时间:2023-06-08 11:00:33
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全笔记,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
几年前,网络上的黑客圈内盛传,许多公司的源码遭窃,甚至连知名安全软件的源码都已经可以公然在网络上买到。这听起来不禁让人有点胆颤心惊,其中的缘由,据说是因为当时无线网络开始盛行,许多企业由于尚未对无线网络安全做出有效的管理,便因此遭到了入侵与破坏。
忘了要安内
不管是安装防火墙、入侵检测系统等,企业的着眼点往往是放在外部的威胁上,企业网内部的安全管理,就常常被忽略了。我们可以不难体会到,随着网络技术的演进,整个网络世界已与以前大大不同,不再只是单纯的有线环境,网络控管也变得较为困难。
此前,企业习惯于攘外再安内的原因是,以往对于企业网络的攻击主要来自于企业外部,所以企业习惯先部署防御外在威胁的安全架构,如防火墙、入侵检测系统等;然而现今的网络攻击模式,如间谍软件等,都是先在企业内部网络进行档案破坏或密码解译等动作,更有甚者是在之后再将企业内部信息打包送出,这种攻击模式已经变成一种新的趋势。因此,企业网络安全要做得透彻,应该要从连上网络的那一刻便开始注意。
企业控管有三大层面,除了管制使用者能否上网之外,接下来要管制使用者的上网行为,让其符合企业内部的安全规范;最后一个部份则是分层管理,也就是针对使用者取得内部网络使用授权之后的资源管理,像是每个部门都应该受到不同的权限要求与保障。
零时差攻击所造成的惨剧
我们见到许多恶意软件作者在“空窗期”(辨识出恶意软件并提供修补程序之前)试图感染计算机,此趋势似乎一直延续至今。即便企业已经部署了所有必要的防火墙、入侵检测系统、病毒防护程序等,此类利用 WMF 弱点的零时差攻击就足以让企业 IT 管理者头痛不已。
越来越多的员工现在都使用笔记本电脑在家工作,或是出差时在旅馆或机场内工作。不过一个非常重要的环节却可能被忽略:公司网络内部的接入控制。因此在员工直接联机到企业内部网络时,审慎控制接入流程 (包括员工的身份认证、检查 PC或笔记本电脑的安全状态等) 是非常重要的。不过,Gartner 最近的报告指出,即使最好的企业也只能控制大约 80% 的网络端点 (员工的笔记本电脑/PC)。
UAC的概念与管理
所谓UAC (Unified Access Control,统一接入控制) 是产业级的协同研究成果,可以协助保证每一个接入点在进入网络前皆符合网络安全规范,每个使用者要先取得PC及其它装置的接入权限才能进入特定的网络。UAC的解决方案保证端点设备在接入网络前是完全遵循已建立的安全策略,并确保不符合安全策略的设备无法接入该网络、并设置可补救的隔离区供端点修正网络政策,或限制其可接入的资源。
UAC的架构基本上是由三个主要的组件所组成,包含了Policy Server (政策服务器,即控制器)、Agent(器)以及 Enforcer(执行器)。政策服务器(控制器)的作用是检查从网络接入装置转送来的端点安全凭证,判定并给予其适当的接入权限 (如允许进入、隔离或拒绝进入);Agent 的功能在于搜集端点的安全信息与设定等信息,并把这些信息传递到网络接入装置 (Enforcer);Enforcer 则是强制执行的设备,负责阻挡或隔离不符合网络政策的网络行为。
UAC是业界对企业网络更高的安全需求所产生的反应,是一种更为全面性的防护方式,持续监控使用者的联机,而不是单纯假设只要使用者通过网络联机一开始的安全和恶意软件检查,便不会做出其它违反安全规范的行为。
基本上,完整而有效的UAC 架构应该要能提供以下几个层面的安全功能:
端点安全状态检查―评估联机装置的“安全健康状况”;
零时攻击防御―主动预测出潜在威胁,而非只针对已发现的威胁做出反应;
动态执行政策―能够实时对网络上的高风险活动立即采取行动;
精确进行隔离与矫正―隔离威胁来源并排解疑难;
提供网络情报―提供 IT 管理人员进行管理决策所需的信息;
政策决定和政策执行―将网络接入对应至企业需求。
有了安全没了方便?
病毒与蠕虫不断的透过网络来影响企业营运,因为它而导致企业必须面对停工、恢复所需费用、无止尽的修补、公共责任、收入损失等。零时差攻击表明了,系统安全更新 (patch) 远跟不上脆弱的系统被攻击的速度,往往系统在安全管理者提供最新的更新码 (patch、病毒码) 前就已经遭受了攻击。
UAC 是应对无所不在的攻击模式所产生的防护架构,只是,防堵了因为图一己之便所衍生出的网络安全问题,却有可能因此降低了企业流程的便利性?
企业在部署 UAC或其它安全防护机制时,一定要在安全维护与使用便利性上取得平衡。
根据知名研究机构 Current Analysis调查指出,企业在部署安全防护方案时有四点基本的考虑与需求,第一个要求是部署简单,可以快速完成;第二个考虑是开放标准,也就是希望未来新的解决方案要能支持各端点的安全需求,要能整合各种增值应用,如此才不会被特定安全提供商所牵绊住,各项产品才有机会整合成一个完美的防护机制;第三个考虑则是希望除了内部员工之外,包括合作厂商、访客等在进入企业网络范畴之前都能够受到管控;最后一项则是,希望能够分阶段部署这些安全机制与设备,不管是按照部门或是依照网络层的不同来分段设置,也希望能够整合不同时间所设置的安全设备。
接入控制机制除了要针对内部员工之外,也常需针对外在的访客来作出反应。目前,一些先进的科学园区中许多企业在访客携带笔记本计算机进入公司之前,都会要求其填写一份安全防护问卷表,若是填写的问卷表中显示,访客没有符合该公司的安全防护规定,如未安装某些防毒软件等,常会被要求须在特定区域等候负责人员替访客执行笔记本计算机的扫毒动作,确认安全无虞之后才准在企业内部上网。如此的安全维护动作虽然很确实,但却是非常不方便,除了会增加企业 IT 人员的负担外,也耽误到访客的宝贵时间。
平衡方案与未来趋势
有了安全就没了方便,要方便使否就要忽略安全呢?有企业开始使用无的方式来平衡便利接入与安全防护这两个难以取舍的网络安全议题。
许多企业开始以较简易而不用直接安装防护机制的方式来做到安全与便利性的并重;譬如当外来访客上网准备进入内网体系时,类似UAC架构中Enforcer(执行器)的机制,若发现访客电脑尚未安装某些防毒程序或是病毒码未更新等违反企业安全规范的状况,便会自动将其导引至某些特定的网页,让其自动可以更新病毒码,或是干脆让其只能接入特定网页,而无法接入企业网络内的资源,这就是系统的矫正以及隔离功能。
随着可选择的网络连结方式增加,企业网络的发展正逐步摆脱传统的思考模式与过去的约束。现在的企业逐步开始认识到,互联网联机的普遍性所带来的弹性和赋予的能力,必须与完善详尽的安全措施达到一个平衡点,以保持企业的优势不受到负面影响。
如何能够更简便、安全地进行网络连接呢?这里我们发现了一个正在被越来越多的企业所选用的,个人便携式VPN防火墙解决方案――ZyWALL P1(下面简称P1)。它其实是一个类似移动硬盘大小的掌上网络安全连接设备,可以塞入旅行包中随身携带,可助你轻松完成企业网络安全配置,自动建立好VPN连接。
具体来说,P1提供了WAN和LAN 2个网络接口,在使用时,我们要做的就是分别将它们连接到所住酒店的宽带网络接口和笔记本电脑有线网口上,然后打开电源。多数情况下,酒店宽带都是基于端口的认证服务。这时,P1默认可以从当地网络中自动获得一个IP地址和与之配套的网关、DNS信息,并自动根据P1内置的VPN参数进行企业VPN管道连接。一旦连接成功,你会看到P1的VPN指示灯变绿。整个过程,完全无需用户任何干预,像在公司内部一样。
如果你所住的酒店使用IE窗口认证模式,则你还需要在VPN连接成功前先开启IE窗口,随便输入一个网址,系统会自动弹出相应的酒店宽带网络登录窗口,你也只要按照酒店上网说明,输入你房间的宽带口令,即可激活Internet服务。接下来,P1仍然会自动配置好网管事先设定好的VPN连接,将你接入公司的网络安全体系中。
其实,P1这样的个人硬件安防解决方案最大的好处还是在于企业安全的统一管理和部署。
