无线网络安全并不是一个独立的问题,企业需要认识到应该在几条战线上对付攻击者,但有许多威胁是无线网络所独有的,这包括:
1、插入攻击:插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
2、漫游攻击者:攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
3、欺诈性接入点:所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开公司已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
4、双面恶魔攻击:这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
5、窃取网络资源:有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
6、对无线通信的劫持和监视:正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
当然,还有其它一些威胁,如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等,这都属于可给无线网络带来风险的因素。
企业无线网络所面临的安全威胁
(1)加密密文频繁被破早已不再安全:
曾几何时无线通讯最牢靠的安全方式就是针对无线通讯数据进行加密,加密方式种类也很多,从最基本的WEP加密到WPA加密。然而这些加密方式被陆续破解,首先是WEP加密技术被黑客在几分钟内破解;继而在11月国外研究员将WPA加密方式中TKIP算法逆向还原出明文。
WEP与WPA加密都被破解,这样就使得无线通讯只能够通过自己建立Radius验证服务器或使用WPA2来提高通讯安全了。不过WPA2并不是所有设备都支持的。
(2)无线数据sniffer让无线通讯毫无隐私:
另一个让用户最不放心的就是由于无线通讯的灵活性,只要有信号的地方入侵者就一定可以通过专业无线数据sniffer类工具嗅探出无线通讯数据包的内容,不管是加密的还是没有加密的,借助其他手段都可以查看到具体的通讯数据内容。像隐藏SSID信息,修改信号发射频段等方法在无线数据sniffer工具面前都无济于事。
然而从根本上杜绝无线sniffer又不太现实,毕竟信号覆盖范围广泛是无线网络的一大特色。所以说无线数据sniffer让无线通讯毫无隐私是其先天不安全的一个主要体现。
(3)修改MAC地址让过滤功能形同虚设:
虽然无线网络应用方面提供了诸如MAC地址过滤的功能,很多用户也确实使用该功能保护无线网络安全,但是由于MAC地址是可以随意修改的,通过注册表或网卡属性都可以伪造MAC地址信息。所以当通过无线数据sniffer工具查找到有访问权限MAC地址通讯信息后,就可以将非法入侵主机的MAC地址进行伪造,从而让MAC地址过滤功能形同虚设。 要诀一
采用强力的密码。正如我在文中所指出,一个足够强大的密码可以让暴力破解成为不可能实现的情况。相反的,如果密码强度不够,几乎可以肯定会让你的系统受到损害。
使用十个字符以上的密码——即便是比较新的加密方案,如WPA2,也可以被那些自动套取密码的进程攻克。不见得要用长而难记的密码,大可以使用一些表达,如“makemywirelessnetworksecure”等取代原来较短的密码。或者使用更为复杂的密码,如“w1f1p4ss”。这类密码更具安全性。
在密码中,添加数字,特殊符号和大小写字母——复杂的密码增加了字符数,这样便会增加密码破解的难度。例如,如果你的密码包含四个字节,但你仅使用了数字,那么可能的密码就是10的四次方,即10000个。如果你只使用小写字母,那么密码的可能性达到36的四次方。这样就迫使攻击者测试巨大数量的密码,从而增加他解密的时间。
要诀二
严禁广播服务集合标识符(SSID)。如果不能对服务集合标识符也就是你给无线网络的命名进行保护的话,会带来严重的安全隐患。对无线路由器进行配置,禁止服务集合标识符的广播,尽管不能带来真正的安全,但至少可以减轻受到的威胁,因为很多初级的恶意攻击都是采用扫描的方式寻找那些有漏洞的系统。隐藏了服务集合标识符,这种可能就大大降低了。大多数商业级路由器/防火墙设备都提供相关的功能设置。
不要使用标准的SSID——许多无线路由器都自带默认的无线网络名称,也就是我们所知道的SSID,如“netgear”或“linksys”,大多数用户都不会想到要对这些名称进行更改。 WPA2加密将这一SSID作为密码的一部分来使用。不对其进行更改意味着允许骇客使用密码查询列表,而这样无疑会加速密码破解的进程,甚至可以让他们测试密码的速度达到每秒几百万个。使用自定义的SSID则增大了不法分子破坏无线网络的难度。
要诀三
采用有效的无线加密方式。动态有线等效保密(WEP)并不是效果很好的加密方式。只要使用象aircrack一样免费工具,就可以在短短的几分钟里找出动态有线等效保密模式加密过的无线网络中的漏洞。无线网络保护访问(WPA)是通用的加密标准,你很可能已经使用了。当然,如果有可能的话,你应该选择使用一些更强大有效的方式。毕竟,加密和解密的斗争是无时无刻不在进行的。
使用WPA2加密——旧的安全选项,如WEP可被瞬间破解且无需特殊设备或是技巧。只需使用浏览器插件或是手机应用即可。WPA2是最新的安全运算法则,它贯彻到了整个无线系统,可以从配置屏幕中进行选取。
要诀四
可能的话,采用不同类型的加密。不要仅仅依靠无线加密手段来保证无线网络的整体安全。不同类型的加密可以在系统层面上提高安全的可靠性。举例来说,OpenSSH就是一个不错的选择,可以为在同一网络内的系统提供安全通讯,即使需要经过因特网也没有问题。采用加密技术来保护无线网络中的所有通讯数据不被窃取是非常重要的,就象采用了SSL加密技术的电子商务网站一样。实际上,如果没有确实必要的话,尽量不要更换加密方式。
要诀五
对介质访问控制(MAC)地址进行控制。很多人会告诉你,介质访问控制(MAC)地址的限制不会提供真正的保护。但是,象隐藏无线网络的服务集合标识符、限制介质访问控制(MAC)地址对网络的访问,是可以确保网络不会被初级的恶意攻击者骚扰的。对于整个系统来说,针对从专家到新手的各种攻击进行全面防护,以保证系统安全的无懈可击是非常重要的。
要诀六
在网络不使用的时间,将其关闭。这个建议的采用与否,取决于网络的具体情况。如果你并不是需要一天二十四小时每周七天都使用网络,那就可以采用这个措施。毕竟,在网络关闭的时间,安全性是最高的,没人能够连接不存在的网络。
要诀七
关闭无线网络接口。如果你使用笔记本电脑之类的移动终端的话,应该将无线网络接口在默认情况下给予关闭。只有确实需要连接到一个无线网络的时间才打开相关的功能。其余的时间,关闭的无线网络接口让你不会成为恶意攻击的目标。
