網絡安全技術論文1000字
網絡安全是現在很多人看重得話題,因為網絡跟我們的生活如今已經密切相關了,以下就是學習啦小編為大家帶來的網絡安全技術論文三篇。
網絡安全技術論文一
隨著技術發展,無線網絡突破了原有的帶寬瓶頸,并且網絡穩定性及安全性得到很大提高,商業銀行開始使用無線網絡部署自助設備,并使用無線網絡建設關鍵業務數據傳輸備份線路。
一、主要無線網絡技術
目前,國內商業銀行常用有3G、GPRS、WLAN三種技術構建無線網絡。(1)3G(3rd-generation)。第三代移動通信技術,是指支持高速數據傳輸的蜂窩移動通訊技術。我國3G有三種標準:CDMA2000(中國電信)、WCDMA(中國聯通)、TD-SCDMA(中國移動)。三種3G制式全部是基于CDMA技術發展而來。采用擴頻技術和偽隨機碼技術,具有非常好的抗干擾、安全通信、保密性的特性,是一種相對安全的無線通訊技術。(2)GPRS(General Packet Radio Service)。通用分組無線業務,它是GSM標準化組織(ETSI)制定的一套標準,以實現移動分組數據業務。GPRS網絡是一個傳輸承載平臺,提供的是端到端分組傳輸模式下數據的發送和接收。GPRS的實現是在GSM網絡上增加分組數據服務設備,并對GSM無線網絡設備進行升級,從而利用現有的GSM無線覆蓋提供分組數據業務。(3)WLAN(Wireless LAN)。無線連接局域網,它使用無線電波作為數據傳送的媒介,傳送距離一般為幾十米。無線局域網的主干網絡通常使用電纜,無線局域網用戶通過一個或多個無線接取器(wireless access points,WAP)接入無線局域網。無線局域網最通用的標準是IEEE定義的802.11系列標準。
二、商業銀行無線網絡組網基本原則
(1)安全性和可靠性。(2)靈活性和可擴展性。(3)可管理性。(4)兼容性和經濟性。
三、商業銀行無線網絡組網設計
商業銀行在構建無線網絡應用時,應重點關注無線網絡規劃設計、無線網絡安全控制及無線網絡安全管理三個方面。
(1)無線網絡規劃。目前,各商業銀行大都采用傳統的數據專線方式組建設銀行專用網絡,按照應用需求劃分不同的網絡分區,并對不同網絡分區采取不同級別的安全控制措施。因此,商業銀行在構建無線網絡的時候,要充分考慮原有網絡拓撲,單獨組建設無線網絡接入區,在無線網絡接入區內,應部署交換機、路由器、認證設備、防火墻等設備,也可以根據無線網絡承載業務的類型、重要性,在交換機上部署不同的VLAN,加強不同VLAN間的訪問控制。
(2)無線網絡安全控制。無線網絡的特點決定了在使用無線網絡組網時,必需要重點考慮數據傳輸加密的問題,因此,商業銀行在使用無線網絡的時候,要采用IPsec 在末端用戶和銀行內網之間進行數據加密,采用的算法應支持DES、3DES或國家密碼管理局頒發的國密辦加密算法。無線網絡傳輸需保證無線網絡入戶的接入為經過授權主的用戶或設備,因此,商業銀行在部署無線網絡時,應部署AAA認證服務器等認證系統,對接入的各類IP終端設備進行接入認證授權,確保終端設備接入的合法性。同時,商業銀行可以針對無線接入網絡,要求運營商對銀行業務所用SIM/UIM卡的IMSI號與業務終端(網絡終端)、用戶進行綁定,只允許綁定后的用戶通過認證后接入內部網絡。商業銀行無線網絡邊界必需部署硬件防火墻,如接入的應用較為重要,則要在無線網絡邊外聯及內部網絡之間分別部署不同品牌的防火墻,實現防火墻異構。
(3)無線網絡安全管理。無線網線接入的靈活特點決定,無線網絡安全管理對保障網絡安全至關重要,商業銀行在使用無線網絡時應重點加強接入網絡設備和應用終端的管理,應統一配置、管理,配置必須嚴格、嚴密并統一標準,并要防止配置、用戶名、密碼等外泄,防止非法的撥號接入。此外,商業銀行還要加強對運營商SIM/UIM卡的管理,制定嚴密的SIM/UIM卡管理流程,保證SIM/UIM卡使用安全。
網絡安全技術論文二
1 引言
