无线网络安全措施(6篇)
无线网络安全措施篇1
关键词:无线局域网;安全措施
引言
随着无线技术和网络技术的发展,无线局域网(WLAN)接入技术已经成为市场和应用的热点。无线局域网具备众多有线局域网不可比拟的优点,包括快捷方便的无线接入、灵活多变的拓扑结构、易于维护管理、低廉的建设成本等。然而,由于无线网络是基于无线空间的通信技术,入侵者无需物理线路连接就可以对其进行攻击;同时,由于WEP协议本身的缺陷,使得WLAN的安全问题显得尤为突出。本文主要针对WLAN的安全问题提出了几种解决措施。
1WLAN存在的安全问题
与传统的有线局域网相比,WLAN比较灵活,而且它的投资少,扩展能力强。但是,从另一方面来讲,正是因为WLAN的这种灵活性,给它带来了有线局域网不存在的安全隐患和安全漏洞。
1、非法接入网络
对于企业来说,内部网上的数据包含着企业宝贵的信息资产,肯定不希望“外人”有意或无意访问到。对于电信网络来说,非法接入网络也是运营商面临的最大的安全威胁。攻击者可以借此逃避通信费用;如果攻击者冒充其他合法用户,还会给他人造成经济损失。
2、伪AP和伪网络
攻击者部署假冒的网络接入设备诱使合法用户访问。这种攻击形式成本较高,但带来的威胁也是严重的。比如,攻击者可能在热点区域部署假冒的AP诱使合法用户接入,进而伪造登录页面骗取用户输入账号口令等。或者,攻击者可能伪造各种网络设备(如DNS或DHCP服务器),重定向用户通信数据到其不希望的网络。
3、网络窃听
有线网络可以采用物理隔离的手段减少网络窃听的威胁,而无线网络则完全暴露在窃听者面前。无线局域网由于其传输介质是共享的,其上收发的数据就更容易被窃听。现在市场上大多数的以太网卡都提供一种“混淆模式”,它带有蜕壳软件可以捕捉网络上的每一个包。窃听者通过在其计算机上安装Sniffer、ethereal等软件,可以轻易捕获、显示网络上的数据包。窃听者对网络数据的窃听主要是窃听用户业务数据。
4、数据篡改
篡改报文是一种常见的主动攻击形式,攻击者通过构造虚假报文对受害者进行欺骗。在无线局域网中,攻击者对数据的篡改存在以下三种可能:(1)对业务数据进行篡改,以达到欺骗合法用户的目的;(2)伪造用户请求,非法接入网络;(3)伪造或篡改网络管理控制报文,造成系统或设备无法正常工作。
2WLAN的安全措施
针对上述的无线局域网的安全问题,现在已经有了很多针对性的解决方案,包括管理措施、操作措施和技术措施等方式。本文就从这几个方面来分别进行总结分析。
(1)管理措施:用以加强无线网络安全性的管双措施应该从一个全面的安全措施来考虑。安全的管理措施是规范和实现操作措施和技术措施等其他安全措施的基础。一个WLAN安全措施应该做到以下几个方面。
在企业中确定可能使用WLAN的用户;确定是否有必要访问Internet;记录可能安装按入点AP和其他无线设备的人;对无线接入点AP位置和物理安全加以限制;描述无线连接上可能传输的信息类列:描述允许无线设备工作的条件;为接入点AP确定标准的安全配置;描述无线设各位用上的一些限制,如位置等:描述任何接入设备的软硬件配置;制定报告无线设备丢失及其他安全事件的制度;制定使用加密及其他安全软件的制度;确定安全评估的范围和次数。另外一条管理措施是确保所有核心雇员在无线技术使用方面,都接受良好的培训,网络管理员要充分认识到WLAN和无线设备所引起的安全风险,要确保安全措施的确实施,清楚对攻击事件应该采取的措施。最周,最为重要的措施是培训用户。企业WLAN系统模型如图1所示:
图1企业WLAN系统模型
(2)操作措施:加强物理安全,确保只有授权的用户可以访问无线设备。支持无线网络的设备需要物理访问控制,例如照片识别、读卡机或生物特征识别等,这些方法能够将非法入侵设备的风险降到最低。在WLAN中,决定接入点AP的放置位置时,必须考察AP的工作范围。如果AP的工作范围超过了办公大楼,那么这种范围的超出将产生一个安全威胁。位置勘测工具可以测量和增强AP覆盖范围的安全性。虽然给信号覆盖范围可以为WLAN提供一些有利条件,但这并不能视为一种安全的网络解决方案。攻击者使用高性能天线仍有可能在无线网络上窃听传输的数据。但是只要使用较强的加密方法,用户完全可以防止攻击者进行窃听。
(3)技术措施:技术措施包括使用硬件和软件解决方案来增强无线网络的安全性。软件解决方案包括正确配置接入点AP、软件补丁与升级、身份认证、入侵检测系统(IDS)以及加密等措施。硬件解决方案包括智能卡、虚拟专用网(VPN)、公钥基础设施(PKI)和生物特征识别等。
参考文献:
[1]JGeier,王群,李馥娟,叶清扬译.无线局域网[M].北京:人民邮电出版社,2001.
