时间:2023-08-09 17:16:25
导言:作为写作爱好者,不可错过为您精心挑选的10篇网络安全笔记,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制,直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。
一、网络信息安全的重要性
网络信息安全涉及到信息的机密性、完整性、可用性、可控性。它为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。信息保障依赖于人和技术实现组织的任务运作,针对技术信息基础设施的管理活动同样依赖于这三个因素,稳健的信息保障状态意味着信息保障和政策、步骤、技术和机制在整个组织的信息基础设施的所有层面上均能得到实施。
目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我通信传输中的信息。单一的保密措施己很难保证通信和信息的安全,必须综合应用各种保密措施。
二、局域网内病毒防治问题
局域网病毒来源主要有以下几种方式:①从网站下载的软件带有病毒:浏览网站的时候ActiveX控件带来的病毒;②安装程序附带的流氓软件:不明邮件带来的病毒;③移动存储设备存储数据传染病毒等等方式。使用者日常使用时应尽量从正规网站下载软件、少浏览不正当网站、不明邮件应该尽量不打开等。处理方法主要有以下几类。
首先:在网关上的网络层时常进行病毒检测和扫描,及时清除明显的病毒封包,对病毒源客户机进行阻塞与隔离,大规模爆发网络病毒时也能够有效的隔离病毒疫区。
其次:监测每台计算机的杀毒软件安装情况和病毒库更新情况,以及操作系统或者其它应用软件的补丁安装情况,若发现客户机或者服务器存在严重的高危险性安全缺陷或者漏洞的话就应该将其暂时断开网络,拒绝其接入单位网络,直至缺陷或漏洞修复完毕,补丁安装完毕后再将其接入网络内。
再次:使用U盘、移动硬盘等移动存储设备传递各类数据,已经成为各类病毒传播的主要途径之一。由于U盘和移动硬盘使用方便,很多计算机用户都选择使用它来进行数据文件的存储和拷贝,无形中使得U盘和移动硬盘成为这些病毒和恶意木马程序传播的媒体,给计算机用户的数据安全和系统的正常使用带来很大危害。鉴于通过U盘和移动硬盘传播的计算机病毒在互联网络上的传播日趋增多,办公网络内用户可以按照以下几点,正确安全地使用U盘和移动硬盘进行数据文件的存储和拷贝。
最后:根据实际情况可进行数据加密,VPN系统VPN(虚拟专用网)可以通过一个公用网络(通常是互联网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。它可用于不断增长的移动用户的全球互联网接入,以实现安全连接;也可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
三、实现网络信息安全的策略
明确等级保护措施。合理划分安全域,确定各安全域的物理边界和逻辑边界,明确不同安全域之间的信任关系。在安全域的网络边界建立有效的访问控制措施。通过安全区域最大限度地实施数据源隐藏,结构化和纵深化区域防御,防止和抵御各种网络攻击,保证信息系统各个网络系统的持续、稳定、可靠运行。
1.系统安全策略
对操作系统、数据库及服务系统进行漏洞修补和安全加固,对关键业务的服务器建立严格的审核机制。最大限度解决由操作系统、数据库系统、服务系统、网络协议漏洞带来的安全问题,解决黑客入侵、非法访问、系统缺陷、病毒等安全隐患。
2安全管理策略
随着我国逐步进入“十三五”规划下的社会经济改革,越来越多的人们通过互联网进行购物、娱乐和学习,“互联网+”的时代已经来临。当然,在人们感受到互联网带来的便捷的同时,计算机网络安全问题面临的挑战却更加严峻,这些问题不仅来源于互联网自身的多元化的特性,也与社会客观因素有关,所以分析和处理网络安全问题是一项十分繁杂的工程,需要对链条中的各部分进行严格的剖析、处理,才能掌握影响计算机网络安全的因素,从而对互联网安全问题进行有效的解决。
1 新形势下网络安全防范的必要性分析
1.1 新时代网络元素的纷繁复杂
新的历史时期下,互联网在高速发展的今天已经容纳了生活要素的方方面面,人们通过互联网购物的同时,将自己的身份信息、交易信息、购物信息等通过互联网进行传递,互联网每天通过传递大量的信息,来帮助人们打破时空的限制,增加和提高生活的便捷性,但是仅仅以网络购物为例,每天就有成千上万的人们受到网络诈骗和信息泄露的威胁,所以,虽然互联网正在渗透到生活的每个角落,但是由于网络安全技术的限制,我们的个人信息也随时面临着泄露的危险,所以,全面掌握网络信息安全的复杂因素,对于提高社会安全性和稳定性都将有十分重要的作用。
1.2 传统网络安全问题的干扰
虽然“互联网+”时代的来临带来了很多复杂的、前所未有的网络安全问题,但是,越来越多的统计显示,影响网络安全的因素仍然还是以传统的网络安全问题为主。这些传统的网络安全问题主要可以归结为如下几类:第一,网络病毒威胁。网络病毒的传播载体其实是一部分具有破坏原功能的程序代码,这些代码通过自我的复制功能不断地在计算机当中起着破坏功能,这些病毒以宏病毒为代表,其破坏性和传播性都是非常巨大的。第二,黑客技术。黑客技术是网络战争所引起的一种客观存在的网络安全隐患,主要是一些网络技术人员通过系统中存在的内部缺陷进行专门的代码设计,来达到对系统或者用户的非法访问。黑客技术的应用通常都是在用户不知情的情况下,进行保密信息的获取。黑客技术的发展虽然能够带动网络进一步走向完善化,但是其存在必然造成网络文明的缺失和网络安全的威胁。第三,传统硬件问题的出现。这种问题往往是使用者的不恰当操作或者以硬件设施长时间工作疲劳造成的,其客观存在在用户使用当中,也是常见的传统的网络安全问题之一。
1.3 数据安全性要求的提高
新的历史时期下,越来越多的用户需要通过互联网进行贸易往来,甚至很多跨国贸易都是通过互联网来完成的,这就对互联网的数据安全性提出了更高的要求,如何确保用户数据的绝对安全,以及如快速何应对数据丢失和泄露时的情况,都需要相关的计算机网络安全技术的进一步支持,网络数据安全性的进一步一高,不仅可以有效提高互联网的使用频次,对于互联网管理者更加深入了解用户习惯,改善用户界面和操作,都有深远意义。
