局域網(wǎng)網(wǎng)絡(luò)安全措施大全11篇
時(shí)間:2023-11-06 10:51:18緒論:寫作既是個(gè)人情感的抒發(fā),也是對(duì)學(xué)術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇局域網(wǎng)網(wǎng)絡(luò)安全措施范文,希望它們能為您的寫作提供參考和啟發(fā)。
篇(1)
0 前言
互聯(lián)網(wǎng)絡(luò)運(yùn)用于生活和工作的各個(gè)領(lǐng)域,顛覆了傳統(tǒng)的生產(chǎn)形式,對(duì)生產(chǎn)力的發(fā)展與提高起著重要作用;許多電力企業(yè)都意識(shí)到互聯(lián)網(wǎng)對(duì)于企業(yè)生產(chǎn)經(jīng)營(yíng)的重要性,近幾年信息化建設(shè)速度明顯加快,并且對(duì)企業(yè)網(wǎng)絡(luò)不斷進(jìn)行優(yōu)化、調(diào)整;除此之外,在電力企業(yè)各下屬網(wǎng)點(diǎn)還先后投入使用各種智能系統(tǒng),如視頻監(jiān)視系統(tǒng)、智能操作控制系統(tǒng)等。上述智能系統(tǒng)的使用和推廣,幫助電力企業(yè)提高了經(jīng)營(yíng)管理水平,對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)發(fā)揮了重要作用。隨著我國(guó)電力企業(yè)信息化程度的不斷提高,因此保證企業(yè)網(wǎng)絡(luò)安全是企業(yè)經(jīng)營(yíng)活動(dòng)正常開(kāi)展的基礎(chǔ)。電力企業(yè)網(wǎng)絡(luò)安全管理方案的形成,是企業(yè)業(yè)務(wù)的客觀需求,同時(shí)也是網(wǎng)絡(luò)安全領(lǐng)域發(fā)展的必然結(jié)果,將經(jīng)濟(jì)效益和社會(huì)影響相結(jié)合進(jìn)行綜合考慮,可以看出重視網(wǎng)絡(luò)安全管理及系統(tǒng)的維護(hù)建設(shè)是電力企業(yè)的當(dāng)務(wù)之急[1]。
1 企業(yè)網(wǎng)絡(luò)安全需求
電力企業(yè)對(duì)網(wǎng)絡(luò)安全的需求主要包括以下幾點(diǎn):1)要確保擁有一個(gè)安全的網(wǎng)絡(luò)環(huán)境首先需要保證機(jī)房可以為各種設(shè)備提供良好的運(yùn)行環(huán)境,機(jī)房需要有門禁系統(tǒng)、防火、防雷電及防潮等相關(guān)設(shè)備。同時(shí)為機(jī)房配備空調(diào),保持機(jī)房?jī)?nèi)溫度處于恒溫狀態(tài),值班人員每天要按時(shí)巡檢,對(duì)于發(fā)現(xiàn)的問(wèn)題要及時(shí)解決或報(bào)告。以某電力企業(yè)的機(jī)房改造工程為例,改造之后的機(jī)房條件雖然有較大改善,但仍存在一些問(wèn)題。例如電池組超過(guò)使用期限,防潮防雷電等措施不到位,無(wú)發(fā)電設(shè)備及冗余供電線路等等;甚至有的電力企業(yè)根本沒(méi)有專門的機(jī)房,網(wǎng)絡(luò)設(shè)備胡亂堆放,并未采取任何防護(hù)措施,閑雜人員可以隨意進(jìn)出,網(wǎng)絡(luò)線路也十分凌亂。希望有關(guān)部門能夠意識(shí)到問(wèn)題的存在,早日消除網(wǎng)絡(luò)安全隱患。2)電力企業(yè)的各種業(yè)務(wù)的硬件操作系統(tǒng)安全平穩(wěn)運(yùn)行也是保障網(wǎng)絡(luò)安全非常重要的一環(huán),因此里面有大量的工作亟待完善,例如:對(duì)系統(tǒng)補(bǔ)丁進(jìn)行及時(shí)升級(jí)堵住安全漏洞,關(guān)閉一些非必須端口,合理限制用戶對(duì)操作系統(tǒng)的使用權(quán)限等等;若想達(dá)到期望的網(wǎng)絡(luò)安全管理效果,還需進(jìn)一步規(guī)范操作人員的操作行為,減少操作失誤,將所有操作步驟程序化規(guī)范化,為企業(yè)網(wǎng)絡(luò)安全提供可靠保障。3)對(duì)于電力企業(yè)的重要業(yè)務(wù)數(shù)據(jù)應(yīng)根據(jù)相關(guān)要求予以及時(shí)備份,并定期對(duì)備份的內(nèi)容進(jìn)行檢查,確認(rèn)是否可讀;企業(yè)的移動(dòng)辦公用戶若需接入內(nèi)網(wǎng)辦公,傳輸數(shù)據(jù)時(shí)也應(yīng)進(jìn)行加密處理;確保業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行,即便業(yè)務(wù)出現(xiàn)意外中斷情況也可及時(shí)恢復(fù)。如果電力企業(yè)在確保數(shù)據(jù)安全性方面尚無(wú)一個(gè)統(tǒng)一的解決措施,那么電力企業(yè)的網(wǎng)絡(luò)安全將面臨著極大的風(fēng)險(xiǎn),數(shù)據(jù)資料對(duì)企業(yè)具有非常重要的價(jià)值,因此很有必要制定數(shù)據(jù)防丟失措施[2]。
2 網(wǎng)絡(luò)安全現(xiàn)狀分析及主要威脅
2.1 企業(yè)自身發(fā)展帶來(lái)的威脅
部分電力企業(yè)由于各種各樣的原因?qū)е鲁霈F(xiàn)網(wǎng)絡(luò)安全問(wèn)題以后得不到及時(shí)解決,或者是企業(yè)的智能系統(tǒng)出現(xiàn)故障,這些都將影響企業(yè)在客戶中心的形象和企業(yè)生產(chǎn)經(jīng)營(yíng)。其次,由于某些電力企業(yè)電腦配置較低,如有較多的業(yè)務(wù)軟件同時(shí)運(yùn)行將會(huì)出現(xiàn)電腦運(yùn)行不暢的情況、甚至死機(jī),這樣不但影響電力企業(yè)的正常業(yè)務(wù)更無(wú)法防毒保證網(wǎng)絡(luò)安全。加之部分企業(yè)的電腦超過(guò)使用年限,無(wú)法滿足業(yè)務(wù)的發(fā)展需求,建議及時(shí)升級(jí)更換。盡管大多電力企業(yè)由于工作需要安裝了視頻監(jiān)視系統(tǒng),但并無(wú)相關(guān)的制度來(lái)正確使用該系統(tǒng),因而對(duì)企業(yè)經(jīng)營(yíng)和網(wǎng)絡(luò)安全維護(hù)作用不大。
2.2 網(wǎng)絡(luò)黑客的破壞與病毒威脅
由于互聯(lián)網(wǎng)的高速發(fā)展,一些攻擊技術(shù)與黑客工具的傳播非常快,相關(guān)的工具使用也變得更加容易,因此造成攻擊事件不斷發(fā)生。發(fā)生這些行為深層次原因有:1)商業(yè)競(jìng)爭(zhēng),電力企業(yè)間為自身利益,無(wú)視道德與法律,違法雇傭黑客對(duì)競(jìng)爭(zhēng)對(duì)手進(jìn)行攻擊,達(dá)到獲取競(jìng)爭(zhēng)對(duì)手信息并制定策略進(jìn)行打壓的目的;2)更多的年輕人在好奇心的驅(qū)使下加入黑客隊(duì)伍,以設(shè)計(jì)程序,攻破預(yù)定的目標(biāo)為主要樂(lè)趣,達(dá)到炫耀過(guò)人技術(shù)水平的目的。目前,病毒與惡意代碼傳播、感染能力越來(lái)越強(qiáng)大,所以造成損失也是越來(lái)越大。隨著計(jì)算機(jī)網(wǎng)絡(luò)的深入發(fā)展及應(yīng)用,網(wǎng)絡(luò)上存儲(chǔ)龐大的信息資源,甚至還包括了核心信息。一經(jīng)遭到破壞,輕者就會(huì)影響業(yè)務(wù),增加了維護(hù)的成本;嚴(yán)重的就會(huì)導(dǎo)致電力企業(yè)信息泄露和業(yè)務(wù)中斷,使企業(yè)不能正常經(jīng)營(yíng)。由于遭受到?jīng)_擊波和震蕩波,甚至是ARP病毒進(jìn)行攻擊,造成電力企業(yè)的系統(tǒng)莫名重啟和不能聯(lián)網(wǎng)的情況;目前操作系統(tǒng)仍存在很大的漏洞,因此,電力企業(yè)必須防范未然,充分合理的利用企業(yè)已有桌面安全的管理系統(tǒng)與Norton防病毒的系統(tǒng),把問(wèn)題有效消滅在萌芽的狀態(tài)中[3]。
3 完善企業(yè)網(wǎng)絡(luò)安全管理措施
3.1 進(jìn)行科學(xué)的網(wǎng)絡(luò)功能管理
目前,電力企業(yè)網(wǎng)絡(luò)系統(tǒng)非常龐大,在網(wǎng)絡(luò)安全的應(yīng)用中有大量相對(duì)成熟的技術(shù)能夠借鑒與使用,如防火墻和防病毒等軟件;但是這些系統(tǒng)都是獨(dú)立的工作,處在相對(duì)獨(dú)立的狀態(tài),因此要想保證網(wǎng)絡(luò)安全和網(wǎng)絡(luò)資源得到充分利用,必須為其提供經(jīng)濟(jì)安全、高效可靠、功能齊全、易于擴(kuò)展和升級(jí)維護(hù)的一個(gè)網(wǎng)絡(luò)管理平臺(tái)進(jìn)行管理。例如,某電力公司在2009年對(duì)網(wǎng)絡(luò)管理系統(tǒng)進(jìn)行嘗試性的使用,其網(wǎng)絡(luò)管理的功能十分強(qiáng)大,且還具有獨(dú)到的跨平臺(tái)性,它不但功能強(qiáng)大且使用簡(jiǎn)單,還非常適合用于其他分公司中復(fù)雜的網(wǎng)絡(luò)環(huán)境的管理。
3.2 建立健全數(shù)據(jù)備份和恢復(fù)體系
網(wǎng)絡(luò)安全能夠得到保障的關(guān)鍵是確保安全的業(yè)務(wù)系統(tǒng)數(shù)據(jù),因此,應(yīng)該根據(jù)電力公司業(yè)務(wù)特點(diǎn)與網(wǎng)絡(luò)現(xiàn)狀,建立Linux
數(shù)據(jù)的備份系統(tǒng),不僅能夠確保電力企業(yè)業(yè)務(wù)系統(tǒng)的數(shù)據(jù),如FTP數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)等,還能使關(guān)鍵用戶的數(shù)據(jù)及時(shí)的自動(dòng)的同步到服務(wù)器上,同時(shí)還可以在系統(tǒng)恢復(fù)后自動(dòng)同步數(shù)據(jù)。該系統(tǒng)客戶端能夠支持Windows等,兼容性很好,應(yīng)用的前景非常廣。該系統(tǒng)應(yīng)該由專人進(jìn)行管理且定期刻錄和轉(zhuǎn)存?zhèn)浞輸?shù)據(jù),定期對(duì)轉(zhuǎn)存數(shù)據(jù)進(jìn)行可讀性的測(cè)試,做好記錄,有效確保數(shù)據(jù)與網(wǎng)絡(luò)安全,在使用過(guò)程中取得良好效果,因此應(yīng)該推廣應(yīng)用,有效避免發(fā)生數(shù)據(jù)丟失[4]。
4 結(jié)語(yǔ)
總而言之,電力企業(yè)的網(wǎng)絡(luò)安全領(lǐng)域和安全管理是復(fù)雜、綜合和交叉的綜合性非常強(qiáng)的重要課題。我們應(yīng)該在享用其便利的同時(shí),應(yīng)該把網(wǎng)絡(luò)安全納入安全管理工作范圍內(nèi)。電力企業(yè)在進(jìn)行信息化建設(shè)的過(guò)程中就算面臨很大的網(wǎng)絡(luò)安全威脅,只要通過(guò)科學(xué)的技術(shù)及管理手段,在安全范疇里進(jìn)行探索與嘗試,并在實(shí)踐中不斷學(xué)習(xí)、掌握網(wǎng)絡(luò)安全和管理的新知識(shí),就能夠構(gòu)建安全可靠、高效的網(wǎng)絡(luò)環(huán)境,從而有效促進(jìn)電力企業(yè)可持續(xù)發(fā)展。
參考文獻(xiàn):
[1]高化田,淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)的安全防范[J].信息與電腦(理論版),2011(05):32-33.
篇(2)
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2017)07-0003-03
隨著當(dāng)今社會(huì)的迅速發(fā)展,電子計(jì)算機(jī)通訊技術(shù)被廣泛應(yīng)用于各個(gè)領(lǐng)域,并推動(dòng)了數(shù)據(jù)庫(kù)技術(shù)呈現(xiàn)多樣化發(fā)展,但同時(shí)也出現(xiàn)了多種與數(shù)據(jù)庫(kù)有關(guān)的網(wǎng)絡(luò)安全威脅。目前,數(shù)據(jù)庫(kù)管理人員的日常的維護(hù)和管理是確保數(shù)據(jù)庫(kù)安全的主要措施,一旦數(shù)據(jù)庫(kù)遭到黑客網(wǎng)絡(luò)攻擊,造成的后果是非常嚴(yán)重的。因此,加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性和可靠性至關(guān)重要。
1計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)概述
隨著網(wǎng)絡(luò)時(shí)代的到來(lái),計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了廣泛的應(yīng)用,數(shù)據(jù)庫(kù)技術(shù)也逐漸被越來(lái)越多的人關(guān)注和使用。但同時(shí)網(wǎng)絡(luò)數(shù)據(jù)資源被泄露更改甚至破壞的現(xiàn)象也屢見(jiàn)不鮮,這些都極大地威脅著計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行更是產(chǎn)生了嚴(yán)重的影響。經(jīng)過(guò)分析我們發(fā)現(xiàn),威脅著計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全的因素主要有兩個(gè),一個(gè)是黑客的攻擊,另一個(gè)是網(wǎng)絡(luò)數(shù)據(jù)庫(kù)本身存在一定的漏洞。因此,數(shù)據(jù)庫(kù)管理人員應(yīng)該加大力度,全面分析和查找網(wǎng)絡(luò)數(shù)據(jù)庫(kù)技術(shù)中存在的安全漏洞,并及時(shí)采取適當(dāng)?shù)拇胧┘右詰?yīng)對(duì),確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)能夠正常、穩(wěn)定、安全的運(yùn)行。計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)包括三個(gè)含義:其一是該數(shù)據(jù)庫(kù)在網(wǎng)絡(luò)上運(yùn)行;其二是該數(shù)據(jù)庫(kù)在網(wǎng)絡(luò)上包含其他用艫牡刂罰黃淙是在信息管理過(guò)程中,該數(shù)據(jù)庫(kù)的數(shù)據(jù)記錄可以通過(guò)多種方式相互關(guān)聯(lián)。網(wǎng)絡(luò)數(shù)據(jù)庫(kù)與分層數(shù)據(jù)庫(kù)的相似點(diǎn)在于它們都包含從一個(gè)記錄到另一個(gè)記錄的前進(jìn),但網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的結(jié)構(gòu)并不嚴(yán)格,即一個(gè)記錄可以指向多個(gè)記錄,而多個(gè)記錄也可以指向一個(gè)記錄,而分層數(shù)據(jù)庫(kù)卻只有一個(gè)路徑,即從父記錄指向子記錄。在應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)過(guò)程中,可以將全部的有效資料及時(shí)的上傳至計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)內(nèi)部,很大程度地實(shí)現(xiàn)了資源的共享,但與此同時(shí),黑客入侵現(xiàn)象的存在,使得網(wǎng)絡(luò)數(shù)據(jù)庫(kù)出現(xiàn)一系列的安全隱患。如何防止黑客入侵,保證網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全,確保數(shù)據(jù)的完整性成為數(shù)據(jù)庫(kù)管理人員重點(diǎn)關(guān)注的問(wèn)題。要想保護(hù)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全,需要從以下幾個(gè)方面著手:1)做好數(shù)據(jù)庫(kù)的邏輯完整性,按照規(guī)范和標(biāo)準(zhǔn)對(duì)數(shù)據(jù)庫(kù)整體結(jié)構(gòu)的完整性給予保護(hù)和監(jiān)管,例如需要對(duì)某一個(gè)字段進(jìn)行更改的過(guò)程中,一般要求不會(huì)對(duì)其他字段造成影響和損壞;2)實(shí)現(xiàn)數(shù)據(jù)庫(kù)的物理完整性。其通常指的是自然或物理故障不會(huì)對(duì)數(shù)據(jù)庫(kù)本身造成影響,比如突然停電或計(jì)算機(jī)出現(xiàn)故障等;3)確保數(shù)據(jù)庫(kù)的元素安全性,即保證數(shù)據(jù)庫(kù)中所有元素都是正確的;4)嚴(yán)格控制用戶訪問(wèn)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)權(quán)限,借助不同的程序來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限的有效設(shè)置,這樣一來(lái)只有通過(guò)授權(quán)的用戶才能進(jìn)入數(shù)據(jù)庫(kù)進(jìn)行相應(yīng)的訪問(wèn);5)確保數(shù)據(jù)庫(kù)的可審計(jì)性,采取一定的保護(hù)措施,確保數(shù)據(jù)庫(kù)中的每一個(gè)元素都能夠被修改和存儲(chǔ);6)確保數(shù)據(jù)庫(kù)的可用性,如果用戶通過(guò)了數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限,那么他就具有自由訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限;7)嚴(yán)格控制數(shù)據(jù)庫(kù)的身份驗(yàn)證,必要的時(shí)候也可以按照要求進(jìn)行相應(yīng)的審計(jì)追蹤,避免不安全因素產(chǎn)生。當(dāng)今社會(huì),網(wǎng)絡(luò)技術(shù)在不斷發(fā)展,網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性面臨的威脅將越來(lái)越大。因此,僅僅局限于傳統(tǒng)的數(shù)據(jù)庫(kù)管理員已經(jīng)不能確保網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性能,應(yīng)該更加關(guān)注如何合理設(shè)置嚴(yán)密的訪問(wèn)權(quán)限及保護(hù)賬號(hào)的安全等。
2計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)存在的安全威脅
計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)環(huán)境具有自由開(kāi)放、復(fù)雜多樣、高度自治等特點(diǎn),因此,網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性出現(xiàn)威脅也是無(wú)法杜絕的,但怎樣有效避免網(wǎng)絡(luò)數(shù)據(jù)庫(kù)信息被黑客非法入侵、被篡改及數(shù)據(jù)丟失等情況的出現(xiàn),成為數(shù)據(jù)庫(kù)管理人員非常關(guān)注的問(wèn)題。網(wǎng)絡(luò)數(shù)據(jù)庫(kù)具有能夠存儲(chǔ)大文件、具有一定的穩(wěn)定性和可靠性且能夠頻繁的更新數(shù)據(jù)庫(kù)元素等很多優(yōu)勢(shì),甚至有時(shí)會(huì)有一些非常重要的敏感數(shù)據(jù)信息存儲(chǔ)到網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中。因此,確保網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性至關(guān)重要,盡可能地避免網(wǎng)絡(luò)數(shù)據(jù)庫(kù)遭受威脅。一些非法用戶入侵網(wǎng)絡(luò)數(shù)據(jù)庫(kù)時(shí)通常情況下是直接入侵網(wǎng)絡(luò)系統(tǒng)來(lái)實(shí)現(xiàn)的,因此,要想保護(hù)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)免受安全威脅,首先要確保網(wǎng)絡(luò)系統(tǒng)的安全性能。實(shí)際上,誘發(fā)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)危險(xiǎn)的因素比較多,最為常見(jiàn)的因素如下:1)由于用戶操作不當(dāng)而誘發(fā)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)數(shù)據(jù)出現(xiàn)錯(cuò)誤;2)用戶在沒(méi)有該范圍內(nèi)訪問(wèn)權(quán)限的情況下查閱數(shù)據(jù)庫(kù)內(nèi)的相關(guān)數(shù)據(jù)信息;3)黑客攻擊數(shù)據(jù)庫(kù);4)利用非法手段對(duì)數(shù)據(jù)庫(kù)內(nèi)部的數(shù)據(jù)資源進(jìn)行篡改或竊取。下面讓我們就計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)使用過(guò)程中可能出現(xiàn)的安全威脅進(jìn)行分析和討論。
2.1數(shù)據(jù)庫(kù)下載
在使用ASP編寫連接文件過(guò)程中,大部分用戶選擇的句式基本相同,然后將與數(shù)據(jù)庫(kù)文件相對(duì)應(yīng)的語(yǔ)句顯示出來(lái),以確保數(shù)據(jù)庫(kù)的安全性。如果僅僅看語(yǔ)句的連接是不存在任何問(wèn)題的,且名字也足夠長(zhǎng),保險(xiǎn)系數(shù)相對(duì)較高,這種難度對(duì)于下載者來(lái)說(shuō)識(shí)別和破解是都比較困難的,但暴庫(kù)技術(shù)和相關(guān)工具的使用,使得快速定位數(shù)據(jù)庫(kù)的各種具體情況成為可能,即使全部成功暴庫(kù)無(wú)法達(dá)到,但百分之九十以上的成功率還是有可能的,一旦獲得相應(yīng)的數(shù)據(jù)庫(kù)地址,利用IE輸入,可以成功獲取數(shù)據(jù)庫(kù)的用戶名和密碼,從而出現(xiàn)了數(shù)據(jù)庫(kù)密碼被盜的現(xiàn)象,如果該文件至關(guān)重要,那么造成的影響是非常嚴(yán)重的。
2.2注入SQL
互聯(lián)網(wǎng)在應(yīng)用過(guò)程中,用戶為了保障其安全性,通常情況下是在設(shè)置了防火墻之后才對(duì)Web服務(wù)器進(jìn)行布置,對(duì)于端口的開(kāi)放也非常謹(jǐn)慎,只開(kāi)放80端口,防止非法人員入侵其他端口,這樣一來(lái),非法入侵者獲得用戶名和密碼的唯一途徑就是將80端口破解。一般情況下,非法者入侵80端口采用的最常見(jiàn)的方式就是注入SQL,一些程序員在編寫程序代碼時(shí),未對(duì)用戶輸入數(shù)據(jù)的正確性給予高度重視,從而給應(yīng)用程序的運(yùn)行留下了較大的安全隱患。這里所提及到的sOL通常是指將傳輸代碼輸入到客戶端位置,以實(shí)現(xiàn)對(duì)服務(wù)器與處理程序間相關(guān)數(shù)據(jù)信息的有效收集,這樣所需要的資料就可以獲取了。SQL這種操作方法能夠常規(guī)訪問(wèn)80端口,訪問(wèn)的過(guò)程中與其他普通的Web網(wǎng)頁(yè)并沒(méi)有什么差別,且防火墻也無(wú)法識(shí)別和報(bào)警這種入侵方式,因此,系統(tǒng)管理員對(duì)系統(tǒng)應(yīng)該進(jìn)行及時(shí)的檢查與審核,否則以這種方式入侵?jǐn)?shù)據(jù)庫(kù)是不容易被察覺(jué)和發(fā)現(xiàn)的,進(jìn)而造成數(shù)據(jù)庫(kù)中的資料被盜取。
2.3病毒感染
目前,隨著全球信息化的發(fā)展,推動(dòng)了各系統(tǒng)間信息的有效交流。當(dāng)然,信息化時(shí)代在為我們的日常生活和工作帶來(lái)便利的同時(shí),也提升了計(jì)算機(jī)病毒交互感染的可能性。通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的使用情況進(jìn)行分析可以發(fā)現(xiàn),病毒是威脅網(wǎng)絡(luò)數(shù)據(jù)安全的主要因素,它已然成為網(wǎng)絡(luò)數(shù)據(jù)安全的頭號(hào)“敵人”。病毒最顯著的特點(diǎn)就是它具有很強(qiáng)的傳染性,且通常情況下,病毒是編程人員通過(guò)手動(dòng)植入進(jìn)去的。病毒的入侵方式是利用系統(tǒng)之間的信息交互。且病毒還有兩個(gè)很強(qiáng)的特性是寄生性和破壞性,因此,系統(tǒng)管理人員要對(duì)系統(tǒng)進(jìn)行定期的檢查與審核,防止病毒入侵對(duì)系統(tǒng)造成巨大的影響,切實(shí)做好病毒的防范工作,安全殺毒軟件,時(shí)刻保持警惕,防止病毒感染。
2.4缺乏對(duì)賬號(hào)權(quán)限設(shè)置的安全防護(hù)
當(dāng)系統(tǒng)的操作環(huán)境比較安全,網(wǎng)絡(luò)數(shù)據(jù)庫(kù)鮮有非法入侵的情況出現(xiàn),那么網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的用戶就會(huì)逐漸喪失該有的安全意識(shí)。以賬號(hào)及密碼設(shè)置為例進(jìn)行分析,在權(quán)限設(shè)置過(guò)程中,大部分用戶往往通過(guò)修改或禁用的狀態(tài)來(lái)對(duì)其訪問(wèn)權(quán)限進(jìn)行簡(jiǎn)單的設(shè)置,其往往存在較大的安全隱患,其會(huì)導(dǎo)致用戶的賬號(hào)和密碼公開(kāi)在廣大用戶面前。另外,在使用賬號(hào)密碼過(guò)程中,部分用戶缺乏足夠的監(jiān)控力度,導(dǎo)致一些做法無(wú)法順利的滿足數(shù)據(jù)字典的要求。另外,傳統(tǒng)的數(shù)據(jù)庫(kù)設(shè)有專門的安全監(jiān)管人員,但網(wǎng)絡(luò)數(shù)據(jù)庫(kù)并沒(méi)有安全監(jiān)管人員的設(shè)置,所謂的安全監(jiān)管人員是指以網(wǎng)絡(luò)為基礎(chǔ),對(duì)整個(gè)數(shù)據(jù)庫(kù)進(jìn)行管理和維護(hù)。由于安全監(jiān)管人員的缺乏,導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的調(diào)試能力以及執(zhí)行效率相對(duì)缺乏,這對(duì)未來(lái)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的發(fā)展有非常嚴(yán)重的影響。
2.5管理方面的不安全性
在計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)管理過(guò)程中,由于管理人員未嚴(yán)格按照相關(guān)規(guī)范和標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)庫(kù)管理,從而導(dǎo)致各個(gè)環(huán)節(jié)的管理工作存在一定的不安全性。實(shí)際上,強(qiáng)大的數(shù)據(jù)庫(kù)管理系統(tǒng)安全機(jī)制,可以保證數(shù)據(jù)庫(kù)管理工作有條不紊的進(jìn)行,但是我國(guó)大部分的計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)管理未按照要求制定有效的管理規(guī)范和標(biāo)準(zhǔn),同時(shí)一些用戶的防范意識(shí)和安全意識(shí)比較差,相關(guān)管理措施無(wú)法得到有效的落,未按照要求使用數(shù)據(jù)庫(kù)系統(tǒng)默認(rèn)的安全選項(xiàng),從而誘發(fā)一系列的數(shù)據(jù)庫(kù)安全問(wèn)題。另外,管理人員的不安全性主要表現(xiàn)在身份認(rèn)證和權(quán)限控制這兩個(gè)方面,從而導(dǎo)致數(shù)據(jù)庫(kù)本身的漏洞比較嚴(yán)重,容易造成非法用戶的入侵,影響數(shù)據(jù)庫(kù)的安全。
3計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全威脅的具體應(yīng)對(duì)措施
網(wǎng)絡(luò)環(huán)境有其獨(dú)特的性質(zhì),即開(kāi)放性,因此網(wǎng)絡(luò)數(shù)據(jù)庫(kù)遭受到各種各樣的安全威脅在所難免,但針對(duì)性的技術(shù)方案不僅可以有效地提升網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性,而且還能確保數(shù)據(jù)的完整性和一致性。通常情況下,可以把網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全威脅分為兩個(gè)方面,其一是確保網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中的信息能夠合法性存取,其二是確保數(shù)據(jù)庫(kù)內(nèi)容本身的安全性,下面我們就計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全威脅提出具體的應(yīng)對(duì)措施。
3.1用戶身份認(rèn)證
對(duì)于廣大用戶而言,計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境屬于開(kāi)放的環(huán)境,其往往會(huì)面向更多的用戶,并且對(duì)于任何一個(gè)有網(wǎng)絡(luò)數(shù)據(jù)庫(kù)訪問(wèn)需求的用戶都需要按照要求開(kāi)展身份認(rèn)證,從而避免了用戶對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的非法訪問(wèn)。對(duì)于計(jì)算機(jī)數(shù)據(jù)庫(kù)而言,系統(tǒng)登錄設(shè)置可以有效地對(duì)用戶名和密碼的正確與否進(jìn)行驗(yàn)證;對(duì)于數(shù)據(jù)庫(kù)的連接設(shè)置同樣需要對(duì)用戶的身份進(jìn)行驗(yàn)證;而數(shù)據(jù)庫(kù)對(duì)象的設(shè)置則會(huì)按照不同的權(quán)限為每一位用戶進(jìn)行訪問(wèn)權(quán)限的設(shè)置,以保證數(shù)據(jù)庫(kù)信息的安全性、有效性。
3.2數(shù)據(jù)庫(kù)加密
其一般是對(duì)數(shù)據(jù)庫(kù)信息進(jìn)行加密處理,以保證數(shù)據(jù)庫(kù)信息的安全性。這里所提及到的加密通常是在原有數(shù)據(jù)庫(kù)信息的基礎(chǔ)上借助特殊算法進(jìn)行改變,這樣那些非法用戶及時(shí)可以獲取相關(guān)數(shù)據(jù)信息但是如果缺乏相應(yīng)的解密方法,也不會(huì)從中獲取原始信息。實(shí)際上,數(shù)據(jù)庫(kù)加密系統(tǒng)對(duì)加密和解密過(guò)程給予了統(tǒng)一的規(guī)定,它包括三方面的內(nèi)容,即將數(shù)據(jù)信息由可變轉(zhuǎn)化為不可變、加密的數(shù)據(jù)庫(kù)信息需要通過(guò)密鑰解密還獲取信息數(shù)據(jù)的原始信息、算法等。
3.3數(shù)據(jù)備份與恢復(fù)
數(shù)據(jù)的備份和恢復(fù)能夠確保網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中數(shù)據(jù)信息的一致性和完整性,這種方案被廣泛應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中。就目前而言,網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中數(shù)據(jù)備份機(jī)制和恢復(fù)技術(shù)有很多種,其中最常見(jiàn)的有邏輯備份、動(dòng)態(tài)備份和靜態(tài)備份等,常見(jiàn)的數(shù)據(jù)恢復(fù)技術(shù)包括磁盤鏡像、備份文件及在線日志等。
3.4攻擊檢測(cè)和審計(jì)追蹤
實(shí)際上,審計(jì)追蹤通常是對(duì)網(wǎng)絡(luò)用戶的所有網(wǎng)絡(luò)操作進(jìn)行自動(dòng)跟蹤,并把追蹤到的所有數(shù)據(jù)信息進(jìn)行記錄,然后將其保存到相應(yīng)的審計(jì)文件中,方便相關(guān)人員的查閱。同時(shí),攻擊檢測(cè)和審計(jì)追蹤還能夠及時(shí)的查找出網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全威脅的漏洞和弱點(diǎn),有利于進(jìn)一步完善網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性。
3.5建立防火墻。攔截入侵的信息
在計(jì)算機(jī)網(wǎng)絡(luò)中黑客無(wú)處不在,如果我們無(wú)法做到將其完全消除,那么必要的防范措施應(yīng)該做到位,而防火墻這個(gè)保護(hù)工具就很有效。防火墻作為計(jì)算機(jī)網(wǎng)絡(luò)的一道安全屏障,能夠有效的攔截黑客的入侵,避免系統(tǒng)受到黑客的侵害。
3.6啟動(dòng)司法程序?qū)诳腿肭肿肪控?zé)任
黑客的入侵給客戶造成的損失往往是非常巨大的,但是他們卻很少受到相應(yīng)的懲罰,即使有少部分人受到了懲罰也是經(jīng)濟(jì)懲罰,刑事處罰卻很少涉及,由此可以看出,在計(jì)算機(jī)網(wǎng)絡(luò)方面,司法機(jī)制還不夠健全,這也是導(dǎo)致黑客大行其道的重要因素。要想從根本上將黑客入侵網(wǎng)絡(luò)的現(xiàn)象杜絕,最好的方式就是進(jìn)一步完善司法機(jī)制,啟動(dòng)司法程序?qū)诳腿肭肿肪肯鄳?yīng)的責(zé)任。
3.7對(duì)于病毒的防護(hù)
目前,各類殺毒軟件盛行,比如:360安全衛(wèi)士、金山毒霸以及卡巴斯基等,利用殺毒軟件對(duì)計(jì)算機(jī)系統(tǒng)實(shí)行安全防護(hù)是非常有效的手段。殺毒軟件可以對(duì)系統(tǒng)中的各項(xiàng)參數(shù)進(jìn)行實(shí)時(shí)的監(jiān)測(cè)和查殺,從而保證網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全。當(dāng)通過(guò)殺毒軟件監(jiān)測(cè)發(fā)現(xiàn)某個(gè)局部數(shù)據(jù)存在病毒入侵現(xiàn)象時(shí),則需要對(duì)整個(gè)系統(tǒng)進(jìn)行全面的病毒查殺與監(jiān)測(cè),以保證整個(gè)數(shù)據(jù)庫(kù)的安全性,保證其他系統(tǒng)數(shù)據(jù)免受病毒的侵害,從而確保整個(gè)系統(tǒng)可以安全、可靠的運(yùn)行。
3.8提高自身安全防護(hù)性能
計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)之所以可以被暴庫(kù),其主要原因是IIS服務(wù)器將錯(cuò)誤信息發(fā)給了用戶,這些錯(cuò)誤信息中包含了執(zhí)行錯(cuò)誤的情況。因此,為了盡可能地阻止暴庫(kù)情況的發(fā)生,HS服務(wù)器的默認(rèn)設(shè)置應(yīng)該加以調(diào)整,一般情況下是通過(guò)改變數(shù)據(jù)庫(kù)的后綴名來(lái)防止黑客的入侵。雖然這種方式在防止暴庫(kù)上能夠起到一定的作用,但隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,黑客有了更多破解的方式,即使該數(shù)據(jù)庫(kù)文件已經(jīng)進(jìn)行了修改操作,但他們?nèi)匀豢梢酝ㄟ^(guò)破解得到所需要的數(shù)據(jù)信息,并借助相應(yīng)的方式對(duì)其進(jìn)行成功下載。
3.9將“#”字符加至數(shù)據(jù)庫(kù)名稱的前面
篇(3)
4 結(jié)論
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理中,數(shù)據(jù)庫(kù)的安全是重要的一部分,應(yīng)該采取多種保護(hù)措施,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全進(jìn)行保護(hù),有效的防止非法入侵與襲擊,為網(wǎng)路用戶提供一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。
參考文獻(xiàn)
[1] 李林艷.網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)數(shù)據(jù)庫(kù)安全[J].電子世界,2012(14).
篇(4)
1、局域網(wǎng)的安全現(xiàn)狀
隨著計(jì)算機(jī)技術(shù)的的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)也廣泛用于各類企事業(yè)及政府組織等。但同時(shí)網(wǎng)絡(luò)的安全性也是各類用戶都關(guān)心的話題。相對(duì)而言,廣域網(wǎng)的安全防御體系已建立起較完善的防火墻、漏洞掃描、網(wǎng)絡(luò)邊界等方面的防御,并將重要的安全設(shè)施集中于網(wǎng)絡(luò)入口處,通過(guò)嚴(yán)密監(jiān)控,把來(lái)自外網(wǎng)的安全威脅大大降低,而局域網(wǎng)的安全威脅卻日益嚴(yán)重,且安全管理手段也乏善可陳。各類合法或非法用戶通過(guò)與局域網(wǎng)相連接的計(jì)算機(jī)進(jìn)入局域網(wǎng)網(wǎng)絡(luò),這可能給局域網(wǎng)帶來(lái)安全隱患。為病毒侵入網(wǎng)絡(luò)和蔓延創(chuàng)造了條件,導(dǎo)致局域網(wǎng)病毒爆發(fā),網(wǎng)絡(luò)癱瘓,影響了用戶正常使用網(wǎng)絡(luò)或信息丟失。
2、局域網(wǎng)常見(jiàn)的安全威脅
2.1計(jì)算機(jī)病毒
計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼,具有破壞性、復(fù)制性、傳染性、隱蔽性、可觸發(fā)性。隨著社會(huì)信息化的發(fā)展,計(jì)算機(jī)病毒所造成的威脅日益嚴(yán)重。例如:1988年11月美國(guó)康奈爾大學(xué)的學(xué)生莫里斯將其編寫的蠕蟲(chóng)程序輸入計(jì)算機(jī)網(wǎng)絡(luò),致使網(wǎng)絡(luò)堵塞,數(shù)萬(wàn)臺(tái)計(jì)算機(jī)被感染。每次重大計(jì)算機(jī)病毒感染事件都是一次計(jì)算機(jī)界的地震,引起了社會(huì)的巨大反響,也引起了人們恐慌情緒。計(jì)算機(jī)感染計(jì)算機(jī)后,會(huì)造成計(jì)算機(jī)系統(tǒng)運(yùn)行速度減慢、經(jīng)常無(wú)故發(fā)生死機(jī)、文件長(zhǎng)度發(fā)生變化、存儲(chǔ)的容量異常、丟失文件或文件損壞、計(jì)算機(jī)屏幕上出現(xiàn)異常顯示、系統(tǒng)不識(shí)別硬盤等各種異常現(xiàn)象。
2.2使用計(jì)算機(jī)的安全意識(shí)淡薄
用戶在使用計(jì)算機(jī)時(shí)不能做到上網(wǎng)不,不上網(wǎng),用戶使用U盤等移動(dòng)存儲(chǔ)設(shè)備上傳、下載數(shù)據(jù)時(shí),沒(méi)有經(jīng)過(guò)殺毒軟件等檢查程序檢查,就將信息上傳到局域網(wǎng)的電腦上或者將內(nèi)部數(shù)據(jù)帶出局域網(wǎng),給病毒進(jìn)入內(nèi)部局域網(wǎng)提供了可乘之機(jī),增加了數(shù)據(jù)泄密的風(fēng)險(xiǎn)。還有就是用戶的筆記本電腦頻繁切換使用內(nèi)外網(wǎng)的情況很普遍,在未經(jīng)許可的情況下,外網(wǎng)上使用過(guò)的筆記本電腦接入內(nèi)部局域網(wǎng)絡(luò),在不經(jīng)意情況下容易造成外網(wǎng)病毒傳入內(nèi)部局域網(wǎng),甚至導(dǎo)致內(nèi)部重要信息泄露。
2.3局域網(wǎng)管理制度不健全
嚴(yán)格的管理制度是局域網(wǎng)安全的核心保障,但是國(guó)內(nèi)局域網(wǎng)網(wǎng)絡(luò)安全方面皆疏于管理。目前局域網(wǎng)網(wǎng)絡(luò)管理不僅缺乏財(cái)力、物力投入也沒(méi)有足夠的人員儲(chǔ)備;而在局域網(wǎng)相關(guān)技術(shù)和硬件配置方面,普遍采用老式網(wǎng)絡(luò)設(shè)施.難于滿足現(xiàn)在局域網(wǎng)絡(luò)安全管理的要求,也無(wú)法滿足現(xiàn)在經(jīng)濟(jì)的發(fā)展。
3、局域網(wǎng)安全問(wèn)題的解決方案
3.1局域網(wǎng)所處外界環(huán)境的安全
局域網(wǎng)所處環(huán)境的安全是整個(gè)局域網(wǎng)安全的根本,也是整個(gè)網(wǎng)絡(luò)正常運(yùn)行的保證。如果局域網(wǎng)網(wǎng)絡(luò)處在一個(gè)有安全隱患的環(huán)境中,不僅可能造成信息的損失,也可能造成硬件的損壞。外界環(huán)境安全包括設(shè)備軟硬件安全、通信線路安全、運(yùn)行環(huán)境安全等方面。其中保證通信線路的安全可以降低數(shù)據(jù)在線路傳輸上外泄的可能性,可以選擇較好的光纖做為介質(zhì)以防止數(shù)據(jù)在傳輸線路上的外泄。另外做冗余備份線路也是很好的一種避免一條線路出現(xiàn)問(wèn)題時(shí)保證信息暢通的方法。運(yùn)行環(huán)境的安全主要指計(jì)算機(jī)運(yùn)行所處環(huán)境的溫度、灰塵、濕度方面的問(wèn)題,我們要盡量保證網(wǎng)絡(luò)在良好的環(huán)境中運(yùn)行。
3.2操作系統(tǒng)的安全性
現(xiàn)在絕大多數(shù)用戶使用Windows操作系統(tǒng),存在著許多的系統(tǒng)漏洞。操作系統(tǒng)的安全性對(duì)網(wǎng)絡(luò)安全有著很大的威脅,特別是目前大部分網(wǎng)絡(luò)攻擊或計(jì)算機(jī)病毒就是利用操作系統(tǒng)的漏洞進(jìn)行工作的。操作系統(tǒng)的漏洞還表現(xiàn)在配置不當(dāng)上,有些網(wǎng)絡(luò)管理員在操作系統(tǒng)的配置上,出現(xiàn)了一些用戶分配權(quán)限不當(dāng)?shù)膯?wèn)題,導(dǎo)致一些非法用戶能夠進(jìn)入網(wǎng)絡(luò),使網(wǎng)絡(luò)存在不安全的因素。可以通過(guò)打補(bǔ)丁的方法來(lái)提高操作系統(tǒng)的安全性。所以在對(duì)系統(tǒng)的配置上,特別是用戶權(quán)限的問(wèn)題上,不可輕易擴(kuò)大用戶的權(quán)限。
3.3建立防病毒入侵檢測(cè)系統(tǒng)
現(xiàn)在防火墻和入侵檢測(cè)系統(tǒng)已經(jīng)被普遍使用,但是僅依靠防火墻和入侵檢測(cè)系統(tǒng)還不足完全避免網(wǎng)絡(luò)攻擊。近年來(lái)蠕蟲(chóng)、木馬等病毒的威脅日益增長(zhǎng)并侵入到應(yīng)用層面,即使部署了防火墻、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品,網(wǎng)絡(luò)的帶寬利用率缺居高不下,應(yīng)用系統(tǒng)的響應(yīng)速度也越來(lái)越慢。防火墻是網(wǎng)絡(luò)層的安全設(shè)備,不能分析應(yīng)用層協(xié)議數(shù)據(jù)中的攻擊信號(hào),而入侵檢測(cè)系統(tǒng)也不能阻擋。必須采取相應(yīng)的技術(shù)手段來(lái)解決應(yīng)用層的安全威脅,其中入侵防御系統(tǒng)為代表的應(yīng)用層安全設(shè)備,能夠很好的解決應(yīng)用層防御的問(wèn)題。
3.4備份重要數(shù)據(jù)
當(dāng)我們的計(jì)算機(jī)系統(tǒng)出現(xiàn)故障或崩潰時(shí),會(huì)徹底丟失原有系統(tǒng)中的信息。為了數(shù)據(jù)的安全,我們對(duì)系統(tǒng)中的重要數(shù)據(jù)要經(jīng)常做備份處理。一般簡(jiǎn)單的備份只是將相關(guān)數(shù)據(jù)復(fù)制到非系統(tǒng)分區(qū)或者移動(dòng)硬盤上。如果與系統(tǒng)有關(guān)的重要數(shù)據(jù),則需要用引導(dǎo)光盤開(kāi)機(jī)啟動(dòng)GHOST克隆鏡像到非系統(tǒng)分區(qū)。
3.5綜合考慮完善安全方案
在現(xiàn)實(shí)情況中,任何一種安全保護(hù)措施皆不能完全保證網(wǎng)絡(luò)絕對(duì)安全,都有被攻破的可能性。為此需要建立多層保護(hù)系統(tǒng),各層保護(hù)相互結(jié)合,即使一層被破壞時(shí),其余層還能繼續(xù)發(fā)揮保護(hù)功能,可以最大增加信息安全可靠性。基于這種考慮,在日常做安全方案時(shí)應(yīng)考慮使用多重保護(hù)機(jī)制,不應(yīng)該單獨(dú)依賴某一項(xiàng)安全措施或產(chǎn)品,這樣才能最大程度的確保局域網(wǎng)的安全。建立綜合的安全方案后,對(duì)于來(lái)自網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、存儲(chǔ)設(shè)備的信息進(jìn)行分析、過(guò)濾,發(fā)現(xiàn)其中隱藏的安全問(wèn)題,使管理員能夠快速發(fā)現(xiàn)被攻擊設(shè)備和端口,并根據(jù)預(yù)案做出快速的反應(yīng),以保障網(wǎng)絡(luò)安全。
3.6加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)
篇(5)
中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1120075-01
伴隨著低檔無(wú)線網(wǎng)絡(luò)設(shè)備的價(jià)格不斷走低,操作日益簡(jiǎn)便,低檔無(wú)線局域網(wǎng)絡(luò)在近幾年得到了迅速普及。不過(guò),隨著低檔無(wú)線局域網(wǎng)絡(luò)的普及,也給用戶單位的信息安全帶來(lái)不小的威脅。在這種情形下,我們?cè)撊绾尾拍芑獾蜋n無(wú)線網(wǎng)絡(luò)的安全威脅,享受組網(wǎng)的快捷、便利呢?
一、低檔無(wú)線網(wǎng)絡(luò)的安全缺陷
以無(wú)線方式連接到小區(qū)寬帶網(wǎng)絡(luò),并通過(guò)寬帶網(wǎng)絡(luò)進(jìn)行共享訪問(wèn)Internet的組網(wǎng)環(huán)境下,我們只需要先通過(guò)普通雙絞線將低檔無(wú)線路由器的WAN端口與小區(qū)寬帶網(wǎng)絡(luò)的交換端口連接在一起,然后對(duì)無(wú)線路由器的連接端口參數(shù)進(jìn)行合適的設(shè)置,就能上網(wǎng)訪問(wèn)了。然而低檔無(wú)線路由器的信號(hào)覆蓋范圍最遠(yuǎn)可達(dá)300米左右,如果不采取安全措施進(jìn)行防范的話,那么處于300米范圍之內(nèi)安裝了無(wú)線網(wǎng)卡設(shè)備的普通計(jì)算機(jī)都能自動(dòng)加入本地?zé)o線局域網(wǎng)網(wǎng)絡(luò)中,這樣一來(lái)本地?zé)o線局域網(wǎng)就容易遭受非法攻擊。
目前來(lái)看,低檔無(wú)線局域網(wǎng)存在下面一些安全缺陷:
(一)安全機(jī)制不夠健全
低檔無(wú)線局域網(wǎng)大都采用了安全防范性能一般的WEP協(xié)議,普通用戶即使采用了WEP加密協(xié)議、進(jìn)行了WEP密鑰設(shè)置,非法攻擊者仍然能通過(guò)一些專業(yè)的攻擊工具破解加密信號(hào),從而輕易截取客戶上網(wǎng)地址、網(wǎng)絡(luò)標(biāo)識(shí)、無(wú)線頻道信息、WEP密鑰內(nèi)容等信息,有了這些信息,非法攻擊者就能方便地對(duì)本地?zé)o線局域網(wǎng)絡(luò)進(jìn)行非法入侵操作了。
此外,低檔無(wú)線局域網(wǎng)幾乎都不支持系統(tǒng)日志管理、入侵安全檢測(cè)等功能,安全機(jī)制不夠健全。
(二)無(wú)法進(jìn)行物理隔離
低檔無(wú)線局域網(wǎng)從組建成功的那一刻,就直接暴露在外界,無(wú)線網(wǎng)絡(luò)訪問(wèn)也無(wú)法進(jìn)行任何有效的物理隔離,各種有意的、無(wú)意的非法攻擊隨時(shí)存在,那么無(wú)線局域網(wǎng)中的各種隱私信息也會(huì)隨時(shí)被偷偷竊取、訪問(wèn)。
(三)用戶安全意識(shí)不夠
低檔無(wú)線局域網(wǎng)往往只支持簡(jiǎn)單的地址綁定、地址過(guò)濾以及加密傳輸功能,這些基本安全功能在非法攻擊者面前幾乎沒(méi)有多大防范作用。再加上用戶不熟悉無(wú)線網(wǎng)絡(luò)技術(shù),對(duì)網(wǎng)絡(luò)安全知識(shí)了解甚少,在使用無(wú)線網(wǎng)絡(luò)的過(guò)程中很少有意識(shí)去進(jìn)行一些安全設(shè)置操作。
(四)抗外界干擾能力差
無(wú)線局域網(wǎng)在工作的過(guò)程中,往往會(huì)選用一個(gè)特定的工作頻段,在相同的工作頻段內(nèi)無(wú)線網(wǎng)絡(luò)過(guò)多時(shí),信號(hào)覆蓋范圍會(huì)互相重疊,嚴(yán)重影響有效信號(hào)的強(qiáng)弱,最終會(huì)影響無(wú)線局域網(wǎng)的信號(hào)傳輸穩(wěn)定性;此外,無(wú)線上網(wǎng)信號(hào)在傳輸過(guò)程中,特別容易受到墻體之類的建筑物的阻擋或干擾,這樣也會(huì)對(duì)無(wú)線局域網(wǎng)的穩(wěn)定性造成一定的影響。對(duì)于那些低檔的無(wú)線局域網(wǎng)來(lái)說(shuō),它的抗外界干擾能力就更差了,顯然這樣的無(wú)線局域網(wǎng)是無(wú)法滿足高質(zhì)量網(wǎng)絡(luò)訪問(wèn)應(yīng)用要求的。
二、組網(wǎng)便利下的安全威脅
(一)造成隱私信息外泄
有時(shí)上網(wǎng)用戶為了方便工作,會(huì)在不經(jīng)意間將單位的重要隱私信息或核心工作信息通過(guò)移動(dòng)設(shè)備掛上無(wú)線局域網(wǎng)網(wǎng)絡(luò)中,這樣無(wú)形之中就容易發(fā)生重要隱私信息外泄的危險(xiǎn),嚴(yán)重的時(shí)候能夠給單位或個(gè)人造成巨大的經(jīng)濟(jì)損失。
(二)降低內(nèi)網(wǎng)安全能力
單位無(wú)線局域網(wǎng)附近有時(shí)還會(huì)存在一些家用無(wú)線局域網(wǎng)或者其他單位的無(wú)線局域網(wǎng),在這種情形下,單位中任何一臺(tái)安裝了無(wú)線網(wǎng)卡設(shè)備的筆記本電腦都有可能自動(dòng)連接到其他單位的無(wú)線局域網(wǎng)中,如此一來(lái)就容易發(fā)生這個(gè)單位的無(wú)線局域網(wǎng)與其他單位的無(wú)線局域網(wǎng)直接互聯(lián)的現(xiàn)象,甚至可能出現(xiàn)單位無(wú)線局域網(wǎng)直接與Internet網(wǎng)絡(luò)互聯(lián)的現(xiàn)象,這些現(xiàn)象會(huì)降低單位內(nèi)網(wǎng)安全防范能力,給單位造成嚴(yán)重的安全后果。
(三)危及信息系統(tǒng)安全
一些規(guī)模較小的單位很可能出于技術(shù)、成本等因素,選用一些價(jià)格低廉、質(zhì)量低劣的無(wú)線網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)升級(jí)、信息點(diǎn)的延伸,由這些網(wǎng)絡(luò)設(shè)備搭建而成的網(wǎng)絡(luò)將會(huì)天然暴露在外界,無(wú)線網(wǎng)絡(luò)訪問(wèn)無(wú)法做到有效的物理隔離,那樣一來(lái)單位的信息系統(tǒng)安全將會(huì)隨時(shí)受到危及。
三、化解無(wú)線網(wǎng)絡(luò)安全威脅
雖然低檔無(wú)線局域網(wǎng)容易給我們帶來(lái)各種意想不到的安全威脅,不過(guò)對(duì)于那些對(duì)安全性要求不是很高的小規(guī)模單位來(lái)說(shuō),仍然可以選用低檔的無(wú)線局域網(wǎng),前提是通過(guò)制定有效的安防措施將低檔次無(wú)線局域網(wǎng)的安全威脅降到最低限度,讓小規(guī)模單位用戶也能享受組網(wǎng)便利。
(一)做好企業(yè)無(wú)線網(wǎng)絡(luò)的安全狀態(tài)檢查
我們應(yīng)該定期對(duì)單位的內(nèi)網(wǎng)、外網(wǎng)使用情況以及核心網(wǎng)絡(luò)設(shè)備的工作狀態(tài)進(jìn)行詳細(xì)檢查,并做好檢查記錄。同時(shí),還應(yīng)該加大力度對(duì)單位無(wú)線局域網(wǎng)附近區(qū)域的無(wú)線網(wǎng)絡(luò)工作環(huán)境進(jìn)行動(dòng)態(tài)監(jiān)測(cè),對(duì)單位的網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行評(píng)估以及審計(jì);此外,對(duì)于涉及到處于單位核心信息以及進(jìn)行重要網(wǎng)絡(luò)應(yīng)用的工作場(chǎng)所,應(yīng)該采取電磁屏蔽等手段,來(lái)阻止非法網(wǎng)絡(luò)入侵或攻擊。
(二)重視對(duì)使用者安全防范意識(shí)的培養(yǎng)
單位負(fù)責(zé)人必須準(zhǔn)備相應(yīng)的網(wǎng)絡(luò)安全資料,在單位定期開(kāi)展無(wú)線上網(wǎng)安全知識(shí)的宣傳、培訓(xùn),以強(qiáng)化每一位無(wú)線上網(wǎng)用戶的安全防范意識(shí),同時(shí)有針對(duì)性地進(jìn)行網(wǎng)絡(luò)安全專項(xiàng)整治工作,保證單位所有員工都能在思想上高度重視無(wú)線網(wǎng)絡(luò)安全工作。
(三)制定嚴(yán)格的無(wú)線網(wǎng)絡(luò)管理規(guī)章制度
單位負(fù)責(zé)人要對(duì)無(wú)線網(wǎng)絡(luò)設(shè)備的使用做出合理的規(guī)定,對(duì)無(wú)線上網(wǎng)用戶進(jìn)行合理管理,統(tǒng)一規(guī)范無(wú)線網(wǎng)絡(luò)設(shè)備的工作模式以及安全設(shè)置,明確上網(wǎng)用戶的使用范圍和訪問(wèn)權(quán)限;例如,禁止保存有重要單位信息的筆記本電腦連接到無(wú)線局域網(wǎng)中,禁止隨意在無(wú)線局域網(wǎng)中進(jìn)行共享訪問(wèn)等。
相信在認(rèn)識(shí)到低檔無(wú)線局域網(wǎng)存在的種種安全威脅后,我們只要采取有效的安全措施進(jìn)行防范,還是能夠保障無(wú)線網(wǎng)絡(luò)的安全運(yùn)行,讓低檔無(wú)線局域網(wǎng)也能很好地為我們提供服務(wù)。
篇(6)
以無(wú)線方式連接到小區(qū)寬帶網(wǎng)絡(luò),并通過(guò)寬帶網(wǎng)絡(luò)進(jìn)行共享訪問(wèn)Internet的組網(wǎng)環(huán)境下,我們往往只要先通過(guò)普通雙絞線將低檔無(wú)線路由器的WAN端口與小區(qū)寬帶網(wǎng)絡(luò)的交換端口連接在一起,然后參照說(shuō)明書(shū)對(duì)無(wú)線路由器的連接端口參數(shù)進(jìn)行合適的設(shè)置,就能上網(wǎng)訪問(wèn)了。由于在默認(rèn)狀態(tài)下,低檔無(wú)線路由器會(huì)自動(dòng)啟用DHCP服務(wù)功能,當(dāng)我們將無(wú)線網(wǎng)卡設(shè)備正確地安裝到普通計(jì)算機(jī)上后,不需要進(jìn)行任何參數(shù)設(shè)置就能自動(dòng)連接到無(wú)線局域網(wǎng)網(wǎng)絡(luò)中了。然而在享受組網(wǎng)便利的同時(shí),低檔次無(wú)線路由器的信號(hào)覆蓋范圍最遠(yuǎn)可達(dá)到300米左右,要是不采取安全措施進(jìn)行防范的話,那么處于300米范圍之內(nèi)安裝了無(wú)線網(wǎng)卡設(shè)備的普通計(jì)算機(jī)都能自動(dòng)加入本地?zé)o線局域網(wǎng)網(wǎng)絡(luò)中,那樣一來(lái)本地?zé)o線局域網(wǎng)就容易遭遇非法攻擊。
從目前來(lái)看,組建方便的低檔次無(wú)線局域網(wǎng)存在下面一些安全弊病:
1 安全機(jī)制不太健全
低檔次無(wú)線局域網(wǎng)大部分都采用了安全防范性能一般的WEP協(xié)議,來(lái)對(duì)無(wú)線上網(wǎng)信號(hào)進(jìn)行加密傳輸。而沒(méi)有選用安全性能較高的WAP協(xié)議來(lái)保護(hù)無(wú)線信號(hào)的傳輸。普通上網(wǎng)用戶即使采用了WEP加密協(xié)議、進(jìn)行了WEP密鑰設(shè)置,非法攻擊者仍然能通過(guò)一些專業(yè)的攻擊工具輕松破解加密信號(hào),從而非常容易地截取客戶上網(wǎng)地址、網(wǎng)絡(luò)標(biāo)識(shí)名稱、無(wú)線頻道信息、WEP密鑰內(nèi)容等信息,有了這些信息在手,非法攻擊者就能方便地對(duì)本地?zé)o線局域網(wǎng)網(wǎng)絡(luò)進(jìn)行偷竊隱私或其他非法入侵操作了。
此外,低檔次無(wú)線局域網(wǎng)幾乎都不支持系統(tǒng)日志管理、入侵安全檢測(cè)等功能,可以這么說(shuō)低檔次無(wú)線局域網(wǎng)目前的安全機(jī)制還不太健全。
2 無(wú)法進(jìn)行物理隔離
低檔次無(wú)線局域網(wǎng)從組建成功的那一刻,就直接暴露在外界,無(wú)線網(wǎng)絡(luò)訪問(wèn)也無(wú)法進(jìn)行任何有效的物理隔離,各種有意的、無(wú)意的非法攻擊隨時(shí)存在,那么無(wú)線局域網(wǎng)中的各種隱私信息也會(huì)隨時(shí)被偷偷竊取、訪問(wèn)。
3 用戶安全意識(shí)不夠
低檔次無(wú)線局域網(wǎng)往往只支持簡(jiǎn)單的地址綁定、地址過(guò)濾以及加密傳輸功能,這些基本安全功能在非法攻擊者面前幾乎沒(méi)有多大防范作用。不過(guò),一些不太熟悉無(wú)線網(wǎng)絡(luò)知識(shí)的用戶為了能夠快速地實(shí)現(xiàn)移動(dòng)辦公、資源共享等目的,往往會(huì)毫不猶豫地選用組網(wǎng)成本低廉、管理維護(hù)操作簡(jiǎn)便的低檔次無(wú)線局域網(wǎng),至于無(wú)線局域網(wǎng)的安全性能究竟如何,相信這些初級(jí)上網(wǎng)用戶幾乎不會(huì)進(jìn)行任何考慮。再加上這些不太熟悉無(wú)線網(wǎng)絡(luò)知識(shí)的初級(jí)用戶,對(duì)網(wǎng)絡(luò)安全知識(shí)了解得更少了,這些用戶在使用無(wú)線網(wǎng)絡(luò)的過(guò)程中很少有意識(shí)去進(jìn)行一些安全設(shè)置操作。
4 抗外界干擾能力差
無(wú)線局域網(wǎng)在工作的過(guò)程中,往往會(huì)選用一個(gè)特定的工作頻段,在相同的工作頻段內(nèi)無(wú)線網(wǎng)絡(luò)過(guò)多時(shí),信號(hào)覆蓋范圍會(huì)互相重疊,這樣會(huì)嚴(yán)重影響有效信號(hào)的強(qiáng)弱,最終可能會(huì)影響無(wú)線局域網(wǎng)的信號(hào)傳輸穩(wěn)定性:此外。無(wú)線上網(wǎng)信號(hào)在傳輸過(guò)程中,特別容易受到墻體之類的建筑物的阻擋或干擾,這樣也會(huì)對(duì)無(wú)線局域網(wǎng)的穩(wěn)定性造成一定的影響。對(duì)于那些低檔次的無(wú)線局域網(wǎng)來(lái)說(shuō),它的抗外界干擾能力就更差了,顯然這樣的無(wú)線局域網(wǎng)是無(wú)法滿足高質(zhì)量網(wǎng)絡(luò)訪問(wèn)應(yīng)用要求的。
二、組網(wǎng)便利下的安全威脅
既然低檔次無(wú)線局域網(wǎng)存在上述一些安全弊病,這些弊病要是突然發(fā)作起來(lái)或被非法攻擊者利用的話,那么就可能給我們帶來(lái)不小的安全威脅:
1 造成隱私信息外泄
有的時(shí)候,不少無(wú)線局域網(wǎng)上網(wǎng)用戶為了方便工作,往往會(huì)在不經(jīng)意間將單位的重要隱私信息或核心工作信息,甚至將一些屬于絕密范疇的信息通過(guò)移動(dòng)設(shè)備掛上無(wú)線局域網(wǎng)網(wǎng)絡(luò)中,這樣無(wú)形之中就容易發(fā)生重要隱私信息外泄的危險(xiǎn),嚴(yán)重的時(shí)候能夠給單位或個(gè)人造成巨大的經(jīng)濟(jì)損失。
2 降低內(nèi)網(wǎng)安全能力
單位無(wú)線局域網(wǎng)附近有時(shí)還會(huì)存在一些家用無(wú)線局域網(wǎng)或者其他單位的無(wú)線局域網(wǎng),這些無(wú)線局域網(wǎng)常常會(huì)用于移動(dòng)辦公或共享訪問(wèn)Internet網(wǎng)絡(luò)的,這些無(wú)線網(wǎng)絡(luò)的使用者大多沒(méi)有足夠的安全防范意識(shí),并且他們應(yīng)用無(wú)線網(wǎng)絡(luò)的要求不是很高,也用不著對(duì)無(wú)線上網(wǎng)進(jìn)行一些安全設(shè)置操作。在這種情形下,單位中任何一臺(tái)安裝了無(wú)線網(wǎng)卡設(shè)備的筆記本電腦都有可能自動(dòng)連接到其他單位的無(wú)線局域網(wǎng)中,如此一來(lái)就容易發(fā)生這個(gè)單位的無(wú)線局域網(wǎng)與其他單位的無(wú)線局域網(wǎng)直接互聯(lián)的現(xiàn)象,甚至可能出現(xiàn)單位無(wú)線局域網(wǎng)直接與Internet網(wǎng)絡(luò)互聯(lián)的現(xiàn)象。這些現(xiàn)象明顯會(huì)降低單位內(nèi)網(wǎng)安全防范能力。容易給單位造成嚴(yán)重的安全后果。
3 危及信息系統(tǒng)安全
考慮到低檔次無(wú)線局域網(wǎng)組網(wǎng)成本低廉,不需要進(jìn)行復(fù)雜布線,管理維護(hù)也很方便,要是安全意識(shí)不到位,那么一些規(guī)模較小的單位很可能出于技術(shù)、成本等因素,來(lái)選用一些價(jià)格低廉、質(zhì)量低劣的無(wú)線網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)升級(jí)、信息點(diǎn)的延伸,由這些網(wǎng)絡(luò)設(shè)備搭建而成的網(wǎng)絡(luò)將會(huì)天然暴露在外界,無(wú)線網(wǎng)絡(luò)訪問(wèn)無(wú)法做到有效的物理隔離,那樣一來(lái)單位的信息系統(tǒng)安全將會(huì)隨時(shí)受到危及。
三、化解無(wú)線網(wǎng)絡(luò)安全威脅
雖然低檔次無(wú)線局域網(wǎng)容易給我們帶來(lái)各種意想不到的安全威脅,會(huì)給單位的信息系統(tǒng)造成不小的安全隱患,不過(guò)對(duì)于那些對(duì)安全性要求不是很高的小規(guī)模單位來(lái)說(shuō),仍然可以選用低檔次的無(wú)線局域網(wǎng),畢竟這種類型的組網(wǎng)成本非常低廉,更為重要的是通過(guò)制定有效的措施完全可以將低檔次無(wú)線局域網(wǎng)的安全威脅降到最低限度,讓規(guī)模不大的單位用戶也能盡情地享受組網(wǎng)便利。
1 向檢查要安全
為了隨時(shí)了解單位無(wú)線網(wǎng)絡(luò)的安全狀態(tài),我們應(yīng)該定期對(duì)單位的內(nèi)網(wǎng)、外網(wǎng)使用情況以及核心網(wǎng)絡(luò)設(shè)備的工作狀態(tài)進(jìn)行詳細(xì)檢查,并做好詳細(xì)的檢查記錄。與此同時(shí),我們還應(yīng)該加大力度對(duì)單位無(wú)線局域網(wǎng)附近區(qū)域的無(wú)線網(wǎng)絡(luò)工作環(huán)境進(jìn)行動(dòng)態(tài)監(jiān)測(cè),一定的時(shí)候還需要對(duì)單位的網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行評(píng)估以及審計(jì):此外,對(duì)于涉及到處于單位核心隱私信息以及進(jìn)行重要網(wǎng)絡(luò)應(yīng)用的工作場(chǎng)所,應(yīng)該及時(shí)采取電磁屏蔽等手段,來(lái)阻止非法網(wǎng)絡(luò)入侵或攻擊。
2 向宣傳要安全
由于低檔次無(wú)線局域網(wǎng)很容易影響到單位內(nèi)部網(wǎng)絡(luò)的使用安全性,為此單位負(fù)責(zé)人必須準(zhǔn)備好豐富齊全的網(wǎng)絡(luò)安全資料,在單位上、下定期開(kāi)展無(wú)線上網(wǎng)安全知識(shí)的宣傳、培訓(xùn),以便強(qiáng)化每一位無(wú)線上網(wǎng)用戶的安全防范意識(shí),同時(shí)有必要針對(duì)性地進(jìn)行網(wǎng)絡(luò)安全專項(xiàng)整治工作,保證單位所有員工都能在思想上高度重視無(wú)線網(wǎng)絡(luò)安全工作。
篇(7)
隨著信息化的不斷擴(kuò)展,各類網(wǎng)絡(luò)版應(yīng)用軟件推廣應(yīng)用,計(jì)算機(jī)網(wǎng)絡(luò)在提高數(shù)據(jù)傳輸效率,實(shí)現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來(lái)越重要的作用,網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已逐步成為各項(xiàng)工作的重要基礎(chǔ)設(shè)施。為了確保各項(xiàng)工作的安全高效運(yùn)行,保證網(wǎng)絡(luò)信息安全以及網(wǎng)絡(luò)硬件及軟件系統(tǒng)的正常順利運(yùn)轉(zhuǎn)是基本前提,因此計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)安全建設(shè)就顯得尤為重要。
一、局域網(wǎng)安全現(xiàn)狀
隨著網(wǎng)絡(luò)應(yīng)用的普及,人們對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)也日益深入,廣域網(wǎng)絡(luò)已有了相對(duì)完善的安全防御體系,防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界方面的防御,重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處,在這些設(shè)備的嚴(yán)密監(jiān)控下,來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。但是這些產(chǎn)品有一個(gè)共同點(diǎn):防外不防內(nèi)。相反來(lái)自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅缺乏必要的安全管理措施,安全威脅較大。目前,局域網(wǎng)絡(luò)安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn),而系統(tǒng)在使用和管理過(guò)程的疏漏增加了安全問(wèn)題的嚴(yán)重程度。
二、局域網(wǎng)安全威脅分析
局域網(wǎng)(LAN)是指在小范圍內(nèi)由服務(wù)器和多臺(tái)電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過(guò)交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)每一臺(tái)電腦,因此局域網(wǎng)內(nèi)信息的傳輸速率比較高,同時(shí)局域網(wǎng)采用的技術(shù)比較簡(jiǎn)單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類:
(1)欺騙性的軟件使數(shù)據(jù)安全性降低。網(wǎng)絡(luò)釣魚(yú)攻擊是指利用欺騙性的電子郵件和偽造的WEB站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng),受騙者往往會(huì)泄露自己的用戶名,口令,ID、信用卡號(hào)等敏感數(shù)據(jù)。詐騙者通常會(huì)偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌。網(wǎng)絡(luò)釣魚(yú)攻擊的主要方法有:發(fā)送電子郵件,以虛假信息引誘用戶中圈套;建立假冒網(wǎng)上銀行,網(wǎng)上證券網(wǎng)站,騙取用戶帳號(hào)、密碼實(shí)施盜竊;利用虛假的電子商務(wù)進(jìn)行詐騙;利用木馬和黑客技術(shù)等手段竊取用戶信息后實(shí)施盜竊活動(dòng);利用用戶弱口令等漏洞破解、猜測(cè)用戶帳號(hào)和密碼;使用欺騙性的超鏈接。(2)計(jì)算機(jī)病毒及惡意代碼的威脅。由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁,或未及時(shí)更新防病毒軟件的病毒庫(kù)而造成計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊,正是利用了用戶的這個(gè)弱點(diǎn)。越是網(wǎng)絡(luò)應(yīng)用水平高,共享資源訪問(wèn)頻繁的環(huán)境中,計(jì)算機(jī)病毒的蔓延速度就會(huì)越快。惡意代碼(malicious code)是一種程序,它通過(guò)把代碼在不被察覺(jué)的情況下鑲嵌到另一段程序中,從而達(dá)到破壞被感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。(3)黑客攻擊。黑客們的攻擊行動(dòng)是無(wú)時(shí)無(wú)刻不在進(jìn)行的,而且會(huì)利用系統(tǒng)和管理上的一切可能利用的漏洞。公開(kāi)服務(wù)器存在漏洞的一個(gè)典型例證,是黑客可以輕易地騙過(guò)服務(wù)器,得到系統(tǒng)的口令文件并將之送回。黑客侵入服務(wù)器后,有可能修改特權(quán),從普通用戶變?yōu)楦呒?jí)用戶,一旦成功,黑客可以直接進(jìn)入口令文件。(4)非授權(quán)訪問(wèn)。利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限,對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用,以達(dá)到占用合法用戶資源的目的。(5)主機(jī)系統(tǒng)中存在許多安全漏洞。網(wǎng)絡(luò)中存在大量不同操作系統(tǒng)的主機(jī)如unix、Windows 2000SERVER、windows xp、windows 98。這些操作系統(tǒng)自身也存在許多安全漏洞。(6)服務(wù)器區(qū)域沒(méi)有進(jìn)行獨(dú)立防護(hù)。局域網(wǎng)的數(shù)據(jù)傳遞速度快,造就了病毒感染的直接性和快速性,如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù),其中一臺(tái)電腦感染病毒,并且通過(guò)服務(wù)器進(jìn)行信息傳遞,就會(huì)感染服務(wù)器,這樣局域網(wǎng)中任何一臺(tái)通過(guò)服務(wù)器信息傳遞的電腦,就有可能會(huì)感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對(duì)外來(lái)攻擊,但無(wú)法抵擋來(lái)自局域網(wǎng)內(nèi)部的攻擊。(7)IP地址沖突。對(duì)于局域網(wǎng)來(lái)講,此類IP地址沖突的問(wèn)題會(huì)經(jīng)常出現(xiàn),用戶規(guī)模越大,查找工作就越困難,所以網(wǎng)絡(luò)管理員必須加以解決。(8)局域網(wǎng)用戶安全意識(shí)不強(qiáng)。許多用戶使用移動(dòng)存儲(chǔ)設(shè)備來(lái)進(jìn)行數(shù)據(jù)的傳遞,經(jīng)常將外部數(shù)據(jù)不經(jīng)過(guò)必要的安全檢查通過(guò)移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部局域網(wǎng),同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng),這給木馬、蠕蟲(chóng)等病毒的進(jìn)入提供了方便同時(shí)增加了數(shù)據(jù)泄密的可能性。長(zhǎng)期的安全攻擊事件分析證明,很多攻擊事件是由于人員的安全意識(shí)薄弱,無(wú)意中觸發(fā)了黑客設(shè)下的機(jī)關(guān)、打開(kāi)了帶有惡意攻擊企圖的郵件或網(wǎng)頁(yè)造成的。(9)管理中存在的問(wèn)題。管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)(如內(nèi)部人員的違規(guī)操作等),無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí),當(dāng)事故發(fā)生后,也無(wú)法提供黑客攻擊行為的追蹤線索及破案依據(jù),即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。
三、局域網(wǎng)安全控制與病毒防治策略
3.1加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)
篇(8)
1.引言
無(wú)線通信技術(shù)的發(fā)展推動(dòng)了無(wú)線網(wǎng)絡(luò)的快速發(fā)展,無(wú)線局域網(wǎng)在推出之后得到了快速普及。無(wú)線局域網(wǎng)采用無(wú)線傳輸媒介進(jìn)行通信,擺脫了線纜的束縛,打破了地域和客觀條件的制約,具有靈活性、移動(dòng)性強(qiáng),成本低,吞吐量高的特點(diǎn)。隨著個(gè)人通信的發(fā)展,無(wú)線局域網(wǎng)已經(jīng)掀起了移動(dòng)計(jì)算的新浪潮并在社會(huì)生活的方方面面得到了廣泛的應(yīng)用。
然而,無(wú)線局域網(wǎng)在帶來(lái)便利的同時(shí)卻給整個(gè)網(wǎng)絡(luò)帶來(lái)了巨大的安全威脅。無(wú)線局域網(wǎng)信號(hào)在自由空間中進(jìn)行傳輸,無(wú)法像有線網(wǎng)絡(luò)一樣通過(guò)對(duì)傳輸媒介的接入控制來(lái)保證數(shù)據(jù)不會(huì)被惡意竊聽(tīng)并獲取。所以無(wú)線局域網(wǎng)面臨一系列的安全問(wèn)題。首先,由于移動(dòng)終端與網(wǎng)絡(luò)之間的無(wú)線接口是開(kāi)放性的,使得在無(wú)線信道上傳送的信令和業(yè)務(wù)消息很容易被他人竊聽(tīng),且很難被發(fā)現(xiàn)。其次,移動(dòng)終端與網(wǎng)絡(luò)之間缺乏固定的物理連接,用戶必須通過(guò)無(wú)線信道來(lái)傳送其身份信息,身份認(rèn)證機(jī)制不完善。因此,無(wú)線局域網(wǎng)必須采取更嚴(yán)密的安全措施以確保通信安全。
無(wú)線局域網(wǎng)安全分為身份認(rèn)證和數(shù)據(jù)傳輸安全兩大塊,有關(guān)無(wú)線局域網(wǎng)的安全策略也是圍繞這兩方面進(jìn)行分析和設(shè)計(jì)。文獻(xiàn)[4]中提出的安全方案需要改動(dòng)WLAN基礎(chǔ)設(shè)施來(lái)保障身份認(rèn)證。文獻(xiàn)[5]中的安全方案基于對(duì)稱密碼體制的第三方認(rèn)證來(lái)解決身份認(rèn)證和密碼協(xié)商。文獻(xiàn)[6]提出了基于IPSec的解決方案。本文提出了基于OSI模型層次化的WLAN安全策略,在物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和應(yīng)用層分別采取了相應(yīng)的安全措施,能夠最大限度地保障無(wú)線局域網(wǎng)通信安全。
2.WLAN 物理層協(xié)議及MAC協(xié)議
IEEE 802.11x WLAN 的物理層定義了數(shù)據(jù)傳輸?shù)男盘?hào)特征和調(diào)制方式:射頻(RF)和紅外線(IR)傳輸。RF分為直接序列擴(kuò)頻(DSSS)和跳頻擴(kuò)頻(FHSS)兩種傳輸方式。DSSS采用擴(kuò)展的冗余編碼方式進(jìn)行數(shù)據(jù)傳輸,通過(guò)用高碼率的擴(kuò)頻碼序列與數(shù)據(jù)信號(hào)相乘實(shí)現(xiàn)擴(kuò)頻。FHSS系統(tǒng)中發(fā)射機(jī)的載波頻率在一個(gè)預(yù)定集合(2.4G一2.483G)中隨時(shí)跳變,接收方和發(fā)送方事先協(xié)商跳頻模式。
IEEE 802.11的數(shù)據(jù)鏈路層由邏輯鏈路控制子層(LLC)和介質(zhì)訪問(wèn)控制子層(MAC)組成。IEEE 802.11使用和IEEE 802.3完全相同的LLC子層,并且與IEEE 802協(xié)議中所規(guī)定的使用48位MAC地址要求完全相同。IEEE 802.11 MAC層的幀格式由幀頭(MAC Header)、幀實(shí)體(Frame Body)和錯(cuò)誤檢查碼(FCS)共同構(gòu)成。幀頭包括幀控制(Frame Control)、持續(xù)時(shí)間(Duration / ID)、地址信息(Address)和順序控制(Sequence Control)等字段,如圖1所示。
圖1:無(wú)線局域網(wǎng)幀頭結(jié)構(gòu)
3.層次化的無(wú)線局域網(wǎng)安全策略
3.1 無(wú)線局域網(wǎng)安全技術(shù)及其缺陷
SSID (服務(wù)配置標(biāo)識(shí)符) 用來(lái)標(biāo)識(shí)無(wú)線局域網(wǎng),無(wú)線AP默認(rèn)定時(shí)進(jìn)行SSID廣播,黑客利用偵測(cè)軟件可以輕易獲得SSID。無(wú)線AP中存有合法MAC地址列表,管理員通過(guò)手工維護(hù)合法MAC列表可控制無(wú)線終端的訪問(wèn)權(quán)限。但是攻擊者通過(guò)無(wú)線偵聽(tīng)即可獲取合法的MAC地址并非法接入。WEP在鏈路層采用RC4對(duì)稱加密技術(shù),它將密鑰擴(kuò)展成任意長(zhǎng)度的偽隨機(jī)位“密鑰流”,該算法的缺陷是:如果對(duì)兩個(gè)不同的消息使用相同的IV和密鑰進(jìn)行加密,則可完全破解兩個(gè)消息的信息。同時(shí),如果通過(guò)無(wú)線偵聽(tīng)收集到包含特定IV密鑰的分組信息并對(duì)其進(jìn)行解析,那么連通用密鑰也可被破解出來(lái)。WAPI協(xié)議分為WAI和WPI兩部分,分別實(shí)現(xiàn)對(duì)用戶身份的鑒別和對(duì)傳輸?shù)臄?shù)據(jù)加密。由于WAPI與原有WiFi標(biāo)準(zhǔn)存在較大差異,在設(shè)備兼容方面存在問(wèn)題。所以WAPI標(biāo)準(zhǔn)仍在推廣之中,并沒(méi)有應(yīng)用到現(xiàn)有的無(wú)線局域網(wǎng)之中。
WLAN所面臨的安全威脅分為被動(dòng)攻擊和主動(dòng)攻擊兩大類。被動(dòng)攻擊是對(duì)WLAN信號(hào)的竊聽(tīng)或干擾,主動(dòng)攻擊則是對(duì)WLAN進(jìn)行非法接入并篡改網(wǎng)絡(luò)設(shè)置等活動(dòng)。為部署更安全的無(wú)線局域網(wǎng),必須完善無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全策略,在OSI網(wǎng)絡(luò)模型之上進(jìn)行嚴(yán)格把關(guān),在無(wú)線設(shè)備和終端之間建立多層次的保護(hù)機(jī)制,從根本上做到防止非法用戶接入WLAN,并保證數(shù)據(jù)在傳輸過(guò)程中安全、保密。
3.2 層次化的無(wú)線局域網(wǎng)安全策略
無(wú)線局域網(wǎng)的安全貫穿網(wǎng)絡(luò)架構(gòu)、使用和維護(hù)的整個(gè)過(guò)程,單層次的安全技術(shù)并不能保證無(wú)線通信的絕對(duì)安全,一個(gè)設(shè)計(jì)良好,架構(gòu)完整的無(wú)線局域網(wǎng)安全方案應(yīng)該基于OSI參考模型,以分層方式整合多種不同的安全措施,以最大限度來(lái)確保無(wú)線局域網(wǎng)的通信安全。
考慮到WLAN物理層的安全,在架構(gòu)WLAN時(shí),通過(guò)專用審計(jì)儀器測(cè)量架設(shè)環(huán)境,確定AP的最佳位置,控制發(fā)散區(qū),盡量減少無(wú)線信號(hào)泄露到網(wǎng)絡(luò)范圍以外的區(qū)域。當(dāng)網(wǎng)絡(luò)中存在多個(gè)AP時(shí),調(diào)整各AP的工作頻道,最大限度的減少干擾。
WLAN數(shù)據(jù)鏈路層的安全重點(diǎn)是對(duì)無(wú)線設(shè)備合理高效的應(yīng)用。在WLAN中,啟用AP的MAC地址過(guò)濾功能。啟用WPA或WEP加密,選擇104或40位(一些舊設(shè)備不支持104位)加密密鑰。
圖2:無(wú)線局域網(wǎng)安全構(gòu)架
在配置無(wú)線AP時(shí),將SSID設(shè)置為長(zhǎng)而復(fù)雜的字符并關(guān)閉SSID廣播功能,在AP中設(shè)置最大長(zhǎng)度的共享密鑰并定期更改密鑰,將WLAN的地址分配設(shè)置為靜態(tài)手工分配。同時(shí)應(yīng)采用IPSec的嵌套通道來(lái)構(gòu)造VPN的安全通信,以確保WLAN網(wǎng)絡(luò)層的安全。
應(yīng)用層的安全至關(guān)重要。在客戶無(wú)線終端和無(wú)線網(wǎng)絡(luò)間建立VPN(虛擬專用網(wǎng))連接,在無(wú)線終端和VPN網(wǎng)關(guān)之間建立一對(duì)一的安全連接。同時(shí)在WLAN中架設(shè)RADIUS(Remote Authentication Dial-In User Service)服務(wù)器,對(duì)系統(tǒng)的遠(yuǎn)程連接進(jìn)行身份驗(yàn)證、為網(wǎng)絡(luò)資源提供授權(quán)并記錄日志。此外,應(yīng)該在客戶終端中安裝個(gè)人防火墻并在WLAN中架設(shè)入侵檢測(cè)系統(tǒng)。
4.小結(jié)
隨著人們對(duì)無(wú)線互聯(lián)需求的增長(zhǎng), 無(wú)線局域網(wǎng)技術(shù)必將會(huì)得到進(jìn)一步的發(fā)展, 其安全性也會(huì)逐步完善。本文分析了現(xiàn)有無(wú)線局域網(wǎng)的安全技術(shù)及其漏洞, 提出了更為安全可靠的無(wú)線局域網(wǎng)部署方案。
參考文獻(xiàn):
[1] 劉峰,王相林.WLAN安全方案及802.11i標(biāo)準(zhǔn)研究.計(jì)算機(jī)工程與設(shè)計(jì),2006年13期.
[2] 姚志強(qiáng),蒲江,唐金藝.802.11無(wú)線局域網(wǎng)安全性分析.計(jì)算機(jī)安全,2006年 04期.
[3] 陳一天,Laingal Ming.802.11 WLAN通信安全的研究.計(jì)算機(jī)應(yīng)用研究,2006年03期.
[4] 趙鵬,羅平,曹學(xué)武.改進(jìn)無(wú)線局域網(wǎng)的安全.計(jì)算機(jī)工程與應(yīng)用,2004年02期.
[5] 陳卓,陳建峽,楊木祥.基于對(duì)稱密碼體制的第三方認(rèn)證的無(wú)線局域網(wǎng)安全方案研究.計(jì)算機(jī)工程與科學(xué),2005年07期.
篇(9)
1、引言
WLAN是WirelessLAN的簡(jiǎn)稱,即無(wú)線局域網(wǎng)。所謂無(wú)線網(wǎng)絡(luò),顧名思義就是利用無(wú)線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò),由于WLAN產(chǎn)品不需要鋪設(shè)通信電纜,可以靈活機(jī)動(dòng)地應(yīng)付各種網(wǎng)絡(luò)環(huán)境的設(shè)置變化。WIAN技術(shù)為用戶提供更好的移動(dòng)性、靈活性和擴(kuò)展性,在難以重新布線的區(qū)域提供快速而經(jīng)濟(jì)有效的局域網(wǎng)接入,無(wú)線網(wǎng)橋可用于為遠(yuǎn)程站點(diǎn)和用戶提供局域網(wǎng)接入。但是,當(dāng)用戶對(duì)WLAN的期望日益升高時(shí),其安全問(wèn)題隨著應(yīng)用的深入表露無(wú)遺,并成為制約WLAN發(fā)展的主要瓶頸。[1]
2、威脅無(wú)線局域網(wǎng)的因素
首先應(yīng)該被考慮的問(wèn)題是,由于WLAN是以無(wú)線電波作為上網(wǎng)的傳輸媒介,因此無(wú)線網(wǎng)絡(luò)存在著難以限制網(wǎng)絡(luò)資源的物理訪問(wèn),無(wú)線網(wǎng)絡(luò)信號(hào)可以傳播到預(yù)期的方位以外的地域,具體情況要根據(jù)建筑材料和環(huán)境而定,這樣就使得在網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了WLAN的接入點(diǎn),給入侵者有機(jī)可乘,可以在預(yù)期范圍以外的地方訪問(wèn)WLAN,竊聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù),有機(jī)會(huì)入侵WLAN應(yīng)用各種攻擊手段對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行攻擊,當(dāng)然是在入侵者擁有了網(wǎng)絡(luò)訪問(wèn)權(quán)以后。
其次,由于WLAN還是符合所有網(wǎng)絡(luò)協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò),所以計(jì)算機(jī)病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有WLAN內(nèi)的計(jì)算機(jī),甚至?xí)a(chǎn)生比普通網(wǎng)絡(luò)更加嚴(yán)重的后果。
因此,WLAN中存在的安全威脅因素主要是:竊聽(tīng)、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等。
IEEE802.1x認(rèn)證協(xié)議發(fā)明者VipinJain接受媒體采訪時(shí)表示:“談到無(wú)線網(wǎng)絡(luò),企業(yè)的IT經(jīng)理人最擔(dān)心兩件事:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多,使得用戶無(wú)所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?無(wú)線媒體是一個(gè)共享的媒介,不會(huì)受限于建筑物實(shí)體界線,因此有人要入侵網(wǎng)絡(luò)可以說(shuō)十分容易。”[1]因此WLAN的安全措施還是任重而道遠(yuǎn)。
3、無(wú)線局域網(wǎng)的安全措施
3.1采用無(wú)線加密協(xié)議防止未授權(quán)用戶
保護(hù)無(wú)線網(wǎng)絡(luò)安全的最基本手段是加密,通過(guò)簡(jiǎn)單的設(shè)置AP和無(wú)線網(wǎng)卡等設(shè)備,就可以啟用WEP加密。無(wú)線加密協(xié)議(WEP)是對(duì)無(wú)線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法。許多無(wú)線設(shè)備商為了方便安裝產(chǎn)品,交付設(shè)備時(shí)關(guān)閉了WEP功能。但一旦采用這種做法,黑客就能利用無(wú)線嗅探器直接讀取數(shù)據(jù)。建議經(jīng)常對(duì)WEP密鑰進(jìn)行更換,有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰。另外一個(gè)必須注意問(wèn)題就是用于標(biāo)識(shí)每個(gè)無(wú)線網(wǎng)絡(luò)的服務(wù)者身份(SSID),在部署無(wú)線網(wǎng)絡(luò)的時(shí)候一定要將出廠時(shí)的缺省SSID更換為自定義的SSID。現(xiàn)在的AP大部分都支持屏蔽SSID廣播,除非有特殊理由,否則應(yīng)該禁用SSID廣播,這樣可以減少無(wú)線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。[2]
但是目前IEEE802.11標(biāo)準(zhǔn)中的WEP安全解決方案,在15分鐘內(nèi)就可被攻破,已被廣泛證實(shí)不安全。所以如果采用支持128位的WEP,破解128位的WEP的是相當(dāng)困難的,同時(shí)也要定期的更改WEP,保證無(wú)線局域網(wǎng)的安全。如果設(shè)備提供了動(dòng)態(tài)WEP功能,最好應(yīng)用動(dòng)態(tài)WEP,值得我們慶幸的,WindowsXP本身就提供了這種支持,您可以選中WEP選項(xiàng)“自動(dòng)為我提供這個(gè)密鑰”。同時(shí),應(yīng)該使用IPSec,VPN,SSH或其他
WEP的替代方法。不要僅使用WEP來(lái)保護(hù)數(shù)據(jù)。
3.2改變服務(wù)集標(biāo)識(shí)符并且禁止SSID廣播
SSID是無(wú)線接人的身份標(biāo)識(shí)符,用戶用它來(lái)建立與接入點(diǎn)之間的連接。這個(gè)身份標(biāo)識(shí)符是由通信設(shè)備制造商設(shè)置的,并且每個(gè)廠商都用自己的缺省值。例如,3COM的設(shè)備都用“101”。因此,知道這些標(biāo)識(shí)符的黑客可以很容易不經(jīng)過(guò)授權(quán)就享受你的無(wú)線服務(wù)。你需要給你的每個(gè)無(wú)線接入點(diǎn)設(shè)置一個(gè)唯一并且難以推測(cè)的SSID。如果可能的話。還應(yīng)該禁止你的SSID向外廣播。這樣,你的無(wú)線網(wǎng)絡(luò)就不能夠通過(guò)廣播的方式來(lái)吸納更多用戶.當(dāng)然這并不是說(shuō)你的網(wǎng)絡(luò)不可用.只是它不會(huì)出現(xiàn)在可使用網(wǎng)絡(luò)的名單中。[3]
3.3靜態(tài)IP與MAC地址綁定
無(wú)線路由器或AP在分配IP地址時(shí),通常是默認(rèn)使用DHCP即動(dòng)態(tài)IP地址分配,這對(duì)無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)是有安全隱患的,“不法”分子只要找到了無(wú)線網(wǎng)絡(luò),很容易就可以通過(guò)DHCP而得到一個(gè)合法的IP地址,由此就進(jìn)入了局域網(wǎng)絡(luò)中。因此,建議關(guān)閉DHCP服務(wù),為家里的每臺(tái)電腦分配固定的靜態(tài)IP地址,然后再把這個(gè)IP地址與該電腦網(wǎng)卡的MAC地址進(jìn)行綁定,這樣就能大大提升網(wǎng)絡(luò)的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因?yàn)檫€要驗(yàn)證綁定的MAC地址,相當(dāng)于兩重關(guān)卡。[4]設(shè)置方法如下:
首先,在無(wú)線路由器或AP的設(shè)置中關(guān)閉“DHCP服務(wù)器”。然后激活“固定DHCP”功能,把各電腦的“名稱”(即Windows系統(tǒng)屬陸里的“計(jì)算機(jī)描述”),以后要固定使用的IP地址,其網(wǎng)卡的MAC地址都如實(shí)填寫好,最后點(diǎn)“執(zhí)行”就可以了。
3.4VPN技術(shù)在無(wú)線網(wǎng)絡(luò)中的應(yīng)用
對(duì)于高安全要求或大型的無(wú)線網(wǎng)絡(luò),VPN方案是一個(gè)更好的選擇。因?yàn)樵诖笮蜔o(wú)線網(wǎng)絡(luò)中維護(hù)工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務(wù)。
對(duì)于無(wú)線商用網(wǎng)絡(luò),基于VPN的解決方案是當(dāng)今WEP機(jī)制和MAC地址過(guò)濾機(jī)制的最佳替代者。VPN方案已經(jīng)廣泛應(yīng)用于Internet遠(yuǎn)程用戶的安全接入。在遠(yuǎn)程用戶接入的應(yīng)用中,VPN在不可信的網(wǎng)絡(luò)(Internet)上提供一條安全、專用的通道或者隧道。各種隧道協(xié)議,包括點(diǎn)對(duì)點(diǎn)的隧道協(xié)議和第二層隧道協(xié)議都可以與標(biāo)準(zhǔn)的、集中的認(rèn)證協(xié)議一起使用。同樣,VPN技術(shù)可以應(yīng)用在無(wú)線的安全接入上,在這個(gè)應(yīng)用中,不可信的網(wǎng)絡(luò)是無(wú)線網(wǎng)絡(luò)。AP可以被定義成無(wú)WEP機(jī)制的開(kāi)放式接入(各AP仍應(yīng)定義成采用SSID機(jī)制把無(wú)線網(wǎng)絡(luò)分割成多個(gè)無(wú)線服務(wù)子網(wǎng)),但是無(wú)線接入網(wǎng)絡(luò)VLAN(AP和VPN服務(wù)器之問(wèn)的線路)從局域網(wǎng)已經(jīng)被VPN服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來(lái)。VPN服務(wù)器提供網(wǎng)絡(luò)的認(rèn)征和加密,并允當(dāng)局域網(wǎng)網(wǎng)絡(luò)內(nèi)部。與WEP機(jī)制和MAC地址過(guò)濾接入不同,VPN方案具有較強(qiáng)的擴(kuò)充、升級(jí)性能,可應(yīng)用于大規(guī)模的無(wú)線網(wǎng)絡(luò)。
3.5無(wú)線入侵檢測(cè)系統(tǒng)
無(wú)線入侵檢測(cè)系統(tǒng)同傳統(tǒng)的入侵檢測(cè)系統(tǒng)類似,但無(wú)線入侵檢測(cè)系統(tǒng)增加了無(wú)線局域網(wǎng)的檢測(cè)和對(duì)破壞系統(tǒng)反應(yīng)的特性。侵入竊密檢測(cè)軟件對(duì)于阻攔雙面惡魔攻擊來(lái)說(shuō),是必須采取的一種措施。如今入侵檢測(cè)系統(tǒng)已用于無(wú)線局域網(wǎng)。來(lái)監(jiān)視分析用戶的活動(dòng),判斷入侵事件的類型,檢測(cè)非法的網(wǎng)絡(luò)行為,對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。無(wú)線入侵檢測(cè)系統(tǒng)不但能找出入侵者,還能加強(qiáng)策略。通過(guò)使用強(qiáng)有力的策略,會(huì)使無(wú)線局域網(wǎng)更安全。無(wú)線入侵檢測(cè)系統(tǒng)還能檢測(cè)到MAC地址欺騙。他是通過(guò)一種順序分析,找出那些偽裝WAP的無(wú)線上網(wǎng)用戶無(wú)線入侵檢測(cè)系統(tǒng)可以通過(guò)提供商來(lái)購(gòu)買,為了發(fā)揮無(wú)線入侵檢測(cè)系統(tǒng)的優(yōu)良的性能,他們同時(shí)還提供無(wú)線入侵檢測(cè)系統(tǒng)的解決方案。[1]
3.6采用身份驗(yàn)證和授權(quán)
當(dāng)攻擊者了解網(wǎng)絡(luò)的SSID、網(wǎng)絡(luò)的MAC地址或甚至WEP密鑰等信息時(shí),他們可以嘗試建立與AP關(guān)聯(lián)。目前,有3種方法在用戶建立與無(wú)線網(wǎng)絡(luò)的關(guān)聯(lián)前對(duì)他們進(jìn)行身份驗(yàn)證。開(kāi)放身份驗(yàn)證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開(kāi)放身份驗(yàn)證的問(wèn)題在于,如果您沒(méi)有其他的保護(hù)或身份驗(yàn)證機(jī)制,那么您的無(wú)線網(wǎng)絡(luò)將是完全開(kāi)放的,就像其名稱所表示的。共享機(jī)密身份驗(yàn)證機(jī)制類似于“口令一響應(yīng)”身份驗(yàn)證系統(tǒng)。在STA與AP共享同一個(gè)WEP密鑰時(shí)使用這一機(jī)制。STA向AP發(fā)送申請(qǐng),然后AP發(fā)回口令。接著,STA利用口令和加密的響應(yīng)進(jìn)行回復(fù)。這種方法的漏洞在于口令是通過(guò)明文傳輸給STA的,因此如果有人能夠同時(shí)截取口令和響應(yīng),那么他們就可能找到用于加密的密鑰。采用其他的身份驗(yàn)證/授權(quán)機(jī)制。使用802.1x,VPN或證書(shū)對(duì)無(wú)線網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證和授權(quán)。使用客戶端證書(shū)可以使攻擊者幾乎無(wú)法獲得訪問(wèn)權(quán)限。
[5]
3.7其他安全措施
除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術(shù),例如設(shè)置附加的第三方數(shù)據(jù)加密方案,即使信號(hào)被盜聽(tīng)也難以理解其中的內(nèi)容;加強(qiáng)企業(yè)內(nèi)部管理等等的方法來(lái)加強(qiáng)WLAN的安全性。
4、結(jié)論
無(wú)線網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛,但是隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出,在文中分析了WLAN的不安全因素,針對(duì)不安全因素給出了解決的安全措施,有效的防范竊聽(tīng)、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等的攻擊手段,但是由于現(xiàn)在各個(gè)無(wú)線網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商生產(chǎn)的設(shè)備的功能不一樣,所以現(xiàn)在在本文中介紹的一些安全措施也許在不同的設(shè)備上會(huì)有些不一樣,但是安全措施的思路是正確的,能夠保證無(wú)線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性,有效地維護(hù)無(wú)線局域網(wǎng)的安全。
參考文獻(xiàn)
[1]李園,王燕鴻,張鉞偉,顧偉偉.無(wú)線網(wǎng)絡(luò)安全性威脅及應(yīng)對(duì)措施[J].現(xiàn)代電子技術(shù).2007,(5):91-94.
[2]王秋華,章堅(jiān)武.淺析無(wú)線網(wǎng)絡(luò)實(shí)施的安全措施[J].中國(guó)科技信息.2005,(17):18.
篇(10)
隨著信息化的不斷擴(kuò)展,各類網(wǎng)絡(luò)版應(yīng)用軟件推廣應(yīng)用,計(jì)算機(jī)網(wǎng)絡(luò)在提高數(shù)據(jù)傳輸效率,實(shí)現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來(lái)越重要的作用,網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已逐步成為各項(xiàng)工作的重要基礎(chǔ)設(shè)施。為了確保各項(xiàng)工作的安全高效運(yùn)行,計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)的安全與管理工作就顯得尤為重要。
1、局域網(wǎng)安全威脅分析
局域網(wǎng)是指在小范圍內(nèi)由服務(wù)器和多臺(tái)電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過(guò)交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)每一臺(tái)電腦,因此局域網(wǎng)內(nèi)信息的傳輸速率比較高,同時(shí)局域網(wǎng)采用的技術(shù)比較簡(jiǎn)單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。一般的情況下,局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類:
1.1 核心設(shè)備自身的安全威脅
軟交換網(wǎng)絡(luò)采用呼叫與承載控制相分離的技術(shù),網(wǎng)絡(luò)設(shè)備的處理能力有了很大的提高。可以處理更多的話務(wù)和承載更多的業(yè)務(wù)負(fù)荷,但隨之而來(lái)是安全問(wèn)題。對(duì)于采用板卡方式設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備,一塊單板在正常情況下能夠承載更多的話務(wù)和負(fù)荷,那么在發(fā)生故障時(shí)就有可能造成更大范圍的業(yè)務(wù)中斷。
目前,軟交換設(shè)備安全完全依賴廠商的軟硬件的安全設(shè)計(jì),主要通過(guò)主備、1+1、N+1備份和自動(dòng)倒換以及軟硬件模塊化設(shè)計(jì)等方式實(shí)現(xiàn)故障情況下的切換和隔離。但備份和倒換的可靠性無(wú)法保障:關(guān)鍵設(shè)備的倒換(特別是一些關(guān)鍵接口板)一般會(huì)影響業(yè)務(wù)或者設(shè)備運(yùn)行,倒換的成功率目前無(wú)法保障,可能在緊急情況下無(wú)法順利進(jìn)行倒換。
1.2 網(wǎng)絡(luò)層面的安全威脅
雖然單個(gè)或者區(qū)域核心節(jié)點(diǎn)的安全可以通過(guò)負(fù)荷分擔(dān)或者備份來(lái)保證,但是從網(wǎng)絡(luò)層面來(lái)看仍然存在安全隱患。在現(xiàn)有的軟交換網(wǎng)絡(luò)中,各種平臺(tái)類設(shè)備很多,而且往往都是以單點(diǎn)的形式存在,這些節(jié)點(diǎn)一旦失效,將嚴(yán)重影響網(wǎng)絡(luò)業(yè)務(wù)。目前網(wǎng)絡(luò)層面的威脅主要是重要業(yè)務(wù)節(jié)點(diǎn)癱瘓?jiān)斐傻臉I(yè)務(wù)中斷、擁塞和溢出,其中SHLR、通用號(hào)碼轉(zhuǎn)換(一號(hào)通平臺(tái))等關(guān)鍵平臺(tái)的影響最大。因此,應(yīng)該重視突發(fā)話務(wù)沖擊導(dǎo)致話務(wù)資源耗盡等現(xiàn)象。
1.3 承載網(wǎng)的安全威脅
軟交換系統(tǒng)的承載網(wǎng)絡(luò)采用的是IP分組網(wǎng)絡(luò),通信協(xié)議和媒體信息主要以IP數(shù)據(jù)包的形式進(jìn)行傳送。承載網(wǎng)面臨的安全威脅主要有網(wǎng)絡(luò)風(fēng)暴、病毒(蠕蟲(chóng)病毒)泛濫和黑客攻擊。黑客攻擊網(wǎng)絡(luò)中的關(guān)鍵設(shè)備,篡改其路由和用戶等數(shù)據(jù),導(dǎo)致路由異常,網(wǎng)絡(luò)無(wú)法訪問(wèn)等。從實(shí)際運(yùn)行情況來(lái)看,承載網(wǎng)對(duì)軟交換網(wǎng)絡(luò)的影響目前是最大的,主要是IP網(wǎng)絡(luò)質(zhì)量不穩(wěn)定引起的。
1.4 接入網(wǎng)的安全威脅
軟交換網(wǎng)絡(luò)提供了靈活、多樣的網(wǎng)絡(luò)接入手段,任何可以接入IP網(wǎng)絡(luò)的地點(diǎn)均可以接入終端。這種特性在為用戶提供方便的同時(shí)帶來(lái)了安全隱患,一些用戶利用非法終端或設(shè)備訪問(wèn)網(wǎng)絡(luò),占用網(wǎng)絡(luò)資源,非法使用業(yè)務(wù)和服務(wù),甚至向網(wǎng)絡(luò)發(fā)起攻擊。另外,接入與地點(diǎn)的無(wú)關(guān)性,使得安全事件發(fā)生后很難定位發(fā)起安全攻擊的確切地點(diǎn),無(wú)法追查責(zé)任人。
正是由于局域網(wǎng)內(nèi)在應(yīng)用上存在這些獨(dú)特的特點(diǎn),造成局域網(wǎng)內(nèi)的病毒快速傳遞,數(shù)據(jù)安全性低,網(wǎng)內(nèi)電腦相互感染,病毒屢殺不盡,數(shù)據(jù)經(jīng)常丟失。根據(jù)這些存在的安全隱患,在局域網(wǎng)中采取如何策略進(jìn)行防范呢?
2、局域網(wǎng)安全策略控制與管理
局域網(wǎng)安全的控制主要從人員和設(shè)備兩個(gè)方面進(jìn)行考慮:
2.1 局域網(wǎng)中人的行為安全控制
安全是個(gè)過(guò)程,它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看,主要涉及管理、技術(shù)和應(yīng)用三個(gè)層面。要確保信息安全工作的順利進(jìn)行,必須注重把每個(gè)環(huán)節(jié)落實(shí)到每個(gè)層次上,而進(jìn)行這種具體操作的是人,人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié),然而這個(gè)環(huán)節(jié)的加固又是見(jiàn)效最快的,所以必須加強(qiáng)工作人員的安全培訓(xùn)。對(duì)局域網(wǎng)內(nèi)部人員,從下面幾方面進(jìn)行培訓(xùn):加強(qiáng)安全意識(shí)培訓(xùn);加強(qiáng)安全知識(shí)培訓(xùn);加強(qiáng)網(wǎng)絡(luò)知識(shí)培訓(xùn)。
2.2 局域網(wǎng)的安全策略控制與管理
2.2.1 網(wǎng)絡(luò)系統(tǒng)的安全控制
為保護(hù)網(wǎng)絡(luò)的安全,必須對(duì)訪問(wèn)系統(tǒng)及其數(shù)據(jù)的人進(jìn)行識(shí)別,并檢查其合法身份,對(duì)進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行控制。訪問(wèn)控制首先要把用戶和數(shù)據(jù)進(jìn)行分類,然后根據(jù)需要把二者匹配起來(lái),把數(shù)據(jù)的不同訪問(wèn)權(quán)限授予用戶,只有被授權(quán)的用戶才能訪問(wèn)相應(yīng)的數(shù)據(jù)。入系統(tǒng)訪問(wèn)控制為系統(tǒng)提供了第一層訪問(wèn)控制,控制著可以登錄到服務(wù)器網(wǎng)絡(luò)操作系統(tǒng)并獲取系統(tǒng)資源的用戶,通過(guò)用戶識(shí)別和驗(yàn)證、用戶口令識(shí)別和驗(yàn)證以及用戶賬號(hào)的默認(rèn)限制檢查進(jìn)入系統(tǒng),選擇性訪問(wèn)控制是基于主體或者主體所在組的身份,這種訪問(wèn)控制是可選擇性的,如果一個(gè)主體具有某種訪問(wèn)權(quán),則它可以直接或簡(jiǎn)接地把這種控制權(quán)傳遞給別的主體。選擇性訪問(wèn)控制被內(nèi)置于許多操作系統(tǒng)當(dāng)中,是任何安全措施的重要組成部分。文件擁有著可以授予一個(gè)用戶或一組用戶訪問(wèn)權(quán)。
2.2.2 網(wǎng)絡(luò)互連設(shè)備的安全管理
網(wǎng)絡(luò)中的互連設(shè)備包括集線器、交換機(jī)、路由器等設(shè)備,這些設(shè)備在網(wǎng)絡(luò)中起著非常重要的鏈接作用,因此,這些設(shè)備的安全性更是關(guān)系到整個(gè)網(wǎng)絡(luò)的關(guān)鍵命脈。實(shí)際中,一定對(duì)網(wǎng)絡(luò)中這些設(shè)備的登錄有嚴(yán)格的控制管理,登錄方式只能掌握在網(wǎng)絡(luò)的管理人員手中,網(wǎng)絡(luò)的管理人言要正確配置設(shè)備的參數(shù),運(yùn)行過(guò)程中,能夠順利連接局域網(wǎng)中的各個(gè)環(huán)節(jié),使整個(gè)網(wǎng)絡(luò)運(yùn)行順暢。
2.2.3 網(wǎng)絡(luò)終端的安全管理
目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分,對(duì)網(wǎng)絡(luò)的安全運(yùn)行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問(wèn)題,才可以排除網(wǎng)絡(luò)中最大的安全隱患,對(duì)于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個(gè)方面進(jìn)行防御。利用現(xiàn)有的安全管理軟件加強(qiáng)對(duì)以上三個(gè)方面的管理是當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在。采取的手段是:利用管理系統(tǒng)控制用戶入網(wǎng);采用防火墻技術(shù);封存所有空閑的IP地址,啟動(dòng)IP地址綁定,采用上網(wǎng)計(jì)算機(jī)IP地址與MCA地址唯一對(duì)應(yīng),網(wǎng)絡(luò)沒(méi)有空閑IP地址的策略;屬性安全控制。啟用殺毒軟件強(qiáng)制安裝策略,監(jiān)測(cè)所有運(yùn)行在局域網(wǎng)絡(luò)上的計(jì)算機(jī),對(duì)沒(méi)有安裝殺毒軟件的計(jì)算機(jī)采用警告和阻斷的方式強(qiáng)制使用人安裝殺毒軟件。
通過(guò)了對(duì)網(wǎng)絡(luò)中的安全進(jìn)行了策略的設(shè)置,還要對(duì)網(wǎng)絡(luò)的運(yùn)行過(guò)程中做好預(yù)防工作。
3、病毒防治策略
網(wǎng)絡(luò)是目前計(jì)算機(jī)病毒急速增長(zhǎng),種類快速增加的直接推動(dòng)力,幾乎任何一種網(wǎng)絡(luò)應(yīng)用都可能成為計(jì)算機(jī)病毒傳播的有效渠道。由于局域網(wǎng)中數(shù)據(jù)的共享和相互協(xié)作的需要,組成網(wǎng)絡(luò)的每一臺(tái)計(jì)算機(jī)都連接到其他計(jì)算機(jī),局域網(wǎng)絡(luò)技術(shù)的應(yīng)用為企業(yè)的發(fā)展做出了貢獻(xiàn),同時(shí)也為計(jì)算機(jī)病毒的迅速傳播鋪平了道路,同時(shí),由于系統(tǒng)漏洞所產(chǎn)生的安全隱患也會(huì)使病毒在局域網(wǎng)中傳播。
由此可見(jiàn),病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅,影響系統(tǒng)的正常運(yùn)行。防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點(diǎn)是控制病毒的傳染。防毒的關(guān)鍵是對(duì)病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的,主要從以下幾個(gè)方面制定有針對(duì)性的防病毒策略:
(1)增加安全意識(shí)和安全知識(shí),對(duì)工作人員定期培訓(xùn)。如果技術(shù)人員對(duì)網(wǎng)絡(luò)安全產(chǎn)品一只半解,就不能正確配置,甚至根本配置錯(cuò)誤,不但安全得不到保護(hù),而且還帶來(lái)虛假的安全,因此,在網(wǎng)絡(luò)中,首先對(duì)技術(shù)人員進(jìn)行專業(yè)的培訓(xùn)。只有真正掌握安全管理各方面的知識(shí),才能使整套的安全策略得到充分的執(zhí)行和實(shí)施。
(2)小心使用移動(dòng)存儲(chǔ)設(shè)備。日常工作過(guò)程中,數(shù)據(jù)的傳輸、備份,難免使用移動(dòng)存儲(chǔ)設(shè)備,那么,在局域網(wǎng)中使用這些設(shè)備時(shí),注意的問(wèn)題有:使用是保證存儲(chǔ)設(shè)備的安全性,在使用移動(dòng)存儲(chǔ)設(shè)備時(shí),要做到不把病毒帶到網(wǎng)絡(luò)中,以防發(fā)生網(wǎng)絡(luò)故障,同時(shí),也注意網(wǎng)絡(luò)中某臺(tái)計(jì)算機(jī)上的病毒感染移動(dòng)存儲(chǔ)設(shè)備,防止數(shù)據(jù)的丟失。
(3)挑選網(wǎng)絡(luò)版殺毒軟件。目前市面上殺毒軟件比較多,但任何一個(gè)殺毒軟件都不能對(duì)所有病毒都起作用,我們?cè)谶x擇殺毒軟件時(shí)需要注意到以下幾個(gè)方面:首先,殺毒軟件對(duì)客戶端設(shè)備的要求不是很高,能夠保證網(wǎng)絡(luò)中層次不齊的客戶端都能安裝該軟件,并且運(yùn)行起來(lái)順暢。其次,殺毒軟件病毒庫(kù)升級(jí)比較方便,在出現(xiàn)新的病毒時(shí),病毒庫(kù)能夠第一時(shí)間更新,確保客戶端不被侵犯。最后,殺毒軟件使用比較靈活,網(wǎng)絡(luò)中的客戶端都安裝殺毒軟件,但如果依靠人為手動(dòng)進(jìn)行查殺,運(yùn)行起來(lái)比較麻煩,選擇殺毒軟件,一定能夠設(shè)置某時(shí)間點(diǎn)進(jìn)行自動(dòng)查殺。
通過(guò)以上策略的設(shè)置,能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行中存在的問(wèn)題,快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲(chóng)等網(wǎng)絡(luò)安全威脅的切入點(diǎn),及時(shí)、準(zhǔn)確的切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò)。
4、信息化安全管理制度
局域網(wǎng)網(wǎng)絡(luò)的安全管理制度是網(wǎng)絡(luò)的安全運(yùn)行的保障,在制定安全管理制度中,最重要的是關(guān)于網(wǎng)絡(luò)各種文檔的制定。其中有網(wǎng)絡(luò)建設(shè)方案文檔、機(jī)房管理制度文檔、各類人員職責(zé)分工、安全保密文檔、網(wǎng)絡(luò)安全方案、安全策略文檔、口令管理制度、安全防護(hù)記錄、應(yīng)急響應(yīng)方案等等制度。實(shí)際中,通過(guò)以上各種文檔,在網(wǎng)絡(luò)運(yùn)行過(guò)程中,隨時(shí)可以用到,只有健全的管理制度,才能確保更快地處理遇到的各類問(wèn)題。
5、結(jié)語(yǔ)
篇(11)
中圖分類號(hào):TP393.1 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
一、前言
隨著網(wǎng)絡(luò)的普遍應(yīng)用,特別是局域網(wǎng)的使用。各種對(duì)于局域網(wǎng)安全產(chǎn)生破壞的隱患成不出窮,一旦構(gòu)成的破壞也是十分巨大的。因此,局域網(wǎng)的網(wǎng)絡(luò)安全及應(yīng)對(duì)策略問(wèn)題成為當(dāng)前網(wǎng)絡(luò)安全的關(guān)鍵性問(wèn)題。
二、當(dāng)今局域網(wǎng)的安全現(xiàn)狀
由于IPV4地址的有限,使得很多地方都通過(guò)建立局域網(wǎng)來(lái)上網(wǎng),如許多大中型企業(yè)和學(xué)校,這樣就有局域網(wǎng)內(nèi)很多臺(tái)電腦的一個(gè)網(wǎng)絡(luò)通過(guò)一個(gè)端口連接都在互聯(lián)網(wǎng)上,這也就使得對(duì)局域網(wǎng)內(nèi)的網(wǎng)絡(luò)安全變得尤其重要。在許多年前,局域網(wǎng)還是十分安全的,大多數(shù)的公司也常常習(xí)慣于直接在局域網(wǎng)共享各種常用軟件和資料,但是現(xiàn)在很多病毒開(kāi)發(fā)者打起了局域網(wǎng)的主意。例如由于網(wǎng)游產(chǎn)生了APR病毒。這是一種欺騙性質(zhì)的病毒,雖然它的目的并不是破壞局域網(wǎng),但為了達(dá)到它盜號(hào)盜寶的目的,會(huì)嚴(yán)重影響其它局域網(wǎng)用戶的正常上網(wǎng)活動(dòng)。有一種針對(duì)服務(wù)器的SYN攻擊也會(huì)令局域網(wǎng)電腦全體“ 掉 線 ” SYN攻擊屬于DOS攻擊的一種,它利用TCP協(xié)議三次握手的等待確認(rèn)缺陷,通過(guò)發(fā)送大量的半連接請(qǐng)求,耗費(fèi)CPU的內(nèi)存資源。SYN攻擊除了能影響主機(jī)外,還可以危害路由器,防火墻等網(wǎng)絡(luò)系統(tǒng),事實(shí)上SYN攻擊并不管目標(biāo)是什么系統(tǒng),只要這些系統(tǒng)打開(kāi)TCP服務(wù)就可以實(shí)施。
三、局域網(wǎng)網(wǎng)絡(luò)安全建設(shè)
1、創(chuàng)建獨(dú)立安全局域網(wǎng)服務(wù)器
當(dāng)前,我國(guó)較多局域網(wǎng)體系沒(méi)有單獨(dú)創(chuàng)建針對(duì)服務(wù)器的安全措施,雖然簡(jiǎn)單的設(shè)置可令各類數(shù)據(jù)信息位于網(wǎng)絡(luò)系統(tǒng)中高效快速的傳播,然而同樣為病毒提供了便利的傳播感染渠道。局域網(wǎng)之中雖然各臺(tái)計(jì)算機(jī)均裝設(shè)了預(yù)防外界攻擊影響的安全工具,制定了防范措施,然而該類措施恰恰成為網(wǎng)絡(luò)安全的一類薄弱環(huán)節(jié)。在應(yīng)對(duì)局域網(wǎng)絡(luò)內(nèi)部影響攻擊時(shí),效果不佳,尤其在其服務(wù)器受到病毒侵襲影響,會(huì)令全網(wǎng)系統(tǒng)不良崩潰。為此,對(duì)其服務(wù)器獨(dú)立裝設(shè)有效防護(hù)措施尤為重要。我們應(yīng)在服務(wù)器內(nèi)部安裝單獨(dú)的監(jiān)控網(wǎng)內(nèi)系統(tǒng)、各類病毒庫(kù)的實(shí)時(shí)升級(jí)系統(tǒng),令其在全過(guò)程的實(shí)時(shí)安全監(jiān)督、優(yōu)化互補(bǔ)管控之下安全快速的運(yùn)行。當(dāng)發(fā)覺(jué)網(wǎng)內(nèi)計(jì)算機(jī)系統(tǒng)受到病毒侵襲時(shí),應(yīng)快速將聯(lián)系中斷,并面向處理中心報(bào)告病毒種類,實(shí)施全面系統(tǒng)的殺毒處理。而當(dāng)服務(wù)器系統(tǒng)被不良攻擊影響時(shí),則可利用雙機(jī)熱備體系、陣列系統(tǒng)安全防護(hù)數(shù)據(jù)信息,提升整體系統(tǒng)安全水平。
2、樹(shù)立安全防范意識(shí),提升應(yīng)用者防毒水平
局域網(wǎng)產(chǎn)生的眾多安全問(wèn)題之中,較多由于內(nèi)網(wǎng)操作應(yīng)用人員沒(méi)有樹(shù)立安全防范意識(shí),令操作失誤頻繁發(fā)生。例如操作控制人員沒(méi)有有效進(jìn)行安全配置令系統(tǒng)存在漏洞、或是由于安全防范意識(shí)不強(qiáng),令外網(wǎng)攻擊借機(jī)人侵。在選擇口令階段中由于操作不慎,或?qū)⒆陨砉芾響?yīng)用賬號(hào)隨意的借他人應(yīng)用,均會(huì)給網(wǎng)絡(luò)安全造成不良威脅影響。另外,網(wǎng)絡(luò)釣魚(yú)也成為影響計(jì)算機(jī)局域網(wǎng)絡(luò)安全的顯著隱患問(wèn)題。不法分子慣用該類方式盜取網(wǎng)絡(luò)系統(tǒng)賬號(hào)、竊用密碼,進(jìn)而獲取滿足其利益需求的各類重要資訊、信息,還直接盜取他人經(jīng)濟(jì)財(cái)產(chǎn)。一些網(wǎng)絡(luò)罪犯基于局域網(wǎng)絡(luò)系統(tǒng)資源信息全面共享的客觀特征而采取各類方式手段實(shí)施數(shù)據(jù)信息的不良截獲,或借助垃圾郵件群發(fā)、發(fā)送不明數(shù)據(jù)包、危險(xiǎn)鏈接等誘導(dǎo)迷惑方式,令收信方進(jìn)行點(diǎn)擊,對(duì)于計(jì)算機(jī)局域網(wǎng)絡(luò)系統(tǒng)的優(yōu)質(zhì)安全管理運(yùn)行形成了較大的隱患威脅。
3、實(shí)施制度化的文件信息備份管理,預(yù)防不可逆損失
一般來(lái)講,各類網(wǎng)絡(luò)攻擊或者是病毒侵襲,均需要首先找到網(wǎng)絡(luò)系統(tǒng)中的落腳點(diǎn)方能實(shí)現(xiàn)攻擊竊取目標(biāo)。而計(jì)算機(jī)系統(tǒng)漏洞、局域網(wǎng)絡(luò)后門則為攻擊者提供了落腳點(diǎn),成為不安全攻擊的主體目標(biāo)。當(dāng)然該類漏洞無(wú)法絕對(duì)全面的徹底消除。因而,為有效提升各單位計(jì)算機(jī)局域網(wǎng)絡(luò)系統(tǒng)的綜合安全防護(hù)性能,應(yīng)對(duì)系統(tǒng)以及各類數(shù)據(jù)、信息與文件進(jìn)行定期全面?zhèn)浞荩⒋_保制度化的實(shí)時(shí)升級(jí)管理,令該項(xiàng)制度成為應(yīng)用局域網(wǎng)的現(xiàn)實(shí)規(guī)范。只有快速、及時(shí)、全面的實(shí)施整體數(shù)據(jù)信息及系統(tǒng)備份,方能在系統(tǒng)受到不良侵襲、導(dǎo)致信息不慎丟失時(shí)能夠快速恢復(fù),杜絕不可逆影響的發(fā)生并產(chǎn)生永久損失。另外,對(duì)于資料信息的整體備份內(nèi)容同日常應(yīng)用儲(chǔ)存數(shù)據(jù)不應(yīng)放于同一計(jì)算機(jī)或服務(wù)器之中,不然該類備份便會(huì)毫無(wú)意義。如果備份程序還支持加密,我們則可借助數(shù)據(jù)加密處置,多為磁盤增設(shè)一道密碼保護(hù)屏障。基于計(jì)算機(jī)病毒發(fā)展快速、更新頻繁、攻擊方式變幻莫測(cè)的狀況,工作人員還應(yīng)為整體系統(tǒng)做好維護(hù)管理、打補(bǔ)丁升級(jí)及全面更新的應(yīng)用控制,提升整體系統(tǒng)防護(hù)病毒影響水平。可通過(guò)防火墻系統(tǒng)安裝、監(jiān)督控制手段應(yīng)用、安裝強(qiáng)力查殺病毒工具軟件、定期備份殺毒、整理磁盤,注冊(cè)表清理及冗余刪除,規(guī)范文件應(yīng)用及垃圾文件刪除等方式,實(shí)現(xiàn)系統(tǒng)的安全最優(yōu)化目標(biāo)。
四、局域網(wǎng)絡(luò)安全的主要威脅
目前威脅局域網(wǎng)內(nèi)網(wǎng)絡(luò)安全的有以下幾方面:
1、計(jì)算機(jī)病毒。編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼被稱為計(jì)算機(jī)病毒。具有破壞性,復(fù)制性和傳染性。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的推廣與發(fā)展,計(jì)算機(jī)病毒也在不斷地演變和壯大,其危害性也越來(lái)越大,對(duì)很多計(jì)算機(jī)局域網(wǎng)的安全構(gòu)成了很大的威脅。
2、黑客入侵。黑客入侵技術(shù),是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞的發(fā)現(xiàn),以及針對(duì)這些缺陷實(shí)施攻擊的技術(shù)。這里的缺陷,包括軟件缺陷、硬件缺陷、網(wǎng)絡(luò)協(xié)議缺陷、管理缺陷和人為的失誤。黑客非法侵入計(jì)算機(jī)網(wǎng)絡(luò),獲取局域網(wǎng)內(nèi)的秘密信息或有選擇性地破壞局域網(wǎng)內(nèi)信息的有效性和完整性,這是當(dāng)前計(jì)算機(jī)局域網(wǎng)所面臨的最大威脅之一。
3、截取信號(hào)。這種威脅主要體現(xiàn)在無(wú)線局域網(wǎng)中,隨著網(wǎng)絡(luò)的發(fā)展,無(wú)線局域網(wǎng)已被看作網(wǎng)絡(luò)發(fā)展的必然方向。雖然無(wú)線局域網(wǎng)有很多顯著的優(yōu)勢(shì),但也存在著安全隱患,不法者可以通過(guò)特殊手段截取信號(hào)來(lái)獲取通信中的保密信息。
五、局域網(wǎng)絡(luò)安全事故應(yīng)對(duì)策略模型
網(wǎng)絡(luò)安全事故應(yīng)對(duì)策略模型的構(gòu)建目標(biāo)是利用多種安全防護(hù)措施以及系統(tǒng)數(shù)據(jù)的備份與恢復(fù)手段,構(gòu)建一個(gè)基于全方位、多層次的事故協(xié)同處理系統(tǒng),該系統(tǒng)包括對(duì)網(wǎng)絡(luò)攻擊者攻擊事故的檢測(cè)、審計(jì)與分析,攻擊記錄與防御、網(wǎng)絡(luò)偽裝與欺騙、災(zāi)難備份與恢復(fù)等功能,為業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)搭建一個(gè)動(dòng)態(tài)的、自治的安全環(huán)境。
網(wǎng)絡(luò)安全事故應(yīng)對(duì)策略模型的組成主要包括三個(gè)部分的內(nèi)容,一是攻擊信息記錄系統(tǒng),主要利用攻擊信息記錄技術(shù)和網(wǎng)絡(luò)安全監(jiān)察技術(shù),對(duì)可疑的網(wǎng)絡(luò)數(shù)據(jù)流以及網(wǎng)絡(luò)鏈接進(jìn)行檢測(cè),獲取并保存網(wǎng)絡(luò)攻擊者的相關(guān)信息,這些信息可以為攻擊防御系統(tǒng)以及數(shù)據(jù)備份恢復(fù)系統(tǒng)提供可靠的依據(jù),也可以在事后對(duì)網(wǎng)絡(luò)攻擊行為的分析與對(duì)策研究中起到重要作用;二是協(xié)同式攻擊防御技術(shù),主要是以攻擊信息記錄系統(tǒng)中獲取的攻擊者攻擊的相關(guān)信息為基礎(chǔ),將蜜罐技術(shù)和系統(tǒng)漏洞掃描技術(shù)融入到防御系統(tǒng)中,建立起立體的攻擊防御體系,從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊行為的防護(hù)和抵御;三是網(wǎng)絡(luò)數(shù)據(jù)備份恢復(fù)系統(tǒng),它的目標(biāo)是實(shí)現(xiàn)一個(gè)低成本、高性能,與網(wǎng)絡(luò)中其他安全設(shè)備與系統(tǒng)協(xié)同工作的多數(shù)據(jù)備份恢復(fù)系統(tǒng)。
網(wǎng)絡(luò)安全事故應(yīng)對(duì)策略模型的工作方式為,先由攻擊信息記錄系統(tǒng),利用部署在主機(jī)與網(wǎng)絡(luò)設(shè)備中的監(jiān)控組件,對(duì)網(wǎng)絡(luò)進(jìn)行全方位的監(jiān)視,對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行截取和分析,然后將審計(jì)與分析的結(jié)果傳輸?shù)娇刂婆c分析中心,在那里對(duì)信息進(jìn)行綜合和二次判斷,當(dāng)確認(rèn)有攻擊行為發(fā)生時(shí),將信息輸送到協(xié)同式防御系統(tǒng);
六、結(jié)束語(yǔ)
清晰了解局域網(wǎng)的網(wǎng)絡(luò)安全隱患產(chǎn)生的原因,明確針對(duì)各種網(wǎng)絡(luò)安全隱患的應(yīng)對(duì)措施。其中局域網(wǎng)絡(luò)安全事故應(yīng)對(duì)策略模型的建立,將有助于局域網(wǎng)絡(luò)安全的維護(hù)。但是,隨著網(wǎng)絡(luò)的日趨復(fù)雜化,單一模型是不能解決問(wèn)題,因此面對(duì)實(shí)際問(wèn)題,還需對(duì)解決方案進(jìn)行發(fā)展創(chuàng)新。
參考文獻(xiàn)
[1胡錚.網(wǎng)絡(luò)與信息安全[M].清華大學(xué)出版社,2006.