[2]Douglas.R.Stinson,冯登国.密码学原理与实践[M].(第二版).北京:电子工业出版社,2003.
无线网络安全措施篇2
【关键词】信息系统网络安全评价指标
根据国家网络和信息系统的安全性要求,结合多年的网络管理经验,从以下五个指标对信息系统网络安全进行评价:
1.实体与环境安全
实体与环境指计算机设备及计算机网管人员工作的场所,这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低限度。可以从以下几个方面来检查:
(1)机房周围环境
机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。
(2)机房周围100m内有无危险建筑
危险建筑:指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。
(3)有无监控系统
监控系统:指对系统运行的环境、操作环境实施监控(视)的设施,及时发现异常,可根据使用目的不同配备以下监视设备,如红外线传感器、监视摄像机等设备。
(4)有无防火、防水措施
防火:指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材,如卤代烷1211和1301自动消防系统或灭火器。
防水:指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层,有暖气装置的机房沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。是否装有漏水传感器。
(5)机房有无环境测控设施(温度、湿度和洁净度),如温湿度传感器
温度控制:指机房有空调设备,机房温度保持在18—24摄氏度。
湿度控制:指相对湿度保持在40%—60%。
洁净度控制:机房和设备应保持清洁、卫生,进出机房换鞋,机房门窗具有封闭性能。
(6)有无防雷措施(具有防雷装置,接地良好)
计算机机房是否符合GB157《建筑防雷设计规范》中的防雷措施。
在雷电频繁区域,是否装设有浪涌电压吸收装置。
(7)有无备用电源和自备发电机
(8)是否使用UPS
UPS:(UninterruptiblePowerSystem),即不间断电源,是一种含有储能装置,以逆变器为主要组成部分的恒压频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。
(9)是否有防静电措施(采用防静电地板,设备接地良好)
当采用地板下布线方式时,可铺设防静电活动地板。
当采用架空布线方式时,应采用静电耗散材料作为铺垫材料。
通信设备的静电地板、终端操作台地线应分别接到总地线母体汇流排上定期(如一周)对防静电设施进行维护和检验。
(10)是否保证持续供电
设备是否采用双路市电供电,提供冗余备份,并配有实时告警监控设备。是否与空调、照明用电分开,专线供电。
(11)是否有防盗措施
中心有人值班,出入口安装防盗安全门,窗户安装金属防护装置,机房装有无线电遥控防盗联网设施。
2.组织管理与安全制度
(1)有无专门的信息安全组织机构和专职的信息安全人员
信息安全组织机构的成立与信息安全人员的任命必须有有关单位的正式文件。
(2)有无健全的信息安全管理的规章制度
是否有健全的规章制度,而且规章制度上墙;是否严格执行各项规章制度和操作规程,有无违章操作的情况。
(3)是否有信息安全人员的配备,调离有严格的管理制度
(4)设备与数据管理制度是否完备
设备实行包干管理负责制,每台设备都应有专人负责保管(包括说明书及有关附件);在使用设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作;禁止在计算上运行与业务无关的程序,未经批准,不得变更操作系统和网络设置,不得任意加装设备。
(5)是否有登记建档制度
登记建档是做好网络安全工作的前提,一些技术资料对网络安全工作很重要,要注意收集和保存。可从以下几个方面检查相关文档:
策略文档(如,法规文件、指示)、系统文档(如,系统用指南、系统管理员手册、系统设计和需求文档、采购文档)、及安全相关的文档(如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略)都可提供系统使用的或计划的安全控制方面的信息。任务影响分析或资产重要性评估可提供有关系统和数据重要性及敏感性的信息。