2 新形势下网络安全的防范策略提出
2.1 “双防”技术的不断完善
“双防”技术主要是指防病毒和防火墙技术两方面。首先,对于防病毒技术,主要是从网络杀毒软件入手的,相关设计人员在网络服务器与用户之间搭建起能够有效防止病毒入侵,并快速删除病毒的程序代码。当然针对网络杀毒软件,技术人员还设计出了单侧的杀毒软件,主要针对已经存在于电脑硬件中的部分病毒代码,这种单侧的杀毒软件也能很有效地处理存在于端口中的大部分病毒程序。不断完善各种杀毒软件的识别库对于改善网络安全问题大有裨益。其次,防火墙技术就目前来讲已经较为成熟,所谓防火墙技术,就是面向用户,在用户与互联网之间建立一道防范屏障,确保整个用户数据的安全性,防火墙技术在多年的发展过程中,不断自我完善,增添了监察功能,通知功能等,不仅能够为用户访问互联网提供建议,还能帮助用户对非法数据进行快速拒绝。可以说加强“双防”技术将对大大加强网络操作的安全性。
2.2 加密技术的深度应用
网络加密技术是针对用户的又一项安全措施,类似于防火墙,将互联网与用户通过密匙隔离开来,而只有通过一些特殊编码的数据或者信息才能达到合法访问的目的。加密技术可以在黑客或者病毒进行非法访问时,迅速开启驱赶模式,对恶意访问将有十分重要的预防作用。常见的密匙分为两种:第一种为公钥加密,这种密匙的主要特点是范围比较广,对于大范围计算机聚集区(例如办公场所)比较适用,可以在一定程度上防范非法访问请求,但是其缺点就是防范响应时间较长。第二种是私钥加密,这种密匙是在前者的基础上发展而来的,对于计算机数据安全要求较高的系统,往往采用私钥加密进行加密,这种密匙虽然在范围上不能像前者那样有广泛的适用性和认证,但是其快速的响应速度和便捷的实现要求都是其存在的必然条件。
2.3 内部管理意识的加强
互联网使用人数的增加,在另一方面体现了互联网受到大众高度的认可程度,但是在网络元素日益复杂化的今日,需要更多的网络安全管理人员加入到互联网的维护当中,这些技术人员在当今的互联网安全当中起着极其重要的作用,其内在素质的要求需要符合当今主流的价值观念。同时这些人员还要充当向用户推荐正版软件的作用,相比正版软件,盗版的软件存在很多不确定性,大量的盗版软件存在不仅会使得用户自身的数据安全受到威胁,也会使得大的网络环境受到不同程度的影响。
参考文献:
[1]刘可.基于计算机防火墙安全屏障的网络防范技术[J].电脑知识与技术,2013(06):1308-1309.
[2]李冬梅.计算机网络安全技术探析[J].计算机网络安全技术探析,2014(05):171-172.
关键词 电子货币 网络银行 网络安全
从1998年招商银行开通网络银行服务后,全国性的商业银行纷纷开通了网络银行业务,网上支付和银行卡支付已经成为目前我国电子支付的主流。2009年全国的支付总量约为1130万亿,其中300万亿元通过各商业银行支付系统完成,127万亿元由银联银行卡系统进行,电子货币将成为未来货币发展的主要趋势,而网络银行也将成为今后电子货币交易的主要平台。
一、 电子货币与网络银行的概念和特点
(一) 电子货币的概念
电子货币(Electronic Money)是以金融电子化网络为基础,以商用电子化机具和各类交易卡为媒介,以电子计算机技术和通信技术为手段,以电子数据(二进制数据)形式存储在银行的计算机系统中,并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。
目前,我国流行的电子货币主要有四种类型:
(1)储值卡型电子货币
一般以磁卡或IC卡形式出现,其发行主体除了商业银行之外,还有电信部门、IC企业、商业零售企业、政府机关和学校等。
(2)信用卡应用型电子货币
指商业银行、信用卡公司等发行主体发行的贷记卡或准贷记卡,可在发行主体规定的信用额度内贷款消费,之后于规定时间还款。
(3)存款利用型电子货币
主要有借记卡、电子支票等,用于对银行存款以电子化方式支取现金、转帐结算、划拨资金等。
(4)现金模拟型电子货币
一种是基于Internet网络环境使用的、将代表货币价值的二进制数据保管在微机终端硬盘内的电子现金;一种是将货币价值保存在IC卡内并可脱离银行支付系统流通的电子钱包。
(二) 电子货币的特点
电子货币可以在互联网上或通过其他电子通信方式进行支付,没有物理形态,为持有者的金融信用。现阶段,电子货币与实体货币之间以1:1的比率兑换,具备价值尺度和流通手段的基本职能,还有价值保存、储藏手段、支付手段、世界货币等职能。
具体而言,电子货币具有以下特点:
(1)依托电子计算机进行储存、支付和流通
电子货币以二进制数据的形式存在,离不开电子计算机,电子货币的普及和计算机技术的发展,促进了网络银行的诞生。
(2)可广泛应用于生产、交换、分配和消费领域
电子货币虽然不具有实物形态,但仍然具备货币的基本职能,能够在社会生产的各个领域发挥支付和流通手段的职能。
(3)融储蓄、信贷和非现金结算等多种功能为一体
货币电子化使多功能一体化得以实现,也使传统银行业务的办理更加便捷。
(4)电子货币具有使用简便、安全、迅速、可靠的特征
随着网络安全技术的提高,在大额支付领域,电子货币比传统货币更加便捷和安全。
(5)以银行卡(磁卡、智能卡)为媒体
电子货币的无形化使其必须以银行卡等为载体,这也成为电子货币区别于传统货币的一大特点。
(三) 网络银行的概念
网络银行又称网上银行、在线银行,是指银行利用Internet技术,通过Internet向客户提供开户、销户、查询、对账、行内转账、跨行转账、信贷、网上证券、投资理财等传统服务项目,使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。
网络银行业务可以分为信息服务、中间服务和全面服务三种,目前,我国网络银行的服务种类已经涉及到了各个领域。虽然美国网络银行的业务量占银行业务量的比例已接近50%,而我国尚不足1%,但随着我国电子货币的普及和网络的发展,网络银行的发展前景极为广阔。
(四) 网络银行的特点
银行是金融系统中的重要机构,而网络银行是金融电子化的产物,也是电子货币的主要交易场所,是传统银行与网络信息技术相结合的结果,与传统银行相比,具有与众不同的特点:
(1)电子化交易,无纸化经营
电子支票、电子汇票和电子收据代替纸质票据,电子现金、电子钱包、电子信用卡等电子货币代替纸币,交易业务通过数据通信网络进行,使无纸化交易在网络银行成为现实。
(2)便捷、高效的全方位服务
网上银行是在Internet上的虚拟银行柜台,又被称为“3A银行”,能够在任何时间(Anytime)、任何地点(Anywhere)、以任何方式(Anyway)为客户提供金融服务,使用户享受到不受时间、空间限制的全方位服务。
(3)降低成本,保证正常经营
现在零售交易上使用的现金,其成本大概是1.7%左右,而电子货币是0.6%左右。网络银行采用了虚拟现实信息处理技术,又可以在保证原有业务量不降低的前提下,减少营业点的数量,从而使银行的经营成本大大减少。
(4)简单易学,方便沟通
网络的普及使网上交易简单易学,而E-mail的通信方式也便于客户与银行之间以及银行内部的沟通。
二、 网络银行的电子货币交易模式及问题
电子货币是近年来日益流行的新兴货币形式,在网络购物、投资理财等领域发挥了传统货币不可比拟的重大作用。电子货币之所以能够基本上取代纸币在货币交易系统中流通,一方面由于信息时代对货币交易效率的要求,另一方面也由于电子货币便捷、易携带和安全等优点。
(一)现行的电子货币交易模式
网络银行作为电子货币的主要交易场所,其交易模式是网银用户和银行机构普遍关心的问题。目前,我国网络银行普遍使用SSL加密技术标准,在技术层面上可以保证数据在传输过程中的安全问题。
虽然各商业银行的安全认证工具不同,但总体而言,包括密码、文件数字证书、动态口令卡、动态手机口令、移动口令牌和移动数字证书等认证介质。密码是安全系数最低的认证工具,移动数字证书则是最安全的认证工具,其他认证工具的安全系数基本在80%以上,结合使用能保证基本的安全交易。
(二)网络银行的安全交易问题
CNNIC的调查结果显示,不愿意开通网络银行的银行客户中,有76%是出于安全考虑;开通网络银行的网络用户中,有16%对网络银行表示不满意;33%的网购用户不愿意选择网银支付货款。可见,网上银行的安全性没有因为其便捷性而被忽视,反而成为了阻碍网络银行发展的一大问题。
目前,网络银行存在的安全性问题主要包括以下几个方面:
1.对实体的威胁和攻击
各种自然灾害、人为破坏以及媒体的失窃和丢失,即针对银行等金融机构计算机及其外部设备和网络的威胁和攻击。
2.对银行信息的威胁和攻击
这包括信息泄漏和信息破坏。信息泄漏是指偶然或故意地获得目标系统中的信息,尤其是敏感信息而造成泄漏事件;信息破坏是指由于偶然事故或人为破坏,使信息的正确性、完整性和可用性受到破坏。
3.计算机犯罪
计算机犯罪是指破坏或者盗窃计算机及其部件或者利用计算机进行贪污、盗窃、侵犯个人隐私等行为,相对于传统犯罪而言,增长率高,损失更严重。
4.计算机病毒
犯罪分子通过计算机病毒入侵网银用户以非法获取个人隐私等,严重危及网银用户的安全。
三、 网络银行的安全交易对策
网络银行的安全涉及到网络平台的各个方面,按照OSI的七层网络模型,网络安全也包括物理层、链路层、网络层、操作系统、应用平台和应用系统安全等多个方面。虽然OSI只提供了一种抽象模型,但该模型能够提供五种安全服务:
(1) 鉴别
证明通讯双方的身份与其申明的身份相一致,这是使用网银的第一道防线。
(2) 访问控制
对不同的信息和用户设定不同的权限,保证只允许经授权的用户访问经授权的资源,这是对网银用户资料的安全保障。
(3) 数据机密性
保证通讯内容不被他人捕获,不会泄露敏感的信息,这是对通讯过程的保护。
(4) 数据完整性
保证信息在传输过程中不会被他人篡改,也就是电子货币在交易过程中不会出现问题。
(5) 不可否认性
证明一条信息已经被发送和接受,发送方和接受方都有能力证明接收和发送的操作确实发生了,并且能够确定对方的身份。
为了保证网络银行的安全性,必须在不同层次上采取不同的安全技术来保证系统的安全性能,目前被普遍采用的是网络层安全协议中的安全套接字协议(SSL)和安全电子交易标准(SET)。SSL为客户/服务器会话提供了服务器确认、客户确认、完整性和机密性等一系列安全服务。
除此之外,网络层安全技术还包括最广泛使用的防火墙技术,设立多重防火墙,一方面可以分隔互联网与交易服务器,防止互联网用户的非法入侵;另一方面可以分割交易服务器与银行内部网,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
在应用层上,信息认证技术是确认交易双方真实性和传输数据准确性的保证,网络银行已经采取了基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码等技术,尤其是中行为了防止诈骗推出的手机认证服务,更是为身份认证提供了重重保障。
在除网络层和应用层的其他层次上,网络安全技术也不可忽视,总而言之,网络安全是多层次的,要真正应对网络银行电子交易过程中的安全威胁,就要制定多层次、多体系的安全体系,实行24小时实时安全监控,随时进行系统漏洞扫描和实时入侵检测。
四、 结论
虽然采用电子货币支付很便捷,但由于电子货币的交易在网络中主要表现为数据的存储和传输,任何一个环节出错,都会影响数据的真实性和准确性,进而影响电子货币的安全交易。
从金融机构角度来说,电子货币自身的缺陷和交易过程的风险性不容忽视,尤其是其对金融系统安全的影响,需要金融监管部门的重视,更呼唤金融监管体系的完善。
从银行角度来说,继续扩大网络银行业务,发挥电子货币交易的巨大作用,但要注意从交易的每个环节采取严密的安全保护措施,使用高安全级的Web应用服务器,建议严密的安全控制体系,全程监控,多重认证。
从个人角度来说,要正确认识电子货币,运用辩证的观点看待这一新型货币,既不能因为电子货币的便捷性而否定现金在交易中的作用,也不能因为电子货币的风险性而彻底抵制电子货币的交易。在享受便捷的同时,也要重视电子货币的安全问题,设置安全可靠的密码,保护好其他认证工具,保证所有的交易都在安全可靠的网站进行,不随意泄露个人信息。
参考文献:
[1][美]玛丽•J•克罗宁.互联网上的银行与金融.经济科学出版社.2002.1.
中国网民规模与普及率
《报告》显示,截至2010年12月底,我国网民规模突破4.5亿大关,达到4.57亿,较2009 年底增加7330万人;互联网普及率攀升至34.3%,较2009年提高5.4个百分点。我国手机网民规模达3.03亿,较2009年底增加6930万人。手机网民在总体网民中的比例进一步提高,从2009年末的60.8%提升至66.2%。手机网民较传统互联网网民增幅更大,依然构成拉动中国总体网民规模攀升的主要动力。我国网民上网设备多样化发展,笔记本电脑上网使用率增速最大。2010年,网民使用台式电脑、手机和笔记本电脑上网的占比分别为78.4%、66.2%和45.7%,与2009年相比,笔记本电脑上网使用率上升最快,增加了15个百分点,手机和台式电脑上网使用率分别增加5.4%和5%。
虽然我国有线(固网)用户中宽带普及率已经高达98.3%,但是全国平均互联网平均连接速度仅为100.9 KB/s,远低于全球平均连接速度(230.4 KB/s)。目前,国内各省中河南、湖南和河北的平均连接速度排名前三,分别为131.2 KB/s,128.2 KB/s和124.5 KB/s。
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)16-4498-02
Computer Network Safe Protection
LUO Xiao-hui
(Artillery Academy of P.L.A, Hefei 230031, China)
Abstract: The unceasing thorough of informative construction develops , computer safe problem has also become the problem that people pay attention to increasingly, this paper has analysed some existent safe problems of computer network , and has put forward corresponding counter-measure.
Key words: network safety; safety is protected
随着信息化建设的深入发展,计算机网络不断发展壮大,随之而来的网络安全问题也益发凸显。如何采取有效的手段和对策确保计算机网络安全显得尤为重要。
1计算机网络的安全问题
目前,计算机网络安全存在的主要问题有以下几个方面:
1.1计算机病毒、木马和蠕虫泛滥
计算机病毒是人为编制的具有某种破坏作用的程序,并有隐蔽性、传播性和破坏性等特征。蠕虫是一段特别编制的在网络上传播并复制自身的代码。木马是隐藏在其他正常程序中的代码,隐蔽地向外发送信息或提供接口。严格地说,病毒、木马与蠕虫虽然是不同的,但它们具有一些共同特征,如隐蔽性和传播性。
1.2安全意识薄弱
随着计算机和网络的普及,应用水平有了较大的提高,随之而来的就是计算机操作人员的安全意识差,随意使用外来软件,甚至故意使用黑客软件对网络进行扫描和攻击,这给计算机网络安全造成了安全隐患。
1.3 防范手段单一
目前,计算机网络系统病毒防范大都采用软硬件“防火墙”等一般性技术防范非授权用户进入,缺少对间谍组织和不法分子用口令破解程序等高技术破坏、窃取手段的特殊防范措施。一些部门对计算机、笔记本电脑、闪存盘及软盘等办公设备管理不严格。个别单位对计算机网络安全工作疏于管理,甚至放任自流,检查、监管也多流于形式。
2网络安全对策
消除网络安全隐患,增强系统的稳固性,应从以下几个方面下功夫:
2.1 实施网络信息加密
通过网络信息加密可以保护网内的数据、文件、口令控制信息和网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。多数情况下,信急加密是保证信息机密性的惟一方法。计算机网络时代,信息的加密保护的对象包括传输信息和存储信息,存储信息又包括网络共享信息和用户私有信息。其中,共享信息中包含静态信息和数据库动态信息两种形式的保护。
2.2 强化保密安全管理
从以往网络安全和信息失密事件可知,造成网络出现安全隐患和信息失密的主要原因是疏于管理、警惕性不高。因此,要根据安全保密管理原则和系统数据保密原则,制定相应的管理制度,并采用相应的规范将计算机保密管理纳入基础管理内容。坚持对每台计算机的管理要责任到人,切实形成一级抓一级,一级对一级负责的网络安全制度。加强移动媒体管理,对办公用笔记本电脑、移动硬盘、USB闪存盘、光盘、磁盘等,按照类别、等级进行编号,登记造册,谁使用谁管理、谁负责,切实防止移动媒体失泄密事件发生。加强检查监督,不定期进行网络安全检查,积极倡导安全上网、健康上网的良好风尚,不断增强遵守网络安全纪律的自觉性。
2.3 加大信息保密技术应用
加大网络安全和信息保密的投入,配置网络监测设施,杜绝网络内部联接的随意性,关闭系统中与现行应用无关的程序,避免网络资源被盗用;加大对网络内部、外部非正常活跃主机的监管跟踪。限制受监管网络用户的自由度;增加网络信息保密技术和设施上的保障,避免用明码方式来传输保密信息。
2.4 分别保护密级
只要使用网络来交流信息,就存在安全问题。因此,既要充分了解自己保护什么、在什么地方保护,又要确定保密级别、保密程度、保密日期及对哪些人保密和保密范围等问题。凡涉及秘密级以上的信息,在没有绝对技术保障的情况下,不应联入网络,而对那些密级相对较低、交流广的信息,可充分利用现有的互联网络及相关的网络安全和信息保密技术来实现。
2.5 采用访问控制
访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和非法访问。访问控制包括入网访问控制、网络权限控制、网络监测、锁定控制、网络端口和节点控制以及防火墙控制。入网访问控制是第一层控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户人网的时间和准许他们在哪个工作站人网;网络的权限控制是针对网络非法操作所提出的一种安全保护措施,它控制用户和用户组可以访问哪些目录和文件,可以指定用户对这些目录和文件执行哪些操作;网络监测和锁定控制可使网络管理员对网络实施监控,记录用户对网络资源访间,对非法的网络访问,服务器应以图形或文字或声音形式报普;网络端口和节点控制能对网络服务器的端口自动回呼设备、静默调制解调器(带有自动拨号人网的网络使用)加以保护,并以加密的形式来识别节点的身份;防火墙控制是一个用以阻止网络中黑客访问某个机构网络的屏障,在网络边界上通过建立起来的相应网络通信监控系统,来隔离内部和外部网络,以阻挡外部网络的侵人。
