相关热词搜索:
企业保护网络安全论文
企业保护网络安全论文 编者按:本文主要从无线网络安全产生因素;企业无线解决策略进行论述。
其中,主要包括:无线局域网网络在最近几年企业中得到了快速普及、安全机制 不太健全、企业无线局域网大部分都采用了安全防范性能一般的WEP协议、企业 无线局域网几乎都不支持系统日志管理、入侵安全检测等功能、无法进行物理隔 离、用户安全意识不够、抗外界干扰能力差、无线网络的安全性与有线网络相差 无几、防火墙对流经它的网络通信进行扫描、防火墙具有很好的保护作用、最早 的安全标准WEP已经被证明是极端不安全的、WPA、WPA2及IEEE802.11i持内 置的高级加密和身份验证技术、基于网络的漏洞扫描、使无线接入点保持封闭安 全的第一步是正确放置天线等,具体请详见。
摘要:当前,在公众移动通信持续快速增长、移动通信网络向3G全面演进的 同时,WLAN、UWB、Zig-Bee、RFID等新的宽带无线接入技术和短距离无线技 术相继涌现,并不断走向成熟。无线网络逐渐深入到各规模的企业中,通过无线方 式传输数据使得企业内部网业务更加灵活的开展,不再局限于网线与墙面的接插 面板,而无线传输标准也在近日有了比较大的改进,但是无线网络或多或少存在着 一定的安全隐患问题,对于企业已经建立的无线网络又该如何保证他的安全,让我 们的企业网络更加安全。
关键词:无线;网络安全;解决策略 伴随着无线网络设备的价格不断走低,以及操作上的越来越简便,无线局域 网网络在最近几年企业中得到了快速普及。为了方便进行资源共享、无线打印、 移动办公操作,只要耗费几百元钱购买一台普通的无线路由器和一块无线网卡设 备,就可以快速地搭建好一个简易的无线局域网网络了。在这种情形下由于无线 网络的特点,使本地无线局域网就非常容易遭遇插入攻击、欺诈性接入、无线通 信的劫持和监视等非法攻击。
1无线网络安全产生因素 1.1安全机制不太健全 企业无线局域网大部分都采用了安全防范性能一般的WEP协议,来对无线 上网信号进行加密传输,而没有选用安全性能较高的WAP协议来保护无线信号的 传输。普通上网用户即使采用了WEP加密协议、进行了WEP密钥设置,非法攻击者仍然能通过一些专业的攻击工具轻松破解加密信号,从而非常容易地截取客户 上网地址、网络标识名称、无线频道信息、WEP密钥内容等信息,有了这些信息 在手,非法攻击者就能方便地对本地无线局域网网络进行偷窃隐私或其他非法入 侵操作了。
此外,企业无线局域网几乎都不支持系统日志管理、入侵安全检测等功能, 可以这么说企业无线局域网目前的安全机制还不太健全。
1.2无法进行物理隔离 企业无线局域网从组建成功的那一刻,就直接暴露在外界,无线网络访问也 无法进行任何有效的物理隔离,各种有意的、无意的非法攻击随时存在,那么无线 局域网中的各种隐私信息也会随时被偷偷窃取、访问。
1.3用户安全意识不够 企业无线局域网往往只支持简单的地址绑定、地址过滤以及加密传输功能, 这些基本安全功能在非法攻击者面前几乎没有多大防范作用。不过,一些不太熟 悉无线网络知识的用户为了能够快速地实现移动办公、资源共享等目的,往往会 毫不犹豫地选用组网成本低廉、管理维护操作简便的企业无线局域网,至于无线 局域网的安全性能究竟如何,相信这些初级上网用户几乎不会进行任何考虑。再 加上这些不太熟悉无线网络知识的初级用户,对网络安全知识了解得更少了,这些 用户在使用无线网络的过程中很少有意识去进行一些安全设置操作。
1.4抗外界干扰能力差 无线局域网在工作的过程中,往往会选用一个特定的工作频段,在相同的工 作频段内无线网络过多时,信号覆盖范围会互相重叠,这样会严重影响有效信号的 强弱,最终可能会影响无线局域网的信号传输稳定性;此外,无线上网信号在传输 过程中,特别容易受到墙体之类的建筑物的阻挡或干扰,这样也会对无线局域网的 稳定性造成一定的影响。对于那些企业的无线局域网来说,它的抗外界干扰能力 就更差了,显然这样的无线局域网是无法满足高质量网络访问应用要求的。
2企业无线解决策略。
无线网络的安全性与有线网络相差无几。在许多办公室中,入侵者可以轻 易地访问并挂在有线网络上,并不会产生什么问题。远程攻击者可以通过后门获得对网络的访问权。一般的方案可能是一个端到端的加密,并对所有的资源采用 独立的身份验证,这种资源不对公众开放。正因为无线网络为攻击者提供了许多 进入并危害企业网络的机会,所以也就有许多安全工具和技术可以帮助企业保护 其网络的安全性。
防火墙:所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和 外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙对流经它的 网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防 火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛 伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有 通信。
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才 能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可 能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。一个强健的防火 墙可以有效地阻止入侵者通过无线设备进入企业网络的企业。
安全标准:最早的安全标准WEP已经被证明是极端不安全的,并易于受到 安全攻击。而更新的规范,如WPA、WPA2及IEEE802.11是更加强健的安全工具。
IEEE802.11和RADIUS鉴权通过使用IEEE802.11标准中规定的MAC层方法或使 用RADIUS等高层方法可对与无线网络相关的终端站进行鉴权。IEEE802.11标准 支持MAC层鉴权业务的两个子层:开放系统和共享密钥。开放系统鉴权是设定鉴 权服务,是终端站间彼此通信或终端站与接入点间通信的理想选择。802.11共享密 钥鉴权容易受到攻击,且不符合Wi-Fi标准。
WPA、WPA2及IEEE802.11i持内置的高级加密和身份验证技术。WPA2和 802.11都提供了对AES(高级加密标准)的支持,这项规范已为许多政府机构所采用。
采用无线网络的企业应当充分利用这两种技术中的某一种。
漏洞扫描:许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息, 如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中 可被攻击者利用的漏洞,如可以找出一些不安全的接入点等。
基于网络的漏洞扫描。基于网络的漏洞扫描器,就是通过网络来扫描远程 计算机中TCP/IP不同端口的服务,然后将这些相关信息与系统的漏洞库进行模式 匹配,如果特征匹配成功,则认为安全漏洞存在;或者通过模拟黑客的攻击手法对目标主机进行攻击,如果模拟攻击成功,则认为安全漏洞存在。
基于主机的漏洞。主机漏洞扫描则通过在主机本地的代理程序对系统配置、 注册表、系统日志、文件系统或数据库活动进行监视扫描,搜集他们的信息,然后 与系统的漏洞库进行比较,如果满足匹配条件,则认为安全漏洞存在。比如,利用低 版本的DNSBind漏洞,攻击者能够获取root权限,侵入系统或者攻击者能够在远程 计算机中执行恶意代码。使用基于网络的漏洞扫描工具,能够监测到这些低版本 的DNSBind是否在运行。一般来说,基于网络的漏洞扫描工具可以看作为一种漏 洞信息收集工具,根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多 个目标服务器,以判断某个特定的漏洞是否存在。
降低功率:使无线接入点保持封闭安全的第一步是正确放置天线,从而限制 能够到达天线有效范围的信号量。天线的理想位置是目标覆盖区域的中心,并使 泄露到墙外的信号尽可能的少。同时,仔细地调整天线的位置也可有助于防止信 号落于非法用户手中。不过,完全控制无线信号是几乎不可能的,所以还需要同时 采取其它一些措施来保证网络安全。其中降低发射器的功率,从而减少设备的覆 盖范围。这是一个限制非法用户访问的实用方法。
用户管理:企业要教育雇员正确使用无线设备,要求雇员报告其检测到或发 现的任何不正常或可疑的活动。“科技以人为本”要加强所有雇员的安全防范意识, 才能使企业无线网络安全防护真正实施。
当然,不能说这些保护方法是全面而深入的,因为无线网络的弱点是动态的, 还有很多,如对无线路由器的安全配置也是一个很重要的方面。所以无线网络安 全并不是一蹴而就的事情。
结束语:管理制度要与时俱进,而无线网络安全技术也是如此,为了企业能 够更好的使用无线网络,享受新无线标准带来的高信号覆盖,高速度传输等方面的 乐趣,企业网络管理员也应该实实在在的学会针对无线网络的安全管理,让企业网 络特别是无线传输更加安全,将病毒与黑客入侵阻挡在无线信号大门之外。
