導言：作為寫作愛好者，不可錯過為您精心挑選的10篇網絡安全筆記，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內容能為您提供靈感和參考。

篇1

信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。網絡環(huán)境下的信息安全體系是保證信息安全的關鍵，包括計算機安全操作系統(tǒng)、各種安全協(xié)議、安全機制，直至安全系統(tǒng)，其中任何一個安全漏洞便可以威脅全局安全。信息安全服務至少應該包括支持信息網絡安全服務的基本理論，以及基于新一代信息網絡體系結構的網絡安全服務體系結構。

一、網絡信息安全的重要性

網絡信息安全涉及到信息的機密性、完整性、可用性、可控性。它為數據處理系統(tǒng)而采取的技術的和管理的安全保護，保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。信息保障依賴于人和技術實現組織的任務運作，針對技術信息基礎設施的管理活動同樣依賴于這三個因素，穩(wěn)健的信息保障狀態(tài)意味著信息保障和政策、步驟、技術和機制在整個組織的信息基礎設施的所有層面上均能得到實施。

目前，除有線通信外，短波、超短波、微波、衛(wèi)星等無線電通信也正在越來越廣泛地應用。與此同時，國外敵對勢力為了竊取我國的政治、軍事、經濟、科學技術等方面的秘密信息，運用偵察臺、偵察船、衛(wèi)星等手段，形成固定與移動、遠距離與近距離、空中與地面相結合的立體偵察網，截取我通信傳輸中的信息。單一的保密措施己很難保證通信和信息的安全，必須綜合應用各種保密措施。

二、局域網內病毒防治問題

局域網病毒來源主要有以下幾種方式:①從網站下載的軟件帶有病毒:瀏覽網站的時候ActiveX控件帶來的病毒;②安裝程序附帶的流氓軟件:不明郵件帶來的病毒;③移動存儲設備存儲數據傳染病毒等等方式。使用者日常使用時應盡量從正規(guī)網站下載軟件、少瀏覽不正當網站、不明郵件應該盡量不打開等。處理方法主要有以下幾類。

首先:在網關上的網絡層時常進行病毒檢測和掃描，及時清除明顯的病毒封包，對病毒源客戶機進行阻塞與隔離，大規(guī)模爆發(fā)網絡病毒時也能夠有效的隔離病毒疫區(qū)。

其次:監(jiān)測每臺計算機的殺毒軟件安裝情況和病毒庫更新情況，以及操作系統(tǒng)或者其它應用軟件的補丁安裝情況，若發(fā)現客戶機或者服務器存在嚴重的高危險性安全缺陷或者漏洞的話就應該將其暫時斷開網絡，拒絕其接入單位網絡，直至缺陷或漏洞修復完畢，補丁安裝完畢后再將其接入網絡內。

再次:使用U盤、移動硬盤等移動存儲設備傳遞各類數據，已經成為各類病毒傳播的主要途徑之一。由于U盤和移動硬盤使用方便，很多計算機用戶都選擇使用它來進行數據文件的存儲和拷貝，無形中使得U盤和移動硬盤成為這些病毒和惡意木馬程序傳播的媒體，給計算機用戶的數據安全和系統(tǒng)的正常使用帶來很大危害。鑒于通過U盤和移動硬盤傳播的計算機病毒在互聯(lián)網絡上的傳播日趨增多，辦公網絡內用戶可以按照以下幾點，正確安全地使用U盤和移動硬盤進行數據文件的存儲和拷貝。

最后:根據實際情況可進行數據加密，VPN系統(tǒng)VPN(虛擬專用網)可以通過一個公用網絡(通常是互聯(lián)網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。虛擬專用網是對企業(yè)內部網的擴展，可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。它可用于不斷增長的移動用戶的全球互聯(lián)網接入，以實現安全連接;也可用于實現企業(yè)網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網虛擬專用網。

三、實現網絡信息安全的策略

明確等級保護措施。合理劃分安全域，確定各安全域的物理邊界和邏輯邊界，明確不同安全域之間的信任關系。在安全域的網絡邊界建立有效的訪問控制措施。通過安全區(qū)域最大限度地實施數據源隱藏，結構化和縱深化區(qū)域防御，防止和抵御各種網絡攻擊，保證信息系統(tǒng)各個網絡系統(tǒng)的持續(xù)、穩(wěn)定、可靠運行。

1.系統(tǒng)安全策略

對操作系統(tǒng)、數據庫及服務系統(tǒng)進行漏洞修補和安全加固，對關鍵業(yè)務的服務器建立嚴格的審核機制。最大限度解決由操作系統(tǒng)、數據庫系統(tǒng)、服務系統(tǒng)、網絡協(xié)議漏洞帶來的安全問題，解決黑客入侵、非法訪問、系統(tǒng)缺陷、病毒等安全隱患。

2安全管理策略

篇2

隨著我國逐步進入“十三五”規(guī)劃下的社會經濟改革，越來越多的人們通過互聯(lián)網進行購物、娛樂和學習，“互聯(lián)網+”的時代已經來臨。當然，在人們感受到互聯(lián)網帶來的便捷的同時，計算機網絡安全問題面臨的挑戰(zhàn)卻更加嚴峻，這些問題不僅來源于互聯(lián)網自身的多元化的特性，也與社會客觀因素有關，所以分析和處理網絡安全問題是一項十分繁雜的工程，需要對鏈條中的各部分進行嚴格的剖析、處理，才能掌握影響計算機網絡安全的因素，從而對互聯(lián)網安全問題進行有效的解決。

1 新形勢下網絡安全防范的必要性分析

1.1 新時代網絡元素的紛繁復雜

新的歷史時期下，互聯(lián)網在高速發(fā)展的今天已經容納了生活要素的方方面面，人們通過互聯(lián)網購物的同時，將自己的身份信息、交易信息、購物信息等通過互聯(lián)網進行傳遞，互聯(lián)網每天通過傳遞大量的信息，來幫助人們打破時空的限制，增加和提高生活的便捷性，但是僅僅以網絡購物為例，每天就有成千上萬的人們受到網絡詐騙和信息泄露的威脅，所以，雖然互聯(lián)網正在滲透到生活的每個角落，但是由于網絡安全技術的限制，我們的個人信息也隨時面臨著泄露的危險，所以，全面掌握網絡信息安全的復雜因素，對于提高社會安全性和穩(wěn)定性都將有十分重要的作用。

1.2 傳統(tǒng)網絡安全問題的干擾

雖然“互聯(lián)網+”時代的來臨帶來了很多復雜的、前所未有的網絡安全問題，但是，越來越多的統(tǒng)計顯示，影響網絡安全的因素仍然還是以傳統(tǒng)的網絡安全問題為主。這些傳統(tǒng)的網絡安全問題主要可以歸結為如下幾類：第一，網絡病毒威脅。網絡病毒的傳播載體其實是一部分具有破壞原功能的程序代碼，這些代碼通過自我的復制功能不斷地在計算機當中起著破壞功能，這些病毒以宏病毒為代表，其破壞性和傳播性都是非常巨大的。第二，黑客技術。黑客技術是網絡戰(zhàn)爭所引起的一種客觀存在的網絡安全隱患，主要是一些網絡技術人員通過系統(tǒng)中存在的內部缺陷進行專門的代碼設計，來達到對系統(tǒng)或者用戶的非法訪問。黑客技術的應用通常都是在用戶不知情的情況下，進行保密信息的獲取。黑客技術的發(fā)展雖然能夠帶動網絡進一步走向完善化，但是其存在必然造成網絡文明的缺失和網絡安全的威脅。第三，傳統(tǒng)硬件問題的出現。這種問題往往是使用者的不恰當操作或者以硬件設施長時間工作疲勞造成的，其客觀存在在用戶使用當中，也是常見的傳統(tǒng)的網絡安全問題之一。

1.3 數據安全性要求的提高

新的歷史時期下，越來越多的用戶需要通過互聯(lián)網進行貿易往來，甚至很多跨國貿易都是通過互聯(lián)網來完成的，這就對互聯(lián)網的數據安全性提出了更高的要求，如何確保用戶數據的絕對安全，以及如快速何應對數據丟失和泄露時的情況，都需要相關的計算機網絡安全技術的進一步支持，網絡數據安全性的進一步一高，不僅可以有效提高互聯(lián)網的使用頻次，對于互聯(lián)網管理者更加深入了解用戶習慣，改善用戶界面和操作，都有深遠意義。

2 新形勢下網絡安全的防范策略提出

2.1 “雙防”技術的不斷完善

“雙防”技術主要是指防病毒和防火墻技術兩方面。首先，對于防病毒技術，主要是從網絡殺毒軟件入手的，相關設計人員在網絡服務器與用戶之間搭建起能夠有效防止病毒入侵，并快速刪除病毒的程序代碼。當然針對網絡殺毒軟件，技術人員還設計出了單側的殺毒軟件，主要針對已經存在于電腦硬件中的部分病毒代碼，這種單側的殺毒軟件也能很有效地處理存在于端口中的大部分病毒程序。不斷完善各種殺毒軟件的識別庫對于改善網絡安全問題大有裨益。其次，防火墻技術就目前來講已經較為成熟，所謂防火墻技術，就是面向用戶，在用戶與互聯(lián)網之間建立一道防范屏障，確保整個用戶數據的安全性，防火墻技術在多年的發(fā)展過程中，不斷自我完善，增添了監(jiān)察功能，通知功能等，不僅能夠為用戶訪問互聯(lián)網提供建議，還能幫助用戶對非法數據進行快速拒絕。可以說加強“雙防”技術將對大大加強網絡操作的安全性。

2.2 加密技術的深度應用

網絡加密技術是針對用戶的又一項安全措施，類似于防火墻，將互聯(lián)網與用戶通過密匙隔離開來，而只有通過一些特殊編碼的數據或者信息才能達到合法訪問的目的。加密技術可以在黑客或者病毒進行非法訪問時，迅速開啟驅趕模式，對惡意訪問將有十分重要的預防作用。常見的密匙分為兩種：第一種為公鑰加密，這種密匙的主要特點是范圍比較廣，對于大范圍計算機聚集區(qū)（例如辦公場所）比較適用，可以在一定程度上防范非法訪問請求，但是其缺點就是防范響應時間較長。第二種是私鑰加密，這種密匙是在前者的基礎上發(fā)展而來的，對于計算機數據安全要求較高的系統(tǒng)，往往采用私鑰加密進行加密，這種密匙雖然在范圍上不能像前者那樣有廣泛的適用性和認證，但是其快速的響應速度和便捷的實現要求都是其存在的必然條件。

2.3 內部管理意識的加強

互聯(lián)網使用人數的增加，在另一方面體現了互聯(lián)網受到大眾高度的認可程度，但是在網絡元素日益復雜化的今日，需要更多的網絡安全管理人員加入到互聯(lián)網的維護當中，這些技術人員在當今的互聯(lián)網安全當中起著極其重要的作用，其內在素質的要求需要符合當今主流的價值觀念。同時這些人員還要充當向用戶推薦正版軟件的作用，相比正版軟件，盜版的軟件存在很多不確定性，大量的盜版軟件存在不僅會使得用戶自身的數據安全受到威脅，也會使得大的網絡環(huán)境受到不同程度的影響。

參考文獻：

[1]劉可.基于計算機防火墻安全屏障的網絡防范技術[J].電腦知識與技術，2013（06）：1308-1309.

[2]李冬梅.計算機網絡安全技術探析[J].計算機網絡安全技術探析，2014（05）：171-172.

篇3

關鍵詞 電子貨幣 網絡銀行 網絡安全

從1998年招商銀行開通網絡銀行服務后，全國性的商業(yè)銀行紛紛開通了網絡銀行業(yè)務，網上支付和銀行卡支付已經成為目前我國電子支付的主流。2009年全國的支付總量約為1130萬億，其中300萬億元通過各商業(yè)銀行支付系統(tǒng)完成，127萬億元由銀聯(lián)銀行卡系統(tǒng)進行，電子貨幣將成為未來貨幣發(fā)展的主要趨勢，而網絡銀行也將成為今后電子貨幣交易的主要平臺。

一、 電子貨幣與網絡銀行的概念和特點

(一) 電子貨幣的概念

電子貨幣（Electronic Money）是以金融電子化網絡為基礎，以商用電子化機具和各類交易卡為媒介，以電子計算機技術和通信技術為手段，以電子數據（二進制數據）形式存儲在銀行的計算機系統(tǒng)中，并通過計算機網絡系統(tǒng)以電子信息傳遞形式實現流通和支付功能的貨幣。

目前，我國流行的電子貨幣主要有四種類型：

（1）儲值卡型電子貨幣

一般以磁卡或IC卡形式出現，其發(fā)行主體除了商業(yè)銀行之外，還有電信部門、IC企業(yè)、商業(yè)零售企業(yè)、政府機關和學校等。

（2）信用卡應用型電子貨幣

指商業(yè)銀行、信用卡公司等發(fā)行主體發(fā)行的貸記卡或準貸記卡，可在發(fā)行主體規(guī)定的信用額度內貸款消費，之后于規(guī)定時間還款。

（3）存款利用型電子貨幣

主要有借記卡、電子支票等，用于對銀行存款以電子化方式支取現金、轉帳結算、劃撥資金等。

（4）現金模擬型電子貨幣

一種是基于Internet網絡環(huán)境使用的、將代表貨幣價值的二進制數據保管在微機終端硬盤內的電子現金；一種是將貨幣價值保存在IC卡內并可脫離銀行支付系統(tǒng)流通的電子錢包。

(二) 電子貨幣的特點

電子貨幣可以在互聯(lián)網上或通過其他電子通信方式進行支付，沒有物理形態(tài)，為持有者的金融信用?，F階段，電子貨幣與實體貨幣之間以1：1的比率兌換，具備價值尺度和流通手段的基本職能，還有價值保存、儲藏手段、支付手段、世界貨幣等職能。

具體而言，電子貨幣具有以下特點：

（1）依托電子計算機進行儲存、支付和流通

電子貨幣以二進制數據的形式存在，離不開電子計算機，電子貨幣的普及和計算機技術的發(fā)展，促進了網絡銀行的誕生。

（2）可廣泛應用于生產、交換、分配和消費領域

電子貨幣雖然不具有實物形態(tài)，但仍然具備貨幣的基本職能，能夠在社會生產的各個領域發(fā)揮支付和流通手段的職能。

（3）融儲蓄、信貸和非現金結算等多種功能為一體

貨幣電子化使多功能一體化得以實現，也使傳統(tǒng)銀行業(yè)務的辦理更加便捷。

（4）電子貨幣具有使用簡便、安全、迅速、可靠的特征

隨著網絡安全技術的提高，在大額支付領域，電子貨幣比傳統(tǒng)貨幣更加便捷和安全。

（5）以銀行卡（磁卡、智能卡）為媒體

電子貨幣的無形化使其必須以銀行卡等為載體，這也成為電子貨幣區(qū)別于傳統(tǒng)貨幣的一大特點。

(三) 網絡銀行的概念

網絡銀行又稱網上銀行、在線銀行，是指銀行利用Internet技術，通過Internet向客戶提供開戶、銷戶、查詢、對賬、行內轉賬、跨行轉賬、信貸、網上證券、投資理財等傳統(tǒng)服務項目，使客戶可以足不出戶就能夠安全便捷地管理活期和定期存款、支票、信用卡及個人投資等。

網絡銀行業(yè)務可以分為信息服務、中間服務和全面服務三種，目前，我國網絡銀行的服務種類已經涉及到了各個領域。雖然美國網絡銀行的業(yè)務量占銀行業(yè)務量的比例已接近50%，而我國尚不足1%，但隨著我國電子貨幣的普及和網絡的發(fā)展，網絡銀行的發(fā)展前景極為廣闊。

(四) 網絡銀行的特點

銀行是金融系統(tǒng)中的重要機構，而網絡銀行是金融電子化的產物，也是電子貨幣的主要交易場所，是傳統(tǒng)銀行與網絡信息技術相結合的結果，與傳統(tǒng)銀行相比，具有與眾不同的特點：

（1）電子化交易，無紙化經營

電子支票、電子匯票和電子收據代替紙質票據，電子現金、電子錢包、電子信用卡等電子貨幣代替紙幣，交易業(yè)務通過數據通信網絡進行，使無紙化交易在網絡銀行成為現實。

（2）便捷、高效的全方位服務

網上銀行是在Internet上的虛擬銀行柜臺，又被稱為“3A銀行”，能夠在任何時間(Anytime)、任何地點(Anywhere)、以任何方式(Anyway)為客戶提供金融服務，使用戶享受到不受時間、空間限制的全方位服務。

（3）降低成本，保證正常經營

現在零售交易上使用的現金，其成本大概是1.7%左右，而電子貨幣是0.6%左右。網絡銀行采用了虛擬現實信息處理技術，又可以在保證原有業(yè)務量不降低的前提下，減少營業(yè)點的數量，從而使銀行的經營成本大大減少。

（4）簡單易學，方便溝通

網絡的普及使網上交易簡單易學，而E-mail的通信方式也便于客戶與銀行之間以及銀行內部的溝通。

二、 網絡銀行的電子貨幣交易模式及問題

電子貨幣是近年來日益流行的新興貨幣形式，在網絡購物、投資理財等領域發(fā)揮了傳統(tǒng)貨幣不可比擬的重大作用。電子貨幣之所以能夠基本上取代紙幣在貨幣交易系統(tǒng)中流通，一方面由于信息時代對貨幣交易效率的要求，另一方面也由于電子貨幣便捷、易攜帶和安全等優(yōu)點。

（一）現行的電子貨幣交易模式

網絡銀行作為電子貨幣的主要交易場所，其交易模式是網銀用戶和銀行機構普遍關心的問題。目前，我國網絡銀行普遍使用SSL加密技術標準，在技術層面上可以保證數據在傳輸過程中的安全問題。

雖然各商業(yè)銀行的安全認證工具不同，但總體而言，包括密碼、文件數字證書、動態(tài)口令卡、動態(tài)手機口令、移動口令牌和移動數字證書等認證介質。密碼是安全系數最低的認證工具，移動數字證書則是最安全的認證工具，其他認證工具的安全系數基本在80%以上，結合使用能保證基本的安全交易。

（二）網絡銀行的安全交易問題

CNNIC的調查結果顯示，不愿意開通網絡銀行的銀行客戶中，有76%是出于安全考慮；開通網絡銀行的網絡用戶中，有16%對網絡銀行表示不滿意；33%的網購用戶不愿意選擇網銀支付貨款?？梢?，網上銀行的安全性沒有因為其便捷性而被忽視，反而成為了阻礙網絡銀行發(fā)展的一大問題。

目前，網絡銀行存在的安全性問題主要包括以下幾個方面：

1.對實體的威脅和攻擊

各種自然災害、人為破壞以及媒體的失竊和丟失，即針對銀行等金融機構計算機及其外部設備和網絡的威脅和攻擊。

2.對銀行信息的威脅和攻擊

這包括信息泄漏和信息破壞。信息泄漏是指偶然或故意地獲得目標系統(tǒng)中的信息，尤其是敏感信息而造成泄漏事件；信息破壞是指由于偶然事故或人為破壞，使信息的正確性、完整性和可用性受到破壞。

3.計算機犯罪

計算機犯罪是指破壞或者盜竊計算機及其部件或者利用計算機進行貪污、盜竊、侵犯個人隱私等行為，相對于傳統(tǒng)犯罪而言，增長率高，損失更嚴重。

4.計算機病毒

犯罪分子通過計算機病毒入侵網銀用戶以非法獲取個人隱私等，嚴重危及網銀用戶的安全。

三、 網絡銀行的安全交易對策

網絡銀行的安全涉及到網絡平臺的各個方面，按照OSI的七層網絡模型，網絡安全也包括物理層、鏈路層、網絡層、操作系統(tǒng)、應用平臺和應用系統(tǒng)安全等多個方面。雖然OSI只提供了一種抽象模型，但該模型能夠提供五種安全服務：

（1） 鑒別

證明通訊雙方的身份與其申明的身份相一致，這是使用網銀的第一道防線。

（2） 訪問控制

對不同的信息和用戶設定不同的權限，保證只允許經授權的用戶訪問經授權的資源，這是對網銀用戶資料的安全保障。

（3） 數據機密性

保證通訊內容不被他人捕獲，不會泄露敏感的信息，這是對通訊過程的保護。

（4） 數據完整性

保證信息在傳輸過程中不會被他人篡改，也就是電子貨幣在交易過程中不會出現問題。

（5） 不可否認性

證明一條信息已經被發(fā)送和接受，發(fā)送方和接受方都有能力證明接收和發(fā)送的操作確實發(fā)生了，并且能夠確定對方的身份。

為了保證網絡銀行的安全性，必須在不同層次上采取不同的安全技術來保證系統(tǒng)的安全性能，目前被普遍采用的是網絡層安全協(xié)議中的安全套接字協(xié)議（SSL）和安全電子交易標準（SET）。SSL為客戶/服務器會話提供了服務器確認、客戶確認、完整性和機密性等一系列安全服務。

除此之外，網絡層安全技術還包括最廣泛使用的防火墻技術，設立多重防火墻，一方面可以分隔互聯(lián)網與交易服務器，防止互聯(lián)網用戶的非法入侵；另一方面可以分割交易服務器與銀行內部網，有效保護銀行內部網，同時防止內部網對交易服務器的入侵。

在應用層上，信息認證技術是確認交易雙方真實性和傳輸數據準確性的保證，網絡銀行已經采取了基于“RSA公鑰密碼體制”的加密機制、數字簽名機制和用戶登錄密碼等技術，尤其是中行為了防止詐騙推出的手機認證服務，更是為身份認證提供了重重保障。

在除網絡層和應用層的其他層次上，網絡安全技術也不可忽視，總而言之，網絡安全是多層次的，要真正應對網絡銀行電子交易過程中的安全威脅，就要制定多層次、多體系的安全體系，實行24小時實時安全監(jiān)控，隨時進行系統(tǒng)漏洞掃描和實時入侵檢測。

四、 結論

雖然采用電子貨幣支付很便捷，但由于電子貨幣的交易在網絡中主要表現為數據的存儲和傳輸，任何一個環(huán)節(jié)出錯，都會影響數據的真實性和準確性，進而影響電子貨幣的安全交易。

從金融機構角度來說，電子貨幣自身的缺陷和交易過程的風險性不容忽視，尤其是其對金融系統(tǒng)安全的影響，需要金融監(jiān)管部門的重視，更呼喚金融監(jiān)管體系的完善。

從銀行角度來說，繼續(xù)擴大網絡銀行業(yè)務，發(fā)揮電子貨幣交易的巨大作用，但要注意從交易的每個環(huán)節(jié)采取嚴密的安全保護措施，使用高安全級的Web應用服務器，建議嚴密的安全控制體系，全程監(jiān)控，多重認證。

從個人角度來說，要正確認識電子貨幣，運用辯證的觀點看待這一新型貨幣，既不能因為電子貨幣的便捷性而否定現金在交易中的作用，也不能因為電子貨幣的風險性而徹底抵制電子貨幣的交易。在享受便捷的同時，也要重視電子貨幣的安全問題，設置安全可靠的密碼，保護好其他認證工具，保證所有的交易都在安全可靠的網站進行，不隨意泄露個人信息。

參考文獻：

[1][美]瑪麗•J•克羅寧.互聯(lián)網上的銀行與金融.經濟科學出版社.2002.1.

篇4

中國網民規(guī)模與普及率

《報告》顯示，截至2010年12月底，我國網民規(guī)模突破4.5億大關，達到4.57億，較2009 年底增加7330萬人；互聯(lián)網普及率攀升至34.3%，較2009年提高5.4個百分點。我國手機網民規(guī)模達3.03億，較2009年底增加6930萬人。手機網民在總體網民中的比例進一步提高，從2009年末的60.8%提升至66.2%。手機網民較傳統(tǒng)互聯(lián)網網民增幅更大，依然構成拉動中國總體網民規(guī)模攀升的主要動力。我國網民上網設備多樣化發(fā)展，筆記本電腦上網使用率增速最大。2010年，網民使用臺式電腦、手機和筆記本電腦上網的占比分別為78.4%、66.2%和45.7%，與2009年相比，筆記本電腦上網使用率上升最快，增加了15個百分點，手機和臺式電腦上網使用率分別增加5.4%和5%。

雖然我國有線（固網）用戶中寬帶普及率已經高達98.3%，但是全國平均互聯(lián)網平均連接速度僅為100.9 KB/s，遠低于全球平均連接速度（230.4 KB/s）。目前，國內各省中河南、湖南和河北的平均連接速度排名前三，分別為131.2 KB/s，128.2 KB/s和124.5 KB/s。

篇5

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)16-4498-02

Computer Network Safe Protection

LUO Xiao-hui

(Artillery Academy of P.L.A, Hefei 230031, China)

Abstract: The unceasing thorough of informative construction develops , computer safe problem has also become the problem that people pay attention to increasingly, this paper has analysed some existent safe problems of computer network , and has put forward corresponding counter-measure.

Key words: network safety; safety is protected

隨著信息化建設的深入發(fā)展,計算機網絡不斷發(fā)展壯大,隨之而來的網絡安全問題也益發(fā)凸顯。如何采取有效的手段和對策確保計算機網絡安全顯得尤為重要。

1計算機網絡的安全問題

目前,計算機網絡安全存在的主要問題有以下幾個方面:

1.1計算機病毒、木馬和蠕蟲泛濫

計算機病毒是人為編制的具有某種破壞作用的程序,并有隱蔽性、傳播性和破壞性等特征。蠕蟲是一段特別編制的在網絡上傳播并復制自身的代碼。木馬是隱藏在其他正常程序中的代碼,隱蔽地向外發(fā)送信息或提供接口。嚴格地說,病毒、木馬與蠕蟲雖然是不同的,但它們具有一些共同特征,如隱蔽性和傳播性。

1.2安全意識薄弱

隨著計算機和網絡的普及,應用水平有了較大的提高,隨之而來的就是計算機操作人員的安全意識差,隨意使用外來軟件,甚至故意使用黑客軟件對網絡進行掃描和攻擊,這給計算機網絡安全造成了安全隱患。

1.3 防范手段單一

目前,計算機網絡系統(tǒng)病毒防范大都采用軟硬件“防火墻”等一般性技術防范非授權用戶進入,缺少對間諜組織和不法分子用口令破解程序等高技術破壞、竊取手段的特殊防范措施。一些部門對計算機、筆記本電腦、閃存盤及軟盤等辦公設備管理不嚴格。個別單位對計算機網絡安全工作疏于管理,甚至放任自流,檢查、監(jiān)管也多流于形式。

2網絡安全對策

消除網絡安全隱患,增強系統(tǒng)的穩(wěn)固性,應從以下幾個方面下功夫:

2.1 實施網絡信息加密

通過網絡信息加密可以保護網內的數據、文件、口令控制信息和網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。信息加密過程由形形的加密算法來具體實施,它以很小的代價提供很大的安全保護。多數情況下,信急加密是保證信息機密性的惟一方法。計算機網絡時代,信息的加密保護的對象包括傳輸信息和存儲信息,存儲信息又包括網絡共享信息和用戶私有信息。其中,共享信息中包含靜態(tài)信息和數據庫動態(tài)信息兩種形式的保護。

2.2 強化保密安全管理

從以往網絡安全和信息失密事件可知,造成網絡出現安全隱患和信息失密的主要原因是疏于管理、警惕性不高。因此,要根據安全保密管理原則和系統(tǒng)數據保密原則,制定相應的管理制度,并采用相應的規(guī)范將計算機保密管理納入基礎管理內容。堅持對每臺計算機的管理要責任到人,切實形成一級抓一級,一級對一級負責的網絡安全制度。加強移動媒體管理,對辦公用筆記本電腦、移動硬盤、USB閃存盤、光盤、磁盤等,按照類別、等級進行編號,登記造冊,誰使用誰管理、誰負責,切實防止移動媒體失泄密事件發(fā)生。加強檢查監(jiān)督,不定期進行網絡安全檢查,積極倡導安全上網、健康上網的良好風尚,不斷增強遵守網絡安全紀律的自覺性。

2.3 加大信息保密技術應用

加大網絡安全和信息保密的投入,配置網絡監(jiān)測設施,杜絕網絡內部聯(lián)接的隨意性,關閉系統(tǒng)中與現行應用無關的程序,避免網絡資源被盜用;加大對網絡內部、外部非正常活躍主機的監(jiān)管跟蹤。限制受監(jiān)管網絡用戶的自由度;增加網絡信息保密技術和設施上的保障,避免用明碼方式來傳輸保密信息。

2.4 分別保護密級

只要使用網絡來交流信息,就存在安全問題。因此,既要充分了解自己保護什么、在什么地方保護,又要確定保密級別、保密程度、保密日期及對哪些人保密和保密范圍等問題。凡涉及秘密級以上的信息,在沒有絕對技術保障的情況下,不應聯(lián)入網絡,而對那些密級相對較低、交流廣的信息,可充分利用現有的互聯(lián)網絡及相關的網絡安全和信息保密技術來實現。

2.5 采用訪問控制

訪問控制是網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和非法訪問。訪問控制包括入網訪問控制、網絡權限控制、網絡監(jiān)測、鎖定控制、網絡端口和節(jié)點控制以及防火墻控制。入網訪問控制是第一層控制,它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶人網的時間和準許他們在哪個工作站人網;網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施,它控制用戶和用戶組可以訪問哪些目錄和文件,可以指定用戶對這些目錄和文件執(zhí)行哪些操作;網絡監(jiān)測和鎖定控制可使網絡管理員對網絡實施監(jiān)控,記錄用戶對網絡資源訪間,對非法的網絡訪問,服務器應以圖形或文字或聲音形式報普;網絡端口和節(jié)點控制能對網絡服務器的端口自動回呼設備、靜默調制解調器(帶有自動撥號人網的網絡使用)加以保護,并以加密的形式來識別節(jié)點的身份;防火墻控制是一個用以阻止網絡中黑客訪問某個機構網絡的屏障,在網絡邊界上通過建立起來的相應網絡通信監(jiān)控系統(tǒng),來隔離內部和外部網絡,以阻擋外部網絡的侵人。

2.6 加強防范黑客力度

防范黑客必須經常查閱網絡設備主機的安全性漏洞情況的,并及時進行修補。有些漏洞的公布并不是由設備廠家先發(fā)現和的,絕大部分系統(tǒng)如果在大半年內沒有更新安全補丁或修改系統(tǒng)安全參數,那么系統(tǒng)就可能被攻擊.因而要多留意國內外各大安全站點的最新。同時,要大力發(fā)展我國自己的安全產品和網絡設備。目前,我國使用的大部分網絡產品和安全產品都被國外公司所壟斷,而且一些外國公司在設計網絡產品時,沒有抱著對用戶負責的態(tài)度,網絡產品留有不同程度的“后門密碼”,這些“后門密碼”不是黑客安裝的,而是廠家借各種所謂理由設置的。另外,還要全面綜合地設計網絡的安全體系,包括網絡安全拓撲設計、應用平臺的選型、安全防護產品的選型、強有力的入侵檢測和漏洞掃描器、應急措施的制定、完善的人員管理制度、最壞情況的預先估計。

綜上所述,計算機網絡安全不僅僅是技術問題,同時也是一個管理問題。安全技術只是實現網絡系統(tǒng)安全的工具,沒有任何一種安全技術能夠保證網絡系統(tǒng)的絕對安全。隨著信息技術的發(fā)展,網絡安全與信息保密日益引起人們的關注。目前,應依據有關法律法規(guī)及規(guī)章制度,從強化信息計算機網絡安全和信息保密的保障入手,利用不斷發(fā)展的數據加密技術和物理防范技術,分別在軟件和硬件兩方面采取措施,逐步實現計算機信息保密工作管理的制度化和科學化,以確保計算機網絡的信息安全與保密。

參考文獻:

篇6

中圖分類號：TN711 文獻標識碼：A 文章編號：

前言

互聯(lián)網技術的高速發(fā)展改變了人們的生產與生活，促進了經濟與社會發(fā)展進步，在取得顯著成效的同時，信息技術安全是不容忽視的重要問題?；仡櫸覈斍暗幕ヂ?lián)網發(fā)展，和發(fā)達國家相比還有較大差距，雖然也重視了網絡安全技術的開發(fā)與運用，但是受制于人才以及設備、技術等方面的因素，安全防護工作難以達到令人滿意的程度。當前，互聯(lián)網技術與設備更新?lián)Q代的速度不斷加快，病毒攻擊防不勝防，國內互聯(lián)網安全工作現狀不盡如人意。本文主要針對當前常用的網絡攻擊技術以及網絡安全工作進行分析研究。

1、常用的網絡攻擊技術

目前，網絡攻擊方法層出不窮，而且隨著技術的不斷發(fā)展，網絡攻擊日益呈現自動化、低門檻的趨勢，黑客、間諜常采用的網絡攻擊技術。

1.1 有機可乘的系統(tǒng)漏洞

系統(tǒng)漏洞是指應用軟件或操作系統(tǒng)在邏輯設計上的缺陷或在編寫時產生的錯誤，這些缺陷或錯誤可以被間諜利用以獲取遠程計算機的控制權，輕易竊取遠程計算機中的重要資料。其主要方式是以口令為攻擊目標，進行猜測破譯，或避開口令驗證，冒充合法用戶潛入目標計算機，取得對計算機的控制權。盡管通過“打補丁”的方式可以緩解由“漏洞”引起的問題，但是大多數人沒有及時“打補丁”的意識，可能造成計算機系統(tǒng)長期存在系統(tǒng)漏洞，這就給網絡間諜以可乘之機。例如，網絡掃描技術就是通過在Internet 上進行廣泛搜索，以找出特定計算機或軟件中的弱點。

1.2 里應外合的“木馬”

“木馬”是一種隱蔽的遠程控制軟件。計算機木馬程序一般由兩個部分組成：木馬和控守中心。為了防止安全人員的追蹤，往往再增加一個部分：跳板。它是木馬與控守中心通信的橋梁，一般也是被攻擊者控制的機器，木馬通過跳板與控守中心聯(lián)系，擁有控守中心的人就可以通過網絡控制你的計算機，了解你的一舉一動，捕獲每一次鍵擊事件，輕松竊取密碼、目錄路徑、驅動器映射，甚至個人通信方面的信息及一切文檔內容。如果你的機器上還帶有麥克風或攝像頭，那么竊聽你的所有談話內容和捕獲一切視頻流量對它來說也是舉手之勞。

由于計算機系統(tǒng)本身存在的漏洞或使用者的安全意識不足，導致“木馬”可以通過多種方式進入上網計算機。比如在瀏覽網頁時，可潛伏在鏈接和圖片中；收郵件時，可藏在附件里；下載程序時，可把自己和程序合并為一體。很多木馬還會采用隱藏技術，如有的木馬把名字改為window.exe，不熟悉系統(tǒng)的人根本不敢刪除；還有的通過代碼注入和dll插入技術，潛伏在系統(tǒng)進程如svchost.exe 或explorer.exe 中，從防火墻的監(jiān)控日志中很難判斷是正常連接還是惡意連接，由此，采用不同隱藏技術的木馬就神不知鬼不覺地穿過了防火墻與控守中心通信了。據有關部門統(tǒng)計，“木馬”攻擊占全部病毒破壞事件的90%，僅2007 年上半年，境外就有近8萬臺主機對我境內計算機進行過木馬攻擊，我境內有近一百萬臺計算機被植入“木馬”。

1.3 監(jiān)聽網絡數據的嗅探器

網絡嗅探即網絡監(jiān)聽，是一種可以利用計算機網絡共享通訊通道進行數據捕獲的技術。嗅探偵聽主要有兩種途徑，一種是將偵聽工具軟件放到網絡連接的設備或可以控制網絡連接設備的電腦上，比如網關服務器、路由器；另外一種是針對不安全的局域網，放到個人電腦上就可以實現對整個局域網的偵聽。由于在一個普通的網絡環(huán)境中，賬號和口令等很多信息以明文方式傳輸，一旦入侵者獲得其中一臺主機的管理員權限，就可以竊聽到流經整個局域網的數據，并有可能入侵網絡中的所有計算機。網絡監(jiān)聽軟件可以監(jiān)聽的內容包羅萬象，從賬戶密碼到聊天記錄，從電子郵件到網頁內容。不久前，一款MSN 的監(jiān)聽軟件在互聯(lián)網上盛行，只要下載安裝這個軟件，任何一個普通人都能在網上監(jiān)聽本地局域網內所有人的MSN 聊天內容。

1.4 不知不覺竊走隱私的“擺渡”病毒

“擺渡”病毒以移動存儲設備為媒介，在電腦間傳播。據傳該病毒是美國中情局授意微軟特意留下的漏洞，與系統(tǒng)結合，具有消息阻塞功能，目前沒有任何殺毒軟件能偵測該病毒。以U盤為例，通過互聯(lián)網或其它途徑，使U盤感染“擺渡”病毒，當U盤插入計算機時，在無任何操作和顯示的情況下，U盤內的“擺渡”病毒按事先設定好的竊密策略，將文件從機中復制到U盤隱藏目錄下。一旦此U盤再次插入上網計算機，文件就會被“擺渡”病毒轉移至上網計算機中，竊密者即可實施遠程竊密。

1.5 偷窺電子郵件的食肉動物

寫好的電子郵件發(fā)送到互聯(lián)網上后，它將被發(fā)至服務商的郵件服務器中暫存一段時間，經過分揀發(fā)往下一目標，在經歷了多個郵件服務器后，才會到達收件人的郵箱中。可見，所發(fā)出的電子郵件從進入互聯(lián)網開始，就有可能被一些管理著郵件服務器的人員看到。由美國聯(lián)邦調查局開發(fā)的“食肉動物”就是一個安裝在郵件服務器中的郵件監(jiān)視系統(tǒng)，它能監(jiān)控服務器上發(fā)出和接收到的所有郵件，并從中獵取各種重要信息，比電話竊聽器還危險。這種系統(tǒng)為美國政府掌握，對其情報收集不愧為一把利器，如果誰想用電子郵件來傳遞信息，簡直無異于“自投羅網”。

1.6 無線互聯(lián)功能的計算機及其設備竊密

具有無線上網功能的計算機及無線鍵盤、無線鼠標等無線設備，如果采用開放的信號傳輸，任何具有接收功能的設備都可接收到其傳輸的信息，即使采用了加密技術也能被破解。

當前，英特爾公司推出的迅馳移動計算技術已成為主流高端筆記本電腦的標準配置，這種筆記本電腦具有自動尋址、聯(lián)網功能，無需外加模塊就能以對等方式與其它有此功能的筆記本電腦無線互聯(lián)，也能以接入方式通過無線交換機組成無線網絡系統(tǒng)，無線聯(lián)接的有效距離近百米。如用使用這種筆記本處理信息，可以被其它筆記本或無線交換機聯(lián)通，導致信息被竊取，并且不易察覺；如果作為終端接入網絡，在工作時被其它筆記本無線聯(lián)通，將使整個網絡的信息都面臨被竊取的危險；而安裝有Windows操作系統(tǒng)并具有無線聯(lián)網功能的筆記本電腦即使不處理信息，只要上互聯(lián)網或被無線互聯(lián)，就有可能通過空口令、弱口令及IPC 共享等漏洞被取得控制權，進而將麥克風打開，使筆記本電腦變成竊聽器，造成泄密[4]。一些安裝有無線網卡、具備無線上網功能的臺式計算機同樣存在以上隱患。

2.提高網絡攻擊防衛(wèi)能力的措施

2.1 完善網絡安全管理。

要進一步完善計算機與網絡管理的制度，強化主動預防，凡是計算機均要嚴格按照物理隔絕以及網絡防御要求落實到位。凡是補丁程序要及時安裝，提高計算機系統(tǒng)的防御水平，要借助于網絡安全管理制度的落實來提高安全管理水平。

2.2 加大軟件研發(fā)力度。

針對當前出現的各種網絡攻擊行為，國家安全部門以及信息研發(fā)機構要強化軟件研發(fā)力度，變被動為主動，開發(fā)研制各種防御性軟件技術。同時，要立足于網絡攻擊的環(huán)節(jié)、特點，開展針對性的研究工作，提高網絡防御研究的針對性，還要具有研究的前瞻性，針對可能出現攻擊的薄弱環(huán)節(jié)進行超前研究，防患于未然。

2.3 強化人員技術培訓。

要對相關計算機操作使用崗位的人員進行防網絡攻擊專門業(yè)務培訓，對于不同類型、級別的計算機防網絡攻擊工作，實施相應的培訓，同時要開展防御知識普及工作，提高全民防網絡攻擊意識與能力水平。

結束語

綜上所述，在當前信息化社會背景下，網絡攻擊行為不可避免，國內相關機構與群眾應當提高防御意識，掌握基本技術與手段，保護好信息安全，將因信息失密造成的損失降到最低。

篇7

中圖分類號：TN925

現在，互聯(lián)網以成為人們不可或缺的重要工具和載體，更多的用戶正在擺脫傳統(tǒng)的有線上網方式，轉而應用各類無線終端來獲取信息或互動服務。近幾年，越來越多的無線訪問接入點更加普及，各類無線路由器正在單位或家庭發(fā)揮著重要的作用，無線網絡的接入給人們帶來了更多便利，但是無線網絡也存在許多不安全因素。基于此，下面就無線網絡安全所面臨的問題進行探討。

筆記本大都具備無線網絡模塊，辦公及家庭環(huán)境中的無線網絡需求正進一步增加。人們都希望借助筆記本或手機隨時接入互聯(lián)網，所以，無線網絡得到了廣泛的普及。無線網絡普遍采用公共電磁波式的發(fā)送方式，與早期的交換機有類似指出，接入網絡的用戶都會在該無線局域網中獲取或竊取信息。借助專用的抓包工具，進行處理后，可以借機免費上網甚至進入網內的服務器。幾年前，wpa的加密方式已經被破解了。近期，有些分布式解密破解工具，正在試圖實現對wpa無線網絡密鑰的破解。軟件功能的日益強大，使得無線網絡受到較大威脅。

1 無線網絡的常見類型

依據網絡傳授速率、輻射范圍和應用放馬的不同，無線網絡主要包括無線廣域網、城域網、局域網和個域網等。

1.1 Wireless Wide AreaNetwork即為無線廣域網，是借助通訊衛(wèi)星傳輸數據的網絡，覆蓋范圍非常大。常見技術有3G、4G網絡，傳輸速率可以達到2MB/S以上。因為3G更趨于成熟化，許多國際上組織逐步發(fā)展傳輸速率更高、更為靈活的4G網絡。

1.2 Wireless Metropolitan AreaNetwork即為無線城域網，是指通過移動電話或者車在設備實現數據通訊的方式，通常能覆蓋一個城市。

1.3 Wireless Local Area Network即為無限局域網，其覆蓋范圍相對較小。數據傳輸在11M到56MB/S之間。有效傳輸距離再100M以內。傳統(tǒng)技術是IEEE802.11和HomeRF無線標準。IEEE802.11涵蓋802.11b/a/g的無限網絡表彰，可以支持校園網或辦公網的數據傳輸。

1.4 Wireless Personal Area Network即為無線個域網，一般是個人筆記本中的無線模塊間的網絡。傳輸距離在十幾米之內，常見保證是IEEE 802.15、藍牙等，傳輸速率可以達到0Mb/s。藍牙的工作頻段為2.4GHz，成本低，短距離傳輸數據較為方便，支持多達7個無線設備。IEEE802.15也支持Wireless Sensor Networks范圍內的無線節(jié)點的通訊。

1.5 Wireless Body Area Network即為無線體域網，主要應用于醫(yī)療、娛樂和軍事范圍內的無線環(huán)境，可以在人體體表或體內嵌入的傳感器上實現無線通訊。Wireless Body Area Network比Wireless Personal Area Network Communication Technologies傳輸距離短，這是無線域網的主要特征之一。

2 現實中無線局域網面臨的安全隱患

無線網在開放的空間在傳輸數據，因此，只要具備恰當的無線終端，即可在信號可及的范圍內接入無線網絡。也正因為如此，無線網絡存在以下安全隱患：

2.1 非法用戶接入的隱患。視窗系統(tǒng)集成了自搜索無線信號的模塊，只要對于此有常規(guī)的知識，對于安全等級較低或沒有安全設置的網絡，非法用戶即可輕易進入該無線網絡。接入后，非法用戶可以擠占合法用戶的帶寬，甚至修改路由器的設置，造成正常用戶無法接入，甚至造成用戶的信息被非法用戶竊取。

2.2 非法接入點的安全隱患。無線局域網訪問簡單、設置方便，普通人都可以自行購買無線接入點，繞過授權而進入網絡。用戶在應用方便的目的的驅使下，自行安裝Access Point，非法進入無線網，在該Access Point范圍內的任何人都能進入無線網，這就對網絡造成了極大的隱患。

2.3 數據安全隱患。無線信號通過開放性空間傳遞，非法用戶獲取無線網絡信號后，可能會進行以下不安全設置：一是破解無線網絡安全規(guī)則，顯示Service Set Identifier，突破wpa加密，取消mac過濾，造成門戶大開。二是竊取傳輸數據。非法用戶可以借助Ethereal等網絡工具偵聽通信數據，進而破壞信息的傳遞等。

3 無線網絡安全技術措施

為了消減無線網絡中的安全隱患，許多安全技術也逐步應用起來，比如過濾物理地址、匹配SSID、控制訪問端口等。此類技術都依據網絡的認證性、完整性等核心要素進行防護。其他還有密鑰管理等機制，來擴展安全措施。

3.1 無線網絡匿名身份雙向認證。無線網絡通訊雙方通訊之前要進行幾名身份雙向認證，FA和MIN是通訊的雙方，MIN對FA的認證是通過MIN對HA的認證和HA對FA的認證來構成。依托公鑰協(xié)議實現HA和FA的雙向認證，時間戳記和簽名以HA對MIN臨時身份的對應協(xié)定來認證MIN的有效身份。以雙線程的特性實現認證。

3.2 引入會話密鑰的有效及時性。FA和MIN的會話密鑰E都是上次會話階段MIN選定的隨機值ram憑借Ek=H 3（bi-1||ki-1）測試得出，每次通訊時密鑰都不一樣，凸顯每密一換，也依次確保會話密鑰的有效及時性。

3.3 過濾物理地址。每個網卡的物理地址都是唯一的，可以在路由器中設置多個允許訪問的物理地址表，實現物理地址的過濾。該方法適合于接入點不多的情況，而且非法用戶也可以修改物理地址來達到入侵無線網絡的效果，所以，過濾物理地址并非安全有效的防范措施。

3.4 服務區(qū)標識符（SSID）匹配?？梢越柚諈^(qū)標識符設置，對用戶群體進行分組，避免漫游方面的安全隱患。因為客戶端要與接入熱點的服務區(qū)標識符相同，才可以接入。另外可以隱藏access point和服務區(qū)標識符來實現保密。所以服務區(qū)標識符加上密碼認證的方式，可以實現安全防護。

3.5 端口訪問控制技術。該技術依據端口訪問控制管理協(xié)議機制，在物理層和物理地址層控制接入設備，關聯(lián)無線訪問點和工作站后，如果802.1x認證通過，就可以為熱點放開這個端口，如果沒有通過，就不授權訪問。

4 結束語

無線網絡技術在不斷發(fā)展，所帶來的安全隱患也層出不窮。要不斷研究并應用新型的安全防范措施，才能保障網絡的安全和訪問的暢通。

參考文獻：

[1]李林，劉毅，楊駿.無線網絡安全風險評估方法的應用研究[J].計算機仿真，2011（09）：147-150.

[2]樊昕.淺談鄉(xiāng)村網絡發(fā)展新趨勢[J].農家之友（理論版），2008（05）：3.

[3]池水明，孫斌.無線網絡安全風險及防范技術芻議[J].信息網絡安全，2012（03）：25-27.

篇8

2.供電公司網絡安全的解決途徑

交換機在接入后，IEEE802.1x協(xié)議將會生效，并從Radius服務器中認證用戶。802.1x計算機客戶端軟件在一般狀態(tài)下，與終端接換機接入后，802.1x協(xié)議則會生效，并設定各個端口只能夠認證通過一臺終端。對于相同的HUB和交換，因其不能提供協(xié)議認證端口，能夠進行暫時性的uilt-auth認證，從而確保通過所有終端認證。交換機更換后，取消端口認證，并配置下級交換機認證。將Radius服務器設置于信息中心，從而確保Radius服務器工作的可靠性，并保證2臺以上的Radius服務器，使其實現賬號的自動同步。在配置交換機時，對各個端口的MAC地址數量進行嚴格控制，設置值默認為1。通過對登陸交換機進行檢查，確定HUB的端口，通過分線的方法達到接入要求，也可用管理交換機替換原來的HUB，從而確保交換機接入端口僅僅存在一臺認證通過的終端與網絡相互連接，也可下接設備為802.1x接入認證提供支持。Cisco交換機與終端端口相互連接后，會將BPDUGUARD功能啟動，進而避免計算機端口與HUB或交換機隨意連接，進而形成網絡環(huán)路。在網絡監(jiān)察過程中，終端可能并未打開，這就容易形成端口與多臺計算機相互連接的現象，需要進行嚴格控制，在其他終端開機后，無法實現網絡連接。信息中心技術支持人員需要配置交換機，保證其與網絡的順利連接。在交換機端口與管理交換機相互連接，而非終端時，需要將BPDPGUARD功能關閉，避免交換機端口的自動關閉。建立每個VLAN獨立的ACL并應用后，實現VLAN之間三層隔離的目標。因為目前的業(yè)務主要體現為信息中心機房內，因而VLAN只能夠訪問信息中心服務器，且不限制訪問其他兄弟單位網絡。自動綁定交換機端口和MAC地址，通過“port-securitymaximum”對所有交換機端口接入終端的數量進行控制。利用DHCP服務器內的IP地址保留方式，綁定MAC地址和IP地址，而且，在開啟交換機DAI功能后，只能允許終端以過DHCP方式獲取IP地址，避免終端手動指定IP地址，進而出現IP地址沖突或是盜用問題。聯(lián)合應用DAI和DHCPSnooping，有助于ARP攻擊的控制。以保留IP的形式在DHCP服務器上對IP地址進行重新分配，從而實現綁定IP地址和MAC地址的目標。為了對非法DHCP服務器進行限制，應控制交換機，確保全部終端均獲得合法DHCP服務器的地址。少數計算機需要經常性與各個VLAN網絡接入，應實現VLAN內各個IP地址的分配。

篇9

第二，ARP攻擊的有效預防。供電公司對于這一問題的規(guī)定為：將DHCPSnooping應用于全部供電設備，DAI應用于全部新設備，避免受到ARP攻擊。通過保留IP的形式，通過DHCP服務器分配地址。

第三，HUB（HUB是一個多端口的轉發(fā)器，當以HUB為中心設備時，網絡中某條線路產生了故障，并不影響其他線路的工作）的混接控制。該現象所導致的安全隱患表現為：供電公司的網絡與路由器、HUB等設備相互連接，這就容易增加用戶用電的困難。供電網絡安全改造過程中，利用人工檢查與網管系統(tǒng)相結合的方式，確定相關的UB端口，一次接入，將HUB這一環(huán)節(jié)撤銷，保證增加端口，經8換機網管，替代傳統(tǒng)設備，保證網絡與全部交換機接入端口相互連接。第四，為多個部門建立Radius服務器的賬號。供電公司對于這一問題的規(guī)定為：建立獨立的桌面管理系統(tǒng)數據庫或是部門之間關聯(lián)的數據庫，驗證全部部門用戶密碼和賬戶基本相同。第五，網絡接入認證，確保桌面管理系統(tǒng)的安裝率。供電公司對于這一問題的規(guī)定為：桌面管理系統(tǒng)安裝率100%，嚴格認證網絡和計算機之間的連接。其主要的安全問題是：不安裝桌面客戶端的電腦，電腦終端會自動化分和修復VLAN，訪問服務器，自動將客戶端、殺毒軟件和補丁安裝在電腦上?？蛻舳税惭b后，各部門可以由客戶端進入并選擇，則獲取其中的地址和系統(tǒng)用戶名。

2供電公司網絡安全的解決途徑

交換機在接入后，IEEE802.1x協(xié)議將會生效，并從Radius服務器中認證用戶。802.1x計算機客戶端軟件在一般狀態(tài)下，與終端接換機接入后，802.1x協(xié)議則會生效，并設定各個端口只能夠認證通過一臺終端。對于相同的HUB和交換，因其不能提供協(xié)議認證端口，能夠進行暫時性的uilt-auth認證，從而確保通過所有終端認證。交換機更換后，取消端口認證，并配置下級交換機認證。將Radius服務器設置于信息中心，從而確保Radius服務器工作的可靠性，并保證2臺以上的Radius服務器，使其實現賬號的自動同步。在配置交換機時，對各個端口的MAC地址數量進行嚴格控制，設置值默認為1。通過對登陸交換機進行檢查，確定HUB的端口，通過分線的方法達到接入要求，也可用管理交換機替換原來的HUB，從而確保交換機接入端口僅僅存在一臺認證通過的終端與網絡相互連接，也可下接設備為802.1x接入認證提供支持。Cisco交換機與終端端口相互連接后，會將BPDUGUARD功能啟動，進而避免計算機端口與HUB或交換機隨意連接，進而形成網絡環(huán)路。在網絡監(jiān)察過程中，終端可能并未打開，這就容易形成端口與多臺計算機相互連接的現象，需要進行嚴格控制，在其他終端開機后，無法實現網絡連接。信息中心技術支持人員需要配置交換機，保證其與網絡的順利連接。在交換機端口與管理交換機相互連接，而非終端時，需要將BPDPGUARD功能關閉，避免交換機端口的自動關閉。

建立每個VLAN獨立的ACL并應用后，實現VLAN之間三層隔離的目標。因為目前的業(yè)務主要體現為信息中心機房內，因而VLAN只能夠訪問信息中心服務器，且不限制訪問其他兄弟單位網絡。自動綁定交換機端口和MAC地址，通過“port-securitymaximum”對所有交換機端口接入終端的數量進行控制。利用DHCP服務器內的IP地址保留方式，綁定MAC地址和IP地址，而且，在開啟交換機DAI功能后，只能允許終端以過DHCP方式獲取IP地址，避免終端手動指定IP地址，進而出現IP地址沖突或是盜用問題。聯(lián)合應用DAI和DHCPSnooping，有助于ARP攻擊的控制。以保留IP的形式在DHCP服務器上對IP地址進行重新分配，從而實現綁定IP地址和MAC地址的目標。為了對非法DHCP服務器進行限制，應控制交換機，確保全部終端均獲得合法DHCP服務器的地址。少數計算機需要經常性與各個VLAN網絡接入，應實現VLAN內各個IP地址的分配。

篇10

隨著社會信息化的快速發(fā)展，學校的教學與管理也面臨著巨大的機遇和挑戰(zhàn)，如何充分利用信息化技術，加快實現信息化教學進程，是目前學校管理的重要問題。特別是手機的普及，學何如何讓學生利用手機設備進行教學呢。很多多學校采用反轉課堂模式，課下讓同學們提前學習，如何能夠保證手機流量呢，很多學校采取了無線Wifi全覆蓋。無線WIFI的設備每年都在不斷的更新，作為學校的網絡管理員，對于構建一個穩(wěn)定、安全、高效的無線網絡環(huán)境，是每個管理者都需要面對和解決若干問題。以下的內容重點探討如何對無線網絡進行規(guī)范和管理。

一、無線Wifi設計原則

一是實用性。在設計過程中遵循面向應用的原則，注重應用的實際效果，首先是最先使用的要覆蓋，對不著急用的，可以慢慢的完善。不需要設計不實用的無線網絡，也不要設計利用率真不高的網絡。

二是安全性?，F在的網絡安全已上升到國家層面，所以網絡安全是首位的，設計的網絡必須有高度的安全機制，要有靈活的權限設置，有專人管理，防止別人非法入侵和機密泄露。

三是先進性。采用先進成熟的網絡概念、技術、方法與設備，反映當今先進水平，又給未來的發(fā)展留有余地;充分采用目前國際、國內流行和成熟的技術，保證網絡能適應技術的快速發(fā)展。

四是可靠性。系統(tǒng)必須可靠運行，主要的、關鍵的設備應有冗余，一旦系統(tǒng)某些部分出現故障，應能很快恢復工作，并且不能造成任何損失。

二、設備選型

（一）校園無線網絡的覆蓋范圍與相關設備的選型

根據學校的硬件與場地配置，對校區(qū)范圍內現場進行觀察規(guī)劃，確定主要分為室內和室外，室外的公共區(qū)域無線覆蓋選用高功率AP（WA-3000-N），能夠提供500mW的大功率輸出。標準反極性SMA天線接口，可按需求配置不同外接天 線或接入室分網絡進行無線覆蓋。最高支持1500Mbps的傳輸速率，胖瘦一體，支持標準POE供電，能夠進行AC集中管控和POE集中供電。

室內AP采用吸頂式：需要采用一體化吸頂式設計， 可以便捷的安裝于各類天花板上，不破壞室內原有裝修設計。內置的 IEEE 802.11b/g/n無線模塊，最高支持300Mbps傳輸速率，可連接筆記本、平板電腦、智能手機等無線終端設備。內置天線的設計，使其外 觀能夠更好的和室內裝修融合。無線AC采用H3C WX6100E，提供對網絡內的用戶控制管理、快速漫游、超強的Qos， 采用WPA/WPA2和802.1X認證相結合的方式AES、TKIP以及WEP加密等手段方式增強了無線網絡安全，以實現對整個網絡的管理和安全策略。

（二）無線接入方式

無線Wifi網絡主要是為在校師生提供無線接入服務，由于無線覆蓋的廣泛性，使用者身份的不確定，防止非法身份的客戶登陸，只有獲得授權的網絡用戶可以使用;無線認證需要具備便捷、快速、認證多元化等要素，具體需要實現如下功能：無線接入終端采用PORTAL方式，推送WEB頁面，將用戶強制引導至指定網頁（企業(yè)活動宣傳、接入認證），并對智能手機、平板電腦、筆記本電腦分別推送不同的內容;對WEB認證網頁進行在線定制管理，根據不同區(qū)域認證策略提供獨立的

三、無線接入的網絡安全管理

網絡的安全需要保證用戶、設備、安全、信息安全等的安全。這個為了保證用戶的安全，我們上網的保護是濕法磷酸技術和預共享密鑰的使用，克服了WEP認證的缺陷，和容易發(fā)生泄露，包括身份驗證、算法的加密和完整性和一系列的安全解決方案。這個對于室內安裝的AP，放在室內高處，訪問控制和報警系統(tǒng)的AP，確保設備安全;在屋頂和墻高AP室外安裝，通過POE模式供電，與802.af協(xié)議，通過網絡電纜傳輸數據和電源的同時，減少系統(tǒng)布線成本增加網絡安全與穩(wěn)定。

WIFI網絡作為移動互聯(lián)網的主要構成部分，在信息化時代，幾乎每個人都需要接入 網絡獲取信息、移動辦公、學習等。隨著智能手機、平板電腦等智能終端的不斷普及，傳統(tǒng)的有線接入方式早已無法滿足現階段網絡需求，WIFI網絡的普及對校 園信息化建設，教師移動辦公等方面起到了很大的助力作用。

參考文獻：