公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全實(shí)施方案范文

網(wǎng)絡(luò)安全實(shí)施方案精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全實(shí)施方案主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全實(shí)施方案

第1篇:網(wǎng)絡(luò)安全實(shí)施方案范文

關(guān)鍵詞:校園網(wǎng) 安全 背景分析 設(shè)計(jì)策略 特色

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2013)03(a)-0-02

漢中職業(yè)技術(shù)學(xué)院新校區(qū)弱電數(shù)字化校園網(wǎng)設(shè)計(jì)以“統(tǒng)一規(guī)劃、分步實(shí)施、加強(qiáng)應(yīng)用、資源整合、數(shù)據(jù)共享” 為指導(dǎo)思想,本著“數(shù)字與安全并重,常態(tài)與非常態(tài)結(jié)合的原則,建立起現(xiàn)代化的數(shù)字化校園”,嚴(yán)格按照新校區(qū)的有關(guān)要求和具體場(chǎng)地的使用情況進(jìn)行設(shè)計(jì)和施工。具體設(shè)計(jì)原則體現(xiàn)了先進(jìn)性、成熟性、開放性、標(biāo)準(zhǔn)化、可擴(kuò)展性、安全性、可靠性、實(shí)用性、可集成性、宜管理性。同時(shí)《陜西省教育信息化十年發(fā)展規(guī)劃》(2011―2020年)頒布后,我院認(rèn)真組織學(xué)習(xí),根據(jù)全國(guó)教育信息化工作電視電話會(huì)議精神,結(jié)合我院實(shí)際情況,深化實(shí)施我院信息化試點(diǎn)建設(shè)。為保障我院信息化試點(diǎn)建設(shè)和整個(gè)校園網(wǎng)絡(luò)的正常運(yùn)行,以上原則中,系統(tǒng)的安全性是非常重要的內(nèi)容,提供機(jī)制增強(qiáng)整個(gè)系統(tǒng)的安全防范能力。主要考慮:網(wǎng)絡(luò)設(shè)備的安全性,包括數(shù)據(jù)包過濾、防火墻等功能;用戶接入的控制;實(shí)現(xiàn)完善的統(tǒng)一認(rèn)證及計(jì)費(fèi)系統(tǒng);入侵檢測(cè)和病毒防范;校園網(wǎng)系統(tǒng)對(duì)外出口及入口的安全性的考慮。所以合理,科學(xué)、全面、可操作性的校園網(wǎng)絡(luò)安全整體設(shè)計(jì)顯的尤為重要。

1 背景分析

1.1 校園網(wǎng)狀況分析

校園網(wǎng)網(wǎng)絡(luò)信息十分豐富,網(wǎng)絡(luò)用戶的活動(dòng)也非?;钴S,校園網(wǎng)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)往往用于滿足學(xué)校正常的行政辦公需要、廣大師生的教務(wù)教學(xué)需要、學(xué)生們的課余校園文化生活等,這些信息都需要進(jìn)行完整性、真實(shí)性保護(hù)和控制,這就需要對(duì)進(jìn)出校園網(wǎng)的訪問行為進(jìn)行必要的控制,避免損失。

校園網(wǎng)絡(luò)系統(tǒng)中計(jì)算機(jī)數(shù)量多,物理位置不同、操作用戶不同、用途不同,由于這些差異,使得校園網(wǎng)網(wǎng)絡(luò)中計(jì)算機(jī)中的漏洞問題十分嚴(yán)重。因?yàn)槭褂谜叩陌踩庾R(shí)不強(qiáng),或者采取措施不及時(shí)造成的損失在校園網(wǎng)內(nèi)時(shí)有發(fā)生,因此采用科學(xué)管理方法和先進(jìn)的技術(shù),可以進(jìn)一步提高校園網(wǎng)絡(luò)信息安全保障水平。

網(wǎng)絡(luò)上的信息良蕎不齊,對(duì)正在形成世界觀和人生觀的學(xué)生來說,還不能正確地對(duì)待這類內(nèi)容,這些違反道德標(biāo)準(zhǔn)和有關(guān)法律規(guī)范的不良信息對(duì)他們危害極大,如果信息安全措施不好,有部分學(xué)生會(huì)進(jìn)入這些網(wǎng)站,還可能在校園內(nèi)傳播這類不良

信息。

教育信息化、校園網(wǎng)絡(luò)化作為網(wǎng)絡(luò)時(shí)代的教育方式和教育環(huán)境。隨著各高校網(wǎng)絡(luò)規(guī)模的膨脹、網(wǎng)絡(luò)用戶數(shù)目的快速增長(zhǎng),校園網(wǎng)網(wǎng)絡(luò)信息安全問題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。作為資源共享和信息交流的平臺(tái),校園網(wǎng)絡(luò)的安全顯的尤為重要。

1.2 校園網(wǎng)安全需求

1.2.1 高校面臨著嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)。越來越多的報(bào)道表明高校校園網(wǎng)己意識(shí)的淡薄,而另一方面,高校學(xué)生―這群精力充沛的年輕一族對(duì)新鮮事物有著強(qiáng)烈的好奇心,他們有著探索的高智商和沖勁,卻缺乏全面思考的責(zé)任感。有關(guān)數(shù)字顯示,目前校園網(wǎng)遭受的惡意攻擊,70%來自高校網(wǎng)絡(luò)內(nèi)部,如何保障校園網(wǎng)絡(luò)的安全成為高校校園網(wǎng)絡(luò)建設(shè)時(shí)不得不考慮的問題。

1.2.2 網(wǎng)絡(luò)安全一定是全方位的安全。首先,網(wǎng)絡(luò)出口、數(shù)據(jù)中心、服務(wù)器等重點(diǎn)區(qū)域要做到安全過濾;其次,不管接入設(shè)備,還是骨干設(shè)備,設(shè)備本身需要具備強(qiáng)大的安全防護(hù),要具備強(qiáng)大的安全防護(hù)能力,并且安全策略部署不能影響到網(wǎng)絡(luò)的性能,不造成網(wǎng)絡(luò)單點(diǎn)故障;最后,要充分考慮全局統(tǒng)一的安全部署,需要能夠從接入控制,到對(duì)網(wǎng)絡(luò)安全事件進(jìn)行深度探測(cè),到現(xiàn)有安全設(shè)備有機(jī)的聯(lián)動(dòng),到對(duì)安全事件觸發(fā)源的準(zhǔn)確定位和根據(jù)身份進(jìn)行的隔離、修復(fù)措施,從而能對(duì)網(wǎng)絡(luò)形成一個(gè)由內(nèi)至外的整體安全架構(gòu)。

1.3 校園網(wǎng)安全面臨的威脅

通過認(rèn)真分析可以總結(jié)出校園網(wǎng)主要面臨如下的安全威脅:各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅;Internet網(wǎng)絡(luò)用戶對(duì)校園網(wǎng)存在非法訪問或惡意入侵的威脅;來自校園網(wǎng)內(nèi)外的各種病毒的威脅;內(nèi)部用戶下載文件可能將木馬、蠕蟲等程序帶入校園內(nèi)網(wǎng);內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對(duì)網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊,導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用等。

2 校園網(wǎng)安全設(shè)計(jì)策略

對(duì)于以上威脅,我們只有不斷改進(jìn)管理方法和采用先進(jìn)的技術(shù)結(jié)合起來,才能切實(shí)構(gòu)筑一個(gè)安全的校園網(wǎng)。

2.1 校園網(wǎng)安全管理

針對(duì)目前高校校園網(wǎng)安全現(xiàn)狀,在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下,對(duì)于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。以下是我院的安全管理策略。

2.1.1 規(guī)范出口管理,實(shí)施校園網(wǎng)的整體安全架構(gòu),必須解決多出口的問題。規(guī)范統(tǒng)一的對(duì)出口進(jìn)行管理,使校園網(wǎng)絡(luò)安全體系能夠得以實(shí)施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。

2.1.2 配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備,在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備,就可杜絕大部分的攻擊和破壞,一般包括:防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)等。另外,通過配置安全產(chǎn)品可以實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控,對(duì)大量的非法訪問和不健康信息起到有效的阻斷作用,對(duì)網(wǎng)絡(luò)的故障可以迅速定位并解決。

2.1.3 解決用戶上網(wǎng)身份問題,建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題,而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ),否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之,只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng),才能徹底的解決用戶上網(wǎng)身份問題。

2.1.4 嚴(yán)格規(guī)范上網(wǎng)場(chǎng)所的管理,集中進(jìn)行監(jiān)控和管理。上網(wǎng)用戶不但要通過統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn),而且,合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控,上網(wǎng)行為的日志要集中保存在中心服務(wù)器上,保證了這個(gè)記錄的法律性和準(zhǔn)確性。

2.2 校園網(wǎng)絡(luò)安全技術(shù)

前述各種網(wǎng)絡(luò)安全威脅,都是通過網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對(duì)網(wǎng)絡(luò)發(fā)起攻擊的。為杜絕網(wǎng)絡(luò)威脅,主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力,堵塞網(wǎng)絡(luò)漏洞,從而達(dá)到網(wǎng)絡(luò)安全。

2.2.1 殺毒產(chǎn)品的部署

在該網(wǎng)絡(luò)防病毒方案中,要達(dá)到一個(gè)目的就是:要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實(shí)現(xiàn)這一點(diǎn),應(yīng)在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段;同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系,應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、集中管理、分布查殺等多種功能。

2.2.2 采用VLAN技術(shù)

VLAN技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別,將網(wǎng)絡(luò)分段并進(jìn)行隔離,實(shí)現(xiàn)相互間的訪問控制,可以達(dá)到限制用戶非法訪問的目的。

2.2.3 內(nèi)容過濾器

內(nèi)容過濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無意識(shí)服務(wù)拒絕的工具。同時(shí),可以限制外來的垃圾郵件。

2.2.4 防火墻

在每一臺(tái)電腦上都安裝裝防火墻,成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性:規(guī)劃設(shè)置正確的安全過濾規(guī)則;規(guī)則審核協(xié)議、端口、源地址等IP數(shù)據(jù)包內(nèi)容;嚴(yán)格禁止外網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問;使用動(dòng)態(tài)規(guī)則管理,允許授權(quán)運(yùn)行的程序開放的端口服務(wù);正確設(shè)置你在局域網(wǎng)中的IP,防火墻系統(tǒng)才能識(shí)別數(shù)據(jù)包的來向,從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)功能;定期查看防火墻訪問日志,及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。

2.2.5 入侵檢測(cè)

入侵檢測(cè)系統(tǒng)是防火墻的合理補(bǔ)充,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù),利用內(nèi)置的攻擊特征庫(kù),使用模式匹配和智能分析的方法,檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異?,F(xiàn)象,并記錄有關(guān)事件。

2.2.6 漏洞掃描

隨著軟件規(guī)模的不斷增大.系統(tǒng)中的安全漏洞或“后門”會(huì)存在.因此,應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器等進(jìn)行安全檢查,并寫出詳細(xì)的安全性分析報(bào)告,及時(shí)地將發(fā)現(xiàn)的安全漏洞打上“補(bǔ)丁”。

2.2.7 數(shù)據(jù)加密

數(shù)據(jù)加密是核心的對(duì)策,是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。

2.2.8 加強(qiáng)網(wǎng)絡(luò)安全管理

首先,加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)和普及;其次,是健全完善管理制度和相應(yīng)的考核機(jī)制,以提高網(wǎng)絡(luò)管理的效率。

3 特色創(chuàng)新點(diǎn)

3.1 校企合作

學(xué)院通過招標(biāo)公司面向全國(guó)分別于2011年、2012年進(jìn)行規(guī)劃設(shè)計(jì)及施工、監(jiān)理招標(biāo)。2012年下半年開始具體實(shí)施信息化建設(shè)。與此同時(shí),學(xué)院本著長(zhǎng)期合作、共同發(fā)展的原則,與中國(guó)移動(dòng)漢中分公司、中國(guó)電信漢中分公司建立長(zhǎng)期戰(zhàn)略合作伙伴關(guān)系,由兩家公司承擔(dān)學(xué)院綜合布線、一卡通等項(xiàng)目的建設(shè),并長(zhǎng)期提供技術(shù)支持。