隨著無線網絡技術的出現,為用戶提供了一種嶄新的接入互聯網的方式,使我們擺脫了網線的束縛,更使我們距離隨時隨地與任何人進行任何內容通信的人類通信終極夢想又進了一步。但是由于無線網絡是采用公共的電磁波作為載體,電磁波能夠穿過天花板、玻璃、樓層和墻等物體,因此在一個無線網絡接入點所在的服務區域中,任何一個無線客戶端都可以接收到此接入點的電磁波信號,這樣就可能包括一些惡意用戶也能接收到該無線網絡信號,因此數據安全成為了無線網絡技術當下迫切要解決的問題。
2 無線網絡的安全隱患
當前在規劃和建設無線網絡中現面臨兩大問題:
(1)網絡劫持
網絡劫持指的是網絡黑客將自己的主機偽裝成默認網關或者特定主機,使得所有試圖進入網絡或者連接到被網絡黑客頂替的機器上的用戶都會自動連接到偽裝機器上。典型的無線網絡劫持就是使用欺騙性AP。他們會通過構建一個信號強度好的AP,使得無線用戶忽視通常的AP而連接到欺騙性AP上,這樣網絡黑客就會接收到來自其他合法用戶的驗證請求和信息后,就可以將自己偽裝成為合法用戶并進入目標網絡。
(2)嗅探
這是一種針對計算機網絡通信的電子竊聽。通過使用這種工具,網絡黑客能夠察看到無線網絡的所有通信。要想使無線網絡不被該工具發現,必須關閉用于網絡識別的廣播以及任何未經授權用戶訪問資格。然而關閉廣播意味著無線網絡不能被正常用戶端發現,因此要使用戶免受該工具攻擊的唯一方法就是盡可能使用加密。
3 無線網絡主要信息安全技術
(1)擴頻技術
該技術是軍方為了使用無線通訊安全而首先提出的。它從一開始就被設計成為駐留在噪聲中,是一直被干擾和越權接收的。擴頻技術是將非常低的能量在一系列的頻率范圍中發送。通常我們使用直序擴頻技術和跳頻擴頻技術來實現傳輸。一些無線網絡產品在ISM波段的2.4~2.4835GHz范圍內傳輸信號,在這個范圍內可以得到79個隔離的不同通道,無線信號是被發送到成為隨機序列排列的每一個通道上。我們知道無線電波每秒鐘變換頻率次數是很多的,現將無線信號按順序發送到每一個通道上,并且在每一通道上停留固定的時間,在轉換前要覆蓋所有通道。如果不知道在每—通道上停留的時問和跳頻圖案,系統外的劫持站點要接收和譯碼數據幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網絡之間沒有相互干擾,也不用擔心網絡上的數據被其他人截獲。
(2)用戶驗證
即采用密碼控制,在無線網絡的適配器端使用網絡密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。由于無線網絡支持使用筆記本或其它移動設備的漫游用戶,所以精確的密碼策略可以增加一個安全級別,這樣就可以確保該無線網絡只被授權人使用。
(3)數據加密
對數據的安全要求極高的系統,例如金融或軍隊的網絡,需要一些特別的安全措施,這就要用到數據加密的技術。借助于硬件或軟件,在數據包被發送之前給予加密,那么只有擁有正確密鑰的工作站才能解密并讀出數據。
如果要求整體的安全性,數據加密將是最好的解決辦法。這種方法通常包括在有線網絡操作系統中或無線局域網設備的硬件或軟件的可選件中,由制造商提供,另外我們還可以選擇低價格的第三方產品。
(4)WEP加密配置
WEP加密配置是確保經過授權的無線網絡用戶不被竊聽的驗證算法,是IEEE協會為了解決無線網絡的安全性而在802.11中提出的解決辦法。
(5)防止入侵者訪問網絡資源
這是用一個驗證算法來實現的。在這種算法中,適配器需要證明自己知道當前的密鑰。這和有線LAN的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。
4 改進方法及措施
(1)正確放置網絡的接入點設備
在網絡配置中,要確保無線接入點放置在防火墻范圍之外。
(2)利用MAC阻止黑客攻擊
利用基于MAC地址的訪問控制表,確保只有經過注冊的用戶端才能進入網絡。MAC過濾技術就如同給系統的前門再加一把鎖,設置的障礙越多,越會使黑客知難而退,不得不轉而尋求其它低安全性的網絡。
(3)WEP協議的重要性