调节无线信号的覆盖范围——调制解调器的接入点具备多个天线和传输功率,所以,用户可以调节信号的覆盖范围。有些产品可以让我们通过菜单选项来调节传输功率。这样就限制了别人能获取你的无线信号的范围,从而可以避免其损坏你的网络。
要诀八
对网络入侵者进行监控。对于网络安全的状况,必须保持全面关注。你需要对攻击的发展趋势进行跟踪,了解恶意工具是怎么连接到网络上的,怎么做可以提供更好的安全保护。你还需要对日志里扫描和访问的企图等相关信息进行分析,找出其中有用的部分,并且确保在真正的异常情况出现的时间可以给予及时的通知。毕竟,众所周知最危险的时间就是事情进行到一半的时间。
要诀九
确保核心的安全。在你离开的时间,务必确保无线路由器或连接到无线网络上正在使用的笔记本电脑上运行了有效的防火墙。还要注意的是,请务必关闭不必要的服务,特别是在微软Windows操作系统下不需要的服务,因为在默认情况下它们活动的后果可能会出乎意料。实际上,你要做的是尽一切可能确保整个系统的安全。
要诀十
不要在无效的安全措施上浪费时间。我经常遇到一些不太了解技术的用户对安全措施的疑问,他们被有关安全的免费咨询所困扰。一般来说,这方面的咨询,不仅只是无用的,而且往往是彻头彻尾有害的。我们最经常看到的有害的建议就是,在类似咖啡馆的公共无线网络环境中进行连接的时间,你应该只选择采用无线加密的连接。有时,人们对建议往往就理解一半,结果就成为了你应该只连接到带无线网络保护访问模式(WPA)保护的无线网络上。实际上,使用了加密功能的公共接入点并不会给你带来额外的安全,因为,网络会向任何发出申请的终端发送密钥。这就象把房子的门给锁了起来,但是在门上写着“钥匙在欢迎的垫子下面”。如果你希望将无线网络提供给大家,任何人都可以随便访问,加密是不需要。实际上对无线网络来说,加密更象是一种威慑。只有使用特定的无线网络,才会在降低方便性的情况下,提高安全性。
要诀十一
改变无线路由口令。为无线路由的互联网访问设置一个口令至关重要,一个强口令有助于无线网络的安全,但不要使用原始无线路由器的默认口令,建议更改较为复杂的口令避免简单被攻破。
对于无线网络安全来说,大部分的要诀可以说就是“普通常识” 。但可怕的是,“普通常识” 是如此之多,以至于不能在同时给予全面考虑。因此,你应该经常对无线网络和移动电脑进行检查,以保证没有漏掉一些重要的部分,并且确保关注的是有效的而不是不必要甚至是完全无效的安全措施。
❷ 无线网络安全威胁有哪些
1、别人用你的网络,(包年上网)你损失网速,(流量上网)你多花钱。
2、侵入你的电脑,盗取你电脑中的一切资料(个人的,银行卡,等等等等……)。
3、侵入你的电脑,通过摄像头记录下一切能看见的东西,然后勒索你。
4、一些不我知道的,但是也会造成不好后果的。
咱们能遇到的最多的是第一种。
❸ 针对目前无线网络存在的安全问题,国际上有哪些现有标准及规范,主要是针对哪些安全隐患的!
(转帖)
所有的无线网络都提供某些形式的加密。但无线路由器、无线AP、或中继器的无线信号范围很难控制得准确,外界也是很大机会的能访问到该无线网络,一旦他们能访问该内部网络时,该网络中所有是传输的数据对他们来说都是透明的。如果这些数据都没经过加密的话,黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启无线网络加密,这样即使你在无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。
两种常用的加密WEP、WPA
目前,无线网络中已经存在好几种加密技术,最常使用的是WEP和WPA两种加密方式。无线局域网的第一个安全协议—802.11 Wired Equivalent Privacy(WEP),一直受到人们的质疑。虽然WEP可以阻止窥探者进入无线网络,但是人们还是有理由怀疑它的安全性,因为WEP破解起来非常容易,就像一把锁在门上的塑料锁。
WEP安全加密方式
WEP特性里使用了rsa数据安全性公司开发的rc4 prng算法。全称为有线对等保密(Wired Equivalent Privacy,WEP)是一种数据加密算法,用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网,所有客户端与无线接入点的数据都会以一个共享的密钥进行加密,密钥的长度有40位至256位两种,密钥越长,黑客就需要更多的时间去进行破解,因此能够提供更好的安全保护。
WPA安全加密方式
WPA加密即Wi-Fi Protected Access,其加密特性决定了它比WEP更难以入侵,所以如果对数据安全性有很高要求,那就必须选用WPA加密方式了(Windows XP SP2已经支持WPA加密方式)。
WPA作为IEEE 802.11通用的加密机制WEP的升级版,在安全的防护上比WEP更为周密,主要体现在身份认证、加密机制和数据包检查等方面,而且它还提升了无线网络的管理能力。
WPA、WEP对比
WPA与WEP不同,WEP使用一个静态的密钥来加密所有的通信。WPA不断的转换密钥。WPA采用有效的密钥分发机制,可以跨越不同厂商的无线网卡实现应用。另外WPA的另一个优势是,它使公共场所和学术环境安全地部署无线网络成为可能。而在此之前,这些场所一直不能使用WEP。WEP的缺陷在于其加密密钥为静态密钥而非动态密钥。这意味着,为了更新密钥,IT人员必须亲自访问每台机器,而这在学术环境和公共场所是不可能的。另一种办法是让密钥保持不变,而这会使用户容易受到攻击。由于互操作问题,学术环境和公共场所一直不能使用专有的安全机制。
WPA工作原理
WPA包括暂时密钥完整性协议(Temporal Key Integrity Protocol,TKIP)和802.1x机制。TKIP与802.1x一起为移动客户机提供了动态密钥加密和相互认证功能。WPA通过定期为每台客户机生成惟一的加密密钥来阻止黑客入侵。TKIP为WEP引入了新的算法,这些新算法包括扩展的48位初始向量与相关的序列规则、数据包密钥构建、密钥生成与分发功能和信息完整性码(也被称为“Michael”码)。在应用中,WPA可以与利用802.1x和EAP(一种验证机制)的认证服务器(如远程认证拨入用户服务)连接。这台认证服务器用于保存用户证书。这种功能可以实现有效的认证控制以及与已有信息系统的集成。由于WPA具有运行“预先共享的密钥模式”的能力,SOHO环境中的WPA部署并不需要认证服务器。与WEP类似,一部客户机的预先共享的密钥(常常被称为“通行字”)必须与接入点中保存的预先共享的密钥相匹配,接入点使用通行字进行认证,如果通行字相符合,客户机被允许访问接入点。
WPA弥补了WEP的安全问题
除了无法解决拒绝服务(DoS)攻击外,WPA弥补了WEP其他的安全问题。黑客通过每秒发送至少两个使用错误密钥的数据包,就可以造成受WPA保护的网络瘫痪。当这种情况发生时,接入点就会假设黑客试图进入网络,这台接入点会将所有的连接关闭一分钟,以避免给网络资源造成危害,连接的非法数据串会无限期阻止网络运行,这意味着用户应该为关键应用准备好备份进程。
❹ 网络安全风险与对策
网络安全风险与对策【1】
摘要:要使网络信息在一个良好的环境中运行,加强网络信息安全至关重要。
必须全方位解析网络的脆弱性和威胁,才能构建网络的安全措施,确保网络安全。
本文在介绍网络安全的脆弱性与威胁的基础上,简述了网络安全的技术对策。
关键词:网络安全 脆弱性 威胁 技术对策
一、网络安全的脆弱性
计算机网络尤其是互连网络,由于网络分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的共用性,使计算机网络存在很多严重的脆弱性。
1.不设防的网络有许多个漏洞和后门
系统漏洞为病毒留后门,计算机的多个端口、各种软件,甚至有些安全产品都存在着或多或少的漏洞和后门,安全得不到可靠保证。
2.电磁辐射
电磁辐射在网络中表现出两方面的脆弱性:一方面,网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源;另一方面,网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄露,可以将这些数据(包括在终端屏幕上显示的数据)接收下来,并且重新恢复。
4.串音干扰
串音的作用是产生传输噪音,噪音能对网络上传输的信号造成严重的破坏。
5.硬件故障
硬件故障可造成软件系统中断和通信中断,带来重大损害。
6.软件故障
通信网络软件包含有大量的管理系统安全的部分,如果这些软件程序受到损害,则该系统就是一个极不安全的网络系统。
7.人为因素
系统内部人员盗窃机密数据或破坏系统资源,甚至直接破坏网络系统。
8.网络规模
网络规模越大,其安全的脆弱性越大。
9.网络物理环境
这种脆弱性来源于自然灾害。
10.通信系统
一般的通信系统,获得存取权是相对简单的,并且机会总是存在的。
一旦信息从生成和存储的设备发送出去,它将成为对方分析研究的内容。
二、网络安全的威胁
网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。
造成这两种威胁的因有很多:有人为和非人为的、恶意的和非恶意的、内部攻击和外部攻击等,归结起来,主要有三种:
1.人为的无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
2.人为的恶意攻击
这是计算机网络所面临的最大威胁,黑客的攻击和计算机犯罪就属于这一类。
此类攻击又分为以下两种:一种是主动攻击,它是以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。
这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
3.网络软件的漏洞和后门
网络软件不可能是百分之百的`无缺陷和漏洞的。
然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,黑客攻入网络内部就是因为安全措施不完善所招致的苦果。
另外,软件的后门都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦后门洞开,其造成的后果将不堪设想。
三、网络安全的技术对策
一个不设防的网络,一旦遭到恶意攻击,将意味着一场灾难。
居安思危、未雨绸缪,克服脆弱、抑制威胁,防患于未然。
网络安全是对付威胁、克服脆弱性、保护网络资源的所有措施的总和。
针对来自不同方面的安全威胁,需要采取不同的安全对策。
从法律、制度、管理和技术上采取综合措施,以便相互补充,达到较好的安全效果。
技术措施是最直接的屏障,目前常用而有效的网络安全技术对策有如下几种:
1.加密
加密的主要目的是防止信息的非授权泄露。
网络加密常用的方法有链路加密、端点加密和节点加密三种。
链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。
信息加密过程是由形形色色的加密算法来具体实施的,加密算法有许多种,如果按照收发双方密钥是否相同来分类,可分为常规密码算法和公钥密码算法,但在实际应用中人们通常将常规密码算法和公钥密码算法结合在一起使用,这样不仅可以实现加密,还可以实现数字签名、鉴别等功能,有效地对抗截收、非法访问、破坏信息的完整性、冒充、抵赖、重演等威胁。
因此,密码技术是信息网络安全的核心技术。
2.数字签名
数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等安全问题。
数字签名采用一种数据交换协议,使得收发数据的双方能够满足两个条件:接受方能够鉴别发送方宣称的身份;发送方以后不能否认他发送过数据这一事实。
数据签名一般采用不对称加密技术,发送方对整个明文进行加密变换,得到一个值,将其作为签名。
接收者使用发送者的公开密钥签名进行解密运算,如其结果为明文,则签名有效,证明对方省份是真实的。
3.鉴别
鉴别的目的是验明用户或信息的正身。
对实体声称的身份进行唯一地识别,以便验证其访问请求、或保证信息来自或到达指定的源目的。
鉴别技术可以验证消息的完整性,有效地对抗冒充、非法访问、重演等威胁。
按照鉴别对象的不同,鉴别技术可以分为消息源鉴别和通信双方相互鉴别。
鉴别的方法很多;利用鉴别码验证消息的完整性;利用通行字、密钥、访问控制机制等鉴别用户身份,防治冒充、非法访问;当今最佳的鉴别方法是数字签名。
利用单方数字签名,可实现消息源鉴别,访问身份鉴别、消息完整性鉴别。
4.访问控制
访问控制是网络安全防范和保护的主要对策,它的目的是防止非法访问,访问控制是采取各种措施保证系统资源不被非法访问和使用。
一般采用基于资源的集中式控制、基于源和目的地址的过滤管理、以及网络签证技术等技术实现。
5.防火墙
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境中。
在大型网络系统与因特网互连的第一道屏障就是防火墙。
防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,其基本功能为:过滤进、出网络的数据;管理进出网络的访问行为:封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和和告警。
随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。
因此,认清网络的脆弱性和潜在威胁,采取强有力的安全对策,对于保障网络的安全性将变得十分重要。
参考文献:
[1]张世永.网络安全原理与应用.北京:科学出版社,2003.
[2]崔国平.国防信息安全战略.北京:金城出版社,2000.