3.2 五位一體化認(rèn)證體系

多年的摸索和實(shí)踐使我們認(rèn)識(shí)到,校園網(wǎng)安全運(yùn)營(yíng)管理的核心需求及特點(diǎn)可歸納為五個(gè)方面。

準(zhǔn)入準(zhǔn)出一體化:準(zhǔn)入和準(zhǔn)出一體化采用統(tǒng)一的安全認(rèn)證平臺(tái),用戶僅需1套賬號(hào)密碼并能夠自由、自主的在內(nèi)外網(wǎng)訪問間實(shí)現(xiàn)方便的切換,管理難度小、用戶體驗(yàn)高;流控設(shè)備與網(wǎng)關(guān)一體化,提供精確的流量和帶寬同時(shí)不影響性能,減少單點(diǎn)故障。保護(hù)用戶投資,實(shí)現(xiàn)增值。

802.1x和Web一體化:在接入交換機(jī)實(shí)現(xiàn)802.1x準(zhǔn)入和Web準(zhǔn)入的同時(shí)支持,達(dá)到部署靈活、保護(hù)投資的目的。實(shí)現(xiàn)基于用戶身份和所在區(qū)域的多種認(rèn)證方式,安全性高、便于管理。可通過統(tǒng)一的認(rèn)證管理平臺(tái)進(jìn)行管理減少投資成本、降低管理難度。802.1X認(rèn)證方式主要適用于學(xué)生群體,控制比較嚴(yán)格,Web方式適用于教職工群體上網(wǎng)方便。

有線和無線一體化:校園網(wǎng)同時(shí)具備有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)接入能力,通過不同的認(rèn)證方式,可以統(tǒng)一認(rèn)證管理平臺(tái)進(jìn)行管理,可以減少成本,部署靈活,降低管理難度。使用一體化的控制器使設(shè)備的利用率升高,保護(hù)了投資。同時(shí)一體化的網(wǎng)管能夠提供有線設(shè)備和無線設(shè)備的統(tǒng)一配置和管理達(dá)到減少投資成本的目的。

校內(nèi)和校外一體化:VPN網(wǎng)關(guān)支持基于Web認(rèn)證方式的SSL VPN,支持USB key等安全機(jī)制,部署靈活、便于管理。運(yùn)維管理人員僅需對(duì)1套系統(tǒng)、1份用戶身份信息進(jìn)行操作,降低了運(yùn)維管理復(fù)雜度。而網(wǎng)絡(luò)用戶在校內(nèi)和校外僅需1套賬號(hào)密碼,保證了高安全性和便捷的用戶體驗(yàn)。

IPv4和IPv6一體化:在身份認(rèn)證、用戶管理、安全管理、管理等方面,使校園網(wǎng)同時(shí)承載IPv4和IPv6協(xié)議,滿足接入需求。以達(dá)到減少投資成本、降低管理難度的目的,并且優(yōu)化了用戶使用體驗(yàn)、改善了網(wǎng)絡(luò)安全審計(jì)。

面向數(shù)字校園的校園網(wǎng)安全運(yùn)營(yíng)管理要求對(duì)這五個(gè)方面進(jìn)行完整的涵蓋,五個(gè)方面的分別一體化是過程、五個(gè)方面的整合一體化是目標(biāo),直至實(shí)現(xiàn)校園網(wǎng)的全網(wǎng)統(tǒng)一認(rèn)證運(yùn)營(yíng)管理。

3.3 緊密四平臺(tái)

網(wǎng)絡(luò)設(shè)備管理平臺(tái)、網(wǎng)絡(luò)健康監(jiān)控管理平臺(tái)、網(wǎng)站安全防護(hù)平臺(tái)、網(wǎng)絡(luò)實(shí)名制平臺(tái)相互依賴。

參考文獻(xiàn)

[1] 鄧小善.網(wǎng)絡(luò)服務(wù)器配置與管理[M].北京:中國(guó)鐵道出版社,2003.

[2] 劉曉輝.網(wǎng)絡(luò)硬件設(shè)備完全技術(shù)[M].北京:中國(guó)鐵道出版社,2011.

第2篇:網(wǎng)絡(luò)安全實(shí)施方案范文

3月25日,山石科技公司在北京高調(diào)亮相,宣布攜全新的防火墻及路由器等網(wǎng)絡(luò)安全設(shè)備以及全新的領(lǐng)導(dǎo)班子,全面進(jìn)軍中國(guó)的信息安全市場(chǎng)。

這一舉措不同尋常的地方在于,目前國(guó)內(nèi)的信息安全市場(chǎng),尤其是防火墻、路由器領(lǐng)域,已經(jīng)處于充分的競(jìng)爭(zhēng)狀態(tài),前有思科、Juniper、H3C等老牌的網(wǎng)絡(luò)設(shè)備廠商虎踞龍盤、后有天融信、啟明星辰、聯(lián)想網(wǎng)御等一大批新興的國(guó)內(nèi)信息安全品牌在虎口奪食,市場(chǎng)競(jìng)爭(zhēng)異常殘酷激烈。熟知這一切的鄧鋒為什么在這種背景下選擇了以這種產(chǎn)品重新切入安全市場(chǎng)?

據(jù)任山石科技董事長(zhǎng)的鄧鋒介紹,風(fēng)投看中的三個(gè)主要因素是:人、人、人。現(xiàn)任山石科技公司總裁兼CEO的童建,是鄧鋒在NetScreen公司一起工作了10多年的同事,在后被Juniper收購(gòu)的NetScreen公司中,一直擔(dān)任技術(shù)研發(fā)總裁的職位,有很強(qiáng)的技術(shù)背景。此外,他認(rèn)為,山石公司目前并不是只推防火墻一種產(chǎn)品,而是同時(shí)推路由器等設(shè)備,形成一套“安全+網(wǎng)絡(luò)”的整體方案,以應(yīng)對(duì)目前的安全環(huán)境。“現(xiàn)在的市場(chǎng)雖然競(jìng)爭(zhēng)激烈,但比當(dāng)初NetScreen公司推防火墻時(shí)更有優(yōu)勢(shì),因?yàn)槲覀儾槐匾逃袌?chǎng)什么是防火墻了?!彼f。

第3篇:網(wǎng)絡(luò)安全實(shí)施方案范文

【關(guān)鍵詞】無線網(wǎng)絡(luò),安全防范措施

中圖分類號(hào):P624.8文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào):

前言

無線網(wǎng)絡(luò)作為一種新興的便捷性網(wǎng)絡(luò)資源,已經(jīng)逐漸得到普及,尤其是在辦公場(chǎng)所。然而,在逐漸快速化的現(xiàn)代生活,網(wǎng)絡(luò)的安全性問題已經(jīng)成為了首要關(guān)注的問題,下面我們來討論有關(guān)安全防范措施。

二、無線網(wǎng)絡(luò)的安全隱患分析

無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過無線通訊技術(shù)來連接單個(gè)的計(jì)算機(jī)終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點(diǎn)就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實(shí)施信息傳輸和聯(lián)系。對(duì)比傳統(tǒng)的有線局域網(wǎng),無線網(wǎng)絡(luò)的構(gòu)建增強(qiáng)了電腦終端的移動(dòng)能力,同時(shí)它安裝簡(jiǎn)單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?但同時(shí),也正是由于無線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機(jī)制來保護(hù)信息傳輸?shù)陌踩?換句話無線網(wǎng)絡(luò)的安全保護(hù)措施難度原因大于有線網(wǎng)絡(luò)。

IT技術(shù)人員在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中面臨兩大問題:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段,技術(shù)人員可以通過部署防火墻硬件安全設(shè)備來構(gòu)建一個(gè)防范外部攻擊的防線,但是,“兼顧的防線往往從內(nèi)部被攻破”。由于無線網(wǎng)絡(luò)具有接入方便的特點(diǎn),使得我們?cè)群馁Y部署的有線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過,成為形同虛設(shè)的“馬奇諾防線”。

針對(duì)無線網(wǎng)絡(luò)的主要安全威脅有如下一些:

1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)傳輸可導(dǎo)致機(jī)密敏感數(shù)據(jù)泄漏、未加保護(hù)的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗(yàn)的入侵者手機(jī)有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進(jìn)行社會(huì)工程學(xué)攻擊的一系列商信息。

2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計(jì)算機(jī)通過偽造網(wǎng)關(guān)等途徑來截獲甚至修改兩個(gè)合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。

3.網(wǎng)絡(luò)通信被竊聽

網(wǎng)絡(luò)通信被竊聽是指用戶在使用網(wǎng)絡(luò)過程中產(chǎn)生的通信信息為局域網(wǎng)中的其他計(jì)算機(jī)所捕獲。由于大部分網(wǎng)絡(luò)通信都是以明文(非加密)的方式在網(wǎng)絡(luò)上進(jìn)行傳輸?shù)?,因此通過觀察、監(jiān)聽、分析數(shù)據(jù)流和數(shù)據(jù)流模式,就能夠得到用戶的網(wǎng)絡(luò)通信信息。例如,A計(jì)算機(jī)用戶輸入百度的網(wǎng)址就可能為處于同一局域網(wǎng)的B計(jì)算機(jī)使用監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)包的軟件所捕獲,并且在捕獲軟件中能夠顯示出來,同樣可以捕獲的還有MSN聊天記錄等。

4.無線AP為他人控制

無線AP是指無線網(wǎng)絡(luò)接入點(diǎn),例如家庭中常用的無線路由器就是無線AP。無線AP為他人所控制就是無線路由器的管理權(quán)限為非授權(quán)的人員所獲得。當(dāng)無線網(wǎng)絡(luò)盜取者盜取無線網(wǎng)絡(luò)并接入后,就可以連接訪問無線AP的管理界面,如果恰好用戶使用的無線AP驗(yàn)證密碼非常簡(jiǎn)單,比如使用的是默認(rèn)密碼,那么非授權(quán)用戶即可登錄進(jìn)入無線AP的管理界面隨意進(jìn)行設(shè)置。

無線AP為他人所控制可能造成的后果很嚴(yán)重:一是盜用者在控制無線AP后,可以任意修改用戶AP的參數(shù),包括斷開客戶端連接;二是在無線路由器管理界面中,存放著用戶ADSL的上網(wǎng)賬號(hào)和口令(如圖2所示),通過密碼查看軟件可以很輕松地查看以星號(hào)或者點(diǎn)號(hào)顯示的口令。

三、安全防范措施

1.隱藏計(jì)算機(jī)

要讓自己的計(jì)算機(jī)隱身,技巧比較多,在這里我們向大家介紹一些常用的技巧。

(一)DOS命令法

對(duì)于處在局域網(wǎng)里的計(jì)算機(jī),我們可以打開命令提示符窗口,然后在提示符下輸入“net config server /hidden:yes”,這樣即可實(shí)現(xiàn)隱身。

(二)取消共享法

打開本地?zé)o線連接的屬性窗口,在“常規(guī)”標(biāo)簽中把“此連接使用下列項(xiàng)目”下的“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”項(xiàng)選中,然后單擊“卸載”按鈕,將文件和打印共享服務(wù)卸載,同樣可以起到隱身的作用。

(三)組策略法

對(duì)于Windows 2000/XP用戶,還可以通過組策略來解決。運(yùn)行“gpedit.msc”打開組策略,依次找到“計(jì)算機(jī)配置Windows設(shè)置安全設(shè)置本地策略用戶權(quán)利指派”,在右側(cè)窗口中找到“從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”,然后將其中所有的用戶都刪除即可。

(四)禁Ping法

對(duì)于Windows XP SP2用戶,我們還可以使用防火墻來解決這個(gè)問題。黑客入侵,一般都會(huì)使用Ping命令判斷主機(jī)是否在線。對(duì)此我們可以讓他Ping不通。進(jìn)入控制面板打開Windows防火墻,切換到“高級(jí)”標(biāo)簽,在“網(wǎng)絡(luò)連接設(shè)置”中選中無線連接并單擊“設(shè)置”按鈕,將打開的窗口再切換到“ICMP”,把相關(guān)的傳入和傳出請(qǐng)求都禁止,這樣再Ping時(shí)將無法判斷主機(jī)是否在線。