WEP是802.11b無線局域網的標準網絡安全協議。在傳輸信息時,WEP可以通過加密無線傳輸數據來提供類似有線傳輸的保護。在簡便的安裝和啟動之后,應該立即更改WEP密鑰的缺省值。
最理想的方式是WEP的密鑰能夠在用戶登錄后進行動態改變。這樣,黑客想要獲得無線網絡的數據就需要不斷跟蹤這種變化。基于會話和用戶的WEP密鑰管理技術能夠實現最優保護,為網絡增加另外一層防范。
(4)簡化網絡安全管理:集成無線和有線網絡安全策略
無線網絡安全不是單獨的網絡架構,它需要各種不同的程序和協議。制定結合有線和無線網絡安全的策略能夠提高管理水平,降低管理成本。例如,不論用戶是通過有線還是無線方式進入網絡時,都需要采用集成化的單一用戶ID和密碼。
(5)不能讓非專業人員構建無線網絡
盡管現在無線網絡的構建已經非常方便,即使是非專業人員也可以自己在辦公室內安裝無線路由器和接入點設備。但是,他們在安裝過程中很少考慮到網絡的安全性,這樣就會通過網絡探測工具掃描就能夠給黑客留下攻擊的后門。因而,在沒有專業系統管理員同意和參與的情況下,要限制無線網絡的構建,這樣才能保證無線網絡的安全。
網絡安全技術論文三
1 引言
隨著計算機網絡技術的飛速發展,無線網絡技術以獨特的優點,被許多企業、政府、家庭所使用,但在其安裝、使用便利,接入方式靈活的同時,由于無線網絡傳送的數據是利用無線電波在空中輻射傳播,這種傳播方式是發散的、開放的,這給數據安全帶來了諸多潛在的隱患。無線網絡可能會遭到搜索攻擊、信息泄露攻擊、無線身份驗證欺騙攻擊、網絡接管與篡改、拒絕服務攻擊等安全威脅,因此,探討新形勢下無線網絡安全的應對之策,對確保無線網絡安全,提高網絡運行質量具有十分重要的意義。
2 無線網絡存在的主要安全威脅
無線網絡存在的主要安全威脅有兩類:一類是關于網絡訪問控制、數據機密性保護和數據完整性保護而進行的攻擊;另一類是基于無線通信網絡設計、部署和維護的獨特方式而進行的攻擊。對于第一類攻擊在有線網絡的環境下也會發生。可見,無線網絡的安全性是在傳統有線網絡的基礎上增加了新的安全性威脅。
2.1 攻擊者侵入威脅
無線局域網非常容易被發現,為了能夠使用戶發現無線網絡的存在,網絡必須發送有特定參數的信標幀,這樣就給攻擊者提供了必要的網絡信息。入侵者可以通過高靈敏度天線在合適的范圍內對網絡發起攻擊而不需要任何物理方式的侵入。因為任何人的計算機都可以通過自己購買的AP,不經過授權而連入網絡。很多部門未通過公司IT中心授權就自建無線局域網,用戶通過非法AP接入給網絡帶來很大安全隱患。還有的部分設備、技術不完善,導致網絡安全性受到挑戰。這些挑戰可能包括竊聽、截取和監聽。以被動和無法覺察的方式入侵檢測設備的,即使網絡不對外廣播網絡信息,只要能夠發現任何明文信息,攻擊者仍然可以使用一些網絡工具,如AiroPeek和TCPDump來監聽和分析通信量,從而識別出可以解除的信息。
2.2 相關無線網絡保密機制存在缺陷
WEP機制用來提高無線網絡安全性,但長期的運行結果是該機制存在一定的安全缺陷,值得影響大家的關注。加密算法過于簡單。WEP中的IV由于位數太短和初始化復位設計,常常出現重復使用現象,易于被他人解除密鑰。而對用于進行流加密的RC4算法,在其頭256個字節數據中的密鑰存在弱點,容易被黑客攻破。一個是接入點和客戶端使用相同的加密密鑰。如果在家庭或者小企業內部,一個訪問節點只連接幾臺PC的話還可以,但如果在不確定的客戶環境下則無法使用。讓全部客戶都知道密鑰的做法,無疑在宣告WLAN根本沒有加密。不同的制造商提供了兩種WEP級別,一種建立在40位密鑰和24位初始向量基礎上,被稱作64位密碼;另一種是建立在104位密碼加上24位初始向量基礎上的,被稱作128位密碼。高水平的黑客,要竊取通過40位密鑰加密的傳輸資料并非難事,40位的長度就擁有2的40次方的排列組合,而RSA的解除速度,每秒就能列出2.45×109種排列組合,很容易就可以被解除出來。