2.6 加强防范黑客力度
防范黑客必须经常查阅网络设备主机的安全性漏洞情况的,并及时进行修补。有些漏洞的公布并不是由设备厂家先发现和的,绝大部分系统如果在大半年内没有更新安全补丁或修改系统安全参数,那么系统就可能被攻击.因而要多留意国内外各大安全站点的最新。同时,要大力发展我国自己的安全产品和网络设备。目前,我国使用的大部分网络产品和安全产品都被国外公司所垄断,而且一些外国公司在设计网络产品时,没有抱着对用户负责的态度,网络产品留有不同程度的“后门密码”,这些“后门密码”不是黑客安装的,而是厂家借各种所谓理由设置的。另外,还要全面综合地设计网络的安全体系,包括网络安全拓扑设计、应用平台的选型、安全防护产品的选型、强有力的入侵检测和漏洞扫描器、应急措施的制定、完善的人员管理制度、最坏情况的预先估计。
综上所述,计算机网络安全不仅仅是技术问题,同时也是一个管理问题。安全技术只是实现网络系统安全的工具,没有任何一种安全技术能够保证网络系统的绝对安全。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前,应依据有关法律法规及规章制度,从强化信息计算机网络安全和信息保密的保障入手,利用不断发展的数据加密技术和物理防范技术,分别在软件和硬件两方面采取措施,逐步实现计算机信息保密工作管理的制度化和科学化,以确保计算机网络的信息安全与保密。
参考文献:
中图分类号:TN711 文献标识码:A 文章编号:
前言
互联网技术的高速发展改变了人们的生产与生活,促进了经济与社会发展进步,在取得显著成效的同时,信息技术安全是不容忽视的重要问题。回顾我国当前的互联网发展,和发达国家相比还有较大差距,虽然也重视了网络安全技术的开发与运用,但是受制于人才以及设备、技术等方面的因素,安全防护工作难以达到令人满意的程度。当前,互联网技术与设备更新换代的速度不断加快,病毒攻击防不胜防,国内互联网安全工作现状不尽如人意。本文主要针对当前常用的网络攻击技术以及网络安全工作进行分析研究。
1、常用的网络攻击技术
目前,网络攻击方法层出不穷,而且随着技术的不断发展,网络攻击日益呈现自动化、低门槛的趋势,黑客、间谍常采用的网络攻击技术。
1.1 有机可乘的系统漏洞
系统漏洞是指应用软件或操作系统在逻辑设计上的缺陷或在编写时产生的错误,这些缺陷或错误可以被间谍利用以获取远程计算机的控制权,轻易窃取远程计算机中的重要资料。其主要方式是以口令为攻击目标,进行猜测破译,或避开口令验证,冒充合法用户潜入目标计算机,取得对计算机的控制权。尽管通过“打补丁”的方式可以缓解由“漏洞”引起的问题,但是大多数人没有及时“打补丁”的意识,可能造成计算机系统长期存在系统漏洞,这就给网络间谍以可乘之机。例如,网络扫描技术就是通过在Internet 上进行广泛搜索,以找出特定计算机或软件中的弱点。
1.2 里应外合的“木马”
“木马”是一种隐蔽的远程控制软件。计算机木马程序一般由两个部分组成:木马和控守中心。为了防止安全人员的追踪,往往再增加一个部分:跳板。它是木马与控守中心通信的桥梁,一般也是被攻击者控制的机器,木马通过跳板与控守中心联系,拥有控守中心的人就可以通过网络控制你的计算机,了解你的一举一动,捕获每一次键击事件,轻松窃取密码、目录路径、驱动器映射,甚至个人通信方面的信息及一切文档内容。如果你的机器上还带有麦克风或摄像头,那么窃听你的所有谈话内容和捕获一切视频流量对它来说也是举手之劳。
由于计算机系统本身存在的漏洞或使用者的安全意识不足,导致“木马”可以通过多种方式进入上网计算机。比如在浏览网页时,可潜伏在链接和图片中;收邮件时,可藏在附件里;下载程序时,可把自己和程序合并为一体。很多木马还会采用隐藏技术,如有的木马把名字改为window.exe,不熟悉系统的人根本不敢删除;还有的通过代码注入和dll插入技术,潜伏在系统进程如svchost.exe 或explorer.exe 中,从防火墙的监控日志中很难判断是正常连接还是恶意连接,由此,采用不同隐藏技术的木马就神不知鬼不觉地穿过了防火墙与控守中心通信了。据有关部门统计,“木马”攻击占全部病毒破坏事件的90%,仅2007 年上半年,境外就有近8万台主机对我境内计算机进行过木马攻击,我境内有近一百万台计算机被植入“木马”。
1.3 监听网络数据的嗅探器
网络嗅探即网络监听,是一种可以利用计算机网络共享通讯通道进行数据捕获的技术。嗅探侦听主要有两种途径,一种是将侦听工具软件放到网络连接的设备或可以控制网络连接设备的电脑上,比如网关服务器、路由器;另外一种是针对不安全的局域网,放到个人电脑上就可以实现对整个局域网的侦听。由于在一个普通的网络环境中,账号和口令等很多信息以明文方式传输,一旦入侵者获得其中一台主机的管理员权限,就可以窃听到流经整个局域网的数据,并有可能入侵网络中的所有计算机。网络监听软件可以监听的内容包罗万象,从账户密码到聊天记录,从电子邮件到网页内容。不久前,一款MSN 的监听软件在互联网上盛行,只要下载安装这个软件,任何一个普通人都能在网上监听本地局域网内所有人的MSN 聊天内容。
1.4 不知不觉窃走隐私的“摆渡”病毒
“摆渡”病毒以移动存储设备为媒介,在电脑间传播。据传该病毒是美国中情局授意微软特意留下的漏洞,与系统结合,具有消息阻塞功能,目前没有任何杀毒软件能侦测该病毒。以U盘为例,通过互联网或其它途径,使U盘感染“摆渡”病毒,当U盘插入计算机时,在无任何操作和显示的情况下,U盘内的“摆渡”病毒按事先设定好的窃密策略,将文件从机中复制到U盘隐藏目录下。一旦此U盘再次插入上网计算机,文件就会被“摆渡”病毒转移至上网计算机中,窃密者即可实施远程窃密。
1.5 偷窥电子邮件的食肉动物
写好的电子邮件发送到互联网上后,它将被发至服务商的邮件服务器中暂存一段时间,经过分拣发往下一目标,在经历了多个邮件服务器后,才会到达收件人的邮箱中。可见,所发出的电子邮件从进入互联网开始,就有可能被一些管理着邮件服务器的人员看到。由美国联邦调查局开发的“食肉动物”就是一个安装在邮件服务器中的邮件监视系统,它能监控服务器上发出和接收到的所有邮件,并从中猎取各种重要信息,比电话窃听器还危险。这种系统为美国政府掌握,对其情报收集不愧为一把利器,如果谁想用电子邮件来传递信息,简直无异于“自投罗网”。
1.6 无线互联功能的计算机及其设备窃密
具有无线上网功能的计算机及无线键盘、无线鼠标等无线设备,如果采用开放的信号传输,任何具有接收功能的设备都可接收到其传输的信息,即使采用了加密技术也能被破解。
当前,英特尔公司推出的迅驰移动计算技术已成为主流高端笔记本电脑的标准配置,这种笔记本电脑具有自动寻址、联网功能,无需外加模块就能以对等方式与其它有此功能的笔记本电脑无线互联,也能以接入方式通过无线交换机组成无线网络系统,无线联接的有效距离近百米。如用使用这种笔记本处理信息,可以被其它笔记本或无线交换机联通,导致信息被窃取,并且不易察觉;如果作为终端接入网络,在工作时被其它笔记本无线联通,将使整个网络的信息都面临被窃取的危险;而安装有Windows操作系统并具有无线联网功能的笔记本电脑即使不处理信息,只要上互联网或被无线互联,就有可能通过空口令、弱口令及IPC 共享等漏洞被取得控制权,进而将麦克风打开,使笔记本电脑变成窃听器,造成泄密[4]。一些安装有无线网卡、具备无线上网功能的台式计算机同样存在以上隐患。
2.提高网络攻击防卫能力的措施
2.1 完善网络安全管理。
要进一步完善计算机与网络管理的制度,强化主动预防,凡是计算机均要严格按照物理隔绝以及网络防御要求落实到位。凡是补丁程序要及时安装,提高计算机系统的防御水平,要借助于网络安全管理制度的落实来提高安全管理水平。
2.2 加大软件研发力度。
针对当前出现的各种网络攻击行为,国家安全部门以及信息研发机构要强化软件研发力度,变被动为主动,开发研制各种防御性软件技术。同时,要立足于网络攻击的环节、特点,开展针对性的研究工作,提高网络防御研究的针对性,还要具有研究的前瞻性,针对可能出现攻击的薄弱环节进行超前研究,防患于未然。
2.3 强化人员技术培训。
要对相关计算机操作使用岗位的人员进行防网络攻击专门业务培训,对于不同类型、级别的计算机防网络攻击工作,实施相应的培训,同时要开展防御知识普及工作,提高全民防网络攻击意识与能力水平。
结束语
综上所述,在当前信息化社会背景下,网络攻击行为不可避免,国内相关机构与群众应当提高防御意识,掌握基本技术与手段,保护好信息安全,将因信息失密造成的损失降到最低。
中图分类号:TN925
现在,互联网以成为人们不可或缺的重要工具和载体,更多的用户正在摆脱传统的有线上网方式,转而应用各类无线终端来获取信息或互动服务。近几年,越来越多的无线访问接入点更加普及,各类无线路由器正在单位或家庭发挥着重要的作用,无线网络的接入给人们带来了更多便利,但是无线网络也存在许多不安全因素。基于此,下面就无线网络安全所面临的问题进行探讨。
笔记本大都具备无线网络模块,办公及家庭环境中的无线网络需求正进一步增加。人们都希望借助笔记本或手机随时接入互联网,所以,无线网络得到了广泛的普及。无线网络普遍采用公共电磁波式的发送方式,与早期的交换机有类似指出,接入网络的用户都会在该无线局域网中获取或窃取信息。借助专用的抓包工具,进行处理后,可以借机免费上网甚至进入网内的服务器。几年前,wpa的加密方式已经被破解了。近期,有些分布式解密破解工具,正在试图实现对wpa无线网络密钥的破解。软件功能的日益强大,使得无线网络受到较大威胁。
1 无线网络的常见类型
依据网络传授速率、辐射范围和应用放马的不同,无线网络主要包括无线广域网、城域网、局域网和个域网等。
1.1 Wireless Wide AreaNetwork即为无线广域网,是借助通讯卫星传输数据的网络,覆盖范围非常大。常见技术有3G、4G网络,传输速率可以达到2MB/S以上。因为3G更趋于成熟化,许多国际上组织逐步发展传输速率更高、更为灵活的4G网络。
1.2 Wireless Metropolitan AreaNetwork即为无线城域网,是指通过移动电话或者车在设备实现数据通讯的方式,通常能覆盖一个城市。
1.3 Wireless Local Area Network即为无限局域网,其覆盖范围相对较小。数据传输在11M到56MB/S之间。有效传输距离再100M以内。传统技术是IEEE802.11和HomeRF无线标准。IEEE802.11涵盖802.11b/a/g的无限网络表彰,可以支持校园网或办公网的数据传输。
1.4 Wireless Personal Area Network即为无线个域网,一般是个人笔记本中的无线模块间的网络。传输距离在十几米之内,常见保证是IEEE 802.15、蓝牙等,传输速率可以达到0Mb/s。蓝牙的工作频段为2.4GHz,成本低,短距离传输数据较为方便,支持多达7个无线设备。IEEE802.15也支持Wireless Sensor Networks范围内的无线节点的通讯。
1.5 Wireless Body Area Network即为无线体域网,主要应用于医疗、娱乐和军事范围内的无线环境,可以在人体体表或体内嵌入的传感器上实现无线通讯。Wireless Body Area Network比Wireless Personal Area Network Communication Technologies传输距离短,这是无线域网的主要特征之一。
2 现实中无线局域网面临的安全隐患
无线网在开放的空间在传输数据,因此,只要具备恰当的无线终端,即可在信号可及的范围内接入无线网络。也正因为如此,无线网络存在以下安全隐患:
2.1 非法用户接入的隐患。视窗系统集成了自搜索无线信号的模块,只要对于此有常规的知识,对于安全等级较低或没有安全设置的网络,非法用户即可轻易进入该无线网络。接入后,非法用户可以挤占合法用户的带宽,甚至修改路由器的设置,造成正常用户无法接入,甚至造成用户的信息被非法用户窃取。
2.2 非法接入点的安全隐患。无线局域网访问简单、设置方便,普通人都可以自行购买无线接入点,绕过授权而进入网络。用户在应用方便的目的的驱使下,自行安装Access Point,非法进入无线网,在该Access Point范围内的任何人都能进入无线网,这就对网络造成了极大的隐患。