2.MAC地址過濾

MAC地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個(gè)AP中,或者直接存儲(chǔ)在無線控制器中,或者在AP交換機(jī)端進(jìn)行設(shè)置。

3.隱藏SSID

SSID(Service Set Identifier,服務(wù)標(biāo)識(shí)符)是用來區(qū)分不同的網(wǎng)絡(luò),其作用類似于有線網(wǎng)絡(luò)中的VLAN,計(jì)算機(jī)接入某一個(gè)SSID的網(wǎng)絡(luò)后就不能直接與另一個(gè)SSID的網(wǎng)絡(luò)進(jìn)行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。一個(gè)SSID最多有32個(gè)字符構(gòu)成,無線終端接入無線網(wǎng)路時(shí)必須提供有效的SIID,只有匹配的SSID才可接入。

一般來說,無線AP會(huì)廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的SSID羅列出來。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個(gè)不容易猜解的長(zhǎng)字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個(gè)實(shí)際存在的無線網(wǎng)絡(luò),即便他知道有一個(gè)無線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無法接入到這個(gè)網(wǎng)絡(luò)中去的。

4.隱藏?zé)o線路由

很多用戶為了方便客戶機(jī)連接,一般都會(huì)啟用SSID廣播。事實(shí)上如果客戶端比較固定,那么我們根本不需要,應(yīng)該將其停止廣播,使其處于隱身狀態(tài),避免處于信號(hào)覆蓋范圍內(nèi)的非法計(jì)算機(jī)接入網(wǎng)絡(luò)。

不同設(shè)備禁用SSID廣播的技巧大體相同,只需要登錄管理界面,然后找到SSID廣播設(shè)置將其禁用即可。禁用SSID廣播后,客戶端需要連接時(shí),只需要手工添加首先網(wǎng)絡(luò)并輸入SSID名稱即可。

雖然說,上面的技巧并不能絕對(duì)保障無線網(wǎng)絡(luò)的安全,但是將相應(yīng)的設(shè)備隱藏起來,將可以阻止大部分非法侵入。

5.安全標(biāo)準(zhǔn)策略

WEP標(biāo)準(zhǔn)已經(jīng)被證明是極為不安全的,特別容易受到安全攻擊,WPA雖然也存在被破解的可能,但是其安全程度比WEP高了很多,因此建議采用WPA加密方式。

6. 修改路由器密碼策略

為了無線路由器的安全,應(yīng)當(dāng)修改路由器所使用的用戶名和密碼,不要使用默認(rèn)的用戶名和密碼。例如很多路由器的默認(rèn)用戶名和密碼都是“admin”,幾乎成為眾所周知的密碼,也就毫無安全保障可言。

防火墻

對(duì)于企業(yè)用戶,可以通過建立防火墻來提升無線網(wǎng)絡(luò)的安全性,防火墻能夠有效阻止入侵者通過無線設(shè)備進(jìn)入網(wǎng)絡(luò)。

8.定期安全檢查

登錄無線AP管理端,即可查看客戶端列表,客戶端列表中顯示了接入的無線網(wǎng)絡(luò)的計(jì)算機(jī)信息,包括計(jì)算機(jī)名稱、MAC地址等。對(duì)于客戶端數(shù)量較少的無線網(wǎng)絡(luò),能夠排查出是否存在非授權(quán)訪問的計(jì)算機(jī)。

9.降低無線AP功率策略

在無線網(wǎng)絡(luò)中,無線AP(接入點(diǎn))的發(fā)射功率越高,其輻射的距離和范圍越大。當(dāng)設(shè)備覆蓋范圍遠(yuǎn)遠(yuǎn)超出其正常使用范圍時(shí),用戶的無線網(wǎng)絡(luò)就有可能遭遇盜用。在能夠滿足用戶對(duì)無線網(wǎng)速需要的前提下,應(yīng)當(dāng)盡量減少無線AP的功率,降低被他人非法訪問的可能性。

四、結(jié)束語(yǔ)

無線網(wǎng)絡(luò)的安全性問題在未來信息化時(shí)代中將會(huì)成為至關(guān)重要的問題之一,以上介紹的有關(guān)網(wǎng)絡(luò)安全問題以及解決措施大致包含了所有情況,對(duì)于運(yùn)行過程中出現(xiàn)的突況就需要進(jìn)行進(jìn)一步的研究與探討。

參考文獻(xiàn):

[1]陳亨坦 淺談無線網(wǎng)絡(luò)安全防范措施在高校網(wǎng)絡(luò)中的應(yīng)用 中國(guó)科技信息 2008

第4篇:網(wǎng)絡(luò)安全實(shí)施方案范文

以確?;馂?zāi)形勢(shì)穩(wěn)定為目標(biāo),以全面落實(shí)消防安全責(zé)任制為核心,以推行“網(wǎng)格化”消防管理(以下簡(jiǎn)稱網(wǎng)格化管理)為手段,重心下移、關(guān)口前移,整合全鎮(zhèn)消防監(jiān)管力量,拓展消防監(jiān)管層面,建立科學(xué)、規(guī)范、高效的消防安全管理機(jī)制,形成機(jī)構(gòu)健全、責(zé)任明晰、措施落實(shí)、管理到位的基層消防工作格局和覆蓋全鎮(zhèn)、村(居)、村(居)小組的三級(jí)火災(zāi)防控網(wǎng)絡(luò),全面提升基層火災(zāi)防控能力,堅(jiān)決預(yù)防和遏制重特大火災(zāi)事故的發(fā)生。

二、組織機(jī)構(gòu)

成立由主要負(fù)責(zé)人為組長(zhǎng),綜治、安監(jiān)、派出所、工商所、城管、村主任為成員的網(wǎng)格化消防管理工作領(lǐng)導(dǎo)小組:領(lǐng)導(dǎo)小組下設(shè)辦公室,掛靠鎮(zhèn)經(jīng)濟(jì)發(fā)展服務(wù)中心。

各村委會(huì)要成立以村委會(huì)主任負(fù)總責(zé)、其他村委會(huì)成員和轄區(qū)警務(wù)人員參加的消防安全小組,并在村居流動(dòng)人口管理站加掛網(wǎng)格化管理辦公室。鎮(zhèn)、村兩級(jí)明確消防安全專兼職管理人員,負(fù)責(zé)開展日常消防安全工作。

三、實(shí)施要點(diǎn)

(一)網(wǎng)格化管理基本模式。構(gòu)建三級(jí)消防安全管理基本體系:一是構(gòu)建鎮(zhèn)級(jí)“大網(wǎng)格”。各成員單位在鎮(zhèn)消防安全工作領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下,明確并依法履行消防職責(zé),定期召開會(huì)議研究和解決消防安全工作中的重要事項(xiàng)和問題。二是構(gòu)建社區(qū)和行政村級(jí)“中網(wǎng)格”。以轄區(qū)社區(qū)或行政村為基本單元,建立鎮(zhèn)主要領(lǐng)導(dǎo)分包社區(qū)或行政村的消防責(zé)任體系,定期開展消防隱患排查和宣傳工作。三是構(gòu)建責(zé)任片區(qū)“小網(wǎng)格”。在每個(gè)社區(qū)或行政村中,以轄區(qū)主要道路、居民樓、村民組為單元,劃分為若干責(zé)任片區(qū),形成“小網(wǎng)格”,明確專人負(fù)責(zé),定期開展隱患排查和落實(shí)督促整改工作。

鎮(zhèn)政府加強(qiáng)對(duì)網(wǎng)格內(nèi)的單位各社會(huì)消防安全管理,加大對(duì)社會(huì)單位構(gòu)筑消防安全“防火墻”工程及“四個(gè)能力”建設(shè)、建筑消防設(shè)施專項(xiàng)治理、“三合一”場(chǎng)所專項(xiàng)治理、消防安全專項(xiàng)工作的檢查指導(dǎo)力度,將危險(xiǎn)化學(xué)品企業(yè)、勞動(dòng)密集型企業(yè)、人員密集場(chǎng)所、社會(huì)力量開辦的學(xué)校及幼兒園、私房出租屋作為工作的重點(diǎn),督促各類主體落實(shí)出租房屋、廢品收購(gòu)站點(diǎn)、小型經(jīng)營(yíng)場(chǎng)所等消防安全的各種規(guī)范,定期、不定期進(jìn)行檢查,并建立專項(xiàng)檢查檔案,做到底數(shù)清、情況明,杜絕失控漏管。

(二)責(zé)任分工

1、鎮(zhèn)級(jí)(大網(wǎng)格)的工作職責(zé)與要求:

(1)制定鎮(zhèn)年度消防工作計(jì)劃,定期召開領(lǐng)導(dǎo)小組成員聯(lián)席會(huì)議和不定期召開消防安全工作業(yè)務(wù)(點(diǎn)評(píng))會(huì),研究消防安全工作,通報(bào)檢查情況,處理解決消防安全問題,對(duì)重大隱患及時(shí)上報(bào)區(qū)政府依法處理。(鎮(zhèn)網(wǎng)格辦牽頭,各成員單位配合)

(2)實(shí)行消防安全工作目標(biāo)管理,把消防工作納入社會(huì)綜合治理內(nèi)容,與村居簽訂消防目標(biāo)責(zé)任書,并督促落實(shí)消防目標(biāo)責(zé)任制,實(shí)行半年督辦和年終考評(píng),對(duì)工作成效明顯的給予通報(bào)表彰和評(píng)先獎(jiǎng)勵(lì);對(duì)工作開展不力導(dǎo)致發(fā)生較大以上火災(zāi)事故的,嚴(yán)肅追究相關(guān)人員責(zé)任。(鎮(zhèn)網(wǎng)格辦負(fù)責(zé),各成員單位配合,村居具體落實(shí))

(3)每月組織綜治、安監(jiān)、派出所、工商、消防、城管等部門對(duì)各村居(中網(wǎng)格)的消防安全工作情況進(jìn)行督促指導(dǎo)和對(duì)工貿(mào)企業(yè)、小學(xué)、農(nóng)貿(mào)市場(chǎng)、廢品收購(gòu)站(點(diǎn))等安全檢查,針對(duì)重點(diǎn)行業(yè)和區(qū)域?qū)嵭忻恐芤徊?,同時(shí)督促指導(dǎo)村居和有關(guān)單位開展消防工作。(鎮(zhèn)網(wǎng)格辦牽頭,綜治辦、安監(jiān)站、派出所、工商所、城管中隊(duì)等具體落實(shí))

(4)協(xié)調(diào)市政、水務(wù)等部門完善消防設(shè)施建設(shè)按國(guó)家標(biāo)準(zhǔn)要求,在村(居)主要道路上或自來水管網(wǎng)供水干線上設(shè)置市政消火栓;同時(shí)在各村居進(jìn)村路口設(shè)置大型的轄區(qū)水源分布圖。(鎮(zhèn)網(wǎng)格辦牽頭,安監(jiān)站、派出所配合,各村居具體落實(shí))

(5)設(shè)置專(兼)用消防工作室,建立健全消防工作檔案;并在辦公場(chǎng)所懸掛消防工作組織領(lǐng)導(dǎo)結(jié)構(gòu)圖、工作制度、轄區(qū)消防水源圖。(鎮(zhèn)網(wǎng)格辦負(fù)責(zé),安監(jiān)站、派出所配合)

(6)深入開展以“戶戶聯(lián)防、部門聯(lián)查、片區(qū)協(xié)調(diào)”為主要內(nèi)容的區(qū)域聯(lián)防工作,采取戶包戶、店包店、部門包路段等形式,大力實(shí)施消防安全互聯(lián)互動(dòng),積極構(gòu)建“安全共享、風(fēng)險(xiǎn)共擔(dān)”的工作格局,實(shí)現(xiàn)消防行政管理與群眾自治、行業(yè)自律的有效銜接和良性互動(dòng)。(鎮(zhèn)網(wǎng)格辦牽頭,綜治辦、安監(jiān)站、派出所配合)