雖然WEP有著種種的不安全,但是很多情況下,許多訪問節點甚至在沒有激活WEP的情況下就開始使用網絡了,這好像在敞開大門迎接敵人一樣。用NetStumbler等工具掃描一下網絡就能輕易記下MAC地址、網絡名、服務設置標識符、制造商、信道、信號強度、信噪比的情況。作為防護功能的擴展,最新的無線局域網產品的防護功能更進了一步,利用密鑰管理協議實現每15分鐘更換一次WEP密鑰,即使最繁忙的網絡也不會在這么短的時間內產生足夠的數據證實攻擊者破獲密鑰。然而,一半以上的用戶在使用AP時只是在其默認的配置基礎上進行很少的修改,幾乎所有的AP都按照默認配置來開啟WEP進行加密或者使用原廠提供的默認密鑰。
2.3 搜索攻擊威脅
進行搜索也是攻擊無線網絡的一種方法,現在有很多針對無線網絡識別與攻擊的技術和軟件。NetStumbler軟件是第一個被廣泛用來發現無線網絡的軟件。很多無線網絡是不使用加密功能的,或即使加密功能是處于活動狀態,如果沒有關閉AP(無線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,如網絡名稱、SSID(安全集標識符)等可給黑客提供入侵的條件。同時,許多用戶由于安全意識淡薄,沒有改變缺省的配置選項,而缺省的加密設置都是比較簡單或脆弱,容易遭受黑客攻擊。
除通過欺騙幀進行攻擊外,攻擊者還可以通過截獲會話幀發現AP中存在的認證缺陷,通過監測AP發出的廣播幀發現AP的存在。然而,由于802.11沒有要求AP必須證明自己真是一個AP,攻擊者很容易裝扮成AP進入網絡,通過這樣的AP,攻擊者可以進一步獲取認證身份信息從而進入網絡。在沒有采用802.11i對每一個802.11 MAC幀進行認證的技術前,通過會話攔截實現的網絡入侵是無法避免的。
2.4 網絡身份冒充
網絡身份冒充是采取假冒相關用戶的身份,通過網絡設備,使得它們錯誤地認為來自它們的連接是網絡中一個合法的和經過同意的機器發出的。達到欺騙的目的,最簡單的方法是重新定義無線網絡或網卡的MAC地址。由于TCP/IP的設計原因,幾乎無法防止MAC/IP地址欺騙。只有通過靜態定義MAC地址表才能防止這種類型的攻擊。但是,因為巨大的管理負擔,這種方案很少被采用。只有通過智能事件記錄和監控日志才可以對付已經出現過的欺騙。當試圖連接到網絡上的時候,簡單地通過讓另外一個節點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。
3 無線網絡安全對策探討
提高無線網絡安全等級,必須首先從思想要高度重視,提出有效的應對舉措,確保無線網絡安全。
3.1 科學進行網絡部署
選擇比較有安全保證的產品來部署網絡和設置適合的網絡結構是確保網絡安全的前提條件,同時還要做到如下幾點:修改設備的默認值;把基站看作 RAS(RemoteAccessServer,遠程訪問服務器);指定專用于無線網絡的IP協議;在AP上使用速度最快的、能夠支持的安全功能;考慮天線對授權用戶和入侵者的影響;在網絡上,針對全部用戶使用一致的授權規則;在不會被輕易損壞的位置部署硬件。
3.2 合理配置網絡的接入點設備
要對無線網絡加裝防火墻,并且在進行網絡配置時,要首先確保無線接入點放置在防火墻范圍之外,提高防火墻的防御功效。同時,要利用基于MAC地址的ACLs(訪問控制表)確保只有經過注冊的設備才能進入網絡。MAC過濾技術就如同給系統的前門再加一把鎖,設置的障礙越多,越會使黑客知難而退,不得不轉而尋求其他低安全性的網絡。
3.3 重視發揮WEP協議的重要作用
WEP是802.11b無線局域網的標準網絡安全協議。在傳輸信息時,WEP可以通過加密無線傳輸數據來提供類似有線傳輸的保護。在簡便的安裝和啟動之后,應立即更改WEP密鑰的缺省值。最理想的方式是WEP的密鑰能夠在用戶登錄后進行動態改變,這樣,黑客想要獲得無線網絡的數據就需要不斷跟蹤這種變化。基于會話和用戶的WEP密鑰管理技術能夠實現最優保護,為網絡增加另外一層防范。此外,所有無線局域網都有一個缺省的SSID(服務標識符)或網絡名,立即更改這個名字,用文字和數字符號來表示。如果企業具有網絡管理能力,應該定期更改SSID:即取消SSID自動播放功能。
網絡安全技術論文的相關文章: