局域網(wǎng)安全措施方案.doc

1、局域網(wǎng)平安措施方案 平安方案有哪些?無線局域網(wǎng)是用無線通信技術(shù)將終端設(shè)備互聯(lián)起來，構(gòu)成可以互相通信和實(shí)現(xiàn)資源共享的局域網(wǎng)絡(luò)體系。一起來看看局域網(wǎng)平安措施方案是什么，歡送查閱! 無線局域網(wǎng)已廣泛應(yīng)用于各行各業(yè)中，受到人們的青睞，并成為無線通信與互聯(lián)網(wǎng)技術(shù)相結(jié)合的最熱門技術(shù)。無線局域網(wǎng)的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性，它能大幅度提高用戶訪問信息的及時(shí)性和有效性，還可以克服有線限制引起的不便性。但因無線局域網(wǎng)應(yīng)用具有很大的開放性，數(shù)據(jù)傳播的范圍較難控制，無線局域網(wǎng)面臨非常嚴(yán)峻的平安問題。無線局域網(wǎng)面臨的根本平安問題如下。 1、非法接入風(fēng)險(xiǎn) 主要是指通過未授權(quán)的設(shè)備接入，例如，企業(yè)內(nèi)部一些員工，

2、購置廉價(jià)小巧的無線，通過有線以太網(wǎng)口接入網(wǎng)絡(luò)，如果這些設(shè)備配置有問題，處于沒加密或弱加密的條件下，那么整個(gè)網(wǎng)絡(luò)的平安性就大打折扣，造成接入危險(xiǎn)?；蛘呤瞧髽I(yè)外部的非法用戶與企業(yè)內(nèi)部的合法建立了連接，這也會使失控。 2、客戶端連接不當(dāng) 一些部署在工作區(qū)域周圍的無線路由器可能沒有做平安控制，企業(yè)內(nèi)一些合法用戶的無線網(wǎng)卡可能與這些外部無線路由器連接，一旦這個(gè)用戶連接到外部無線路由器，企業(yè)的網(wǎng)絡(luò)就處于風(fēng)險(xiǎn)之中。 3、竊聽 一些黑客借助Wi-Fi分析器，會捕捉到所有的無線通信數(shù)據(jù)，如果信息沒有保護(hù)，那么可以閱讀信號中傳輸?shù)膬?nèi)容。如果黑客手段更高明一點(diǎn)，就可以偽裝成合法用戶，修改空中傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)等。 4、

3、拒絕效勞攻擊 這種攻擊方式，不以獲取信息為目的，黑客只是想讓用戶無法訪問網(wǎng)絡(luò)效勞而不斷地發(fā)送信息，使合法用戶的信息一直處于等待狀態(tài)，無法正常工作。 上面所述的平安問題的解決，其核心在于平安機(jī)制和平安協(xié)議如何制定。當(dāng)前主流的無線局域網(wǎng)技術(shù)Wi-Fi從技術(shù)創(chuàng)造和協(xié)議設(shè)計(jì)初期到現(xiàn)在，都不能有效解決這些問題。導(dǎo)致根據(jù)協(xié)議開發(fā)出來的所有產(chǎn)品，雖然不同的廠家，但均面臨著隨時(shí)被解的危險(xiǎn)。 本方案為某大型局域網(wǎng)網(wǎng)絡(luò)平安解決方案，包括原有網(wǎng)絡(luò)系統(tǒng)分析、平安需求分析、平安目標(biāo)確實(shí)立、平安體系結(jié)構(gòu)的設(shè)計(jì)、等。本平安解決方案的目標(biāo)是在不影響某大型企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對他們局域網(wǎng)全面的平安管理。 將平安策略

4、、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的平安風(fēng)險(xiǎn)。 2.定期進(jìn)行漏洞掃描，審計(jì)跟蹤，及時(shí)發(fā)現(xiàn)問題，解決問題。 3.通過入侵檢測等方式實(shí)現(xiàn)實(shí)時(shí)平安監(jiān)控，提供快速響應(yīng)故障的手段，同時(shí)具備很好的平安取證措施。 4.使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。 5.在工作站、效勞器上安裝相應(yīng)的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。 第二章 網(wǎng)絡(luò)系統(tǒng)概況 2.1 網(wǎng)絡(luò)概況 這個(gè)企業(yè)的局域網(wǎng)是一個(gè)信息點(diǎn)較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接的現(xiàn)有上千個(gè)信息點(diǎn)為在整個(gè)企業(yè)內(nèi)辦公的各部門

5、提供了一個(gè)快速、方便的信息交流平臺。不僅如此，通過專線與Inter的連接，打通了一扇通向外部世界的窗戶，各個(gè)部門可以直接與互聯(lián)網(wǎng)用戶進(jìn)行交流、查詢資料等。通過公開效勞器，企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì)為用戶提供快速、方便、靈活通信平臺的同時(shí)，也為網(wǎng)絡(luò)的平安帶來了更大的風(fēng)險(xiǎn)。因此，在原有網(wǎng)絡(luò)上實(shí)施一套完整、可作的平安解決方案不僅是可行的，而且是必需的。 2.1.1 網(wǎng)絡(luò)概述 這個(gè)企業(yè)的局域網(wǎng)，跨度不大，通過千兆交換機(jī)在主干網(wǎng)絡(luò)上提供1000M的獨(dú)享帶寬，通過下級交換機(jī)與各部門的工作站和效勞器連結(jié)，并為之提供100M的獨(dú)享帶寬。利用與中心交換機(jī)

6、連結(jié)的Cisco 路由器，所有用戶可直接訪問Inter。 2.1.2 網(wǎng)絡(luò)結(jié)構(gòu) 這個(gè)企業(yè)的局域網(wǎng)按訪問區(qū)域可以劃分為三個(gè)主要的區(qū)域：Inter區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開效勞器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門、職能、平安重要程度分為許多子網(wǎng)，包括：財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、辦公子網(wǎng)、市場部子網(wǎng)、中心效勞器子網(wǎng)等。在平安方案設(shè)計(jì)中，我們基于平安的重要程度和要保護(hù)的對象，可以在Catalyst 型交換機(jī)上直接劃分四個(gè)虛擬局域網(wǎng)(VLAN)，即：中心效勞器子網(wǎng)、財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的播送域，由于財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、中心效勞器子網(wǎng)屬于重要網(wǎng)段，因此在中心交換機(jī)上將這些網(wǎng)段各自劃分為一個(gè)

7、獨(dú)立的播送域，而將其他的工作站劃分在一個(gè)相同的網(wǎng)段。(圖省略) 2.2 網(wǎng)絡(luò)應(yīng)用 這個(gè)企業(yè)的局域網(wǎng)可以為用戶提供 1.文件共享、辦公自動(dòng)化、效勞、電子郵件效勞; 2.文件數(shù)據(jù)的統(tǒng)一存儲; 3.針對特定的應(yīng)用在數(shù)據(jù)庫效勞器上進(jìn)行二次開發(fā)(比方財(cái)務(wù)系統(tǒng)); 4.提供與Inter的訪問; 5.通過公開效勞器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等; 2.3 網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn) 在分析這個(gè)企業(yè)局域網(wǎng)的平安風(fēng)險(xiǎn)時(shí)，應(yīng)考慮到網(wǎng)絡(luò)的如下幾個(gè)特點(diǎn)： 1.網(wǎng)絡(luò)與Inter直接連結(jié)，因此在進(jìn)行平安方案設(shè)計(jì)時(shí)要考慮與Inter連結(jié)的有關(guān)風(fēng)險(xiǎn)，包括可能通過Inter傳播進(jìn)來病毒，黑客攻擊，Inter的非授權(quán)訪問等。 2.網(wǎng)絡(luò)中存

8、在公開效勞器，由于公開效勞器對外必須開放局部業(yè)務(wù)，因此在進(jìn)行平安方案設(shè)計(jì)時(shí)應(yīng)該考慮采用平安效勞器網(wǎng)絡(luò)，防止公開效勞器的平安風(fēng)險(xiǎn)擴(kuò)散到內(nèi)部。 3.內(nèi)部網(wǎng)絡(luò)中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的平安性，因此在進(jìn)行平安方案設(shè)計(jì)時(shí)，應(yīng)考慮將不同功能和平安級別的網(wǎng)絡(luò)分割開，這可以通過交換機(jī)劃分VLAN來實(shí)現(xiàn)。 4.網(wǎng)絡(luò)中有二臺應(yīng)用效勞器，在應(yīng)用程序開發(fā)時(shí)就應(yīng)考慮加強(qiáng)用戶登錄驗(yàn)證，防止非授權(quán)的訪問。 平安是無線局域網(wǎng)面臨的最大問題，這是由無線信號在空中幾乎無邊界的傳播特性造成的，不管信號中的數(shù)據(jù)要發(fā)送的目的地是哪里，任何無線終端在無線信號覆蓋的范圍內(nèi)都可以接收到。為了保證平安通信，無線局域網(wǎng)中應(yīng)采取必要

9、的平安技術(shù)，包括鑒別、加密、數(shù)據(jù)完整性保護(hù)等。 1、鑒別 鑒別提供了用戶身份合法性的保證，這意味著當(dāng)用戶聲稱具有一個(gè)特定的身份時(shí)，鑒別技術(shù)將提供某種方法來證實(shí)這一聲明是正確的。用戶在登錄無線局域網(wǎng)的時(shí)候，需要輸入特定的密碼或身份信息等來進(jìn)行身份合法性的驗(yàn)證。 盡管不同的鑒別方式用戶身份驗(yàn)證的具體流程不同，但根本功能是一致的。目前，無線局域網(wǎng)中采用的鑒別方式主要有基于瀏覽器頁面的身份鑒別、基于密碼的身份鑒別、基于數(shù)字證書的身份鑒別。 (1)基于瀏覽器頁面的身份鑒別 基于瀏覽器頁面的身份鑒別一個(gè)非常重要的特點(diǎn)是客戶端只需要在瀏覽器上輸入正確的接入信息憑證即可。這類身份鑒別的技術(shù)在公共場所(如機(jī)場、

10、酒店、商場等地方)經(jīng)常用到，用戶輸入 號碼，通過 獲得相關(guān)的登錄驗(yàn)證碼，然后將登錄驗(yàn)證碼輸入到瀏覽器中即可使用網(wǎng)絡(luò)效勞。 這種身份鑒別技術(shù)屬于平安性最低的一種方案，它只是在無線局域網(wǎng)的上層應(yīng)用簡單進(jìn)行身份信息的比照，實(shí)現(xiàn)對用戶使用某種效勞的控制?；跒g覽器頁面的身份鑒別技術(shù)并沒有融入密碼學(xué)相關(guān)技術(shù)來實(shí)現(xiàn)身份信息的保密性和不可篡改性。在無線局域網(wǎng)底層沒有調(diào)用任何平安技術(shù)的保護(hù)，所有通信信息明文傳輸，存在較大的平安風(fēng)險(xiǎn)。這種方案類似于所有訪客，先進(jìn)入大門，然后再用筆寫下自己的聯(lián)系方式。 (2)基于密碼的身份鑒別 基于密碼的身份鑒別是指用戶利用 或者原始控制接入無線局域網(wǎng)的界面，輸入所選擇的無線網(wǎng)絡(luò)

11、的接入密碼實(shí)現(xiàn)網(wǎng)絡(luò)登錄。這類身份鑒別的技術(shù)在家庭、辦公室等場景經(jīng)常用到。 這種身份鑒別技術(shù)屬于平安性中等的一種方案，它通過綁定密碼學(xué)的技術(shù)實(shí)現(xiàn)用戶接入身份的鑒別，同時(shí)完成對通信數(shù)據(jù)的加密處理。這種技術(shù)的缺點(diǎn)在于密碼容易傳播，且所有人使用相同的密碼，容易造成無法追溯或者“好人辦壞事”的情況。這種方案類似于所有訪客，使用同一張卡進(jìn)入同一個(gè)大門。 (3)基于數(shù)字證書的身份鑒別 基于數(shù)字證書的身份鑒別是指用戶登錄到無線局域網(wǎng)之前，需要由特定的機(jī)構(gòu)對用戶的身份進(jìn)行嚴(yán)格的審核，并為用戶頒發(fā)數(shù)字證書，通過公鑰加密技術(shù)對用戶的公鑰信息和用戶的身份信息做數(shù)字簽名，把用戶的身份信息與公鑰綁定在一起。用戶使用證書進(jìn)

12、行身份鑒別時(shí)，可基于對權(quán)威鑒別機(jī)構(gòu)的信賴而信賴證書所對應(yīng)的實(shí)體身份，實(shí)現(xiàn)對身份的鑒別。 這種技術(shù)屬于平安性最高的一種方案，它通過密碼學(xué)的技術(shù)不但綁定用戶接入身份的鑒別流程，而且還綁定用戶身份本身，同時(shí)也完成對通信數(shù)據(jù)的加密處理。使用這樣的方法，每個(gè)用戶都有屬于自己個(gè)人的接入憑證，無法抵賴。這種方案類似于所有訪客，使用唯一標(biāo)識自己身份的一張卡進(jìn)入同一個(gè)大門。 2、加密 加密就是保護(hù)信息不泄露或不暴露給那些未授權(quán)掌握這一信息的實(shí)體。通常需要選擇特定的密碼算法來實(shí)現(xiàn)。常見的密碼算法如下。 (1)數(shù)據(jù)加密標(biāo)準(zhǔn)DES(Data Encryption Standard)：DES的出現(xiàn)引起了學(xué)術(shù)界和企業(yè)界的廣泛重視，許多廠家很快生產(chǎn)出實(shí)現(xiàn)DES算法的產(chǎn)品，但其最大的缺點(diǎn)在于DES的密鑰太短，不能抵抗無窮搜索密鑰攻擊。 (2)高級加密標(biāo)準(zhǔn)AES(Advanced Encryption Standard)：為了克服DES的缺點(diǎn)，美國國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)開始尋求高強(qiáng)度、高效率的替代算法，并于1997年推出AES標(biāo)準(zhǔn)。 (3)SM4：SM4是在國內(nèi)正式使用并于xx年公布的第一個(gè)用于無線局域網(wǎng)的商用分組密碼算法。WAPI