2.3 数据安全隐患。无线信号通过开放性空间传递,非法用户获取无线网络信号后,可能会进行以下不安全设置:一是破解无线网络安全规则,显示Service Set Identifier,突破wpa加密,取消mac过滤,造成门户大开。二是窃取传输数据。非法用户可以借助Ethereal等网络工具侦听通信数据,进而破坏信息的传递等。
3 无线网络安全技术措施
为了消减无线网络中的安全隐患,许多安全技术也逐步应用起来,比如过滤物理地址、匹配SSID、控制访问端口等。此类技术都依据网络的认证性、完整性等核心要素进行防护。其他还有密钥管理等机制,来扩展安全措施。
3.1 无线网络匿名身份双向认证。无线网络通讯双方通讯之前要进行几名身份双向认证,FA和MIN是通讯的双方,MIN对FA的认证是通过MIN对HA的认证和HA对FA的认证来构成。依托公钥协议实现HA和FA的双向认证,时间戳记和签名以HA对MIN临时身份的对应协定来认证MIN的有效身份。以双线程的特性实现认证。
3.2 引入会话密钥的有效及时性。FA和MIN的会话密钥E都是上次会话阶段MIN选定的随机值ram凭借Ek=H 3(bi-1||ki-1)测试得出,每次通讯时密钥都不一样,凸显每密一换,也依次确保会话密钥的有效及时性。
3.3 过滤物理地址。每个网卡的物理地址都是唯一的,可以在路由器中设置多个允许访问的物理地址表,实现物理地址的过滤。该方法适合于接入点不多的情况,而且非法用户也可以修改物理地址来达到入侵无线网络的效果,所以,过滤物理地址并非安全有效的防范措施。
3.4 服务区标识符(SSID)匹配。可以借助服务区标识符设置,对用户群体进行分组,避免漫游方面的安全隐患。因为客户端要与接入热点的服务区标识符相同,才可以接入。另外可以隐藏access point和服务区标识符来实现保密。所以服务区标识符加上密码认证的方式,可以实现安全防护。
3.5 端口访问控制技术。该技术依据端口访问控制管理协议机制,在物理层和物理地址层控制接入设备,关联无线访问点和工作站后,如果802.1x认证通过,就可以为热点放开这个端口,如果没有通过,就不授权访问。
4 结束语
无线网络技术在不断发展,所带来的安全隐患也层出不穷。要不断研究并应用新型的安全防范措施,才能保障网络的安全和访问的畅通。
参考文献:
[1]李林,刘毅,杨骏.无线网络安全风险评估方法的应用研究[J].计算机仿真,2011(09):147-150.
[2]樊昕.浅谈乡村网络发展新趋势[J].农家之友(理论版),2008(05):3.
[3]池水明,孙斌.无线网络安全风险及防范技术刍议[J].信息网络安全,2012(03):25-27.
2.供电公司网络安全的解决途径
交换机在接入后,IEEE802.1x协议将会生效,并从Radius服务器中认证用户。802.1x计算机客户端软件在一般状态下,与终端接换机接入后,802.1x协议则会生效,并设定各个端口只能够认证通过一台终端。对于相同的HUB和交换,因其不能提供协议认证端口,能够进行暂时性的uilt-auth认证,从而确保通过所有终端认证。交换机更换后,取消端口认证,并配置下级交换机认证。将Radius服务器设置于信息中心,从而确保Radius服务器工作的可靠性,并保证2台以上的Radius服务器,使其实现账号的自动同步。在配置交换机时,对各个端口的MAC地址数量进行严格控制,设置值默认为1。通过对登陆交换机进行检查,确定HUB的端口,通过分线的方法达到接入要求,也可用管理交换机替换原来的HUB,从而确保交换机接入端口仅仅存在一台认证通过的终端与网络相互连接,也可下接设备为802.1x接入认证提供支持。Cisco交换机与终端端口相互连接后,会将BPDUGUARD功能启动,进而避免计算机端口与HUB或交换机随意连接,进而形成网络环路。在网络监察过程中,终端可能并未打开,这就容易形成端口与多台计算机相互连接的现象,需要进行严格控制,在其他终端开机后,无法实现网络连接。信息中心技术支持人员需要配置交换机,保证其与网络的顺利连接。在交换机端口与管理交换机相互连接,而非终端时,需要将BPDPGUARD功能关闭,避免交换机端口的自动关闭。建立每个VLAN独立的ACL并应用后,实现VLAN之间三层隔离的目标。因为目前的业务主要体现为信息中心机房内,因而VLAN只能够访问信息中心服务器,且不限制访问其他兄弟单位网络。自动绑定交换机端口和MAC地址,通过“port-securitymaximum”对所有交换机端口接入终端的数量进行控制。利用DHCP服务器内的IP地址保留方式,绑定MAC地址和IP地址,而且,在开启交换机DAI功能后,只能允许终端以过DHCP方式获取IP地址,避免终端手动指定IP地址,进而出现IP地址冲突或是盗用问题。联合应用DAI和DHCPSnooping,有助于ARP攻击的控制。以保留IP的形式在DHCP服务器上对IP地址进行重新分配,从而实现绑定IP地址和MAC地址的目标。为了对非法DHCP服务器进行限制,应控制交换机,确保全部终端均获得合法DHCP服务器的地址。少数计算机需要经常性与各个VLAN网络接入,应实现VLAN内各个IP地址的分配。
第二,ARP攻击的有效预防。供电公司对于这一问题的规定为:将DHCPSnooping应用于全部供电设备,DAI应用于全部新设备,避免受到ARP攻击。通过保留IP的形式,通过DHCP服务器分配地址。
第三,HUB(HUB是一个多端口的转发器,当以HUB为中心设备时,网络中某条线路产生了故障,并不影响其他线路的工作)的混接控制。该现象所导致的安全隐患表现为:供电公司的网络与路由器、HUB等设备相互连接,这就容易增加用户用电的困难。供电网络安全改造过程中,利用人工检查与网管系统相结合的方式,确定相关的UB端口,一次接入,将HUB这一环节撤销,保证增加端口,经8换机网管,替代传统设备,保证网络与全部交换机接入端口相互连接。第四,为多个部门建立Radius服务器的账号。供电公司对于这一问题的规定为:建立独立的桌面管理系统数据库或是部门之间关联的数据库,验证全部部门用户密码和账户基本相同。第五,网络接入认证,确保桌面管理系统的安装率。供电公司对于这一问题的规定为:桌面管理系统安装率100%,严格认证网络和计算机之间的连接。其主要的安全问题是:不安装桌面客户端的电脑,电脑终端会自动化分和修复VLAN,访问服务器,自动将客户端、杀毒软件和补丁安装在电脑上。客户端安装后,各部门可以由客户端进入并选择,则获取其中的地址和系统用户名。
