局域网络安全防范基础知识大全
电力计算机局域网的设置是目前各个供电局正在研究的主要问题,该项设置工作主要是依靠于信息技术的应用优势将庞大的供电数据信息整合起来,并建立相应的网络结构体系,确保供电工作的可持续运行状态。下面就让小编带你去看看关于局域网络安全防范基础知识大全吧,希望能帮助到大家!
内网安全-主机运维管理
运行资源监控
在 Web 控制台对终端的 CPU、内存、硬盘的资源占用率和剩余空间以及 CPU和硬盘的温度进行监控,设定危险报警阈值,终端运行资源达到设置阈值后,可在终端消息提示,并自动生成审计日志上报服务器。
流量管理和控制
蠕虫病毒和 BT 下载等行为在很多情况下会严重占用网络带宽,造成网络的拥塞甚至瘫痪,对此可利用本系统进行流量的管理与监控。
主要功能:
流量采样阈值设定:用户自主设定采样阈值,当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,防止上报数据过多给网络带来负担。
上报的当前流量进行汇总,对当前的流量进行时实排序,以便网络管理人员进行快速分析是否是网络安全事故。
对网络客户端的历史流量进行统计和排序,并可生成报表。
对并发连接数设定阈值并进行采样。
对网络扫描的可疑行为进行阈值设定和报警。
对客户端大量发包的可疑行为进行阈值设定和报警。
对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理。
设定网络客户端流量上限阈值,对超过的进行报警上报、自动阻断、客户端提示等管理。
流量异常监控
在 Web 控制台对终端的网络流入、流出和总流量进行监控和管理。并能够对产生总流量过大、分时段瞬时流量过大的进程进行统计,辅助分析产生流量过大的原因。可以自主选择流量监控方式,包括(流量的时间控制,连接数以及流量累积总数量)。通过流量的审计,后台监控可以对异常客户端采取及时有效的措施,包括终端告警,甚至是阻断联网等。
服务与启动项监控
实时监控终端服务和启动项的增加、减少、状态变化情况,自动生成审计日志上报给服务器。
客户端文件备份
针对终端计算机进行数据实时备份,将本机计算机目录文件数据实时或定时备份到数据服务器或其它计算机上存储。针对局域网服务器数据存储等提供安全数据同步备份解决方案。
电力计算机局域网络安全防范的重要性
局域网指的是在局部的空间范围内将网络信号及硬件设备连接起来进行统一管理的一种方式,从供电局的工作状态来看,用户用电信息的管理,电力流通状态的管理等工作任务量相对较大。为了减轻工作压力,供电局开始意识到计算机局域网络的应用优势,但是在具体使用过程中还存在一些问题需要解决。
一、电力计算机局域网络安全防范工作的现状
计算机局域网当中存储了大量的电力运行数据信息,再加上网络环境相对复杂多变,如果不进行严格的安全防范工作,就容易导致数据信息的丢失或泄露,给供电局的稳定运行状态造成不良的影响。
1工作能力及意识问题
我国目前已经进入了信息化的时代,在这个时代背景下,信息数据成倍增长,数据的真假性如何分辨的问题是工作人员需要解决的首要问题。同时,在内部计算机局域网的运行过程中,大部分工作人员还没有意识到安全防范工作的重要性,自身工作行为不规范,对于信息的存储及取用方式还存在一些问题,就容易引发网络安全风险问题。这也与员工个人的计算机技术操作能力有待进一步提升有一定的关系,需要各个供电局引起高度重视。
2信息技术的应用问题
计算机局域网络的安全防范工作是供电局各项工作稳定运行的基础,为了保证信息技术的应用价值能够得到充分的发挥,供电局必须要加大资金技术投入引进相应的计算机软硬件设备,构建健全的监督管理结构体系,并成立专门的管理部门展开全方位的安全防范工作。然而,现阶段大部分城市的供电局在计算机网络的管理工作上,还存在有信息化机构以及制度建设不够健全的问题。且没有设置专门的部门进行单独管理,无法协调企业各个部门内部之间的合作。此外,目前,局域网逐步建成,广域网也实现联通。计算机病毒的传播速度加快,如果某台计算机受到了病毒的感染, 那么在短时间内将会感染区域内几乎所有的计算机系统,导致供电网络陷入瘫痪。这些都是现阶段供电局在建设电力计算机局域网络时,应当重点关注的主要问题。
二、网络安全防范工作的重要性
现阶段,供电局在发展建设过程中涉及到扩大经营管理规模的问题,而如何保证电力计算机局域网络安全防范工作能够顺利落到实处就是工作人员需要解决的主要问题。
1安全防火墙的应用优势
首先,从局域网的运行情况来看,供电局需要通过局域网将计算机设备连接起来。这个环节还涉及到与其他地区数据库的连接工作,比如,员工在异地也可以通过登录个人账号进入局域网系统,这虽然给各项电力管理工作提供了极大的便利,但是在实际操作过程中却容易发生安全隐患问题。尤其是黑客及网络病毒的问题十分严重,这就需要供电局安排专业的技术人员开展网络安全防范工作,定期对硬件系统进行升级,并设置安全防火墙。通过这种方法有效隔绝安全风险问题,从而保证数据存储、取用以及运行等各项工作的有序开展。
2促进供电工作的发展进步
供电局在具体的工作过程中需要结合用户的个人用电信息进行变电操作,并将符合用户使用需求的电力能源及时传输到终端供电系统当中。因此,从这方面来看,用户的个人身份信息是整个局域网络安全防范工作的关键所在,提高安全防范工作的质量和效率,可以有效提高用户对供电工作的满意度,进而推动供电局各项工作的可持续发展。
三、解决现存电力计算机局域网安全问题的可行方法
供电局必须要意识到,在应用信息技术开展各项运行管理工作时,必须要加大计算机局域网信息安全防范的力度,多措并举的提升防范水平,才能为计算机局域网信息的安全传输提供保障。
1健全管理结构体系
在电力计算机局域网的安全防范工作当中,供电局应当建设健全的安全管理结构体系。其中,最关键的问题就是结合内部各部门的工作任务为员工分配相应的操作权限。比如,只有安全管理部门才有资格进行数据的修改和更新,其他部门只能够上传及查看数据内容,并可以指出数据存在的错误问题,但不能直接修改。这是为了保障数据信息的安全性,避免人为因素的篡改而导致出现安全隐患问题。在这个过程中,供电局还需要结合现阶段的电力传输工作实际情况来设置相应的内部管理机制,配合网络结构体系的建立工作,将安全防范工作落到实处。这还涉及到安全防御系统的安装和应用的问题,供电局应当加大资金技术投入,不断借鉴其他企业的局域网管理工作经验,全面提升局域网络安全防范的等级。
2各部门协作能力方面
网络安全防范管理不能只依靠于技术人员对系统进行升级和管理,各部门的工作人员也应当规范自身的操作行为,重视起安全防范工作的重要性。这还需要供电局对员工进行思想教育工作,结合供电工作的发展目标为员工设定个人工作目标,明确工作的基本内容和方向,引导员工自觉规范自身的工作行为。同时,供电局需要通过培训教育工作提高各部门员工操作计算机设备开展相关工作的能力。并应当统一数据的存储格式,结合工作类型对数据信息进行科学合理的分类工作,解决现存的网络安全问题。然后,可以通过对员工素质及能力的考察,分配相应的工作任务。供电局必须要关注于各部门的协作能力,定期开展设备检修、数据的备份等工作,从而全面保障局域网络的安全运行状态。
3新技术的应用研究
在信息技术的发展进步背景下,技术的优化创新问题成为了局域网络安全防范工作的关键环节。这就要求供电局应当对新技术展开科学合理的应用研究工作,现阶段应用比较广泛的就是漏洞扫描系统,其主要以网络漏洞侦测和安全状态评估等工作内容为基础,通过已经定义好的工作程序及参数来完成网络端口的扫描工作。监控由于端口所造成的网络服务漏洞,进而得到较为详细的漏洞评估报告,将其提供给系统管理人员,帮助管理员弥补漏洞,将网络系统的整体安全性提升起来。在实际应用过程中,新技术的应用能够有效保障计算机系统的运行安全,还能解决不同系统运行过程中文件类型不兼容的问题,避免给供电工作的顺利开展造成不良影响。结合漏洞扫描技术的应用,供电局可以发现目前局域网系统当中潜在的安全隐患,从而有针对性的制定相应的解决对策,顺利完成网络安全防范工作。
结论:电力计算机局域网络安全防范工作主要是通过网络安全技术对数据信息进行分类管理,保障供电信息及用户个人信息的安全与稳定,推动供电工作的发展进步。在具体的操作过程中,供电局应当建立健全的网络管理结构体系,明确管理工作的侧重点。并对员工展开培训教育工作,提升各部门的团结协作能力,推动各项工作的有序运行。此外,供电局还应当加大资金技术投入,研究技术的优化升级,以提高系统的信息安全环境。
无线局域网(WLAN)安全
一、无线局域网
无线局域网是用无线通信技术将终端设备互联起来,构成可以互相通信和实现资源共享的局域网络体系。无线局域网特点是通过无线的方式建立连接,利用无线技术在空中传输数据,从而使网络的构建和终端的移动更加灵活。无线局域网常规的有效使用距离在100 m以内。
无线局域网在一定程度上扔掉了有线网络必须依赖的网线。这样,用户可以坐在家里的任何一个角落,抱着笔记本电脑,享受网络的乐趣,而不像从前那样必须要迁就于网络接口的布线位置。
无线局域网包括2种基本的工作模式:如图1所示的带无线路由器工作模式和如图2所示的不带无线路由器工作模式。
在带无线路由器工作模式下,通信需要一个专门的无线局域网设备:无线路由器;在不带无线路由器工作模式下,无线终端相互之间直接发送数据。在日常的使用中,用户基本上使用带无线路由器的模式。
全球范围内,无线局域网技术主要包括IEEE802.11系列、Hiper LAN技术、Home RF和蓝牙技术,目前,应用比较广泛是IEEE802.11系列和Hiper LAN。
(1)ISO/IEC802.11 系列标准技术:是美国电气和电子工程师协会(IEEE)颁布的无线局域网标准。IEEE802.11系列技术和产品的安全性一直没能很好地解决。近年来,IEEE802.11技术和产品不断爆出重大安全性问题,造成用户巨大的经济损失。
(2)Hiper LAN: Hiper LAN是以欧洲电信标准协会(ETSI)颁布的无线局域网标准为核心的技术和产品的总称。
二、无线局域网安全概述
安全是无线局域网面临的最大问题,这是由无线信号在空中几乎无边界的传播特性造成的,不论信号中的数据要发送的目的地是哪里,任何无线终端在无线信号覆盖的范围内都可以接收到。为了保证安全通信,无线局域网中应采取必要的安全技术,包括鉴别、加密、数据完整性保护等。
1、鉴别
鉴别提供了用户身份合法性的保证,这意味着当用户声称具有一个特定的身份时,鉴别技术将提供某种方法来证实这一声明是正确的。用户在登录无线局域网的时候,需要输入特定的密码或身份信息等来进行身份合法性的验证。
尽管不同的鉴别方式决定用户身份验证的具体流程不同,但基本功能是一致的。目前,无线局域网中采用的鉴别方式主要有基于浏览器页面的身份鉴别、基于密码的身份鉴别、基于数字证书的身份鉴别。
(1)基于浏览器页面的身份鉴别
基于浏览器页面的身份鉴别一个非常重要的特点是客户端只需要在浏览器上输入正确的接入信息凭证即可。这类身份鉴别的技术在公共场所(如机场、酒店、商场等地方)经常用到,用户输入手机号码,通过手机获得相关的登录验证码,然后将登录验证码输入到浏览器中即可使用网络服务。
这种身份鉴别技术属于安全性最低的一种方案,它只是在无线局域网的上层应用简单进行身份信息的对比,实现对用户使用某种服务的控制。基于浏览器页面的身份鉴别技术并没有融入密码学相关技术来实现身份信息的保密性和不可篡改性。在无线局域网底层没有调用任何安全技术的保护,所有通信信息明文传输,存在较大的安全风险。这种方案类似于所有访客,先进入大门,然后再用笔写下自己的联系方式。
(2)基于密码的身份鉴别
基于密码的身份鉴别是指用户利用手机或者笔记本电脑原始控制接入无线局域网的界面,输入所选择的无线网络的接入密码实现网络登录。这类身份鉴别的技术在家庭、办公室等场景经常用到。
这种身份鉴别技术属于安全性中等的一种方案,它通过绑定密码学的技术实现用户接入身份的鉴别,同时完成对通信数据的加密处理。这种技术的缺点在于密码容易传播,且所有人使用相同的密码,容易造成无法追溯或者“好人办坏事”的情况。这种方案类似于所有访客,使用同一张卡进入同一个大门。
(3)基于数字证书的身份鉴别
基于数字证书的身份鉴别是指用户登录到无线局域网之前,需要由特定的机构对用户的身份进行严格的审核,并为用户颁发数字证书,通过公钥加密技术对用户的公钥信息和用户的身份信息做数字签名,把用户的身份信息与公钥绑定在一起。用户使用证书进行身份鉴别时,可基于对权威鉴别机构的信赖而信赖证书所对应的实体身份,实现对身份的鉴别。
这种技术属于安全性最高的一种方案,它通过密码学的技术不但绑定用户接入身份的鉴别流程,而且还绑定用户身份本身,同时也完成对通信数据的加密处理。使用这样的方法,每个用户都有属于自己个人的接入凭证,无法抵赖。这种方案类似于所有访客,使用唯一标识自己身份的一张卡进入同一个大门。
2、加密
加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。通常需要选择特定的密码算法来实现。常见的密码算法如下。
(1)数据加密标准DES(Data Encryption Standard):DES的出现引起了学术界和企业界的广泛重视,许多厂家很快生产出实现DES算法的产品,但其最大的缺点在于DES的密钥太短,不能抵抗无穷搜索密钥攻击。
(2)高级加密标准AES(Advanced Encryption Standard):为了克服DES的缺点,美国国家标准和技术研究所(NIST)开始寻求高强度、高效率的替代算法,并于1997年推出AES标准。
(3)SM4:SM4是在国内正式使用并于2006年公布的第一个用于无线局域网的商用分组密码算法。WAPI的无线局域网保密基础结构(WPI, WLAN Privacy Infrastructure)采用对称密码算法SM4实现对MAC层MSDU的加、解密操作。
3、数据完整性保护
数据完整性保护,是使接收方能够确切地判断所接收到的消息在传输过程中是否遭到插入、篡改、重排序等形式的破坏。完善的数据完整性业务不仅能发现完整性是否遭到破坏,还能采取某种措施从完整性中恢复出来。
三、无线局域网面临的安全问题
无线局域网已广泛应用于各行各业中,受到人们的青睐,并成为无线通信与互联网技术相结合的最热门技术。无线局域网的最大优点就是实现了网络互连的可移动性,它能大幅度提高用户访问信息的及时性和有效性,还可以克服有线限制引起的不便性。但因无线局域网应用具有很大的开放性,数据传播的范围较难控制,无线局域网面临非常严峻的安全问题。无线局域网面临的基本安全问题如下。
1、非法接入风险
主要是指通过未授权的设备接入无线网络,例如,企业内部一些员工,购买便宜小巧的无线路由器,通过有线以太网口接入网络,如果这些设备配置有问题,处于没加密或弱加密的条件下,那么整个网络的安全性就大打折扣,造成接入危险。或者是企业外部的非法用户与企业内部的合法无线路由器建立了连接,这也会使网络安全失控。
2、客户端连接不当
一些部署在工作区域周围的无线路由器可能没有做安全控制,企业内一些合法用户的无线网卡可能与这些外部无线路由器连接,一旦这个用户连接到外部无线路由器,企业的网络就处于风险之中。
3、窃听
一些黑客借助Wi-Fi分析器,会捕捉到所有的无线通信数据,如果信息没有保护,则可以阅读信号中传输的内容。如果黑客手段更高明一点,就可以伪装成合法用户,修改空中传输的网络数据等。
4、拒绝服务攻击
这种攻击方式,不以获取信息为目的,黑客只是想让用户无法访问网络服务而不断地发送信息,使合法用户的信息一直处于等待状态,无法正常工作。
上面所述的安全问题的解决,其核心在于安全机制和安全协议如何制定。当前主流的无线局域网技术Wi-Fi从技术发明和协议设计初期到现在,都不能有效解决这些问题。导致根据协议开发出来的所有产品,虽然来自不同的厂家,但均面临着随时被破译的危险。
四、无线局域网安全性
1、Wi-Fi初期安全技术WEP
Wi-Fi安全技术最初通过有线对等保密协议WEP(Wired Equivalent Privacy)来实现鉴别与数据加密,此类安全协议非常脆弱,可轻易从互联网上下载到破译软件,在几秒内破译。目前处于正在被淘汰的过程中。
2、Wi-Fi当前安全技术WPA/WPA2
为了使Wi-Fi技术从WEP可以被轻易破译这种被动局面中解脱出来,IEEE重新建立的工作组,开发了新的安全标准IEEE802.11i,标准中除了保留有原来的WEP之外,新添加了WPA/WPA2这2种技术。
不幸的是,由于WPA/WPA2依然采用不安全的设计理念,WPA技术在颁布之后就轻易又遭到破译,而当前针对WPA2的破译也已经从理论破译分析发展到了破译工具开发的阶段,在不久的将来,就会面对WEP和WPA被轻易破译的相同局面。
3、中国无线局域网安全标准WAPI
无线局域网鉴别和保密基础结构(WAPI,WLAN Authentication and Privacy Infrastructure)是中国唯一的无线局域网技术标准。WAPI 采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护,旨在彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。
WAPI由无线局域网鉴别基础结构(WAI, WLAN Authentication Infrastructure)和无线局域网保密基础结构(WPI, WLAN Privacy Infrastructure)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输数据的加密。
WAPI整个系统由站点STA、接入点AP和认证服务单元ASU组成。其中,ASU用于帮助STA和AP完成身份鉴别等;STA与AP上都安装有ASU发放的公钥证书,作为自己的数字身份凭证。当STA登录到无线接入点AP时,在使用或访问网络之前必须通过ASU进行身份验证。根据验证的结果,只有持有合法证书的站点STA才能接入持有合法证书的无线接入点AP。这样,不仅可以防止非法STA接入AP而访问并占用网络资源,而且还可以防止STA登录到非法AP而造成信息泄露。
五、WAPI技术介绍
1、系统组成
在一个典型的WAPI系统中,WAPI用户STA通过WAPI无线路由器AP接入互联网。如图3所示。首先,STA与AP进行网络发现协商并开启WAPI功能,STA和AP启动身份鉴别过程,利用AS完成双向身份鉴别。当身份鉴别通过后,STA和AP进行密钥管理,协商用于保护通信数据的密钥,并利用协商出来的密钥加密通信数据。
图3 WAPI系统典型工作过程
2、WAPI 网络发现
在一个采用了WAPI安全的无线局域网中,当STA需要访问该无线局域网时,通过被动侦听AP的信标(Beacon)帧或主动发送探询帧以识别AP所采用的安全策略。
(1)若AP采用WAPI证书鉴别方式,AP将发送鉴别激活分组启动证书鉴别过程,当证书鉴别过程成功结束后,AP和STA再进行单播密钥协商和组播密钥通告。
(2)若AP采用WAPI预共享密钥鉴别方式,AP将与STA直接进行单播密钥协商和组播密钥通告。
3、WAPI 的身份鉴别
WAPI 支持2种身份鉴别方式:证书鉴别方式和预共享密钥鉴别方式。
(1)证书鉴别方式
数字证书是一种经公钥基础设施(PKI, Public Key Infrastructure)证书授权中心签名的、包含公开密钥及用户相关信息的文件,是网络用户的数字身份凭证。WAPI 系统中所使用的用户证书为数字证书,通过ASU 对用户证书进行验证,可以唯一确定WAPI 用户的身份及其合法性。
证书鉴别是基于STA和AP双方的证书所进行的鉴别。鉴别前STA和AP必须预先拥有各自的证书,然后通过ASU对双方的身份进行鉴别,根据双方产生的临时公钥和临时私钥生成基密钥,并为随后的单播密钥协商和组播密钥通告做好准备。
(2)预共享密钥鉴别方式
预共享密钥鉴别是基于STA和AP双方的密钥所进行的鉴别。鉴别前STA和AP必须预先配置有相同的密钥,即预共享密钥。鉴别时直接将预共享密钥转换为基密钥,然后进行单播密钥协商和组播密钥通告。
4、WAPI 的密钥管理
STA 与 AP 之间交互的单播数据利用单播密钥协商过程所协商出的单播加密密钥和单播完整性校验密钥进行保护;AP 利用自己通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对其发送的广播/组播数据进行保护,而STA 则采用AP通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对收到的广播/组播数据进行解密。首先要进行单播密钥的协商。
当单播密钥协商完成后,再使用单播密钥协商过程所协商出的密钥进行组播密钥的通告。
5、WAPI 的通信数据加密
WAPI对通信数据进行加、解密处理。WAPI密码套件中首选采用的分组密码算法为SM4,该算法的分组长度为128bit,密钥长度为128bit。完整性校验算法工作在CBC-MAC模式,数据保密采用的对称加密算法工作在OFB模式。
六、无线局域网(WAPI)安全配置实例
下面给出一个实例说明如何进行无线局域网安全配置。基本步骤如下。
(1)本配置实例中使用的是IWN A2410(WLR4038)无线路由器。
(2)本配置实例通过在无线路由器侧启用WAPI-Cert或者WAPI-PSK安全模式来达到对客户端数据进行保护的目的。
(3)主要配置内容如图8所示,包括:添加无线网络名称(SSID)、设定射频发射功率、无线工作模式、信道、SSID名称、该SSID绑定的网络接口(建议绑定到LAN口)、选择接入网络的安全类型(WAPI-Cert或WAPI-PSK)、密钥更新、MAC地址过滤、WMM选定等设备和接口配置。以上内容可实现开机“一键配置”。
局域网络安全防范基础知识大全相关文章:
★ 网络安全知识内容
★ 信息网络安全管理