件設(shè)施很容易出現(xiàn)故障����。除了一些自然因素��,如火災(zāi)��、水災(zāi)����、地震等所造成的故障之外��,主要還是諸如由于不當操作而造成的設(shè)備損壞或者是設(shè)備丟失以及線路被劫等等的人為因素影響����。對于性能較高的硬件配置,主要體現(xiàn)在雙機設(shè)計����、報警系統(tǒng)���、機房的內(nèi)部環(huán)境的安全性上�����。
1.2 網(wǎng)絡(luò)平臺的安全風(fēng)險
網(wǎng)絡(luò)平臺的安全風(fēng)險主要體現(xiàn)服務(wù)器的風(fēng)險和整體結(jié)構(gòu)與路由的風(fēng)險��。
(1)服務(wù)器風(fēng)險�����。作為企業(yè)信息的平臺��,局域網(wǎng)的服務(wù)器一旦受到攻擊���,就容易導(dǎo)致整個網(wǎng)絡(luò)的癱瘓����。網(wǎng)絡(luò)管理人員就有其需要對網(wǎng)絡(luò)節(jié)點提高警惕��,因為這里是黑客試圖闖入的關(guān)鍵����。
(2)網(wǎng)絡(luò)的整體結(jié)構(gòu)與路由風(fēng)險。企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的建立是非常簡單的��,只要一臺路由器����,加之一些輔助設(shè)備,就可以將局域網(wǎng)絡(luò)系統(tǒng)建立起來��。因此,很容易出現(xiàn)安全問題��。
2 網(wǎng)絡(luò)安全的總體設(shè)計原則
2.1 網(wǎng)絡(luò)安全設(shè)計方案需要遵循的原則
(1)綜合規(guī)劃原則�。計算機的網(wǎng)絡(luò)結(jié)構(gòu)主要包括數(shù)據(jù)�����、軟件���、設(shè)備等等����,那么��,在對網(wǎng)絡(luò)工程系統(tǒng)進行安全設(shè)計的時候���,就需要從整體角度出發(fā)對設(shè)計方案進行制定,并根據(jù)專業(yè)的需要分析�、修改。
從管理的角度來看�,網(wǎng)絡(luò)安全的設(shè)計上,要符合有關(guān)的法律法規(guī)已經(jīng)相應(yīng)的管理制度�;在專業(yè)技術(shù)上�����,采取多種方法向融合的措施���,以獲得最可行、最有效的方案�。
(2)平衡一致的原則。使用局域網(wǎng)絡(luò)��,其可以帶來諸多的便利的同時�,用戶也要承擔了一定的風(fēng)險。通過對網(wǎng)絡(luò)的實際功能進行研究�,在設(shè)計安全策略之前,要對網(wǎng)絡(luò)的結(jié)構(gòu)���、性能等進行必要的分析�����,使其與網(wǎng)絡(luò)安全的需求保持一致��。不但可以提高網(wǎng)絡(luò)的運行效率����,而且還會降低資金投入成本�����。
(3)多重保護����,分步實施。為了防止系統(tǒng)在黑客的攻擊下���,受到破壞�。建立起多重保護網(wǎng)絡(luò)的系統(tǒng)��,可以加大安全防護系數(shù)����,以各層保護之間的互補,實現(xiàn)保護系統(tǒng)信息的安全���。
鑒于網(wǎng)絡(luò)系統(tǒng)實際應(yīng)用范圍的不斷擴展,網(wǎng)絡(luò)規(guī)模也在不斷加大��,這就導(dǎo)致網(wǎng)絡(luò)更加脆弱�。網(wǎng)絡(luò)安全問題不能一次性的解決����,并且在使用安全措施時����,需要支出一定的費用��,針對這一問題,可以采用分步實施的凡是來滿足網(wǎng)絡(luò)安全的需求�����,也能夠盡量節(jié)省開支�。
2.2 安全技術(shù)、服務(wù)����、機制
(1)安全技術(shù)。在開放的環(huán)境下�����,用戶可以使用病毒預(yù)防技術(shù)、防火墻技術(shù)等等����。
(2)安全服務(wù)、機制��。安全服務(wù)中��,除了包括可靠服務(wù)���、認證對象服務(wù)之外,必要的控制服務(wù)也是非常很總要的����。相應(yīng)地,也將認證機制以及控制訪問機制建立了起來���。
3 企業(yè)局域網(wǎng)系統(tǒng)安全設(shè)計規(guī)劃
建立防火墻和入侵檢測系統(tǒng)��,成為了企業(yè)局域網(wǎng)絡(luò)系統(tǒng)安全設(shè)計的規(guī)劃方案�����。
3.1 防火墻技術(shù)
應(yīng)用防火墻�,可以保證信息安全。防火墻技術(shù)的功能就是阻攔一些不被允許的垃圾信息����,因為這些信息容易對網(wǎng)絡(luò)造成干擾����,有效組織可以避免出現(xiàn)信息上的濫竽充數(shù)?��?梢?,防火墻的目的就是對網(wǎng)絡(luò)之間的通信進行控制����。
防火墻其實就是一種軟件或者是硬件設(shè)備的組合,將其安裝在企業(yè)信息網(wǎng)絡(luò)與Internet之間�����,可以在網(wǎng)絡(luò)信息相互傳送的過程中實現(xiàn)保護系統(tǒng)安全的作用��。在兩個信任程度不同的網(wǎng)絡(luò)之間安裝適當?shù)姆阑饓?���,可以防止重要的信息資源被非法存取和訪問���。
3.2 入侵檢測系統(tǒng)
防火墻的作用是采用強制的方式,攔截不符合局域網(wǎng)絡(luò)要求的信息�。那么,在企業(yè)的局域網(wǎng)絡(luò)信息系統(tǒng)中安裝入侵檢測系統(tǒng)��,不但可以實現(xiàn)防火墻的黑客堵截功能����,而且,還會對局域網(wǎng)絡(luò)內(nèi)部的攻擊性信息進行監(jiān)督��。對于沒有被授權(quán)瀏覽的信息����,依然會采取相應(yīng)的干擾措施。
入侵檢測系統(tǒng)與防火墻相比����,更具有優(yōu)越性。作為一種動態(tài)的安全技術(shù)��,其可以對計算機網(wǎng)絡(luò)以及計算機系統(tǒng)中風(fēng)險系數(shù)比較高的關(guān)鍵點信息進行收集���,并對這些信息進行技術(shù)分析和檢測����。通過對于檢測記錄進行匯總,就可以從中判斷出一些信息所呈現(xiàn)出來的違反安全策略的行為��。此時��,入侵檢測系統(tǒng)就會啟動報警系統(tǒng)���,同時阻撓不良信息的侵入。
3.3 建立入侵檢測系統(tǒng)與防火墻相結(jié)合的安全防護體系
將防火墻系統(tǒng)和入侵檢測系統(tǒng)充分地結(jié)合起來�����,可以達到加強網(wǎng)絡(luò)安全系統(tǒng)防護墻的作用�。
具體操作上,首先要安裝防火墻系統(tǒng)��,以使外部的入侵信息被過濾在局域網(wǎng)之外���,從而達到基本的防護作用�����,此為企業(yè)局域網(wǎng)絡(luò)防止黑客入侵的第一道防線���。之后���,將入侵檢測系統(tǒng)進行安裝,形成防止黑客入侵的第二道防線���。一旦有不良信息闖過防火墻��,遇到了入侵檢測系統(tǒng)后��,就會降低對信息網(wǎng)絡(luò)干擾力��。而入侵檢測系統(tǒng)可以對黑客進行有效檢測����,并啟動報警系統(tǒng)����。這樣安裝系統(tǒng)防御設(shè)備,既可以降低保護局域網(wǎng)系統(tǒng)的風(fēng)險系數(shù)��,也可以將其工作負載降低���。
3.4 防火墻系統(tǒng)和入侵檢測系統(tǒng)的組合安裝方式
防火墻系統(tǒng)和入侵檢測系統(tǒng)的組合安裝方式包括有兩種��,一種是將入侵檢測系統(tǒng)嵌入到防火墻中�����;另一種是將防火墻或者入侵檢測系統(tǒng)開放一個接口����,將兩者進行外部連接。
采用入侵檢測系統(tǒng)嵌入的方式��,其數(shù)據(jù)并不是來源于數(shù)據(jù)包�,而是流經(jīng)防火墻的數(shù)據(jù)流��;使用接口進行外部聯(lián)結(jié)的方式���,則具有靈活性的優(yōu)勢���。很顯然,兩者不是簡單的疊加�����,而是技術(shù)性的組合。
4 總結(jié)
綜上所述�,網(wǎng)絡(luò)信息的安全問題已經(jīng)成為一種社會問題,如果不及時將局域網(wǎng)系統(tǒng)產(chǎn)生的安全問題分析�。解決,那么對企業(yè)來說將是巨大的威脅����。由于網(wǎng)絡(luò)安全一直處在不斷變化與動態(tài)發(fā)展的過程中,因此我們要及時掌握網(wǎng)絡(luò)變化的第一手資料����,對現(xiàn)階段存在的各類病毒全面了解,以便制定出有效的防范措施����,將網(wǎng)絡(luò)風(fēng)險問題降到最低。
參考文獻:
[1]張麗肖���,劉勁松�����,李超����,柴文磊,李清霞.企業(yè)局域網(wǎng)系統(tǒng)安全的風(fēng)險分析及設(shè)計規(guī)劃探討[J].信息與電腦(理論版)�,2011,16(08):218-221.
[2]劉亞麗�,鄧高峰,郝卓����,俞能海.企業(yè)局域網(wǎng)ARP攻擊原理分析及防御措施[J].計算機安全,2011����,23(07):264-266.
第6篇
關(guān)鍵詞:廣播電視監(jiān)測網(wǎng);網(wǎng)絡(luò)����;安全
隨著廣播電視數(shù)字化��、網(wǎng)絡(luò)化的迅速發(fā)展�,廣播電視監(jiān)測工作由過去靠人工的傳統(tǒng)落后手段轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)化、自動化的方式��,監(jiān)測網(wǎng)的建成使監(jiān)測工作發(fā)生了飛躍式的變化�,提高了信息反饋速度,豐富了監(jiān)測信息內(nèi)容�,拓展了監(jiān)測業(yè)務(wù)類型����,擴大了監(jiān)測地理范圍�,大大提高了廣播電視監(jiān)測的綜合監(jiān)測能力。但是���,隨著網(wǎng)絡(luò)規(guī)模的擴大��,監(jiān)測網(wǎng)的復(fù)雜性和風(fēng)險性也在不斷增加����。業(yè)務(wù)的發(fā)展對網(wǎng)絡(luò)性能的要求也在不斷提高���,如何運用先進技術(shù)方案保障監(jiān)測網(wǎng)絡(luò)安全而高效地運轉(zhuǎn)已經(jīng)成為我們面臨的重要工作�����。
1 監(jiān)測網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特點
網(wǎng)絡(luò)規(guī)模大�、系統(tǒng)復(fù)雜���、專業(yè)性強�����,通常由一個或多個局域網(wǎng)系統(tǒng)及數(shù)個地理位置分散的遠程無人值守遙控站點組成分布式廣域網(wǎng)系統(tǒng)��。
多種通信方式并存���,監(jiān)測網(wǎng)系統(tǒng)的通信建立倚賴于當?shù)氐耐ㄐ艞l件��,造成系統(tǒng)具有多種接入方式���。
軟件開發(fā)基于J2EE平臺,軟件體系多采用C/S架構(gòu)��。
2 風(fēng)險性分析
目前���,廣播電視監(jiān)測網(wǎng)主要面臨以下問題:
2.1缺乏完整的安全體系
廣播電視監(jiān)測網(wǎng)建設(shè)是根據(jù)總體規(guī)劃���,分步實施的,系統(tǒng)往往邊運行邊擴展規(guī)模���。這種情況造成監(jiān)測網(wǎng)系統(tǒng)建設(shè)之初,對系統(tǒng)安全很難進行全面規(guī)劃���。隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用范圍的擴展����,網(wǎng)絡(luò)的脆弱性不斷增加,同時����,系統(tǒng)配置的更改,軟件的升級也造成系統(tǒng)的安全需求不斷變化��,現(xiàn)有的安全手段將很難勝任��。
2.2系統(tǒng)分布方式帶來安全的復(fù)雜性
監(jiān)測網(wǎng)系統(tǒng)具有節(jié)點分布廣�,地理位置分散等特點,使得對網(wǎng)絡(luò)安全狀況的集中控制變得困難�,帶來數(shù)據(jù)安全的復(fù)雜性。不同的環(huán)節(jié)將需要不同手段的安全方案�����。
2.3網(wǎng)絡(luò)本身的安全漏洞
監(jiān)測系統(tǒng)是一個基于IP的網(wǎng)絡(luò)系統(tǒng)����,采用TCP/IP協(xié)議軟件,本身在應(yīng)用�����、傳輸時存在較多不安全因素。
3 安全技術(shù)方案
鑒于對以上幾種風(fēng)險性因素的分析�,根據(jù)系統(tǒng)的實際情況,結(jié)合考慮需求���、風(fēng)險�����、成本等因素�����,在總體規(guī)劃的基礎(chǔ)上制訂了既可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求��,又不造成浪費的解決方案���。
3.1網(wǎng)絡(luò)資源總體規(guī)劃
實踐證明,合理��、統(tǒng)一的網(wǎng)絡(luò)規(guī)劃對網(wǎng)絡(luò)維護及安全運行都有極大的好處����,有利于保障監(jiān)測網(wǎng)系統(tǒng)在不斷擴展中的可持續(xù)性,因此�����,在監(jiān)測網(wǎng)建立之初統(tǒng)一進行網(wǎng)絡(luò)資源的設(shè)計�,制定合理的IP規(guī)劃、網(wǎng)絡(luò)拓撲規(guī)劃����,對各種資源進行統(tǒng)一編碼是保障網(wǎng)絡(luò)安全的第一步。
3.2設(shè)備安全配置
對于重要安全設(shè)備如交換機���、路由器等����,需要制定良好的配置管理方案���,關(guān)閉不必要的設(shè)備服務(wù)�,設(shè)置口令��、密碼���,加強設(shè)備訪問的認證與授權(quán)��,升級BIOS����,限制訪問、限制數(shù)據(jù)包類型等���。
3.3操作系統(tǒng)安全方案
操作系統(tǒng)大部分的安全問題歸根結(jié)底是由于系統(tǒng)管理不善所導(dǎo)致的�。解決方案是正確更新使用密碼設(shè)置�、權(quán)限設(shè)置,正確進行服務(wù)器配置�。建立健全操作系統(tǒng)安全升級制度,及時下載并安裝補丁�。
3.4備份方案
為保證監(jiān)測網(wǎng)的安全穩(wěn)定運行,對于監(jiān)測網(wǎng)的核心局域網(wǎng)系統(tǒng)硬件可采用雙機熱備方案��,磁盤陣列���、交換機���、防火墻等硬件采用雙機并行,負載均衡的方式運行�,應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器還可互為備份��,從而保證不會因某一點出現(xiàn)故障而影響整個系統(tǒng)的正常使用。
3.5病毒防護
監(jiān)測網(wǎng)系統(tǒng)覆蓋的點多面廣�,防毒系統(tǒng)應(yīng)采用集中控制多層防護的方案,在監(jiān)測系統(tǒng)各個網(wǎng)絡(luò)都分級部署防病毒軟件�,中心網(wǎng)絡(luò)對下一級系統(tǒng)進行實時集中病毒監(jiān)測�����,定時升級�����。制定和采用統(tǒng)一的防病毒策略��,使得網(wǎng)絡(luò)中的所有服務(wù)器和客戶端都能得到相同的防病毒保護����。
3.6防火墻系統(tǒng)
監(jiān)測網(wǎng)系統(tǒng)由于其分布特性往往由多個安全域組成,應(yīng)加裝防火墻�����,以實現(xiàn)系統(tǒng)內(nèi)各級網(wǎng)絡(luò)之間的隔離和訪問控制�;實現(xiàn)對服務(wù)器的安全保護及對遠程用戶的安全認證與訪問權(quán)限控制,并實現(xiàn)對專線資源的流量管理控制和防攻擊��。
3.7應(yīng)用安全
可采用多種手段保障應(yīng)用層安全。如:系統(tǒng)日志審核�����、服務(wù)器賬戶管理��、用戶登錄權(quán)限管理��、數(shù)據(jù)定期備份等����。
3.8數(shù)據(jù)傳輸安全
監(jiān)測網(wǎng)作為一個廣域網(wǎng)主要利用廣電光纜或電信線路進行通信,為保證安全性��,數(shù)據(jù)的傳輸須采取加密措施��。具體方案可針對不同通信方式及數(shù)據(jù)安全級別制定���。
4 結(jié)束語
網(wǎng)絡(luò)是一個多樣��、復(fù)雜���、動態(tài)的系統(tǒng),單一的安全產(chǎn)品和技術(shù)不能夠滿足網(wǎng)絡(luò)安全的所有要求��,只有各個安全部件相互關(guān)聯(lián)、各種安全措施相互補充�����,網(wǎng)絡(luò)安全才能得到保障��。同時����,任何一個網(wǎng)絡(luò)的安全目標都不是僅依靠技術(shù)手段就能實現(xiàn)的�����,還應(yīng)采取措施加強操作人員素質(zhì)管理���,提高值班員責(zé)任心��。做到管理規(guī)范�����,才能確保監(jiān)測網(wǎng)安全���、高效運行�。
參考文獻
第7篇
論文摘要:本文對船舶計算機網(wǎng)絡(luò)系統(tǒng)的安全現(xiàn)狀和問題原因進行了概括性的敘述����,對網(wǎng)絡(luò)安全的需求進行了研究分析。從實施船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理的現(xiàn)實條件和實際要求出發(fā)���,提出了船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理的策略和解決方案�����,針對不同情況的船舶提出了相應(yīng)的實施建議�。
1引言
進入二十一世紀以來���,隨著船舶自動化和信息化程度不斷提高��,船舶計算機網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用得到了迅速發(fā)展�����。越來越多的新造船舶采用計算機網(wǎng)絡(luò)技術(shù)將船舶輪機監(jiān)控系統(tǒng)��、航海駕駛智能化系統(tǒng)��、船舶管理信息系統(tǒng)(smis)等應(yīng)用納入一個統(tǒng)一的網(wǎng)絡(luò)系統(tǒng)�,實現(xiàn)船岸管控一體化。
在我司近幾年建造的4萬噸級以上的油輪上�,普遍安裝了計算機局域網(wǎng)。一方面�,計算機網(wǎng)絡(luò)用于傳輸船上動力裝置監(jiān)測系統(tǒng)與船舶航行等實時數(shù)據(jù);另一方面��,計算機網(wǎng)絡(luò)用于船舶管理信息系統(tǒng)(功能包括船舶機務(wù)����、采購、海務(wù)���、安全、體系管理與油輪石油公司檢查管理)并通過網(wǎng)絡(luò)中船舶通訊計算機實現(xiàn)船岸間的數(shù)據(jù)交換����,實現(xiàn)船岸資源共享,有利于岸基他船舶管理人員對船舶的監(jiān)控與業(yè)務(wù)指導(dǎo)���。前者屬于實時系統(tǒng)應(yīng)用����,后者屬于船舶日常管理系統(tǒng)應(yīng)用,在兩種不同類型的網(wǎng)絡(luò)應(yīng)用(子網(wǎng))之間采用網(wǎng)關(guān)進行隔離���。目前����,船舶計算機網(wǎng)絡(luò)系統(tǒng)采用的硬件設(shè)備和軟件系統(tǒng)相對簡單��,因此��,船舶計算機網(wǎng)絡(luò)的安全基礎(chǔ)比較薄弱�。隨著船齡的不斷增長,船上計算機及網(wǎng)絡(luò)設(shè)備逐漸老化�;并且,船上沒有配備專業(yè)的人員負責(zé)計算機網(wǎng)絡(luò)和設(shè)備的運行維護和管理工作�����,所以船舶計算機及網(wǎng)絡(luò)的技術(shù)狀況比較差�����,影響各類系統(tǒng)的正常使用與船岸數(shù)據(jù)的交換����。究其原因,除了網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路故障問題之外,大多數(shù)問題是因各類病毒與管理不善等原因所引起的��。
2船舶計算機網(wǎng)絡(luò)架構(gòu)
目前在船舶上普遍采用工業(yè)以太網(wǎng)����,船舶局域網(wǎng)大多采用星型結(jié)構(gòu)。
有些船舶已經(jīng)在所有船員房間布設(shè)了局域網(wǎng)網(wǎng)線�,而有些船舶只是在高級船員房間布設(shè)了計算機局域網(wǎng)網(wǎng)線。圖表1是一艘30萬噸超級油輪(vlcc)的計算機局域網(wǎng)結(jié)構(gòu)圖���。
圖表2 是 船舶計算機網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖���。其中,局域網(wǎng)服務(wù)器采用hp compaq dx7400(pentium dual e2160/1.8ghz/ddr2 512m/80g)�;網(wǎng)關(guān)采用industrial computer 610(p4 2.8ghz/ddr333 512m/80g);交換機采用d-link des-1024d快速以太網(wǎng)交換機(10/100m 自適應(yīng)�,工作在二層應(yīng)用層級)。
3船舶計算機網(wǎng)絡(luò)系統(tǒng)的安全問題
2005年以來���,有很多的船舶管理公司推進實施船舶管理信息系統(tǒng)。對于遠洋船舶來說��,船上需要安裝使用船舶管理信息系統(tǒng)的船舶版軟件��。大多數(shù)的船舶版軟件都是采用客戶端/服務(wù)器兩層架構(gòu),高級船員的辦公計算機作為客戶端��,通過聯(lián)網(wǎng)使用船舶管理信息系統(tǒng)���。船上的船舶管理信息系統(tǒng)通過電子郵件(一般采用amos mail或rydex電子郵件)與岸基的船舶管理信息系統(tǒng)交換數(shù)據(jù)��,實現(xiàn)船�、岸船舶數(shù)據(jù)庫的數(shù)據(jù)同步����。