2供电公司网络安全的解决途径
交换机在接入后,IEEE802.1x协议将会生效,并从Radius服务器中认证用户。802.1x计算机客户端软件在一般状态下,与终端接换机接入后,802.1x协议则会生效,并设定各个端口只能够认证通过一台终端。对于相同的HUB和交换,因其不能提供协议认证端口,能够进行暂时性的uilt-auth认证,从而确保通过所有终端认证。交换机更换后,取消端口认证,并配置下级交换机认证。将Radius服务器设置于信息中心,从而确保Radius服务器工作的可靠性,并保证2台以上的Radius服务器,使其实现账号的自动同步。在配置交换机时,对各个端口的MAC地址数量进行严格控制,设置值默认为1。通过对登陆交换机进行检查,确定HUB的端口,通过分线的方法达到接入要求,也可用管理交换机替换原来的HUB,从而确保交换机接入端口仅仅存在一台认证通过的终端与网络相互连接,也可下接设备为802.1x接入认证提供支持。Cisco交换机与终端端口相互连接后,会将BPDUGUARD功能启动,进而避免计算机端口与HUB或交换机随意连接,进而形成网络环路。在网络监察过程中,终端可能并未打开,这就容易形成端口与多台计算机相互连接的现象,需要进行严格控制,在其他终端开机后,无法实现网络连接。信息中心技术支持人员需要配置交换机,保证其与网络的顺利连接。在交换机端口与管理交换机相互连接,而非终端时,需要将BPDPGUARD功能关闭,避免交换机端口的自动关闭。
建立每个VLAN独立的ACL并应用后,实现VLAN之间三层隔离的目标。因为目前的业务主要体现为信息中心机房内,因而VLAN只能够访问信息中心服务器,且不限制访问其他兄弟单位网络。自动绑定交换机端口和MAC地址,通过“port-securitymaximum”对所有交换机端口接入终端的数量进行控制。利用DHCP服务器内的IP地址保留方式,绑定MAC地址和IP地址,而且,在开启交换机DAI功能后,只能允许终端以过DHCP方式获取IP地址,避免终端手动指定IP地址,进而出现IP地址冲突或是盗用问题。联合应用DAI和DHCPSnooping,有助于ARP攻击的控制。以保留IP的形式在DHCP服务器上对IP地址进行重新分配,从而实现绑定IP地址和MAC地址的目标。为了对非法DHCP服务器进行限制,应控制交换机,确保全部终端均获得合法DHCP服务器的地址。少数计算机需要经常性与各个VLAN网络接入,应实现VLAN内各个IP地址的分配。
随着社会信息化的快速发展,学校的教学与管理也面临着巨大的机遇和挑战,如何充分利用信息化技术,加快实现信息化教学进程,是目前学校管理的重要问题。特别是手机的普及,学何如何让学生利用手机设备进行教学呢。很多多学校采用反转课堂模式,课下让同学们提前学习,如何能够保证手机流量呢,很多学校采取了无线Wifi全覆盖。无线WIFI的设备每年都在不断的更新,作为学校的网络管理员,对于构建一个稳定、安全、高效的无线网络环境,是每个管理者都需要面对和解决若干问题。以下的内容重点探讨如何对无线网络进行规范和管理。
一、无线Wifi设计原则
一是实用性。在设计过程中遵循面向应用的原则,注重应用的实际效果,首先是最先使用的要覆盖,对不着急用的,可以慢慢的完善。不需要设计不实用的无线网络,也不要设计利用率真不高的网络。
二是安全性。现在的网络安全已上升到国家层面,所以网络安全是首位的,设计的网络必须有高度的安全机制,要有灵活的权限设置,有专人管理,防止别人非法入侵和机密泄露。
三是先进性。采用先进成熟的网络概念、技术、方法与设备,反映当今先进水平,又给未来的发展留有余地;充分采用目前国际、国内流行和成熟的技术,保证网络能适应技术的快速发展。
四是可靠性。系统必须可靠运行,主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失。
二、设备选型
(一)校园无线网络的覆盖范围与相关设备的选型
根据学校的硬件与场地配置,对校区范围内现场进行观察规划,确定主要分为室内和室外,室外的公共区域无线覆盖选用高功率AP(WA-3000-N),能够提供500mW的大功率输出。标准反极性SMA天线接口,可按需求配置不同外接天 线或接入室分网络进行无线覆盖。最高支持1500Mbps的传输速率,胖瘦一体,支持标准POE供电,能够进行AC集中管控和POE集中供电。
室内AP采用吸顶式:需要采用一体化吸顶式设计, 可以便捷的安装于各类天花板上,不破坏室内原有装修设计。内置的 IEEE 802.11b/g/n无线模块,最高支持300Mbps传输速率,可连接笔记本、平板电脑、智能手机等无线终端设备。内置天线的设计,使其外 观能够更好的和室内装修融合。无线AC采用H3C WX6100E,提供对网络内的用户控制管理、快速漫游、超强的Qos, 采用WPA/WPA2和802.1X认证相结合的方式AES、TKIP以及WEP加密等手段方式增强了无线网络安全,以实现对整个网络的管理和安全策略。
(二)无线接入方式
无线Wifi网络主要是为在校师生提供无线接入服务,由于无线覆盖的广泛性,使用者身份的不确定,防止非法身份的客户登陆,只有获得授权的网络用户可以使用;无线认证需要具备便捷、快速、认证多元化等要素,具体需要实现如下功能:无线接入终端采用PORTAL方式,推送WEB页面,将用户强制引导至指定网页(企业活动宣传、接入认证),并对智能手机、平板电脑、笔记本电脑分别推送不同的内容;对WEB认证网页进行在线定制管理,根据不同区域认证策略提供独立的
三、无线接入的网络安全管理
网络的安全需要保证用户、设备、安全、信息安全等的安全。这个为了保证用户的安全,我们上网的保护是湿法磷酸技术和预共享密钥的使用,克服了WEP认证的缺陷,和容易发生泄露,包括身份验证、算法的加密和完整性和一系列的安全解决方案。这个对于室内安装的AP,放在室内高处,访问控制和报警系统的AP,确保设备安全;在屋顶和墙高AP室外安装,通过POE模式供电,与802.af协议,通过网络电缆传输数据和电源的同时,减少系统布线成本增加网络安全与稳定。
WIFI网络作为移动互联网的主要构成部分,在信息化时代,几乎每个人都需要接入 网络获取信息、移动办公、学习等。随着智能手机、平板电脑等智能终端的不断普及,传统的有线接入方式早已无法满足现阶段网络需求,WIFI网络的普及对校 园信息化建设,教师移动办公等方面起到了很大的助力作用。
参考文献: