网络安全加固措施篇1
关键词:电力二次系统安全防护具体措施
中图分类号:F406文献标识码:a文章编号:电力行业信息化技术的逐步提高,使得内部信息网具备跨地区、全行业覆盖的功能更突出。电力行业信息技术的进步,是计算机网络成为加入电网调度机构后发挥的重大作用。以目前的发展趋势,电力行业对网络的依赖性越来越大,为杜绝网络共计的危险,电力二次系统被提高到重要层面,已经成为有效抵制各种形式网络攻击的基本保障。
1.二次系统安全防护现状
近年来随着电力行业二次系统安全防护项目的发展,信息化应用日趋增强,电力网络安全问题也变得更为重要。目前电力安全系统涉及到发电行业各个环节,我国现实现了国调、网调、省调和县调五级。发电厂生产控制区业务系统接入调度数据网及相应调度数据网边界的安全防护。电网规模不停扩充,自动化系统需求增大,完善电力二次系统安全成为了必须。
1.1系统硬件平台现状
emS系统硬件平台是十分成熟的电网管理平台,它不仅负担着电网实时监测、控制、处理、Soe等任务,而且有电压无功优化管理、状态分析、负荷预测、调度员潮流分析等功能,还成为DmiS系统整合的有力支撑。火电厂的DCS、nCS、或eCS监控系统通过SiS系统与调度emS系统相连,火力发电厂的aGC、aVC则直接与调度emS系统相连,参与有功无功的远程控制。对于厂内二次系统,除了做好备份和计算机管理方面的工作外,更重要的是运用防病毒软件作为日常安全保障的重要手段,那么专用于电力系统的病毒升级服务器配备就显得尤为重要,渐渐被提上日程。
1.2系统软件平台现状
系统软件平台emS系统是功能一体化的系统,其网络结构是以总线连接两层交换机的构架,负荷很重,交换流量也过大,很易形成数据通信问题,甚至出现主程序会自主关闭现象。火电厂内部监控系统则通过标准协议(tCp/ip)全封闭系统,应杜绝外部访问。
2.二次防护系统加固措施实践
采用自加固和专业安全加固两种形式对电力系统进行加固,能够对电力系统日常维护和专业评估后的漏洞起到修补的安全加固作用。
2.1基于数据单向迁移的横向隔离措施
按照“安全分区、网络专用、横向隔离、纵向认证”原则,emS系统基于LinUX操作系统服务器单向迁移数据镜像于web服务器生成页面,给信息管理大区的业务用户使用。
Linux系统可实现对个体文件、任务进行加密处理,更加可靠。可是web服务器在身份认证和权限管理方面无有效措施,Linux系统中的SamBa服务使web服务器在直接面向与inteRnet互联的miS网络时,给HaCKeR攻击和病毒入侵提供了侵入机会。有效结合软硬件的安全隔离措施应被广泛使用,才能在共享网络数据时对侵入的非法信息进行阻断。
2.2基于认证加密技术的纵向防护措施
采用ip认证加密装置间的相互认证来实现安全Ⅰ/Ⅱ区内部的纵向通信过程。有如下方面:ip认证加密装置之间支持基于数字证书的认证,支持定向认证加密;对传输的数据通过数据签名与加密进行数据机密性、完整性保护;支持透明工作方式与网关工作方式;具有基于ip、传输协议、应用端口号的综合报文过滤与访问控制功能;实现装置之间智能协调,动态调整安全策略;具有nat功能。
2.3系统的网络访问控制措施
网络各节点全面控制措施可以从五个方面来实现:
(1)强化口令管理:如果设置的口令较易被破解就需要加强口令管理控制。因为emS系统口令若被人盗用,会对电力二次系统和电网的安全运行形成危害,后果不堪设想。
(2)禁用不必要服务:诸如Finger、BootpServer、proxyarp等出场缺省服务,在路由器上,对于Snmp、DHCp以及web不必须的管理服务等能关闭的就关闭。
(3)禁用远程访问:远程访问控制计算机必然泄露系统信息,在链接过程中难免有病毒侵入系统,所以应完全避免。
(4)控制流量有限进入网络:路由器通常会成为DoS攻击的目标,没有ip地址的包,一切外来的和仿冒内部的包都不要随意下载、打开使用。此外,用户还可以采取增加SYnaCK队列长度、缩短aCK超时等措施来保护路由器免受tCpSYn的攻击。
2.4数据库管理与安全审计措施
数据库管理要着重emS系统管理,其数据资源受到设备物理防护,而无法避免人为因素破坏。因而用户应该采取必要措施加以防范。比如明确系统维护人员、调度操作人员、设备巡视人员职责权限,实现口令管理,同时在系统中用LoG.tXt记录人员访问操作信息。严格口令管理制度,严禁无关人员使用工作人员口令、权限,并健全相关处罚措施。
2.5防病毒措施
防病毒措施的关键就是防病毒软件的使用。专业病毒软件的使用和定期更新是防范的重点,而因为更新需要插入的移动设备必须要率先排除染毒可能。也就需要固定的专门的病毒升级服务器,它可设立在安全iii区,采用LinUX系统平台,加装防毒软件,成为独立的病毒升级机,先用本机杀毒而后经过物理隔离设备供给总线结构连接的emS网络各设备,来实现系统设备病毒库的安全升级。
此外,emS提供的i/o设备是一大隐患,能封存该设备就要加以封存,防范因此造成的系统崩溃等故障。
2.6制度管理措施
严格专人负责制,成立专门的安全防护领导小组和监督工作组,负责本单位二次系统安全防护的组织管理和具体工作。做好重要应用系统软件、数据的备份,确保在数据损坏、系统崩溃情况下快速恢复数据与系统。有专人查看iDS入侵检测系统运行日志,及时处理网络异常。
2.7其它加固措施
程序安全措施、安全细化评估、数据的备份和恢复、入侵检测iDS等手段都可作为加固措施进行配置。
结束语:
计算机网络的安全是和电力生产安全连为一体的,只有运用健全的网络安全管理技术和完备的管理方法,加强日常管理监督,不断应用新技术对电力安全系统进行更新,才能成为电力行业安全防护最好的保障。
参考文献:
网络安全加固措施篇2
其实,早在2002年天津就开始建设全市的电子政务专网了,这是一个与互联网物理隔离,全市四大机构系统互联互通的统一的电子政务平台,400多家副局级以上的机构和企业都要在这个平台上进行业务协同办公和互联互通的工作。
在2004年年初的时候,这个网络全面建成,最终形成了五个核心节点、30个会议节点、400个接入节点的网络结构。在这个网上现在已有九大系统在运行,在实际应用当中,包括党政业务虚拟专网、政府业务专网,还有工商、地税、社保、国税等进行联网,形成真正的信息交换和协同办公。而这样的信息交换和协同办公是在不同的安全等级上进行的,业务协同的安全需求也是不同的。
因此,在从2005年10月开始的试点工作过程中,等级保护在其基于电子政务专网统一的信息安全保障体系中就显得十分重要。天津运用风险评估等方法,对试点系统分别进行系统调研评估、等级确定、安全域划分、建立各系统的分域保护框架,并根据各系统的风险列表、安全需求与等级要求,规定和设计各试点系统的安全措施。
而安全保障框架主要由专网安全基础设施、应用系统安全措施和安全管理保障措施构成。由安全平台系统、边界访问控制系统、设备aaa认证管理系统、监控检测系统、容灾备份系统、Vpn系统等组成的安全基础设施是整个体系的核心,也是各级应用安全的基础。与此同时,也加入了统一身份认证、授权管理系统等应用系统安全措施。
通过等级保护,结合相应的安全措施,天津市的试点系统完成了专网统一平台上安全可靠的互联互通,并建立了电子政务专网安全保障体系架构,这不但推动了天津市电子政务的迅速协同发展,更对于全国电子政务的发展提供了有价值的参考经验。
当然安全等级保护不是单纯的技术问题,天津在试点工作中强调了技术与管理并重。还有,特别要强调的是,采用外包服务也是天津此次试点探索的一条新道路。
而在试点过程中天津也总结了一些问题和不足,这些问题和不足值得全国总结和学习。首先,就是安全意识有待提高,不同的接入单位对安全问题的理解和重视程度不同;其次,安全建设长效机制有待建立,电子政务专网是一个不断发展的网络,随着接入单位的增加、业务系统的扩展和技术的发展,原有的安全措施需要不断的更新改造。
实施效果
1.天津市电子政务专网系统
通过新增的安全措施,基本上降低了市电子政务专网所面临的来自内部管理和接入的安全风险,从而使专网所面临的各种风险处于2级系统可接受的范围内。
2.天津市党委办公厅综合业务系统
进行了系统结构调整,增加部署了授权管理系统和网络防病毒系统,并制定实施了相应的安全管理制度,加强对网络及系统安全状况的监控。
3.天津市政府公文管理系统
通过网络结构调整以及合理部署安全审计系统和主机加固系统等安全措施,对系统事件、用户行为从主机/网络/数据库等方面进行审计记录和责任认定,并对系统重要服务器进行主机加固,以预防用户利用系统自身的漏洞进行权限篡改。
网络安全加固措施篇3
关键词:wLan;网络结构;ap;wep
中图分类号:tp393文献标识码:a文章编号:1009-3044(2011)01-0025-02
onthewLanapplicationintheCampusnetwork
CUiLong-wei,HUJia-bao,QinFeng-wei
(ComputerScienceandtechnology,wuhanUniversityoftechnology,wuhan430063,China)
abstract:withtherapidofthewirelessnetworkcommunicationtechnologyandtheincreasinglycomplexnetworkrequirements,andthewirelesscampusnetworkconstructionrise。thispaperdescribesthecharacteristicsofthecampusnetworkusingwireless,networkstructureandsecurityissues.
Keywords:wLan;networkstructure;ap;wep
随着笔记本电脑、pDa的普及,为了满足学生及教师在教室、图书馆、体育馆、实验室等场所的上网需求,传统的校园有线网络不能人们的需要。随着无线网络技术的发展,利用无线网络技术来扩充传统校园有线网络,可以满足目前的需求。利用无线网络技术组建无线校园网目前是各校建设校园网的发展趋势。
1无线局域网的介绍
wLan(wirelessLocalareanetwork,无线局域网),也称为无线ethernet,它是一种计算机网络与无线通信技术相结合的产物,它利用射频技术来提供传统有线局域的全部功能,是一种能支持较高速率,采用蜂窝或微蜂窝的自我管理的计算机局域网技术。wLan的数据传输速率现在已经能够达到11mb/s,传输距离可远至20km以上,它是对有线联网方式的一种补充和扩展,从而使网络的构建和终端的移动更加灵活,并且能更快速、方便的解决有线方式不易实现的网络连通问题。
1.1无线局域网的工作原理
无线局域网采用直序扩频接入技术,使用户可以在2.4GHz的iSm频段上进行无线internet连接。无线局域网络的系统包括无线网络接入管理系统、无线中心路由器、用户端无线路由器。网络接入管理系统可以为网络运营商提供如用户管理功能和网络安全等方面的操作与维护支持;无线中心路由器同时提供多个无线接口,并采用扇区覆盖方式,提供多用户大容量的ip接入,它可以进行用户验证、访问服务控制、动态ip地址分配等。同时,它比传统的无线网络接入设备增加了强大的ip组网和路由功能,提高了无线宽带网络的扩展性、传输速率以及安全性。
1.2无线局域网的特点
无线局域网与有线局域网相比,具有很大的优势。其具体优点如下:
1)网络安装维护简单方便:无需布线,只需安装无线局域网卡,再将其配备的软件安装在个人电脑上,安装瞬间即可完成。
2)移动灵活:笔记本电脑,pDa等便携式电子产品,只要在其覆盖范围内,可实现不同环境场所下随时随地上网,方便灵活。
3)组网费用降低:笔记本电脑只需安装无线网卡,无需布线,这样可以解决布线费用,降低成本。
2无线校园网的构建
2.1无线校园网的网络结构
无线校园网络的组网方式有主要有:有固定基础设施和无固定基础设施。
1)有固定基础设施
固定基础设施指预先建立的基站或接入点ap(accesspoint),主要用于将无线客户端接到现有的有线网络,ap网络节点用于桥接有线网络和wLan。在有固定基础设施模式下,无线客户端与其他无线客户端及有线网络主机之间的通信需要ap转发,才能发送到目的端。有固定基础设施网络结构如图1所示。
这种结构的弱点是抗毁性差,中心点的故障容易导致整个网络瘫痪,并且中心站点的引入增加了网络成本。在实际应用中,无线网往往与有线主干网络结合起来使用。这时,中心站点充当无线网与有线主干网的转接器。
2)无固定基础设施
没有ap的wLan也称为自组网络(adhocnetwork)或对等网络(peertopeernetwork),主要用于无线客户端之间的通信,自组网络最多容许9个无线客户端。无固定基础设施网络结构如图2所示。
这种结构的优点是网络抗毁性好、建网容易、且费用较低。但当网中用户数过多时,信道竞争成为限制网络性能的要害。并且为了满足任意两个站点可直接通信,网络中站点布局受环境限制较大。因此这种拓扑结构适用于用户相对减少的工作群网络规模。
2.2无线校园网网络设备组成
随着学生中笔记本电脑的普及和现代化教学的普及,加上教室、图书馆、会议室等地方一般是不可能布设太多信息点的,目前的有线校园网没有办法使学生们在这些区域上网。采用无线方式,在有限的信息点上连接无线接入器,就可以轻松从一个信息点扩展到成百上千个信息点的应用。
无线校园网络主要采用无线路由器、无线接入点、无线网卡来进行组网。无线网络与有线网络连接,使得无线网络用户轻松访问internet。简单的无线校园网络结构如图3所示。
3无线校园网的安全性问题
无线局域网组要采用ieee802.11有线等价保密协议wep(wiredequivalentprivacy)来解决其安全性问题,由于wep在考虑安全性和易用性之间的均衡时,更多地考虑了易用性和加密算法的高效性,在wep默认配置、加密、密钥管理和服务设置标识等方面已经发现存在大量的漏洞,导致wLan安全受到威胁。针对无线校园网中的安全问题,提高网络安全性,应该采取相应的安全措施。
1)设置安全口令:为无线的互联网访问设置一个口令至关重要,授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入。
2)数据加密:重要数据在wLan上的传输可采用无线信道加密或终端加密(如aeS无线信道加密技术),防止未经授权的用户窃听、插入或修改通过无线网络传输的数据。
3)maC地址过滤:无线maC地址过滤功能通过maC地址允许或拒绝无线客户端接入无线网络的接入权限,从而获取较高的安全性。
在提高校园网络安全的措施中,我们应该在不使用网络时将其关闭,从而减少网络攻击的机会;通过设置防火墙,以保护内网的安全性,从而提高网络的安全性。
4结束语
无线局域网技术不断发展,其优势日益突出,wLan与有线网络相结合组建校园网是目前校园网络组建的主要方法。选择合适的无线校园网组网模式,优化校园网结构和校园网络的复杂性,提高网络安全。目前,大部分高校已经完成了校园无线网络的组建。
参考文献:
[1]刘乃安.无线局域网(wLan):原理、技术与应用[m].西安:西安电子科技大学出版社,2004.
[2]段水福,历晓华.无线局域网(wLan)设计与实现[m].杭州:浙江大学出版社,2007.
网络安全加固措施篇4
【关键词】企业网络安全;风险分析;对策
一、网络结构安全风险分析及对策
1、外部网络安全分析及对策
企业网络通常与外部网络连接,方便企业员工与外界互连。但由于网络涵盖面广,外网中存在太多的不安全因素,如果系统内部局域网与系统外部网络之间没有采取安全防护措施,内部网络很容易遭到来自外部网络一些入侵者的攻击,这些攻击或影响企业网络系统的正常运行或使资料泄漏,所以可以采取以下的网络安全措施:
(1)加强网络结构设置:为了加固网络结构可以将网络结构设置为如图1所示的结构:
第一道安全防线:外部防火墙抵挡外部网络的攻击。第二道安全防线:DmZ区域的堡垒主机。堡垒主机作为进入内部网络的一个检查点,把整个网络的安全问题集中在堡垒主机上解决,从而省时省力,不用考虑其它主机的安全问题,能进一步抵挡外部网络的攻击。第三道安全防线:内部防火墙。负责管理DmZ区域主机对内部网络的访问,并管理所有内部网络对DmZ区域的访问。通过以上网络结构的设置,非法用户必须经过三个独立的区域才能到达内网,加大了入侵者攻击的难度,加固了内部网络的安全性,但网络运维的成本相对较大。
(2)加强员工的网络安全意识:内网用户所遭到的攻击多来自于木马、病毒和网络钓鱼,而让这种攻击得逞的原因是内网用户点击了不安全网站、木马绑定的图片或文件,所以加强员工的安全教育,对于保障网络安全非常重要。
2、内部网络安全分析及对策
企业网络内部攻击相对于外网入侵要略显容易,大约有70%~80%的网络攻击来自于网络内部,所以企业面临的最大网络安全威胁是在办公室内部。常见的内部局域网威胁包括:误用和滥用关键敏感数据;内部人员故意泄漏内部网络的网络结构;内部不怀好意的员工通过各种方式盗取他人信息传播出去。针对以上内部网络安全问题,可以采用以下安全措施:
(1)软件管理:启用内网监听软件、加强内网的监控;固定企业内客户端的ip地址、加强用户的管理;查看服务器日志文件,保护内网安全。(2)硬件管理:网络设备中包含路由器、交换机、防火墙等。首先应注意保障硬件设备的物理安全,将其安置在相对安全的地方,不要安置到所有员工都容易接触的地方;其次管理人员应正确理解硬件设备的应用,避免由于疏忽或不正确理解而使这些设备安全性不佳。
二、网络操作系统安全风险分析与对策
目前常用网络操作系统有windows、UniX、linux操作系统,这些操作系统开发在过程中要考虑到方便用户使用,但在方便使用的前提下也暴露出一些问题:(1)操作系统默认配置存在安全隐患:如windows操作系统默认设置可以从光盘或U盘启动,这种设置可以避开登录密码直接进入操作系统,另外操作系统默认安装了一些不常用的服务和端口,为非法用户的入侵提供了便利。(2)操作系统支持在网络上共享数据、加载或安装程序,这些功能方便了非法用户注入和运行木马程序,为获取用户的信息提供了方便之门。(3)操作系统自身结构问题,如:windows操作系统自身提供的ipC$链接、远程调用等都存在安全隐患。ipC$链接是通过DoS界面在获得管理员权限的前提下获得远程计算机的信息;ftp服务传输过程为明码传输,使用抓包工具即可获取Ftp服务器的登录账号和密码,telnet远程登录需要经过很多的环节,中间的通讯环节可能会出现被人监控等安全问题,所以为了加固网路操作安全可以采用以下措施:
1、加强物理安全管理禁止通过DoS或其它操作系统访问ntFS分区。在BioS中设置口令,禁止使用U盘或光驱引导系统。
2、加强用户名和口令的管理windows操纵系统administrator管理员用户和Unix/Linux操作系统root特权用户均具有对操作系统的完全控制权限,所以是入侵者想要获取的信息。用户名保护:windows非管理员账户在输入密码错误后可设置成锁定该用户,但是administrator不能删除和禁用,所以攻击者可以反复尝试登陆,试图获取密码。为了增加攻击者获取管理员权限的难度,可以为administrator重命名,这样攻击者不但要猜出密码,还要先猜出管理员修改后的用户名。Root用户不能更名,为了保护该用户,在没有必要的情况下,不要用root用户登录本机及远程登录服务器。密码保护:密码设置应按照密码复杂度要求设置并定期更换密码,同时密码的设置不要用普通的英文单词或比较公开的信息如生日、车牌等。
3、加强用户访问权限的管理有些管理员为了方便用户访问文件系统,为用户开放了所有权限,如windows操作系统中为everyone工作组授予了“完全控制”权限,UniX/Linux操作系统为所有用户设置读写执行权限,这样的设置方便非法用户上传木马,所以为了文件系统的安全,必须重新设置文件系统的权限,在保证正常运行的前提下,为用户设置最小的访问权限。
4、加强服务和端口的管理当用户开启操作系统后,操作系统自带的某些服务会自动运行,而非法用户会针对这些服务进行远程攻击,而一些不常使用的端口也容易被非法用户利用,作为再次入侵的后门,所以应该将不常使用的服务和端口关闭。
三、数据安全风险分析及对策
企业网络的数据安全不可避免的受到外界的威胁,而数据的任何失误,都可能对企业带来巨大的损失。目前数据泄漏的主要途径是:办公计算机或硬盘的外带;利用移动存储设备将数据带出;通过网络传输文件;通过外设拷贝数据;服务器被非法入侵等。为了防止企业数据泄露可以采用如下措施:
1、磁盘加密针对硬盘丢失或被盗造成的泄密风险,可以通过对磁盘驱动层的加密加固处理,保证硬盘在被非法外带或丢失后呈“锁死”状态,硬盘内容无法被他人所读取。
2、移动存储设备使用管理对于移动存储设备设置加密写入,即拷贝到该类设备的文档都会以密文形式存在,密文只有拷贝回本地计算机才能解除加密。
3、文档传输控制对于文档传输可以采取文件外发对象控制(指定可以外发文件的对象列表)、文件外发加密(外发的文档处于加密状态)、文件外发审批(外发的文件需要经领导审批方可发送)等形式进行控制。
网络安全加固措施篇5
关键词中波广播;雷电;防雷
中图分类号G2文献标识码a文章编号1674-6708(2017)180-0076-02
雷电对中波广播的设施、设备以及信号的接收、传输等危害甚大,因此防雷保护措施是否可靠关系到广播节目的发送能否安全稳定的工作。近年来,随着微电子技术的发展,发射设备已由数字集成电路、全固态器件代替了过去使用的电子管器件,由于这些器件对静电和防雷的抵御能力很弱,因此全固态中波发射机承受雷电浪涌的能力也相应降低,这对发射工作的技术人员来说提出了防雷的新要求。
对雷电来说,由于我们受经济条件及技术手段等因素的限制,不能对其进行全方位有效的消除。只能使用常规防雷方式,应用综合性防雷的办法,改变以往防雷、消雷的观念,采取多重防雷措施,取得了良好的效果。在叙述之前我们先了解一下雷电侵入的途径及特点。
1雷侵入的途径及特点
在云层和云层之间的闪电产生的是水平极化的电波,而在云层与大地之间的闪电产生的则是垂直极化的电波,这些电波耦合进入电源线路和传输线路中,就会产生很大的感应电压,会损坏发送、接受设备的电源器件和引起发射机天调网络、输出电路故障;高频的能量若进入发射机,会造成电压驻波比过荷。因此雷电侵入发射系统的途径很多。
1.1从发射天线侵入
雷电从天线进入,轻者造成防雷装置损坏,重者涉及到天调网络、输出槽路、功放电路及其它元器件损坏。特点是机房内的其他电器设备安然无恙。
1.2从电源电路侵入
雷电侵入市电电网后,经电网进入设备。轻者损坏电源,重者涉及其他电路。特点是有多种电器设备同时被损坏。
1.3强电场感应侵入
当雷击之后在金属导线上会感应出强电场,它将沿线路产生大电流冲击;而产生的交变电磁场能量也将感应在线路最终作用到设备上。往往造成雷电附近电器大面积损坏。雷击时,不但正在工作的设备损坏,而且处于强电磁场中的接上电源未开机的电器设备也会损坏。
1.4信号传输线侵入
信号传输线侵入的过电压能量与电力线相比通常相对小一些。但是不加保护措施,收信设备将会遭到破坏。
1.5地电位反击侵入
地电位反击是指雷电流入地的瞬间,由于各系统接地装置间电位不同而产生的电位差,沿接地线到达设备的外壳、电力线的中线以及直流地的基准电位点,造成的后果有可能使这些部位瞬间抬高数千伏甚至上万伏的电压,危及人身和设备的安全。
2中波广播发射系统的防雷措施
针对上述雷电侵入发射系统的特点,我们对中波广播发射系统采取多重防雷措施,其中包括:天调网络防雷、馈管防雷、发射机防雷、电源防雷、信号源防雷、发射机房的防雷。
2.1天调网络防雷
我台发射天线沿用桅杆式直立天线,很容易遭到雷击,一旦发生雷击,产生的后果是可想而之的。因雷电的能量大,电压高,产生的强大脉冲电流,而固态中波发射机的元器件贵重而脆弱,所以应该采用良好接地网和合理的接地方式,实施多级防雷泄放措施来保护设备的安全。天调网络中的多级防雷措施有以下几点:
1)天线基部安装放电球。当发射天线遭遇直击雷,天线基部形成的高电压,采用尖端放电原理,在天线三边底座上用三对半球状金属放电器对地,球径约为10cm,根据实际工作电压以1kV/mm的间距调整好两半球的放电间距后,既能起到雷击天线瞬间泄放电荷能量作用,又可保障正常播出。
2)在调配室内安装一只石墨放电装置――FD石墨放电极(其间距用上述方法进行调整),起到雷击天线瞬间泄放电荷能量作用。再在石墨放电球接地线上加入mX0―磁环,当天线遭受雷击时,磁环可以产生反向电动势,更进一步地阻止雷击的破坏影响力,提高发射机的短路阻抗,在发射机控制保护电路动作之前就进行工作了,从而先一步保护发射机。
3)加入一只微亨级电感L0防雷。雷电的主要能量集中在低频和直流部分,因此在天线输入端并接一只微享级的电感线圈下接地。对雷电来说,因电感线圈的感抗较小,线径较粗,这样一来就形成了一条可以将雷电电流直接导入大地的通路。
4)加入隔直电容C0防雷,雷电主要类型是直流,利用电容隔直作用,防止雷电瞬时巨大能量通过天调网络进入发射机。
5)在馈线入口处增设移相网络。保证在塔基短路时,发射机输出口处也是短路状态,这是因为两点的相位差为180度的整数倍,从而达到防雷效果。
2.2馈管防雷
馈管防雷主要是在馈管的输入端安装馈管避雷器,同时在每个馈管支架处安装防雷接地线,为了更好地防止直击雷和感应雷的损坏,我们已将馈管从空架移到地下埋设。具体是将馈管安装在地下50cm深的电缆沟里,用泥沙盖上,两头金属外壳良好的接地,密封胶圈和法兰盘螺钉拉紧,并保证0.02mpa~0.04mpa个大气压。
2.3发射机防雷
发射机防雷措施通常从4个方面入手:一是在天调匹配网络输出端加装石墨放电球、微亨级泄放线圈、隔直电容,并在网络中设置移相网络,同时在发射机的输出端加装放电球。二是在发射机中采用抗雷型的输出网络。三是发生雷击时快速(瞬时)关闭发射机(全固态中波发射机这自带此功能)。最后是在发射机的电源输入端加装氧化锌压敏器件,另外加装避雷器。
2.4电源防雷
电源防雷是一项即艰难而又复杂的工作,又因电源遭雷击而造成的停播比例又非常高,因此,必须高度重视。我们在10kV供电系统中,将原来碳化硅阀型避雷器改用交流金属氧化物避雷器来限制过电压,对线路和设备进行保护。对于低压电源的防雷,我们采用的是专业电源避雷箱,并在电源的输入端安装氧化锌压敏器件。其主要缺陷是,雷电流入地时引起的反击很大,残留电压非常高。因此,我们将低压电缆架空线改为地下埋设,以防雷电感应。
2.5信号源防雷
信号源防雷由于保护的对象复杂、技术难度大,至今还未有―种适合各种信号源防雷的有效产品。又因信号线路长非常容易受感应,直接受到来自雷电的威胁。目前我们采取的方法是,将所有卫星接收天线安装在不易受雷击的地方,并对卫星接收天线及传输电缆采用良好的接地,并在每个接收机前加装新型等电位防雷器,而对所有信号线和数据线两端增加15~20只磁环,防雷效果比以前有了较大的改善。
2.6发射机房防雷
我们在发射机房顶层上安放了避雷网,楼顶四周安装避雷针和环绕线与大地电流集电器相连,大地集电器埋设在地下深处。在房顶环绕线上每隔10米装一个避雷针与环绕线接好,并保持良好的接地。
网络安全加固措施篇6
1.1移动终端的硬件平台饱受威胁。当前,移动终端的硬件平台普遍缺乏验证机制与保护机制,以至于部分模块固件被不发入侵者肆意篡改,加之终端内部的通信接口未形成集聚完整性与机密性的保护机制,导致移动终端内传出的信息被黑客窃听,对其基本安全性造成极大威胁。
1.2由于4G无线系统包含着许多种类,但操作系统的安全性却相对匮乏,因而出现了许多漏洞,而且这些漏洞具有公开性特征。
1.34G无线系统的移动终端具备支持多种无线应用的功能,例如电子邮件、电子商务等。假使这些无线应用本身在程序方面存在着漏洞或安全隐患,同样会对4G无线通信的网络安全性造成极大威胁。
二、提升4G无线通信网络安全性的主要策略
由于有线网络和无线网络在基本特性方面存在着较大差异,因此在设计无线通信的网络安全方案时,应当充分考虑其兼容性、安全性以及效率性等因素,从而最大限度提升4G无线通信的网络安全性。
2.1研发与利用加固型操作系统
为了规避安全问题,在选择操作系统时,应选择满足tmp需求的操作系统,能够支持远程验证、区域隔离以及混合访问控制等操作。
2.2采取硬件物理保护措施
通过加大无线通信测试平台硬件的集成度,减少存在攻击威胁的接口数量,并适当增加电压、电流以及温度,以此方式达到检测电路的目标,以防采取物理检测措施时被攻击。此外,针对tpm和全球用户识别卡中的相关数据,还应当根据安全级别进行销毁处理。
2.3不断加固硬件平台
把中国移动互联网可信应用平台视作网络安全问题基本防护对象,除了对其进行全方位检测以及可信启动之外,还应予以存储保护等安全措施。同时,由于4G无线通信的核心网是tD-SCDma,尽管不对称管制、起步晚以及备受怀疑等主客观因素对其发展产生了一定的影响,但tD-SCDma的整体发展趋势十分明朗,同时还取得了较大成功。而随着tD-Lte的不断推行与普及,其发展事态已远远超过tD-SCDma,全球范围内tD-Lte的商用网络总数已达到13个,其发展与应用必定会成为大势所趋。
2.4提升通信服务效率
由于无线通信的网络资源有限,为了提升网络资源的可靠性、安全性与有效性,首先应当控制安全协议的信息交互总数,确保安全信息的精准性与短小性。其次,控制移动终端的任务数量,针对4G无线通信的网络终端制定明确的标准,要求其计算能力具备明显的非对称性。最后,针对处于闲置状态的移动终端,必须加以有效利用,从而实现预计算、预认证的目标。
三、结束语
网络安全加固措施篇7
关键字:wLan,wep,SSiD,DHCp,安全措施
1、引言
wLan是wirelessLan的简称,即无线局域网。所谓无线网络,顾名思义就是利用无线电波作为传输媒介而构成的信息网络,由于wLan产品不需要铺设通信电缆,可以灵活机动地应付各种网络环境的设置变化。wian技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。但是,当用户对wLan的期望日益升高时,其安全问题随着应用的深入表露无遗,并成为制约wLan发展的主要瓶颈。[1]
2、威胁无线局域网的因素
首先应该被考虑的问题是,由于wLan是以无线电波作为上网的传输媒介,因此无线网络存在着难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为了wLan的接入点,给入侵者有机可乘,可以在预期范围以外的地方访问wLan,窃听网络中的数据,有机会入侵wLan应用各种攻击手段对无线网络进行攻击,当然是在入侵者拥有了网络访问权以后。
其次,由于wLan还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有wLan内的计算机,甚至会产生比普通网络更加严重的后果。
因此,wLan中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
ieee802.1x认证协议发明者VipinJain接受媒体采访时表示:“谈到无线网络,企业的it经理人最担心两件事:首先,市面上的标准与安全解决方案太多,使得用户无所适从;第二,如何避免网络遭到入侵或攻击?无线媒体是一个共享的媒介,不会受限于建筑物实体界线,因此有人要入侵网络可以说十分容易。”[1]因此wLan的安全措施还是任重而道远。
3、无线局域网的安全措施
3.1采用无线加密协议防止未授权用户
保护无线网络安全的最基本手段是加密,通过简单的设置ap和无线网卡等设备,就可以启用wep加密。无线加密协议(wep)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了wep功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对wep密钥进行更换,有条件的情况下启用独立的认证服务为wep自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSiD),在部署无线网络的时候一定要将出厂时的缺省SSiD更换为自定义的SSiD。现在的ap大部分都支持屏蔽SSiD广播,除非有特殊理由,否则应该禁用SSiD广播,这样可以减少无线网络被发现的可能。[2]
但是目前ieee802.11标准中的wep安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。所以如果采用支持128位的wep,破解128位的wep的是相当困难的,同时也要定期的更改wep,保证无线局域网的安全。如果设备提供了动态wep功能,最好应用动态wep,值得我们庆幸的,windowsXp本身就提供了这种支持,您可以选中wep选项“自动为我提供这个密钥”。同时,应该使用ipSec,Vpn,SSH或其他
wep的替代方法。不要仅使用wep来保护数据。
3.2改变服务集标识符并且禁止SSiD广播
SSiD是无线接人的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3Com的设备都用“101”。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSiD。如果可能的话。还应该禁止你的SSiD向外广播。这样,你的无线网络就不能够通过广播的方式来吸纳更多用户.当然这并不是说你的网络不可用.只是它不会出现在可使用网络的名单中。[3]
3.3静态ip与maC地址绑定
无线路由器或ap在分配ip地址时,通常是默认使用DHCp即动态ip地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCp而得到一个合法的ip地址,由此就进入了局域网络中。因此,建议关闭DHCp服务,为家里的每台电脑分配固定的静态ip地址,然后再把这个ip地址与该电脑网卡的maC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的ip地址,即使得到了,因为还要验证绑定的maC地址,相当于两重关卡。[4]设置方法如下:
首先,在无线路由器或ap的设置中关闭“DHCp服务器”。然后激活“固定DHCp”功能,把各电脑的“名称”(即windows系统属陆里的“计算机描述”),以后要固定使用的ip地址,其网卡的maC地址都如实填写好,最后点“执行”就可以了。
3.4Vpn技术在无线网络中的应用
对于高安全要求或大型的无线网络,Vpn方案是一个更好的选择。因为在大型无线网络中维护工作站和ap的wep加密密钥、ap的maC地址列表都是非常艰巨的管理任务。
对于无线商用网络,基于Vpn的解决方案是当今wep机制和maC地址过滤机制的最佳替代者。Vpn方案已经广泛应用于internet远程用户的安全接入。在远程用户接入的应用中,Vpn在不可信的网络(internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,Vpn技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。ap可以被定义成无wep机制的开放式接入(各ap仍应定义成采用SSiD机制把无线网络分割成多个无线服务子网),但是无线接入网络VLan(ap和Vpn服务器之问的线路)从局域网已经被Vpn服务器和内部网络隔离出来。Vpn服务器提供网络的认征和加密,并允当局域网网络内部。与wep机制和maC地址过滤接入不同,Vpn方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
3.5无线入侵检测系统
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到maC地址欺骗。他是通过一种顺序分析,找出那些伪装wap的无线上网用户无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。[1]
3.6采用身份验证和授权
当攻击者了解网络的SSiD、网络的maC地址或甚至wep密钥等信息时,他们可以尝试建立与ap关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向ap提供SSiD或使用正确的wep密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在Sta与ap共享同一个wep密钥时使用这一机制。Sta向ap发送申请,然后ap发回口令。接着,Sta利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给Sta的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。采用其他的身份验证/授权机制。使用802.1x,Vpn或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。
[5]
3.7其他安全措施
除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等等的方法来加强wLan的安全性。
4、结论
无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中分析了wLan的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样,所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。
参考文献
[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007,(5):91-94.
[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005,(17):18.
[3]边锋.不得不说无线网络安全六种简单技巧[J].计算机与网络.2006,(20):6.
网络安全加固措施篇8
关键词:adHocnetwork;自组织网络;网络安全;安全机制
中图分类号:tp393文献标识码:a文章编号:1009-3044(2008)34-1600-02
ResearchontheSecrityofmobileadHocnetwork
LianGtao
(CollegeofeducationalScience,XinjiangnormalUniversity,Urumqi830054,China)
abstract:adHocnetworkisaspecialwirelessmobilenetworkwithmulti-hoprouting.itcansetupthenetworkbutdoesnotneedanyfixedfacilitywhichestablishesinadvance.asaresultofitsnimbleway,ithasthebighiddendangerinsecurity.accordingtothecharacteristicofadHocnetwork,theauthoranalyzeseachkindofsecurityleakwhichitfaces,andproposesseveralkindofadHocnetworksecuritypolicies.
Keywords:adhocnetwork;self-organizednetwork;networksecurity;securitymechanism
1引言
在科技飞速发展的今天,通信技术在国民经济和人类社会生活的各个领域起着前所未有的重大作用,而人们对网络的依赖程度也越来越大,对网络保持畅通的要求也越来越高。在战场、地震、洪灾等特殊场合,保持通信网络的畅通将更为重要。而adHoc网络正是一种组网灵活、很少受到环境影响的无线自组织网络。这种网络不需要进行固定基础设施的建设,可以迅速组网,并能够开展工作,在紧急场合满足通信要求,因而受到国际学术界和工业界的广泛关注。
安全问题是当前网络研究领域引人关注的热点问题之一。对于有固定基础设施的传统网络的安全研究相对比较成熟,并且有大量的研究成果,而对于adHoc网络的安全研究相对不够深入。缺乏固定基础设施的adHoc由于组网方式的灵活,使得网络上传输的信息更容易被拦截与监听,在战场和特殊场合下,保障移动adHoc网络的安全就显得尤为重要。
2adHoc网络的概念及其特点
2.1adHoc网络的概念
adHoc网络是一种无需固定网络基础设施的由一群带有无线收发功能的为完成某种任务而领临时组建的网络。adHoc网络的前身是分组无线网(pRnet,packetRadionetwork),1972年,美国国防部高级计划署(DaRpa)就启动了分组无线网项目pRnet,研究在战场等极端环境下利用分组无线网进行数据通信。1983年DaRpa又启动了高残存性自适应网络(SURan,Survivableadaptivenetwork)项目,研究如何将pRnet的研究成果加以扩展,以支持更大规模的网络。1994年,DaRpa启动了全球移动信息系统(GLomo,GloblemobileinformationSystem)项目,研究满足军事应用需要的、高抗毁性的移动信息系统。1991年ieee802.11标准委员会正式用adHoc来描述这种自组织、对等式、多跳移动通信网。
2.2adHoc网络的特点
adHoc是一种对等式网络,因而网络中每一个结点都具有报文转发能力,结点间的通信可能要经过多个中间结点的转发,即经过多跳(multiHop),这是adHoc网络与其他移动网络最根本的区别。结点间通过分层的网络协议和分布式算法相互协调,实现网络的自组织和运行。与普通移动网络和固定网络相比,adHoc网络具有以下一些特点:
1)无中心:adHoc网络没有严格的控制中心,网络中所有结点地位平等,均承担报文转发的任务。结点可以随时加入和离开网络而不会对网络性能产生影响,结点的故障不会影响整个网络的运行。
2)自组织:adHoc网络无需依赖于任何预设的基础设施,各结点通过分布式算法和相应的协议协调彼此之间的通信,无需人工干预。结点开机后可以在任何时间、任何地点快速自动组网。
3)动态变化的网络拓扑:adHoc网络没有固定的基础设施,网络中的结点可以随时移动、随时加入和随时移出,加上无线发射装置受环境影响及信号之间的相互干扰等因素都会造成网络拓扑结构随时发生变化。
4)多跳路由:在adHoc网络中当某一个结点要与其覆盖范围之外的结点通信时,需要通过中间结点进行转发。与固定网络的多跳不同,adHoc网络中多跳路由是由普通结点间协作完成的,而不是由专门的路由设备(如路由器)完成的。
5)特殊的信道共享方式:adHoc网络采用无线传输技术作为底层通信手段,结点采用共享信道方式传输信息,因此,网络的带宽有限。
6)安全性较差:adHoc网络是一种特殊的无线移动网络,采用无线信道、分布式控制、有限电源等技术,容易受到被动窃听、主动入侵、数据篡改、拒绝服务、重发、伪造身份等网络攻击,其信道加密、抗干扰、用户认证和其他各类安全措施需特别考虑。
3adHoc网络的安全问题
网络的安全性是信息化环境下令人关注的问题之一。与传统网络应用场合不同的adHoc网络,由于其技术上、组网上的特点,使得其安全性面临更大的挑战。adHoc网络的安全目标与传统网络的安全目标一致,包括可用性、机密性、完整性、安全认证和不可抵赖性,但两者却有不同的内涵。
1)可用性:保证网络在任何情况下(即受到攻击时)对合法用户而言必须是可用的。也就是说,确保网络结点在受到各种网络攻击时仍然能够提供相应的服务。由于adHoc网络信道利用方式为竞争共享式,拒绝服务攻击可发生在任何层。在物理层和数据链路层,攻击者通过无线干扰或填满有限的通信信道导致网络或服务瘫痪;在网络层,攻击者通过破坏路由信息也能导致网络不可用;在高层,攻击者可攻击各种高层服务导致网络不可用。adHoc网络还有一种叫做“剥夺睡眠”的特殊攻击行为,这种攻击使得移动结点电池很快耗尽从而发生拒绝服务。
2)机密性:网络的保密性限制信息不泄露给任何人和未经授权的实体或用户。由于adHoc网络采用无线信道进行信息传输,敌方可更容易地进行窃听。因此,在网络传输敏感信息时,如军事敏感信息,就需要保护通信内容的机密性,特别是路由信息。因为在战场上路由信息的泄漏会使敌方判断出移动结点的标识和位置,从而有选择性地进行打击,以最小代价获得最大破坏。
3)完整性:完整性保证信息在传输或存储过程中不被篡改或中断。由于adHoc网络的固有特性,使得信息传输或存储的完整性受到极大挑战。篡改或中断包括网络上的主动攻击和无线信号在传输过程中的逐步衰减。
4)安全认证:由于adHoc网络的结点可以随意加入和移出,这种灵活的组网方式要求移动结点通过安全认证来保证结点的接入和操作的合法性,也就是说在通信过程中要确认双方的身份。
5)不可抵赖性:不可抵赖性保证一个不能否认他在历史上所发出的信息和做出的动作的行为。在战场上如果被占领的结点发送了相关信息,那么收到该信息的结点就可以通过事后审计通知其他结点该结点已被占领,从而发出入侵通知,并预防内部攻击,避免更大的安全隐患。
4adHoc网络的安全策略
由于adHoc网络自身的特点决定了它的安全性能比传统网络要差,建立一个安全的adHoc网络是adHoc扩大其应用范围的关键。
从以上分析的adHoc网络所面临的安全威胁可以看出,adHoc网络的安全与路由安全和加密机制密切相关。路由策略和加密策略是adHoc网络实现安全目标的重要手段。
4.1adHoc网络路由安全策略
adHoc网络的路由安全主要考虑三方面的因素,即路由的确定性、孤立恶意结点和Byzantine鲁棒性。路由确定性是指路由请求结点能够鉴别返回路由的正确性,并保证在路由存在的情况下发现路由信息。孤立恶意结点是指路由协议能够检测并删除恶意结点对路由的影响。Byzantine鲁棒性是指路由协议能够从恶意结点的破坏中自动恢复。
adHoc网络中的路由协议安全威胁可以分为两种情况:主动攻击和被动攻击。主动攻击是指网络外部的攻击者通过发送错误的路由信息、重放过期的路由信息、破坏路由信息等手段,主动制造网络阻塞,从而导致网络延迟,影响通信的即时性,或者使得相应的结点因等待而消耗能源导致通信中断,造成网络瘫痪。被动攻击是指网络内部结点通过向其他结点错误路由信息或丢弃有用路由信息造成网络通信能力的下降。在内部攻击中,攻击结点一般并不破坏路由信息,仅仅被动侦察。如探测某结点的路由信息流量,判断该结点的性质,从而确定下一步的目标。
在adHoc网络中,移动结点同时承担着路由器的作用,发现并维持两个结点之间的路由。因此,网络的路由协议安全机制对adHoc网络起着至关重要的作用。
4.2建立完善的密钥管理体系
adHoc网络中的结点可以随时加入和移出,这种灵活的组网方式要求数据在传输过程中必须具有机密性和严格的身份认证制度。为此,网络必须建立完善、高效的密钥管理机制。密钥管理是安全管理中最困难、最薄弱的环节,采取合理的密钥管理机制才能对网络的安全进行有效的控制。
现有网络中常用的密钥管理方法有:Diffie――Hellman密钥管理方法、基于密钥分发中心(KDC)的密钥管理方法和基于非对称加密体系的密钥管理方法。三种方法在密钥的分发和管理上各有利弊,因综合考虑使用。
4.3访问控制策略
在adHoc网络中,对网络的访问控制以及对网络提供服务的访问控制是极其重要的。因此,在网络层,adHoc网络的路由协议必须保证非法结点不能加入网络,保证恶意结点加入和离开网络能够被有效的检测到。在应用层,访问控制必须保证非授权用户不能访问服务。在策略上,访问控制通常是与身份识别和认证相关的,以保证合法用户访问服务。
根据adHoc网络组建的目的及场合的不同,有些网络中可能不需要身份识别和认证,结点可通过证书来访问服务。根据网络结构的不同和安全等级的不同,网络的访问控制实现方式可以不同。如集中式的低安全等级网络,可以采用服务结点控制的方式和用户iD加密等方式。而在战场环境下,对网络和资源的访问控制则必须事先被定义。
4.4集中管理策略
adHoc网络具有“多跳”特性,通过实现adHoc网络与internet之间的互联,可以进一步扩大internet的无线空间。作为internet接入网的adHoc网络由于与有基础设施的网络相连,因而可以采用与传统的有基础设施的网络一样的集中管理策略,即采用单个结点统一提供整个网络的认证服务。集中管理策略可以使adHoc网络与传统网络一样提供各种安全保护措施;可以继承传统网络中各种成熟的安全协议,使得安全管理更为方便而无需花费另外的代价来建立和维护安全体系,并且可以与主干网中的其他结点实现无缝的安全连接。集中管理策略只能应用于与有基础设施的主干网相连的adHoc网络。
5结束语
adHoc网络作为一种新型的无线移动网络,由于其自身的特点,具有非常广阔的应用前景,特别是在军事和灾难现场的应用将成为其应用的热点。但是adHoc网络自身在安全方面的弱点和应用前景的多样性,使得处理和解决它的安全问题非常困难,这也影响了它在各种场合的普及。如果能够找出一个圆满的实现方案,将极大的推动其应用。目前可以借鉴在传统网络安全领域内取得的经验,针对adHoc网络中某些致命的和特殊的安全威胁进行深入细致的研究,设计一套行之有效的安全措施和机制,为将来adHoc网络的应用推广奠定基础。
参考文献:
[1]刘志远,张曼曼.adHoc网络安全策略[J].网络安全技术与应用,2006(7):93-95.
[2]宋璐璐,雒江涛.无线移动自组织网络的发展及其技术[J].广西通信技术,2007(1):35-39.
[3]黄全乐.adHoc网络的发展及其应用前景[J].山西电子技术,2007(1):85-86.
网络安全加固措施篇9
关键字:wlan,wep,ssid,dhcp,安全措施
1、引言
wlan是wirelesslan的简称,即无线局域网。所谓无线网络,顾名思义就是利用无线电波作为传输媒介而构成的信息网络,由于wlan产品不需要铺设通信电缆,可以灵活机动地应付各种网络环境的设置变化。wian技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。但是,当用户对wlan的期望日益升高时,其安全问题随着应用的深入表露无遗,并成为制约wlan发展的主要瓶颈。
2、威胁无线局域网的因素
首先应该被考虑的问题是,由于wlan是以无线电波作为上网的传输媒介,因此无线网络存在着难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为了wlan的接入点,给入侵者有机可乘,可以在预期范围以外的地方访问wlan,窃听网络中的数据,有机会入侵wlan应用各种攻击手段对无线网络进行攻击,当然是在入侵者拥有了网络访问权以后。
其次,由于wlan还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有wlan内的计算机,甚至会产生比普通网络更加严重的后果。
因此,wlan中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
ieee802.1x认证协议发明者vipinjain接受媒体采访时表示:“谈到无线网络,企业的it经理人最担心两件事:首先,市面上的标准与安全解决方案太多,使得用户无所适从;第二,如何避免网络遭到入侵或攻击?无线媒体是一个共享的媒介,不会受限于建筑物实体界线,因此有人要入侵网络可以说十分容易。”因此wlan的安全措施还是任重而道远。
3、无线局域网的安全措施
3.1采用无线加密协议防止未授权用户
保护无线网络安全的最基本手段是加密,通过简单的设置ap和无线网卡等设备,就可以启用wep加密。无线加密协议(wep)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了wep功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对wep密钥进行更换,有条件的情况下启用独立的认证服务为wep自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(ssid),在部署无线网络的时候一定要将出厂时的缺省ssid更换为自定义的ssid。现在的ap大部分都支持屏蔽ssid广播,除非有特殊理由,否则应该禁用ssid广播,这样可以减少无线网络被发现的可能。
但是目前ieee802.11标准中的wep安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。所以如果采用支持128位的wep,破解128位的wep的是相当困难的,同时也要定期的更改wep,保证无线局域网的安全。如果设备提供了动态wep功能,最好应用动态wep,值得我们庆幸的,windowsxp本身就提供了这种支持,您可以选中wep选项“自动为我提供这个密钥”。同时,应该使用ipsec,vpn,ssh或其他
wep的替代方法。不要仅使用wep来保护数据。
3.2改变服务集标识符并且禁止ssid广播
ssid是无线接人的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3com的设备都用“101”。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的ssid。如果可能的话。还应该禁止你的ssid向外广播。这样,你的无线网络就不能够通过广播的方式来吸纳更多用户.当然这并不是说你的网络不可用.只是它不会出现在可使用网络的名单中。
3.3静态ip与mac地址绑定
无线路由器或ap在分配ip地址时,通常是默认使用dhcp即动态ip地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过dhcp而得到一个合法的ip地址,由此就进入了局域网络中。因此,建议关闭dhcp服务,为家里的每台电脑分配固定的静态ip地址,然后再把这个ip地址与该电脑网卡的mac地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的ip地址,即使得到了,因为还要验证绑定的mac地址,相当于两重关卡。设置方法如下:
首先,在无线路由器或ap的设置中关闭“dhcp服务器”。然后激活“固定dhcp”功能,把各电脑的“名称”(即windows系统属陆里的“计算机描述”),以后要固定使用的ip地址,其网卡的mac地址都如实填写好,最后点“执行”就可以了。
3.4vpn技术在无线网络中的应用
对于高安全要求或大型的无线网络,vpn方案是一个更好的选择。因为在大型无线网络
中维护工作站和ap的wep加密密钥、ap的mac地址列表都是非常艰巨的管理任务。
对于无线商用网络,基于vpn的解决方案是当今wep机制和mac地址过滤机制的最佳替代者。vpn方案已经广泛应用于internet远程用户的安全接入。在远程用户接入的应用中,vpn在不可信的网络(internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,vpn技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。ap可以被定义成无wep机制的开放式接入(各ap仍应定义成采用ssid机制把无线网络分割成多个无线服务子网),但是无线接入网络vlan(ap和vpn服务器之问的线路)从局域网已经被vpn服务器和内部网络隔离出来。vpn服务器提供网络的认征和加密,并允当局域网网络内部。与wep机制和mac地址过滤接入不同,vpn方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
3.5无线入侵检测系统
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会
使无线局域网更安全。无线入侵检测系统还能检测到mac地址欺骗。他是通过一种顺序分析,找出那些伪装wap的无线上网用户无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。
3.6采用身份验证和授权
当攻击者了解网络的ssid、网络的mac地址或甚至wep密钥等信息时,他们可以尝试建立与ap关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向ap提供ssid或使用正确的wep密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在sta与ap共享同一个wep密钥时使用这一机制。sta向ap发送申请,然后ap发回口令。接着,sta利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给sta的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。采用其他的身份验证/授权机制。使用802.1x,vpn或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。
3.7其他安全措施
除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等等的方法来加强wlan的安全性。
4、结论
无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中分析了wlan的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样,所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。
参考文献
网络安全加固措施篇10
1基于4G通信技术的无线网络安全通信的问题
1.1移动终端的安全通信问题
由于需要接入多种系统,4G移动终端形式也更加多样化。为了个人更好地接入网络,4G移动终端可以为用户提供个性化的服务,并且支持安全保障、视频通话等功能。而为了达成这一目的,4G移动终端需要适应较高的速率和宽带需求,并且具有物联网功能。但随着用户数量的逐渐增多,目前的4G移动终端与用户的关系变得更加紧密。而在这种情况下,需要移动终端的存储计算能力得到不断提升,并且需要面对更多的可执行的恶意程序。所以,面对破坏力更大的恶意程序,移动终端的抵抗力将变得越来越弱[2]。因此就现阶段而言,4G移动终端上的安全隐患越来越多,通信接口防护不严、手机病毒攻击和操作系统漏洞等问题都可能影响无线网络的安全通信。
1.2网络链路上的安全问题
在实际应用的过程中,基于4G通信技术的无线网络是一个全ip网络,需要接入2G、3G、蓝牙、wLan系统、无线系统、广播电视和有线系统等多个通信系统。而在此基础上,还需要实现各个通信系统之间的网络互联。但是,目前的互联网络、4G系统和无线网络的发展都过于迅速,继而使无线或有线链路上的安全问题得以显现出来;一方面,网络链路的数据被窃听、修改、删除和插入的行为更加密集,继而使网络的安全性遭到了考验。另一方面,目前链路的容错性不高,容易因无线网络结构不同而造成数据传输错误。再者,运营商借由服务网络扣取用户接入费用的现象屡屡发生,但网络链路还无法发现这种诈骗行为。此外,4G无线终端会在各个子网中移动,而网络链路必须要经过路由器或网关才能实现网络互通。因此,在用户数量不断增多的情况下,网络链路的负担将更重,继而难以实现网络的安全连接。
1.3网络实体认证的安全问题
在网络实体认证方面,无线网络和有线网络都没有给予足够的重视。在这种情况下,网络犯罪的实施将更加容易,并将引发一系列的法律纠纷问题。所以,人们需要了解网络实体认证的重要性,并将这种认证落实下去。但就目前来看,4G网络实体的认证将受到一些因素的影响,所以无法得到落实。一方面,国内的互联网用户数量较多,所以网络实体认证是较为复杂的工程,难以在短时间内实现;另一方面,国内互联网的发展尚不够成熟,相关的技术也无法满足互联网的发展需求,继而给网络实体认证带来了一定的困难[3]。此外,目前国内的无线网络类型过多,网络模式无法固定,因此无法随时实现网络实体认证。而在网络实体认证无法落实的情况下,网络实体上将出现较多的安全问题,继而影响4G通信网络的安全使用。具体来讲,就是在进入网络时,攻击者可以伪装成合法用户进行网络攻击。而无线网络的信道接入数量和带宽有限,所以这样的攻击有很大几率可以成功进行网络安全的威胁。同时,也有一些攻击者可以利用空中接口非法跟踪网络用户,继而完成用户信息的盗取或破坏。另外,一些用户对4G网络为其提供的服务和资源采取了不承认的态度,而这样的行为同样会影响网络的通信安全。
2基于4G通信技术的无线网络安全通信措施
2.1做好移动终端的防护
想要为4G移动终端提供一定的安全防护,就要做好系统的硬件防护。一方面,需要进行4G网络操作系统的加固。具体来讲,就是使用可靠的操作系统,以便使系统可以为混合式访问控制功能、远程验证功能和域隔离控制功能的实现提供支持;另一方面,需要使系统物理硬件的集成度得到提升,以便使可能遭受攻击的物理接口的数量得以减少[4]。与此同时,则需要采取增设电压检测电路、电流检测电路等防护手段,以便进行物理攻击的防护。此外,也可以采取存储保护、完整性检验和可信启动等保护措施。
2.2建立安全体系机制
为了解决4G网络的安全通信问题,首先要建立无线网络的安全体系机制。具体来讲,就是在考虑系统可扩展性、安全效率、兼容性和用户可移动性等多种因素的基础上,采取相应的安全防护措施。一方面,在不同的场景进行网络通信的使用时,就可以通过制定多策略机制采取不同的安全防护措施。比如在进行无线网络登录时,就需要通过验证才能接入网络;另一方面,可以通过建立可配置机制完成移动终端的安全防护选项的配置。具体来讲,就是合法用户可以根据自身需求选择移动终端的安全防护选项;再者,可以通过建立可协商机制为移动终端和无线网络提供自行协商安全协议的机会,继而使网络的连接更加顺利。此外,在结合多种安全机制的条件下,可以建立混合策略机制确保网络的通信安全。比如,可以利用私钥使网络通信系统的切换更加及时,并利用公钥确保系统的可拓展性,继而使私钥和公钥的作用较好地结合起来[5]。
2.3采取入网安全措施
在入网方面,需要采取一定的入网安全措施,继而确保无线网络的通信安全。首先,在通信传输的过程中,需要在移动终端和无线接入网上进行传输通道的加密设置。而根据无线网络系统的业务需求,则可以在无线接入网和用户侧进行通信方式的自主设置。此外,也可以通过专用网络实现物理隔离或逻辑隔离,继而确保数据的安全传输[6];其次,在无线网络接入的过程中,需要完成辅助安全设备的设置,并采取有针对的安全措施,从而避免非可信的移动终端的接入。而在移动终端和无线接入网之间,则需要建立双向身份认证机制。在此基础上,则可以通过数字认证确保移动终端的安全接入,或者利用高可靠性载体进行移动终端的接入;再者,面对移动终端的访问行为,需要采用物理地址过滤和端口访问控制等技术进行无线接入网的访问控制。而结合无线接入设备的实际运行情况,则可以进行统一的审计和监控系统的构建。在此基础上,则可以进行移动终端异常操作和行为规律的监控和记录,继而使无线接入网的可靠性和高效性得到保障;最后,在无线接入网上,还要利用安全数据过滤手段进行视频、多媒体等领域的数据的过滤。而这样一来,不仅可以防止黑客的攻击,还能够在一定程度上防止非法数据进行接入网的占用,继而使核心网络和内部系统得到更多的保护。
3结语