根據(jù)了解,目前船舶計算機網(wǎng)絡(luò)最主要的問題(也是最突出的現(xiàn)狀)是安全性和可用性達不到船舶管理信息系統(tǒng)運行使用的基本要求��。船舶管理信息系統(tǒng)數(shù)據(jù)庫服務(wù)器與郵件服務(wù)器之間�,以及船員的辦公計算機與船舶管理信息系統(tǒng)數(shù)據(jù)庫服務(wù)器之間經(jīng)常無法聯(lián)通。經(jīng)過上船檢查發(fā)現(xiàn)�,影響船舶計算機網(wǎng)絡(luò)系統(tǒng)正常運行的主要原因是計算機病毒。大多數(shù)船舶的辦公計算機采用微軟操作系統(tǒng)�,一方面沒有打補丁,另一方面尚未采取有效的防病毒措施���,比如沒有安裝單機版或網(wǎng)絡(luò)版防病毒軟件�。有些船舶雖然安裝了防病毒軟件���,但是因為不能及時進行防毒軟件升級和病毒庫更新����,所以無法查殺新病毒或新的變種病毒等,從而失去防病毒作用���。經(jīng)過調(diào)查分析����,船上計算機病毒的主要來源是:(1)在局域網(wǎng)中的計算機上使用了帶有病毒的光盤��、優(yōu)盤����、移動硬盤等存儲介質(zhì);(2)將帶有病毒的筆記本電腦接入了船上的局域網(wǎng)�����;(3)在局域網(wǎng)中的計算機上安裝有無線上網(wǎng)卡�,通過無線上網(wǎng)(沿海航行或停靠港口時)引入了病毒/蠕蟲/木馬/惡意代碼等�。
為了解決上述問題�,有的企業(yè)在船舶辦公計算機上安裝了硬盤保護卡��;也有一些企業(yè)在船舶辦公計算機上安裝了“一鍵恢復(fù)”軟件�����;另外還有企業(yè)開始在船舶計算機網(wǎng)絡(luò)系統(tǒng)中安裝部署專業(yè)的安全管理系統(tǒng)軟件和網(wǎng)絡(luò)版防病毒軟件���。
若要從根本上增強船舶計算機網(wǎng)絡(luò)系統(tǒng)的安全性和可用性,則需要考慮以下條件的限制:(1)船上的計算機網(wǎng)絡(luò)架構(gòu)在出廠時已經(jīng)固定�,除非船舶正在建造或者進廠修理,否則���,凡是處于運營狀態(tài)的船舶����,不可能立即為船舶管理信息系統(tǒng)專門建設(shè)一個物理上獨立的計算機局域網(wǎng)�����。(2)限于資金投入和船上安裝場所等原因����,船上的計算機網(wǎng)絡(luò)設(shè)備或設(shè)施在短期內(nèi)也不可能無限制按需增加。(3)從技術(shù)管理的角度看����,在現(xiàn)階段�,船舶仍不可能配備具有專業(yè)水平的網(wǎng)絡(luò)人員對計算機網(wǎng)絡(luò)系統(tǒng)進行管理��。(4)因衛(wèi)星通信通道和通信費用等原因��,遠洋船舶的辦公計算機操作系統(tǒng)(微軟windows 系列)不可能從因特網(wǎng)下載補丁和打補?�?�;船舶局域網(wǎng)中的防病毒軟件和病毒庫不可能及時升級和更新����。總體上看�,解決船舶計算機網(wǎng)絡(luò)安全方面的問題,與陸地上確實有許多不同之處��。
4船舶計算機網(wǎng)絡(luò)系統(tǒng)的安全需求分析
為提高船舶計算機網(wǎng)絡(luò)系統(tǒng)的可用性����,即船舶計算機網(wǎng)絡(luò)系統(tǒng)任何一個組件發(fā)生故障,不管它是不是硬件����,都不會導(dǎo)致網(wǎng)絡(luò)����、系統(tǒng)��、應(yīng)用乃至整個網(wǎng)絡(luò)系統(tǒng)癱瘓,為此需要增強船舶計算機網(wǎng)絡(luò)系統(tǒng)的可靠性�����、可恢復(fù)性和可維護性��。其中:(1)可靠性是指針對船舶上的溫度���、濕度、有害氣體等環(huán)境��,提高網(wǎng)絡(luò)設(shè)備和線路的技術(shù)要求��,有關(guān)的設(shè)計方案在船舶建造和船舶修理時進行實施和實現(xiàn)����。(2)可恢復(fù)性,是指船舶計算機網(wǎng)絡(luò)中任一設(shè)備或網(wǎng)段發(fā)生故障而不能正常工作時��,依靠事先的設(shè)計����,網(wǎng)絡(luò)系統(tǒng)自動將故障進行隔離��。(3)可維護性��,是指通過對船舶計算機網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)的在線管理����,及時發(fā)現(xiàn)異常情況����,使問題或故障能夠得到及時處理。
研究解決船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理問題�,必須考慮現(xiàn)實的條件和實現(xiàn)的成本?��?偟脑瓌t是:方案簡潔���、技術(shù)成熟;經(jīng)濟性好����、實用性強;易于實施、便于維護��。因此��,在盡量利用現(xiàn)有設(shè)備和設(shè)施�、擴充或提高計算機及網(wǎng)絡(luò)配置、增加必要的安全管理系統(tǒng)軟件�、嚴格控制增加設(shè)備的前提下���,通過采用邏輯域劃分�、病毒防殺�、補丁管理、網(wǎng)絡(luò)準入���、外設(shè)接口管理����、終端應(yīng)用軟件管理和移動存儲介質(zhì)管理等手段���,以解決船舶計算機網(wǎng)絡(luò)系統(tǒng)最主要的安全問題��。
在對船舶計算機網(wǎng)絡(luò)采取安全防護技術(shù)措施的同時����,還需要制定船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理制度;定制船舶計算機網(wǎng)絡(luò)系統(tǒng)安全策略和安全管理框架�����;對船員進行計算機及網(wǎng)絡(luò)系統(tǒng)安全知識教育���,增強船員遵守公司制定的計算機網(wǎng)絡(luò)安全管理規(guī)定的意識和自覺性�。
(1)加強船舶計算機病毒的防護��,建立全面的多層次的防病毒體系�,防止病毒的攻擊;
(2)采用專用的設(shè)備和設(shè)施實現(xiàn)船舶安全策略的強制執(zhí)行����,配合防毒軟件的部署與應(yīng)用;
(3)加強船舶計算機網(wǎng)絡(luò)管理,通過桌面管理工具實現(xiàn)船舶計算機網(wǎng)絡(luò)運行的有效控制;
(4)制定相關(guān)的網(wǎng)絡(luò)安全防護策略��,以及網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)與恢復(fù)策略���,在正常預(yù)防網(wǎng)絡(luò)安全事件的同時���,做好應(yīng)對網(wǎng)絡(luò)安全事件的準備�����。