在完全没有用户干预的情况下,网管能通过ZyXEL的Vantage CNM中央网管系统远程强制分发统一的企业安防策略。确保身处异地的员工电脑一样可以在远程连入企业网络前,都确实执行最新的企业网络安全规范,既。节省了网管逐一为大家升级防火墙的麻烦,也避免了百密一疏的危险。真正做到贴身的安防服务。
三心二意玩电脑
随着电脑更新速度的日益提升,谁家还没有个把淘汰下来的旧电脑,或者被笔记本电脑替换下来的台式机。这些电脑大都已成食之无味、弃之可惜的鸡肋。怎样利用这些电脑,帮你做更多的事情呢?这里,我们给你再支一招:用多电脑切换器(KVM Switch)实现多机并用互不干扰。
这里我们拿Aten(宏正自动科技)的双机USB切换器CS-173ZA为例给大家做一示范。它具备2套主机接口,包括VGA、音频(MIC、音箱)和USB总共4个接口,可以满足2台主机共享同一套显示器、键鼠以及USB打印机等外设。这样,你就可以将家中空闲的主机也架起来完成一些简单的后台工作,比如进行BT下载。或者更方便地将笔记本电脑连到家里台式机的大屏幕液晶显示器和高保真音箱上,用标准键鼠更舒适地进行操控,而不必受制于笔记本电脑的配置。
多电脑切换器的连接也很简单,你只要将随机附带的2条主数据线,分别连接到电脑主机和KVM后的CPU1/2接口上(注意连接方向:数据线包括VGA、音频和USB接头的一端接在主机对应接口上,数据线的另一端接到KVM上),然后将显示器、USB键鼠(PS/2键鼠可以通过附带USB-2-PS/2转接线转换连接)和音响系统的MIc/音箱接入到KVM对应端口上,一切就算ok了!KVM的使用也非常容易。在开机2台电脑后,你可以直接通过KVM正面的1、2主机对应按钮,进行双机操控、显示、声音系统的快速切换。即要显示、操控1号机的信息,就按下1号机切换键,然后就跟原来一样,直接使用1号电脑。待需要使用2号主机时,就简单地按下2号机切换键,显示屏和键鼠就都连接到2号电脑上,你即可以开始操作2号电脑。
相比早期的机械式KVM,CS-1732A采用电子切换结构,信号切换更加稳定,不会出现接触不良、色偏、噪音等问题,而且可以同步或异步切换音频信号,以实现在监控1号机的状态下,同时监听2号机音频的功能。这样,如果你喜欢边工作、边听MP3,又担心会影响你主机的性能,就可以让另外一台配置较低的电脑在后台帮你播放MP3音乐了。
2012年6月15日,在国家网络信息安全技术研究所(NINIS)指导下,由《信息安全与通信保密》杂志社主办的“网络空间新阶段安全威胁”高峰论坛在京举行。工信部通信保障局网络安全管理处闫宏强处长、国家网络信息安全技术研究所(NINIS)杜跃进所长、北京大学互联网安全技术北京市重点实验室邹维主任、北京大学信息科学技术学院信息安全实验室李青山副主任、中国移动研究院安全所杨光华副所长,以及启明星辰、绿盟科技、安天、瀚海源等公司代表参加了此次高峰论坛。国家网络信息安全技术研究所(NINIS)杜跃进所长在会上作了“APT攻击总体情况和思路介绍”的报告。他指出,继“震网”、“DuQu”让人们震惊于安全威胁的日益专业化之后,近期的“火焰”病毒再次引发关注,网络安全威胁正式进入全新的阶段,已经成为国际共识。(严威川)
希捷重塑备份概念
2012年6月14日,希捷科技公司宣布推出Backup Plus产品系列。作为希捷的重塑消费存储产品系列,Backup Plus可实现最简单的设置、一键备份、保存及共享Facebook和Flickr内容等各种功能。它能与Windows及Apple计算机互操作,并提供各种全新的功能,以保护、共享和保存我们数字生活的方方面面。产品预装希捷全新的无障碍Dashboard软件,可实现一键本地备份。(浛博)
Immersion带来新的触觉震撼
2012年6月20日,Immersion公司在亚洲移动通信博览会现场演示了其内置TouchSense技术的软件解决方案。在Immersion技术的帮助下,OEM厂商能够将精心设计的触摸反馈效果持续应用于整个移动用户界面中,从而打造出越来越具吸引力的差异化用户体验。随着Immersion推出易于使用的集成工具,安卓系统的OEM厂商和应用开发者们可以在其移动游戏和应用中加入更高端的触摸反馈效果,借助触觉技术实现逼真的体验感受。(浛博)
有道首发Android Pad版
伴随着Google首台平板电脑Nexus 7的,有道词典也推出了Android Pad 1.0版本,成为Android Pad上国内首个翻译服务类应用,继续领跑同类产品。有道词典及时填补了翻译领域的空白,推出首个Android Pad版词典应用,满足了Android Pad用户的翻译需求。Android版有道词典具有词典、百科和翻译三大经典功能,并且支持中、英、日、韩、法多语种查词及全文翻译。与PC端一样,用户除了能享受到丰富的网络释义和海量例句等翻译服务,在离线环境下还可以使用包含10万个常用词汇的中英本地词库。(浛博)
东芝21:9超宽屏超极本
2012年6月13日下午,东芝电脑在北京举办了以“超越巅峰 极致体验”为主题的新品媒体沟通会,本次会议的主角是东芝即将的两款14英寸全新超极本Satellite U800与Satellite U800W。其中U800外壳采用铝合金金属材质制成,机身最厚处仅有19.9毫米,重量仅为1.7kg,搭载英特尔最新一代的Ivy Bridge i3/i5处理器,且配备了AMD Radeon HD 7550M独立显卡。而U800W是全球唯一一款使用21比9屏幕显示比例的超极本,21比9的超长屏幕为各类应用带来了全新的体验。(王健)
富士通2012年夏季新品
6月26日,富士通个人电脑夏季新品会在北京盛大举行,延续高端“匠”理念,富士通在此次会上了包括A系列、P系列、S系列、U系列在内的十款新品笔记本电脑。其中,全新推出的超极本LIFEBOOK U系列以其极具匠心的设计、超纤薄机身、超长续航能力以及卓越的商务性能开创了超极本新时代,特别是LIFEBOOK U772,其机身最厚处仅为15.6mm,是目前全球最纤薄的14英寸超极本,具有极高的安全性能,其配备的45Wh新型聚合物锂电池亦可提供长达约9.1小时的续航能力。它的推出更加充分展现了富士通注重研究用户体验、不断追求顶级品质的创新精神。(王健)
三星新一代9系列笔记本
2012年6月18日,三星举办了新一代9系列笔记本会,整场活动通过科技与艺术的完美融合,恰到好处地凸显了三星新一代9系列笔记本的精湛工艺与惊世之薄。三星新一代9系列笔记本拥有900X3C、900X4C、900X4D三种型号,其中13英寸的900X3C重量仅为1.16kg,厚度仅为12.9mm。三星全新一代9系列的问世颠覆了传统超轻薄笔记本带给人们的固有观念,以更迅捷的处理速度、更卓越的性能表现、更轻松的触控操作,带给消费者一种全新的高端商务体验。(王健)
关键词:WLAN;网络结构;AP;WEP
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)01-0025-02
On the WLAN Application in the Campus Network
CUI Long-wei, HU Jia-bao, QIN Feng-wei
(Computer Science and Technology, Wuhan University of Technology, Wuhan 430063, China)
Abstract: With the rapid of the wireless network communication technology and the increasingly complex network requirements,and the wireless campus network construction rise。This paper describes the characteristics of the campus network using wireless, network structure and security issues.