(7)鎮(zhèn)網(wǎng)格辦負(fù)責(zé)召集相關(guān)單位召開每季度聯(lián)席會(huì)議,組織、協(xié)調(diào)各部門單位消防安全工作的完成,負(fù)責(zé)辦公室日常工作。(鎮(zhèn)網(wǎng)格辦牽頭,各成員單位配合)

2、村居(中網(wǎng)格)的工作職責(zé)與要求:

(1)落實(shí)消防安全小組工作制度,制定切合實(shí)際的消防工作計(jì)劃,建立健全消防工作檔案,與轄區(qū)各單位簽訂消防目標(biāo)責(zé)任書,并督促落實(shí);日常工作開展依托流管站的工作網(wǎng)絡(luò),并在辦公場(chǎng)所懸掛消防工作組織領(lǐng)導(dǎo)結(jié)構(gòu)圖、工作制度、轄區(qū)消防水源圖。(村居網(wǎng)格辦牽頭,派出所、流管站配合)

(2)配備專(兼)職消防管理人員,流管站流管員兼責(zé)任片區(qū)(小網(wǎng)格終端節(jié)點(diǎn))的消防管理員,在對(duì)流動(dòng)人口管理的同時(shí)一并對(duì)出租戶的消防安全進(jìn)行管理;村居分管消防工作領(lǐng)導(dǎo)兼任村居網(wǎng)格辦負(fù)責(zé)人,綜治協(xié)管員兼任兼職消防管理員,明確職責(zé)分工,與流管站合署辦公,一同開展轄區(qū)消防安全管理工作。(村居委會(huì)負(fù)責(zé),村居網(wǎng)格辦、流管站具體落實(shí))

(3)完善市政消防設(shè)施與消防室建設(shè)。要定期組織開展對(duì)轄區(qū)公共消防設(shè)施的檢查與維護(hù)保養(yǎng),確保正常運(yùn)行,對(duì)存在問題的要及時(shí)書面報(bào)告街道網(wǎng)格辦,做到工作情況要記錄有落實(shí);年底完成村居消防室的選址與建設(shè),消防室要配備滅火器、水帶、水槍、消防斧、救生繩、應(yīng)急照明、消火栓扳手等器材,并明確專人負(fù)責(zé)管理;結(jié)合舊村改造新村建設(shè)擴(kuò)寬村莊道路,盡可能滿足消防車通行的要求。(村居委會(huì)負(fù)責(zé),安監(jiān)站、消防大隊(duì)配合)

(4)落實(shí)消防檢查巡查制度。每月開展片區(qū)內(nèi)出租戶的消防安全檢查;志愿消防隊(duì)隊(duì)員、巡防隊(duì)員及保安每天結(jié)合各自崗位開展消防巡查檢查;派出所民警對(duì)轄區(qū)單位或場(chǎng)所進(jìn)行監(jiān)督檢查,轄區(qū)內(nèi)小商場(chǎng)、小學(xué)校(幼兒園)、小餐飲場(chǎng)所、小旅館、小網(wǎng)吧、小生產(chǎn)加工企業(yè)等“六小場(chǎng)所”均要納入監(jiān)管范圍,“六小場(chǎng)所”實(shí)行標(biāo)牌化管理,標(biāo)示場(chǎng)所火災(zāi)危險(xiǎn)性,明示消防管理人員,提示消防注意事項(xiàng),警示業(yè)主和消費(fèi)者。單位保安人員要熟悉所在單位的消防設(shè)施,認(rèn)真開展防火巡查和消防宣傳,人員密集場(chǎng)所要設(shè)立一名專職消防安全人員,單位要有檢查記錄與宣教記錄。(村居網(wǎng)格辦牽頭,流管站、派出所具體落實(shí))

(5)落實(shí)火災(zāi)隱患整改制度。對(duì)檢查后沒有及時(shí)整改火災(zāi)隱患的單位,及時(shí)向派出所、消防大隊(duì)進(jìn)行移交,由派出所、消防大隊(duì)對(duì)移交的隱患單位進(jìn)行依法處理。(村居網(wǎng)格辦負(fù)責(zé),派出所、消防大隊(duì)具體落實(shí))

(6)落實(shí)綜治組織消防工作制度,治安巡邏隊(duì)將消防工作納入治安巡防內(nèi)容,認(rèn)真履行查糾火災(zāi)隱患、撲滅初起火災(zāi)、宣傳教育群眾、報(bào)告消防動(dòng)態(tài)的職責(zé)。(村居委會(huì)負(fù)責(zé),綜治辦、派出所配合)

(7)落實(shí)專(兼)職消防隊(duì)管理制度。逐步調(diào)整志愿消防隊(duì)員的年齡結(jié)構(gòu),對(duì)體能相對(duì)較差的隊(duì)員進(jìn)行更換,定期組織志愿消防隊(duì)開展執(zhí)勤訓(xùn)練、業(yè)務(wù)知識(shí)學(xué)習(xí),增強(qiáng)隊(duì)伍的實(shí)戰(zhàn)滅火能力,每季度開展模擬聯(lián)合演練,使志愿消防隊(duì)真正發(fā)揮其作用,加強(qiáng)村居宣傳教育、火災(zāi)隱患排查及巡查工作,遇有突況可配合消防部門開展滅火救援工作,打造一支具有戰(zhàn)斗力的滅火隊(duì)伍。(村居委會(huì)負(fù)責(zé),綜治辦、新陽(yáng)消防中隊(duì)配合)

(8)落實(shí)消防宣傳教育和培訓(xùn)制度,確定每月第一周的星期一為消防安全宣傳日,各村居、各單位要積極深入居民家中,面對(duì)面地開展消防安全宣傳教育;實(shí)施消防宣傳、標(biāo)牌、櫥窗工程,利用每年的安全活動(dòng)月、“11.9”消防宣傳日等活動(dòng),針對(duì)性地開展防火宣傳教育,村居積極協(xié)助公安機(jī)關(guān)開展消防宣傳“五進(jìn)”活動(dòng),并在人員主要流動(dòng)地段設(shè)置固定消防宣傳欄、宣傳警示牌;每個(gè)村居至少設(shè)立1塊村(居)民防火公約牌;要強(qiáng)化對(duì)老、弱、病、殘人群的教育和監(jiān)護(hù),每一棟居民樓要明確一名兼職消防宣傳員,負(fù)責(zé)開展消防安全宣傳。(各村居委會(huì)負(fù)責(zé),安監(jiān)站、消防大隊(duì)配合,派出所、村居網(wǎng)格辦、流管站具體落實(shí))

(9)村居網(wǎng)格辦負(fù)責(zé)消防安全工作的部署,建立健全消防工作檔案,訂制火災(zāi)應(yīng)急預(yù)案,及時(shí)收集各小網(wǎng)格終端節(jié)點(diǎn)的消防安全信息,分析總結(jié)存在的問題與提出處理措施,每月底定期將有關(guān)工作情況書面匯報(bào)鎮(zhèn)網(wǎng)格辦。(村居網(wǎng)格辦負(fù)責(zé),安監(jiān)站配合,流管站具體落實(shí))

3、片區(qū)(小網(wǎng)格)的工作職責(zé)與要求:

(1)村居“小網(wǎng)格”的片區(qū)消防安全協(xié)管員由各村居流管站的流管員兼職,并以所轄片區(qū)劃為網(wǎng)格終端節(jié)點(diǎn)。(村居網(wǎng)格辦負(fù)責(zé),綜治辦、派出所配合,流管站具體落實(shí))

(2)做好檢查工作計(jì)劃,按照區(qū)里制定的有關(guān)《出租房消防安全管理規(guī)范》的要求,各小網(wǎng)格兼職消防安全協(xié)管員每月要對(duì)責(zé)任區(qū)內(nèi)的出租房進(jìn)行一次全面的火災(zāi)隱患排查,同時(shí)做好宣傳教育,協(xié)助開展有關(guān)消防安全培訓(xùn)活動(dòng),檢查要有記錄,有分析小結(jié),并定期匯總上報(bào)給所屬村居網(wǎng)格辦;遇到重大火災(zāi)隱患要及時(shí)報(bào)告片區(qū)責(zé)任民警和網(wǎng)格辦。(村居網(wǎng)格辦負(fù)責(zé),派出所配合,兼職消防安全協(xié)管員、片區(qū)責(zé)任民警具體落實(shí))

(3)片區(qū)民警做好所轄片區(qū)的消防安全管理,加強(qiáng)對(duì)片區(qū)兼職消防安全協(xié)管員的工作指導(dǎo),協(xié)助隱患排查和落實(shí)督查整改工作;認(rèn)真履行消防檢查、宣傳教育、服務(wù)群眾等職能,定期督促片區(qū)內(nèi)有關(guān)單位和人員做好消防工作。(派出所負(fù)責(zé),片區(qū)責(zé)任民警具體落實(shí))

第5篇:網(wǎng)絡(luò)安全實(shí)施方案范文

關(guān)鍵詞:網(wǎng)絡(luò)安全;網(wǎng)絡(luò)管理;防護(hù);防火墻

中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2011)14-3302-02

隨著企業(yè)信息化進(jìn)程的不斷發(fā)展,網(wǎng)絡(luò)已成為提高企業(yè)生產(chǎn)效率和企業(yè)競(jìng)爭(zhēng)力的有力手段。目前,石化企業(yè)網(wǎng)絡(luò)各類系統(tǒng)諸如ERP系統(tǒng)、原油管理信息系統(tǒng) 、電子郵件系統(tǒng) 以及OA協(xié)同辦公系統(tǒng)等都相繼上線運(yùn)行,信息化的發(fā)展極大地改變了企業(yè)傳統(tǒng)的管理模式,實(shí)現(xiàn)了企業(yè)內(nèi)的資源共享。與此同時(shí),網(wǎng)絡(luò)安全問題日益突出,各種針對(duì)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊層出不窮,病毒威脅無處不在。

因此,了解網(wǎng)絡(luò)安全,做好防范措施,保證系統(tǒng)安全可靠地運(yùn)行已成為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基本職能,也是企業(yè)本質(zhì)安全的重要一環(huán)。

1 石化企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

石化企業(yè)局域網(wǎng)一般包含Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī),通過內(nèi)部網(wǎng)相互連接,經(jīng)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計(jì)算機(jī)處在同一網(wǎng)段或通過Vlan(虛擬網(wǎng)絡(luò))技術(shù)把企業(yè)不同業(yè)務(wù)部門相互隔離。

2 企業(yè)網(wǎng)絡(luò)安全概述

企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分,網(wǎng)絡(luò)安全系統(tǒng)所要防范的不僅是病毒感染,更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問。企業(yè)網(wǎng)絡(luò)安全隱患主要如下:

1) 操作系統(tǒng)本身存在的安全問題

2) 病毒、木馬和惡意軟件的入侵

3) 網(wǎng)絡(luò)黑客的攻擊

4) 管理及操作人員安全知識(shí)缺乏

5) 備份數(shù)據(jù)和存儲(chǔ)媒體的損壞

針對(duì)上述安全隱患,可采取安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng),同時(shí)加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理;配置好防火墻過濾策略,及時(shí)安裝系統(tǒng)安全補(bǔ)丁;在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測(cè)、入侵檢測(cè)系統(tǒng),配置網(wǎng)絡(luò)安全隔離系統(tǒng)等。

3 網(wǎng)絡(luò)安全解決方案

一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包含許多方面,主要為物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等。

3.1 物理安全

物理安全主要指環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計(jì)劃等,包括機(jī)房環(huán)境安全、通信線路安全、設(shè)備安全、電源安全。

主要考慮:自然災(zāi)害、物理?yè)p壞和設(shè)備故障;選用合適的傳輸介質(zhì);供電安全可靠及網(wǎng)絡(luò)防雷等。

3.2 網(wǎng)絡(luò)安全

石化企業(yè)內(nèi)部網(wǎng)絡(luò),主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等,并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)及Internet互連。

3.2.1 VLAN技術(shù)

VLAN即虛擬局域網(wǎng)。是通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。

借助VLAN技術(shù),可將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起,形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境 ,就像使用本地LAN一樣方便。一般分為:基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

3.2.2 防火墻技術(shù)

1) 防火墻體系結(jié)構(gòu)

① 雙重宿主主機(jī)體系結(jié)構(gòu)

防火墻的雙重宿主主機(jī)體系結(jié)構(gòu)是指一臺(tái)雙重宿主主機(jī)作為防火墻系統(tǒng)的主體,執(zhí)行分離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的任務(wù)。

② 被屏蔽主機(jī)體系結(jié)構(gòu)

被屏蔽主機(jī)體系結(jié)構(gòu)是指通過一個(gè)單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻,強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連,而不讓其與內(nèi)部主機(jī)相連。

③ 被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為使用兩個(gè)屏蔽路由器,位于堡壘主機(jī)的兩端,一端連接內(nèi)網(wǎng),一端連接外網(wǎng)。為了入侵這種類型的體系結(jié)構(gòu),入侵者必須穿透兩個(gè)屏蔽路由器。

2) 企業(yè)防火墻應(yīng)用

① 企業(yè)網(wǎng)絡(luò)體系中的三個(gè)區(qū)域

邊界網(wǎng)絡(luò)。此網(wǎng)絡(luò)通過路由器直接面向Internet,通過防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)。

網(wǎng)絡(luò)。即DMZ,將用戶連接到Web服務(wù)器或其他服務(wù)器,Web服務(wù)器通過內(nèi)部防火墻連接到內(nèi)部網(wǎng)絡(luò)。

內(nèi)部網(wǎng)絡(luò)。連接各個(gè)內(nèi)部服務(wù)器(如企業(yè)OA服務(wù)器,ERP服務(wù)器等)和內(nèi)部用戶。

② 防火墻及其功能

在企業(yè)網(wǎng)絡(luò)中,常常有兩個(gè)不同的防火墻:防火墻和內(nèi)部防火墻。雖然任務(wù)相似,但側(cè)重點(diǎn)不同,防火墻主要提供對(duì)不受信任的外部用戶的限制,而內(nèi)部防火墻主要防止外部用戶訪問內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶非授權(quán)的操作。

在以上3個(gè)區(qū)域中,雖然內(nèi)部網(wǎng)絡(luò)和DMZ都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分,但他們的安全級(jí)別不同,對(duì)于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò),一般禁止所有來自Internet用戶的訪問;而企業(yè)DMZ區(qū),限制則沒有那么嚴(yán)格。

3.2.3 VPN技術(shù)

VPN(Virtual Private Network)虛擬專用網(wǎng)絡(luò),一種通過公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間就好像架設(shè)了一條專線,但它并不需要真正地去鋪設(shè)光纜之類的物理線路。

企業(yè)用戶采用VPN技術(shù)來構(gòu)建其跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng),與Internet進(jìn)行隔離,控制內(nèi)網(wǎng)與Internet的相互訪問。VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間,將對(duì)外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離,禁止外網(wǎng)直接訪問內(nèi)網(wǎng),控制內(nèi)網(wǎng)的對(duì)外訪問。

3.3 應(yīng)用系統(tǒng)安全

企業(yè)應(yīng)用系統(tǒng)安全包括兩方面。一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制,對(duì)安全相關(guān)操作進(jìn)行審核等。另一方面涉及各種數(shù)據(jù)庫(kù)系統(tǒng)、Web、FTP服務(wù)、E-MAIL等

病毒防護(hù)是企業(yè)應(yīng)用系統(tǒng)安全的重要組成部分,企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí),應(yīng)全方位地布置企業(yè)防毒產(chǎn)品。

在網(wǎng)絡(luò)骨干接入處,安裝防毒墻,對(duì)主要網(wǎng)絡(luò)協(xié)議(SMTP、FTP、HTTP)進(jìn)行殺毒處理;在服務(wù)器上安裝單獨(dú)的服務(wù)器殺毒產(chǎn)品,各用戶安裝網(wǎng)絡(luò)版殺毒軟件客戶端;對(duì)郵件系統(tǒng),可采取安裝專用郵件殺毒產(chǎn)品。

4 結(jié)束語(yǔ)

該文從網(wǎng)絡(luò)安全及其建設(shè)原則進(jìn)行了論述,對(duì)企業(yè)網(wǎng)絡(luò)安全建設(shè)的解決方案進(jìn)行了探討和總結(jié)。石化企業(yè)日新月異,網(wǎng)絡(luò)安全管理任重道遠(yuǎn),網(wǎng)絡(luò)安全已成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質(zhì)安全。加強(qiáng)網(wǎng)絡(luò)安全建設(shè),確保網(wǎng)絡(luò)安全運(yùn)行勢(shì)在必行。

參考文獻(xiàn):

[1] 王達(dá). 路由器配置與管理完全手冊(cè)――H3C篇[M]. 武漢:華中科技大學(xué)出版社,2010.

[2] 王文壽. 網(wǎng)管員必備寶典――網(wǎng)絡(luò)安全[M]. 北京:清華大學(xué)出版社,2007.

第6篇:網(wǎng)絡(luò)安全實(shí)施方案范文

計(jì)算機(jī)上可以安裝不同廠家不同版本的操作系統(tǒng),而每個(gè)操作系統(tǒng)既然是軟件,就有其存在的漏洞和風(fēng)險(xiǎn),每個(gè)操作系統(tǒng)都有自己的安全機(jī)制和保護(hù)措施,如操作系統(tǒng)中可以區(qū)分用戶口令,設(shè)置用戶權(quán)限,一個(gè)同級(jí)別的用戶不允許訪問另一用戶產(chǎn)生的數(shù)據(jù)等。目前有很多病毒都是專門入侵沒有安裝補(bǔ)丁的操作系統(tǒng)設(shè)置的。網(wǎng)絡(luò)傳輸安全:網(wǎng)絡(luò)傳輸安全指的是信息在網(wǎng)絡(luò)中傳輸所面臨的安全隱患,可能會(huì)被中途截取、篡改、銷毀等。物理安全:物理安全指的是計(jì)算機(jī)硬件被損,如被盜、遭雷擊、自然災(zāi)害、靜電損壞、電磁泄漏等等原因造成的硬件丟失和損壞,導(dǎo)致硬件中存儲(chǔ)的軟件和數(shù)據(jù)被丟失和損壞。邏輯安全:邏輯安全指的是通過各種技術(shù)達(dá)到計(jì)算機(jī)的安全保護(hù),如加密技術(shù)、設(shè)置口令技術(shù)、日志記錄等等。防止黑客攻擊一般都是通過保障邏輯安全來實(shí)現(xiàn)的。邏輯安全涉及的方式多種多樣。不同情況采用不同的方式去保證。

2網(wǎng)絡(luò)面臨的安全威脅

網(wǎng)絡(luò)中面臨的威脅有很多,主要?dú)w結(jié)為幾種威脅,如圖2所示。安全意識(shí)不強(qiáng):由于網(wǎng)絡(luò)中的用戶計(jì)算機(jī)水平不一,很多計(jì)算機(jī)用戶安全意識(shí)淡薄,用戶口令選擇不慎,或?qū)⒆约旱膸ぬ?hào)密碼隨意告訴他人,與別人共享文件,甚至有些用戶對(duì)病毒識(shí)別能力不強(qiáng),直接點(diǎn)擊病毒文件導(dǎo)致自身中毒。配置不當(dāng):一般操作系統(tǒng)都是有一定的安全配置的,如果有些安全配置不使用或者配置不當(dāng),就比較容易受病毒攻擊,比如沒有設(shè)置用戶名密碼的計(jì)算機(jī),當(dāng)黑客入侵時(shí)就比較輕而易舉,而如果設(shè)置了用戶名密碼,黑客入侵就多了一層難度。還有如防火墻本身起到保護(hù)電腦的作用,但是如果防火墻配置不當(dāng),就很可能不起保護(hù)作用。軟件漏洞:不管是操作系統(tǒng)還是在操作系統(tǒng)上安裝的軟件,都是有漏洞的。這些安裝了各種存在漏洞的軟件和操作系統(tǒng)的計(jì)算機(jī)一旦聯(lián)入互聯(lián)網(wǎng),就有可能被對(duì)應(yīng)的病毒軟件入侵,造成信息泄露或者軟件中毒等。病毒:計(jì)算機(jī)病毒指的是一段代碼,該代碼一旦執(zhí)行,可能對(duì)計(jì)算機(jī)造成比較大的破壞,如刪除信息,破壞硬盤,破壞軟件等等,影響計(jì)算機(jī)軟件和硬件的正常運(yùn)行。有些計(jì)算機(jī)病毒還具有傳播性和摧毀性等特征,一旦感染,會(huì)影響到計(jì)算機(jī)的使用。黑客:電腦黑客是處于計(jì)算機(jī)水平比較高的級(jí)別。他們利用系統(tǒng)的安全漏洞非法入侵其他人的計(jì)算機(jī)系統(tǒng),有些黑客不破壞用戶計(jì)算機(jī)的信息和內(nèi)容,而是借助用戶計(jì)算機(jī)去運(yùn)算或者轉(zhuǎn)而攻擊其他計(jì)算機(jī),使得用戶計(jì)算機(jī)性能下降等等。

3預(yù)防網(wǎng)絡(luò)安全措施分析

網(wǎng)絡(luò)安全主要保護(hù)的就是網(wǎng)絡(luò)上的資源信息,當(dāng)機(jī)器接上了互聯(lián)網(wǎng)后,就會(huì)帶來三種風(fēng)險(xiǎn):資源風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)和信譽(yù)風(fēng)險(xiǎn)。資源風(fēng)險(xiǎn)指的是機(jī)器設(shè)備風(fēng)險(xiǎn);數(shù)據(jù)風(fēng)險(xiǎn)指的是存儲(chǔ)在電腦中的數(shù)據(jù)信息風(fēng)險(xiǎn);信譽(yù)風(fēng)險(xiǎn)指的是公司、企業(yè)的信譽(yù)風(fēng)險(xiǎn)。不管是對(duì)于個(gè)人還是企業(yè),網(wǎng)絡(luò)安全需要保護(hù)信息的秘密性、完整性和有效性。雖然機(jī)器中沒有什么重要的數(shù)據(jù),但是侵入者可以隨意的使用你的機(jī)器及其資源,如儲(chǔ)存一些資料,進(jìn)行運(yùn)算,甚至將其作為一個(gè)可以攻擊其它網(wǎng)絡(luò)或機(jī)器的跳板。需要注意的是,這是黑客的慣用伎倆,狡猾的黑客有不止一個(gè)攻擊跳板,且分布不一,有很大程度的欺騙性和隱蔽性。網(wǎng)絡(luò)安全的措施有很多,主要分析幾種方式來確保網(wǎng)絡(luò)安全。

3.1數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)指的是將原始數(shù)據(jù)進(jìn)行加密,然后再將加密數(shù)據(jù)進(jìn)行解密查看的過程。加密技術(shù)本質(zhì)是為了隱藏原始信息內(nèi)容,使得非法獲取用戶信息的黑客無法知道原始信息內(nèi)容。加密技術(shù)可以很好地保證數(shù)據(jù)的安全性和完整性,防止機(jī)密數(shù)據(jù)被盜取或者截獲。數(shù)據(jù)加密技術(shù)按照作用不同,主要分為四種技術(shù):密匙管理技術(shù)、數(shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)存儲(chǔ)技術(shù)和鑒別數(shù)據(jù)完整性技術(shù)。密匙管理技術(shù)主要指的是如何生產(chǎn)密匙,定期更換密匙規(guī)則,定期銷毀密匙,分配保存等方面。數(shù)據(jù)傳輸技術(shù)是對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密的技術(shù)。數(shù)據(jù)存儲(chǔ)技術(shù)指的是在存儲(chǔ)環(huán)節(jié)設(shè)置的加密措施,如存取權(quán)限控制,密文存儲(chǔ)等。鑒別數(shù)據(jù)完整性技術(shù)指的是傳輸過來的數(shù)據(jù)是否遭到非法篡改或者破壞的技術(shù)。

3.2防火墻技術(shù)

防火墻技術(shù)作為一種網(wǎng)絡(luò)安全的工具已發(fā)展若干年,隨著Internet的迅猛發(fā)展,使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起,很快形成了一個(gè)產(chǎn)業(yè)。防火墻提供行之有效的網(wǎng)絡(luò)安全機(jī)制,是網(wǎng)絡(luò)安全策略的有機(jī)組成部分。它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效保障,在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全的防范措施。目前,雖然還沒有哪一種安全機(jī)制可以完全地確保網(wǎng)絡(luò)的安全,但建立自己的防火墻無疑會(huì)給自己的網(wǎng)絡(luò)帶來很大的好處。防火墻發(fā)展至今,無論是技術(shù)延伸還是成品指標(biāo)都有了一定的進(jìn)步。同時(shí)防火墻從實(shí)現(xiàn)技術(shù)來講,可以分為幾種類型形式,我們將其簡(jiǎn)單劃分為包過濾型防火墻(Packet-filteringfirewall)、電路級(jí)網(wǎng)關(guān)(Circuit-levelgateway)、應(yīng)用級(jí)網(wǎng)關(guān)(Application-levelgateway)、狀態(tài)監(jiān)測(cè)防火墻(StatefulInspectionFirewall)。

3.3漏洞掃描技術(shù)

漏洞掃描技術(shù)是通過定期掃描網(wǎng)絡(luò)上的計(jì)算機(jī),監(jiān)測(cè)是否有安全威脅的技術(shù)。它可以掃描出目前局域網(wǎng)中的計(jì)算機(jī)是否有安全漏洞,并可以將掃描的數(shù)據(jù)進(jìn)行分析以供決策。如可以掃描所有局域網(wǎng)中的TCP/IP服務(wù)的端口號(hào),記錄主機(jī)響應(yīng)事件,收集特定有用信息,還可以掃描出局域網(wǎng)中的某些計(jì)算機(jī)已經(jīng)中毒,不停的往外發(fā)送攻擊數(shù)據(jù)等。

3.4訪問控制策略

訪問控制策略很多情況中運(yùn)用,如操作系統(tǒng)的用戶訪問權(quán)限控制,如數(shù)據(jù)庫(kù)中的用戶權(quán)限控制等。它是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略之一,處于比較重要的地位。多級(jí)訪問控制的設(shè)定可以增加入侵難度,還可以通過設(shè)置最小口令長(zhǎng)度、口令失敗次數(shù)等方式控制非法用戶進(jìn)入計(jì)算機(jī)。

4結(jié)束語(yǔ)

第7篇:網(wǎng)絡(luò)安全實(shí)施方案范文

關(guān)鍵詞:防火墻;安全訪問;訪問控制

1 概述

TCP/IP通信協(xié)議和Internet最初是面向科研人員的,因此,設(shè)計(jì)此協(xié)議的工作組認(rèn)為用戶和主機(jī)之間互相信任。大家能夠進(jìn)行自由開放的信息交換和共享,不會(huì)有人故意進(jìn)行破壞。在這樣的環(huán)境里,使用Internet的人實(shí)際上就是創(chuàng)建Internet的人。隨著時(shí)間的推移。Inter-net變得更加有用和可靠,更多的用戶參與進(jìn)來,人越來越多,風(fēng)險(xiǎn)也越來越大。1988年11月的Internet蠕蟲染指了數(shù)千臺(tái)主機(jī)。從那時(shí)起,就不斷有侵犯安全的事件報(bào)道。

如今Internet的安全問題成了人們關(guān)注的焦點(diǎn),給認(rèn)為Internet已經(jīng)完全勝任商務(wù)活動(dòng)的過高期望潑了一盆冷水,計(jì)算機(jī)和通信界一片恐慌。

從本質(zhì)上,Internet的安全性可以通過提供以下兩方面的安全服務(wù)來達(dá)到:一是訪問控制服務(wù),用來保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用;二是通信安全服務(wù),用來提供認(rèn)證、數(shù)據(jù)機(jī)要性、完整性和各通信端的不可否認(rèn)。這兩種服務(wù)的實(shí)現(xiàn),主要依賴于防火墻技術(shù)和加密技術(shù)。

防火墻的概念實(shí)際上是借用了建筑學(xué)上的一個(gè)術(shù)語(yǔ)。建筑學(xué)中的防火墻是用來防止大火從建筑的一部分蔓延到另一部分而設(shè)置的阻擋機(jī)構(gòu)。計(jì)算機(jī)網(wǎng)絡(luò)上的防火墻是用來防止來自互聯(lián)網(wǎng)的破壞,如黑客攻擊、資源被盜用或文件被篡改等波及內(nèi)部網(wǎng)絡(luò)的危害。

隨著安全性問題上的失誤和缺陷越來越普遍,對(duì)網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段。也有可能來自配置上的低級(jí)錯(cuò)誤或不合適的口令選擇。因此,防火墻可以定義如下:它是設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障,防止不可預(yù)料的、潛在的破壞侵入用戶網(wǎng)絡(luò);在開放和封閉的界面上構(gòu)造一個(gè)保護(hù)層,屬于內(nèi)部范圍的業(yè)務(wù),依照協(xié)議在授權(quán)許可下進(jìn)行;外部對(duì)內(nèi)部網(wǎng)絡(luò)的訪問受到的限制。

防火墻的設(shè)計(jì)包括以下兩方面原則:

(1)過濾不安全服務(wù)

基于這個(gè)準(zhǔn)則,防火墻應(yīng)封鎖所有信息流,然后對(duì)希望提供的安全服務(wù)逐項(xiàng)開放,對(duì)不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。

(2)屏蔽非法用戶

基于這個(gè)準(zhǔn)則,防火墻應(yīng)先允許所有的用戶和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問,然后網(wǎng)絡(luò)管理員按照IP地址對(duì)未經(jīng)授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。

總之,防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了外界的哪些人可以訪問內(nèi)部的哪些可以訪問的服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問;要使一個(gè)防火墻有效,所有來自和通向外界的信息都必須經(jīng)過防火墻,接受防火墻的檢查;防火墻必須只允許授權(quán)的數(shù)據(jù)通過,并且防火墻本身也必須能夠免于滲透。

2 防火墻的主要類型

通常將現(xiàn)在流行的防火墻劃分為兩大類:型和包過濾型。型防火墻又包括電路級(jí)網(wǎng)關(guān)防火墻和應(yīng)用級(jí)網(wǎng)關(guān)防火墻。包過濾防火墻又可以分為靜態(tài)包過濾型和狀態(tài)監(jiān)測(cè)型防火墻。

(1)電路級(jí)網(wǎng)關(guān)防火墻

它是一個(gè)通用服務(wù)器,它工作于OSI互聯(lián)模型的會(huì)話層或是TCP/JP協(xié)議的TOP層。它適用于多個(gè)協(xié)議,但不能識(shí)別在同一個(gè)協(xié)議棧上運(yùn)行的不同的應(yīng)用,當(dāng)然也就不需要對(duì)不同的應(yīng)用設(shè)置不同的模塊,但這種對(duì)客戶端做適當(dāng)修改。它接受客戶端的請(qǐng)求??蛻舳送瓿删W(wǎng)絡(luò)連接。通過電路級(jí)網(wǎng)關(guān)的傳遞的數(shù)據(jù)似乎起源于防火墻,隱藏了被保護(hù)網(wǎng)絡(luò)的信息。

(2)應(yīng)用級(jí)網(wǎng)關(guān)防火墻

通常也稱為應(yīng)用服務(wù)器。它工作于OSI模型的應(yīng)用層。在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)起到轉(zhuǎn)接作用。

其工作過程為:首先,它對(duì)該用戶的身份進(jìn)行驗(yàn)證。若為合法用戶,則把請(qǐng)求轉(zhuǎn)發(fā)給真正的某個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī),同時(shí)監(jiān)控用戶的操作,拒絕不合法的訪問。當(dāng)內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí),服務(wù)器的工作過程剛好相反。應(yīng)用網(wǎng)關(guān)的優(yōu)點(diǎn)是易于配置,界面友好;不允許內(nèi)外網(wǎng)主機(jī)的直接連接;可以提供比包過濾更詳細(xì)的日志記錄。

(3)靜態(tài)包過濾防火墻

在網(wǎng)絡(luò)層對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析,并按照一定的安全策略進(jìn)行篩選,允許授權(quán)信息通過,拒絕非授權(quán)信息。信息過濾規(guī)則以收到的數(shù)據(jù)包的頭部信息為基礎(chǔ)。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。路由器起著一夫當(dāng)關(guān)的作用。因此,包過濾型防火墻一般通過路由器實(shí)現(xiàn),因而也稱為包過濾路由器。

包過濾型防火墻的優(yōu)點(diǎn)是邏輯簡(jiǎn)單,實(shí)施費(fèi)用低廉,對(duì)網(wǎng)絡(luò)的影響較小,有較強(qiáng)的透明性。并且它的工作與應(yīng)用層無關(guān),無須改動(dòng)任何客戶機(jī)和主機(jī)上的應(yīng)用程序。易于安裝和使用。其弱點(diǎn)是:配置基于包過濾方式的防火墻。需要對(duì)IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解,否則容易出現(xiàn)因配置不當(dāng)帶來的問題:不提供用戶的鑒別機(jī)制。

(4)狀態(tài)監(jiān)測(cè)型防火墻

就是對(duì)包過濾技術(shù)的增強(qiáng)。這種防火墻采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎,稱之為監(jiān)測(cè)模塊。它工作在鏈路層和網(wǎng)絡(luò)層之間,對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)分析,提取相關(guān)的通信和狀態(tài)信息,并在動(dòng)態(tài)連接表中進(jìn)行狀態(tài)及上下文信息的存儲(chǔ)和更新,這些表被持續(xù)更新,為下一個(gè)通信檢查提供累積的數(shù)據(jù)。狀態(tài)監(jiān)視器的另一個(gè)優(yōu)點(diǎn)是:能夠提供對(duì)基于無連接的協(xié)議的應(yīng)用(如DNS)及基于端口動(dòng)態(tài)分配的協(xié)議的應(yīng)用(如NFS)的安全支持,靜態(tài)的包過濾和網(wǎng)關(guān)都不支持此類應(yīng)用??傊?,這類防火墻減少了端口的開放時(shí)間,提供了對(duì)幾乎所有服務(wù)的支持,缺點(diǎn)是它也允許外部客戶和內(nèi)部主機(jī)的直接連接;不提供用戶的鑒別機(jī)制。

另外,新近推出的自適應(yīng)(Adaptive Proxy)防火墻技術(shù)。本質(zhì)上也屬于服務(wù)技術(shù),但它也結(jié)合了動(dòng)態(tài)包過濾(狀態(tài)檢測(cè))技術(shù)。組成這種類型防火墻的基本要素有兩個(gè):動(dòng)態(tài)包過濾器與自適應(yīng)服務(wù)器。它結(jié)合了服務(wù)防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn),在保證安全性的基礎(chǔ)上將服務(wù)器防火墻的性能提高10倍以上。

3 防火墻配置的實(shí)現(xiàn)

(1)雙宿主主機(jī)防火墻

這種防火墻系統(tǒng)由一臺(tái)特殊主機(jī)來實(shí)現(xiàn)。這臺(tái)主機(jī)擁有兩個(gè)不同的網(wǎng)絡(luò)接口:一端接外部網(wǎng)絡(luò),一端接需要保護(hù)的內(nèi)部網(wǎng)絡(luò),故被稱為雙宿主主機(jī),也成為雙宿主網(wǎng)關(guān)。防火墻不使用包過濾規(guī)則,而是通過在外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間設(shè)置這個(gè)網(wǎng)關(guān)(雙宿主網(wǎng)關(guān)),隔斷IP層之間的直接傳輸。被保護(hù)網(wǎng)絡(luò)中的主機(jī)與該網(wǎng)關(guān)可以通信,外部網(wǎng)絡(luò)中主機(jī)也能與該網(wǎng)關(guān)通信。但是兩個(gè)網(wǎng)絡(luò)中的主機(jī)不能直接通信,兩個(gè)網(wǎng)絡(luò)之間的通信通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層服務(wù)來實(shí)現(xiàn),其配置實(shí)現(xiàn)如圖1所示。

(2)屏蔽主機(jī)防火墻

屏蔽主機(jī)防火墻由一臺(tái)過濾路由器和一臺(tái)堡壘主機(jī)組成,其配置實(shí)現(xiàn)如圖2所示。在這種配置中,堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上,過濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。在路由器上進(jìn)行安裝。使得外部網(wǎng)絡(luò)的主機(jī)只能訪問該堡壘主機(jī),而不能直接訪問內(nèi)部網(wǎng)絡(luò)的其他主機(jī)。內(nèi)部網(wǎng)絡(luò)在向外通信時(shí),也必須首先到達(dá)堡壘主機(jī),由該堡壘主機(jī)來決定是否允許訪問外部網(wǎng)絡(luò)。這樣,堡壘主機(jī)成為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一通道。

堡壘主機(jī)是運(yùn)行軟件的計(jì)算機(jī)。它暴露在被保護(hù)的網(wǎng)絡(luò)之外,入侵者如果穿透了過濾路由器,必須首先把該主機(jī)攻克。才能夠進(jìn)入到內(nèi)部網(wǎng)絡(luò)。

(3)屏蔽子網(wǎng)防火墻

屏蔽子網(wǎng)防火墻是目前流行的一種結(jié)構(gòu),其配置實(shí)現(xiàn)如圖3所示。采用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī),在內(nèi)外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng),定義為“非軍事區(qū)”,有時(shí)也稱作周邊網(wǎng),用于放置堡壘主機(jī)、WEB服務(wù)器、Mail服務(wù)器等公用服務(wù)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng),但禁止它們穿過子網(wǎng)通信。在這一配置中,即使堡壘主機(jī)被入侵者控制,內(nèi)部網(wǎng)絡(luò)仍受到內(nèi)部包過濾路由器的保護(hù)。

屏蔽子網(wǎng)防火墻的主要優(yōu)點(diǎn)是它又提供了一層保護(hù)。一個(gè)入侵者必須通過兩個(gè)路由器和一個(gè)應(yīng)用網(wǎng)關(guān),這比起屏蔽主機(jī)防火墻來要困難得多。

第8篇:網(wǎng)絡(luò)安全實(shí)施方案范文

[關(guān)鍵詞]網(wǎng)絡(luò)安全系統(tǒng)入侵防范措施

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1110083-01

一、引言

在Internet/Intranet的使用中,Internet/Intranet安全面臨著重大挑戰(zhàn)。事實(shí)上,資源共享和信息安全歷來是一對(duì)矛盾。近年來隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)的資源共享進(jìn)一步加強(qiáng),隨之而來的信息安全問題日益突出。據(jù)美國(guó)FBI統(tǒng)計(jì),美國(guó)每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元。而全球每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)入侵事件。

二、網(wǎng)絡(luò)安全的概念

計(jì)算機(jī)網(wǎng)絡(luò)的安全性可定義為:保障網(wǎng)絡(luò)信息的保密性、完整性和網(wǎng)絡(luò)服務(wù)的可用性及可審查性。即要求網(wǎng)絡(luò)保證其信息系統(tǒng)資源的完整性、準(zhǔn)確性及有限的傳播范圍。并要求網(wǎng)絡(luò)能向所有的用戶有選擇地隨時(shí)提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù)。

三、網(wǎng)絡(luò)攻擊的一般過程及常用手段

(一)網(wǎng)絡(luò)攻擊的一般過程

1.收集被攻擊方的有關(guān)信息,分析被攻擊方可能存在的漏洞。黑客首先要確定攻擊的目標(biāo)。在獲取目標(biāo)機(jī)及其所在的網(wǎng)絡(luò)類型后,還需進(jìn)一步獲取有關(guān)信息,如目標(biāo)機(jī)的IP地址、操作系統(tǒng)類型和版本、系統(tǒng)管理人員的郵件地址等,根據(jù)這些信息進(jìn)行分析,可得到有關(guān)被攻擊方系統(tǒng)中可能存在的漏洞。

通過對(duì)上述信息的分析,就可以得到對(duì)方計(jì)算機(jī)網(wǎng)絡(luò)可能存在的漏洞。

2.建立模擬環(huán)境,進(jìn)行模擬攻擊,測(cè)試對(duì)方可能的反應(yīng)。根據(jù)第一步所獲得的信息,建立模擬環(huán)境,然后對(duì)模擬目標(biāo)機(jī)進(jìn)行一系列的攻擊。通過檢查被攻擊方的日志,可以了解攻擊過程中留下的“痕跡”。這樣攻擊者就知道需要?jiǎng)h除哪些文件來毀滅其入侵證據(jù)。

3.利用適當(dāng)?shù)墓ぞ哌M(jìn)行掃描。收集或編寫適當(dāng)?shù)墓ぞ?并在對(duì)操作系統(tǒng)分析的基礎(chǔ)上,對(duì)工具進(jìn)行評(píng)估,判斷有哪些漏洞和區(qū)域沒有覆蓋到。然后在盡可能短的時(shí)間內(nèi)對(duì)目標(biāo)進(jìn)行掃描。完成掃描后,可對(duì)所獲數(shù)據(jù)進(jìn)行分析,發(fā)現(xiàn)安全漏洞,如FTP漏洞、NFS輸出到未授權(quán)程序中、不受限制的X服務(wù)器訪問、不受限制的調(diào)制解調(diào)器、Sendmail的漏洞、NIS口令文件訪問等。

4.實(shí)施攻擊。根據(jù)已知的漏洞,實(shí)施攻擊。黑客們或修改網(wǎng)頁(yè),或破壞系統(tǒng)程序或放病毒使系統(tǒng)陷入癱瘓,或竊取政治、軍事、商業(yè)秘密;或進(jìn)行電子郵件騷擾或轉(zhuǎn)移資金賬戶,竊取金錢等等。

(二)常見的網(wǎng)絡(luò)攻擊手段

1.炸彈攻擊。炸彈攻擊的基本原理是利用工具軟件,集中在一段時(shí)間內(nèi),向目標(biāo)機(jī)發(fā)送大量垃圾信息,或是發(fā)送超出系統(tǒng)接收范圍的信息,使對(duì)方出現(xiàn)負(fù)載過重、網(wǎng)絡(luò)堵塞等狀況,從而造成目標(biāo)的系統(tǒng)崩潰及拒絕服務(wù)。常見的炸彈攻擊有郵件炸彈、聊天室炸彈等。

2.利用木馬和后門程序。木馬攻擊通常是黑客事先設(shè)計(jì)讓受害者運(yùn)行特洛伊木馬工具里的一個(gè)程序(運(yùn)行時(shí)不易被察覺),然后黑客就可以利用工具里的另一個(gè)本地程序來遙控受害者的機(jī)器。后門程序一般是指那些繞過安全性控制而獲取對(duì)程序或系統(tǒng)訪問權(quán)的程序方法。在軟件的開發(fā)階段,程序員常常會(huì)在軟件內(nèi)創(chuàng)建后門程序以便可以修改程序設(shè)計(jì)中的缺陷。但是,如果這些后門被其他人知道,或是在軟件之前沒有刪除后門程序,那么它就成了安全風(fēng)險(xiǎn),容易被黑客當(dāng)成漏洞進(jìn)行攻擊。

3.拒絕服務(wù)攻擊。拒絕服務(wù)攻擊是指一個(gè)用戶占據(jù)了大量的共享資源,使系統(tǒng)沒有剩余的資源給其他用戶可用的一種攻擊方式。拒絕服務(wù)的攻擊降低了資源的可用性,這些資源可以是處理器、磁盤空間、CPU使用的時(shí)間、打印機(jī)、網(wǎng)卡,甚至是系統(tǒng)的時(shí)間,攻擊的結(jié)果是減少或失去服務(wù)。

有兩種類型的拒絕服務(wù)攻擊:

第一種攻擊是試圖去破壞或者毀壞資源,使得無人可以使用這個(gè)資源。有許多種方式可以破壞或毀壞信息,如:刪除文件、格式化磁盤或切斷電源,這些行為都可以實(shí)現(xiàn)拒絕服務(wù)攻擊。幾乎所有的攻擊都可以通過限制訪問關(guān)鍵賬戶和文件并且保護(hù)它們不受那些未授權(quán)用戶訪問的方式來防止。

第二種類型是過載一些系統(tǒng)服務(wù)或者消耗一些資源,這些行為也許是攻擊者故意的行為,也許是一個(gè)用戶無意中的錯(cuò)誤所致。通過這些方式,阻止其他用戶使用這些服務(wù)。例如:填滿一個(gè)磁盤分區(qū)、讓用戶和系統(tǒng)程序無法再生成新的文件。

4.電子欺騙。電子欺騙指通過偽造源于一個(gè)可信任地址的數(shù)據(jù)包以使一臺(tái)主機(jī)認(rèn)證另一臺(tái)主機(jī)的復(fù)雜技術(shù)。這里“信任”指那些獲準(zhǔn)相互連接的機(jī)器之間的一種關(guān)系,認(rèn)證是這些機(jī)器用于彼此識(shí)別的過程。電子欺騙包括IP Spoofing,Arp Spoofing,DNS Spoofing等技術(shù)。

四、網(wǎng)絡(luò)安全防護(hù)的措施和手段

(一)提高思想認(rèn)識(shí),強(qiáng)化內(nèi)部的安全管理

“三分技術(shù)、七分管理”這句話是對(duì)網(wǎng)絡(luò)安全客觀生動(dòng)的描述。任何網(wǎng)絡(luò)僅僅通過技術(shù)手段是無法確保安全的,必須在提高技術(shù)防范的同時(shí),加強(qiáng)單位內(nèi)部的安全管理,在國(guó)家相應(yīng)法規(guī)的基礎(chǔ)上,制訂適合本單位的安全規(guī)章制度,并且嚴(yán)格落實(shí)到位。

(二)應(yīng)對(duì)黑客攻擊的主要防范策略

1.設(shè)置訪問權(quán)限。很多計(jì)算機(jī)系統(tǒng)采用不同權(quán)限設(shè)置來限制不同用戶的訪問權(quán)限.不同用戶采用不同口令來控制對(duì)系統(tǒng)資源的訪問。這是防止黑客入侵最容易和最有效的方法之一。

2.采用防火墻技術(shù)。防火墻由軟件和硬件設(shè)備組合而成。在被保護(hù)的單位內(nèi)部網(wǎng)與Intemet之間,豎起一道安全屏障.防火墻通過監(jiān)測(cè)、限制、修改跨越防火墻的數(shù)據(jù)流。盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況,以此來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。防火墻由過濾器和安全策略組成.是一種非常有效的網(wǎng)絡(luò)安全技術(shù)。

3.部署入侵檢測(cè)系統(tǒng)。部署入侵檢測(cè)系統(tǒng)可以檢測(cè)到某些穿透防火墻的攻擊行為,通過和防火墻之間實(shí)現(xiàn)互動(dòng).在防火墻上動(dòng)態(tài)生成相應(yīng)的規(guī)則,從而阻斷攻擊;防火墻動(dòng)態(tài)生成的規(guī)則可以自動(dòng)清除,保證了防火墻的性能不會(huì)因?yàn)橐?guī)則一直增加而下降。

(三)操作系統(tǒng)安全策略

第9篇:網(wǎng)絡(luò)安全實(shí)施方案范文

關(guān)鍵詞:無線網(wǎng)絡(luò);網(wǎng)絡(luò)信息;安全防護(hù)措施

中圖分類號(hào): G250 文獻(xiàn)標(biāo)識(shí)碼: A

引言

隨著我國(guó)經(jīng)濟(jì)和科學(xué)技術(shù)的快速發(fā)展,無線網(wǎng)絡(luò)已經(jīng)成為了人們?nèi)粘I钪胁豢扇鄙俚囊徊糠?。就連飛機(jī)上也漸漸開始提供無線Wifi接入服務(wù),2014年7

月份時(shí)中國(guó)東方航空公司在部分京滬航線上率先試點(diǎn)開通Wifi服務(wù),足以證明無線網(wǎng)絡(luò)對(duì)人們生活的重要性。在日常生活中人們已經(jīng)體會(huì)到了通信網(wǎng)絡(luò)所帶來的便捷性以及實(shí)用性,但是無線的網(wǎng)絡(luò)安全問題也變成了一直困擾人們的很大的一個(gè)問題。

1、無線網(wǎng)絡(luò)概述

無線網(wǎng)絡(luò)是近年來發(fā)展的網(wǎng)絡(luò)技術(shù),其主要技術(shù)核心分為Wifi、2G、3G、4G無線網(wǎng)絡(luò)。這些無線網(wǎng)絡(luò)中,Wifi實(shí)際上是一種區(qū)域性網(wǎng)絡(luò),其存在一定的局限性。例如,路由器或者無線接入點(diǎn)的接收端與發(fā)射端,網(wǎng)絡(luò)信號(hào)被發(fā)射到有限的空間中,在這個(gè)有限空間內(nèi),網(wǎng)絡(luò)用戶可以通過帶有無線網(wǎng)卡的計(jì)算機(jī)或者智能終端進(jìn)行網(wǎng)絡(luò)搜索并連接到無線網(wǎng)絡(luò)中去。

2、無線網(wǎng)絡(luò)常見安全隱患

2.1、非法攻擊者竊聽

目前,非法攻擊者竊聽無線網(wǎng)絡(luò)數(shù)據(jù)成為了常見的安全隱患。非法竊聽與復(fù)制手機(jī)卡竊聽用戶隱私數(shù)據(jù)的方式基本相同。由于無線網(wǎng)絡(luò)環(huán)境具有獨(dú)特的開放性和廣泛性,非法竊聽正是利用了這一原理,即使對(duì)無線網(wǎng)絡(luò)采取一定的加密措施,非法攻擊者也可以利用解密軟件輕松破譯密碼。因此,無線網(wǎng)絡(luò)這種開放式數(shù)據(jù)傳輸?shù)闹匾卣?,更容易受到非法攻擊和惡意破壞?/p>

2.2、非法接入并攻擊

無線網(wǎng)絡(luò)在無線終端接入前若無任何安全接入手段或者措施,如未設(shè)置密碼等。那么,無線終端都能接入到這個(gè)區(qū)域的無線Wifi中。隨著現(xiàn)代信息技術(shù)的日益普及,網(wǎng)絡(luò)黑客的攻擊目標(biāo)主要是政府部門、情報(bào)部門、中央企業(yè)和網(wǎng)上銀行等,這些機(jī)構(gòu)中的重要數(shù)據(jù)信息與黑客個(gè)人經(jīng)濟(jì)利益密切相關(guān)。網(wǎng)絡(luò)黑客能夠穿過普通防病毒軟件和防火墻系統(tǒng)的攔截,同時(shí),網(wǎng)絡(luò)黑客以計(jì)算機(jī)終端作為竊取數(shù)據(jù)信息的載體,并將其作為入侵和攻擊目標(biāo),通過編寫應(yīng)用程序?qū)崿F(xiàn)非法入侵,改變了直接入侵帶來的容易被發(fā)現(xiàn)的問題。總之,無線網(wǎng)絡(luò)的接入要求或者接入方式越簡(jiǎn)單,給網(wǎng)絡(luò)本身帶來的風(fēng)險(xiǎn)將越高。

2.3、計(jì)算機(jī)病毒

計(jì)算機(jī)病毒不僅僅能通過有線網(wǎng)絡(luò)傳播,而無線網(wǎng)絡(luò)是傳輸介質(zhì)由雙絞線、光纖等變成了無線信號(hào),同樣也可以傳播計(jì)算機(jī)病毒。無線網(wǎng)絡(luò)終端也會(huì)面臨計(jì)算機(jī)病毒的威脅。這些威脅包括:網(wǎng)絡(luò)蠕蟲病毒,它的傳播能力強(qiáng)、破壞力大,網(wǎng)絡(luò)木馬病毒可以實(shí)時(shí)控制感染的計(jì)算機(jī)終端,并采取遠(yuǎn)程控制竊取重要的數(shù)據(jù)信息。目前,雖然大多數(shù)殺毒軟件都能起到一定的殺毒功能,但隨著計(jì)算機(jī)病毒的不斷變異和進(jìn)化,很容易繞過殺毒軟件的防護(hù)層,實(shí)現(xiàn)對(duì)目標(biāo)終端的病毒感染。同時(shí),由于網(wǎng)絡(luò)交易應(yīng)用日益普及,針對(duì)網(wǎng)上交易買賣的計(jì)算機(jī)病毒呈現(xiàn)出規(guī)?;l(fā)展趨勢(shì)。利用網(wǎng)絡(luò)病毒、木馬植入和垃圾郵件傳播實(shí)現(xiàn)的網(wǎng)絡(luò)攻擊事件越來越多,計(jì)算機(jī)病毒的入侵可以為非法者盜取用戶個(gè)人賬戶和密碼信息,以便從中獲取經(jīng)濟(jì)利益。

3、常見無線網(wǎng)絡(luò)安全措施分析

3.1、對(duì)網(wǎng)絡(luò)漏洞的掃描和修補(bǔ)進(jìn)行強(qiáng)化

在通信網(wǎng)絡(luò)信息化程度不斷加大的今天,網(wǎng)絡(luò)的信息安全事件的發(fā)生率也在逐漸的提高。所以加強(qiáng)對(duì)于網(wǎng)絡(luò)漏洞的掃描和修補(bǔ)對(duì)于防止惡意攻擊者的攻擊有很好的效果。對(duì)網(wǎng)絡(luò)進(jìn)行安全性掃描只是一種提高通信網(wǎng)絡(luò)信息安全的一種重要的措施。并且還可以針對(duì)掃描出來的漏洞下載合適的補(bǔ)丁對(duì)網(wǎng)絡(luò)進(jìn)行及時(shí)的修復(fù),進(jìn)而保證了通信網(wǎng)絡(luò)的信息安全。

3.2、對(duì)重要的信息進(jìn)行再加密的處理

信息的加密處理本身就是一種增強(qiáng)信息安全的手段,能夠有效的防止用戶個(gè)人信息的泄露。所以企業(yè)在對(duì)網(wǎng)絡(luò)進(jìn)行掃描和修補(bǔ)的同時(shí)也對(duì)重要的信息進(jìn)行再加密就可以很好的確保重要信息的安全性。

3.3、建立針對(duì)網(wǎng)絡(luò)信息安全的應(yīng)急措施

針對(duì)網(wǎng)絡(luò)信息安全建立合理及時(shí)的應(yīng)急措施也是十分有必要的。這些將確保在遇到網(wǎng)絡(luò)信息安全問題的時(shí)候能及時(shí)有效的解決?,F(xiàn)在針對(duì)通信網(wǎng)絡(luò)的信息安全問題要做到:預(yù)防第一。既要加強(qiáng)事前的預(yù)防,同時(shí)對(duì)于發(fā)生之后也要有相應(yīng)的應(yīng)對(duì)措施,這樣才能保證網(wǎng)絡(luò)信息的安全性。

3.4、無線終端聯(lián)網(wǎng)可追溯性措施

無線終端聯(lián)網(wǎng)及上網(wǎng)行為的可追溯性,也十分重要。無線終端接入和斷開無線Wifi非常便捷,一旦無線終端的上網(wǎng)行為不受審計(jì)或者約束,無論對(duì)網(wǎng)絡(luò)管理員還是整個(gè)互聯(lián)網(wǎng)都將是極大的威脅。因此,無論是網(wǎng)絡(luò)運(yùn)營(yíng)商、服務(wù)行業(yè)或者企事業(yè)單位,都將采用賬號(hào)、手機(jī)號(hào)碼或者具有相應(yīng)審計(jì)功能的設(shè)備來解決這類問題。通過賬號(hào)和手機(jī)號(hào)碼的唯一性能準(zhǔn)確的定位,而具有相應(yīng)功能的設(shè)備如上網(wǎng)行為管理設(shè)備,則能記錄賬號(hào)、終端MAC地址、終端類型等詳細(xì)信息,甚至能記錄瀏覽過的網(wǎng)頁(yè),功能相當(dāng)齊全。

4、無線網(wǎng)絡(luò)安全措施應(yīng)用

(1)目前,無線網(wǎng)絡(luò)采用的加密方式主要是WAP加密,因此對(duì)于密碼的設(shè)置一定要相當(dāng)嚴(yán)謹(jǐn),很多用戶和企業(yè)設(shè)置密碼時(shí)過分簡(jiǎn)單,如12345678,有些單位為了便捷甚至不設(shè)置密碼,這顯然起不到安全防護(hù)的作用。而目前SSID隱藏似乎并不起到真正的安全防護(hù)作用,因?yàn)橹灰褂脤S玫能浖湍軌蜉p易地掃描到附近存在的SSID賬號(hào)。因此在對(duì)這個(gè)安全措施的使用上,既要充分考慮到用戶使用的便捷性,即將SSID字符設(shè)置為更容易理解的字符,這樣方便用戶的接入,而WAP密碼則需要設(shè)置得相對(duì)復(fù)雜些,這樣能夠阻擋住一部分沒有經(jīng)過授權(quán)的入侵者。

(2)在對(duì)無線安全防范措施的選擇上,可以采用Portal+802.1x這2種認(rèn)證的方式來提升無線網(wǎng)絡(luò)安全的防范能力,通過強(qiáng)制Portal認(rèn)證方法不需要用戶額外安裝客戶端軟件,用戶只需要通過WEB瀏覽器就能夠?yàn)g覽互聯(lián)網(wǎng),這種方式顯然更加方便快捷,但相對(duì)來說安全屬性要差一點(diǎn),因?yàn)閿?shù)據(jù)在無線網(wǎng)絡(luò)中傳輸是不被加密的。而802.1x則相對(duì)Portal和WAP更加安全,因?yàn)?02.1x是加密的。另外,如果企業(yè)對(duì)于安全等級(jí)防護(hù)要求比較高的,那么可以通過加裝專業(yè)的無線網(wǎng)絡(luò)入侵檢測(cè)的硬件設(shè)備來實(shí)現(xiàn)主動(dòng)式防御,這種硬件設(shè)備融入了智能入侵檢測(cè)功能,從很大的程度上實(shí)現(xiàn)了主動(dòng)的防御,有效地提升無線網(wǎng)絡(luò)的安全屬性。

(3)在MAC地址過濾方面的使用,通常采用的方式有2種,1種是指定的MAC地址不能夠訪問無線網(wǎng)絡(luò);另1種是指定的MAC地址能夠訪問網(wǎng)絡(luò),未經(jīng)許可的MAC地址不能夠訪問。目前較為主流的安全控制是選擇指定的MAC地址能夠訪問網(wǎng)絡(luò),未注冊(cè)的MAC地址就不能夠訪問。但是這里也造成一個(gè)問題,那就是當(dāng)企業(yè)有外來用戶需要連入無線網(wǎng)絡(luò),此時(shí)就存在著必須要專業(yè)IT人員進(jìn)行設(shè)置,否則連接不上的問題。這樣雖然降低了無線網(wǎng)絡(luò)使用的便捷性,但是從安全角度來說,還是相當(dāng)有必要的。

結(jié)束語(yǔ)

無線網(wǎng)絡(luò)因?yàn)椴捎昧碎_放式的媒介傳輸方式,其安全屬性本身就較弱,對(duì)于一些專業(yè)的入侵專家來說,現(xiàn)有的各種安全防范措施是很容易被攻破的,甚至僅僅需要幾分鐘的時(shí)間就能夠入侵到無線網(wǎng)絡(luò)。但是這并不意味著無線網(wǎng)絡(luò)安全防范措施不重要,必須要加強(qiáng)安全措施,再加上專業(yè)的安全管理是能夠有效提升無線網(wǎng)絡(luò)安全能力的。隨著技術(shù)的不斷發(fā)展,具有便捷性和安全性的無線網(wǎng)絡(luò)將成為承載信息傳遞的主要媒介平臺(tái),為整個(gè)社會(huì)乃至全球提供優(yōu)質(zhì)可靠的數(shù)據(jù)、語(yǔ)音傳輸服務(wù)。

參考文獻(xiàn)

[1]來羽,張華杰.基于無線網(wǎng)絡(luò)的網(wǎng)絡(luò)信息安全防護(hù)措施探究[J].煤炭技術(shù),2013,10:234-235.