電力計(jì)算機(jī)局域網(wǎng)的設(shè)置是目前各個(gè)供電局正在研究的主要問(wèn)題，該項(xiàng)設(shè)置工作主要是依靠于信息技術(shù)的應(yīng)用優(yōu)勢(shì)將龐大的供電數(shù)據(jù)信息整合起來(lái)，并建立相應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)體系，確保供電工作的可持續(xù)運(yùn)行狀態(tài)。下面就讓小編帶你去看看關(guān)于局域網(wǎng)絡(luò)安全防范基礎(chǔ)知識(shí)大全吧，希望能幫助到大家!

內(nèi)網(wǎng)安全-主機(jī)運(yùn)維管理

運(yùn)行資源監(jiān)控

在 Web 控制臺(tái)對(duì)終端的 CPU、內(nèi)存、硬盤(pán)的資源占用率和剩余空間以及 CPU和硬盤(pán)的溫度進(jìn)行監(jiān)控，設(shè)定危險(xiǎn)報(bào)警閾值，終端運(yùn)行資源達(dá)到設(shè)置閾值后，可在終端消息提示，并自動(dòng)生成審計(jì)日志上報(bào)服務(wù)器。

流量管理和控制

蠕蟲(chóng)病毒和 BT 下載等行為在很多情況下會(huì)嚴(yán)重占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)的擁塞甚至癱瘓，對(duì)此可利用本系統(tǒng)進(jìn)行流量的管理與監(jiān)控。

主要功能：

流量采樣閾值設(shè)定：用戶(hù)自主設(shè)定采樣閾值，當(dāng)流量(含出、入或總流量)超過(guò)一定限度并持續(xù)一定時(shí)間后，進(jìn)行有關(guān)信息上報(bào)，防止上報(bào)數(shù)據(jù)過(guò)多給網(wǎng)絡(luò)帶來(lái)負(fù)擔(dān)。

上報(bào)的當(dāng)前流量進(jìn)行匯總，對(duì)當(dāng)前的流量進(jìn)行時(shí)實(shí)排序，以便網(wǎng)絡(luò)管理人員進(jìn)行快速分析是否是網(wǎng)絡(luò)安全事故。

對(duì)網(wǎng)絡(luò)客戶(hù)端的歷史流量進(jìn)行統(tǒng)計(jì)和排序，并可生成報(bào)表。

對(duì)并發(fā)連接數(shù)設(shè)定閾值并進(jìn)行采樣。

對(duì)網(wǎng)絡(luò)掃描的可疑行為進(jìn)行閾值設(shè)定和報(bào)警。

對(duì)客戶(hù)端大量發(fā)包的可疑行為進(jìn)行閾值設(shè)定和報(bào)警。

對(duì)具備可疑行為的客戶(hù)端進(jìn)行報(bào)警上報(bào)、自動(dòng)阻斷、客戶(hù)端提示等管理。

設(shè)定網(wǎng)絡(luò)客戶(hù)端流量上限閾值，對(duì)超過(guò)的進(jìn)行報(bào)警上報(bào)、自動(dòng)阻斷、客戶(hù)端提示等管理。

流量異常監(jiān)控

在 Web 控制臺(tái)對(duì)終端的網(wǎng)絡(luò)流入、流出和總流量進(jìn)行監(jiān)控和管理。并能夠?qū)Ξa(chǎn)生總流量過(guò)大、分時(shí)段瞬時(shí)流量過(guò)大的進(jìn)程進(jìn)行統(tǒng)計(jì)，輔助分析產(chǎn)生流量過(guò)大的原因。可以自主選擇流量監(jiān)控方式，包括(流量的時(shí)間控制，連接數(shù)以及流量累積總數(shù)量)。通過(guò)流量的審計(jì)，后臺(tái)監(jiān)控可以對(duì)異?？蛻?hù)端采取及時(shí)有效的措施，包括終端告警，甚至是阻斷聯(lián)網(wǎng)等。

服務(wù)與啟動(dòng)項(xiàng)監(jiān)控

實(shí)時(shí)監(jiān)控終端服務(wù)和啟動(dòng)項(xiàng)的增加、減少、狀態(tài)變化情況，自動(dòng)生成審計(jì)日志上報(bào)給服務(wù)器。

