无线网络的安全策略(精选十篇)
无线网络的安全策略 篇1
随着无线网络技术的出现, 为用户提供了一种崭新的接入互联网的方式, 使我们摆脱了网线的束缚, 更使我们距离随时随地与任何人进行任何内容通信的人类通信终极梦想又进了一步。但是由于无线网络是采用公共的电磁波作为载体, 电磁波能够穿过天花板、玻璃、楼层和墙等物体, 因此在一个无线网络接入点所在的服务区域中, 任何一个无线客户端都可以接收到此接入点的电磁波信号, 这样就可能包括一些恶意用户也能接收到该无线网络信号, 因此数据安全成为了无线网络技术当下迫切要解决的问题。
2 无线网络的安全隐患
当前在规划和建设无线网络中现面临两大问题:
2.1 网络劫持
网络劫持指的是网络黑客将自己的主机伪装成默认网关或者特定主机, 使得所有试图进入网络或者连接到被网络黑客顶替的机器上的用户都会自动连接到伪装机器上。典型的无线网络劫持就是使用欺骗性AP。他们会通过构建一个信号强度好的AP, 使得无线用户忽视通常的AP而连接到欺骗性AP上, 这样网络黑客就会接收到来自其他合法用户的验证请求和信息后, 就可以将自己伪装成为合法用户并进入目标网络。
2.2 嗅探
这是一种针对计算机网络通信的电子窃听。通过使用这种工具, 网络黑客能够察看到无线网络的所有通信。要想使无线网络不被该工具发现, 必须关闭用于网络识别的广播以及任何未经授权用户访问资格。然而关闭广播意味着无线网络不能被正常用户端发现, 因此要使用户免受该工具攻击的唯一方法就是尽可能使用加密。
3 无线网络主要信息安全技术
3.1 扩频技术
该技术是军方为了使用无线通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中, 是一直被干扰和越权接收的。扩频技术是将非常低的能量在一系列的频率范围中发送。通常我们使用直序扩频技术和跳频扩频技术来实现传输。一些无线网络产品在ISM波段的2.4~2.4835GHz范围内传输信号, 在这个范围内可以得到79个隔离的不同通道, 无线信号是被发送到成为随机序列排列的每一个通道上。我们知道无线电波每秒钟变换频率次数是很多的, 现将无线信号按顺序发送到每一个通道上, 并且在每一通道上停留固定的时间, 在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案, 系统外的劫持站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰, 也不用担心网络上的数据被其他人截获。
3.2 用户验证
即采用密码控制, 在无线网络的适配器端使用网络密码控制。这与Novell Net Ware和Microsoft Windows NT提供的密码管理功能类似。由于无线网络支持使用笔记本或其它移动设备的漫游用户, 所以精确的密码策略可以增加一个安全级别, 这样就可以确保该无线网络只被授权人使用。
3.3 数据加密
对数据的安全要求极高的系统, 例如金融或军队的网络, 需要一些特别的安全措施, 这就要用到数据加密的技术。借助于硬件或软件, 在数据包被发送之前给予加密, 那么只有拥有正确密钥的工作站才能解密并读出数据。
如果要求整体的安全性, 数据加密将是最好的解决办法。这种方法通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中, 由制造商提供, 另外我们还可以选择低价格的第三方产品。
3.4 WEP加密配置
WEP加密配置是确保经过授权的无线网络用户不被窃听的验证算法, 是IEEE协会为了解决无线网络的安全性而在802.11中提出的解决办法。
3.5 防止入侵者访问网络资源
这是用一个验证算法来实现的。在这种算法中, 适配器需要证明自己知道当前的密钥。这和有线LAN的加密很相似。在这种情况下, 入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。
4 改进方法及措施
4.1 正确放置网络的接入点设备
在网络配置中, 要确保无线接入点放置在防火墙范围之外。
4.2 利用MAC阻止黑客攻击
利用基于MAC地址的访问控制表, 确保只有经过注册的用户端才能进入网络。MAC过滤技术就如同给系统的前门再加一把锁, 设置的障碍越多, 越会使黑客知难而退, 不得不转而寻求其它低安全性的网络。
4.3 WEP协议的重要性
WEP是802.11b无线局域网的标准网络安全协议。在传输信息时, WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后, 应该立即更改WEP密钥的缺省值。
最理想的方式是WEP的密钥能够在用户登录后进行动态改变。这样, 黑客想要获得无线网络的数据就需要不断跟踪这种变化。基于会话和用户的WEP密钥管理技术能够实现最优保护, 为网络增加另外一层防范。
4.4 简化网络安全管理:集成无线和有线网络安全策略
无线网络安全不是单独的网络架构, 它需要各种不同的程序和协议。制定结合有线和无线网络安全的策略能够提高管理水平, 降低管理成本。例如, 不论用户是通过有线还是无线方式进入网络时, 都需要采用集成化的单一用户ID和密码。
4.5 不能让非专业人员构建无线网络
尽管现在无线网络的构建已经非常方便, 即使是非专业人员也可以自己在办公室内安装无线路由器和接入点设备。但是, 他们在安装过程中很少考虑到网络的安全性, 这样就会通过网络探测工具扫描就能够给黑客留下攻击的后门。因而, 在没有专业系统管理员同意和参与的情况下, 要限制无线网络的构建, 这样才能保证无线网络的安全。
参考文献
[1]王乐.中国标准撼动Wi-Fi[J].电脑报, 2003.
[2]李小平.多媒体网络通信[M].北京:北京理工大学出版社, 2008.
无线网络的安全策略 篇2
网络财务的不安全因素及安全防范策略
所谓网络财务是指建立在网络环境基础上的`会计信息系统.网络环境包含两个部分:第一,国际网络环境,即通过互联网使企业同外部进行信息交流和共享;第二,企业内部网络环境,即通过组建企业内部网络结构实现企业内部部门之间信息交流和共享.
作 者:陈雪芬 作者单位:江西财院九江分院刊 名:中国乡镇企业会计 PKU英文刊名:CHINESE ENTERPRISE ACCOUNTING OF VILLAGES AND TOWNS年,卷(期):“”(9)分类号:F8关键词:
无线医疗的安全策略 篇3
目前,绝大多数人根本不了解医疗行业内的安全性是如何管理的,因此一直存在误解和担忧。医疗行业的安全性是一个巨大的课题,根据英国电信(BT)为英国、美国、匈牙利和其他欧洲国家的医疗机构提供解决方案的经验,临床环境总是存在类似的问题,特别是既要确保IT支持、又不妨碍提供护理支持。
重视802.11n
医疗专业人员的工作具有移动性,这个问题的解决办法是利用无线技术。但是,使用无线网络系统,必须对确保患者数据的安全性和隐私性给予更大的关注,因为无线网络会绕过医疗专业人员所倚重的许多物理安全措施。人们不再需要非法侵入病案室或护士站,一个坐在停车场汽车里的人就可以访问网络。
如果无线网络没有适当的安全保障,重要的私人记录就会被人访问,网络就会被侵入。即便根本没有恶意企图,将家庭设备带入工作场所(例如低成本接入点)的人员也会给网络的安全防御造成漏洞。因此,设计者从一开始就应当规划适当的安全保障措施。
无线技术能让人员和设备以新的方式连接计算资源。无线连接允许更快速、方便地访问应用程序和服务,并且有可能彻底改变公众和公共机构(例如医院)对 IT 服务的使用。但是,无线产品与应用程序中的安全漏洞带来了严重的安全问题,包括允许在网络安全防火墙内进行非授权访问的无线局域网 (WLAN)。解决这些问题需要加强网络安全性。目前市场上有基于 IEEE 802.11n(2009年9月获批)的新产品,安全性、吞吐量以及工作距离都得到了明显改进,应当规定在新设备、施中应用。
访问控制
相对于有线局域网来说,非授权访问无线局域网的机会明显更大。投机者可以全天候监控某个无线局域网,并在加密的地方尝试不同的密钥。基于这个原因,笔者建议:
1.用户和用于访问的设备应当使用 RADIUS Server 进行身份认证。
2.有线局域网和无线局域网之间的链路应当使用单一 EAL 4 防火墙进行保护,在需要的地方应当指定弹性故障转移配对。
3.端点与(有线局域网和无线局域网之间的) DMZ 之间的无线局域网通信应当使用 FIPS 140-2 认证产品(最低 128 位密钥)进行单独加密。无线网之间的通信要在端点和DMZ之间被分别加密。在有线网和无线网之间,应使用FIPS 140-2认证产品,并使用最少128位密钥加密。
大部分无线接入点都能拾取 50 米内的信号,虽然有许多因素会缩小信号范围,例如密集的墙和家具。因此,需要安装许多接入点来覆盖整个大型园区站点,例如医院。有关无线局域网缺乏安全性的文章已有许多,而且其中很多说的都是事实。
无线产品最初使用安全性较低的 WEP (Wired Equivalent Privacy) 协议来保护数据传输,防止被人偷窥。但是,黑客很快掌握了破解 40 位 WEP 加密的方法。虽然 WEP 128 位加密更加强大,能够更有力地抵御黑客攻击,但 WEP 依旧被视为一种不可行的安全解决方案,并且已被更强大的 WPA (Wi-Fi Protected Access) 协议取代。目前有 WPA 和 WPA2 两个版本。
最佳实践
无线网络安全领域的最佳实践应该是,使用单独的 VPN(虚拟专用网络)技术控制有权访问它的用户。
1.应当利用装备了入侵检测功能的防火墙把无线局域网与有线网络分离开来。
2.确保加密在默认情况下始终处于工作状态。IEEE 编制了 802.11i 规范 ,取代了不安全的 Wired Equivalent Privacy (WEP) 协议。802.11i 协议使用 TKIP 和 802.1X、Keyed IC 以及 AES 协议。AES 得到大多数现代操作系统的支持,建议优先选择该协议,而非 TKIP。TKIP 中最近发现了安全漏洞,虽然范围有限,但有可能会进一步发展,而且 AES 得到了更广泛的支持。
3.802.1x 协议是有线局域网和无线局域网中使用的一种基于端口的访问控制机制,应当用于对网络访问进行身份认证。它可以帮助化解攻击,例如密钥发现,通过针对每个客户端使用不同的密钥降低中间人攻击的风险,通过执行共同身份认证,对用户和设备进行身份认证来防止未授权访问。802.1x 访问控制应当与 X.509 证书认证一起实施,以支持用户和计算机层面的授权。
4.应当调整信号强度水平以限制建筑物/站点外的信号范围。
5.更改每个设备上的所有默认用户名和密码,以满足安全政策要求。这可以降低设备被意外或有犯罪企图地发现(可能导致未授权的网络访问)的风险。
6.应当更改默认 SSID(服务集标识符):SSID 是赋予无线网络中每个接入点的名称。默认名称通常具有厂商特定性,应当更改为站点特定但不易被公众察觉的名称,包括消除会被黑客控制的无线设备哄骗或模仿的任何通用标识符。
7.关闭广播信标:许多无线设备会向全世界公布它们的存在,这会严重影响安全性。除非需要按需开放访问无线网络,否则应关闭信标广播,即便仍有确定 SSID的其他方法。
8.有些设备为用户提供自动连接或零配置选项,即时绑定到其在服务区域内检测到的网络。因此应当关闭自动设置或零配置选项。
9.应当考虑接入点安全性。让能够更改设置或输入的任何人员无法触及设备,最好进行封装保护。另外尽可能让设备远离外墙和窗户,以防止无线电信号意外延伸到建筑物周边以外。
10.在为正式访问者提供访问的地方,应当控制访问时间。关闭下班后不需要的任何无线访问。
无线网络的安全和防御策略 篇4
关键词:无线网络,网络安全隐患,手机WIFI,防御策略
21世纪的第一个十年过去了, 要说这十年什么发展的最迅速, 许多人会想到互联网技术和智能手机的普及。如今, 电脑作为一个PC端, 虽然发展不错, 但已经不能和小巧智能的手机相比了, 大多数人不会坐在电脑前一呆呆一天, 但会抱着手机一看看一天。早上起床看手机, 晚上睡觉看手机, 无处不在的online手机无线促使着手机科技的发展。无线网络是手机普及的重要因素, 它安装方便, 上网速度快, 信号稳定, 移动性好, 无线网络在家庭、企事业单位、学校、公共场合都有着广泛的使用率。然而有利就有弊, 无线网络本身也存在许多问题, 网络安全不够完善, 信息泄露、黑客破坏、网上诈骗等问题接二连三。本文分析无线网络存在的安全弊端, 并给出维护无线网络安全的措施和应对网络遭受攻击时的防御策略。
1 无线网络
无线网络也称为无线局域网, 是计算机网络和无线通信的结合体。它的数据来源是电脑互联网, 通过射频信号, 在空气中传输数据给客户端, 例如手机、平板电脑、电视等媒体。无线网络的优势很大, 第一点就是它的移动性。比如在办公室内, 安置一个无线网络, 可以保证在任意位置获得无线数据, 支持自由移动、持续连接。第二点是成本低, 只需要有一台PC端提供有线网络, 再连入路由器, 基本上可以长时间开启不用担心信号等问题。维护也很方便, 同时不占用空间。第三点是它有很好的传输速度, 也就是网速, 802.11b的传输速度达11Mbps数据速率, 802.11g无线速率达到54Mbps, 802.11n的速率达到500Mbps, 而最新标准802.11ac达到1Gbps。已经可以满足大多数用户需求。
2 无线网络安全隐患
一般用户使用无线网络, 大多是能构建一个WLAN, 无线终端如手机能使用无线就可以了。因此无线网络安全的威胁就随之而来。
2.1 无线路由器隐患
无线路由在出厂时配置的账号和密码大多相同的, 因此无线路由可能被非法入侵, 并且被控制。入侵者可以随意更改无线路由参数, 对提供无线的客户端进行攻击, 甚至获得宽带的上网账号和密码。
2.2 无线WEP密码威胁
网上有许多WEP破解软件, 简单的无线WEP太容易被破解, 在网上存在的非法程序, 可以捕捉到无线信号, 对密钥加密的无线网络进行破解。
2.3 窃取信息
信号是802.11的无线网对数据帧不进行认证, 所以入侵者可以让ARP去欺骗局域网, 重新定向数据流, 进一步获取用户信息, 造成网络入侵。
利用中间人进行欺骗攻击, 使用一个非法的AP欺骗客户端, 再欺骗客户终端, 从而获得了用户信息, 进行窃取和修改。
网络信息大多数不进行加密, 因此被截取了信息就可以读取其内容, 也会入侵用户的网络信息。
3 防御策略
3.1 计算机网络防御
3.1.1 配置防火墙
防火墙的主要用途是在网络信息传输过程中控制访问的程度。如果得到授权, 就可以访问用户的计算机网络, 未得到授权就可以阻止访问, 这样可以防御未知的网络进入计算机网络内部, 防止网络黑客入侵用户的电脑盗窃信息和资料。防火墙对于保护用户信息有至关重要的作用, 是计算机网络不可缺少的一部分。
3.1.2 检测和扫描系统
检测系统是在防火墙未起作用的情况下, 抵抗黑客通过网络漏洞进行的攻击。检测和扫描系统由计算机本身进行, 大多数的系统软件都带有这种检测方式, 或者采用其他的杀毒软件进行检测和扫描, 这部分系统大多是清查计算机存在的系统漏洞, 漏洞就好比黑客在自己电脑上开的一个后门, 很容易让黑客和病毒进入计算机。建立完善的检测和扫描系统, 可以堵死这些系统漏洞, 让计算机网络处在一个安全的环境当中。
3.2 无线网络防御
3.2.1 隐藏无线
在军事上, 许多重要的设施都要进行隐蔽, 一旦被发现了就会被摧毁。因此, 如果让自己的无线网络不被发现, 那么它就相对是安全的了。控制信号的辐射范围, 可以实现最大可能的隐藏。控制信号覆盖范围:例如在家庭里安置无线网络, 就要选择合理的无线访问点, 控制信号的覆盖区, 尽量限制在家庭里。减少泄露到屋外的信号。
3.2.2 无线路由加密
一个好的加密方式及密码, 可以给无线路由进行安全防护。市场出售的无线路由器的账号及密码都基本相同, 所以要自行修改无线路由的参数, 密码要求尽可能的复杂, 数字字母交叉会更好。无线访问密码一定要设置, 如果没有是很容易被“蹭网”的, 蹭网的后果会导致自己的网速下降, 或者产生其他的安全问题。目前的加密方式主要有WEP加密、WPA加密等, WEP使用率很高, 也很好设置, 但容易被破解, 所以为了自身无线的安全起见, 建议采用WPA加密方式。
3.2.3 地址过滤
IP地址过滤:启用IP地址过滤功能。大多数无线路由器都有过滤IP地址功能, 可以在无线路由器页面设置, 将熟悉的IP地址设为允许访问。其他IP地址统一设置为不允许访问, 这样可以隔离外部的IP地址连接。
MAC地址过滤:启用过滤MAC地址功能。MAC地址的设置和IP地址设置差不多, 多数无线路由器都有过滤MAC地址功能。收集家庭电脑等终端的MAC地址, 在无线路由器的相关设置中, 写入允许接入此网络的无线终端的MAC地址, 这样及时有人搜索到了自己的无线网络, 也不能进行连接。
3.2.4 检查无线路由器记录
每隔一段时间登陆无线路由器检查一下访问记录, 是否有未知的MAC地址终端访问, 再检查一下宽带上网时间是否有异常, 这样做可以确保及时发现未知终端盗用自己的宽带时间, 并且阻止未知MAC地址登陆自己的无线路由。
3.3 手机WFIF防御
这在于每一个手机用户, 要要求自己不登陆不正规的网站, 不随意打开未知网页, 不下载不清楚的文件, 尤其是APK安装包。自己的蓝牙要及时关闭, 并且加上密码锁。禁止手机内的应用软件随意上网, 防止发生木马开门。关注下手机系统的更新信息, 用正规的安全软件下载手机系统漏洞补丁, 不定时清理手机垃圾文件和短信, 保证手机的上网安全。
4 总结
随着无线网络技术的发展及普及, 无线网络在网速和安全上进行了很大提升, 将促进WLAN网络被更多人使用, 最后可能会全地区覆盖。但网络安全知识的普及并不是很够, 有了技术没有意识也是不行的, 本文分析了一般的网络威胁, 给出了常用的应对策略, 可以满足一般家庭和地区的网络安全防御。来提升WLAN的安全。
参考文献
[1]educity.cn希赛网[Z].网络技术学院, 2013.