Key words: WLAN; network structure; AP; WEP
随着笔记本电脑、PDA的普及,为了满足学生及教师在教室、图书馆、体育馆、实验室等场所的上网需求,传统的校园有线网络不能人们的需要。随着无线网络技术的发展,利用无线网络技术来扩充传统校园有线网络,可以满足目前的需求。利用无线网络技术组建无线校园网目前是各校建设校园网的发展趋势。
1 无线局域网的介绍
WLAN(Wireless Local Area Network,无线局域网),也称为无线Ethernet,它是一种计算机网络与无线通信技术相结合的产物,它利用射频技术来提供传统有线局域的全部功能,是一种能支持较高速率,采用蜂窝或微蜂窝的自我管理的计算机局域网技术。WLAN的数据传输速率现在已经能够达到11Mb/s,传输距离可远至20km以上,它是对有线联网方式的一种补充和扩展,从而使网络的构建和终端的移动更加灵活,并且能更快速、方便的解决有线方式不易实现的网络连通问题。
1.1 无线局域网的工作原理
无线局域网采用直序扩频接入技术,使用户可以在2.4GHz的ISM频段上进行无线Internet连接。无线局域网络的系统包括无线网络接入管理系统、无线中心路由器、用户端无线路由器。网络接入管理系统可以为网络运营商提供如用户管理功能和网络安全等方面的操作与维护支持;无线中心路由器同时提供多个无线接口,并采用扇区覆盖方式,提供多用户大容量的IP接入,它可以进行用户验证、访问服务控制、动态IP地址分配等。同时,它比传统的无线网络接入设备增加了强大的IP组网和路由功能,提高了无线宽带网络的扩展性、传输速率以及安全性。
1.2 无线局域网的特点
无线局域网与有线局域网相比,具有很大的优势。其具体优点如下:
1) 网络安装维护简单方便:无需布线,只需安装无线局域网卡,再将其配备的软件安装在个人电脑上,安装瞬间即可完成。
2) 移动灵活:笔记本电脑,PDA等便携式电子产品,只要在其覆盖范围内,可实现不同环境场所下随时随地上网,方便灵活。
3) 组网费用降低:笔记本电脑只需安装无线网卡,无需布线,这样可以解决布线费用,降低成本。
2 无线校园网的构建
2.1 无线校园网的网络结构
无线校园网络的组网方式有主要有:有固定基础设施和无固定基础设施。
1) 有固定基础设施
固定基础设施指预先建立的基站或接入点AP(access point),主要用于将无线客户端接到现有的有线网络,AP网络节点用于桥接有线网络和WLAN。在有固定基础设施模式下,无线客户端与其他无线客户端及有线网络主机之间的通信需要AP转发,才能发送到目的端。有固定基础设施网络结构如图1所示。
这种结构的弱点是抗毁性差,中心点的故障容易导致整个网络瘫痪,并且中心站点的引入增加了网络成本。在实际应用中,无线网往往与有线主干网络结合起来使用。这时,中心站点充当无线网与有线主干网的转接器。
2) 无固定基础设施
没有AP的WLAN也称为自组网络(ad hoc network)或对等网络(peer to peer network),主要用于无线客户端之间的通信,自组网络最多容许9个无线客户端。无固定基础设施网络结构如图2所示。
这种结构的优点是网络抗毁性好、建网容易、且费用较低。但当网中用户数过多时,信道竞争成为限制网络性能的要害。并且为了满足任意两个站点可直接通信,网络中站点布局受环境限制较大。因此这种拓扑结构适用于用户相对减少的工作群网络规模。
2.2 无线校园网网络设备组成
随着学生中笔记本电脑的普及和现代化教学的普及,加上教室、图书馆、会议室等地方一般是不可能布设太多信息点的,目前的有线校园网没有办法使学生们在这些区域上网。采用无线方式,在有限的信息点上连接无线接入器,就可以轻松从一个信息点扩展到成百上千个信息点的应用。
无线校园网络主要采用无线路由器、无线接入点、无线网卡来进行组网。无线网络与有线网络连接,使得无线网络用户轻松访问Internet。简单的无线校园网络结构如图3所示。
3 无线校园网的安全性问题
无线局域网组要采用IEEE802.11有线等价保密协议WEP(Wired Equivalent Privacy)来解决其安全性问题,由于WEP在考虑安全性和易用性之间的均衡时,更多地考虑了易用性和加密算法的高效性,在WEP默认配置、加密、密钥管理和服务设置标识等方面已经发现存在大量的漏洞,导致WLAN安全受到威胁。针对无线校园网中的安全问题,提高网络安全性,应该采取相应的安全措施。
1) 设置安全口令:为无线的互联网访问设置一个口令至关重要,授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入。
2) 数据加密:重要数据在WLAN 上的传输可采用无线信道加密或终端加密(如AES无线信道加密技术),防止未经授权的用户窃听、插入或修改通过无线网络传输的数据。
3) MAC地址过滤:无线MAC地址过滤功能通过MAC地址允许或拒绝无线客户端接入无线网络的接入权限,从而获取较高的安全性。
在提高校园网络安全的措施中,我们应该在不使用网络时将其关闭,从而减少网络攻击的机会;通过设置防火墙,以保护内网的安全性,从而提高网络的安全性。
4 结束语
无线局域网技术不断发展,其优势日益突出,WLAN与有线网络相结合组建校园网是目前校园网络组建的主要方法。选择合适的无线校园网组网模式,优化校园网结构和校园网络的复杂性,提高网络安全。目前,大部分高校已经完成了校园无线网络的组建。
参考文献:
[1] 刘乃安.无线局域网(WLAN):原理、技术与应用[M].西安:西安电子科技大学出版社,2004.
[2] 段水福, 历晓华.无线局域网 (WLAN) 设计与实现[M].杭州:浙江大学出版社,2007.
校园无线网络对学校以及师生的成长和发展起着越来越重要的作用。但由于网络管理技术上的不足、师生网络安全意识不强、非法用户的恶意侵入等因素的影响,校园无线网络安全还存在诸多问题。首先分析了校园无线网络安全存在的问题,并在基础上探讨了应对的策略,以期能对校园无线网络安全的建设提供一些建议。
[关键词]
校园无线网络 安全 问题 策略
随着网络信息化的迅速发展,网络的使用逐步由有线网络过渡到无线网络。建构覆盖面广、安全而迅捷的无线网络也成为很多公共场所的重要需求,学校校园更是如此。随着学生拥有的笔记本电脑和智能手机越来越多,他们对建构校园无线网络的愿望也越来越迫切。同时,无线网络的建构,不仅有利于方便学生及时浏览重要讯息、下载重要学习资料、方便师生和学生之间的互动,而且对教学和管理也带来了重大变革。一方面无线网络的覆盖有利于加快推动教师在教学过程中使用现代多媒体教学手段,并且有利于教师更为快捷地运用和及时分享最新网络资料;另一方面,无线网络的覆盖也使得学校管理驶入信息化的快车道,在教学、安全、后勤管理等方面发挥越来越重要的作用。但同时我们也要清醒地看到校园无线网络给学校带来诸多便利的同时,也存在很多安全隐患,需要我们注意防范。
一、校园无线网络安全存在的问题
校园无线网络的安全问题主要涉及的是接入安全和信息传输安全。由于无线网络在使用过程中片面追求覆盖面和普及速度,致使对网络安全的加密技术以及使用者的安全意识缺乏有效的监管,使得无线网络存在一定的安全隐患。主要表现在以下几个方面:
(一)病毒隐患影响接入安全
病毒一直是网络安全的主要杀手。随着网络信息化的发展,病毒不仅变得更具隐蔽性,而且也越来越具有杀伤力。它们广泛存在于我们使用的笔记本电脑、智能手机以及其他移动终端设备中。在无线网络中,由于信息和资料的传递不受空间限制,对于病毒的传播也就不容易监控。因此,当我们在接入无线网络的过程中,如果我们的移动设备潜藏了某些病毒,那么他们一旦被激活将会迅速传播,严重影响校园无线网络安全,对学校的网络平台和储存的信息给予严重冲击,甚至会使学校无线网络运行瘫痪。
(二)信息传输容易被截取和泄密
和病毒传播会超越物理空间界定一样,使用无线网络在传输信息的过程中也存在较大的安全隐患。在以往的有线网络中,其物理空间被限定在一定的范围内,计算机或网络管理人员对信息的传递能够很好地给予监控。但在无线网络状态下,由于缺少了一定的物理空间限制,而且资料是通过无线通信的方式传递的,导致信息数据包很容易就可以被截获和破译,从而导致信息被泄密。
(三)易遭受黑客或其他非法用户入侵
校园无线网络服务的人群比较多、相对也比较开放。很多别有用心的人群,(比如黑客等)也可能会借机闯入网络并进行一些非法活动。出现黑客或其他非法人员入侵的时候,管理员一般也很难进行有效的管理并将其拒绝。黑客或其他非法用户入侵校园无线网络后,不仅会造成无线网络的访问压力,而且会盗取校园内部人员的账号,窃取有价值的信息,也可以对校园重要资讯进行窃听、篡改以及转发,给学校师生财产和个人隐私等带来严重伤害。有些非法用户利用MAC地址欺骗,他们在对用户进行窃听或窃取有效资料的基础上,获取网络中合法站点的MAC地址,然后通过ARP欺骗,利用这些合法的MAC地址进行欺骗攻击。更严重时,非法用户可以冒充AP进入网络,获得真实的认证信息,以合法用户的身份进行一系列违法活动。由此采取适当措施有效地阻止非法用户的入侵是维护校园网络安全极为重要的问题。
(四)AP地址易受攻击,致使其拒绝服务
攻击AP地址,并让其停止服务,也是无线网络存在的重大安全隐患。非法入侵者如果攻击AP地址成功,将会导致AP产生错误的判断,严重情况下将会停止继续服务。非法入侵者一般会对AP地址采取泛洪式攻击或对某个节点进行攻击两种方式。可以说每一种攻击方式对校园无线网络的安全都是致命的。轻者会对校园部分局域网造成破坏,严重的将会使整个校园网瘫痪。
(五)管理者和用户网络安全意识不强
校园无线网络之所以有很多安全隐患,一方面是由于网络管理者对无线网络的安全没有引起足够的重视,另一方面是由于无线网络的用户缺乏网络安全意识,无意中对无线网络进行了破坏。
1.一般而言校园网络是相对比较纯洁的网络,使用者也主要是学生和教师。由此学校在建设无线网络的过程中可能对无线网络的安全认识不足,致使很多的无线接入点都没有考虑到无线接入的安全问题。MAC地址的认证、共享密钥的认证等基本认证方法并没有完全普及,大多学校都没有引进高级的认证协议,从而使得学校的安全体系未能有效地建构起来。
2.校园无线网络的用户主要是教师和学生,他们一般都比较缺乏专业的计算机网络安全知识,大多对无线网络技术和智能电脑和手机的系统不是太熟悉,而且有的时候为了方便,他们对网络或个人终端的密码设置过于简单,从而为黑客或非法用户入侵带来一定的便利。
二、维护校园无线网络安全的应对策略
针对校园无线网络安全存在的诸多隐患,笔者认为应主要从引进先进的网络安全管理技术、加强对非法用户的监控、提高广大师生的网络安全意识等几个方面来进行应对。具体策略主要有以下几点:
(一)学校应对校园无线网络安全给予充分重视
校园无线网络安全不仅事关学校教学和管理的安全,而且也事关学校师生财产和个人隐私等安全。因此学校应给予校园无线网络安全充分的重视。一方面加大对校园无线网络安全设施的投入,组建较为完善的安全体系;另一方面,聘请专业人员对校园无线网络进行管理和维护,对于学校比较重要的资料和信息要及时加密和备份,避免被非法人员入侵造成不应有的损失。
(二)使用隐藏SSID和无线入侵检测技术保障无线网络安全
校园无线网络之所以容易被攻击,主要是因为缺乏有效的认证、对非法用户不能进行有效的拦截。因此,从技术上对校园无线网络加以改进是有效应对安全隐患的重要举措。
1.校园无线网络可以引入SSID技术。SSID技术可以把一个整体的无线局域网划分为若干个需用不同身份验证的子网络,这样在进入无线网络使用子网络的过程中需要进行身份验证,由此可以防止一些未经授权的用户使用无线网络。但是AP地址为方便终端使用无线网络,会自动广播SSID,这在一定程度上也对无线网络的安全有较大影响。为此,可以通过设置隐藏SSID并禁止AP,在一定程度上就会使得非法入侵用户因不知晓SSID的全名而使得入侵失败。
2.积极引用无线入侵检测技术。引用无线入侵检测技术能使网络管理人员及时发现入侵者的踪迹并给予跟踪和监控,也可以对非法入侵者的网络行为进行分析,从而有针对性地实施破解方案,及时将可能发生的危险扼杀在摇篮中。
(三)加强对网络病毒的查杀和防御
学校可以在网络安全中心安装一个强大的杀毒软件,定期对整体网络进行查杀,及时发现可能出现的可疑病毒,最大限度地杜绝病毒攻击。同时也及时提醒学生和教师在使用移动设备的过程中经常和及时查杀相关病毒,尽可能使移动设备远离病毒,从而保障校园网络的安全。另外,充分利用防火墙技术有效隔绝来自网络外部的病毒和不良信息以保证网络环境的纯洁。
(四)提高广大师生的网络安全意识
提高广大师生的网络安全意识是保障校园无线网络安全的重要途径。学校可以通过培训或专业人士的解答和演示,让师生知晓哪些不当操作会对校园无线网络造成威胁、安全隐患产生后应如何防范等,从而提高大家维护校园无线网络安全的意识和自觉性。
三、总结
总之,维护学校无线网络安全是一个系统的工程,它不仅需要技术上的支持,也需要学校师生的配合。只有大家都尽力投入到维护校园无线网络安全的行动中,才能真正实现校园网络平稳、安全地运行。
作者:焦计划 单位:广州市交通技师学院
关键词 无线网络;高校网络系统;安全措施;防范
1 引言
网络技术的飞速发展,为教学科研作出了巨大的贡献。但是网络安全问题也一直困扰着高校。目前病毒、黑客猖獗,而学校的科研资料等相关资料都非常重要,因此网络安全尤其重要。当前许多企事业单位都已经采用了无线网络。了解无线网安全隐患,再结合高校
自身网络的特点,提出合理有效的安全防范措施,确保高校网络安全。
2 无线网通讯协议和安全措施
2.1 通讯协议
无线网络通讯协议主要有以下几个:
(1).802.11b 协议:价格低廉、高开放性,支持A d H o c (点对点)和Infrastructure(基本结构)两种工作模式。
(2).802.11g协议:传输速率高,可以达到54M传输速率,加强型的802.11g 产品已经步入无线百兆时代,兼容802.11b 协议。
(3).蓝牙:主要是应用在笔记本电脑中,目前大部分无线网络产品都支持蓝牙。
(4).WEP 协议:WEP 协议为了保证802.11b协议数据传输的安全性而制订的安全协议,该协议通过对传输的数据加密,保证无线局域网中数据传输的安全性。
2.2 安全措施
无线网络中主要存在的威胁是截获或修改传输数据。如果攻击者可以访问网络,则可以插入恶意计算机来截获、篡改两个客户端的通信。
无线网络覆盖的安全性对无线网络是最为关心的问题之一,网络覆盖区域内,难免有非法用户接入无线网络。现在所有W L A N 产品均实现了一定程度的安全措施,目前常用的有M A C 地址访问限制,数据传输加密等方法。
(1).AP 端的MAC 地址访问限制,拒绝未经过登记许可的无线客户端设备链接;
(2).128 bits WEP 数据加密,确保数据传播途径中的安全;
(3).无线设备自身的安全防范措施。
3 高校无线网安全措施
3.1 用户划分
高校网络建设中,已经应用了无线网络建设,将来普及面更广,无线用户数量众多。
从现有的网络环境和用户分析,可以划分成以下用户群:
(1).固定用户群:机关办公、机房电脑、教学楼、实验室等用户群。
(2).活动用户群:教师个人电脑、学生自用电脑等用户群。
(3).临时用户群:学术交流会临时电脑用户群。
用户群的划分,有利于无线网络接入Internet 网采取不同的安全策略,确保整个高校的无线网络安全。
3.2 安全防范措施
高校无线网络的安全防范措施,除了WEP 数据加密协议外,应根据不同的用户群,采取不同的安全防范措施。
(1).固定用户群
1)MAC 地址绑定,限制非法用户访问。这种策略适合高校固定用户群,网络信息中心可以统一分配IP,配置MAC 地址的过滤策略,确保无线网络的安全。
(2).活动用户群
1)端口访问控制技术。该技术是无线局域网的一种增强性网络安全解决方案。当工作站STA 与访问点AP 连接后,使用AP 的服务要经过802.1x 的认证。如果认证通过,AP 为STA 打开这个逻辑端口,否则禁止接入。802.1x 要求工作站安装802.1x客户端软件,访问点要内嵌802.1x 认证,同时还作为Radius 客户端,将用户的认证信息转发给Radius 服务器。802.1x 除提供端口访问控制之外,还提供基于用户的认证系统及计费。
2)A P 隔离。类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,只能访问AP 连接的固定网络,从而提供安全的I n t e r n e t 接入。
(3).临时用户群
1)启用密码访问限制,非密码用户不能访问无线网。此方法可以确保授权用户能访问网络。特别适合临时场所使用,比如会议等。
4 结束语
高校无线网络的建设,既带来了方便,同时也带来安全隐患。无线网络技术的飞速发展和安全措施的完善,为高校提供了安全、可靠的网络环境。
(一)数据加密机制
当数据加密密钥与解密密钥不相同时,说明每一个用户同时拥有公开密钥和秘密密钥两个密钥,则其成为非对称密码系统。任意人员都可以使用一个用户的公开密钥,将数据信息进行加密之后在发送给该用户,但是只要该用户能够使用自己的秘密密钥对数据信息进行解密,没有秘密密钥的人员无法对数据信息解密。公钥密码的算法非常复杂,不适用于无线网络的通信传输,否则会耗费大量的系统资源。
(二)身份认证机制
身份认证机制需要提供双方的身份信息,防止非法人员假冒合法用户身份。身份认证在密码学中主要是检验证明一方是否能够提供秘密答案,例如提供证明一方和验证一方共有的秘密密钥等等。由于身份认证方案是在运算简单的算法基础之上,因此适用于无线网络通信中的用户身份认证。
(三)不可否认机制
数字签名技术的用于不可否认机制,目的是防止一方发生抵赖现象。数字签名技术具有以下几种优势:一是采用电子数据信息形式,适用于在网络中传输;只有掌握秘密密钥的人员才能生成数字签名,伪造数字签名现象得以遏制;完成对整个消息的数字签名后不可更改。
二、无线网络的安全问题防御对策
(一)防火墙系统
防火墙系统由软件部分和硬件部分共同构成,在两个网络之间进行设置进行隔离。防火墙系统的控制策略由使用人员自行配置,以此保证内网与外网之间的安全连接。防火墙系统的主要功能包括阻止和允许两种。通常情况下,防火墙系统的主要任务是阻止控制,防火墙系统的两个分组过滤路由器属于标准路由器,但同时能够对分组数据信息进行检查,一个路由器负责检查进入内网的分组数据,另一个路由器负责检查内网输出的分组数据,将符合安全条件的分组信息设置通过。
(二)虚拟专用网络
虚拟专用网络(VPN)在互联网传输的内部数据报是已经完成加密的,因此,虚拟专用网络在互联网上经过的路由器都无法掌握内部数据报的内容,例如:一个企业的部门A到部门B就是一条VPN隧道。VPN具有以下几个特点:一是能对两个网络节点或者两个网络之间的数据通信进行加密;二是VPN是基于软件实现的,能够提供不同级别的加密。因此,VPN的建立能够实现异地办公的网络通信安全。
(三)远程身份验证拨入用户服务
远程身份验证拨入用户服务(RADIUS)主要包括三种网络安全控制功能:一是身份认证,通过一个网络安全控制中心对任意一个远程用户的口令和密码进行验证,当确认用户用后合法身份时才能够对无线网络发起访问;二是用户授权,每一个新的连接都为远程无线局域网用户的访问点提供需要的信息。三是日志记录,能够记录远程无线局域网的连接信息,包括连接时间、用户身份等等。而且,RADIUS还可以实现双向用户身份认证,由此,非法入侵者就无法实现假冒合法用户身份对网络发起攻击。
三、结论
2018年某某市统计局平安互联网创建工作在某某市平安互联网创建活动领导小组的精心指导下,某某市统计局全体干部职工积极配合,认真贯彻落实通知精神,真抓实干,认真做好了平安互联网建设工作。现将上半年工作开展情况汇报如下:
一、领导重视,组织健全
根据《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》、《关于进一步做好全省统计信息网络安全管理工作的通知》等文件精神,成立了信息安全领导小组。信息安全领导小组为常设机构,设组长一名,由局长担任;副组长一名,由分管信息化工作的副局长担任;成员由各统计站负责人及局各科室负责人组成。信息安全领导小组下设办公室由尤峰同志担任办公室主任。
二、建章立制,明确责任
我局确保干部职工人手一台办公电脑,今年新增更新了办公电脑8台,笔记本电脑15台,数据服务器1台,从硬件环境满足了工作需要,为了保障计算机管理有序和网络安全,我市已制定了《某某市统计局国家统计局某某调查队 计算机网络安全管理制度》和《某某市统计局 国家统计局某某调查队 计算机网络机房管理制度》,上网用户严格遵守国家安全保密制度。除了相关制度外,给每一台计算机配备了防病毒软件和防火墙,上统计内网的电脑,强制安装北信源程序,并加强办公室日常防盗管理,定期检查电路安全。
三、加强管理,确保安全
以平安互联网创建活动为契机,进一步加强我局信息安全管理,确保我局信息系统长期安全稳定运行,有效防范和控制信息系统风险,信息安全领导小组在各个重要节日及重大事件之前都对全市信息网络安全进行检查评估,做好应急预案。由于领导得力,管理有效,我市统计系统网络运行安全有序,没有出现任何一起不安全事件。
我信息化管理办公室为专业统计报表数据处理提供技术支持,定期做好网络设备和单机的维护,定期对杀毒软件进行升级并对微机进行全面查杀病毒工作,保证各专业统计工作数据处理能力,提高工作效率,做到上报市局的数据文件无毒上载,定期要求各专业将专业数据资料和各项调查数据进行整理备份,确保全局统计数据资料的完整与安全。
四、搞好培训,提升素质
一是信息化人员参与上级组织的安全培训;二是采取多种途径和方式提高统计人员运用信息技术的能力。
关键词:计算机网络安全网络攻击防范策略
1 计算机网络攻击的特点
1.1 损失巨大
由于攻击和入侵的对象是网络上的计算机,因此攻击一旦成功,就会使网络中的计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均每起计算机犯罪案件所成的经济损失是一般案件的几十到几百倍。
1.2 威胁社会和国家安全
一些计算机网络攻击者出于各种目的经常把政府部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。
1.3 手段多样,手法隐蔽
计算机攻击的手段可以说五花八门:网络攻击者既可以通过监视网上数据来获取别人的保密信息,又可以通过截取别人的帐号和口令进入别人的计算机系统,还可以通过一些特殊的方法绕过人们精心设计的防火墙,等等。这些过程都可以在很短的时间内通过计算机完成,因而犯罪不留痕迹,隐蔽性很强。
1.4 以软件攻击为主
几乎所有的网络入侵都是通过对软件的截取和攻击进而破坏整个计算机系统的。因此,计算机犯罪具有隐蔽性,这要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。
2 计算机网络安全存在的隐忧
2.1间谍软件
所谓“间谍软件”,一般指从计算机上搜集信息,并在未得到该计算机用户许可时便将信息传递到第三方的软件,包括监视击键,搜集机密信息(密码、信用卡号、PIN码等),获取电子邮件地址,跟踪浏览习惯等。间谍软件还有一个副产品,在其影响下这些行为不可避免的响网络性能,减慢系统速度,进而影响整个商业进程。
2.2 混合攻击
混合攻击集合了多种不同类型的攻击方式,它们集病毒,蠕虫以及其他恶意代码于一身,针对服务器或者互联网的漏洞进行快速的攻击、传播、扩散,从而导致极大范围内的破坏。
2.3 绕道攻击
网关级别的安全防护无法保护电脑免遭来自CD,USB设备或者闪盘上的恶意软件攻击。同理,那些被拿到办公室之外使用的员工电脑也无法得到有效的保护。假如你将电脑拿到一个无线热点区域之中,那么窃听者以及AP盗用者都有可能拦截到电脑的相关通讯如果你的电脑并未采取足够客户端安全防护措施的话。而这些攻击,我们就将其称为“绕道攻击”。
2.4 强盗AP
是指那些既不属于IT部门,也并非由IT部门根据公司安全策略进行配置的AP,代表着一种主要的网络安全风险来源,它们可以允许未经授权的人对网络通讯进行监听,并尝试注人风险,一旦某个强盗AP连接到了网络上,只需简单的将一个WiFi适配器插入一个USB端口,或者将一台AP连到一个被人忽略的以太网端口,又或者使用一台配备了WiFi的笔记本电脑以及掌上电脑,那么未经授权的用户就可以在公司建筑的外面(甚至可能是更远一些的地方)访问你的网络。
2.5 网页及浏览器攻击
网页漏洞攻击试图通过Web服务器来破坏安全防护,比如微软的IISApache,Sunday的Java Web服务器,以及IBM的WebSphere。
2.6 蠕虫及病毒
感染现有计算机程序的病毒,以及那些本身就是可执行文件的蠕虫,是最广为人知的计算机安全威胁病毒。一般倾向于栖身在文档、表格或者其他文件之中,然后通过电子邮件进行传播,而蠕虫通常是直接通过网络对自身进行传播。一旦病毒或者蠕虫感染了一台电脑,它不仅会试图感染其他系统,同时还会对现有系统大搞破坏。
2.7 网络欺诈
网络钓鱼只是企图欺骗用户相信那些虚假的电子邮件、电话或网站,这些网站往往和网上银行或支付服务相关,让你认为它们是合法的,而其意图则是让用户提交自己的私人信息,或是下载恶意程序来感染用户的计算机。
2.8 击键记录
击键记录,或者输人记录,指的都是那些对用户键盘输人(可能还有鼠标移动)进行记录的程序,那些程序以此来获取用户的用户名、密码、电子邮件地址,即时通信相关信息,以及其他员工的活动等。击键记录程序一般会将这些信息保存到某个文件中,然后悄悄的将这些文件转发出去,供记录者进行不法活动。
3 安全策略
3.1 防火墙技术
防火墙的作用是对网络访问实施访问控制策略。使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
3.2 建立安全实时相应和应急恢复的整体防御
没有百分百安全和保密的网络信息,因此要求网络要在被攻击和破坏时能够及时发现,及时反映,尽可能快的恢复网络信息中心的服务,减少损失,网络安全系统包括安全防护机制、安全检测机制、安全反映机制和安全恢复机制。
3.3 阻止入侵或非法访问
入网访问控制为网络访问提供第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许在哪台工作站入网。控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。对所有用户的访问进行审计,如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
3.4 数据传输加密技术
目的是对传输中的数据流加密,常用的方针有线路加密和端到端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护的。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。
3.5 密钥管理技术
为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁
带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。
关键词:无线微网;Wifi
中图分类号:TN929.5
随着科技的迅猛发展,电子产品,网络设备、家居用品的使用越来越傻瓜化,复杂难用意味着被淘汰。现代社会的水、电、气,打开开关即方便地享受到公共设施提供的服务,这已经形成了人们的习惯。网络访问、信息服务,也将逐步变成驻在云端的系统,实现召之即来的便利,实现人们的需求就是生产力前进的动力。
而大量商业客户、金融客户实现Wifi无线覆盖比较困难,安装维护的技术难度较大,成本也高,无法给客户提供基础网络条件的同时,实现商业上的一些增值诉求。由此应运而生“无线微网”,它是一套低成本、零配置、高价值的创新型解决方案。
