網(wǎng)絡(luò)安全實(shí)施方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全實(shí)施方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全實(shí)施方案范文

關(guān)鍵詞：校園網(wǎng) 安全 背景分析 設(shè)計(jì)策略 特色

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2013）03（a）-0-02

漢中職業(yè)技術(shù)學(xué)院新校區(qū)弱電數(shù)字化校園網(wǎng)設(shè)計(jì)以“統(tǒng)一規(guī)劃、分步實(shí)施、加強(qiáng)應(yīng)用、資源整合、數(shù)據(jù)共享” 為指導(dǎo)思想，本著“數(shù)字與安全并重，常態(tài)與非常態(tài)結(jié)合的原則，建立起現(xiàn)代化的數(shù)字化校園”，嚴(yán)格按照新校區(qū)的有關(guān)要求和具體場地的使用情況進(jìn)行設(shè)計(jì)和施工。具體設(shè)計(jì)原則體現(xiàn)了先進(jìn)性、成熟性、開放性、標(biāo)準(zhǔn)化、可擴(kuò)展性、安全性、可靠性、實(shí)用性、可集成性、宜管理性。同時《陜西省教育信息化十年發(fā)展規(guī)劃》（2011―2020年）頒布后，我院認(rèn)真組織學(xué)習(xí)，根據(jù)全國教育信息化工作電視電話會議精神，結(jié)合我院實(shí)際情況，深化實(shí)施我院信息化試點(diǎn)建設(shè)。為保障我院信息化試點(diǎn)建設(shè)和整個校園網(wǎng)絡(luò)的正常運(yùn)行，以上原則中，系統(tǒng)的安全性是非常重要的內(nèi)容，提供機(jī)制增強(qiáng)整個系統(tǒng)的安全防范能力。主要考慮：網(wǎng)絡(luò)設(shè)備的安全性，包括數(shù)據(jù)包過濾、防火墻等功能；用戶接入的控制；實(shí)現(xiàn)完善的統(tǒng)一認(rèn)證及計(jì)費(fèi)系統(tǒng)；入侵檢測和病毒防范；校園網(wǎng)系統(tǒng)對外出口及入口的安全性的考慮。所以合理，科學(xué)、全面、可操作性的校園網(wǎng)絡(luò)安全整體設(shè)計(jì)顯的尤為重要。

1 背景分析

1.1 校園網(wǎng)狀況分析

校園網(wǎng)網(wǎng)絡(luò)信息十分豐富，網(wǎng)絡(luò)用戶的活動也非?；钴S，校園網(wǎng)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)往往用于滿足學(xué)校正常的行政辦公需要、廣大師生的教務(wù)教學(xué)需要、學(xué)生們的課余校園文化生活等，這些信息都需要進(jìn)行完整性、真實(shí)性保護(hù)和控制，這就需要對進(jìn)出校園網(wǎng)的訪問行為進(jìn)行必要的控制，避免損失。

校園網(wǎng)絡(luò)系統(tǒng)中計(jì)算機(jī)數(shù)量多，物理位置不同、操作用戶不同、用途不同，由于這些差異，使得校園網(wǎng)網(wǎng)絡(luò)中計(jì)算機(jī)中的漏洞問題十分嚴(yán)重。因?yàn)槭褂谜叩陌踩庾R不強(qiáng)，或者采取措施不及時造成的損失在校園網(wǎng)內(nèi)時有發(fā)生，因此采用科學(xué)管理方法和先進(jìn)的技術(shù)，可以進(jìn)一步提高校園網(wǎng)絡(luò)信息安全保障水平。

網(wǎng)絡(luò)上的信息良蕎不齊，對正在形成世界觀和人生觀的學(xué)生來說，還不能正確地對待這類內(nèi)容，這些違反道德標(biāo)準(zhǔn)和有關(guān)法律規(guī)范的不良信息對他們危害極大，如果信息安全措施不好，有部分學(xué)生會進(jìn)入這些網(wǎng)站，還可能在校園內(nèi)傳播這類不良

信息。

教育信息化、校園網(wǎng)絡(luò)化作為網(wǎng)絡(luò)時代的教育方式和教育環(huán)境。隨著各高校網(wǎng)絡(luò)規(guī)模的膨脹、網(wǎng)絡(luò)用戶數(shù)目的快速增長，校園網(wǎng)網(wǎng)絡(luò)信息安全問題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。作為資源共享和信息交流的平臺，校園網(wǎng)絡(luò)的安全顯的尤為重要。

1.2 校園網(wǎng)安全需求

1.2.1 高校面臨著嚴(yán)峻的網(wǎng)絡(luò)安全形勢。越來越多的報(bào)道表明高校校園網(wǎng)己意識的淡薄，而另一方面，高校學(xué)生―這群精力充沛的年輕一族對新鮮事物有著強(qiáng)烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責(zé)任感。有關(guān)數(shù)字顯示，目前校園網(wǎng)遭受的惡意攻擊，70%來自高校網(wǎng)絡(luò)內(nèi)部，如何保障校園網(wǎng)絡(luò)的安全成為高校校園網(wǎng)絡(luò)建設(shè)時不得不考慮的問題。

1.2.2 網(wǎng)絡(luò)安全一定是全方位的安全。首先，網(wǎng)絡(luò)出口、數(shù)據(jù)中心、服務(wù)器等重點(diǎn)區(qū)域要做到安全過濾；其次，不管接入設(shè)備，還是骨干設(shè)備，設(shè)備本身需要具備強(qiáng)大的安全防護(hù)，要具備強(qiáng)大的安全防護(hù)能力，并且安全策略部署不能影響到網(wǎng)絡(luò)的性能，不造成網(wǎng)絡(luò)單點(diǎn)故障；最后，要充分考慮全局統(tǒng)一的安全部署，需要能夠從接入控制，到對網(wǎng)絡(luò)安全事件進(jìn)行深度探測，到現(xiàn)有安全設(shè)備有機(jī)的聯(lián)動，到對安全事件觸發(fā)源的準(zhǔn)確定位和根據(jù)身份進(jìn)行的隔離、修復(fù)措施，從而能對網(wǎng)絡(luò)形成一個由內(nèi)至外的整體安全架構(gòu)。

1.3 校園網(wǎng)安全面臨的威脅

通過認(rèn)真分析可以總結(jié)出校園網(wǎng)主要面臨如下的安全威脅：各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅；Internet網(wǎng)絡(luò)用戶對校園網(wǎng)存在非法訪問或惡意入侵的威脅；來自校園網(wǎng)內(nèi)外的各種病毒的威脅；內(nèi)部用戶下載文件可能將木馬、蠕蟲等程序帶入校園內(nèi)網(wǎng)；內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用等。

2 校園網(wǎng)安全設(shè)計(jì)策略

對于以上威脅，我們只有不斷改進(jìn)管理方法和采用先進(jìn)的技術(shù)結(jié)合起來，才能切實(shí)構(gòu)筑一個安全的校園網(wǎng)。

2.1 校園網(wǎng)安全管理

針對目前高校校園網(wǎng)安全現(xiàn)狀，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。以下是我院的安全管理策略。

2.1.1 規(guī)范出口管理，實(shí)施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。規(guī)范統(tǒng)一的對出口進(jìn)行管理，使校園網(wǎng)絡(luò)安全體系能夠得以實(shí)施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。

2.1.2 配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備，就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)等。另外，通過配置安全產(chǎn)品可以實(shí)現(xiàn)對校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡(luò)的故障可以迅速定位并解決。

2.1.3 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題。

2.1.4 嚴(yán)格規(guī)范上網(wǎng)場所的管理，集中進(jìn)行監(jiān)控和管理。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個記錄的法律性和準(zhǔn)確性。

2.2 校園網(wǎng)絡(luò)安全技術(shù)

前述各種網(wǎng)絡(luò)安全威脅，都是通過網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對網(wǎng)絡(luò)發(fā)起攻擊的。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而達(dá)到網(wǎng)絡(luò)安全。

2.2.1 殺毒產(chǎn)品的部署

在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時為了有效、快捷地實(shí)施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、集中管理、分布查殺等多種功能。

2.2.2 采用VLAN技術(shù)

VLAN技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。

2.2.3 內(nèi)容過濾器

內(nèi)容過濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無意識服務(wù)拒絕的工具。同時，可以限制外來的垃圾郵件。

2.2.4 防火墻

在每一臺電腦上都安裝裝防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性：規(guī)劃設(shè)置正確的安全過濾規(guī)則；規(guī)則審核協(xié)議、端口、源地址等IP數(shù)據(jù)包內(nèi)容；嚴(yán)格禁止外網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問；使用動態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開放的端口服務(wù)；正確設(shè)置你在局域網(wǎng)中的IP，防火墻系統(tǒng)才能識別數(shù)據(jù)包的來向，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)功能；定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。

2.2.5 入侵檢測

入侵檢測系統(tǒng)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)能實(shí)時捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并記錄有關(guān)事件。

2.2.6 漏洞掃描

隨著軟件規(guī)模的不斷增大.系統(tǒng)中的安全漏洞或“后門”會存在.因此，應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器等進(jìn)行安全檢查，并寫出詳細(xì)的安全性分析報(bào)告，及時地將發(fā)現(xiàn)的安全漏洞打上“補(bǔ)丁”。

2.2.7 數(shù)據(jù)加密

數(shù)據(jù)加密是核心的對策，是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。

2.2.8 加強(qiáng)網(wǎng)絡(luò)安全管理

首先，加強(qiáng)網(wǎng)絡(luò)安全知識的培訓(xùn)和普及；其次，是健全完善管理制度和相應(yīng)的考核機(jī)制，以提高網(wǎng)絡(luò)管理的效率。

3 特色創(chuàng)新點(diǎn)

3.1 校企合作

學(xué)院通過招標(biāo)公司面向全國分別于2011年、2012年進(jìn)行規(guī)劃設(shè)計(jì)及施工、監(jiān)理招標(biāo)。2012年下半年開始具體實(shí)施信息化建設(shè)。與此同時，學(xué)院本著長期合作、共同發(fā)展的原則，與中國移動漢中分公司、中國電信漢中分公司建立長期戰(zhàn)略合作伙伴關(guān)系，由兩家公司承擔(dān)學(xué)院綜合布線、一卡通等項(xiàng)目的建設(shè)，并長期提供技術(shù)支持。

3.2 五位一體化認(rèn)證體系

多年的摸索和實(shí)踐使我們認(rèn)識到，校園網(wǎng)安全運(yùn)營管理的核心需求及特點(diǎn)可歸納為五個方面。

準(zhǔn)入準(zhǔn)出一體化：準(zhǔn)入和準(zhǔn)出一體化采用統(tǒng)一的安全認(rèn)證平臺，用戶僅需1套賬號密碼并能夠自由、自主的在內(nèi)外網(wǎng)訪問間實(shí)現(xiàn)方便的切換，管理難度小、用戶體驗(yàn)高；流控設(shè)備與網(wǎng)關(guān)一體化，提供精確的流量和帶寬同時不影響性能，減少單點(diǎn)故障。保護(hù)用戶投資，實(shí)現(xiàn)增值。

802.1x和Web一體化：在接入交換機(jī)實(shí)現(xiàn)802.1x準(zhǔn)入和Web準(zhǔn)入的同時支持，達(dá)到部署靈活、保護(hù)投資的目的。實(shí)現(xiàn)基于用戶身份和所在區(qū)域的多種認(rèn)證方式，安全性高、便于管理?？赏ㄟ^統(tǒng)一的認(rèn)證管理平臺進(jìn)行管理減少投資成本、降低管理難度。802.1X認(rèn)證方式主要適用于學(xué)生群體，控制比較嚴(yán)格，Web方式適用于教職工群體上網(wǎng)方便。

有線和無線一體化：校園網(wǎng)同時具備有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)接入能力，通過不同的認(rèn)證方式，可以統(tǒng)一認(rèn)證管理平臺進(jìn)行管理，可以減少成本，部署靈活，降低管理難度。使用一體化的控制器使設(shè)備的利用率升高，保護(hù)了投資。同時一體化的網(wǎng)管能夠提供有線設(shè)備和無線設(shè)備的統(tǒng)一配置和管理達(dá)到減少投資成本的目的。

校內(nèi)和校外一體化：VPN網(wǎng)關(guān)支持基于Web認(rèn)證方式的SSL VPN，支持USB key等安全機(jī)制，部署靈活、便于管理。運(yùn)維管理人員僅需對1套系統(tǒng)、1份用戶身份信息進(jìn)行操作，降低了運(yùn)維管理復(fù)雜度。而網(wǎng)絡(luò)用戶在校內(nèi)和校外僅需1套賬號密碼，保證了高安全性和便捷的用戶體驗(yàn)。

IPv4和IPv6一體化：在身份認(rèn)證、用戶管理、安全管理、管理等方面，使校園網(wǎng)同時承載IPv4和IPv6協(xié)議，滿足接入需求。以達(dá)到減少投資成本、降低管理難度的目的，并且優(yōu)化了用戶使用體驗(yàn)、改善了網(wǎng)絡(luò)安全審計(jì)。

面向數(shù)字校園的校園網(wǎng)安全運(yùn)營管理要求對這五個方面進(jìn)行完整的涵蓋，五個方面的分別一體化是過程、五個方面的整合一體化是目標(biāo)，直至實(shí)現(xiàn)校園網(wǎng)的全網(wǎng)統(tǒng)一認(rèn)證運(yùn)營管理。

3.3 緊密四平臺

網(wǎng)絡(luò)設(shè)備管理平臺、網(wǎng)絡(luò)健康監(jiān)控管理平臺、網(wǎng)站安全防護(hù)平臺、網(wǎng)絡(luò)實(shí)名制平臺相互依賴。

參考文獻(xiàn)

[1] 鄧小善.網(wǎng)絡(luò)服務(wù)器配置與管理[M].北京：中國鐵道出版社，2003.

[2] 劉曉輝.網(wǎng)絡(luò)硬件設(shè)備完全技術(shù)[M].北京：中國鐵道出版社，2011.

第2篇：網(wǎng)絡(luò)安全實(shí)施方案范文

3月25日，山石科技公司在北京高調(diào)亮相，宣布攜全新的防火墻及路由器等網(wǎng)絡(luò)安全設(shè)備以及全新的領(lǐng)導(dǎo)班子，全面進(jìn)軍中國的信息安全市場。

這一舉措不同尋常的地方在于，目前國內(nèi)的信息安全市場，尤其是防火墻、路由器領(lǐng)域，已經(jīng)處于充分的競爭狀態(tài)，前有思科、Juniper、H3C等老牌的網(wǎng)絡(luò)設(shè)備廠商虎踞龍盤、后有天融信、啟明星辰、聯(lián)想網(wǎng)御等一大批新興的國內(nèi)信息安全品牌在虎口奪食，市場競爭異常殘酷激烈。熟知這一切的鄧鋒為什么在這種背景下選擇了以這種產(chǎn)品重新切入安全市場？

據(jù)任山石科技董事長的鄧鋒介紹，風(fēng)投看中的三個主要因素是：人、人、人?，F(xiàn)任山石科技公司總裁兼CEO的童建，是鄧鋒在NetScreen公司一起工作了10多年的同事，在后被Juniper收購的NetScreen公司中，一直擔(dān)任技術(shù)研發(fā)總裁的職位，有很強(qiáng)的技術(shù)背景。此外，他認(rèn)為，山石公司目前并不是只推防火墻一種產(chǎn)品，而是同時推路由器等設(shè)備，形成一套“安全+網(wǎng)絡(luò)”的整體方案，以應(yīng)對目前的安全環(huán)境?！艾F(xiàn)在的市場雖然競爭激烈，但比當(dāng)初NetScreen公司推防火墻時更有優(yōu)勢，因?yàn)槲覀儾槐匾逃袌鍪裁词欠阑饓α??！彼f。

第3篇：網(wǎng)絡(luò)安全實(shí)施方案范文

【關(guān)鍵詞】無線網(wǎng)絡(luò)，安全防范措施

中圖分類號：P624.8文獻(xiàn)標(biāo)識碼： A 文章編號：

前言

無線網(wǎng)絡(luò)作為一種新興的便捷性網(wǎng)絡(luò)資源，已經(jīng)逐漸得到普及，尤其是在辦公場所。然而，在逐漸快速化的現(xiàn)代生活，網(wǎng)絡(luò)的安全性問題已經(jīng)成為了首要關(guān)注的問題，下面我們來討論有關(guān)安全防范措施。

二、無線網(wǎng)絡(luò)的安全隱患分析

無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過無線通訊技術(shù)來連接單個的計(jì)算機(jī)終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點(diǎn)就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實(shí)施信息傳輸和聯(lián)系。對比傳統(tǒng)的有線局域網(wǎng),無線網(wǎng)絡(luò)的構(gòu)建增強(qiáng)了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?但同時,也正是由于無線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機(jī)制來保護(hù)信息傳輸?shù)陌踩?換句話無線網(wǎng)絡(luò)的安全保護(hù)措施難度原因大于有線網(wǎng)絡(luò)。

IT技術(shù)人員在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中面臨兩大問題:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段,技術(shù)人員可以通過部署防火墻硬件安全設(shè)備來構(gòu)建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內(nèi)部被攻破”。由于無線網(wǎng)絡(luò)具有接入方便的特點(diǎn),使得我們原先耗資部署的有線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過,成為形同虛設(shè)的“馬奇諾防線”。

針對無線網(wǎng)絡(luò)的主要安全威脅有如下一些:

1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)傳輸可導(dǎo)致機(jī)密敏感數(shù)據(jù)泄漏、未加保護(hù)的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗(yàn)的入侵者手機(jī)有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進(jìn)行社會工程學(xué)攻擊的一系列商信息。

2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計(jì)算機(jī)通過偽造網(wǎng)關(guān)等途徑來截獲甚至修改兩個合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。

3.網(wǎng)絡(luò)通信被竊聽

網(wǎng)絡(luò)通信被竊聽是指用戶在使用網(wǎng)絡(luò)過程中產(chǎn)生的通信信息為局域網(wǎng)中的其他計(jì)算機(jī)所捕獲。由于大部分網(wǎng)絡(luò)通信都是以明文(非加密)的方式在網(wǎng)絡(luò)上進(jìn)行傳輸?shù)?，因此通過觀察、監(jiān)聽、分析數(shù)據(jù)流和數(shù)據(jù)流模式，就能夠得到用戶的網(wǎng)絡(luò)通信信息。例如，A計(jì)算機(jī)用戶輸入百度的網(wǎng)址就可能為處于同一局域網(wǎng)的B計(jì)算機(jī)使用監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)包的軟件所捕獲，并且在捕獲軟件中能夠顯示出來，同樣可以捕獲的還有MSN聊天記錄等。

4.無線AP為他人控制

無線AP是指無線網(wǎng)絡(luò)接入點(diǎn)，例如家庭中常用的無線路由器就是無線AP。無線AP為他人所控制就是無線路由器的管理權(quán)限為非授權(quán)的人員所獲得。當(dāng)無線網(wǎng)絡(luò)盜取者盜取無線網(wǎng)絡(luò)并接入后，就可以連接訪問無線AP的管理界面，如果恰好用戶使用的無線AP驗(yàn)證密碼非常簡單，比如使用的是默認(rèn)密碼，那么非授權(quán)用戶即可登錄進(jìn)入無線AP的管理界面隨意進(jìn)行設(shè)置。

無線AP為他人所控制可能造成的后果很嚴(yán)重：一是盜用者在控制無線AP后，可以任意修改用戶AP的參數(shù)，包括斷開客戶端連接；二是在無線路由器管理界面中，存放著用戶ADSL的上網(wǎng)賬號和口令(如圖2所示)，通過密碼查看軟件可以很輕松地查看以星號或者點(diǎn)號顯示的口令。

三、安全防范措施

1.隱藏計(jì)算機(jī)

要讓自己的計(jì)算機(jī)隱身，技巧比較多，在這里我們向大家介紹一些常用的技巧。

（一）DOS命令法

對于處在局域網(wǎng)里的計(jì)算機(jī)，我們可以打開命令提示符窗口，然后在提示符下輸入“net config server /hidden:yes”，這樣即可實(shí)現(xiàn)隱身。

（二）取消共享法

打開本地?zé)o線連接的屬性窗口，在“常規(guī)”標(biāo)簽中把“此連接使用下列項(xiàng)目”下的“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”項(xiàng)選中，然后單擊“卸載”按鈕，將文件和打印共享服務(wù)卸載，同樣可以起到隱身的作用。

（三）組策略法

對于Windows 2000/XP用戶，還可以通過組策略來解決。運(yùn)行“gpedit.msc”打開組策略，依次找到“計(jì)算機(jī)配置Windows設(shè)置安全設(shè)置本地策略用戶權(quán)利指派”，在右側(cè)窗口中找到“從網(wǎng)絡(luò)訪問這臺計(jì)算機(jī)”，然后將其中所有的用戶都刪除即可。

（四）禁Ping法

對于Windows XP SP2用戶，我們還可以使用防火墻來解決這個問題。黑客入侵，一般都會使用Ping命令判斷主機(jī)是否在線。對此我們可以讓他Ping不通。進(jìn)入控制面板打開Windows防火墻，切換到“高級”標(biāo)簽，在“網(wǎng)絡(luò)連接設(shè)置”中選中無線連接并單擊“設(shè)置”按鈕，將打開的窗口再切換到“ICMP”，把相關(guān)的傳入和傳出請求都禁止，這樣再Ping時將無法判斷主機(jī)是否在線。

2.MAC地址過濾

MAC地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機(jī)端進(jìn)行設(shè)置。

3.隱藏SSID

SSID(Service Set Identifier,服務(wù)標(biāo)識符)是用來區(qū)分不同的網(wǎng)絡(luò),其作用類似于有線網(wǎng)絡(luò)中的VLAN,計(jì)算機(jī)接入某一個SSID的網(wǎng)絡(luò)后就不能直接與另一個SSID的網(wǎng)絡(luò)進(jìn)行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識。一個SSID最多有32個字符構(gòu)成,無線終端接入無線網(wǎng)路時必須提供有效的SIID,只有匹配的SSID才可接入。

一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的SSID羅列出來。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個實(shí)際存在的無線網(wǎng)絡(luò),即便他知道有一個無線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無法接入到這個網(wǎng)絡(luò)中去的。

4.隱藏?zé)o線路由

很多用戶為了方便客戶機(jī)連接，一般都會啟用SSID廣播。事實(shí)上如果客戶端比較固定，那么我們根本不需要，應(yīng)該將其停止廣播，使其處于隱身狀態(tài)，避免處于信號覆蓋范圍內(nèi)的非法計(jì)算機(jī)接入網(wǎng)絡(luò)。

不同設(shè)備禁用SSID廣播的技巧大體相同，只需要登錄管理界面，然后找到SSID廣播設(shè)置將其禁用即可。禁用SSID廣播后，客戶端需要連接時，只需要手工添加首先網(wǎng)絡(luò)并輸入SSID名稱即可。

雖然說，上面的技巧并不能絕對保障無線網(wǎng)絡(luò)的安全，但是將相應(yīng)的設(shè)備隱藏起來，將可以阻止大部分非法侵入。

5.安全標(biāo)準(zhǔn)策略

WEP標(biāo)準(zhǔn)已經(jīng)被證明是極為不安全的，特別容易受到安全攻擊，WPA雖然也存在被破解的可能，但是其安全程度比WEP高了很多，因此建議采用WPA加密方式。

6. 修改路由器密碼策略

為了無線路由器的安全，應(yīng)當(dāng)修改路由器所使用的用戶名和密碼，不要使用默認(rèn)的用戶名和密碼。例如很多路由器的默認(rèn)用戶名和密碼都是“admin”，幾乎成為眾所周知的密碼，也就毫無安全保障可言。

防火墻

對于企業(yè)用戶，可以通過建立防火墻來提升無線網(wǎng)絡(luò)的安全性，防火墻能夠有效阻止入侵者通過無線設(shè)備進(jìn)入網(wǎng)絡(luò)。

8.定期安全檢查

登錄無線AP管理端，即可查看客戶端列表，客戶端列表中顯示了接入的無線網(wǎng)絡(luò)的計(jì)算機(jī)信息，包括計(jì)算機(jī)名稱、MAC地址等。對于客戶端數(shù)量較少的無線網(wǎng)絡(luò)，能夠排查出是否存在非授權(quán)訪問的計(jì)算機(jī)。

9.降低無線AP功率策略

在無線網(wǎng)絡(luò)中，無線AP(接入點(diǎn))的發(fā)射功率越高，其輻射的距離和范圍越大。當(dāng)設(shè)備覆蓋范圍遠(yuǎn)遠(yuǎn)超出其正常使用范圍時，用戶的無線網(wǎng)絡(luò)就有可能遭遇盜用。在能夠滿足用戶對無線網(wǎng)速需要的前提下，應(yīng)當(dāng)盡量減少無線AP的功率，降低被他人非法訪問的可能性。

四、結(jié)束語

無線網(wǎng)絡(luò)的安全性問題在未來信息化時代中將會成為至關(guān)重要的問題之一，以上介紹的有關(guān)網(wǎng)絡(luò)安全問題以及解決措施大致包含了所有情況，對于運(yùn)行過程中出現(xiàn)的突況就需要進(jìn)行進(jìn)一步的研究與探討。

參考文獻(xiàn)：

[1]陳亨坦 淺談無線網(wǎng)絡(luò)安全防范措施在高校網(wǎng)絡(luò)中的應(yīng)用 中國科技信息 2008

第4篇：網(wǎng)絡(luò)安全實(shí)施方案范文

以確?；馂?zāi)形勢穩(wěn)定為目標(biāo)，以全面落實(shí)消防安全責(zé)任制為核心，以推行“網(wǎng)格化”消防管理（以下簡稱網(wǎng)格化管理）為手段，重心下移、關(guān)口前移，整合全鎮(zhèn)消防監(jiān)管力量，拓展消防監(jiān)管層面，建立科學(xué)、規(guī)范、高效的消防安全管理機(jī)制，形成機(jī)構(gòu)健全、責(zé)任明晰、措施落實(shí)、管理到位的基層消防工作格局和覆蓋全鎮(zhèn)、村（居）、村（居）小組的三級火災(zāi)防控網(wǎng)絡(luò)，全面提升基層火災(zāi)防控能力，堅(jiān)決預(yù)防和遏制重特大火災(zāi)事故的發(fā)生。

二、組織機(jī)構(gòu)

成立由主要負(fù)責(zé)人為組長，綜治、安監(jiān)、派出所、工商所、城管、村主任為成員的網(wǎng)格化消防管理工作領(lǐng)導(dǎo)小組：領(lǐng)導(dǎo)小組下設(shè)辦公室，掛靠鎮(zhèn)經(jīng)濟(jì)發(fā)展服務(wù)中心。

各村委會要成立以村委會主任負(fù)總責(zé)、其他村委會成員和轄區(qū)警務(wù)人員參加的消防安全小組，并在村居流動人口管理站加掛網(wǎng)格化管理辦公室。鎮(zhèn)、村兩級明確消防安全專兼職管理人員，負(fù)責(zé)開展日常消防安全工作。

三、實(shí)施要點(diǎn)

（一）網(wǎng)格化管理基本模式。構(gòu)建三級消防安全管理基本體系：一是構(gòu)建鎮(zhèn)級“大網(wǎng)格”。各成員單位在鎮(zhèn)消防安全工作領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，明確并依法履行消防職責(zé)，定期召開會議研究和解決消防安全工作中的重要事項(xiàng)和問題。二是構(gòu)建社區(qū)和行政村級“中網(wǎng)格”。以轄區(qū)社區(qū)或行政村為基本單元，建立鎮(zhèn)主要領(lǐng)導(dǎo)分包社區(qū)或行政村的消防責(zé)任體系，定期開展消防隱患排查和宣傳工作。三是構(gòu)建責(zé)任片區(qū)“小網(wǎng)格”。在每個社區(qū)或行政村中，以轄區(qū)主要道路、居民樓、村民組為單元，劃分為若干責(zé)任片區(qū)，形成“小網(wǎng)格”，明確專人負(fù)責(zé)，定期開展隱患排查和落實(shí)督促整改工作。

鎮(zhèn)政府加強(qiáng)對網(wǎng)格內(nèi)的單位各社會消防安全管理，加大對社會單位構(gòu)筑消防安全“防火墻”工程及“四個能力”建設(shè)、建筑消防設(shè)施專項(xiàng)治理、“三合一”場所專項(xiàng)治理、消防安全專項(xiàng)工作的檢查指導(dǎo)力度，將危險(xiǎn)化學(xué)品企業(yè)、勞動密集型企業(yè)、人員密集場所、社會力量開辦的學(xué)校及幼兒園、私房出租屋作為工作的重點(diǎn)，督促各類主體落實(shí)出租房屋、廢品收購站點(diǎn)、小型經(jīng)營場所等消防安全的各種規(guī)范，定期、不定期進(jìn)行檢查，并建立專項(xiàng)檢查檔案，做到底數(shù)清、情況明，杜絕失控漏管。

（二）責(zé)任分工

1、鎮(zhèn)級(大網(wǎng)格)的工作職責(zé)與要求：

（1）制定鎮(zhèn)年度消防工作計(jì)劃，定期召開領(lǐng)導(dǎo)小組成員聯(lián)席會議和不定期召開消防安全工作業(yè)務(wù)（點(diǎn)評）會，研究消防安全工作，通報(bào)檢查情況，處理解決消防安全問題，對重大隱患及時上報(bào)區(qū)政府依法處理。（鎮(zhèn)網(wǎng)格辦牽頭，各成員單位配合）

（2）實(shí)行消防安全工作目標(biāo)管理，把消防工作納入社會綜合治理內(nèi)容，與村居簽訂消防目標(biāo)責(zé)任書，并督促落實(shí)消防目標(biāo)責(zé)任制，實(shí)行半年督辦和年終考評，對工作成效明顯的給予通報(bào)表彰和評先獎勵；對工作開展不力導(dǎo)致發(fā)生較大以上火災(zāi)事故的，嚴(yán)肅追究相關(guān)人員責(zé)任。（鎮(zhèn)網(wǎng)格辦負(fù)責(zé)，各成員單位配合，村居具體落實(shí)）

（3）每月組織綜治、安監(jiān)、派出所、工商、消防、城管等部門對各村居（中網(wǎng)格）的消防安全工作情況進(jìn)行督促指導(dǎo)和對工貿(mào)企業(yè)、小學(xué)、農(nóng)貿(mào)市場、廢品收購站(點(diǎn))等安全檢查，針對重點(diǎn)行業(yè)和區(qū)域?qū)嵭忻恐芤徊?，同時督促指導(dǎo)村居和有關(guān)單位開展消防工作。（鎮(zhèn)網(wǎng)格辦牽頭，綜治辦、安監(jiān)站、派出所、工商所、城管中隊(duì)等具體落實(shí)）

（4）協(xié)調(diào)市政、水務(wù)等部門完善消防設(shè)施建設(shè)按國家標(biāo)準(zhǔn)要求，在村（居）主要道路上或自來水管網(wǎng)供水干線上設(shè)置市政消火栓；同時在各村居進(jìn)村路口設(shè)置大型的轄區(qū)水源分布圖。（鎮(zhèn)網(wǎng)格辦牽頭，安監(jiān)站、派出所配合，各村居具體落實(shí)）

（5）設(shè)置專（兼）用消防工作室，建立健全消防工作檔案；并在辦公場所懸掛消防工作組織領(lǐng)導(dǎo)結(jié)構(gòu)圖、工作制度、轄區(qū)消防水源圖。（鎮(zhèn)網(wǎng)格辦負(fù)責(zé)，安監(jiān)站、派出所配合）

（6）深入開展以“戶戶聯(lián)防、部門聯(lián)查、片區(qū)協(xié)調(diào)”為主要內(nèi)容的區(qū)域聯(lián)防工作，采取戶包戶、店包店、部門包路段等形式，大力實(shí)施消防安全互聯(lián)互動，積極構(gòu)建“安全共享、風(fēng)險(xiǎn)共擔(dān)”的工作格局，實(shí)現(xiàn)消防行政管理與群眾自治、行業(yè)自律的有效銜接和良性互動。（鎮(zhèn)網(wǎng)格辦牽頭，綜治辦、安監(jiān)站、派出所配合）

（7）鎮(zhèn)網(wǎng)格辦負(fù)責(zé)召集相關(guān)單位召開每季度聯(lián)席會議，組織、協(xié)調(diào)各部門單位消防安全工作的完成，負(fù)責(zé)辦公室日常工作。（鎮(zhèn)網(wǎng)格辦牽頭，各成員單位配合）

2、村居(中網(wǎng)格)的工作職責(zé)與要求：

（1）落實(shí)消防安全小組工作制度，制定切合實(shí)際的消防工作計(jì)劃，建立健全消防工作檔案，與轄區(qū)各單位簽訂消防目標(biāo)責(zé)任書，并督促落實(shí)；日常工作開展依托流管站的工作網(wǎng)絡(luò)，并在辦公場所懸掛消防工作組織領(lǐng)導(dǎo)結(jié)構(gòu)圖、工作制度、轄區(qū)消防水源圖。（村居網(wǎng)格辦牽頭，派出所、流管站配合）

（2）配備專（兼）職消防管理人員，流管站流管員兼責(zé)任片區(qū)（小網(wǎng)格終端節(jié)點(diǎn)）的消防管理員，在對流動人口管理的同時一并對出租戶的消防安全進(jìn)行管理；村居分管消防工作領(lǐng)導(dǎo)兼任村居網(wǎng)格辦負(fù)責(zé)人，綜治協(xié)管員兼任兼職消防管理員，明確職責(zé)分工，與流管站合署辦公，一同開展轄區(qū)消防安全管理工作。（村居委會負(fù)責(zé)，村居網(wǎng)格辦、流管站具體落實(shí)）

（3）完善市政消防設(shè)施與消防室建設(shè)。要定期組織開展對轄區(qū)公共消防設(shè)施的檢查與維護(hù)保養(yǎng)，確保正常運(yùn)行，對存在問題的要及時書面報(bào)告街道網(wǎng)格辦，做到工作情況要記錄有落實(shí)；年底完成村居消防室的選址與建設(shè)，消防室要配備滅火器、水帶、水槍、消防斧、救生繩、應(yīng)急照明、消火栓扳手等器材，并明確專人負(fù)責(zé)管理；結(jié)合舊村改造新村建設(shè)擴(kuò)寬村莊道路，盡可能滿足消防車通行的要求。（村居委會負(fù)責(zé)，安監(jiān)站、消防大隊(duì)配合）

（4）落實(shí)消防檢查巡查制度。每月開展片區(qū)內(nèi)出租戶的消防安全檢查；志愿消防隊(duì)隊(duì)員、巡防隊(duì)員及保安每天結(jié)合各自崗位開展消防巡查檢查；派出所民警對轄區(qū)單位或場所進(jìn)行監(jiān)督檢查，轄區(qū)內(nèi)小商場、小學(xué)校（幼兒園）、小餐飲場所、小旅館、小網(wǎng)吧、小生產(chǎn)加工企業(yè)等“六小場所”均要納入監(jiān)管范圍，“六小場所”實(shí)行標(biāo)牌化管理，標(biāo)示場所火災(zāi)危險(xiǎn)性，明示消防管理人員，提示消防注意事項(xiàng)，警示業(yè)主和消費(fèi)者。單位保安人員要熟悉所在單位的消防設(shè)施，認(rèn)真開展防火巡查和消防宣傳，人員密集場所要設(shè)立一名專職消防安全人員，單位要有檢查記錄與宣教記錄。（村居網(wǎng)格辦牽頭，流管站、派出所具體落實(shí)）

（5）落實(shí)火災(zāi)隱患整改制度。對檢查后沒有及時整改火災(zāi)隱患的單位，及時向派出所、消防大隊(duì)進(jìn)行移交，由派出所、消防大隊(duì)對移交的隱患單位進(jìn)行依法處理。（村居網(wǎng)格辦負(fù)責(zé)，派出所、消防大隊(duì)具體落實(shí)）

（6）落實(shí)綜治組織消防工作制度，治安巡邏隊(duì)將消防工作納入治安巡防內(nèi)容，認(rèn)真履行查糾火災(zāi)隱患、撲滅初起火災(zāi)、宣傳教育群眾、報(bào)告消防動態(tài)的職責(zé)。（村居委會負(fù)責(zé)，綜治辦、派出所配合）

（7）落實(shí)專（兼）職消防隊(duì)管理制度。逐步調(diào)整志愿消防隊(duì)員的年齡結(jié)構(gòu)，對體能相對較差的隊(duì)員進(jìn)行更換，定期組織志愿消防隊(duì)開展執(zhí)勤訓(xùn)練、業(yè)務(wù)知識學(xué)習(xí)，增強(qiáng)隊(duì)伍的實(shí)戰(zhàn)滅火能力，每季度開展模擬聯(lián)合演練，使志愿消防隊(duì)真正發(fā)揮其作用，加強(qiáng)村居宣傳教育、火災(zāi)隱患排查及巡查工作，遇有突況可配合消防部門開展滅火救援工作，打造一支具有戰(zhàn)斗力的滅火隊(duì)伍。（村居委會負(fù)責(zé)，綜治辦、新陽消防中隊(duì)配合）

（8）落實(shí)消防宣傳教育和培訓(xùn)制度，確定每月第一周的星期一為消防安全宣傳日，各村居、各單位要積極深入居民家中，面對面地開展消防安全宣傳教育；實(shí)施消防宣傳、標(biāo)牌、櫥窗工程，利用每年的安全活動月、“11.9”消防宣傳日等活動，針對性地開展防火宣傳教育，村居積極協(xié)助公安機(jī)關(guān)開展消防宣傳“五進(jìn)”活動，并在人員主要流動地段設(shè)置固定消防宣傳欄、宣傳警示牌；每個村居至少設(shè)立1塊村（居）民防火公約牌；要強(qiáng)化對老、弱、病、殘人群的教育和監(jiān)護(hù)，每一棟居民樓要明確一名兼職消防宣傳員，負(fù)責(zé)開展消防安全宣傳。（各村居委會負(fù)責(zé)，安監(jiān)站、消防大隊(duì)配合，派出所、村居網(wǎng)格辦、流管站具體落實(shí)）

（9）村居網(wǎng)格辦負(fù)責(zé)消防安全工作的部署，建立健全消防工作檔案，訂制火災(zāi)應(yīng)急預(yù)案，及時收集各小網(wǎng)格終端節(jié)點(diǎn)的消防安全信息，分析總結(jié)存在的問題與提出處理措施，每月底定期將有關(guān)工作情況書面匯報(bào)鎮(zhèn)網(wǎng)格辦。（村居網(wǎng)格辦負(fù)責(zé)，安監(jiān)站配合，流管站具體落實(shí)）

3、片區(qū)(小網(wǎng)格)的工作職責(zé)與要求：

（1）村居“小網(wǎng)格”的片區(qū)消防安全協(xié)管員由各村居流管站的流管員兼職，并以所轄片區(qū)劃為網(wǎng)格終端節(jié)點(diǎn)。（村居網(wǎng)格辦負(fù)責(zé)，綜治辦、派出所配合，流管站具體落實(shí)）

（2）做好檢查工作計(jì)劃，按照區(qū)里制定的有關(guān)《出租房消防安全管理規(guī)范》的要求，各小網(wǎng)格兼職消防安全協(xié)管員每月要對責(zé)任區(qū)內(nèi)的出租房進(jìn)行一次全面的火災(zāi)隱患排查，同時做好宣傳教育，協(xié)助開展有關(guān)消防安全培訓(xùn)活動，檢查要有記錄，有分析小結(jié)，并定期匯總上報(bào)給所屬村居網(wǎng)格辦；遇到重大火災(zāi)隱患要及時報(bào)告片區(qū)責(zé)任民警和網(wǎng)格辦。（村居網(wǎng)格辦負(fù)責(zé)，派出所配合，兼職消防安全協(xié)管員、片區(qū)責(zé)任民警具體落實(shí)）

（3）片區(qū)民警做好所轄片區(qū)的消防安全管理，加強(qiáng)對片區(qū)兼職消防安全協(xié)管員的工作指導(dǎo)，協(xié)助隱患排查和落實(shí)督查整改工作；認(rèn)真履行消防檢查、宣傳教育、服務(wù)群眾等職能，定期督促片區(qū)內(nèi)有關(guān)單位和人員做好消防工作。（派出所負(fù)責(zé)，片區(qū)責(zé)任民警具體落實(shí)）

第5篇：網(wǎng)絡(luò)安全實(shí)施方案范文

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理；防護(hù)；防火墻

中圖分類號：TP393.08文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2011)14-3302-02

隨著企業(yè)信息化進(jìn)程的不斷發(fā)展，網(wǎng)絡(luò)已成為提高企業(yè)生產(chǎn)效率和企業(yè)競爭力的有力手段。目前，石化企業(yè)網(wǎng)絡(luò)各類系統(tǒng)諸如ERP系統(tǒng)、原油管理信息系統(tǒng) 、電子郵件系統(tǒng) 以及OA協(xié)同辦公系統(tǒng)等都相繼上線運(yùn)行，信息化的發(fā)展極大地改變了企業(yè)傳統(tǒng)的管理模式，實(shí)現(xiàn)了企業(yè)內(nèi)的資源共享。與此同時，網(wǎng)絡(luò)安全問題日益突出，各種針對網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊層出不窮，病毒威脅無處不在。

因此，了解網(wǎng)絡(luò)安全，做好防范措施，保證系統(tǒng)安全可靠地運(yùn)行已成為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基本職能，也是企業(yè)本質(zhì)安全的重要一環(huán)。

1 石化企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

石化企業(yè)局域網(wǎng)一般包含Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)，通過內(nèi)部網(wǎng)相互連接，經(jīng)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)處在同一網(wǎng)段或通過Vlan（虛擬網(wǎng)絡(luò)）技術(shù)把企業(yè)不同業(yè)務(wù)部門相互隔離。

2 企業(yè)網(wǎng)絡(luò)安全概述

企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分，網(wǎng)絡(luò)安全系統(tǒng)所要防范的不僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問。企業(yè)網(wǎng)絡(luò)安全隱患主要如下：

1) 操作系統(tǒng)本身存在的安全問題

2) 病毒、木馬和惡意軟件的入侵

3) 網(wǎng)絡(luò)黑客的攻擊

4) 管理及操作人員安全知識缺乏

5) 備份數(shù)據(jù)和存儲媒體的損壞

針對上述安全隱患，可采取安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理；配置好防火墻過濾策略，及時安裝系統(tǒng)安全補(bǔ)??；在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、入侵檢測系統(tǒng)，配置網(wǎng)絡(luò)安全隔離系統(tǒng)等。

3 網(wǎng)絡(luò)安全解決方案

一個網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包含許多方面，主要為物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等。

3.1 物理安全

物理安全主要指環(huán)境、場地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計(jì)劃等，包括機(jī)房環(huán)境安全、通信線路安全、設(shè)備安全、電源安全。

主要考慮：自然災(zāi)害、物理損壞和設(shè)備故障；選用合適的傳輸介質(zhì)；供電安全可靠及網(wǎng)絡(luò)防雷等。

3.2 網(wǎng)絡(luò)安全

石化企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等，并與企業(yè)系統(tǒng)內(nèi)部的上、下級機(jī)構(gòu)網(wǎng)絡(luò)及Internet互連。

3.2.1 VLAN技術(shù)

VLAN即虛擬局域網(wǎng)。是通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個個網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。

借助VLAN技術(shù)，可將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地LAN一樣方便。一般分為：基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

3.2.2 防火墻技術(shù)

1) 防火墻體系結(jié)構(gòu)

① 雙重宿主主機(jī)體系結(jié)構(gòu)

防火墻的雙重宿主主機(jī)體系結(jié)構(gòu)是指一臺雙重宿主主機(jī)作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的任務(wù)。

② 被屏蔽主機(jī)體系結(jié)構(gòu)

被屏蔽主機(jī)體系結(jié)構(gòu)是指通過一個單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，強(qiáng)迫所有的外部主機(jī)與一個堡壘主機(jī)相連，而不讓其與內(nèi)部主機(jī)相連。

③ 被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為使用兩個屏蔽路由器，位于堡壘主機(jī)的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個屏蔽路由器。

2) 企業(yè)防火墻應(yīng)用

① 企業(yè)網(wǎng)絡(luò)體系中的三個區(qū)域

邊界網(wǎng)絡(luò)。此網(wǎng)絡(luò)通過路由器直接面向Internet，通過防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)。

網(wǎng)絡(luò)。即DMZ，將用戶連接到Web服務(wù)器或其他服務(wù)器，Web服務(wù)器通過內(nèi)部防火墻連接到內(nèi)部網(wǎng)絡(luò)。

內(nèi)部網(wǎng)絡(luò)。連接各個內(nèi)部服務(wù)器（如企業(yè)OA服務(wù)器，ERP服務(wù)器等）和內(nèi)部用戶。

② 防火墻及其功能

在企業(yè)網(wǎng)絡(luò)中，常常有兩個不同的防火墻:防火墻和內(nèi)部防火墻。雖然任務(wù)相似，但側(cè)重點(diǎn)不同，防火墻主要提供對不受信任的外部用戶的限制，而內(nèi)部防火墻主要防止外部用戶訪問內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶非授權(quán)的操作。

在以上3個區(qū)域中，雖然內(nèi)部網(wǎng)絡(luò)和DMZ都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分，但他們的安全級別不同，對于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般禁止所有來自Internet用戶的訪問；而企業(yè)DMZ區(qū)，限制則沒有那么嚴(yán)格。

3.2.3 VPN技術(shù)

VPN(Virtual Private Network)虛擬專用網(wǎng)絡(luò)，一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間就好像架設(shè)了一條專線，但它并不需要真正地去鋪設(shè)光纜之類的物理線路。

企業(yè)用戶采用VPN技術(shù)來構(gòu)建其跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，與Internet進(jìn)行隔離，控制內(nèi)網(wǎng)與Internet的相互訪問。VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，將對外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對外訪問。

3.3 應(yīng)用系統(tǒng)安全

企業(yè)應(yīng)用系統(tǒng)安全包括兩方面。一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制，對安全相關(guān)操作進(jìn)行審核等。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、Web、FTP服務(wù)、E-MAIL等

病毒防護(hù)是企業(yè)應(yīng)用系統(tǒng)安全的重要組成部分，企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時，應(yīng)全方位地布置企業(yè)防毒產(chǎn)品。

在網(wǎng)絡(luò)骨干接入處，安裝防毒墻，對主要網(wǎng)絡(luò)協(xié)議（SMTP、FTP、HTTP）進(jìn)行殺毒處理；在服務(wù)器上安裝單獨(dú)的服務(wù)器殺毒產(chǎn)品，各用戶安裝網(wǎng)絡(luò)版殺毒軟件客戶端；對郵件系統(tǒng)，可采取安裝專用郵件殺毒產(chǎn)品。

4 結(jié)束語

該文從網(wǎng)絡(luò)安全及其建設(shè)原則進(jìn)行了論述，對企業(yè)網(wǎng)絡(luò)安全建設(shè)的解決方案進(jìn)行了探討和總結(jié)。石化企業(yè)日新月異，網(wǎng)絡(luò)安全管理任重道遠(yuǎn)，網(wǎng)絡(luò)安全已成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質(zhì)安全。加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，確保網(wǎng)絡(luò)安全運(yùn)行勢在必行。

參考文獻(xiàn)：

[1] 王達(dá). 路由器配置與管理完全手冊――H3C篇[M]. 武漢:華中科技大學(xué)出版社,2010．

[2] 王文壽. 網(wǎng)管員必備寶典――網(wǎng)絡(luò)安全[M]. 北京:清華大學(xué)出版社,2007．

第6篇：網(wǎng)絡(luò)安全實(shí)施方案范文

計(jì)算機(jī)上可以安裝不同廠家不同版本的操作系統(tǒng)，而每個操作系統(tǒng)既然是軟件，就有其存在的漏洞和風(fēng)險(xiǎn)，每個操作系統(tǒng)都有自己的安全機(jī)制和保護(hù)措施，如操作系統(tǒng)中可以區(qū)分用戶口令，設(shè)置用戶權(quán)限，一個同級別的用戶不允許訪問另一用戶產(chǎn)生的數(shù)據(jù)等。目前有很多病毒都是專門入侵沒有安裝補(bǔ)丁的操作系統(tǒng)設(shè)置的。網(wǎng)絡(luò)傳輸安全：網(wǎng)絡(luò)傳輸安全指的是信息在網(wǎng)絡(luò)中傳輸所面臨的安全隱患，可能會被中途截取、篡改、銷毀等。物理安全：物理安全指的是計(jì)算機(jī)硬件被損，如被盜、遭雷擊、自然災(zāi)害、靜電損壞、電磁泄漏等等原因造成的硬件丟失和損壞，導(dǎo)致硬件中存儲的軟件和數(shù)據(jù)被丟失和損壞。邏輯安全：邏輯安全指的是通過各種技術(shù)達(dá)到計(jì)算機(jī)的安全保護(hù)，如加密技術(shù)、設(shè)置口令技術(shù)、日志記錄等等。防止黑客攻擊一般都是通過保障邏輯安全來實(shí)現(xiàn)的。邏輯安全涉及的方式多種多樣。不同情況采用不同的方式去保證。

2網(wǎng)絡(luò)面臨的安全威脅

網(wǎng)絡(luò)中面臨的威脅有很多，主要?dú)w結(jié)為幾種威脅，如圖2所示。安全意識不強(qiáng)：由于網(wǎng)絡(luò)中的用戶計(jì)算機(jī)水平不一，很多計(jì)算機(jī)用戶安全意識淡薄，用戶口令選擇不慎，或?qū)⒆约旱膸ぬ柮艽a隨意告訴他人，與別人共享文件，甚至有些用戶對病毒識別能力不強(qiáng)，直接點(diǎn)擊病毒文件導(dǎo)致自身中毒。配置不當(dāng)：一般操作系統(tǒng)都是有一定的安全配置的，如果有些安全配置不使用或者配置不當(dāng)，就比較容易受病毒攻擊，比如沒有設(shè)置用戶名密碼的計(jì)算機(jī)，當(dāng)黑客入侵時就比較輕而易舉，而如果設(shè)置了用戶名密碼，黑客入侵就多了一層難度。還有如防火墻本身起到保護(hù)電腦的作用，但是如果防火墻配置不當(dāng)，就很可能不起保護(hù)作用。軟件漏洞：不管是操作系統(tǒng)還是在操作系統(tǒng)上安裝的軟件，都是有漏洞的。這些安裝了各種存在漏洞的軟件和操作系統(tǒng)的計(jì)算機(jī)一旦聯(lián)入互聯(lián)網(wǎng)，就有可能被對應(yīng)的病毒軟件入侵，造成信息泄露或者軟件中毒等。病毒：計(jì)算機(jī)病毒指的是一段代碼，該代碼一旦執(zhí)行，可能對計(jì)算機(jī)造成比較大的破壞，如刪除信息，破壞硬盤，破壞軟件等等，影響計(jì)算機(jī)軟件和硬件的正常運(yùn)行。有些計(jì)算機(jī)病毒還具有傳播性和摧毀性等特征，一旦感染，會影響到計(jì)算機(jī)的使用。黑客：電腦黑客是處于計(jì)算機(jī)水平比較高的級別。他們利用系統(tǒng)的安全漏洞非法入侵其他人的計(jì)算機(jī)系統(tǒng)，有些黑客不破壞用戶計(jì)算機(jī)的信息和內(nèi)容，而是借助用戶計(jì)算機(jī)去運(yùn)算或者轉(zhuǎn)而攻擊其他計(jì)算機(jī)，使得用戶計(jì)算機(jī)性能下降等等。

3預(yù)防網(wǎng)絡(luò)安全措施分析

網(wǎng)絡(luò)安全主要保護(hù)的就是網(wǎng)絡(luò)上的資源信息，當(dāng)機(jī)器接上了互聯(lián)網(wǎng)后，就會帶來三種風(fēng)險(xiǎn)：資源風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)和信譽(yù)風(fēng)險(xiǎn)。資源風(fēng)險(xiǎn)指的是機(jī)器設(shè)備風(fēng)險(xiǎn)；數(shù)據(jù)風(fēng)險(xiǎn)指的是存儲在電腦中的數(shù)據(jù)信息風(fēng)險(xiǎn)；信譽(yù)風(fēng)險(xiǎn)指的是公司、企業(yè)的信譽(yù)風(fēng)險(xiǎn)。不管是對于個人還是企業(yè)，網(wǎng)絡(luò)安全需要保護(hù)信息的秘密性、完整性和有效性。雖然機(jī)器中沒有什么重要的數(shù)據(jù)，但是侵入者可以隨意的使用你的機(jī)器及其資源，如儲存一些資料，進(jìn)行運(yùn)算，甚至將其作為一個可以攻擊其它網(wǎng)絡(luò)或機(jī)器的跳板。需要注意的是，這是黑客的慣用伎倆，狡猾的黑客有不止一個攻擊跳板，且分布不一，有很大程度的欺騙性和隱蔽性。網(wǎng)絡(luò)安全的措施有很多，主要分析幾種方式來確保網(wǎng)絡(luò)安全。

3.1數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)指的是將原始數(shù)據(jù)進(jìn)行加密，然后再將加密數(shù)據(jù)進(jìn)行解密查看的過程。加密技術(shù)本質(zhì)是為了隱藏原始信息內(nèi)容，使得非法獲取用戶信息的黑客無法知道原始信息內(nèi)容。加密技術(shù)可以很好地保證數(shù)據(jù)的安全性和完整性，防止機(jī)密數(shù)據(jù)被盜取或者截獲。數(shù)據(jù)加密技術(shù)按照作用不同，主要分為四種技術(shù)：密匙管理技術(shù)、數(shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)存儲技術(shù)和鑒別數(shù)據(jù)完整性技術(shù)。密匙管理技術(shù)主要指的是如何生產(chǎn)密匙，定期更換密匙規(guī)則，定期銷毀密匙，分配保存等方面。數(shù)據(jù)傳輸技術(shù)是對傳輸中的數(shù)據(jù)流進(jìn)行加密的技術(shù)。數(shù)據(jù)存儲技術(shù)指的是在存儲環(huán)節(jié)設(shè)置的加密措施，如存取權(quán)限控制，密文存儲等。鑒別數(shù)據(jù)完整性技術(shù)指的是傳輸過來的數(shù)據(jù)是否遭到非法篡改或者破壞的技術(shù)。

3.2防火墻技術(shù)

防火墻技術(shù)作為一種網(wǎng)絡(luò)安全的工具已發(fā)展若干年，隨著Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個產(chǎn)業(yè)。防火墻提供行之有效的網(wǎng)絡(luò)安全機(jī)制，是網(wǎng)絡(luò)安全策略的有機(jī)組成部分。它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效保障，在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全的防范措施。目前，雖然還沒有哪一種安全機(jī)制可以完全地確保網(wǎng)絡(luò)的安全，但建立自己的防火墻無疑會給自己的網(wǎng)絡(luò)帶來很大的好處。防火墻發(fā)展至今，無論是技術(shù)延伸還是成品指標(biāo)都有了一定的進(jìn)步。同時防火墻從實(shí)現(xiàn)技術(shù)來講，可以分為幾種類型形式，我們將其簡單劃分為包過濾型防火墻（Packet－filteringfirewall）、電路級網(wǎng)關(guān)（Circuit－levelgateway）、應(yīng)用級網(wǎng)關(guān)（Application－levelgateway）、狀態(tài)監(jiān)測防火墻（StatefulInspectionFirewall）。

3.3漏洞掃描技術(shù)

漏洞掃描技術(shù)是通過定期掃描網(wǎng)絡(luò)上的計(jì)算機(jī)，監(jiān)測是否有安全威脅的技術(shù)。它可以掃描出目前局域網(wǎng)中的計(jì)算機(jī)是否有安全漏洞，并可以將掃描的數(shù)據(jù)進(jìn)行分析以供決策。如可以掃描所有局域網(wǎng)中的TCP/IP服務(wù)的端口號，記錄主機(jī)響應(yīng)事件，收集特定有用信息，還可以掃描出局域網(wǎng)中的某些計(jì)算機(jī)已經(jīng)中毒，不停的往外發(fā)送攻擊數(shù)據(jù)等。

3.4訪問控制策略

訪問控制策略很多情況中運(yùn)用，如操作系統(tǒng)的用戶訪問權(quán)限控制，如數(shù)據(jù)庫中的用戶權(quán)限控制等。它是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略之一，處于比較重要的地位。多級訪問控制的設(shè)定可以增加入侵難度，還可以通過設(shè)置最小口令長度、口令失敗次數(shù)等方式控制非法用戶進(jìn)入計(jì)算機(jī)。

4結(jié)束語

第7篇：網(wǎng)絡(luò)安全實(shí)施方案范文

關(guān)鍵詞：防火墻；安全訪問；訪問控制

1　概述

TCP／IP通信協(xié)議和Internet最初是面向科研人員的，因此，設(shè)計(jì)此協(xié)議的工作組認(rèn)為用戶和主機(jī)之間互相信任。大家能夠進(jìn)行自由開放的信息交換和共享，不會有人故意進(jìn)行破壞。在這樣的環(huán)境里，使用Internet的人實(shí)際上就是創(chuàng)建Internet的人。隨著時間的推移。Inter-net變得更加有用和可靠，更多的用戶參與進(jìn)來，人越來越多，風(fēng)險(xiǎn)也越來越大。1988年11月的Internet蠕蟲染指了數(shù)千臺主機(jī)。從那時起，就不斷有侵犯安全的事件報(bào)道。

如今Internet的安全問題成了人們關(guān)注的焦點(diǎn)，給認(rèn)為Internet已經(jīng)完全勝任商務(wù)活動的過高期望潑了一盆冷水，計(jì)算機(jī)和通信界一片恐慌。

從本質(zhì)上，Internet的安全性可以通過提供以下兩方面的安全服務(wù)來達(dá)到：一是訪問控制服務(wù)，用來保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用；二是通信安全服務(wù)，用來提供認(rèn)證、數(shù)據(jù)機(jī)要性、完整性和各通信端的不可否認(rèn)。這兩種服務(wù)的實(shí)現(xiàn)，主要依賴于防火墻技術(shù)和加密技術(shù)。

防火墻的概念實(shí)際上是借用了建筑學(xué)上的一個術(shù)語。建筑學(xué)中的防火墻是用來防止大火從建筑的一部分蔓延到另一部分而設(shè)置的阻擋機(jī)構(gòu)。計(jì)算機(jī)網(wǎng)絡(luò)上的防火墻是用來防止來自互聯(lián)網(wǎng)的破壞，如黑客攻擊、資源被盜用或文件被篡改等波及內(nèi)部網(wǎng)絡(luò)的危害。

隨著安全性問題上的失誤和缺陷越來越普遍，對網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段。也有可能來自配置上的低級錯誤或不合適的口令選擇。因此，防火墻可以定義如下：它是設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障，防止不可預(yù)料的、潛在的破壞侵入用戶網(wǎng)絡(luò)；在開放和封閉的界面上構(gòu)造一個保護(hù)層，屬于內(nèi)部范圍的業(yè)務(wù)，依照協(xié)議在授權(quán)許可下進(jìn)行；外部對內(nèi)部網(wǎng)絡(luò)的訪問受到的限制。

防火墻的設(shè)計(jì)包括以下兩方面原則：

(1)過濾不安全服務(wù)

基于這個準(zhǔn)則，防火墻應(yīng)封鎖所有信息流，然后對希望提供的安全服務(wù)逐項(xiàng)開放，對不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。

(2)屏蔽非法用戶

基于這個準(zhǔn)則，防火墻應(yīng)先允許所有的用戶和站點(diǎn)對內(nèi)部網(wǎng)絡(luò)的訪問，然后網(wǎng)絡(luò)管理員按照IP地址對未經(jīng)授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。

總之，防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了外界的哪些人可以訪問內(nèi)部的哪些可以訪問的服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問；要使一個防火墻有效，所有來自和通向外界的信息都必須經(jīng)過防火墻，接受防火墻的檢查；防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。

2　防火墻的主要類型

通常將現(xiàn)在流行的防火墻劃分為兩大類：型和包過濾型。型防火墻又包括電路級網(wǎng)關(guān)防火墻和應(yīng)用級網(wǎng)關(guān)防火墻。包過濾防火墻又可以分為靜態(tài)包過濾型和狀態(tài)監(jiān)測型防火墻。

(1)電路級網(wǎng)關(guān)防火墻

它是一個通用服務(wù)器，它工作于OSI互聯(lián)模型的會話層或是TCP／JP協(xié)議的TOP層。它適用于多個協(xié)議，但不能識別在同一個協(xié)議棧上運(yùn)行的不同的應(yīng)用，當(dāng)然也就不需要對不同的應(yīng)用設(shè)置不同的模塊，但這種對客戶端做適當(dāng)修改。它接受客戶端的請求。客戶端完成網(wǎng)絡(luò)連接。通過電路級網(wǎng)關(guān)的傳遞的數(shù)據(jù)似乎起源于防火墻，隱藏了被保護(hù)網(wǎng)絡(luò)的信息。

(2)應(yīng)用級網(wǎng)關(guān)防火墻

通常也稱為應(yīng)用服務(wù)器。它工作于OSI模型的應(yīng)用層。在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時起到轉(zhuǎn)接作用。

其工作過程為：首先，它對該用戶的身份進(jìn)行驗(yàn)證。若為合法用戶，則把請求轉(zhuǎn)發(fā)給真正的某個內(nèi)部網(wǎng)絡(luò)的主機(jī)，同時監(jiān)控用戶的操作，拒絕不合法的訪問。當(dāng)內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時，服務(wù)器的工作過程剛好相反。應(yīng)用網(wǎng)關(guān)的優(yōu)點(diǎn)是易于配置，界面友好；不允許內(nèi)外網(wǎng)主機(jī)的直接連接；可以提供比包過濾更詳細(xì)的日志記錄。

(3)靜態(tài)包過濾防火墻

在網(wǎng)絡(luò)層對進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的安全策略進(jìn)行篩選，允許授權(quán)信息通過，拒絕非授權(quán)信息。信息過濾規(guī)則以收到的數(shù)據(jù)包的頭部信息為基礎(chǔ)。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。路由器起著一夫當(dāng)關(guān)的作用。因此，包過濾型防火墻一般通過路由器實(shí)現(xiàn)，因而也稱為包過濾路由器。

包過濾型防火墻的優(yōu)點(diǎn)是邏輯簡單，實(shí)施費(fèi)用低廉，對網(wǎng)絡(luò)的影響較小，有較強(qiáng)的透明性。并且它的工作與應(yīng)用層無關(guān)，無須改動任何客戶機(jī)和主機(jī)上的應(yīng)用程序。易于安裝和使用。其弱點(diǎn)是：配置基于包過濾方式的防火墻。需要對IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解，否則容易出現(xiàn)因配置不當(dāng)帶來的問題：不提供用戶的鑒別機(jī)制。

(4)狀態(tài)監(jiān)測型防火墻

就是對包過濾技術(shù)的增強(qiáng)。這種防火墻采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為監(jiān)測模塊。它工作在鏈路層和網(wǎng)絡(luò)層之間，對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測分析，提取相關(guān)的通信和狀態(tài)信息，并在動態(tài)連接表中進(jìn)行狀態(tài)及上下文信息的存儲和更新，這些表被持續(xù)更新，為下一個通信檢查提供累積的數(shù)據(jù)。狀態(tài)監(jiān)視器的另一個優(yōu)點(diǎn)是：能夠提供對基于無連接的協(xié)議的應(yīng)用(如DNS)及基于端口動態(tài)分配的協(xié)議的應(yīng)用(如NFS)的安全支持，靜態(tài)的包過濾和網(wǎng)關(guān)都不支持此類應(yīng)用?？傊?，這類防火墻減少了端口的開放時間，提供了對幾乎所有服務(wù)的支持，缺點(diǎn)是它也允許外部客戶和內(nèi)部主機(jī)的直接連接；不提供用戶的鑒別機(jī)制。

另外，新近推出的自適應(yīng)(Adaptive Proxy)防火墻技術(shù)。本質(zhì)上也屬于服務(wù)技術(shù)，但它也結(jié)合了動態(tài)包過濾(狀態(tài)檢測)技術(shù)。組成這種類型防火墻的基本要素有兩個：動態(tài)包過濾器與自適應(yīng)服務(wù)器。它結(jié)合了服務(wù)防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn)，在保證安全性的基礎(chǔ)上將服務(wù)器防火墻的性能提高10倍以上。

3　防火墻配置的實(shí)現(xiàn)

(1)雙宿主主機(jī)防火墻

這種防火墻系統(tǒng)由一臺特殊主機(jī)來實(shí)現(xiàn)。這臺主機(jī)擁有兩個不同的網(wǎng)絡(luò)接口：一端接外部網(wǎng)絡(luò)，一端接需要保護(hù)的內(nèi)部網(wǎng)絡(luò)，故被稱為雙宿主主機(jī)，也成為雙宿主網(wǎng)關(guān)。防火墻不使用包過濾規(guī)則，而是通過在外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間設(shè)置這個網(wǎng)關(guān)(雙宿主網(wǎng)關(guān))，隔斷IP層之間的直接傳輸。被保護(hù)網(wǎng)絡(luò)中的主機(jī)與該網(wǎng)關(guān)可以通信，外部網(wǎng)絡(luò)中主機(jī)也能與該網(wǎng)關(guān)通信。但是兩個網(wǎng)絡(luò)中的主機(jī)不能直接通信，兩個網(wǎng)絡(luò)之間的通信通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層服務(wù)來實(shí)現(xiàn)，其配置實(shí)現(xiàn)如圖1所示。

(2)屏蔽主機(jī)防火墻

屏蔽主機(jī)防火墻由一臺過濾路由器和一臺堡壘主機(jī)組成，其配置實(shí)現(xiàn)如圖2所示。在這種配置中，堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，過濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。在路由器上進(jìn)行安裝。使得外部網(wǎng)絡(luò)的主機(jī)只能訪問該堡壘主機(jī)，而不能直接訪問內(nèi)部網(wǎng)絡(luò)的其他主機(jī)。內(nèi)部網(wǎng)絡(luò)在向外通信時，也必須首先到達(dá)堡壘主機(jī)，由該堡壘主機(jī)來決定是否允許訪問外部網(wǎng)絡(luò)。這樣，堡壘主機(jī)成為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一通道。

堡壘主機(jī)是運(yùn)行軟件的計(jì)算機(jī)。它暴露在被保護(hù)的網(wǎng)絡(luò)之外，入侵者如果穿透了過濾路由器，必須首先把該主機(jī)攻克。才能夠進(jìn)入到內(nèi)部網(wǎng)絡(luò)。

(3)屏蔽子網(wǎng)防火墻

屏蔽子網(wǎng)防火墻是目前流行的一種結(jié)構(gòu)，其配置實(shí)現(xiàn)如圖3所示。采用了兩個包過濾路由器和一個堡壘主機(jī)，在內(nèi)外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，定義為“非軍事區(qū)”，有時也稱作周邊網(wǎng)，用于放置堡壘主機(jī)、WEB服務(wù)器、Mail服務(wù)器等公用服務(wù)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，但禁止它們穿過子網(wǎng)通信。在這一配置中，即使堡壘主機(jī)被入侵者控制，內(nèi)部網(wǎng)絡(luò)仍受到內(nèi)部包過濾路由器的保護(hù)。

屏蔽子網(wǎng)防火墻的主要優(yōu)點(diǎn)是它又提供了一層保護(hù)。一個入侵者必須通過兩個路由器和一個應(yīng)用網(wǎng)關(guān)，這比起屏蔽主機(jī)防火墻來要困難得多。

第8篇：網(wǎng)絡(luò)安全實(shí)施方案范文

[關(guān)鍵詞]網(wǎng)絡(luò)安全系統(tǒng)入侵防范措施

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)1110083-01

一、引言

在Internet/Intranet的使用中,Internet/Intranet安全面臨著重大挑戰(zhàn)。事實(shí)上,資源共享和信息安全歷來是一對矛盾。近年來隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)的資源共享進(jìn)一步加強(qiáng),隨之而來的信息安全問題日益突出。據(jù)美國FBI統(tǒng)計(jì),美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元。而全球每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)入侵事件。

二、網(wǎng)絡(luò)安全的概念

計(jì)算機(jī)網(wǎng)絡(luò)的安全性可定義為:保障網(wǎng)絡(luò)信息的保密性、完整性和網(wǎng)絡(luò)服務(wù)的可用性及可審查性。即要求網(wǎng)絡(luò)保證其信息系統(tǒng)資源的完整性、準(zhǔn)確性及有限的傳播范圍。并要求網(wǎng)絡(luò)能向所有的用戶有選擇地隨時提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù)。

三、網(wǎng)絡(luò)攻擊的一般過程及常用手段

(一)網(wǎng)絡(luò)攻擊的一般過程

1.收集被攻擊方的有關(guān)信息,分析被攻擊方可能存在的漏洞。黑客首先要確定攻擊的目標(biāo)。在獲取目標(biāo)機(jī)及其所在的網(wǎng)絡(luò)類型后,還需進(jìn)一步獲取有關(guān)信息,如目標(biāo)機(jī)的IP地址、操作系統(tǒng)類型和版本、系統(tǒng)管理人員的郵件地址等,根據(jù)這些信息進(jìn)行分析,可得到有關(guān)被攻擊方系統(tǒng)中可能存在的漏洞。

通過對上述信息的分析,就可以得到對方計(jì)算機(jī)網(wǎng)絡(luò)可能存在的漏洞。

2.建立模擬環(huán)境,進(jìn)行模擬攻擊,測試對方可能的反應(yīng)。根據(jù)第一步所獲得的信息,建立模擬環(huán)境,然后對模擬目標(biāo)機(jī)進(jìn)行一系列的攻擊。通過檢查被攻擊方的日志,可以了解攻擊過程中留下的“痕跡”。這樣攻擊者就知道需要刪除哪些文件來毀滅其入侵證據(jù)。

3.利用適當(dāng)?shù)墓ぞ哌M(jìn)行掃描。收集或編寫適當(dāng)?shù)墓ぞ?并在對操作系統(tǒng)分析的基礎(chǔ)上,對工具進(jìn)行評估,判斷有哪些漏洞和區(qū)域沒有覆蓋到。然后在盡可能短的時間內(nèi)對目標(biāo)進(jìn)行掃描。完成掃描后,可對所獲數(shù)據(jù)進(jìn)行分析,發(fā)現(xiàn)安全漏洞,如FTP漏洞、NFS輸出到未授權(quán)程序中、不受限制的X服務(wù)器訪問、不受限制的調(diào)制解調(diào)器、Sendmail的漏洞、NIS口令文件訪問等。

4.實(shí)施攻擊。根據(jù)已知的漏洞,實(shí)施攻擊。黑客們或修改網(wǎng)頁,或破壞系統(tǒng)程序或放病毒使系統(tǒng)陷入癱瘓,或竊取政治、軍事、商業(yè)秘密;或進(jìn)行電子郵件騷擾或轉(zhuǎn)移資金賬戶,竊取金錢等等。

(二)常見的網(wǎng)絡(luò)攻擊手段

1.炸彈攻擊。炸彈攻擊的基本原理是利用工具軟件,集中在一段時間內(nèi),向目標(biāo)機(jī)發(fā)送大量垃圾信息,或是發(fā)送超出系統(tǒng)接收范圍的信息,使對方出現(xiàn)負(fù)載過重、網(wǎng)絡(luò)堵塞等狀況,從而造成目標(biāo)的系統(tǒng)崩潰及拒絕服務(wù)。常見的炸彈攻擊有郵件炸彈、聊天室炸彈等。

2.利用木馬和后門程序。木馬攻擊通常是黑客事先設(shè)計(jì)讓受害者運(yùn)行特洛伊木馬工具里的一個程序(運(yùn)行時不易被察覺),然后黑客就可以利用工具里的另一個本地程序來遙控受害者的機(jī)器。后門程序一般是指那些繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。在軟件的開發(fā)階段,程序員常常會在軟件內(nèi)創(chuàng)建后門程序以便可以修改程序設(shè)計(jì)中的缺陷。但是,如果這些后門被其他人知道,或是在軟件之前沒有刪除后門程序,那么它就成了安全風(fēng)險(xiǎn),容易被黑客當(dāng)成漏洞進(jìn)行攻擊。

3.拒絕服務(wù)攻擊。拒絕服務(wù)攻擊是指一個用戶占據(jù)了大量的共享資源,使系統(tǒng)沒有剩余的資源給其他用戶可用的一種攻擊方式。拒絕服務(wù)的攻擊降低了資源的可用性,這些資源可以是處理器、磁盤空間、CPU使用的時間、打印機(jī)、網(wǎng)卡,甚至是系統(tǒng)的時間,攻擊的結(jié)果是減少或失去服務(wù)。

有兩種類型的拒絕服務(wù)攻擊:

第一種攻擊是試圖去破壞或者毀壞資源,使得無人可以使用這個資源。有許多種方式可以破壞或毀壞信息,如:刪除文件、格式化磁盤或切斷電源,這些行為都可以實(shí)現(xiàn)拒絕服務(wù)攻擊。幾乎所有的攻擊都可以通過限制訪問關(guān)鍵賬戶和文件并且保護(hù)它們不受那些未授權(quán)用戶訪問的方式來防止。

第二種類型是過載一些系統(tǒng)服務(wù)或者消耗一些資源,這些行為也許是攻擊者故意的行為,也許是一個用戶無意中的錯誤所致。通過這些方式,阻止其他用戶使用這些服務(wù)。例如:填滿一個磁盤分區(qū)、讓用戶和系統(tǒng)程序無法再生成新的文件。

4.電子欺騙。電子欺騙指通過偽造源于一個可信任地址的數(shù)據(jù)包以使一臺主機(jī)認(rèn)證另一臺主機(jī)的復(fù)雜技術(shù)。這里“信任”指那些獲準(zhǔn)相互連接的機(jī)器之間的一種關(guān)系,認(rèn)證是這些機(jī)器用于彼此識別的過程。電子欺騙包括IP Spoofing,Arp Spoofing,DNS Spoofing等技術(shù)。

四、網(wǎng)絡(luò)安全防護(hù)的措施和手段

(一)提高思想認(rèn)識,強(qiáng)化內(nèi)部的安全管理

“三分技術(shù)、七分管理”這句話是對網(wǎng)絡(luò)安全客觀生動的描述。任何網(wǎng)絡(luò)僅僅通過技術(shù)手段是無法確保安全的,必須在提高技術(shù)防范的同時,加強(qiáng)單位內(nèi)部的安全管理,在國家相應(yīng)法規(guī)的基礎(chǔ)上,制訂適合本單位的安全規(guī)章制度,并且嚴(yán)格落實(shí)到位。

(二)應(yīng)對黑客攻擊的主要防范策略

1.設(shè)置訪問權(quán)限。很多計(jì)算機(jī)系統(tǒng)采用不同權(quán)限設(shè)置來限制不同用戶的訪問權(quán)限.不同用戶采用不同口令來控制對系統(tǒng)資源的訪問。這是防止黑客入侵最容易和最有效的方法之一。

2.采用防火墻技術(shù)。防火墻由軟件和硬件設(shè)備組合而成。在被保護(hù)的單位內(nèi)部網(wǎng)與Intemet之間,豎起一道安全屏障.防火墻通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流。盡可能地對外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況,以此來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。防火墻由過濾器和安全策略組成.是一種非常有效的網(wǎng)絡(luò)安全技術(shù)。

3.部署入侵檢測系統(tǒng)。部署入侵檢測系統(tǒng)可以檢測到某些穿透防火墻的攻擊行為,通過和防火墻之間實(shí)現(xiàn)互動.在防火墻上動態(tài)生成相應(yīng)的規(guī)則,從而阻斷攻擊;防火墻動態(tài)生成的規(guī)則可以自動清除,保證了防火墻的性能不會因?yàn)橐?guī)則一直增加而下降。

(三)操作系統(tǒng)安全策略

第9篇：網(wǎng)絡(luò)安全實(shí)施方案范文

關(guān)鍵詞：無線網(wǎng)絡(luò)；網(wǎng)絡(luò)信息；安全防護(hù)措施

中圖分類號： G250 文獻(xiàn)標(biāo)識碼： A

引言

隨著我國經(jīng)濟(jì)和科學(xué)技術(shù)的快速發(fā)展，無線網(wǎng)絡(luò)已經(jīng)成為了人們?nèi)粘Ｉ钪胁豢扇鄙俚囊徊糠?。就連飛機(jī)上也漸漸開始提供無線Wifi接入服務(wù)，2014年7

月份時中國東方航空公司在部分京滬航線上率先試點(diǎn)開通Wifi服務(wù)，足以證明無線網(wǎng)絡(luò)對人們生活的重要性。在日常生活中人們已經(jīng)體會到了通信網(wǎng)絡(luò)所帶來的便捷性以及實(shí)用性，但是無線的網(wǎng)絡(luò)安全問題也變成了一直困擾人們的很大的一個問題。

1、無線網(wǎng)絡(luò)概述

無線網(wǎng)絡(luò)是近年來發(fā)展的網(wǎng)絡(luò)技術(shù),其主要技術(shù)核心分為Wifi、2G、3G、4G無線網(wǎng)絡(luò)。這些無線網(wǎng)絡(luò)中，Wifi實(shí)際上是一種區(qū)域性網(wǎng)絡(luò),其存在一定的局限性。例如,路由器或者無線接入點(diǎn)的接收端與發(fā)射端,網(wǎng)絡(luò)信號被發(fā)射到有限的空間中,在這個有限空間內(nèi),網(wǎng)絡(luò)用戶可以通過帶有無線網(wǎng)卡的計(jì)算機(jī)或者智能終端進(jìn)行網(wǎng)絡(luò)搜索并連接到無線網(wǎng)絡(luò)中去。

2、無線網(wǎng)絡(luò)常見安全隱患

2.1、非法攻擊者竊聽

目前，非法攻擊者竊聽無線網(wǎng)絡(luò)數(shù)據(jù)成為了常見的安全隱患。非法竊聽與復(fù)制手機(jī)卡竊聽用戶隱私數(shù)據(jù)的方式基本相同。由于無線網(wǎng)絡(luò)環(huán)境具有獨(dú)特的開放性和廣泛性，非法竊聽正是利用了這一原理，即使對無線網(wǎng)絡(luò)采取一定的加密措施，非法攻擊者也可以利用解密軟件輕松破譯密碼。因此，無線網(wǎng)絡(luò)這種開放式數(shù)據(jù)傳輸?shù)闹匾卣?，更容易受到非法攻擊和惡意破壞?/p>

2.2、非法接入并攻擊

無線網(wǎng)絡(luò)在無線終端接入前若無任何安全接入手段或者措施，如未設(shè)置密碼等。那么，無線終端都能接入到這個區(qū)域的無線Wifi中。隨著現(xiàn)代信息技術(shù)的日益普及，網(wǎng)絡(luò)黑客的攻擊目標(biāo)主要是政府部門、情報(bào)部門、中央企業(yè)和網(wǎng)上銀行等，這些機(jī)構(gòu)中的重要數(shù)據(jù)信息與黑客個人經(jīng)濟(jì)利益密切相關(guān)。網(wǎng)絡(luò)黑客能夠穿過普通防病毒軟件和防火墻系統(tǒng)的攔截，同時，網(wǎng)絡(luò)黑客以計(jì)算機(jī)終端作為竊取數(shù)據(jù)信息的載體，并將其作為入侵和攻擊目標(biāo)，通過編寫應(yīng)用程序?qū)崿F(xiàn)非法入侵，改變了直接入侵帶來的容易被發(fā)現(xiàn)的問題?？傊?，無線網(wǎng)絡(luò)的接入要求或者接入方式越簡單，給網(wǎng)絡(luò)本身帶來的風(fēng)險(xiǎn)將越高。

2.3、計(jì)算機(jī)病毒

計(jì)算機(jī)病毒不僅僅能通過有線網(wǎng)絡(luò)傳播，而無線網(wǎng)絡(luò)是傳輸介質(zhì)由雙絞線、光纖等變成了無線信號，同樣也可以傳播計(jì)算機(jī)病毒。無線網(wǎng)絡(luò)終端也會面臨計(jì)算機(jī)病毒的威脅。這些威脅包括：網(wǎng)絡(luò)蠕蟲病毒，它的傳播能力強(qiáng)、破壞力大，網(wǎng)絡(luò)木馬病毒可以實(shí)時控制感染的計(jì)算機(jī)終端，并采取遠(yuǎn)程控制竊取重要的數(shù)據(jù)信息。目前，雖然大多數(shù)殺毒軟件都能起到一定的殺毒功能，但隨著計(jì)算機(jī)病毒的不斷變異和進(jìn)化，很容易繞過殺毒軟件的防護(hù)層，實(shí)現(xiàn)對目標(biāo)終端的病毒感染。同時，由于網(wǎng)絡(luò)交易應(yīng)用日益普及，針對網(wǎng)上交易買賣的計(jì)算機(jī)病毒呈現(xiàn)出規(guī)?；l(fā)展趨勢。利用網(wǎng)絡(luò)病毒、木馬植入和垃圾郵件傳播實(shí)現(xiàn)的網(wǎng)絡(luò)攻擊事件越來越多，計(jì)算機(jī)病毒的入侵可以為非法者盜取用戶個人賬戶和密碼信息，以便從中獲取經(jīng)濟(jì)利益。

3、常見無線網(wǎng)絡(luò)安全措施分析

3.1、對網(wǎng)絡(luò)漏洞的掃描和修補(bǔ)進(jìn)行強(qiáng)化

在通信網(wǎng)絡(luò)信息化程度不斷加大的今天，網(wǎng)絡(luò)的信息安全事件的發(fā)生率也在逐漸的提高。所以加強(qiáng)對于網(wǎng)絡(luò)漏洞的掃描和修補(bǔ)對于防止惡意攻擊者的攻擊有很好的效果。對網(wǎng)絡(luò)進(jìn)行安全性掃描只是一種提高通信網(wǎng)絡(luò)信息安全的一種重要的措施。并且還可以針對掃描出來的漏洞下載合適的補(bǔ)丁對網(wǎng)絡(luò)進(jìn)行及時的修復(fù)，進(jìn)而保證了通信網(wǎng)絡(luò)的信息安全。

3.2、對重要的信息進(jìn)行再加密的處理

信息的加密處理本身就是一種增強(qiáng)信息安全的手段，能夠有效的防止用戶個人信息的泄露。所以企業(yè)在對網(wǎng)絡(luò)進(jìn)行掃描和修補(bǔ)的同時也對重要的信息進(jìn)行再加密就可以很好的確保重要信息的安全性。

3.3、建立針對網(wǎng)絡(luò)信息安全的應(yīng)急措施

針對網(wǎng)絡(luò)信息安全建立合理及時的應(yīng)急措施也是十分有必要的。這些將確保在遇到網(wǎng)絡(luò)信息安全問題的時候能及時有效的解決?，F(xiàn)在針對通信網(wǎng)絡(luò)的信息安全問題要做到:預(yù)防第一。既要加強(qiáng)事前的預(yù)防，同時對于發(fā)生之后也要有相應(yīng)的應(yīng)對措施，這樣才能保證網(wǎng)絡(luò)信息的安全性。

3.4、無線終端聯(lián)網(wǎng)可追溯性措施

無線終端聯(lián)網(wǎng)及上網(wǎng)行為的可追溯性，也十分重要。無線終端接入和斷開無線Wifi非常便捷，一旦無線終端的上網(wǎng)行為不受審計(jì)或者約束，無論對網(wǎng)絡(luò)管理員還是整個互聯(lián)網(wǎng)都將是極大的威脅。因此，無論是網(wǎng)絡(luò)運(yùn)營商、服務(wù)行業(yè)或者企事業(yè)單位，都將采用賬號、手機(jī)號碼或者具有相應(yīng)審計(jì)功能的設(shè)備來解決這類問題。通過賬號和手機(jī)號碼的唯一性能準(zhǔn)確的定位，而具有相應(yīng)功能的設(shè)備如上網(wǎng)行為管理設(shè)備，則能記錄賬號、終端MAC地址、終端類型等詳細(xì)信息，甚至能記錄瀏覽過的網(wǎng)頁，功能相當(dāng)齊全。

4、無線網(wǎng)絡(luò)安全措施應(yīng)用

（1）目前，無線網(wǎng)絡(luò)采用的加密方式主要是WAP加密，因此對于密碼的設(shè)置一定要相當(dāng)嚴(yán)謹(jǐn)，很多用戶和企業(yè)設(shè)置密碼時過分簡單，如12345678，有些單位為了便捷甚至不設(shè)置密碼，這顯然起不到安全防護(hù)的作用。而目前SSID隱藏似乎并不起到真正的安全防護(hù)作用，因?yàn)橹灰褂脤Ｓ玫能浖湍軌蜉p易地掃描到附近存在的SSID賬號。因此在對這個安全措施的使用上，既要充分考慮到用戶使用的便捷性，即將SSID字符設(shè)置為更容易理解的字符，這樣方便用戶的接入，而WAP密碼則需要設(shè)置得相對復(fù)雜些，這樣能夠阻擋住一部分沒有經(jīng)過授權(quán)的入侵者。

（2）在對無線安全防范措施的選擇上，可以采用Portal+802.1x這2種認(rèn)證的方式來提升無線網(wǎng)絡(luò)安全的防范能力，通過強(qiáng)制Portal認(rèn)證方法不需要用戶額外安裝客戶端軟件，用戶只需要通過WEB瀏覽器就能夠?yàn)g覽互聯(lián)網(wǎng)，這種方式顯然更加方便快捷，但相對來說安全屬性要差一點(diǎn)，因?yàn)閿?shù)據(jù)在無線網(wǎng)絡(luò)中傳輸是不被加密的。而802.1x則相對Portal和WAP更加安全，因?yàn)?02.1x是加密的。另外，如果企業(yè)對于安全等級防護(hù)要求比較高的，那么可以通過加裝專業(yè)的無線網(wǎng)絡(luò)入侵檢測的硬件設(shè)備來實(shí)現(xiàn)主動式防御，這種硬件設(shè)備融入了智能入侵檢測功能，從很大的程度上實(shí)現(xiàn)了主動的防御，有效地提升無線網(wǎng)絡(luò)的安全屬性。

（3）在MAC地址過濾方面的使用，通常采用的方式有2種，1種是指定的MAC地址不能夠訪問無線網(wǎng)絡(luò)；另1種是指定的MAC地址能夠訪問網(wǎng)絡(luò)，未經(jīng)許可的MAC地址不能夠訪問。目前較為主流的安全控制是選擇指定的MAC地址能夠訪問網(wǎng)絡(luò)，未注冊的MAC地址就不能夠訪問。但是這里也造成一個問題，那就是當(dāng)企業(yè)有外來用戶需要連入無線網(wǎng)絡(luò)，此時就存在著必須要專業(yè)IT人員進(jìn)行設(shè)置，否則連接不上的問題。這樣雖然降低了無線網(wǎng)絡(luò)使用的便捷性，但是從安全角度來說，還是相當(dāng)有必要的。

結(jié)束語

無線網(wǎng)絡(luò)因?yàn)椴捎昧碎_放式的媒介傳輸方式，其安全屬性本身就較弱，對于一些專業(yè)的入侵專家來說，現(xiàn)有的各種安全防范措施是很容易被攻破的，甚至僅僅需要幾分鐘的時間就能夠入侵到無線網(wǎng)絡(luò)。但是這并不意味著無線網(wǎng)絡(luò)安全防范措施不重要，必須要加強(qiáng)安全措施，再加上專業(yè)的安全管理是能夠有效提升無線網(wǎng)絡(luò)安全能力的。隨著技術(shù)的不斷發(fā)展，具有便捷性和安全性的無線網(wǎng)絡(luò)將成為承載信息傳遞的主要媒介平臺，為整個社會乃至全球提供優(yōu)質(zhì)可靠的數(shù)據(jù)、語音傳輸服務(wù)。

參考文獻(xiàn)

[1]來羽,張華杰.基于無線網(wǎng)絡(luò)的網(wǎng)絡(luò)信息安全防護(hù)措施探究[J].煤炭技術(shù),2013,10:234-235.