5船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理要求
5.1確定船舶網(wǎng)絡(luò)系統(tǒng)安全管理目標
基于以上對船舶計算機網(wǎng)絡(luò)系統(tǒng)安全問題和可用性需求的分析�,我們認為解決網(wǎng)絡(luò)系統(tǒng)安全問題的最終目標是:
通過船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理制度的制定�,安全策略和安全管理框架的開發(fā),定制開發(fā)和部署適合船舶計算機網(wǎng)絡(luò)系統(tǒng)特點的安全管理系統(tǒng)����,確保船舶計算機網(wǎng)絡(luò)系統(tǒng)安全可靠的運行和受控合法的使用,滿足船舶管理信息系統(tǒng)正常運行��、業(yè)務(wù)運營和日常管理的需要���。
通過實施船舶計算機網(wǎng)絡(luò)系統(tǒng)安全技術(shù)措施,達到保護網(wǎng)絡(luò)系統(tǒng)的可用性��,保護網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性�����,防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問����,防范人為的有意或無意的攻擊與破壞,保護船上的各類信息通過局域網(wǎng)傳輸過程中的安全性、完整性���、及時性����,防范計算機病毒的侵害�,實現(xiàn)系統(tǒng)快速恢復(fù),確保船舶計算機網(wǎng)絡(luò)的安全運行和有效管理�����?���?傮w上從五方面考慮:
(1)針對管理級安全,建立一套完整可行的船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理制度���,通過有效的貫徹實施和檢查考核�����,實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全運行管理與維護���;
(2)針對應(yīng)用級安全����,加強船舶計算機網(wǎng)絡(luò)防病毒�、防攻擊、漏洞管理�、數(shù)據(jù)備份、數(shù)據(jù)加密����、身份認證等,采用適合的安全軟硬件��,建設(shè)安全防護體系����;
(3)針對系統(tǒng)級安全����,加強對服務(wù)器、操作系統(tǒng)���、數(shù)據(jù)庫的運行監(jiān)測����,加強系統(tǒng)補丁的管理,通過雙機(或兩套系統(tǒng))的形式保證核心系統(tǒng)運行���,當發(fā)生故障時���,能及時提供備用系統(tǒng)和恢復(fù);
(4)針對網(wǎng)絡(luò)級安全�����,保證船舶計算機網(wǎng)絡(luò)設(shè)備�、網(wǎng)絡(luò)線路的運行穩(wěn)定,對核心層的網(wǎng)絡(luò)設(shè)備和線路提供雙路的冗余�����;
(5)針對物理級安全�,保證船舶計算機網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的安全和系統(tǒng)及時恢復(fù),加強信息和數(shù)據(jù)的備份和各類軟件介質(zhì)的管理����。
5.2網(wǎng)絡(luò)系統(tǒng)安全配置原則
船舶計算機網(wǎng)絡(luò)系統(tǒng)是一套移動的計算機網(wǎng)絡(luò)系統(tǒng),沒有專業(yè)的安全管理人員����,缺乏專業(yè)的安全管理能力���;船舶數(shù)量多,船舶計算機網(wǎng)絡(luò)系統(tǒng)規(guī)模小和相對比較簡潔�,因此,不能按照企業(yè)網(wǎng)絡(luò)的安全管理體系來構(gòu)建船舶計算機網(wǎng)絡(luò)系統(tǒng)的安全管理體系�,必須制定經(jīng)濟實用的網(wǎng)絡(luò)安全設(shè)計原則。
需求���、風(fēng)險�、代價平衡的原則
對船舶計算機網(wǎng)絡(luò)系統(tǒng)進行切合實際的分析與設(shè)計�,對系統(tǒng)可能面臨的威脅或可能承擔的風(fēng)險提出定性、定量的分析意見��,并制定相應(yīng)的規(guī)范和措施����,確定系統(tǒng)的安全策略。
綜合性���、整體性、系統(tǒng)性原則
船舶計算機網(wǎng)絡(luò)系統(tǒng)安全是一個比較復(fù)雜的系統(tǒng)工程�,從網(wǎng)絡(luò)系統(tǒng)的各層次、安全防范的各階段全面地進行考慮����,既注重技術(shù)的實現(xiàn)�,又要加大管理的力度���,制定具體措施�。安全措施主要包括:行政法律手段�、各種管理制度以及專業(yè)技術(shù)措施。
易于操作����、管理和維護性原則
在現(xiàn)階段,船舶上不可能配備專業(yè)的計算機系統(tǒng)安全管理員����,采用的安全措施和系統(tǒng)應(yīng)保證易于安裝、實施���、操作���、管理和維護,并盡可能不降低對船舶計算機網(wǎng)絡(luò)系統(tǒng)功能和性能的影響���。
可擴展性���、適應(yīng)性及靈活性原則
船舶計算機網(wǎng)絡(luò)安全管理系統(tǒng)必須組件化或模塊化�,便于部署��;安全策略配置靈活��,具有較強的適應(yīng)性����,能夠適應(yīng)各種船舶的計算機網(wǎng)絡(luò)系統(tǒng)復(fù)雜多樣的現(xiàn)狀;安全管理系統(tǒng)必須具有較好的可擴展性��,便于未來進行安全功能的擴展�。
標準化、分步實施�����、保護投資原則
依照計算機系統(tǒng)安全方面的有關(guān)法規(guī)與行業(yè)標準和企業(yè)內(nèi)部的標準及規(guī)定����,使安全技術(shù)體系的建設(shè)達到標準化、規(guī)范化的要求����,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)�。限于計算機系統(tǒng)安全理論與技術(shù)發(fā)展的歷史原因和企業(yè)自身的資金能力,對不同情況的船舶要分期���、分批建設(shè)一些整體的或區(qū)域的安全技術(shù)系統(tǒng)�,配置相應(yīng)的設(shè)施��。因此��,依據(jù)保護系統(tǒng)安全投資效益的基本原則����,在合理規(guī)劃、建設(shè)新的網(wǎng)絡(luò)安全系統(tǒng)或投入新的網(wǎng)絡(luò)安全設(shè)施的同時�,對現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)應(yīng)采取完善、整合的辦法���,使其納入總體的網(wǎng)絡(luò)安全技術(shù)體系�����,發(fā)揮更好的效能��,而不是排斥或拋棄�����。
5.3網(wǎng)絡(luò)安全管理的演進過程
建立��、健全船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理體系��,首先要建立一個合理的管理框架��,要從整體和全局的視角���,從信息系統(tǒng)的管理層面進行整體安全建設(shè)��,并從信息系統(tǒng)本身出發(fā)�,通過對船上信息資產(chǎn)的分析����、風(fēng)險分析評估、網(wǎng)絡(luò)安全需求分析��、安全策略開發(fā)��、安全體系設(shè)計���、標準規(guī)范制定�����、選擇安全控制措施等步驟����,從整個網(wǎng)絡(luò)安全管理體系上來提出安全解決方案��。
船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理體系的建設(shè)須按適當?shù)某绦蜻M行����,首先應(yīng)根據(jù)自身的業(yè)務(wù)性質(zhì)、組織特征���、資產(chǎn)狀況和技術(shù)條件定義isms的總體方針和范圍�,然后在風(fēng)險分析的基礎(chǔ)上進行安全評估�,同時確定信息安全風(fēng)險管理制度,選擇控制目標�,準備適用性聲明。船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理體系的建立應(yīng)遵循pdca的過程方法�,必須循序漸進,不斷完善�,持續(xù)改進���。
6建立健全船舶計算機網(wǎng)絡(luò)安全管理制度
針對船舶計算機及網(wǎng)絡(luò)系統(tǒng)的安全,需要制定相關(guān)法規(guī)�,結(jié)合技術(shù)手段實現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全管理。制度和流程制定主要包括以下幾個方面:
制定船舶計算機及網(wǎng)絡(luò)系統(tǒng)安全工作的總體方針�����、政策性文件和安全策略等�,說明機構(gòu)安全工作的總體目標、范圍���、方針�����、原則����、責(zé)任等�;
對安全管理活動中的各類管理內(nèi)容建立安全管理制度,以規(guī)范安全管理活動�,約束人員的行為方式;
對要求管理人員或操作人員執(zhí)行的日常管理操作����,建立操作規(guī)程�,以規(guī)范操作行為��,防止操作失誤���;
形成由安全政策、安全策略���、管理制度��、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系����;
由安全管理團隊定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定��。
7 總結(jié)
對于船舶計算機網(wǎng)絡(luò)安全按作者的經(jīng)驗可以針對不同類型���、不同情況的具體船舶�����,可以結(jié)合實際需要和具體條件采取以下解決方案:
1.對于正在建造的船舶和準備進廠修理的船舶���,建議按照較高級別的計算機網(wǎng)絡(luò)安全方案進行實施�,全面加固船舶計算機及網(wǎng)絡(luò)的可靠性�、可恢復(fù)性和可維護性,包括配置冗余的網(wǎng)絡(luò)設(shè)備和建設(shè)備用的網(wǎng)絡(luò)線路��。
2.對于正在營運的��、比較新的船舶����,建議按照中等級別的計算機網(wǎng)絡(luò)安全方案進行實施,若條件允許����,則可以增加專用的安全管理服務(wù)器設(shè)備,更新或擴充升級原有的路由器或交換機��。
3.對于其它具備計算機局域網(wǎng)�、船齡比較長的船舶,建議按照較低級別的計算機網(wǎng)絡(luò)安全方案進行實施��,不增加專用的安全管理服務(wù)器設(shè)備���,主要目標解決計算機網(wǎng)絡(luò)防病毒問題��。
4.對于不具備計算機局域網(wǎng)的老舊船舶����,可以進一步簡化安全問題解決方案,著重解決船舶管理信息系統(tǒng)服務(wù)器或單機的防病毒問題���,以確保服務(wù)器或單機上的系統(tǒng)能夠正常運行使用�。
參考文獻:
第8篇
關(guān)鍵詞 網(wǎng)絡(luò)威脅;網(wǎng)絡(luò)防御;網(wǎng)絡(luò)安全;防火墻
中圖分類號TP393 文獻標識碼A 文章編號 1674-6708(2010)31-0211-01
1 企業(yè)內(nèi)部網(wǎng)絡(luò)安全面臨的主要威脅
一般來說,計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自以下幾個方面:
1)計算機病毒的侵襲���。計算機病毒侵入網(wǎng)絡(luò),對網(wǎng)絡(luò)資源進行破壞,使網(wǎng)絡(luò)不能正常工作,甚至造成整個網(wǎng)絡(luò)的癱瘓;
2)黑客侵襲。黑客非法進入網(wǎng)絡(luò)使用網(wǎng)絡(luò)資源�。例如通過隱蔽通道進行非法活動;采用匿名用戶訪問進行攻擊;通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼;非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)等;
3)拒絕服務(wù)攻擊。例如“郵件炸彈”,使用戶在很短的時間內(nèi)收到大量無用的電子郵件,從而影響正常業(yè)務(wù)的運行��。嚴重時會使系統(tǒng)關(guān)機,網(wǎng)絡(luò)癱瘓;
4)通用網(wǎng)關(guān)接口(CGI)漏洞����。搜索引擎是通過CGI腳本執(zhí)行的方式實現(xiàn)的,黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務(wù);
5)惡意代碼。惡意代碼不限于病毒,還包括蠕蟲���、特洛伊木馬��、邏輯炸彈等���。
2 企業(yè)網(wǎng)絡(luò)安全目標