网络安全风险评估的仿真与应用【2】
摘 要 伴随着互联网的普及和应用,网络安全问题日益突出,在采用防火墙技术、入侵检测和防御技术、代理技术、信息加密技术、物理防范技术等一系列网络安全防范技术的同时,人们开始采用网络安全风险评估的方法辅助解决网络安全问题。
为提高网络安全风险评估准确率,本文提出了一种基于支持向量机的评价模型,通过仿真分析,得出采用该模型进行网络安全风险评估具有一定可行性,值得应用。
关键词 网络安全 安全风险评估 仿真
当今时代是信息化时代,计算机网络应用已经深入到了社会各个领域,给人们的工作和生活带来了空前便利。
然而与此同时,网络安全问题也日益突出,如何通过一系列切实有效的安全技术和策略保证网络运行安全已成为我们面临的重要课题。
网络安全风险评估技术很早前就受到了信息安全领域的关注,但发展至今,该技术尚需要依赖人员能力和经验,缺乏自主性和实效性,评价准确率较低。
本文主要以支持向量机为基础,构建一个网络安全风险评估模型,将定性分析与定量分析相结合,通过综合数值化分析方法对网络安全风险进行全面评价,以期为网络安全管理提供依据。
1网络安全风险评估模型的构建
网络安全风险模型质量好坏直接影响评估结果,本文主要基于支持向量机,结合具有良好泛化能力和学习能力的组合核函数,将信息系统样本各指标特征映射到一个高维特征空间,构成最优分类超平面,构造网络信息安全风险二分类评估模型。
组合核函数表示为:
K(x,y)=d1Kpoly(x,y)+d2KRBF(x,y) d1+d2=1
Kpoly为多项式核函数,KRBF为径向基核函数。
组合核函数能够突出测试点附近局部信息,也保留了离测试点较远处的全局信息。
本文主要选用具有良好外推能力的d=2,d=4阶多项式。
另外一方面,当%l=1时,核函数局部性不强,当%l=0.5时,核函数则具有较强局部性,所以组合核函数选用支持向量机d=2,%l=0.5的组合进行测试。
2仿真研究
2.1数据集与实验平台
构建网络安全风险评估模型前,需要在深入了解并归纳网络安全影响因素的基础上,确定能够反映评估对象安全属性、反映网络应对风险水平的评估指标,根据网络安全三要素,确定资产(通信服务、计算服务、信息和数据、设备和设施)、威胁(信息篡改、信息和资源的破坏、信息盗用和转移、信息泄露、信息丢失、网络服务中断)和脆弱性(威胁模型、设计规范、实现、操作和配置的脆弱性)为网络安全风险评估指标,从网络层、传输层和物理层三方面出发,构建一个完整的网络安全评估指标体系。
将选取的网络安全风险评价指标划分为可忽略的风险、可接受的风险、边缘风险、不可接受的分享、灾变风险五个等级。
在此之后,建立网络评估等级,将网络安全风险评估等级定为安全、基本安全、不安全、很不安全四个等级。
确定评价指标后,构造样本数据集,即训练样本集和测试样本集。
为验证模型可行性和有效性,基于之前研究中所使用的有效的网络实验环境,构建实验网络,在实验网络中设计网络中各节点的访问控制策略,节点A为外网中的一台PC机,它代表的是目标网络外的访问用户;节点B网络信息服务器,其WWW服务对A开放,Rsh服务可监听本地WWW服务的数据流;节点C为数据库,节点B的WWW服务可向该数据库读写信息;节点D为管理机,可通过Rsh服务和Snmp服务管理节点B;节点E为个人计算机,管理员可向节点C的数据库读写信息。
2.2网络安全风险评估模型实现
将数据分为训练数据和测试数据,如果每一个训练数据可表示为1?6维的行向量,即:
Rm=[Am,0,Am,1,Am,2,……Am,15]
那么,整个网络信息系统安全性能指标矩阵为:
Rm=[R0,R1,R2,……Rm-1]
将这M个项目安全性能指标矩阵作为训练数据集,利用训练数据集对二分类评估模型进行训练,作非线性变换使训练数据成为线性可分,通过训练学习,寻找支持向量,构造最优分类超平面,得出模型决策函数,然后设定最小误差精度和最大训练次数,当训练精度小于预定目标误差,或是网络迭代次数达到最大迭代次数,停止训练,保存网络。
采用主成分析法即“指标数据标准化――计算协方差矩阵――求解特征值和U值――确定主成分”对指标进行降维处理,消除冗余信息,提取较少综合指标尽可能多地将原有指标信息反映出来,提高评价准确率。
实际操作中可取前5个主成分代表16个指标体系。
在训练好的模型中输入经过主成分析法处理后的指标值,对待评估的网络进行评估,根据网络输出等级值来判断网络安全分等级。
2.3实验结果与分析
利用训练后的网络对测试样本集进行测试后,得到测试结果。
结果表明,基于支持向量机的二分类评估模型能正确地对网络的安全等级进行评价,评估准确率高达100%,结果与实际更贴近,评估结果完全可以接受。
但即便如此,在日常管理中,仍需加强维护,采取适当网络安全技术防范黑客攻击和病毒侵犯,保证网络正常运行。
3结语
总之,网络安全风险评估技术是解决网络安全风险问题行之有效的措施之一。
本文主要提出了一种基于支持向量机的二分类评估模型,通过仿真分析,得到该模型在网络安全风险的量化评估中具有一定可行性和有效性的结论。
未来,我们还应考虑已有安全措施和安全管理因素等对网络安全的影响,通过利用网络数据,进一步改进评估模型和相关评估方法,以达到完善评估效果的目的。
参考文献
[1] 步山岳,张有东.计算机安全技[M].高等教育出版社,2005,10.
[2] 张千里.网络安全新技术[M].人民邮电出版社,2003.
[3] 冯登国.网络安全原理与技术[M].科技出版社,2003,9.