在商场、超市等场所只要给AP终端上电,插上网线,无需任何的初始配置,也不需要繁杂的日后维护,就可以轻松具备Wifi无线上网环境。同时还可以向自己的客户推送企业信息、营销广告,更可以获得与客户交互的新型时尚途径,精准感知并服务客户,并通过详实的数据分析结果来增强企业经营决策的科学性。
1 无线微网产品
无线微网产品是与基础宽带业务相结合,利用定制化portal页面,结合集团客户的产品需求,为集团客户的公共服务场所或公共区域内的个人用户提供免费的Wifi服务。该业务依托于宽带网络,采用无线局域网技术,目的是帮助企业提升客户感知,创造营销价值。
无线微网产品在为用户提供的免费Wifi互联网接入服务的同时,利用Wifi的个性化定制门户实现如品牌展示、营销服务、产品推广、广告服务等多种需求。
2 无线微网产品解决方案
2.1 无线微网产品解决方案由云平台侧的业务管理(无线微网)、接入控制(AC)和接入侧的Wifi接入点(AP)组成。其中接入控制(AC)根据组网需要选择性配置,AP可以直接对接无线微网。这个时候AP集成了传统AC接入控制的部分功能,可实现无线局域网协议的网络介质转换,传输用户的登录认证信息。支持IEEE802.11b/g/n标准,可以接入笔记本电脑、PAD、手机等各类用户WIFI终端。(1)AP的主要作用是无线局域网协议的网络介质转换;支持IEEE802.11b/g/n标准,可以接入笔记本电脑、PAD、手机等各类用户Wifi终端;(2)AC的主要作用是对AP进行集中的配合和管理、在AC和AP间建立起安全的管理隧道传输用户的登录认证及计费信息。
2.2 无线微网采用C/S模式的三层架构,具备配置和接口方面的灵活性。无线微网支持常用主流数据库。无线微网可以部署在UNIX小型机或者x86架构的PCSERVER上,随着用户规模的扩展,无线微网支持硬件平台的平滑升级。初期可以部署在一台或者两台x86主机上,根据需要进行IT平台的升级或者优化。通过对驻于云端的无线微网平台的集中统一维护,可以便捷地扩展系统功能和容量,并对掌握的大量用户信息和海量数据进行大数据挖掘,获得新型的运营能力和更高的收益。无线微网软件平台的升级可以通过远程操作实现,支持用户的二次开发。
2.3 无线微网平台主要提供用户认证、用户或者运营者自助支持、营销辅助、业务统计和分析和系统维护和配置等功能,全方面满足运营者的需求。
3 无线微网网络安全
对部分行业和业务,公共安全部分要求实现网络审计功能,以实现安全方面的监管。网络安全需要专业的网络安全或网络审计设备配合无线微网云平台实现。
3.1 用户接入实名认证。无线微网平台可接入本地公安系统,进行实名认证,实名认证形式包括:(1)手机号码+设备MAC地址+地理位置(AP位置);(2)微博/微信账号+设备MAC地址+地理位置(AP位置)。
3.2 用户上网记录溯源。无线微网平台可接入本地公安部门,对登录人信息及上网记录做管理。无线微网平台有记录留存技术措施,并至少保存九十天记录备份的功能。包括:用户名、上下线时间、接入AP名称、MAC、IP地址、所用终端设备型号信息(在可识别的情况下)。
4 无线微网商用价值
4.1 商户自助服务(门户界面、广告策略、上网管理);企业/商家可DIY自管理,设置、查;Wifi名称、Portal门户界面样式;广告内容、广告链接、轮换策略;客户管理(限制使用时长,限制使用带宽);设备(最小粒度到单个设备,根据AP所处位置设置个性化内容)。
4.2 营销能力。(1)支持按【时间】策略推送,如按节假日分时段推送;(2)支持按【地域】推送,如接入SSID,AP推送;(3)支持按【人群】(用户分组)推送,如顾客还是内部工作人员推送;(4)支持通过访客的社交网络账号,发送企业定制的营销信息;(5)支持与其它营销平台对接、互动,提供增强的营销能力。
4.3 统计分析能力,包含:广告点击统计、客源来源统计、客户来店统计等。
5 无线微网产品形态
参考文献:
[1]蒯旭.质检行业无线网络技术应用[J].计算机光盘软件与应用 ,2013(20):293+295.
【关键词】大数据 网络安全 神经网络 主动防御系统
1 引言
随着移动通信、光纤通信等技术的快速普及和改进,互联网承载了政务办公、金融银行、物流运输、智能制造、智能交通等多种应用软件,这些应用软件的运行也促进人类迈入大数据时代。大数据、互联网在为人们提供便捷服务的同时也面连着严重威胁,许多黑客、病毒和木马开始肆虐,攻击各类型的服务器,为人们的财产、名誉等隐私信息带来了严重的损害。因此,为了能够提高大数据时代互联网安全运行和管理,本文提出基于神经网络构建一个主动防御系统,利用大数据分析和挖掘技术提高网络防御能力,进一步保证网络安全可靠运行。
2 大数据时代网络安全管理现状分析
随着人类进入到大数据时代,互联网在为人们提供便利服务的同时也面临着严重的安全威胁,黑客、病毒和木马已经呈现出爆发式增长模式,安全攻击呈现出来新型特点,比如安全攻击隐蔽的时间更长、攻击渠道也更多。
2.1 安全攻击威胁隐蔽时间更长
目前,许多互联网病毒、木马采用先进的面向对象、面向过程等技术,都伪装成正常的数据文件保存在系统中,并且采取了长期保存模式,同时这些技术开发的攻击威胁更加智能,埋伏的更加隐蔽,因此这就造成了360安全卫士、卡巴斯基杀毒软件、江民杀毒软件等及时的查杀病毒。
2.2 攻击渠道更多
互联网光纤接入终端ONT、光纤分发单元ONU、光纤阵列服务器、光纤交换机,同时接入互联网的用户端设备也包括台式机、笔记本、智能手机、平板电脑、传感器、家用电器等,形成了强大的物联网、车联网等多类型网络,但是这些软硬件资源集成在一起时,由于不同的开发框架和实现技术融合在一起形成了各类型的漏洞,导致遭受攻击的渠道更多。
3 大数据时代网络安全主动防御系统研究
传统的安全保护类技术已无法满足当前大数据时代网络安全需求。防火墙虽然能够有效地防止非法信息通过它进行传输,但对于不通过它传输的非法信息,它却无法发现。网络安全主动防御系统是一种更深层次上进行的主动网络安全防御措施,它不仅可以通过监测网络实现对内部攻击、外部入侵和误操作的实时保护,有效弥补防火墙的不足,而且能结合其它网络安全产品,对网络安全进行主动、实时的全方位保护。安全防御技术已经成为网络安全领域必不可少的手段。在众多的防御系统中,神经网络以其强大的攻击模式分析能力、处理噪声数据的能力、简单的建模能力和可识别未知攻击等优点,吸引了人们的注意力。将神经网络用于网络安全主动防御系统,可以有效避免传统防御系统的缺点,提高检测性能,神经网络在网络防御方面有较好的应用前景。
神经网络又被称为连接机模型,它是基于心理学、现代神经学等专业的研究成果建立的,是生物神经系统活动过程在其他领域的再现和表现,是模仿人的大脑神经系统活动的规律建立起来的计算模式,是对众多需要处理的单元进行互联形成的网络系统,其基本特点或特征与生物系统所具有的基本一样,很大程度上体现了人脑功能的反应,是生物系统的一定程度上的模拟和再现,其包含自行学习和组织、分布式处理数据等的优点,在语音分析、计算机视觉、图像识别等众多方面具有突出的贡献。大数据时代,互联网安全运行产生了海量的数据,这些数据中可能蕴含许多的非法数据信息,因此利用神经网络构建一个大数据在线采集信息,针对这些数据进行预处理,比如删除不符合标准的数据,针对数据进行整合,构建一个数据矩阵,同时引入神经网络算法,训练和学习一个准确的安全威胁挖掘分析模式,将各类型的病毒、木马等挖掘模式保存在模式库中,同时将模式库部署于网络接入区域,这样就可以获取准确的挖掘结果,并且将结果输出到前台实时交互接口,阻断病毒、木马在网络中的传播,从而实现主动防御的目的。基于神经网络的无线网络安全防御系统结构如图1所示。