1)建立一套完整可行的網(wǎng)絡(luò)安全與管理策略,將內(nèi)部網(wǎng)絡(luò)���、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進行有效隔離;2)建立網(wǎng)站各主機和服務(wù)器的安全保護措施,保證系統(tǒng)安全;3)對網(wǎng)上服務(wù)請求內(nèi)容進行控制,使非法訪問在到達主機前被拒絕;4)加強合法用戶的訪問認證,同時將用戶的訪問權(quán)限控制在最低限度,全面監(jiān)視對公開服務(wù)器的訪問,及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為;5)加強對各種訪問的審計工作,詳細記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為,形成完整的系統(tǒng)日志備份與災(zāi)難恢復(fù);6)提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)���。
3 安全方案設(shè)計原則
對企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計����、規(guī)劃時,應(yīng)遵循以下原則:
1)綜合性����、整體性原則:應(yīng)用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡(luò)的安全措施�。即計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。
2)需求�����、風(fēng)險�����、代價平衡的原則:對任一網(wǎng)絡(luò),絕對安全難以達到,也不一定必要。對網(wǎng)絡(luò)面臨的威脅及可能承擔的風(fēng)險進行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略,是比較經(jīng)濟的方法�。
3)一致性原則:網(wǎng)絡(luò)安全問題貫穿整個網(wǎng)絡(luò)的生命周期,因此制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。在網(wǎng)絡(luò)建設(shè)開始就考慮網(wǎng)絡(luò)安全對策,比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施,要有效得多���。
4)易操作性原則:安全措施需要人為去完成,如果措施過于復(fù)雜,對人的要求過高,本身就降低了安全性��。
5)分步實施原則:由于網(wǎng)絡(luò)規(guī)模的擴展及應(yīng)用的增加��。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的,費用支出也較大���。因此可以分步實施,即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求,亦可節(jié)省費用開支。
6)多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破�����。因此需要建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它保護仍可保護信息安全��。
4 主要防范措施
1)依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》��、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》建立健全各種安全機制和安全制度,加強網(wǎng)絡(luò)安全教育和培訓(xùn)�����。
2)網(wǎng)絡(luò)病毒的防范���。作為企業(yè)應(yīng)用網(wǎng)絡(luò),同時需要基于服務(wù)器操作系統(tǒng)平臺���、桌面操作系統(tǒng)、網(wǎng)關(guān)和郵件服務(wù)器平臺的防病毒軟件�����。所以最好使用全方位的防病毒產(chǎn)品,通過全方位��、多層次的防病毒系統(tǒng)的配置,使網(wǎng)絡(luò)免受病毒的侵襲�。
3)配置防火墻。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制����。利用防火墻執(zhí)行一種訪問控制尺度,將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),同時防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。
4)采用入侵檢測系統(tǒng)���。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?���,F(xiàn)象的技術(shù),用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為���。利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全�。最好采用混合入侵檢測,同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng),構(gòu)架成一套完整立體的主動防御體系。
5)漏洞掃描系統(tǒng)���。解決網(wǎng)絡(luò)安全問題,要清楚網(wǎng)絡(luò)中存在哪些安全隱患��、脆弱點�。僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞����、做出風(fēng)險評估顯然是不現(xiàn)實的。能查找網(wǎng)絡(luò)安全漏洞����、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具是較好的解決方案,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。
6)IP盜用問題的解決�����。在路由器上捆綁IP和MAC地址�。當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。
7)利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全��。對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力��。在這種情況下,可以采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)���。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序,長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務(wù)器的審計文件提供備份�����。