❺ 无线网络安全
给你找了个 自己抄吧
论文
无线局域网的安全防护
学 科、专业 计算机技术及应用
学 生 姓 名 雷磊
学 号 200512118
指导教师姓名 史虹湘
2008年10月30日
无线局域网的安全防护
摘要:
在网络应用日益普及的今天,局域网作为一种通用的联网手段,得到了极为广泛的应用,其传输速率、网络性能不断提高。不过,它基本采用的是有线传输媒介,在许多不适宜布线的场合,受到很大程度的限制。另一方面,无线数据传输技术近年来不断获得突破,标准化进展也极为迅速,这使得局域网环境下的数据传输完全可以摆脱线缆的束缚。在此基础上,无线局域网开始崛起,越来越受到人们的重视。但是,无线局域网给我们带来方便的同时,它的安全性更值得我们关注,本篇论文通过了解无线局域网的组成,它的工作原理,以及无线局域网的优、缺点,找出影响安全的因素,通过加密、认证等手段并且应用完整的安全解决方案,从而更好的做到无线局域网的安全防护。
关键词:无线局域网;安全性;WPAN
目录
第一章 引言 3
1.1无线局域网的形成 3
1.2无线局域网的常用设备 3
第二章、无线局域网的概况及特点 4
2.1无线局域网(WLAN)方案 4
2.2无线局域网的常见拓扑形式 6
2.3 无线局域网的优势 6
2.4无线局域网的缺点 7
第三章、无线局域网的安全性及其解决方案 7
3.1无线局域网的安全性 7
3.2完整的安全解决方案 11
第四章、结束语 13
第一章 引言
1.1无线局域网的形成
随着计算机技术和网络技术的蓬勃发展,网络在各行各业中的应用越来越广。然而,随着移动计算技术的日益普及和工业标准逐步为市场所采纳和接受,无线网络的应用领域正在不断地扩大。无线局域网的出现使人们不必再围着机器转,它采用以太网的帧格式,使用简单。无线局域网方便了用户访问网络数据,高吞吐量无线局域网可以实现11Mb/s的数据传输速率。
从网络角度来看,它涉及互联网和城域网(Metropolitan Area Network-MAN)、局域网(Local Area Network-LAN)及最近提出的“无线个域网” (Wireless Personal Area Network - WPAN)。在广域网(Wide Area Network-WAN)、城域网和局域网的层次结构中,WPAN的范围是最小的。
1.2无线局域网的常用设备
WPAN将取代线缆成为连接包括移动电话、笔记本个人电脑和掌上设备在内的各类用户个人设备的工具。WPAN可以随时随地地为用户实现设备间的无缝通讯,并使用户能够通过蜂窝电话、局域网或广域网的接入点联入网络。
1.2.1Bluetooth应用
通过Bluetooth(蓝牙)技术,它使人们周围的电子设备通过无线的网络连接在一起。这些设备包括:桌上型电脑、笔记本电脑、打印机、手持设备、移动电话、传呼机和可携带的音乐设备等。
蓝牙技术是由爱立信、IBM、英特尔、诺基亚和东芝这五大公司于1998年5月联合推出的一项旨在实现网络中各类数据及语音设备(如PC、拨号网络、笔记本电脑、打印机、传真机、数码相机、移动电话、高品质耳机等)互连的计划,并为纪念第一个统一北欧语言的人Norse国王而命名为蓝牙。
蓝牙收发信机采用跳频扩谱技术,在2.45 GHz ISM频带上以1600跳/s的速率进行跳频。依据各国的具体情况,以2.45 GHz为中心频率,最多可以得到79个1MHz带宽的信道。除采用跳频扩谱的低功率传输外,蓝牙还采用鉴权和加密等措施来提高通信的安全性。
1.2.2HomeRF应用
无线局域网技术HomeRF,是专门为家庭用户设计的短距离无线联网方案。
它基于共享无线访问协议(shared Wireless Access Protocol,SWAP),可应用于家庭中的移动数据和语音设备与主机之间的通信。
符合SWAP规范的产品工作在2.4GHz频段,使用每秒50跳的跳频扩展频谱技术,通过家庭中的一台主机在移动数据和语音设备之间实现通信,既可以通过时分复用支持语音通信,又能通过载波监听多重访问/冲突避免协议提供数据通信服务。同时,HomeRF提供了与TCP/IP良好的集成,支持广播和48位IP地址。
按照SWAP规范,用户可以建立无线家庭网络,用户可在PC、PC增强无绳电话、手持式远程显示器等设备之间共享话音、数据和Internet连接;用手持显示装置在房间内和房间周围的任何地方访问Internet;在多台PC间共享文件、调制解调器、打印机等;向多个无绳手机、传真机和话音邮箱转发电话;使用小型PC增强无绳电话手机重复收听话音、传真和电子邮件;简单地使用PC增强无绳电话手机发出话音命令,来激活其他家用电子系统;可以玩PC或Internet上的多人游戏。
第二章、无线局域网的概况及特点
2.1无线局域网(WLAN)方案
在网络应用日益普及的今天,局域网作为一种通用的联网手段,得到了极为广泛的应用,其传输速率、网络性能不断提高。不过,它基本采用的是有线传输媒介,在许多不适宜布线的场合,受到很大程度的限制。另一方面,无线数据传输技术近年来不断获得突破,标准化进展也极为迅速,这使得局域网环境下的数据传输完全可以摆脱线缆的束缚。在此基础上,无线局域网开始崛起,越来越受到人们的重视。
2.1.1无线局域网概念和工作原理
一般来讲,凡是采用无线传输媒体的计算机局域网都可称为无线局域网。这里的无线媒体可以是无线电波、红外线或激光。
无线局域网的基础还是传统的有线局域网,是有线局域网的扩展和替换。它只是在有线局域网的基础上通过无线HUB、无线访问节点(AP)、无线网桥、无线网卡等设备使无线通信得以实现。
2.1.2无线局域网标准
实际上,无线局域网早在80年代就已经得到广泛应用,当时受到技术上的制约,通信速率只有860kb/s,工作在900MHz的频段。能够了解并享受它的好处的人少之又少。
到了90年代初,随着技术的进步,无线局域网的通信速率已经提高到1 ~2Mb/s,工作频段为2.4GHz,并开始向医疗、教育等多媒体应用领域延伸。
无线局域网的发展也引起国际标准化组织的关注,IEEE从1992年开始着手制订802.11标准,以推动无线局域网的发展。1997年,该标准获得通过,它大大促进了不同厂商产品之间的互操作性,并推进了已经萌芽的产业的发展。
802.11标准仅限于物理(PHY)层和媒介访问控制(MAC)层。物理层对应于国际标准化组织的七层开放系统互连(OSI)模型的最低层,MAC层与OSI第二层的下层相对应,该层与逻辑链路控制(LLC)层构成了OSI的第二层。
标准实际规定了三种不同的物理层结构,用户可以从中选出一种,它们中的每一种都可以和相同的MAC层进行通信。802.11工作组的成员认为在物理层实现方面有多个选择是必要的,因为这可以使系统设计人员和集成人员根据特定应用的价格、 性能、 操作等方面的因素来选择一种更合适的技术。这些选择实际上非常类似,就像10BaseT, 10Base2及100BaseT等都在以太网领域取得了很大的成功一样。另外,企业局域网通常会使用有线以太网和无线节点混合的方式,它们在使用上没有区别。
近年来,无线局域网的速率有了本质的提高,新的IEEE802.11b标准支持11Mb/s高速数据传输。这为宽带无线应用提供了良好的平台。
2.1.3无线局域网传输方式
就传输方式而言,无线局域网可以分为两类:红外线系统和射频系统。前者的优点在于不受无线电的干扰;邻近区域无干扰;不受管制机构的政策限制;在视距范围内传输,监测和窃听困难,保密性好。不过,由于红外线传输对非透明物体的透过性极差,传输距离受限。
此外,它容易受到日光、荧光灯等噪声干扰,并且只能进行半双工通信。所以,相比而言,射频系统的应用范围远远高于红外线系统。
采用射频方式传输数据,一般都需要引入扩频技术。在扩频系统中,信号所占用的带宽远大于所需发送信息的最小带宽,并采用了独立的扩展信号。扩频技术具有安全性高、抗干扰能力强和无需许可证等优点。目前,在全球范围内应用比较广泛的扩频技术有直接序列(DS)扩频技术和跳频(FH)扩频技术。就频带利用来说,DS采用主动占有的方式,FH则是跳换频率去适应。在抗干扰方面,FH通过不同信道的跳跃避免干扰,丢失的数据包在下一跳重传。DS方式中数据从冗余位中得到保证,移动到相邻信道避免干扰。同DS方式相比,FH方式速度慢,最多只有2 ~3Mb/s。DS传输速率可以达到11Mb/s,这对多媒体应用来说非常有价值。从覆盖范围看,由于DS采用了处理增益技术,因此在相同的速率下比FH覆盖范围更大。不过,FH的优点在于抗多径干扰能力强。此外,它的可扩充性要优于DS。DS有3个独立、不重叠的信道,接入点限制为三个。FH在跳频不影响性能时最多可以有15个接入点。
新的无线局域网标准协议IEEE802.11b只支持DS方式,但是IEEE802.11对这两种技术都是推荐的。应该说,FH和DS这两种扩频方式在不同的领域都拥有适合自身的应用环境,一般说来,在需要大范围覆盖时选DS,需要高数据吞吐量时选择DS,需要抗多径干扰强时选择FH。
2.2无线局域网的常见拓扑形式
根据不同的应用环境,目前无线局域网采用的拓扑结构主要有网桥连接型、访问节点连接型、HUB接入型和无中心型四种。
(1)网桥连接型。该结构主要用于无线或有线局域网之间的互连。当两个局域网无法实现有线连接或使用有线连接存在困难时,可使用网桥连接型实现点对点的连接。在这种结构中局域网之间的通信是通过各自的无线网桥来实现的,无线网桥起到了网络路由选择和协议转换的作用。
(2)访问节点连接型。这种结构采用移动蜂窝通信网接入方式,各移动站点间的通信是先通过就近的无线接收站(访问节点:AP)将信息接收下来,然后将收到的信息通过有线网传入到“移动交换中心”,再由移动交换中心传送到所有无线接收站上。这时在网络覆盖范围内的任何地方都可以接收到该信号,并可实现漫游通信。
(3)HUB接入型。在有线局域网中利用HUB可组建星型网络结构。同样也可利用无线HUB组建星型结构的无线局域网,其工作方式和有线星型结构很相似。但在无线局域网中一般要求无线HUB应具有简单的网内交换功能。
(4)无中心型结构。该结构的工作原理类似于有线对等网的工作方式。它要求网中任意两个站点间均能直接进行信息交换。每个站点既是工作站,也是服务器。
2.3 无线局域网的优势
无线局域网在很多应用领域具有独特的优势:一是可移动性,它提供了不受线缆限制的应用,用户可以随时上网;二是容易安装、无须布线,大大节约了建网时间;三是组网灵活,即插即用,网络管理人员可以迅速将其加入到现有网络中,并在某种环境下运行;四是成本低,特别适合于变化频繁的工作场合。此外,无线网络相对来说比较安全,无线网络通信以空气为介质,传输的信号可以跨越很宽的频段,而且与自然背景噪音十分的相似,这样一来,就使得窃听者用普通的方式难以偷听到数据。
“加密”也是无线网络必备的一环,能有效提高其安全性。所有无线网络都可加设安全密码,窃听者即使千方百计地接收到数据,若无密码,想打开信息系统亦无计可施。
2.4无线局域网的缺点
目前,由于相关的配套技术不足,无线网络传输速度还存在着一些局限。现在无线网络的带宽还比较局限,与有线局域网主干可达千兆还差得很远。与有线网络相比,无线网络的通信环境要受到更多的限制。由于电源限制、可用的频谱限制以及无线网络的移动性等特点,无线数据网络一般具有带宽少、延迟长、连接稳定性差、可用性很难预测等特点。尽管无线局域网有种种优点,但是PC厂商在出售无线LAN产品时多采取慎重态度。这是因为,在家庭里利用的无线联网方式,除了无线LAN外,还有一些其他方案。蓝牙主要用于在便携式信息设备之间以无线方式进行数据通信;HomeRF则用于PC同家电之间以无线方式进行数据通信。而无论蓝牙还是HomeRF,其最大传输速度都只有2Mb/s。此外,它们的传输距离都只有几十米,比无线LAN最多可达的100米要短。在钢筋混凝土这类能使电波明显衰减的使用环境里,蓝牙和HomeRF的传输距离甚至会缩短到只有几米。
第三章、无线局域网的安全性及其解决方案
3.1无线局域网的安全性
除了硬件方面的不足,无线局域网的安全性也非常值得关注。无线局域网的安全性,主要包括接入控制和加密两个方面。
3.1.1IEEE802.11b标准的安全性
IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)。
1、认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。 IEEE 802.11b标准详细定义了两种认证服务:-开放系统认证(Open System Authentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。 -共享密钥认证(Shared Key Authentication):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。 共享密钥认证的过程如图1所示,描述如下:
(1) 请求工作站向另一个工作站发送认证帧。
(2) 当一个站收到开始认证帧后,返回一个认证帧,该认证帧包含WEP服务生成的128字节的质询文本。
(3) 请求工作站将质询文本复制到一个认证帧中,用共享密钥加密,然后再把帧发往响应工作站。
(4) 接收站利用相同的密钥对质询文本进行解密,将其和早先发送的质询文本进行比较。如果相互匹配,相应工作站返回一个表示认证成功的认证帧;如果不匹配,则返回失败认证帧。
请求工作站 响应工作站
验证帧
验证算法标识=“共享密钥”
验证处理序列号=1
验证帧
验证算法标识=“共享密钥”
验证处理序列号=2
质询文本
验证帧
验证算法标识=“共享密钥”
验证处理序列号=3
质询文本加密
验证帧
验证算法标识=“共享密钥”
验证处理序列号=1
图1 共享密钥认证
认证使用的标识码称为服务组标识符(SSID:Service Set Identifier),它提供一个最底层的接入控制。一个SSID是一个无线局域网子系统内通用的网络名称,它服务于该子系统内的逻辑段。因为SSID本身没有安全性,所以用SSID作为接入控制是不够安全的。接入点作为无线局域网用户的连接设备,通常广播SSID。
2、WEP
IEEE 802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是: 接入控制:防止未授权用户接入网络,他们没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享—包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
帧体
明文
综合检测值
(ICV)
帧体
密钥 密文
键序
图2 WEP加密过程
WEP加密的算法如图2所示,过程如下:
(1) 在发送端,WEP首先利用一种综合算法对MAC帧中的帧体字段进行加密,生成四字节的综合检测值。检测值和数据一起被发送,在接收端对检测值进行检查,以监视非法的数据改动。
(2) WEP程序将共用密钥输入伪随机数生成器生成一个键序,键序的长度等于明文和综合检测值的长度。
(3) WEP对明文和综合检测值进行模二加运算,生成密文,完成对数据的加密。伪随机数生成器可以完成密钥的分配,因为每台终端只用到共用密钥,而不是长度可变的键序。
(4) 在接收端,WEP利用共用密钥进行解密,复原成原先用来对帧进行加密的键序。
(5) 工作站计算综合检测值,随后确认计算结果与随帧一起发送来的值是否匹配。如果综合检测失败,工作站不会把MSDU(介质服务单元)送到LLC(逻辑链路控制)层,并向MAC管理程序发回失败声明。
3.1.2影响安全的因素
1、硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。 当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
2、虚假接入点
IEEE802.11b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
3、其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。
通过监测IEEE802.11b控制信道和数据信道,黑客可以得到如下信息:
客户端和接入点MAC地址
内部主机MAC地址
上网时间
黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
3.2完整的安全解决方案
3.2.1无线局域网的安全方案
无线局域网完整的安全方案以IEEE802.11b为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(Extensible Authentication Protocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
IEEE 802.1X, 一个控制端口接入的提议标准。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后 RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:
一个站点要与一个接入点连接。
除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。
用户在网络登录对话框和类似的结构中输入用户名和密码。
用IEEE802.1x协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。例如:RADIUS服务器向用户发送一个认证请求,客户端对用户提供的密码进行一种hash运算来响应这个请求,并把结果送到RADIUS服务器;利用用户数据库提供的信息,RADIUS服务器创建自己的响应并与客户端的响应相比较。一旦服务器认证了用户,就进行相反的处理使用户认证RADIUS服务器。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。
接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。
用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
认证的全部过程如图3所示。
4.RADIUS服务器和站点双
向认证并且生成WEP密钥
无线 有线
6. 站 点 和AP 激活 5.RADIUS服务器
WEP,加密传输数据 把密钥传给AP
图3 基于IEEE802.1x的安全传输
3.2.2无线局域网的应用环境
(1) 无线局域网的应用方向之一是增加电脑的移动性,让电脑更符合人性,例如在办公室内,企业经理们可以像使用室内无绳电话那样,随心所欲地使用联网的笔记本电脑。
(2) 在难于布线的室外环境下,无线局域网可充分发挥其高速率、组网灵活之优点。尤其在公共通信网不发达的状态下,无线局域网可作为区域网(覆盖范围几十公里)使用。
它的范围可以延伸到城市建筑群间通信;学校校园网络;工矿企业厂区自动化控制与管理网络;银行、金融证券城区网络;城市交通信息网络;矿山、水利、油田等区域网络;港口、码头、江河湖坝区网络;野外勘测、实验等流动网络;军事、公安流动网络等领域。
(3) 无线局域网与有线主干网构成了移动计算网络。
这种网络传输速率高、覆盖面大,是一种可传输多媒体信息的个人通信网络。这也是无线局域网的发展方向。
第四章、结束语
无线网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
虽然我的论文作品不是很成熟,还有很多不足之处,但这次做论文的经历使我终身受益,我感受到做论文是要真真正正用心去做的一件事情,是真正的自己学习的过程和研究的过程,没有学习就不可能有研究的能力,没有自己的研究,就不会有所突破,希望这次的经历能让我在以后学习中激励我继续进步。
最后,感谢史虹湘老师对我论文的精心指导和无私的帮助,感谢经济管理干部学院老师们的辛勤栽培,使我能够很好的掌握和运用专业知识。
参考文献:
[1] 网络安全 徐国爱. 北京邮电大学出版社,2006.5
[2] 计算机网络基础 刘远生. 清华大学出版社,2004.9
[3] 局域网组建、管理与维护 扬威. 电子工业出版社,2005.7
❻ 网络安全
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
❼ 无线网络安全防护措施有哪些
针对网络安全中的各种问题,我们应该怎样去解决,这里就告诉我们一个真理,要从安全方面入手,这才是解决问题的关键。公司无线网络的一个突出的问题是安全性。随着越来越多的企业部署无线网络,从而将雇员、专业的合伙人、一般公众连接到公司的系统和互联网。人们对增强无线网络安全的需要变得日益迫切。幸运的是,随着越来越多的公司也越来越清楚无线网络面临的威胁和对付这些威胁的方法,有线网络和无线网络面临的威胁差距越来越小。 无线网络威胁 无线网络安全并不是一个独立的问题,企业需要认识到应该在几条战线上对付攻击者,但有许多威胁是无线网络所独有的,这包括: 1、插入攻击:插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。 2、漫游攻击者:攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。 3、欺诈性接入点:所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开公司已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。 当然,还有其它一些威胁,如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等,这都属于可给无线网络带来风险的因素。 实现无线网络安全的三大途径和六大方法 关于封闭网络,如一些家用网络和单位的网络,最常见的方法是在网络接入中配置接入限制。这种限制可包括加密和对MAC地址的检查。 正因为无线网络为攻击者提供了许多进入并危害企业网络的机会,所以也就有许多安全工具和技术可以帮助企业保护其网络的安全性: 具体来说,有如下几种保护方法: 1、防火墙:一个强健的防火墙 可以有效地阻止入侵者通过无线设备进入企业网络的企图。 2、安全标准:最早的安全标准WEP已经被证明是极端不安全的,并易于受到安全攻击。而更新的规范,如WPA、WPA2及IEEE802.11i是更加强健的安全工具。采用无线网络的企业应当充分利用这两种技术中的某一种。 3、加密和身份验证:WPA、WPA2及IEEE802.11i支持内置的高级加密和身份验证技术。WPA2和802.11i都提供了对AES(高级加密标准)的支持,这项规范已为许多政府机构所采用。 4、漏洞扫描:许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息,如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中可被攻击者利用的漏洞,如可以找出一些不安全的接入点等。 5、降低功率:一些无线路由器 和接入点准许用户降低发射器的功率,从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。同时,仔细地调整天线的位置也可有助于防止信号落于贼手。 6、教育用户:企业要教育雇员正确使用无线设备,要求雇员报告其检测到或发现的任何不正常或可疑的活动。
❽ 无线网络的安全风险有哪些
无线网络的安全风险有无线网络安全并不是一个独立的问题,企业需要认识到应该在几条战线上对付攻击者,但有许多威胁是无线网络所独有的,下面是学习啦小编整理的一些关于无线网络存在的威胁的相关资料,供你参考。
企业无线网络所面临的安全威胁
1、插入攻击
插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
2、漫游攻击者
攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving
” ; 走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
3、欺诈性接入点
所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开公司已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。哪些?
❾ 网络面临哪些安全问题,应采取那些措施!
计算机网络安全
编者按:"千里之提,溃于蚁穴"。配置再完善的防火墙、功能 再强大的入侵检测系统、结构再复杂的系统密码也挡不住内部人员从网管背后的一瞥。"微软被黑案"的事例证明,当前企业网络最大的安全漏洞来自内部管理的不严密。因此网络安全,重在管理。那么如何管理呢?请仔细研读下文。
网络安全的重要性及现状
随着计算机网络的普及和发展,我们的生活和工作都越来越依赖于网络。与此相关的网络安全问题也随之凸现出来,并逐渐成为企业网络应用所面临的主要问题。那么网络安全这一要领是如何提到人们的议事日程中来的呢?