设计资料,如网络拓扑结构图,综合布线结构图等。
安装资料,包括安装竣工及验收的技术文件和资料。
设备升级维修记录等。
(6)是否有紧急事故处理预案
为减少计算机系统故障的影响,尽快恢复系统,应制定故障的应急措施和恢复规程以及自然灾害时的措施,制成手册,以备参考。
(7)是否有完整的信息安全培训计划和培训制度
开展网络安全教育是为了使所有人员了解网络安全的基本常识及网络安全的重要性,要坚持经常的、多样化的安全教育工作,广播、图片、标语、报告培训班都是可以采用的宣传教育方式。
(8)各类人员的安全职责是否明确,能否胜任网络安全管理工作
应对网络管理人员严格分工,使其职责分明,要对网络管理人员定期进行安全培训及考核,对关键岗位人员,应该持有相应的认证。
3.安全技术措施
(1)是否有灾难恢复的技术对策
是否为网络中断和灾难做好准备,以及如何快速反应将中断和损失降至最小。灾难恢复措施包括灾难预防制度、灾难演习制度及灾难恢复制度。
(2)是否有系统安全审计功能
安全审计功能主要是监控来自网络内部和外部的用户活动,侦察系统中存在现有和潜在的威胁,对与安全有关的活动的相关信息进行识别,记录,存储和分析,安全审计系统往往对突发事件进行报警和响应。
(3)是否有系统操作日志
系统操作日志:指每天开、关机,设备运行状况等文字记录。
(4)是否有服务器备份措施
服务器数据备份是预防灾难的必要手段。随着对网络应用的依赖性越来越强和网络数据量的日益增加,企业对数据备份的要求也在不断提高。许多数据密集型的网络,重要数据往往存储在多个网络节点上,除了对中心服务器备份之外,还需要对其他服务器或工作站进行备份,有的甚至要对整个网络进行数据备份,即全网备份。网络备份需要专业备份软件,BackupExec就是其中的一种,是为中小企业提供的基于Windows平台的网络备份与恢复解决方案。
(5)是否有防黑客入侵设施
防黑客入侵设施主要是设置防火墙和入侵检测等设施。
防火墙是为了监测并过滤所有内部网与外部网之间的信息交换,保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志。防火墙有三种类型,包括过滤防火墙、型防火墙和状态监测型防火墙。
入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。它通过对计算机网络或计算机系统中若干关键点收集信息并对其分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
(6)是否有计算机病毒防范措施
计算机病毒防范措施:备有病毒预防及消除的软、硬件产品,并能定期的升级。设置客户端级防护、邮件服务器级防护和应用服务器级防护。
4.网络与通信安全
(1)放置通信设施的场所是否设有醒目标志
从安全防范的角度考虑,安装有关通信设备的地方不应加标志。配线架或MODEM柜应加锁,禁止无关人员入内。
(2)重要通信线路及通信控制装置是否均有备份
重要的通信线双重化以及线路故障时采用DDN通信线或电话线ISDN等后备功能;从计算中心连出的重要通信线路应采用不同路径备份方式。
(3)是否采取加密措施
数据加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变只有授权接收者才能还原并阅读的编码。其过程就是取得原始信息并用发送者和接收者都知道的一种特殊信息来制作编码信息形成密文。
(4)系统运行状态有无安全审计跟踪措施
安全审计是模拟社会检察机构在计算机系统中监视、记录和控制用户活动的一种机制。它是影响系统安全的访问和访问企图留下线索,以便事后分析和追查,其目标是检测和判定对系统的恶意攻击和误操作,对用户的非法活动起到威慑作用,为系统提供进一步的安全可靠性。
(5)网络与信息系统是否加有访问控制措施
访问控制措施:指能根据工作性质和级别高低,划分系统用户的访问权限。对用户进行分组管理,并且应该是针对安全性问题而考虑的分组。
5.软件与信息安全
(1)操作系统及数据库是否有访问控制措施
把整个系统的用户根据需要分为不同级别;不同级别的用户享有对系统的文件、数据、网络、进程等资源的权限,并进行记费管理;还可根据不同的用户设置不同的安全策略,将超级用户的权限细化(可分为系统管理员、安全管理员、数据库管理员、用户管理员等)。
(2)应用软件是否有防破坏措施
