网络安全防护方法(通用9篇)
篇1:网络安全防护方法
网络安全审计系统的实现方法
司法信息安全方向王立鹏1 传统安全审计系统的历史
传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中,其审计的重点也是本主机的用户行为和系统调用。在随后的20年间,其他的各个操作系统也有了自己的安全审计工具,如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。常用安全措施的不足和基于网络的安全审计系统的出现
近几年来,随着开放系统Internet的飞速发展和电子商务的口益普及,网络安全和信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。
2.1防火墙技术的不足
防火墙技术是发展时间最长,也是当今防止网络人侵行为的最主要手段之一,主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离,控制外部对受保护网络的访问,它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术,但是由于防火墙技术自身存在的一些缺陷,使其越来越难以完全满足当前网络安全防护的要求。包过滤型防火墙如只实现了粗粒度的访问控制,一般只是基于IP地址和服务端口,对网络数据包中其他内容的检查极少,再加上其规则的配置和管理极其复杂,要求管理员对网络安全攻击有较深人的了解,因此在黑客猖撅的开放Internet系统中显得越来越难以使用。而代理网关防火墙虽然可以将内部用户和外界隔离开来,从外部只能看到代理服务器而看不到内部任何资源,但它没有从根本上改变包过滤技术的缺陷,而且在对应用的支持和速度方面也不能令人满意
2.2入侵检测技术的不足
人侵检测技术是防火墙技术的合理补充,能够对各种黑客人侵行为进行识别,扩展了网络管理员的安全管理能力。一般来说,人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。
目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。
基于主机的IDS来源于系统的审计日志,它和传统基于主机的审计系统一样一 般只能检测发生在本主机上面的人侵行为。
基于网络的IDS系统对网络中的数据包进行监测,对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性„准实时性),它能在出现攻击的时候发出警告,让管理人员在在第一时间了解到攻击行为的发生,并作出相应措施,以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要,因此决定了其采用的数据分析算法不能过于复杂,也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析,所以现在大
多数人侵检测系统只是对单个数据包或者一小段时间内的数据包进行简单分析,从而作出判断,这样势必会产生较高的误报率和漏报率,一般只有20%攻击行为被IDS发现也就不足为奇了。虽然国内外普遍对人侵检测技术都有很高的评价,但是随着黑客技术的发展,一些人侵检测系统本身的缺陷也为人们所了解。一些黑客利用某些分布式技术,在同一时刻向某个人侵检测系统发送大量垃圾数据包,使得人侵检测系统来不及处理而过载,直到发生丢包现象。黑客在此时发动攻击,人侵相关的网络活动被淹没在大量的嘈声之中,使得人侵检测无法检测出包含人侵模式的网络信息,这样一来黑客就达到了逃避人侵检测的目的。
2.3基于网络的安全审计系统
在这种情况下,基于网络安全审计系统孕育而生。基于网络的安全审计系统在近几年刚刚起步,尚处在探索阶段,其审计重点也在网络的访问行为和网络中的各种数据。对此有比较深人研究的也只是少数几个高校或者科研机构,其中以Purdue大学的NASHIS系统较为著名。
一般的基于网络的安全审计系统作为一个完整安全框架中的一个必要环节,一般处在人侵检测系统之后,作为对防火墙系统和人侵检测系统的一个补充,其功能:首先它能够检测出某些特殊的IDS无法检测的人侵行为(比如时间跨度很大的长期的攻击特征);其次它可以对人侵行为进行记录并可以在任何时间对其进行再现以达到取证的目的;最后它可以用来提取一些未知的或者未被发现的人侵行为模式等。
图1安全审计在整个安全体系中的位置
与传统的人侵检测系统相比,安全审计系统并没有实时性的要求,因此可以对海量的历史数据进行分析,并且采用的分析方法也可以更加复杂和精细。一般来说,网络安全审计系统能够发现的攻击种类大大高于人侵检测系统,而且误报率也没有人侵检测系统那样的高。3 基于网络的安全审计系统的常用实现方法
3.1基于规则库的方法
基于规则库的安全审计方法就是将已知的攻击行为进行特征提取,把这些特征用脚本语言等方法进行描述后放人规则库中,当进行安全审计时,将收集到网络数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等),从而发现可能的网络攻击行为。这种方法和某些防火墙和防病毒软件的技术思路类似,检测的准确率都相当高,可以通过最简单的匹配方法过滤掉大量的网络数据信息,对于使用特定黑客工具进行的网络攻击特别有效。比如发现目的端口为139以及含有DOB标志的数据包,一般肯定是Winnuke攻击数据包。而且规则库可以从互连网上下载和升级(如。.cert.org等站点都可以提供各种最新攻击数据库),使得系统的可扩充性非常好。
但是其不足之处在于这些规则一般只针对已知攻击类型或者某类特定的攻击软件,当出现新的攻击软件或者攻击软件进行升级之后,就容易产生漏报。