网络与信息安全策略 篇5
通过建立统一的、立体的、多维的信息安全管理体系。
安全管理机构需要制定一系列严格的管理制度和建立电子政务信息安全机制来保障共建共享的信息安全。
管理制度包括系统运行维护管理制度、文档资料管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、安全等级保护制度等。
电子政务的信息安全机制是指实现信息安全目标的支持元素,它主要包括以下3方面的内容:
一是支撑机制。
作为大多数信息安全能力的共同基础,支撑机制是最常用的安全机制。
支撑机制包括标识和命名、密钥管理、安全管理、系统保护。
二是防护机制。
主要用于防止安全事故的发生,受保护的通讯、身份鉴别、授权、访问控制、拒绝否认、事务隐私。
三是检测和恢复机制。
主要用于检测共享系统中安全事故的发生并采取措施减少安全事故的负面影响。
包括审计、入侵检测和容忍、完整性验证、安全状态重置。
⒊加强信息安全标准化建设
建立健全信息安全法律体系和标准化体系,并且将标准化体系纳入法律体系和法制范畴,使其具有强制实施的法律效力。
这是促进信息化建设健康发展、构建信息安全保障新体系的内在要求和主要内容。
通过学习和借鉴国外先进经验,认真总结自身经验,积极探索加强信息安全法制建设和标准化建设的新思路。
这方面的重点是综合考虑信息网络系统安全立法的整体结构,尽快建成门类齐全、结构严谨、层次分明、内在和谐、功能合理、统一规范的信息安全法律法规体系,用来调节信息安全领域的各种法律关系。
加强信息安全标准化建设,根据信息安全评估的国际通行准则,参照国际标准,学习借鉴先进国家的成功经验,从实际出发,抓紧制定急需的信息系统安全等级保护标准、系统评估标准、产品检测标准、公钥基础设施标准、电子身份认证标准、防火墙技术标准以及关键技术、产品、系统、服务商资质、专业技术人员资质、各类管理过程与测评的标准等。
建立健全信息安全标准化体系,重视现有的信息安全标准的贯彻实施,充分发挥其基础性、规范性的作用。
⒋大力培养信息安全专业人才
信息安全的保障离不开专业的技术人员,信息安全管理的核心要素是高素质的人和技术队伍。
人是保证信息安全的最重要的因素,因为法律、管理、技术都要人去掌握。
信息安全管理人员的安全意识、素质水平、创新能力直接影响到信息的安全。
必须重视和加强对信息安全专业人才的培养,全面提高人员的道德品质和技术水平,这是保障信息安全的关键所在。
通过大众传播媒介、远程教育、组织各种专题讲座和培训班等方式,培养各种层次和类型的信息安全专业人才。
网络安全的现状及防护策略 篇6
【关键词】计算机网络;信息安全;防火墙;安全技术
随着计算机互联网技术的飞速发展,网络信息化在给人们带来种种物质和文化享受的同时,我们也正受到日益严重的来自网络的安全威胁。尽管我们已经广泛地使用各种复杂的安全技术,但是,仍然有很多黑客的非法入侵,对社会造成了严重的危害。针对各种来自网络的安全威胁,怎样才能确保网络信息的安全性。本文通过对网络安全存在的威胁进行分析,总结出威胁网络安全的几种典型表现形式,进而归纳出常用的网络安全的防范措施。
一、计算机网络安全存在的隐患
众所周知,Internet是开放的,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
1.每一种安全机制都有一定的应用范围和应用
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
2.安全工具的使用往往受到人为因素的影响
一个安全工具能不能实现效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。比如操作员安全配置不当造成系统存在安全漏洞,用户安全意识不强,口令选择不慎,将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。
3.系统的后门和木马程序
从最早计算机被入侵开始,黑客们就已经发展了“后门”技术,利用后门技术,他们可以再次进入系统。后门的功能主要有:使管理员无法阻止;种植者再次进入系统;使种植者在系统中不易被发现;使种植者进入系统花费最少的时间。木马,又称特洛伊木马,是一类特殊的后门程序,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
4.只要有程序,就可能存在BUG
任何一款软件都或多或少存在漏洞,甚至连安全工具本身也可能存在安全的漏洞。这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。
二、计算机网络安全的防护策略
尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全:
1.防火墙技术
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
2.数据加密
采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。主要存在两种主要的加密类型:私匙加密和公匙加密。
3.虚拟专用网(VPN)技术
虚拟专用网(VPN)技术利用现有的不安全的公共网络建立安全方便的企业专业通信网络,使数据通过安全的“加密管道”在公共网络中,是目前解决信息安全问题的一个最新、最成功的技术课题之一。在公共网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。VPN有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。由于VPN技术可扩展性强,建立方便,具有高度的安全性,简化了网络技术和管理,使费用降到最低,因而,逐渐成为通用的技术。
4.入侵检测系统
入侵检测技术是为保证系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测中违反安全策略行为的技术。它是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。本论文从多方面描述了网络安全的防护策略,比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
参考文献:
[1]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003
[2]Wes Noonan,Ido Dubrawsky,《防火墙基础》,人民邮电出版社,2007
校园无线网络的安全及防范策略 篇7
1 无线校园网的优点
1.1 便于安装
无线网络的安装优势非常明显,通常情况下仅仅要求对几个或一个无线接入点设备进行有线连接,这样就能够对某个区域进行网络覆盖[1]。
1.2 较强的移动性
无线网络的一个显著优势就是不需要网线连接,这使得学生学习能够最大限度地脱离教室,只要有无线网络信号覆盖,就能够上网;无线网络的另一个显著优势就是能够自由地持续连接与自由移动,从而使移动办公实现。
1.3 低维护成本
尽管搭建无线网络的成本比较高,可是后期的维护成本比较低,同时也便于维护,也比有线网络有更强的灵活性。
1.4 非常宽的带宽
针对很多多向与双向的多媒体信息传输来讲,无线网络非常有利,在传输速度上,802.11b标准的传输速度能够实现的数据速率是11Mbps,802.11g标准的能够实现的数据速率是54Mbps。
1.5 较强的灵活性
在有线网络当中,人们只在有有线网络连接的地方才能够连接上网,而无线网络则不需要这样,只要能够覆盖无线信号,就能够连接上网。并且,因为应用无线扩展频谱技术(跳时、跳频、扩频等)的直接序列,能够非常灵活地组网。
2 无线校园网面临的主要安全问题
2.1 网络管理与应用的问题
学生是校园网络资源的最大收益人群,也是最大的用户群体。学生能够借助计算机、手机等设备随时随地地连接网络。鉴于此,也会出现一系列的问题,比如学生在上课的过程中不认真地听讲,总是低头玩手机;在课间休息的时间段之内,一些学生会通过网络看电影、玩游戏等,这会对学生自身的学习和休息构成影响。除此之外,一些学生具备较强的好奇心理,缺少责任意识,会借助无线校园网络传播一些谣言、发表一些不当言论等,或者是传播一些色情、暴力信息,甚至做出违法犯罪的事情,因此有可能严重干扰了学校的正常教学秩序以及学生的正常学习和生活。
2.2 用户身份认证的问题
因为无线校园网络的特点是开放性,所以非法入侵用户(没有授权的、非法的用户盗用或者是篡改)在获取SSID等技术方式的基础上比较容易登录无线校园网络,进而伪装成为合法的用户,进而盗用学校的网络资源、篡改学校的一些数据信息,以及窃取学校的科研成就和考试试卷等等[2,3]。总之,这种类型的安全问题非常严重,会给校园网络的应用带来非常大的安全隐患。
2.3 设备的安全问题
在设备上关键的问题是AP,因为无线AP会在外部的环境配置,这会导致盗损、雷电击坏、雨水浸透等一些意外情况,为此,应当科学地安置一些外部的AP,避免人为的原因造成AP的失联,在必要的情况下,能够对一些报警设备与监控设备进行安装,从而确保设备的顺利工作。除此之外,一些不法人员会借助伪基站入侵校园的无线网,进而对登录者的一系列信息进行窃取,这会导致严重的网络安全问题。
2.4 密码的破译问题
通常无线网络应用WEP(无线加密协议),而WEP属于有线等效保密算法,这种经常碰到的安全对等加密技术通过共享一个密钥来加密数据,这重点是为了避免不法用户对无线网络进行窃听或者是侵入,其具备128位的最高加密长度,在AP保存的密钥跟输入的密钥一致的情况下,允许用户登录网络对无线网络资源进行应用。可是,这种类型的加密协议能够借助一系列不法的程序分析和破解密码,一些非法用户进而能够入侵校园无线网络。为此,升级和换代加密技术变得非常迫切和关键。
2.5 网络攻击的问题
在黑客或者是不法人员入侵校园无线网络之后,就能够破坏校园的网络系统、网络服务器、网络资源等等[4]。这会造成学校网络主页无法进行访问以及服务器的瘫痪,甚至是将木马程序或者是计算机病毒传送至学校的计算机等,这会导致学校计算机的大面积瘫痪,最终使合法用户难以应用校园网络资源的一系列重大安全隐患造成。
3 校园无线网络的安全防范策略
3.1 认证访问控制的安全防范策略
在校园之内,能够划分应用校园无线网络的用户为以下的两种:一是来访问的流动用户;二是学校的固定用户。校园的教师和学生是主要的用户,因为教学与学习的要求,师生需要随时随地地连接无线网络,以及对网络资源与校园的资源进行访问。针对这种类型的用户来讲,其需要较高的安全性,能够借助802.1x认证方式来认证用户。在当前认证的方式当中,非常安全的一种就是802.1x。802.1 x能够立足于证书来认证访问设备,且借助扩展认证协议EAP来认证用户的身份,全部的认证过程的保护能够通过加密隧道进行,防止泄露认证信息。来访的用户重点是来校交流学术、培训、参观等的一系列短期用户,这种类型的用户不需要非常高的网络安全标准,对他们而言,非常迅速和方便地接入互联网是非常关键的。根据这种类型的用户,校园无线网络的接入能够借助Portal认证方式。
3.2 应用虚拟专用网技术
虚拟专用网就是VPN(Virtual Private Network),其是指将专用网络技术创建在公用网络上。VPN技术在设定加密联系与创建隧道的基础上,能够确保网络的安全性,VPN技术能够带来用户计费系统和认证系统,进而使校园无线网络的安全性大大地提高。
3.3 隐藏SSID的技术的应用
SSID技术能够划分一个无线局域网为一些身份验证不同的子网络,所有的子网络都能够借助独立的身份进行验证,只有通过身份验证的用户才能够进入子网络,进而避免没有授权的用户入侵。在无线接入点AP上设置SSID。一般而言,为了确保附近的无线网络被接入的终端所感知,SSID会被AP广播,这会使校园无线网络的安全性大大地降低。为了使无线网络安全性大大地提升,AP不进行广播最好,能够对SSID设置为隐藏。如此一来,所有没有授权的移动终端尽管能够发现无线网络,可是由于不明确SSID的全名,也难以连接无线网络。
3.4 应用无线入侵检测技术
校园管理网络的工作者能够借助无线局域网分析、监控、检测用户,对侵入事件的种类进行判断,检测不法的网络活动,能够实时地发现和处理不正常的网络流量。无线入侵检测系统不但能够对MAC地址欺骗进行检测,分析伪装WAP的无线网络用户,还可以让无线网络变局域网变得更加安全。无线入侵检测系统的应用如图1所示,
3.5 增强网络管理技术能力与网络安全观念
针对校园无线网络安全来讲,提高网络技术工作者的技术能力与管理工作者的网络安全意识非常关键,网络技术工作者技术能力存在的显著差异性会导致出现网络完全问题。需要分开来培训网络硬件人员和软件人员,让他们明确维护故障和正常管理的方法。针对网络技术工作者而言,务必实现其专业技术能力与网络安全观念的增强。与此同时,统一性地管理无线网络设备,通过管理平台登记设备的工作情况,针对出现的不正常网络情况,实时地发现和解决,从而保证校园网络设备的安全性。
4 结语
总而言之,计算机与网络技术的日益普及使无线校园网络变成教师和学生获取信息的关键基础,其也有利于学校创建智能化的教学系统。与此同时,校园无线网络面临着一系列的安全问题,因此需要全面地兼顾其网络安全性,研究新的机制实现系统的升级,从而提高无线校园网络的安全性、稳定性,切实实现数字化的校园,让高校无线网络更加方便和安全地服务于广大的教师和学生。
摘要:随着国家资金投入的进一步加大和移动终端的迫切需求,越来越多的高校组建了无线校园网,这使得无线校园的安全问题也日益突出。该文阐述了当前无线校园网的优点,分析了无线校园网面临的主要安全问题,并对校园无线校园网的安全防范策略进行了探讨。
关键词:无线网络,安全,防范
参考文献
[1]张茁.无线Wi Fi技术应用现状及发展分析[J].数字技术与应用,2014(6).
[2]王增光,陈立云,卢昱.Wi Fi环境下的身份认证模型研究[J].军械工程学院学报,2015(1).
[3]尹忆民,郝宇红,孙浩志,等.北大医学部校园无线网络建设[J].华东师范大学学报(自然科学版),2015(s1).
基于无线传感网络的安全策略研究 篇8
网络安全技术历来是网络技术的重要组成部分。网络技术的发展历史已经证明了这样的一个事实,没有足够的安全保证的网络是没有前途的。而无线传感网络作为一种起源于军事领域的新型网络技术,其安全性问题显得更加重要[1]。由于与传统网络之间存在较大的差别,无线传感网络的安全问题也有一些新的特点。无线传感网络中节点自身资源严重受限,能量受限,这极大的限制了传感器节点本身的对抗能力;无线传感网络采用无线通信方式,其数据包容易被截获,也更容易收到干扰;无线传感网络内不存在控制中心来集中管理整个网络的安全问题,所以安全系统必须适应网络的分布式结构,并自行组织对抗网络入侵[2]。
我们设计的策略着重考虑了在节点加入和节点退出时引起的拓扑结构变化的安全防范。
2 系统假设
在分析无线传感网络安全需求和安全基础设施之前,先给出一些假设。我们采用由Younis等人提出的系统模型[3~4]。假设在节点加入网络时,网络已经形成了如图1的拓扑结构,且网络各个节点间的通讯正常。节点和信任节点(Node)已组成一个安全的网络,所有节点和主节点(M a s t e r N o d e)围绕一个或多个信任节点(Trust Center)形成无线传感网络。
首先,在节点加入网络前,具有初始化配置,采用低能量密钥分配方案[7],给所有节点分配一个可以与其它节点通信的起始帧(Join Frame)和同一证书Cer t、不同的私钥Ki。其中Cert=S ig n ca(P u b l i c ke y)。同时定义了如下语法:
A→B:E(Ks,(message1||message2……||m e s sa g e N)),表示节点A向节点B发送由密钥Ks加密的消息message1,message2…message N。其中节点A、B可能表示加入节点(JN)、邻节点(NN)、主节点(M N)、信任节点(T N)、退出节点(L N)。
3 节点加入网络的安全策略
当一个新节点欲加入网络,我们根据节点加入时所处的位置。进行了如下分析:
当节点只有一个加入请求的对象,所以节点只能向主节点或信任节点发送加入请求;当节点有多个发送加入请求的对象,为了兼顾各个主节点的功耗和资源平衡,节点加入选择向能量较足的主节点发送加入请求;同时,为了降低主节点的处理器负荷的和减少功耗,优先向信任节点发送加入请求。通过以上的分析后,节点加入网络分为向主节点和信任节点发送加入请求。定义节点加入网络的流程为:加入请求、密钥验证、节点更新三部分。
3.1 节点通过主节点加入
节点通过主节点加入网络包括以下8步:
加入请求(Join Request)
(1)JN→MN:Jo in Fra me当节点欲加入网络时,节点向网络广播发送起始帧(J o i n F ram e)以表示有新节点加入网络(J o in Re q u est)。
(2)MN→JN:Join IDtemp,主节点接到节点发送的请求后,首先将起始帧(Join Frame)与预设的起始帧比较,如匹配,则主节点向节点发送确认信息(Join Succe s s),并向此节点随机分配一个临时节点号(Join IDtemp),节点收到确认信息后,则不在向网络广播起始帧。同时,主节点向信任节点转发新节点加入:MN→TN:Joi n IDt emp。信任节点产生一随机数Random IDtemp并发送:TN→MN:E(KMaster ID,Trust,Rand o m IDt em p||J o in I Dt em p)。信任节点记录该随机数与此Join IDtemp信息。主节点收到信息后,向加入节点转发:MN→JN:Random IDtemp||Join IDt emp。此时,节点加入网络成功。如果起始帧不匹配,节点加入网络失败,主节点记录此节点的物理地址MACJo i n f a i l e d,主节点将忽略此节点的以后发来的起始帧。
密钥验证(Authenticate)
(3)JN→MN:E(KJoin IDtemp,time JM||J o i n I Dt em p||R a n d o m I Dt em p)节点成功加入网络后,还需要需要验证密钥(Key Au th en t ica te Req u es t)。节点此时向主节点发送使用私钥KJo i n ID t e mp加密的如上消息,加入时间戳是为了防止主节点返回验证信息时,节点遭受返回攻击。
(4)MN→TN:E(KMaster ID,Trust,E(KJoin IDtem p,timeJM||Jo in IDt emp||Ra n d o m IDt emp))主节点向信任节点消息,信息中加入主节点的节点号。
(5)(1)TN→MN:E(KMaster ID,Trust,E(KJo in IDtemp Pub lic,(KMaster ID,Joi n ID||Join ID))||KMa st er ID,Jo i n ID||Jo in ID)信任节点对同一证书下的密钥KJoin IDt emp加密的消息解密后,对比产生的Random IDt em p,如果数值匹配,则为新加入节点生成新的会话密钥KMa st er I D,Join ID,并用密钥KJoin IDtemp匹配的密钥加密。此时密钥确认(Key Authenticated)。
(2)如果Random IDt em p不匹配,则新加入节点被认为不可信任节点,信任节点不再为节点分配新节点号新回话密钥,主节点密钥验证失败(Key Unauthentic ated)。
(6)MN→JN:E(KJoin IDtemp,KMaster ID,Join ID||J o i n I D||N l i s tM a s t e r I D)主节点收到密钥确认后,将会话密钥KMaster ID,Join ID和Join ID保存,并向节点发出密钥验证确认信息(K ey Au th en ticated),信息包括更新后的路由列表NlistMaster ID,为区域内的节点能够及时发现新节点加入网络或带有敌意的节点攻击网络提供参考。此时,节点得到验证。
设备更新(Device Update)
(7)(1)MN→NN:E(KMat er,Ni,Join ID||Nlist Ma ster ID)主节点向节点的邻节点广播新节点加入(New Node Join),由主节点与区域内的各个节点之间的会话密钥KMater,Ni(I=1,2,…n)加密后发送更新后的路由列表NlistMaster ID和新加入节点的节点号Join ID。
(2)MN→NN:E(KMaster,Ni,Join IDtemp)如果主节点收到密钥验证失败消息后,主节点向节点的邻节点广播节点删除命令(New Node Discard)。
(8)(1)NN→MN:E(KMaser,Ni,Refreshe d)邻节点更新各自的路由列表后,发送加入确认信息(New Node Join Confir m),至此,节点可以和其他节点享有相同的功能。节点成功加入网络的过程如图2。
(2)NN→MN:E(KMaster,I,Refreshed)邻节点得到删除节点命令后,查看各自的路由列表中是否有节点的信息,如果有,则删除,执行后,向主节点发送节点删除确认(Node Discarded)。
3.2 节点通过信任节点加入
当新加入节点向信任节点发送加入请求时,消息不再通过主节点转发,细节不在赘述。流程为:
加入请求(Join Request)
(1)JN→TN:Join Frame节点广播发送起始帧(Join Frame)
(2)TN→JN:Join IDt em p||Ra n d o mID t e m p.信任节点验证起始帧,如匹配,为加入节点分配临时节点号,并产生随机数。
密钥验证(Authenticate)
(3)JN→TN:E(KJoin IDtemp,timeJM||Join IDt e mp||R a n d o m IDt e mp)加入节点向信任节点发送以私钥加密的随机数,并等待密钥验证结果。
a)TN→JN:E(KJoin IDtemp Public,KTrust,Join ID||Join ID)如果密钥验证成功,信任节点向加入节点发送新分配的会话密钥和节点号。
设备更新(Device Update)
b)(1)TN→NN:E(KT rust,Ni,Join ID||N listMa ster ID)信任节点向邻节点发送更新后的路由列表。
(2)TN→NN:E(KTust,Ni,Join IDtemp)如失败,信任节点向邻节点发送删除新加入节点消息。
c)NN→TN:E(KTrusr,I,Refreshed)邻节点返回信息。
节点成功通过信任节点成功加入网络的过程如图3
节点的加入的流程框见图4。本策略通过预设密钥和证书,在节点加入网络阶段增强网络的安全性。由于引入了起始帧、认证密钥、时间戳;通过对退出节点信息的删除使得节点退出网络后,网络没有冗余信息。策略具备了身份验证、消息保密和内容保鲜等诸多功能,并能够有效防止各种攻击(如返回攻击),从而使得其安全性大大提高。
4 节点安全退出策略
节点的退出包括安全退出(Security L ea v e)和非安全退出(I n se c u ri t y Le a v e)。
当节点退出网络是,节点应向主节点(或信任节点)发出退出请求(Leave Re q u est),退出节点在收到主节点(或信任节点)发出退出确认(Leave Confirm)信息之后定义为安全退出,否则为非安全退出。
如果节点退出网络后,主节点(或信任节点)没有删除退出节点的信息,由于节点信息在网络仍然存在,带有敌意的节点可能伪装成此节点来窃取网络中信息,对网络的构成威胁;同时,退出节点信息的存在也是对网络资源的浪费。
为了防止节点的非安全退出,我们通过定义一时间T,每个T周期,主节点(或信任节点)定时更新网络的路由信息,以消除非安全退出节点对网络的潜在威胁。
与节点加入类似,节点的退出也存在通过主节点和信任节点退出网络两类。
4.1 节点通过主节点退出
通过主节点,节点安全退出包括以下4步:
(1)LN→MN:E(KMaster,Leave,Leave ID||T i m e L N)退出节点向主节点发送退出请求。
(2)MN→NN:E(KMaster,Ni,Leave ID)主节点接收到退出节点发送过来的退出请求后,向节点的邻节点广播退出通知(L eav e Notification),以确保邻节点的地址列表中删除欲退出的节点;MN→TN:E(KMa st er,T rust,Ma ster ID||Lea ve ID||Time LN)同时主节点发送向信任节点发送消息。
(3)NN→MN:E(KMaster,Ni,Leave Confir m)各个邻节点收到主节点广播节点退出通知后,各个节点删除路由列表中退出节点的信息后,向主节点返回确认信息(Leave Confirm);TN→MN:E(KMast er,Trus t,Lea ve Co n firm)同时信任节点删除路由列表中退出节点的信息,并向主节点返回确认信息(Leave Confirm)。
(4)MN→LN:E(KMaster,Leave,Leave Check ed)邻节点和信任节点信息返回后;主节点向退出节点发送节点安全退出信息(L e av e Ch e ck ed),主节点在自己的地址列表中删除此节点信息。节点通过主节点安全退出网络如图5。
4.2 节点通过信任节点退出
节点通过信任节点安全退出网络包括以下4步:
(1)LN→TN:E(KTrust,Leave,Leave ID||T ime LN)退出节点向信任节点发送退出请求。
(2)TN→NN:E(KNi,Trust,Leave ID)信任节点接收到节点退出请求后,向邻节点广播退出通知(Leave Notification)。
(3)NN→TN:E(KNi,Trust,Leave Confir m)各邻节点收到信任节点广播节点退出通知后,各邻节点删除路由列表中退出节点的信息后,向信任节点返回确认信息(Leave Confirm)。
(4)TN→LN:E(KLeave,Trust,Leave Check e d)邻节点信息返回;信任节点向退出节点发送节点安全退出信息(Leave Check ed)后,主节点在地址列表中删除此节点信息。(节点通过主节点安全退出网络的步骤如图6)。
结语:在构建传感器网络安全策略方案时,我们充分考虑到节点计算速度、电源能量、通信能力和存储空间非常有限的特点,密钥建立协议和消息加密都设计得比较简单,参与各方在通信过程中需要传输的内容尽可能地少,确保通信的质量,减少因节点通信能力有限造成会话失败的机率[9]。同时,本方案避开了由普通节点进行代价昂贵的公钥运算,密钥验证和密钥生成均由信任节点完成,降低了对普通节点要求,并通过减少会话步骤来降低节点的工作负荷,从而使得整个方案的计算、存储和通信开销都非常小,大大提高了方案的执行效率。
主节点完成大部分数据汇聚功能,只有在认证密钥和加密密钥时信任节点参与,从而有效地降低了信任节点的工作负荷,避免信任节点成为网络通信的瓶颈,这使得方案具有很好的可扩展性。
最后通过对节点退出的阐述定义了节点退出的两种模式,安全退出和非安全退出。在考虑了节点退出对无线传感网络安全的可能影响后,研究了节点安全退出机制。对与节点的非安全退出,也通过网络的定时更新,预防了其可能对无线传感网络安全的影响。
摘要:针对无线传感网络中拓扑结构变化时考虑安全需求不够的问题,提出一种节点加入和退出网络的安全策略。该策略把节省节点能耗和降低计算负荷作为设计目标,采用预设密钥和证书方案和转发节点请求的方法,有效地降低节点的耗能和计算量。同时对节点退出进行了定义、分类和研究,增强了网络的安全性和减少了退出节点在网络中的冗余。最后经过安全性分析和性能分析,该策略具有适用面广、耗能低和计算量小的优势。
关键词:无线传感网络(WSN)安全,策略
参考文献
[1]于海斌,曾鹏等.智能无线传感器网络系统.科学出版社,2006.16-17.
[2]孙利民,李建中等.无线传感器网络.北京:清华大学出版社,2005.4-22.
[3]Callaway E H.Wireless Sensor Networks:Architecture and Protocols[M].Florida:CRC Press LLC,2004:41-26.
无线网络的安全策略 篇9
受通信资费不断下调、单向收费等方面的影响, 移动通信的用户数和话务量保持高速的增长势头。但同时网络的各种瓶颈也逐渐显现, 并不断暴露出容量需求和网络规划间不协同性。网络的瓶颈已不仅仅表现在网络的语音信道需求和网络质量下降上, 更严重影响到网络的安全, 引发网络的瘫痪。
面临新一轮大规模的网络扩容建设, 准确评估网络扩容的极限, 科学、合理制定各区域的扩容策略, 将是网络安全、投资成本控制的关键。
本论文通过选取典型的高话务密度区进行网络特征分析, 建立各类型区域网络的建设模型, 结合现网NCS数据的分析, 仿真预测的验证, 准确预测各类型区域的载波配置极限;并将该研究应用于现有实际网络, 通过制定高话务密度区扩容及网络结构调整的策略, 从规划阶段解决网络容量与质量的矛盾。
2 网络容量实现技术
GSM扩容传统的方法是小区分裂与频段扩展, 但目前频率资源相当缺乏, 申请新的频率资源相当困难, 同时由于频率资源的限制, 如果继续小区分裂, 将难以控制由此产生的干扰, 导致网络质量下降, 因而采用更加紧密的频率复用技术, 建立多层网、双频网络结构, 使用半速率技术、动态资源调配系统等已成为解决GSM网络容量的重要手段。
(1) 小区分裂技术
小区分裂提高频谱利用率的关键在于减小了单位小区的面积。理论上, 若分裂后的小区能够严格控制覆盖范围, 小区覆盖半径可以无限地小, 容量可以无限增加, 但实际上由于受地理环境、无线传播环境等因素的影响, 小区的最小半径受同频邻频干扰限制, 不可能无限制缩小。
(2) 频率复用技术
要提高网络容量, 就必须对有限的频率资源进行重复使用;采用更加紧密的频率复用技术后, 虽然提高了频率的利用率, 但由于同频复用距离减小, 网内干扰增加, 需要采取抗干扰措施。
(3) 立体网络结构
立体网络结构的概念是通过无线蜂窝小区在空间的重复覆盖, 达到提高频率重复使用密度, 解决频率资源不足的矛盾, 提高网络的容量。一般可将网络结构按照层次划分为中层站、高层站和低层站, 如图1所示。
(4) 双频网络结构
目前GSM900中层站的站间距已非常小, 继续扩容GSM900系统已相当困难, 引入GSM1800网络, 采用GSM900/GSM1800双频组网方式可以有效满足GSM网络容量增长的需求。
3 高话务区域网络特征研究
根据无线传播环境及业务分布进行区域划分, 研究不同区域的话务密度、无线网络架构、无线站点布局、网络质量等情况, 总结出高话务密度区网络的特征, 作为其它区域发展的标榜。
高话务区网络特征参数主要包括:
(1) 区域平均话务密度 (Erl/km2)
(2) 多层网布局
(3) 双频网布局
(4) 室内/室外站点布局
(5) 区域平均站间距和平均站高
通过高话务密度区网络特征分析, 总结出目前高话务密度区成熟网络特征如下:
(1) 区域平均话务密度大于1400 Erl/km2;
(2) 多层网的布局方面, 站型向低层站型下沉, 高层站减少或取消, 低层站大幅增加;
(3) 双频网的布局方面, 中层站G S M 9 0 0、GSM1800系统的密度相当;低层站主要以GSM900系统为主, GSM1800的比例较低;
(4) 室内/室外站点布局方面, 室内站点比例增大, 个别区域室内站已超过室外站点数50%以上;室内站点的密度约12~24个/km2, 室外站点的密度约为16个/km2。
(5) 站点平均站高和平均站间距方面, 低层站的站高约为15米左右, 中层站的站高约为35~40米;中层站的站间距约300~350米。
4 网络扩容的配置极限
GSM网络的质量主要取决于网络的干扰情况 (即C/I的情况) , 而网络的干扰情况主要取决于网络规模配置和可用的频率资源。而频率复用度是衡量网络频率复用宽松程度的一个主要参数。
实际网络频率复用度与网络结构、无线传播环境有关。本节一方面通过分析理论蜂窝的结构, 利用现网NCS测量数据进行修正, 计算出各种类型区域满足GSM干扰要求的极限配置。另一方面, 通过仿真的方式, 评估各种类型区域不同配置下网络的质量, 再与计算出的极限配置结果相印证, 最后推导出适合网络发展的网络配置策略。
4.1 标准蜂窝结构频率复用
频率复用度反映了频率复用的紧密程度。对于n×m频率复用方式:n表示复用簇中有n个基站, m表现每个基站有m个小区。那么, 它的频率复用度为:
在标准蜂窝结构 (如图2) 中, 复用距离D、小区半径R, 每个频率复用簇的小区数N之间满足下列关系:
小区的同频干扰 (C/I) 可表示为:
式中qk是第k个同频干扰小区的同频干扰衰减因子, r是实际地形环境确定的路径损耗斜率, 移动环境中路径损耗斜率取值r=3~5, 一般取4。
4.2 实际网络频率复用度分析
在实际网络中, 由于实际网络结构、天线高度等不规则性, 实际网络的干扰远比标准蜂窝结构严重。为分析实际网络的复用度, 首先讨论一下实际网络的干扰小区。
在标准蜂窝结构4-1中, 假设小区覆盖形状为圆形, 绿色主小区的6个邻小区 (蓝色) 重叠面积为5.8%;实际网络中网络布局不规则, 布局不规则的结果将导致干扰小区的数量增加, 与主小区重叠超过5.8%的小区个数一般超过6个。为计算出实际网络与标准网络相对的干扰小区, 定义:覆盖重叠度H=NCS (现网) /6, 实际干扰小区数= (标准干扰小区数) 6×H。
假定各干扰小区对主小区的干扰距离、干扰程度都一样, 利用小区的同频干扰公式 (4-3) 可求得q;然后由公式4-2、4-1可计算出每个频率复用簇的小区数N, 频率复用度freuse=N×3。
基于以上分析, 我们采集了南方某市典型高话务区域进行分析, 得到以下表1结果:
由上表1可知, 由于受无线传播环境等影响, 实际网络的干扰小区数比理论蜂窝结构的干扰小区数增加约50%, 因此实际网络最小的频率复用度比理论蜂窝结构的最小频率复用度要大。
4.3 基于仿真频率复用度验证
GSM网络频率复用的紧密程度直接影响网内频率干扰的程度, 频率干扰的程度直接影响网络质量, 也就是说, 在频率资源一定的前提下, 基站最大配置受限于复用系数, 合理取定频率复用系数是在网络容量和质量之间取得相对平衡的关键手段之一。
(1) 仿真方法
仿真软件:英国AIRCOM公司规划软件ASSET 4.2;
仿真区域:区域内仿真对象为室外中层站GSM900系统;
仿真步骤:假定可用频点为载波编号1~95, 参照现网频率模型, 改变各小区配置为7、8、9、10、11个载波数, 即TCH平均频率复用系数为10.8、9.2、8.1、7.2、6.5, 给定初始频率方案, 逐次进行频率规划和同频干扰分析;
(2) 仿真结果
(3) 统计结果汇总
各次仿真的频率复用度、C/I大于等于12 dB和9 dB的覆盖面积百分比如表2所示。
注:表中TCH频率复用系数由现网频模中65个TCH可用频点计算得出
由上述仿真图及统计表可见, 随着各基站规模配置的提高, 频率复用系数减小, 网内频率干扰情况越来越严重, 具体来说, 每小区的载波数每增加1个, 会导致C/I≥12 dB和9 dB的覆盖面积百分比下降5~10个百分点。
考虑到仿真中只考虑到中层站的情况, 另外约有5-10%的室内站载波没有参与仿真, 通过统计, 典型区域中的室内站的话务约占现网忙时总话务的10%, 因此在实际网络中, 满足同频干扰比的覆盖面积会比上表中略大 (2~5%) 。但从统计中也可以看出, 当区域内各小区载波规模大于8时, 满足C/I要求的覆盖面积普遍下降到80%以下, 此时网络内干扰程度已经不能满足网络的质量要求。
综上所述, 从仿真的角度上来看, 不建议900区域平均载波数超过8个。
5 网络扩容建设策略研究
目前, GSM网络主要由高层站、中层站及低层站等组成, 网络的容量相应由多层网组成, 如图4。
由图4可知, 高层站、中层站的容量由网络的站间距和平均载波配置决定, 低层站的容量则由站点密度和载波配置决定。因此, 突破网络容量的限制实质上是对网络的结构进行调整, 通过调整多层网、双频网的话务分担比例, 达到网络的安全扩容。
根据上两节的分析, 为确保网络的整体质量, 提高网络总体的话务承载能力, 提高频率的利用率, 关键是充分利用可使用的频率。现有密集市区和普通市区的扩容建设总体策略为:控制高层、保持中层、扩大低层。
(1) 严格控制高站的覆盖范围。密集市区和普通市区的站点密度很高, 基站间的重复覆盖严重, 彼此干扰厉害害, 应严格控制各站点的覆盖范围。对于原有高站, 应尽量降低天线的高度, 对于无法降低, 而站点又比较重要的基站, 应通过电调天线、降低功率等种种手段, 严格控制其范围[15]。
(2) 优化中层站的拓扑结构。目前, 中层站的站间距已经很小, 如果继续减少站间距, 必将引入更多的干扰, 影响网络质量, 因此, 中层站不应一味缩小站间距, 应以优化为主。根据城市的变化、网络发展的要求进行局部的优化, 以提高中层站的频率复用系数。
(3) 继续将话务引向低层。目前, 大部分区域的低层站的话务分担比例还比较低, 为满足容量需求, 可将话务继续引向低层站, 通过扩大街道站、热点室内覆盖站点的建设, 分担中层站的压力, 同时提高网络频率利用率。
(4) 均衡利用双频网频率资源。目前GSM1800系统的频率资源比GSM900系统丰富, 而话务承载能力相当。在建设双频网时, 应均衡利用双频网的频率资源。另外, 由于频率资源有限, 应根据网络的干扰情况, 控制基站的平均载波配置。
6 总结
本文分析了高话务密度区的网络特征, 研究了高话务密度区网络的频率利用率等内容, 在此基础上制定了该类区域的建设策略和调整原则, 有效指导网络的规划。在高话务密度区的参数设置方面, 未能详尽研究, 希望以后继续深入探讨。
摘要:本文着重于研究高话务密度区立体网络结构的构建, 双频网络话务分担以及频率复用度极限的研究。在此基础上, 制定高话务密度区扩容的策略、原则和方法。
关键词:高话务,话务承载能力,频率复用度,网络规划,建设策略
参考文献
[1]张威.GSM网络优化——原理与工程[M].北京:人民邮电出版社, 2004:31~40
[2]华为技术有限公司.GSM无线网络规划与优化[M].人民邮电出版社, 2004:127~132, 203~226
[3]卢赛刚, 张朝阳.移动通信的网络瓶颈和网络规划新趋势[J].移动通信, 2004, (Z1) :40~42
[4]北京移动通信公司.解决北京地区高话务热点问题的几点体会[J].电信科学, 2000, (05) :27~29
谈校园网络的安全策略 篇10
随着社会信息化程度的不断提高, 网络已经深入到人们生活、学习、工作的方方面面, 日益成为社会通信的神经中枢。近年来, 校园网络作为学校重要的基础设施, 在学校的教学、科研、管理和对外交流等工作中起着重要的作用。随着校园网络应用的不断深入, 校园网的安全问题也日益突出。如何使校园网安全、稳定、高效地运转, 已成为当前各高校网络建设中不可忽视的首要问题。针对目前校园网存在的安全隐患进行分析, 提出加强校园网安全防范的相关对策。
2 校园网络的安全隐患
2.1 网络自身的缺陷
计算机网络是一个基于TCP/IP协议的网络, 不同地域的计算机基于TCP/IP协议能够完成相互间的通信, 并且协同工作, 实现资源共享。但是, TCP/IP协议也存在着设计缺陷, TCP/IP的设计原则就是保持简单, 在TCP包和IP包都没有留给数据加密的项目或选项, 这使得在网上传输的数据, 如果在终端没有加以处理的话, 都是以明文传输的, 这样容易被入侵者窃听甚至篡改。而IP包中没有认证选项, 使得入侵者的伪造和欺骗行为成为可能。正是这些设计缺陷, 在计算机网络中也埋下了严重的安全隐患。
2.2 软件漏洞
目前, 因为各种原因而形成的软件漏洞, 对校园网络安全造成一定的威胁。其中, 软件漏洞有两大类:一类是蓄意制造的漏洞, 是系统设计者为日后控制系统或窃取信息而故意设计的漏洞;另一类是无意制造的漏洞, 是系统设计者由于疏忽或其它技术原因而留下的漏洞。极少数网络用户, 他们怀着各种各样目的, 对校园网进行攻击, 利用手中的攻击软件, 对系统的漏洞实施攻击。如:窃取网络上的信息、用户的口令和数据库信息, 甚至篡改、删除数据库的内容、伪造用户身份, 否认自己的签名, 摧毁网络节点, 释放计算机病毒等。另外, 程序员为了方便自己而设置的一些软件后门, 一旦泄漏出去或被他人发现, 这个给程序员留下的秘密入口将成为“黑客”入侵的通道, 极有可能带来危害甚至是极大的损失。
2.3 恶意攻击
对校园网的攻击有来自外部和内部的双重攻击。由于校园网为了适应学校管理、教学和科研信息化的需要, 在管理方面, 校园网的主干不能作过多的限制, 否则, 会给师生的工作、学习, 新技术的开发与应用带来不便, 但这样开放的网络系统容易受到网络病毒、蠕虫、木马病毒等的感染与攻击, 给校园网的安全带来威胁。还有, 极少数网络用户, 怀着各种各样目的, 对校园网进行攻击。攻击者一般要经过“探测”、“攻击”、“隐藏”三个步骤, 利用浏览器、网站插件、代码等方面的漏洞进行攻击, 一旦计算机被攻破后, 将成为黑客的工具, 黑客通过留下的后门对校园网进行再次攻击。
3 校园网络的安全策略
网络是一个分层次的拓扑结构, 不同层次反映了不同的安全问题, 因此, 网络的安全防护也应该采用分层次的防范保护措施。根据网络的应用现状情况和网络的结构, 我们分层次将安全防范体系划分为物理安全、系统安全、结构设计安全和管理安全。
3.1 物理安全
校园网的物理安全包括通信线路的安全, 物理设备的安全, 机房的安全等, 是整个校园网络系统安全保障的前提。在校园网工程的设计和建设中, 必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统, 防雷系统不仅考虑建筑物防雷, 还必须考虑计算机及其他设备的防雷;考虑校园网中心机房物理设备的防盗、运行的安全性, 学生机房环境的流通及计算机设备的防范及报警系统的建设等, 要尽量避免校园网络的物理安全风险。
3.2 系统安全
系统安全主要指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范, 不同的用户应从不同的方面对其网络作详尽的分析, 选择安全性尽可能高的操作系统。一方面对系统进行升级和安全增强配置, 同时, 必须加强登录过程的认证 (特别是在到达服务器主机之前的认证) , 确保用户的合法性;其次应该严格限制登录者的操作权限, 将其完成的操作限制在最小的范围内。另一方面, 通过漏洞检测工具定期对系统进行安全漏洞扫描, 以便于及时发现安全隐患, 并根据安全补救建议修补系统。
应用系统的安全跟具体用户的应用有关, 应用系统的安全是动态的、不断变化的, 而应用的安全性又涉及到信息、数据的安全性。在应用系统的安全性上, 首先考虑通信的授权、传输的加密和审计记录, 加强登录过程的认证, 确保用户的合法性;其次, 采用多层次的访问控制与权限控制手段, 实现对数据的安全保护;采用加密技术, 保证网上传输的信息 (包括管理员口令与帐户、上传信息等) 的机密性与完整性。尽可能建立安全的系统平台, 而且通过专业的安全工具不断发现系统中的漏洞, 修补漏洞, 提高整个系统的安全性。
3.3 结构设计安全
在进行网络设计时, 安全因素容易被忽视。因此, 在设计时, 应该有一个严谨的规划, 进行专门的安全措施设计, 分层次进行针对性防范。
3.3.1 安装防火墙
防火墙实际上是一种隔离技术, 它使外网与内网之间建立起一个安全网关, 合理运用硬件、软件防火墙将关键主机和关键网段进行隔离, 使不同等级的网络具有明确的安全边界, 形成多级防护体系, 以实现对系统的访问控制和安全的集中管理, 从而保护内部网络免受非法用户的侵入。
在校园网出口处放置防火墙, 控制Internet对Intranet的访问。并将网络划分为三个不同级别的区域, 即:Intranet (内部网络) ——防火墙要保护的对象;Internet (外部网络) ——防火墙要防护的对象;DMZ (非军事区) ——内部网络中用于公众服务的外部服务器。在边界上放置路由器和防火墙, 充分利用边界路由器的包过滤功能, 添加相应的防火墙配置, 这样路由器也就具有了防火墙功能, 再利用防火墙与需要保护的内部网络连接。而对于DMZ区中的公用服务器, 则可直接与边界路由器相连, 由路由器对其进行简单防护。这样, 边界路由器与防火墙一起在内网与外网之间构建了两道安全防线。同时, 在安全性要求高的部门 (如人事部门、财务部门) 与校园网接口处放置防火墙, 可将该部门与校园网隔离, 防止校园内对该部门的攻击。
防火墙不仅可以通过包过滤来筛选数据包, 而且可以通过入网访问控制来保证网络资源不被非法使用和非法访问, 防止黑客入侵。我们可以采取认证服务器对用户访问进行统一的身份认证, 只允许通过授权的网络协议和端口对网络进行访问, 针对非法访问攻击进行限制。对进出防火墙的攻击进行检测并防御, 每一个防火墙都有一个规则库, 凡是通过防火墙的信息, 只要符合其所设定的规则的通讯将会被放行, 从而确保网络流量的合法性。但对于不经过防火墙的攻击它是无能为力的, 因此网络的防卫必须采用纵深的、多样的手段。
3.3.2 设置入侵检测系统
入侵检测系统 (IDS) 即是入侵检测的软件与硬件的组合。入侵检测可以帮助系统对付各种网络攻击, 它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析, 查看网络或系统中是否有违反安全策略的行为和攻击的迹象。IDS被认为是继防火墙之后的第二道安全防线。
入侵检测系统是旁路设备, 我们在需要保护的网络之中放置入侵检测系统, 它不会影响网络的通讯速度, 通过它能检测、识别网络和系统中存在的入侵和攻击。当网络内部有攻击出现时, 能对攻击做出有效的响应, 并阻止攻击的进行, 同时对攻击进行记录、做出主动响应。从而提供对内部攻击、外部攻击和误操作的实时保护。
3.3.3 设置蜜罐
虽然设置了很多防范措施, 但还是不能完全杜绝攻击, 而且我们必须确保系统不存在任何可被攻击者利用的漏洞, 只要被攻击者找到任一漏洞都有可能攻破系统, 而一旦被攻陷后还很难确认攻击者的来源、攻击方法和攻击目标。针对这一情况, 我们可通过蜜罐技术进行防御, 变被动为主动防御。
蜜罐是一个专门为了被攻击或入侵而设置的操作系统, 它模拟一些基本的服务, 包括http、ftp、telnet等。把蜜罐构建成与实际的网络系统一样, 两者存在相同的风险和脆弱性, 但实际上它并不包含任何敏感数据, 也没有合法用户和通信。凡是进出蜜网的所有数据必须经过蜜墙, 为了防止入侵者在攻陷蜜罐如果利用蜜罐系统向其他主机发起攻击, 在蜜墙上实行“宽进严出”的策略, 即允许蜜网接受所有外来数据, 但严格控制蜜网向外部发出的数据。
每一个试图与蜜罐主机相连接的对象都是可疑的, 一旦检测到有连接, 则进行监听并作记录, 跟踪并收集入侵者的信息, 利用蜜罐的审计、跟踪和现场记录功能, 记录并反馈网络异常事件实例。通过对这些实例的分析, 可以了解入侵者攻击系统的方法和动机, 也能充分认识实际网络系统所存在的安全风险和脆弱性, 赢得研究对策的时间, 并能有针对性研究解决方案, 增加系统的抗攻击能力。
3.4 管理安全
建立完善和科学有效的安全管理规章制度是保障校园网络安全运行的客观需要, 同时也是搞好网络建设的必备措施。俗话说“没有规矩, 不成方圆”。有了一系列的防范设施, 若疏于管理, 那也发挥不了作用。重在管理, 关键在于人, 责权不明, 安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。我们可以制定管理人员分级管理制度, 即:不同职责的管理员使用同一套系统时可以得到不同的操作界面以及使用权限, 避免了管理上的安全隐患。还有应制定机房管理制度、设备管理维护制度、软件维护制度、用户管理制度、密钥管理制度、出入门卫制度、各类操作规程检查监督制度、数据管理制度、网络通讯安全管理制度、计算机网络病毒防治管理制度、网站管理及信息发布和系统日志审计制度、灾难恢复计划、操作人员的道德标准等等。
结束语
综上所述, 校园网络安全建设是一个较为复杂的系统工程, 但只有实现网络信息的安全, 才能确保校园网络的应用。我们应当全面综合运用防火墙、入侵检测系统、蜜罐等多项技术, 构建起多层次的网络安全技术体系。当然, 单独运用技术不能解决一切问题, 除了技术以外, 制度建设也是网络系统安全的重要组成内容, 合理建立起网络安全技术与网络安全管理的整套安全防范系统, 最终为学校教学与科研提供安全高效的网络信息传输保护屏障。
参考文献
[1]国家反计算机入侵和防病毒研究中心组编.网络安全攻防实战[M].北京:电子工业出版社, 2008, 5.
[2]邓亚平.计算机网络安全[M].北京:人民邮电出版社, 2004, 9.
[3]刘海燕.计算机网络安全原理与实现[M].北京:机械工业出版社, 2008, 11.
[4]葛秀慧, 田浩, 金素梅.计算机网络安全管理 (第2版) [M].北京:清华大学出版社, 2008, 5.
【无线网络的安全策略】相关文章:
无线网络安全维护策略论文04-21
学校无线网安全策略研究论文04-29
无线网络安全维护策略论文提纲11-15
无线频谱资源的应用策略03-07
无线网络安全的论文题目05-06
无线网络的安全通信分析论文04-28
无线网络的安全性论文04-19
浅论无线校园网的安全09-11
浅析无线网络在企业中的安全应用09-11
无线网络安全论文05-13