对应用程序安全的考虑可以遵循如下的方向:对通用应用,如消息传递、文件保护、软硬件交付等,制定通用技术要求;对于特定的复杂应用,可分解为通用应用,同时考虑互操作性问题。一般来讲,应用程序的安全机制应该包括以下内容:身份标识与鉴别、数据保密性、数据完整性、数据可用性、配置管理等。
(3)对数据库及系统状态有无监控设施
可以使用系统安全检测工具来定期扫描系统,查看系统是否存在各种各样的漏洞。
(4)是否有用户身份识别措施
身份认证与数字签名策略,身份认证是证明某人或某物身份的过程,当用户之间建立连接时,为了防止非法连接或被欺骗,就可实施身份确认,以确保只有合法身份的用户才能与之建立连接。
(5)系统用户信息是否采用备份
无线网络安全措施篇3
1高校无线网络使用现状概述
近年来,由于国内网络的不断发展与普及,尤其是高校校园网的普及,如今,大多数的高校都在有线网的基础上建设了无线网络。以高校图书馆的无线网为例,当下,各大高校的图书馆也都纷纷普及了无线网的使用,同时高校图书馆内部也开始建设了网络化、数字化,如建立自己独特的门户网站、电子资源等。与此同时,于高校的教师和学生们对上网的需求量也越来越大,因此,高校图书馆已经将电子阅览室等可以上网的机房,统统让学生和教师使用。但人数的庞大,根据现在已有的机房数量,远远不能满足教师和学生的需求,同时,要想再建设新机房,往往因资金的投放量大,使其高校无法很好的完成这项任务。这样馆内所能提供的网络资源就无法被教师和学生充分利用,因此使高校的资源大量的浪费[1]。
2高校无线网络安全问题
随着用户需求的增长,使无线网络的开放性也逐渐增大,因此出现了一些安全隐患[2]。
2.1用户非法访问
纵观当下,无线网络的开放性是严重阻碍无线网络安全使用的重要原因之一。一般情况下,无限网络开放式的访问很容易导致网络在传输数据的过程中,信息易被第三方拦截或者获取,与此同时,无线网络的三方用户在对网络进行访问时,无线信道中的资源也被网络资源进行了非法占用,这在一定程度上,使其他的用户在进行网络访问时被受到阻碍作用,以至于网络服务的质量同时也遭到一定的损害。
2.2保密协议易破解
无线网络中的WEP是属于网络的一种基本的保密协议,一定程度上,虽然能够阻挡非法访问,但是由于网络技术的不断发展,一些较低级的保密协议依然无法使用户的数据得到更好的保障,而在一般情况下,WEP保密钥的回复通常较为简单,因此,WEP的保密钥很容易就被破解[3]。
3提高高校无线网络安全的防范措施
3.1建立、健全网络安全防范措施
安全的方法措施也就是要结合实际,建立出有效的安全策略,而安全策略是指在一个具体特定的环境里,有效的制定出能够保护安全的一种做法。而今,因特网,主要是以为人们提供信息资源的共享为目的,因此其在安全上具有很大的漏洞,例如,数据的流失、数据的保密协议破解等问题。由于无线网是建立在有线网的基础上,并且被高校多数的教师与学生所使用,因此对其做好安全防范措施是非常必要的,与此同时,还要建立健全的网络安全防范措施,例如,高校可以一方面可以提高系统的安全性,并且对网络的管理进行长期的监管,建立完善的终端管理制度,对网络进行定期的评估与维护。
3.2禁止SSID广播
SSID广播是无线网络用于定位服务的,通常情况下,无线路由器都会提供“允许SSID广播”的功能,如果高校的无线网络使用了这项功能,其在一定程度上就暴露了无线路由器的位置,这样将会给无线网络带来安全问题。而想要提高高校无线网的安全性,最好的办法使通过手动来修改SSID,并对其选择禁用。其修改的具体方法是:首先打开“我的电脑”,在地址栏中输入自己设定的IP地址,通常情况下,IP地址为192.168.0.1,随后再输入用户名和密码,并在此基础上,打开“TP-LINK”窗口,在单击窗口左边的“无线设置”,再点击“无线网络基本设置”的窗口,这样就会出现“开启SSID广播”的复选框,然后对其选择取消复选框中的“√”,最后单击“保存”按钮,重新启动后,SSID广播就会被禁用[4]。
3.3使用无线MAC地址过滤
目前,由于无线MAC地址有过滤的功能,因此可以通过MAC地址在一定程度上,允许或拒绝无线客户端对无线网络进行访问,以此使客户在访问时受到一定的阻碍作用,从而让无线网络获得较高的安全性。举个例子,只允许MAC地址为“01-23-24-B5-7A-20”的主机访问本无线,这样其他的机主均不可以访问本无线,其主要的设置方法为:用3.2中的方法打开"TP-LINK"窗口,然后再单击左边栏中“无线设置-无线MAC地址过滤”,等窗口出现网络MAC地址过滤设置,然后再打开“无线网络MAC地址过滤设置”窗口,并单击过滤中的“允许生效的MAC地址访问本无线网络”的单选钮,再单击“添加新条目”,在MAC地址栏中输入允许访问本无线网络的主机MAC地址“01-23-24-B5-7A-20”,然后再栏中输入“上述地址为某某的电脑”,最后单击“保存”,这样就可以达到MAC地址过滤的目的。
3.4对数据进行加密
数据库加密,毫无疑问就是为数据库SQLServer,又安装了一把钥匙,使其更加安全,就算用户成功验证身份并进入数据库中,但也只是进入数据库中,并不能查看所有的数据,这就是数据库加密的作用。这就要求,在对待极为保密的档案数据时应及时的与普通数据区分加密,并运用密码的形式进行储存或传输。举个例,数据库SQLServer在加密的机制上,主要具体表现的是加密方法与加密的卓越成效,其主要通过数据库加密来实现数据库的分布与安全管理,同时用SQLServer语句对数据进行加密,一方面可以实现账号在数据中更加隐藏,一方面,可以在系统表中进行储存。
4结语
总而言之,无线网络,在目前存在很多的安全问题,但是由于近几年来,我国网络技术的不断发展,一定程度上改变了人们的生活环境与学习环境,因此,无线网络被越来越多的人使用。而在今天,由于高校无线网络的建设,一方面给人们带来了更多的方便,但它也存在着一些安全隐患。如,无线网络技术的发展为高校提供了可靠的网络环境。但同时伴随着安全隐患的出现,如一些截取或修改传输数据的黑客用户,时时刻刻的偷窥着高校的资料。这就需要高校,必须采取多种防范措施手段,才能有效的阻止非法用户的侵入,无线网络安全防范措施还有很多,但它必须紧跟时代的发展与科技的发展,从而不断的完善。
参考文献:
[1]陈亨坦.浅谈无线网络安全防范措施在高校网络中的应用[J].中国科技信息,2008,(17).
[2]杨川.高校无线网络安全问题及防范措施[J].计算机光盘软件与应用,2014,(15).
无线网络安全措施篇4
在无线网络迅速发展的今天,高校也将网络进行了深入的运用,无线网络的有利之处正在不断的放大,同时它也成为高校网络的一个组成部分。高校设置无线网络不仅可以提高教师的教学质量,增加教师教学的相互交流,还可以为学生的生活提供更多便利,让学生可以将一些课本中所没有的学习资源很好的利用。但是目前高校在网络的分布和使用上仍然存在着一定的问题,这也是高校无线网络目前需要解决的核心问题,本文也针对这些做出了具体的分析。
1高校无线网络存在的问题
我国高校目前多数已经基本实现了无线网络的分布使用,校园内也基本都已设立了无线网络的分布点,让无线网络慢慢发展成为高校网络系统中的重要部分。目前无线网络需要花费的资金投入越来越大,这对于高校而言是一笔不小的金额,网络系统的设计在高校资金占比重的指数越来越高,无线网络的体系覆盖大多还是在有线网络的基础之上设立,并且无线网络也是有线网络的一个提高与发展,高校需要将这二者充分的利用才能实现网络系统的完美结合,但是资金投入却成为目前棘手的一个问题。在网络系统中进行资源硬件共享是在所难免的,但是这一过程也无法避免一些非法的用户通过连接到无线网络免费的使用这些信息资源,同时高校中学生的部分资料包括教师的一些教学资料信息也会被盗取,甚至用在不利之处,还有一些不法分子会盗取高校的一些考试信息,导致考试题型外泄影响高校正常教学工作开展。高校中有大量的信息资源,不管是个人的信息还是教学知识方面的信息,一旦被泄露都会为教学带来很多不利影响。高校中使用无线网络的人越来越多,学生或者教师都可以通过无线网络的平台去了解到一些校园中或者是院校外发生的事情,这让无线网络的用途变得越发广泛,但是也导致无线网络的危险指数不断增加,许多人都可以通过非法的手段将高校内的网络系统信息盗取或者更改甚至发送一些错误的数据,这样一来网络信息系统接收到的就是错误的信息,而正确的信息就会被隐藏。这些非法攻击更改的信息对高校而言是巨大的损失,让高校内的网络系统没办法与互联网正常的连接使得高校发展受到阻碍。
2高校无线网络安全防范措施
2.1高校网络安全防范措施
为了防止高校无线网络系统不受破坏,需要设计一个更加完善的无线局域网系统,因为在无线局域网传送的数据很容易被窃取,所以无线网络系统需要进行加密以及认证,WEP就采用了加密的原理,使用的加密的密钥802.11,这样一来,只有两个设备同时具备802.11才能进行通信。其次高校无线网络中需要增加适当的检测系统,这也是为了能够更好地将网络提供的数据进行监控,如今IDS就是这个途径的检测与监控,它主要是通过检测无线网络的信号来辨别信号是否正常是否有非法侵入的信号存在,另外对数据包的分析也是检测无线网络接入是否正常的重要方法。在高校无线路由器里面都会存在一个过滤地址被称之为MAC,它可以将使用计算机的MAC地址进行加入和允许,这样除了识别到的无线数据可以进入其他的都没有权限进入,这种方法的原理是单一的,所以它的成效也存在不足之处,因为这样一来有些非法分子会想办法更改MAC的地址,所以说需要SSID来进一步加强对无线网络的保护工作。
2.2活动用户群
高校无线网络使用端口进行访问的技术是对无线网络安全系数的一个巩固,因为一旦STA与所需要访问点即AP连接之后,需要802.1x的认证工作方可继续进行,一旦认证这一过程顺利的通过之后AP就可以将端口为STA打开,一旦这一过程认证失败那么就无法识别无法打开。802.1x协议就是为了杜绝没有经过授权的高校无线网络用户的进入,允许经过授权的用户进入访问WLAN,所以在高校无线网络工作站中必须安装802.1x协议客户端才可以保证无线网络连接的正常进行,而802.1x另外的一个作用就是保证系统认证和计费正常进行。在此基础上实行AP的阻碍,这样无线网络的客户端会被阻碍,如此一来就只能访问连接AP的网络,以确保无线网络的安全性。
2.3高校数据库加密
给高校数据库进行加密是对无线网安全防范的进一步举措,高校用户在成功的进行身份验证之后就可以进入数据库,但是即便可以成功的进入数据库也并不代表可以将内部所有的信息进行查找,因为需要对数据库进行进一步的加密工作,一些应当特别保密的资料数据等都需要进行特别的保护,也需要将它们与普通的数据进行区分对待,将这些需要特别保密的数据资料信息用密文的形式进行储存是现在数据库加密最常用的方法之一,通过不同的加密方法以及加密程序可以将数据库中的信息进行不同程度的加密,对于账号这些重要的资源信息就应当采取更为高级的加密措施。高校无线网络接入点最常见的认证方式就是802.1X协议,对加密密钥的要求也要做适当提高可以适当的增加难度,这样非法用户才不会轻易的解破。其实除了上述的方法之外高校还可以将发射的功率进行适当的调整,这是从物理学的角度想出的办法,将覆盖无线网络的范围进行调控。
2.4划分高校用户群设定安全措施
如今在高校网络大氛围下,一般无线网络的使用用户主要分布在办公地点或者高校内的计算机房,这些用户都是固定的用户群,这些地点都是使用互联网最多的地方而且几乎是时刻使用,其次还有一些流动性的用户群,主要是高校内学生的手机或者笔记本以及教师的电脑等等,由于用户所在的地点不固定所以使用地点也就不固定,还有一类用户,这类用户是临时使用,一般就是开会时或者有大型活动时才会使用。将这些用户群划分之后才可以按照他们的划分不同来选择合适的安全操作方案措施。高校内使用比较普遍的就是利用WEP进行加密保护,但是由于使用的用户以及地点人群的不同,所以可以列出相应的安全防范措施,对于第一类固定的用户群其实完全可以将MAC的地址进行固定限制,不允许非法用户的访问,让非法用户没有访问权限。无线网信息将IP地址进行统一,通过这种方法可以将非法的用户进行剔除。对于第二类流动性的用户可以让他们进行端口访问,将工作站即STA与访问点即AP进行连接,连接成功后通过802.1X协议系统认证正确后才可以进行访问,只要确保认证过程是正确的,那么AP便可以为STA提供端口,否则是没有访问权限的。这样一来802.1X协议不仅有着端口访问的决定权而且还可以将认证与计费进行一体化管理。最后一种用户群可以采用设置密码作为访问的权限,用户必须通过密码的正确输入才能有权限进入无线网络,这样可以保证无线网络的安全性,也可以避免非法用户对无线网络的不正当使用。
3结束语
高校内无线网络的建立可以让高校学生的学习和生活得到一定的改善,但是在无线网络不断发展的今天却也为高校发展带来了一定的隐患,在科技水平不断改革创新中应当保证高校无线网络的安全操作,同时实现资源信息的共享让高校可以真正意义上的实现互联网时代的教学。对于高校而言要想让无线网络可以正常使用必须要保证它的安全性,高校无线网络由于其自身存在的不足之处,应当从多方面多角度考虑无线网络的安全性,这也是我国高校应当共同努力的方向。
作者:张乐单位:运城学院
引用:
[1]郑东兴.浅谈无线网络安全防范措施分析及其在校园网络中的应用研究[J].职业技术,2012.
无线网络安全措施篇5
4G无线通信网络的优势在于能满足不同网络之间的无缝互联,这个基于全IP网络的体系结构组成了它的核心网,主要包括承载机制、网络维护管理、网络资源控制、应用服务4大元素。相较于3G网络,其中蜂窝网络、电路交换分别被全IP核心网、分组交换所取代和升级,以保障4G网络在高速移动的环境中移动工作站依然可提供2-100Mbit/s的数据传输速率。如下是4G无线通信网络体系结构,一种基于分组交换架构的全IP网络。
24G无线通信系统的网络安全威胁
2.1移动终端的安全威胁
①由于移动终端使用的是不同类型的操作系统,这些移动操作系统具有诸多公开漏洞,因而造成了移动终端的不安全性;
②因移动终端对于那些基于无线网络的电子商务、电子邮件等应用的支持性越来越普遍,这些无线应用的程序漏洞、安全隐患、病毒感染渠道等加大了无线终端的安全威胁;
③伴随病毒种类的不断增加,传统防病毒软件体积也越来越大,而移动终端有限的计算能力、存储能力、电池容量会逐渐无法适应和满足;
④因缺乏完整性、机密性、完善性的保护验证机制和访问控制机制,移动终端硬件平台中的各个模块、内部各个通行接口极易遭到攻击者的篡改、窃听信息、非法访问、信息窃取等。
2.2无线网络的安全威胁
①因无线网络的融合、共存特点,用户能够任意在不同系统之间漫游与切换,加大了无线网络移动性管理的安全威胁;
②4G网络必须与异构非IP网络相连接,且需有可靠的QoS提供,若无法满足这些条件则会存在安全隐患;
③无线网络由安全机图14G无线通信网络体系结构制、协议与体系构成,不同的无线网络具有差异性,在网络融合中会有安全威胁,且无线网络结构的不同也易造成容错性。
2.3无线业务的安全威胁
①随着基于电子商务的无线应用及增值业务的推陈出新,提出了更加高级的安全需求,但现有的安全机制却难以满足;
②因缺少完善的安全交易凭证,无线业务的利益冲突会越来越多;
③由于一次无线移动业务中会涉及多个网络运营商、业务提供商的服务,利益争端更为复杂,业务安全威胁更高。
34G无线通信系统的网络安全防护措施
3.1移动终端的安全防护措施
①在物理硬件的安全防护方面,为削弱物理接口的被攻击性,需要提升集成度,增加电流与电压检测电路,提高启动、检验与存储等方面的完善性;②在操作系统方面,需选用可靠性强的操作系统,并加固操作系统,使系统能够满足混合式访问控制、远程验证、域隔离控制等的安全操作。
3.2无线接入网的安全防护措施
①高可靠性载体是移动终端与无线接入网建立连接的第一道关卡,以数字证书等载体构建双向身份认证机制;
②采用相关技术措施(如物理地址过滤、端口访问控制等)设置无线接入网的细粒度访问控制策略;
③为防止非可信移动终端接入无线接入网络,需运用无线接入网自身安全策略来实现可信移动终端的安全接入功能,或是借助相关辅助安全设备来实现安全接入;
④根据业务需求,移动终端在与无线接入网进行传输过程中需建设加密传输通道,以自主设置数据传输方式来实现安全传输,或是开设专用网络来实现物理、逻辑隔离;
⑤满足无线接入网的安全数据过滤功能,发挥该功能对无线接入网资源在内部系统或核心网中的安全性,防止非法数据的侵入;
⑥为针对性、有效性分析和记录移动终端的行为规律、异常操作,以保障无线接入网的可靠性与高效性,需要结合移动终端的访问行为、无线接入设备的运作情况来构建统一的监控和审计系统。
4结语
无线网络安全措施篇6
【关键词】无线网络安全性研究电磁波
从上个世纪90年代以来,移动通信和Internet是信息产业发展最快的两个领域,它们直接影响了亿万人的生活,移动通信使人们可以任何时间、任何地点和任何人进行通信,Internet使人们可以获得丰富多彩的信息。那么如何把移动通信和Internet结合起来,达到可以任何人、任何地方都能联网呢?无线网络解决了这个问题。无线网络和个人通信网(PCN)代表了21世纪通信网络技术的发展方向。PCN主要用于支持速率小于56bit/s的语音/数据通信,而无线网络主要用于传输速率大于1Mbit/s的局域网和室内数据通信,同时为未来多媒体应用(语音、数据和图像)提供了一种潜在的手段。计算机无线联网方式是有线联网方式的一种补充,它是在有线网的基础上发展起来的,使联网的计算机可以自由移动,能快速、方便的解决以有线方式不易实现的信道联接问题。然而,由于无线网络采用空间传播的电磁波作为信息的载体,因此与有线网络不同,辅以专业设备,任何人都有条件窃听或干扰信息,因此在无线网络中,网络安全是至关重要的。
目前常用的计算机无线通信手段有无线电波(短波或超短波、微波)和光波(红外线、激光)。这些无线通讯媒介各有特点和适用性。
红外线和激光:易受天气影响,也不具有穿透力,难以实际应用。
短波或超短波:类似电台或是电视台广播,采用调幅、调频或调相的载波,通信距离可到数十公里,早已用于计算机通信,但速率慢,保密性差,没有通信的单一性。而且是窄宽通信,既干扰别人也易受其他电台或电气设备的干扰,可靠性差。并且频道拥挤、频段需专门申请。这使之不具备无线联网的基本要求。
微波:以微波收、发机作为计算机网的通信信道,因其频率很高,故可以实现高的数据传输速率。受天气影响很小。虽然在这样高的频率下工作,要求通信的两点彼此可视,但其一定的穿透能力和可以控制的波角对通信是极有帮助的。
综合比较前述各种无线通信媒介,可看到有发展潜力的是采用微波通信。它具有传输数据率高(可达11Mbit/s),发射功率小(只有100~250mw)保密性好,抗干扰能力很强,不会与其他无线电设备或用户互相发生干扰的特点。
扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从一开始它就设计成抗噪声,干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展频谱的实现方式有多种,最常用的两种是直接序列和跳频序列。
无线网技术的安全性有以下4级定义:第一级,扩频、跳频无线传输技术本身使盗听者难以捉到有用的数据。第二级,采取网络隔离及网络认证措施。第三级,设置严密的用户口令及认证措施,防止非法用户入侵。第四级,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容。
无线网的站点上应使用口令控制,如NovellNetWare和MicrosoftNT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常变更。假如用户的数据要求更高的安全性,要采用最高级别的网络整体加密技术,数据包中的数据发送到局域网之前要用软件加密或硬件的方法加密,只有那些拥有正确密钥的站点才可以恢复,读取这些数据。无线局域网还有些其他好的安全性。首先无线接入点会过滤掉那些对相关无线站点而言毫无用处的网络数据,这就意味着大部分有线网络数据根本不会以电波的形式发射出去;其次,无线网的节点和接入点有个与环境有关的转发范围限制,这个范围一般是很小。这使得窃听者必须处于节点或接入点附近。最后,无线用户具有流动性,可能在一次上网时间内由一个接入点移动至另一个接入点,与之对应,进行网络通信所使用的跳频序列也会发生变化,这使得窃听几乎无可能。无论是否有无线网段,大多数的局域网都必须要有一定级别的安全措施。在内部好奇心、外部入侵和电线窃听面前,甚至有线网都显得很脆弱。没有人愿意冒险将局域网上的数据暴露于不速之客和恶意入侵之前。而且,如果用户的数据相当机密,比如是银行网和军用网上的数据,那么,为了确保机密,必须采取特殊措施。
常见的无线网络安全加密措施可以采用为以下几种。
一、服务区标示符(SSID)
无线工作站必需出示正确的SSD才能访问AP,因此可以认为SSID是一个简单的口令,从而提供一定的安全。如果配置AP向外广播其SSID,那么安全程序将下降;由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
二、物理地址(MAC)过滤
每个无线工作站网卡都由唯一的物理地址标示,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
三、连线对等保密(WEP)
在链路层采用RC4对称加密技术,钥匙长40位,从而防止非授权用户的监听以及非法用户的访问。用户的加密钥匙必需与AP的钥匙相同,并且一个服务区内的所有用户都共享一把钥匙。WEP虽然通过加密提供网络的安全性,但也存在许多缺陷:一个用户丢失钥匙将使整个网络不安全;40位钥匙在今天很容易破解;钥匙是静态的,并且要手工维护,扩展能力差。为了提供更高的安全性,802.11提供了WEP2该技术与WEP类似。WEP2采用128位加密钥匙,从而提供更高的安全。
四、虚拟专用网络(VPN)
虚拟专用网络是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用VPN技术。VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准定义,因此它是一种增强性网络解决方案。