例如,著名的Back Orifice后门软件在90年代末非常流行,当时人们会发现攻击的端口
是31337,因此31337这个古怪的端口便和 Back Orifice联系在了一起。但不久之后,聪明的Back Orifice作者把这个源端口换成了80这个常用的Web服务器端口,这样一来便逃过了很多安全系统的检查。
此外,虽然对于大多数黑客来说,一般都只使用网络上别人写的攻击程序,但是越来越多的黑客已经开始学会分析和修改别人写的一些攻击程序,这样一来,对同一个攻击程序就会出现很多变种,其简单的通用特征就变得不十分明显,特别规则库的编写变得非常困难。综上所述,基于规则库的安全审计方法有其自身的局限性。对于某些特征十分明显的网络攻击数据包,该技术的效果非常之好;但是对于其他一些非常容易产生变种的网络攻击行为(如Backdoo:等),规则库就很难用完全满足要求了。
3.2基于数理统计的方法
数理统计方法就是首先给对象创建一个统计量的描述,比如一个网络流量的平均值、方差等等,统计出正常情况下这些特征量的数值,然后用来对实际网络数据包的情况进行比较,当发现实际值远离正常数值时,就可以认为是潜在的攻击发生。
对于著名syn flooding攻击来说,攻击者的目的是不想完成正常的TCP 次握手所建立起来的连接,从而让等待建立这一特定服务的连接数量超过系统所限制的数量,这样就可以使被攻击系统无法建立关于该服务的新连接。很显然,要填满一个队列,一般要在一段时间内不停地发送SYN连接请求,根据各个系统的不同,一般在每分钟 10-20,或者更多。显然,在一分钟从同一个源地址发送来20个以上的SYN连接请求是非常不正常的,我们完全可以通过设置每分钟同一源地址的SYN连接数量这个统计量来判别攻击行为的发生。但是,数理统计的最大问题在于如何设定统计量的“阂值”,也就是正常数值和非正常数值的分界点,这往往取决于管理员的经验,不可避免地容易产生误报和漏报基于网络安全审计系统的新方法:有学习能力的数据挖掘
上述的两种方法已经得到了广泛的应用,而且也获得了比较大的成功,但是它最大的缺陷在于已知的人侵模式必须被手工编码,它不能适用于任何未知的人侵模式。因此最近人们开始越来越关注带有学习能力的数据挖掘方法。
4.1数据挖掘简介及其优点
数据挖掘是一个比较完整地分析大量数据的过程,它一般包括数据准各、数据预处理、建立挖掘模型模型评估和解释等,它是一个迭代的过程,通过不断调整方法和参数以求得到较好的模型。
数据挖掘这个课题现在有了许多成熟的算法,比如决策树、神经元网络、K个最近邻居(K一NN),聚类关联规则和序惯模型、时间序列分析器、粗糙集等。应用这些成熟的算法可以尽量减少手工和经验的成分而且通过学习可以检测出一些未被手工编码的特征因此十分适用于网络安全审计系统。
4.2有学习能力的数据挖掘在基于网络的安全审计系统中的应用
我们采用有学习能力的数据挖掘方法,实现了一般网络安全审计系统的框架原型。该系统的主要思想是从“正常”的网络通讯数据中发现“正常”的网络通讯模式。并和常规的一些攻击规则库进行关联分析,达到检测网络人侵行为的目的。在本系统之巾,主要采用了三种比较成熟的数据挖掘算法,这三个算法和我们的安全审计系统都有着十分密切的关系:
分类算法 该算法主要将数据影射到事先定义的一个分类之中。这个算法的结果是产生一个以决策树或者规则形式存在“判别器”。理想安全审计系统一般先收集足够多的“正常”或者“非正常”的被市计数据,然后用一个算法去产生一个“判别器”来对将来的数据进行判别,决定哪些是正常行为而哪些是可疑或者人侵行为。而这个“判别器”就是我们系统中“分析引擎”的一个主要部分。
相关性分析 主要用来决定数据库里的各个域之间的相互关系。找出被审计数据间的相互关联将为决定整个安全审计系统的特征集提供很重要的依据。
时间序列分析 该算法用来建立本系统的时间顺序标准模型。这个算法帮助我们理解审计事件的时间序列一般是如何产生的,这些所获得常用时间标准模型可以用来定义网络事件是否正常。
整个系统的工作流程如图2所示
图2 系统工作流程图
首先,系统从数据的采集点介采集数据,将数据进行处理后放入被审计数据库,通过执行安全审计引擎读人规则库来发现人侵事件,将人侵时rbi记录到人侵时间数据库,而将正常网络数据的访问放人正常网络数据库,并通过数据挖掘来提取正常的访问模式。最后通过旧的规则库、人侵事件以及正常访间模式来获得最新的规则库。可以不停地重复上述过程,不断地进行自我学习的过程,同时不断更新规则库,直到规则库达到稳定。
我们实现的原型系统的框图由图3所示。
图3 系统结构框图
上面我们所见到的系统整体框架图中,在通过对正常网络通讯数据集的学习后,可以获得正常访问模式,这个过程就采用了数据挖掘技术,从海量的正常数据中半自动地提取正常访间模式,可以减少人为的知觉和经验的参与,减少了误报出现的可能性。此外,使用规则合并可以不断更新规则库,对新出现的攻击方式也可以在最快的时间内做出反应,这也是传统方法无法实现的。总 结
本文首先简单介绍了两个常用安全策略:防火墙和人侵检测系统,并讨论了它们的不足,然后给出了一种比较新的安全策略:基于网络的安全审计系统,并讨论了它的两个常用传统实现方法:规则匹配策略和数理统计策略。在具体分析这两类方法的应用和不足的同时给出了一种新的实现方式:使用具有学习能力的数据挖掘方法。最后给出了使用这个技术来实现基于网络的安全审计系统的一个系统原型通过在某实际网络环境中的使用测试表明,本系统达到了预期的设计功能。
篇2:网络安全防护方法
一般来说,为了确保无线上网的安全性,我们有必要对无线网络采取合适的安全加密措施,虽然这种操作对网络访问速度有点影响,但是这对于采用了2M左右带宽的拨号连接网络来说,影响是非常有限的。有鉴于此,我们建议各位无线上网朋友尽量对无线网络设备采取加密措施,以便让无线网络远离安全攻击。
对无线网络进行加密的方法有多种,不一样的上网需求,可以采用不一样的加密方法;现在本文就以使用最为常见的TP-LINK型号无线路由设备为设置蓝本,向各位朋友详细介绍无线网络加密过程。
一、拒绝SSID对外广播
我们知道,其他人之所以能够偷偷地共享使用自己的无线网络连接,主要是因为无线路由器在默认状态下会自动将它的SSID标识号信息对外广播,附近的无线网络设备在寻找有效网络热点时,能够很轻易地找到本地无线路由器的SSID标识号信息,如此一来他们就能尝试通过SSID标识号信息来偷偷共享使用本地无线网络连接了。
如果我们能够想办法让无线路由器设备拒绝SSID标识号信息对外广播,那么附近的无线网络设备由于搜索不到有效的SSID标识号信息,那么非法用户自然就无法共享使用本地的无线网络,这么一来我们就能实现在不需要加密的前提下,阻止非法用户使用本地无线网络连接的目的。
要做到这一点,我们可以采用手工方法来设置本地的无线路由器工作参数,取消无线路由器的SSID广播功能。在进行这种设置操作时,我们可以先按常规方法进入到无线路由器设备的后台管理界面,找到其中的“无线参数”设置项,并打开“基本设置”页面,在该页面的右侧显示区域中,将SSID标识号名称取一个其他人不容易猜中的名字。
接着检查对应页面中的“允许SSID广播”选项是否处于选中状态,在默认状态下该选项将被自动选中,为此我们需要及时取消该选项的选中状态,之后再将该页面中的“开启安全设置”项目的选中状态取消。
完成上面的设置操作后,千万不要忘记执行保存操作,而且在保存成功后还需要将无线路由器重新启动一下,这样才能确保无线路由器设备不会对外广播SSID标识号信息。
为了让本地工作站能与无线路由器顺利连接,我们还需要对本地工作站的无线上网参数进行一下设置。在进行这种设置操作时,我们可以依次单击“开始”/“设置”/“网络连接”命令,在弹出的本地网络连接列表窗口中,找到目标无线网络连接项目,并用鼠标右键单击该连接图标,从弹出的快捷菜单中执行“属性”命令,打开目标无线网络连接属性设置窗口。
在该设置窗口中单击“无线网络设置”选项卡,并在对应的选项设置页面中单击“添加”按钮,在其后界面中单击“关联”选项卡,然后在该选项设置页面中的“网络名”文本框中,正确地输入我们在无线路由器后台指定的SSID名称,同时将该选项设置页面中的“自动为我提供此密钥”项目选中,最后单击“确定”按钮结束本地工作站的无线网络设置操作,返回到本地工作站的网络连接列表窗口中,双击该窗口中的目标无线网络连接图标,本地工作站就能顺利地通过无线路由器进行安全无线上网了,
其他用户由于不知道本地的SSID名称信息,因此他们自然就无法偷偷共享使用本地的无线网络,更不要说对本地网络实施非法攻击了。
二、限制使用MAC地址
虽然将无线路由器的SSID标识号信息隐藏起来后,非法用户无法直接搜索到有效的网络热点,不过稍微熟悉无线网络的攻击者可以借助一些专业的嗅探工具,搜索出没有对外广播的SSID标识号信息,并通过该信息偷偷共享本地网络连接。
为了保护本地无线上网安全,我们可以通过限制使用MAC地址的方法,来允许特定的无线网络设备与本地无线路由器连接,而拒绝使用了其他MAC地址的设备发送过来的连接请求。要限制非法用户设备与本地无线路由器建立连接,我们可以启用无线路由器设备自带的MAC地址过滤功能来达到这一目的:
首先以系统管理员权限进入到无线路由器设备的后台管理页面,找到其中的“无线参数”设置项,再打开“MAC地址过滤”选项设置页面,在该页面的右侧显示区域中将“过滤规则”参数调整为“禁止列表中生效规则之外的MAC地址访问本无线网络”。
其次单击“MAC地址过滤”选项设置页面中的“添加新条目”按钮,在其后出现的设置窗口中,将本地工作站的无线网卡MAC地址正确填写到这里的“MAC地址”文本框中(我们不妨借助ipconfig /all字符串命令查询得到本地无线网卡设备的地址信息),之后在“描述”文本框中输入合适的说明信息,同时将“类型”参数设置为“允许”,这表示使用我们指定MAC地址的无线网卡设备能够与无线路由器设备建立无线网络连接。
完成上面的设置操作后,单击对应设置页面中的“保存”按钮,结束MAC地址过滤条目的配置工作并返回到上层设置页面,在该页面中我们就能清楚地看到刚才添加设置的过滤条目,选中该条目并单击“启用过滤”按钮,最后重新启动一下无线路由器设备,如此一来本地无线路由器设备日后就只允许本地工作站的无线网卡设备与之建立网络连接了,而其他的无线网卡尝试与之建立网络连接时,都会被无线路由器拒绝掉,那样的话非法用户就不会偷用本地的无线网络来上网了。
三、设置WEP加密密钥
如果我们对无线上网的安全要求比较高,那么最理想的办法就是启用无线路由器的WEP加密功能,以便通过登录密码来拒绝非法攻击者与本地无线路由器建立连接。在启用无线路由器的WEP加密功能时,我们可以按照如下步骤来操作:
首先以系统管理员权限进入到无线路由器设备的后台管理页面,找到其中的“无线参数”设置项,再打开基本设置页面,在该页面的右侧显示区域中检查“开启安全设置”项目是否处于选中状态,要是发现该选项已经被取消选中时,我们必须及时重新选中它。
其次单击“安全类型”设置项旁边的下拉按钮,从弹出的下拉菜单中选择“WEP”选项,再将“安全选项”参数调整为“自动”,同时将“密钥格式选择”参数调整为“16进制”。
下面在密钥输入菜单中,我们可以选中“密钥2”选项,以便为日后需要时预留出“单独密钥”的功能;选中“密钥2”项目后,再将“密钥类型”设置为“64位加密”,然后在“密钥内容”文本框中输入合适的加密密码。
篇3:网络安全防护方法
1.1 固有的安全漏洞
从理论上看操作系统无法准确的排除所有安全漏洞, 这意味着新的操作系统在发布时, 就存在一些安全漏洞。安全漏洞分为两类, 一是高危漏洞, 二是普通漏洞。高危漏洞是最容易被发现的系统漏洞, 同时也容易被最容易黑客利用的。
缓冲区溢出是一种固有的安全漏洞。在很多操作系统中, 中央处理器在执行命令时不检测程序与缓冲区之间内存的动态变化, 就接受任意长度数据的输入;当缓冲区达到饱和时, 系统会默认的将溢出部分存放在堆栈内, 此时系统仍旧执行系统命令。这种程序运行方式给黑客增加了入侵的机会, 在理论上只要黑客发送长度大于缓存区间的命令就可以造成操作系统不稳定, 出现死机、卡顿、蓝屏等状况。此外如果入侵者有意去破坏, 可以在发送命令时加入具有攻击性的代码, 可以达到访问系统根目录的目的。
1.2 合法工具的滥用
现在流行的操作系统中, 大部分带有改进用户系统管理和质量服务的软件。但可惜的是, 这些工具也成为了入侵者的利用途径之一, 入侵者利用这些软件进行非法信息收集, 并利用其加强攻击服务器的强度。如常见的NBTSTAT命令是系统管理员用来收集远程节点的信息, 但是对于熟识操作系统的黑客, 可以利用它来非法的收集威胁系统的信息, 如控制软件的系统管理员信息、系统的用户名、IIS名等。通过这信息, 黑客可以破译出进入系统的口令等。
除了常见的NBTSTAT命令外, 网包嗅探器也是经常被利用的系统工具。系统管理员一般利用它分布和监控网包的动态, 以此来找出隐藏在网络中的问题。而黑客在攻击网络时, 首先攻击电脑的网卡, 将其变为功能混交的固件设备, 再通过对网卡的控制, 使其截获经过网络的信息包, 接着通过控制网包嗅探器来收集隐藏在网络中的信息, 最后通过这些信息来攻击网络。
1.3 操作系统的维护方式不正确
现在流行的操作系统都存在固定的漏洞, 再加上网络环境中随处可见的攻击工具, 为黑客的入侵提供极大的方便。同时缺乏安全管理, 也是黑客入侵的另一个重要因素。当管理员发现系统漏洞时, 应该首先分析漏洞的类型, 再采取相应的补救手段。
有些情况, 虽然我们通过软件升级, 及时的修复了微软推送的系统补丁, 但由于系统防火墙的过滤方式过于繁杂, 导致产生新的系统漏洞。因此及时的改变操作系统的管理方式, 可以相对的提高系统的安全性。
2 网络信息安全存在问题的应对策略
面对不同的漏洞问题应该采取不同的解决方案, 从根本上看, 黑客们最终想攻击的是一台储存着有高价值数据的计数机或服务器, 对于网站等攻击只是一种寻找信息的地址而进行的。下面介绍几种有效的方法来提高用户在网络冲浪中信息的安全性。
(1) 隐藏IP地址。IP地址是用户基础的物理地址, 黑客可以利用它进行寻找攻击主机的具体位置。因此隐藏IP地址可以减少用户信息泄露, 有效的提高用户信息安全性。
(2) 关闭不必要的端口。在黑客眼中, 最容易被人们忽视的地方是他们入侵的端口。对于一些使用较少的端口最好关闭, 这些端口很容易被管理者忽视, 而黑客在攻击计算机时常常会扫描用户的端口。如果安装了相应的监视工具, 则会出现警告。因此建议一些重要用户可以安装端口监视程序, 同时也可以利用相应的计算机软件, 将一些使用频率低的端口关闭, 这两种做法都可以有效的提高系统的安全性。
(3) 管理员账号问题。黑客在攻击计算机时, 最希望破译的是系统管理员密码。操作系统的管理员密码一旦泄露, 便会造成系统信息泄露, 容易造成严重的后果。因此在用户的管理上, 可以设置多个账户, 同时设置较为复杂的密码。黑客在获取管理员密码时就必须在所有账户中找到真正的管理员账户, 这会可以增加黑客破译系统管理员密码的难度, 因此这种做法可以有效的降低系统信息泄露的危险, 提高系统信息的安全性。
(4) 系统必须安装必要的安全管理软件。在常见的操作系统中, 应该安装必要的病毒查杀软件和防火墙软件。使用计算机时将其开启, 在上网冲浪中, 即使遇到了病毒的攻击, 病毒查杀软件也会起到一定的保护作用, 可以有效的降低计算机受到的风险。
(5) 做好浏览器安全设置。我们所使用的计算机操作系统大部分是Windows操作系统, 所以使用的浏览器一般是IE浏览器, 其中的两种插件具有强大的功能, 但同时也是浏览器存在安全隐患最多的地方。一些恶意攻击网站就利用IE的两种插件编写恶意具有攻击性的网页插件, 这些插件在打开网页时便可以运行。因此要避免被这些插件的攻击, 可以在IE浏览器中进行设置。在IE 11浏览器中的设置流程如下, “选项”→“安全”→“自定义级别”, 在“选项”还有很多安全方面的选项, 可以根据用户的想法进行设置。
3 结语
通过以上的介绍我们可以了解一些常见的网络信息安全中存在的漏洞, 黑客攻击计算机的手段等。在应对策略方面笔者总结归纳出五点, 这是一般的用户可以做到的。而对于一些有重要机密的计算机, 可以请专业人士来进行设置相关的防御措施, 以此来提高信息的安全性。
参考文献
[1]简明.计算机网络信息安全及其保护策略的研究[J].科技咨询.2006 (28)
篇4:校园无线网络的安全防护方法
随着教育信息化的发展,各个学校大量使用笔记本电脑及各种手持无线设备。而无线局域网(WirelessLAN,WLANl有着传统有线局域网(LAN)所没有的优点,如建网灵活,可扩展性好,支持终端的移动性,支持在特殊场合(无法或很难架设网线)的应用。但由于WLAN是以无线电波作为上网的传输媒介,而无线网络信号可以传播到预期以外的地域,给入侵者有机可乘,特别是使用外接增益天线,可以远程窃听网络中的数据,安全问题堪忧。我校无线局域网已经使用了一段时间,积累了一些经验,因此,下文对校园无线网络的安全防护方法作一下探讨。
二、校园无线网络的安全防护
1.安全规划与配置
(1)规划好天线安装位置
布设校园无线网络时,选择好天线位置,也可使用定向天线,背向学校的方向就不易收到无线信号,学校一侧也可以收到更强的信号。
(2)在没有使用的时候关闭网络
安装时可将无线收发设备的电源与教学楼的电源装于同一线路上,在晚上夜自习结束离开教室后,关闭电源时也同时关闭无线信号。
(3)AP隔离规划
类似于有线网络的VLAN,将所有的无线客户端设备完全与有线网隔离,使之只能访问AP连接的固定网络,相当于无线中的局域网。
(4)配置无线入侵检测系统
用于无线局域网的入侵检测系统,可用来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。
(5)应用VPN技术
无线接入网络VLANfAP和VPN服务器之间的线路)从局域网把VPN服务器和内部网络隔离出来。VPN服务器提供网络的认证和加密,并应用于局域网网络内部,具有较好的扩充、升级性能,可应用于较大规模的校园无线网络。
(6)配置无线控制器+HTAP集中式WLAN管理设备
较新的WLAN网络架构,用户对FITAP的管理是通过无线控制器来代理完成,更改服务策略设定和安全策略设定只需要登录到指定的无线控制器就可以完成设置,无线控制器会自动把新的配置下发到指定的FITAP。
2.使用中的安全措施
(1)修改管理员密码和用户名
修改无线AP设置中的默认用户名和密码,尽量设置复杂的、较长的密码,最好是字母与数字并存。
(2)启用无线AP的连接密码
升级到WPA2(WiFi Protected Accessl加密协议。将安全设置改为“个人WPA2协议”并且勾选“TKIP+AES”运算法则。最后在“共享密钥”中输入密码,保存修改。
(3)采用身份验证和授权
Windows Server 2003内的IAS,可用来架设Radius服务器。客户端在使用网络之前必须先输入用户名、密码等认证信息,并只有在认证通过时才开放该客户端的网络使用权限。
(4)修改默认系统SSID
改变默认的SSID,可以使你区别于其它未受保护的网络,还可以使你的用户不会因此错连接到其它的网络中,从而就不会将你的数据暴露于黑客的嗅探器下。
(5)禁止SSID网络广播
SSID参数在设备缺省设定中是被AP无线接入点广播出去的,禁止这个广播后,我们必须把SSID名称告诉各位用户,在无线接收设备上设置好才能连接上无线AP。
(6)使用MAC地址过滤与固定IP
这个方法要求登记学校里所有使用无线上网设备的MAC地址,来更新无线AP中的MAC地址列表。这样就只有经过登记的合法设备可以访问你的网络了。如果能关闭DHCP服务,为学校里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与无线终端的MAC地址进行绑定,这样就可以得到双重保险。
参考文献:
[1]李园,王燕鸿,无线网络安全性威胁及应对措施[J].现代电子技术,2007,(5):91-94
[2]王秋华,章坚武,浅析无线网络实施的安全措施[J].中国科技信息,2005,(17):18
[3]冷月,无线网络保卫战[J].计算机应用文摘,2006,(26):79-81
[4]湛成伟,网络安全技术发展趋势浅析[J].重庆工学院学报,2006,20(8):119-121
篇5:网络安全防护方法
随着社会科技的不断发展,互联网技术也在不断发展,计算机技术被广泛应用于各个领域,为事业发展带来便捷的同时,也产生了很多困扰我们的问题。计算机技术为各事业单位更便捷、高效、准确开展工作提供了保证,利于信息的查询、保存与利用,但数据一旦遭到攻击,造成业务服务中断,甚至会带来难以弥补的损失和不可挽救的社会影响。所以说,“没有信息安全,就没有国家安全”,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作、生活的重大战略问题。如何保障信息安全,发挥计算机对社会的有利作用,把损失降到最低,把灾害拒之门外,本文将探讨事业单位中信息安全及病毒防护的一些方法。
1 目前我国局域网安全现状
根据CNERT最新的发布的互联网网络安全态势综述中指出,近年来涉及重要行业和政府部门的高危漏洞事件持续增多,事业单位做为政府创办的服务机构,重要信息系统的网络系统上承载了大量有价值的数据信息,广泛被漏洞挖掘者关注。,CNCERT通报了涉及政府机构和重要信息系统部门的事件型漏洞近2.4万起,约是的2.6倍,信息安全形势如此严峻,但目前还有部分政府、企事业单位对内部局域网安全管理的重要性认识不够,单位局域网的信息安全还是存在较大的安全隐患。
2 事业单位局域网信息安全工作存在的问题分析
2.1 欺骗性软件导致数据安全性能降低
互联网上广泛存在欺骗性的`软件,会导致局域网信息数据的安全性能降低,从而影响了相关工作的开展。出现此种现象的主要原因是由于在事业单位局域网中,基本上都实现了资源共享,使得相关的资源数据存在一定的开放性,容易出现数据泄露、篡改、删除等现象,导致数据的安全性能降低。例如:在网络上经常出现一些网络钓鱼攻击等,相应的钓鱼工具主要是发送一些带有知名信息的垃圾邮件,诱导收件人给出一些敏感性信息,使得用户上当受骗,从而造成一定的经济损失。另外,由于用户在对数据管理过程中,相应的安全意识和知识较为欠缺,导致用户经常出现一些数据信息丢失,严重影响了相关工作的开展。
2.2 数据信息安全意识薄弱
事业单位工作人员缺少足够的信息安全意识,或是不遵守移动硬盘、U盘等外设的使用管理规范,贪图使用便利而违反信息安全规章,或是随意将未授权的计算机接入信息内外网和内部人员内外网混用,很容易导致局域网病毒传播甚至内网机密信息的泄漏。
2.3 IP地址冲突
篇6:网络安全防护方法
杀毒软件属于当前应用最为广泛的信息防护技术,同时也是一项简单有效的防护手段。计算机病毒由人为制造,在计算机系统中可大量传播复制。病毒通常潜伏在互联网某角落,被激活后侵入计算机系统,会降低计算机运行速度,造成文件的丢失,情况严重使还会直接导致电脑系统瘫痪。杀毒软件尽量选择病毒库更新速度快的类型,用户在使用计算机时可及时发现网络存在的各类新型病毒,降低计算机感染率。另外,防火墙是保护计算机的一种主要手段,在局域网以及互联网础基上设置,当前应用非常广泛,认可度高。防火墙技术在实际应用中主要是通过筛选数据流方式,提高内部网络安全控制的有效性。防火墙在实际应用中能够实现对攻击的有效抵抗,属于必不可少的安全程序。但是防火墙在实际应用中还存在一定的缺陷和不足,很难实现对计算机系统的全面保护,还需要与相关杀毒软件协同发挥作用,以更好的维持计算机正常工作[3]。
4.2制定加强计算机网络安全管理的相关制度
现阶段已有针对计算机网络安全所设立的部门以及领导小组,这些部门和小组的通过明确职责,分派计算机安全管理员来构建完整的计算机网络安全管理体系,但管制不能完全清除安全隐患。用户在网络改造升级过程中,应严格按照相关部门的要求进行,杜绝违法行为。另外还可通过在局域网计算机上安装杀毒软件构建完整的杀毒网络,从而做到同步升级、定期检查。
4.3加强外联网络安全防护措施
目前,外联网络安全防护措施包括蓝牙系统、无线、有限网卡、USB端口等。此类防护措施能在终端阻断非法网络行为,是一种极为安全且有效的防护措施。另外,还应定期进行网络安全扫描,安全扫描能够实现对当前计算机安全隐患和漏洞的有效检测,定期进行安全扫描,及时找到系统存在的漏洞,减少潜在木马和病毒风险。用户在下载软件时往往会有插件部分,插件属于恶意软件,可能会自动篡改用户浏览器主页,安全扫描发现后,应及时删除,使系统恢复正常使用。
4.4提高计算机网络用户的防范意识
用户应强化网络安全意识,在使用计算机网络的过程中不要随便打开陌生文件和陌生网页,强化自身的网络安全意识。同时,应落实好计算机网络安全维护工作,加大不同类型计算机网络病毒有效防范的宣传力度,确保用户信息安全状况良好性。除此之外,用户应在计算机网络运用中做好重要资料的备份工作,避免因计算机中毒而致使个人遭受重大损失。
5结语
在信息时代计算机网络安全具有十分重要的意义。只有提高计算机用户的网络安全意识,实现对对计算机网络安全的有效防护,才能保证信息安全传输,更好的发挥出互联网的价值和作用,促进人类社会经济发展进步。
参考文献
[1]曾荣.如何有效加强计算机信息技术网络安全管理[J].科技风,(3):264.
[2]郑辉.计算机网络安全的主要隐患及管理措施解析[J].信息系统工程,(3):80.
篇7:网络安全防护方法
随着科技的发展以及人们生活水平的提高,现代家庭中有两台以上的电脑是很平常的事情。很多家庭都选择无线路由器来分享上网,无线上网使人们摆脱了线的纠缠,让人们在无线世界中自由的网上冲浪。但请注意,这里指的人们不只是你的家人还包括你的邻居甚至是一些陌生人。IEEE 802.11n草案的推出,无线路由的传输速度也有了质的飞跃。但很多用户只关注了传输速度却忽视了无线网络的安全。例如,在家中阳台上可以搜索到七八个无线连接,其中便有连密码都不设的,可以轻松“分享”他的网络带宽。据调查显示,有90%的网络入侵是因为无线路由器没有进行相应的无线网络安全设置而引发的。
无线网络安全设置之一:DHCP功能
DHCP 是 Dynamic HostConfiguration Protocol(动态主机分配协议)缩写,主要功能就是帮助用户随机分配IP地址,省去了用户手动设置IP地址、子网掩码以及其他所需要的TCP/IP 参数的麻烦。这本来是方便用户的功能,但却被很多别有用心的人利用,
一般的路由器DHCP功能是默认开启的,这样所有在信号范围内的无线设备都能自动分配到IP地址,这就留下了极大的安全隐患。攻击者可以通过分配的IP地址轻易得到很多你的路由器的相关信息,所以禁用DHCP功能非常必要。
无线网络安全设置之二:加密
现在很多的无线路由器都拥有了无线加密功能,这是无线路由器的重要保护措施,通过对无线电波中的数据加密来保证传输数据信息的安全。一般的无线路由器或AP都具有WEP加密和WPA加密功能,WEP一般包括64位和128位两种加密类型,只要分别输入10个或26个16进制的字符串作为加密密码就可以保护无线网络。WEP协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户 或侵入无线网络,但WEP密钥一般是是保存在Flash中,所以有些 可以利用你网络中的漏洞轻松进入你的网络。
WEP加密出现的较早,现在基本上都已升级为WPA加密,WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有无线局域网系统的数据保护和访问控制水平;WPA加强了生成加密密钥的算法, 即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。WPA的出现使得网络传输更加的安全可靠。
无线网络安全设置之三:SSID广播
篇8:网络安全防护方法
1主流的WPA/WPA2方式加密认证的无线网络的破解方法
下班后,打开笔记本搜了一下周围的无线网络,无线网络列表中有中国移动的CMCC,0,A,并且也有好几个信号比较强的私人无线路由器/AP信号,我要说大实话:山东潍坊的CMCC账号又黑又贵真心不想用!下面介绍用两种方法破解主流的WPA/WPA2方式加密认证的无线网络:
1.1第一种破解WPA密码方法:抓包跑字典法
无线设备在接入到无线网络的时候需要首先进行密码认证,也就是说会把认证密钥发送给认证服务器,这里也就有个不安全因素存在,只要想办法在无线客户端接入网络的时候抓取到其带有安全密钥的数据包,虽说WPA里面使用的的AES算法是不可逆的!但是我们可以找一堆可能的密码组合(即:密码字典),将这些可能的密码通过对应的算法加密得到其加密后的密文,然后拿这些密文去跟我们抓取数据包中的认证密文进行对比(跑字典),对比结果如果相同,那么可想而知这个密码就是真正的密码……思路就是这样不多说啦,相信多数有点基础的朋友都能看懂!
下面以实例详细来说一下破解过程:
(1)在LINUX系统下打开程序Feeding Bottle找到需要使用的无线网卡,选中点击【Next->】按钮。
(2)选择对应的加密方式WPA/WPA2,信道,扫描时间等,然后点击【Scan…】按钮开始扫描周边的无线网络。
(3)注意观察弹出窗口中Data项下面的数据,当你想抓包的那个SSID的DATA项有数据,你就可以手动点击Stop!停止啦,因为说明他下面已经有客户端啦,然后在Aps Information下面找到对应的SSID选中,在Clients Information下面就可以看到其客户端的信息,这里如果有多个客户端就选那个数据包多的-点击Next继续进行【下一步】。
(4)先点击【Start】按钮随便选一个密码字典,这主要是先开启mon抓包进程,然后多多点击客户端MAC边的Deauth按钮进行断开连接攻击,此攻击的作用毋庸置疑就是让客户端与无线路由器断开连接,然后客户端会主动进行重新认证连接,这时候我们就成功抓到带有密码的握手包啦。
(5)这时不建议再继续用里面自带的工具跑密码,因为跑字典太慢啦,还是用U盘把targetap_wpa-01.cap这个带有密钥的文件弄出来(LINUX使用U盘看下图),最后那条命令是关键,搞完文件之后记得先用umount命令卸载设备,然后才能拔出U盘。
(6)在WINDOWS下做好密码字典,然后就可以用EWSA跑字典啦(EWSA需要设置好)。我跑了一个多小时就跑出了正确的密码——密码是8位纯数字的。
1.2第二种破解WPA密码方法:枚举无线路由器的PIN码
这种方式是我在捉到对应SSID的密钥包后,试了各种密码字典(手机号,8位以内的数字,弱口令等)没有枚举出密码的情况下进行的,这种情况说明其设置的无线密码一定比较长或者复杂,有的无线路由器(AP)是支持并开启了WPS模式(WPS即:Wi Fi保护设置),用心的朋友可能会发现你的无线路由器上面会写着一个8位数PIN码,这个PIN码就是在开启了WPS的设备上无线网络客户端可以直接通过此对应PIN进行网络接入。一个8位数的PIN码,一个一个试最多也就试个99999999次!这对于计算机来说岂不是小意思……下面还是以实例来大体说一下破解过程吧:
1、首先扫描出对方SSID无线路由器(或者AP)的MAC地址(过程略)。
2、在带有reaver工具的LINUX系统下打开终端用几条命令就能开始PIN枚举:
(1)ifconfi g wlan0 up:启动wlan0网卡。
(2)airmon-ng start wlan0:建立基于wlan0无线网卡的监控端口mon0,开启监视模式。
(3)reaver-I mon0–b:这里写无线路由器MAC地址;-a-S-vv-d 0:这里就是开始枚举破解PIN啦(后面的-d 0参数为加快速度,信号不好时可以去掉此参数,破解过程中可以按CTRL+C键中断操作,系统会自动保存进度等以后可以接着以前的进度继续破解)。我跑了三晚上,大约30个小时才得到的PIN码,得到PIN码后随即直接给出了WPA密码--12位数字、字母混合密码。
2无线网络安全防护的问题
其实关于怎么做才能保障自己的无线网络不被别人蹭网、恶意接入,首先要明白无线网络没有绝对的安全!我下面只能说几点防护措施:
(1)无线连接密码越长越复杂就越难通过直接跑字典的方式获取密码
(2)在没有必要的情况下慎用WPS功能,因为你密码再复杂PIN码也是8位数字,可能通过直接破解PIN的方式破解无线网络
(3)如果非要开启无线路由器的WPS功能,请定期更改PIN码。
(4)必要时可以直接关闭SSID广播,SSID广播的关闭就意味着搜索不到对应路由器的无线网络SSID,客户端需要连接就只能通过手工输入要连接的SSID来进行接入网络。
(5)当然你也可以在路由器里设置只允许绑定的MAC进行网络接入。
(6)想做好的安全防护,先学会攻击原理(其实明白人从我上面的破解原理及方式就能总结出来防护措施)。
无线网络是发挥巨大便利性的同时,其安全问题也不容小觑,网络安全重在防护意识,只要大家常关注于此,运用好以上方法,就能大大提高你的网络安全性。
摘要:网络给我们的生活增添了不少方便与色彩,如今我们的工作、生活基本上已经离不开网络了,大家试想一下如果某一段时间没有了网络你的生活会是怎样的,说到这里不难解析出重要的两点:第一,我们不能没有网络。第二,网络安全保障问题……
关键词:无线网络,网络安全,安全防护
参考文献
[1]王双剑,丁辉.无线网络安全的机制及相关技术措施[J].科技传播,2012(03).
[2]宋玲.浅议无线网络的安全隐患与防范措施[J].科技信息,2012(04).
篇9:计算机网络病毒防护方法
一、计算机网络病毒的概念
计算机网络病毒,这个概念,目前还没有统一的,法律性的定义,归纳起来主要有两种观点。
(一)狭义的网络病毒,这种观点认为,网络病毒应该严格地局限在网络范围之内,即网络病毒应该是充分利用网络的协议及网络的体系结构作为其传播的途径和机制,同时网络病毒的破坏对象也是针对网络的,这种观点将所有单机病毒排斥在网络病毒的讨论范围之外。
(二)广义的网络病毒,这种观点认为,只要能在网络上传播并能对网络产生破坏的病毒,无论破坏的是网络还是网络计算机,都称为网络病毒。
二、网络病毒的主要来源
在当今日益互联的工作环境中,病毒可以在瞬间爆发,过去的病毒通常通过文件和磁盘共享传播,而现在的病毒可以通过不同的方式感染计算机,邮件系统,WEB,服务器和局域网,网络病毒的来源主要有两种。
(一)一种威胁来自文件下载
这些被浏览的或是通FTP下载的文件中可能存在病毒,而共享软件和各种可执行的文件,如格式化的介绍性文件已成为病毒传播的重要途径,并且Internet上还出现了Java和Active X形式的恶意小程序。
(二)另一种威胁来自电子邮件
大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,主要简单敲击键盘邮件可以发给一个或一组收信人。因此,受病毒感染的文档或文件就可能通过網关和邮件服务器涌入网络。
三、计算机网络病毒的防治技术
(一)硬件安全策略
硬件系统是网络的物质基础,由路由器,交换机,工作站,网络服务器和网卡等组成,要保护这些硬件和通信链路不要受到人为破坏,自然灾害和搭线攻击,验证用户的身份和使用权限,防止用户越权操作,确保网络设备有一个良好的电磁环境,保管好备份磁盘和文档资料,做好保安工作,防止偷窃和破坏活动。
(二)软件安全策略
软件安全策略主要是指访问控制策略,访问控制策略是网络安全防范和保护的核心,其任务是保证网络资源不被非法使用和访问,具体可采取以下一些措施保护网络安全:
1.使用防火墙技术,基于客户端的个人防火墙或过滤措施,并在防火墙中安装最新的安全修补程序,在防火墙之后加入入侵检测,这样能够足够迅速地检测到入侵,并能在破坏发生或数据损坏之前把他驱逐出系统,即使未能足够迅速地检测出入侵并加以阻止,也是越迅速地检测出入侵,越能减少破坏的危害并能够迅速地加以恢复.
2.通过最先进的漏洞扫描工具对系统进行扫描,及时发现漏洞,并迅速打上补丁,管理员可根据需要定制自动的补丁管理策略,同时,应该随时关注系统软件供应商的漏洞发布信息,对最新的漏洞及时打上补丁。
3.设置口令和不同权限的帐号,阻止入侵或非法访问计算机多数用口令来控制系统资源的访问,这是最常用的安全措施,是防止非法访问的第一道防线,通过网络权限的设置,控制哪些用户能够登录到服务器并获取网络资源,控制用户入网的时间和在哪台工作站入网,通过对用户和用户组设置目录,文件和其他资源的访问权限,可以控制用户对这些文件,目录,设备能够执行的操作。
4.安装防病毒软件,防止病毒的侵入要比发现和消除病毒更重要,防止病毒的重点是控制病毒的传染,要及时检查,有效地辨别病毒与正常程序,杜绝病毒源,可以通过下几点对付病毒,合理设置杀毒软件,及时更新病毒库,定期检查敏感文件,对外来的软件和机器进行病毒检查,使用移动存储设备之前进行病毒的扫描和查杀,不使用来历不明的的软件,也不使用非正常解密的软件,对所有的邮件进行查毒。
5.软件加密,就是利用密码学的加密方法,对软件中的指令代码和数据等信息进行变换,使得非法用户不通过跟踪执行的程序,分析该程序的指令代码和数据是完全不可能的,即防止未授权者对软件非法窃取,非法拷贝和非法使用甚至非法更改,删除或插入。
6.网络系统备份计算机有可能遭到人为的或是自然灾害的破坏,如硬件故障,入侵者对网络的攻击或破坏数据,可以利用备份很快地全盘恢复计算机系统运行所需的数据和系统信息,使网络快速恢复运转,不至于瘫痪。
(三)加强用户网络安全的意识
用户对于电脑使用习惯在很大程度上影响系统的安全与稳定,因此只靠,防,和,堵,是不行的,还应该通过各种宣传手段,树立用户的网络安全意识,例如在实际应用中注意以下几点:对于邮件附件尽可能小心,在打开邮件之前对附件进行预扫描。如果其信中夹带了附件,但是在信中提及或是说明,也不要轻易运行,因为有些病毒是自动附着上去的。更不要打开陌生人来信中的附件文件,尤其对于一些“.exe”之类的可执行程序文件,更要慎之又慎!其次在文件夹选项中,设置显示文件名的扩展名,因为Windows允许用户在文件命名时使用多个后缀,这样一些有害文件就会原形毕露。再次需要特别注意网站提供的补丁,来消除这些系统漏洞让系统时时保持最新,最安全,但是要注意最好从信任度高的网站下载补丁。
(四) 做好重要数据的备份工作
不管怎么样对病毒进行防护,都有可能给病毒留下可趁之机,使计算机系统被感染,计算机用户还需要注意做好重要数据的备份和加密工作,这样,即便计算机系统感染了病毒,重要数据被泄露或者破坏,也可以将损失降到最低。
由小编时光荏苒整理的文章网络安全防护方法(通用9篇)分享结束了,希望给你学习生活工作带来帮助。