1. 网络安全的概念的发展过程
网络发展的早期,人们更多地强调网络的方便性和可用性,而忽略了网络的安全性。当网络仅仅用来传送一般性信息的时候,当网络的覆盖面积仅仅限于一幢大楼、一个校园的时候,安全问题并没有突出地表现出来。但是,当在网络上运行关键性的如银行业务等,当企业的主要业务运行在网络上,当政府部门的活动正日益网络化的时候,计算机网络安全就成为一个不容忽视的问题。
随着技术的发展,网络克服了地理上的限制,把分布在一个地区、一个国家,甚至全球的分支机构联系起来。它们使用公共的传输信道传递敏感的业务信息,通过一定的方式可以直接或间接地使用某个机构的私有网络。组织和部门的私有网络也因业务需要不可避免地与外部公众网直接或间接地联系起来,以上因素使得网络运行环境更加复杂、分布地域更加广泛、用途更加多样化,从而造成网络的可控制性急剧降低,安全性变差。
随着组织和部门对网络依赖性的增强,一个相对较小的网络也突出地表现出一定的安全问题,尤其是当组织的部门的网络就要面对来自外部网络的各种安全威胁,即使是网络自身利益没有明确的安全要求,也可能由于被攻击者利用而带来不必要的法律纠纷。网络黑客的攻击、网络病毒的泛滥和各种网络业务的安全要求已经构成了对网络安全的迫切需求。
2. 解决网络安全的首要任务
但是,上面的现状仅仅是问题的一个方面,当人们把过多的注意力投向黑客攻击和网络病毒所带来的安全问题的时候,却不知道内部是引发安全问题的根源,正所谓"祸起萧墙"。国内外多家安全权威机构统计表明,大约有七八成的安全事件完全或部分地由内部引发。在一定程度上,外部的安全问题可以通过购置一定的安全产品来解决,但是,大多数的外部安全问题是由内部管理不善、配置不当和不必要的信息泄露引起的。因此,建立组织的部门的网络安全体系是解决网络安全的首要任务。
网络安全存在的主要问题
任何一种单一的技术或产品者无法满足无法满足网络对安全的要求,只有将技术和管理有机结合起来,从控制整个网络安全建设、运行和维护的全过程角度入手,才能提高网络的整体安全水平。
无论是内部安全问题还是外部安全问题,归结起来一般有以下几个方面:
1. 网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全 措施加以防范,完全处于被动挨打的位置。
2. 组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐 患,从而失去了防御攻击的先机。
3. 组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击 者以可乘之机。
4. 组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施 不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。
5. 网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络, 不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应。
网络安全管理体系的建立
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。
1. 安全需求分析 "知已知彼,百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全。
2. 安全风险管理 安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。
3. 制定安全策略 根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
4. 定期安全审核 安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。 5. 外部支持 计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警。
6. 计算机网络安全管理 安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。
❿ 家庭无线网络存在哪些安全隐患
原则上,无线网络比有线网络更容易受到入侵,因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接,他只要在你无线路由器或中继器的有效范围内,就可以进入你的内部网络,访问的的资源,如果你在内部网络传输的数据并未加密的话,更有可能被人家窥探你的数据隐私。此外,无线网络就其发展的历史来讲,远不如有线网络长,其安全理论和解决方案远不够完善。所有的这些都讲导致无线网络的安全性教有线网络差。
1.修改用户名和密码(不使用默认的用户名和密码)一般的家庭无线网络都是通过通过一个无线路由器或中继器来访问外部网络。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络,都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息。为了保证只有设备拥有者才能使用这个管理页面工具,该设备通常也设有登陆界面,只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时,制造商给每一个型号的设备提供的默认用户名和密码都是一样,不幸的是,很多家庭用户购买这些设备回来之后,都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面,如果成功则立即取得该路由器/交换机的控制权。2.使用加密所有的无线网络都提供某些形式的加密。之前我跟大家提过,攻击端电脑只要在无线路由器/中继器的有效范围内的话,那么它很大机会访问到该无线网络,一旦它能访问该内部网络时,该网络中所有是传输的数据对他来说都是透明的。如果这些数据都没经过加密的话,黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密,这样即使你在无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。目前,无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是,如果你的网络中同时存在多个无线网络设备的话,这些设备的加密技术应该选取同一个。3.修改默认的服务区标识符(SSID)通常每个无线网络都有一个服务区标识符(SSID),无线客户端需要加入该网络的时候需要有一个相同的SSID,否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如linksys设备的SSID通常是“linksys”。如果一个网络,不为其指定一个SSID或者只使用默认SSID的话,那么任何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。4.禁止SSID广播在无线网络中,各路由设备有个很重要的功能,那就是服务区标识符广播,即SSID广播。最初,这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播的无线网络,其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号,无线网络客户端接收到这个SSID号后,利用这个SSID号才可以使用这个网络。但是,这个功能却存在极大的安全隐患,就好象它自动地为想进入该网络的黑客打开了门户。在商业网络里,由于为了满足经常变动的无线网络接入端,必定要牺牲安全性来开启这项功能,但是作为家庭无线网络来讲,网络成员相对固定,所以没必要开启这项功能。5.设置MAC地址过滤众所周知,基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址,当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址。通常,许多这类设备都提供对MAC地址的操作,这样我们可以通过建立我们自己的准通过MAC地址列表,来防止非法设备(主机等)接入网络。但是值得一提的是,该方法并不是绝对的有效的,因为我们很容易修改自己电脑网卡的MAC地址,笔者就有一篇文章专门介绍如何修改MAC地址的。6.为你的网络设备分配静态IP由于DHCP服务越来越容易建立,很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患,那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中,我们可以通过为网络成员设备分配固定的IP地址,然后再再路由器上设定允许接入设备IP地址列表,从而可以有效地防止非法入侵,保护你的网络。7.确定位置,隐藏好你的路由器或中继器大家都知道,无线网络路由器或中继器等设备,都是通过无线电波的形式传播数据,而且数据传播都有一个有效的范围。当你的设备覆盖范围,远远超出你家的范围之外的话,那么你就需要考虑一下你的网络安全性了,因为这样的话,黑客可能很容易再你家外登陆到你的家庭无线网络。此外,如果你的邻居也使用了无线网络,那么你还需要考虑一下你的路由器或中继器的覆盖范围是否会与邻居的相重叠,如果重叠的话就会引起冲突,影响你的网络传输,一旦发生这种情况,你就需要为你的路由器或中继器设置一个不同于邻居网络的频段(也称Channel)。根据你自己的家庭,选择好合适有效范围的路由器或中继器,并选择好其安放的位置,一般来讲,安置再家庭最中间的位置是最合适的