4 结束语
互联网安全防御是一个系统工程,其需要从网络接口、网络服务器、数据存储器等每一个环节进行控制,但是传统的防御模式依赖人工配置规则,属于被动式防御,无法满足大数据时代应用需求,因此本文提出构建一个基于神经网络的主动防御系统,从海量数据流中发现潜在的风险,从根本上动态的提高网络安全防御能力。
参考文献
[1]何春.大数据时代计算机网络安全主动防御模型设计[J].宁波职业技术学院学报,2016,20(04):97-99.
[2]刘金勇.大数据时代互联网安全管理系统研究与探讨[J].网络安全技术与应用,2015,7(06):61-61.
Abstract: With the rapid development of networks, people's economic life is increasingly dependent on the network, so network security is getting more attention. What the main network security failures we are facing now?How will we to eliminate those failures one by one? This paper lists several common network security failures, and analyzes how to protect the safe operation of the network from two aspects of management and technology.
关键词:计算机网络;安全故障;安全对策;安全技术
Key words: computer networks; security failures; safety measures; security technology
中图分类号:TP30 文献标识码:A文章编号:1006-4311(2010)33-0168-01
1网络所面临的安全故障
1.1 系统漏洞:网络系统普遍采用TCPAP协议,TCPAP在设计时以方便应用为首要任务。许多协议,如文件传输协议,缺乏认证和保密措施。
1.2 黑客攻击:黑客会利用网络扫描工具,发现目标系统的漏洞,发动攻击,破坏目标系统的安全。
1.3 病毒入侵:网络已成为病毒传播的主要途径。病毒通过网络入侵,具有更高的传播速度和更大的传播范围,其破坏性也不言而喻,有些恶性的病毒会造成系统瘫痪、数据破坏,严重地危害到网络安全。
1.4 网络配置管理不当:网络配置管理不当会造成非授权访问。网络管理员在配置网络时,往往因为用户权限设置过大、开放不必要的服务器端口。或者一般用户因为疏忽,丢失账号和口令,从而造成非授权访问。
1.5 陷井和后门:这是一段非法的操作系统程序。其目的是为闯入者提供后门,可以在用户主机上没有任何痕迹地运行一次即可安装后门,通过后门实现对计算机的完全控制。而用户可能莫名其妙地丢失文件、或被篡改数据等。
1.6 操作人员方面:①保密观念:部分操作人员保密观念差,缺乏相应的计算机信息安全管理制度,随意让闲散人进入机房重地,随意放置相关密码和系统口令的工作笔记、存储有重要信息的系统磁盘和光盘等;②工作责任心:操作人员工作责任心不强。经常擅自离开工作岗位或者疏于定期检查和系统维护,不严格执行安全操作规程。
2如何排除网络安全故障,提高计算机网络安全
2.1 提高思想认识。当前,世界各国对信息战十分重视,假如我们的网络安全无法保证,这势必影响到国家政治、经济的安全。因此,我们需从思想上提高对计算机网络安全重要性的认识。
2.2 加强管理制度。任何网站都不是绝对安全的,需从两方面加强管理,一是要狠抓日常管理制度落实,并把安全管理制度落实到第一个环节中;二是要加强计算机从业人员的行业归口管理,对这些人员要强化安全教育和法制教育,建立人员管理档案并进行定期的检查和培训;
2.3 应用网络安全技术。①防火墙。根据防火墙所采用的技术不同,我们可以将它分为三种基本类型:包过滤型、网络地址转换-NAT、型。a.包过滤型。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。b.网络地址转化-NAT。网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准,它允许具有私有IP地址的内部网络访问因特网。c.型。型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。②加密技术。与防火墙配合使用的还有数据加密技术。按作用不同,数据加密技术分为数据传输、数据存储、数据完整性的鉴别和密钥管理技术4种:a.数据传输加密技术是对传输中的数据流加密;b.数据存储加密技术目的是防止存储环节上的数据失密,可分为密文存储和存取控制两种;c.数据完整性鉴别技术目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对本验证对象输入的特征值是否符合预先设定的参数;d.密钥管理技术是为了数据使用的方便,往往是保密和窃密的主要对象。密钥的媒体有磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节的保密措施。
3PKI技术
①认证机构。它的主要职责是颁发证书、验证用户身份的真实性。②注册机构。RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。③策略管理。在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA和RA的系统实现中。④密钥备份和恢复。为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的。⑤证书管理与撤消系统。证书是用来证明证书持有者身份的电子介质,它用来绑定证书持有者身份和其相应公钥。这种绑定在已颁发证书的整个生命周期里是有效的。但是,当一个已颁发证书不再有效的情况,就需要进行证书撤消。
4网络防病毒技术
①预防病毒技术,即通过自身的常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。②检测病毒技术,即通过对计算机病毒的特征进行判断的技术,如自身校验、关键字、文件长度的变化等。③消毒技术,即通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文的软件。
网络反病毒技术的具体实现方法包括对网路服务器中的文件进行频繁的扫描和监测;在工作站上用防毒芯片和对网络目录及文件设置访问权限等。
5结语
网络安全是一个复杂的问题,涉及法律、管理和技术等综合方面。只有协调好三者之间的关系,构建完善的安全体系,才能有效地保护网络安全。
参考文献:
[1]刘荫铭,李金海,刘国丽,等.计算机安全技术[M].北京:清华大学出版社,2000.
[2]高志国.龙文辉.反黑客教程[M].北京:中国对外翻译出版公司,2000.
[3]胡道员.计算机网络工程指南[M].北京:电子工业出版社,1999.
[4]张晓瑶.网络安全任重而道远[J].电脑知识与技术(学术交流),2007(19).