客戶(hù)端文件備份

針對(duì)終端計(jì)算機(jī)進(jìn)行數(shù)據(jù)實(shí)時(shí)備份，將本機(jī)計(jì)算機(jī)目錄文件數(shù)據(jù)實(shí)時(shí)或定時(shí)備份到數(shù)據(jù)服務(wù)器或其它計(jì)算機(jī)上存儲(chǔ)。針對(duì)局域網(wǎng)服務(wù)器數(shù)據(jù)存儲(chǔ)等提供安全數(shù)據(jù)同步備份解決方案。

電力計(jì)算機(jī)局域網(wǎng)絡(luò)安全防范的重要性

局域網(wǎng)指的是在局部的空間范圍內(nèi)將網(wǎng)絡(luò)信號(hào)及硬件設(shè)備連接起來(lái)進(jìn)行統(tǒng)一管理的一種方式，從供電局的工作狀態(tài)來(lái)看，用戶(hù)用電信息的管理，電力流通狀態(tài)的管理等工作任務(wù)量相對(duì)較大。為了減輕工作壓力，供電局開(kāi)始意識(shí)到計(jì)算機(jī)局域網(wǎng)絡(luò)的應(yīng)用優(yōu)勢(shì)，但是在具體使用過(guò)程中還存在一些問(wèn)題需要解決。

一、電力計(jì)算機(jī)局域網(wǎng)絡(luò)安全防范工作的現(xiàn)狀

計(jì)算機(jī)局域網(wǎng)當(dāng)中存儲(chǔ)了大量的電力運(yùn)行數(shù)據(jù)信息，再加上網(wǎng)絡(luò)環(huán)境相對(duì)復(fù)雜多變，如果不進(jìn)行嚴(yán)格的安全防范工作，就容易導(dǎo)致數(shù)據(jù)信息的丟失或泄露，給供電局的穩(wěn)定運(yùn)行狀態(tài)造成不良的影響。

1工作能力及意識(shí)問(wèn)題

我國(guó)目前已經(jīng)進(jìn)入了信息化的時(shí)代，在這個(gè)時(shí)代背景下，信息數(shù)據(jù)成倍增長(zhǎng)，數(shù)據(jù)的真假性如何分辨的問(wèn)題是工作人員需要解決的首要問(wèn)題。同時(shí)，在內(nèi)部計(jì)算機(jī)局域網(wǎng)的運(yùn)行過(guò)程中，大部分工作人員還沒(méi)有意識(shí)到安全防范工作的重要性，自身工作行為不規(guī)范，對(duì)于信息的存儲(chǔ)及取用方式還存在一些問(wèn)題，就容易引發(fā)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題。這也與員工個(gè)人的計(jì)算機(jī)技術(shù)操作能力有待進(jìn)一步提升有一定的關(guān)系，需要各個(gè)供電局引起高度重視。

2信息技術(shù)的應(yīng)用問(wèn)題

計(jì)算機(jī)局域網(wǎng)絡(luò)的安全防范工作是供電局各項(xiàng)工作穩(wěn)定運(yùn)行的基礎(chǔ)，為了保證信息技術(shù)的應(yīng)用價(jià)值能夠得到充分的發(fā)揮，供電局必須要加大資金技術(shù)投入引進(jìn)相應(yīng)的計(jì)算機(jī)軟硬件設(shè)備，構(gòu)建健全的監(jiān)督管理結(jié)構(gòu)體系，并成立專(zhuān)門(mén)的管理部門(mén)展開(kāi)全方位的安全防范工作。然而，現(xiàn)階段大部分城市的供電局在計(jì)算機(jī)網(wǎng)絡(luò)的管理工作上，還存在有信息化機(jī)構(gòu)以及制度建設(shè)不夠健全的問(wèn)題。且沒(méi)有設(shè)置專(zhuān)門(mén)的部門(mén)進(jìn)行單獨(dú)管理，無(wú)法協(xié)調(diào)企業(yè)各個(gè)部門(mén)內(nèi)部之間的合作。此外，目前，局域網(wǎng)逐步建成，廣域網(wǎng)也實(shí)現(xiàn)聯(lián)通。計(jì)算機(jī)病毒的傳播速度加快，如果某臺(tái)計(jì)算機(jī)受到了病毒的感染， 那么在短時(shí)間內(nèi)將會(huì)感染區(qū)域內(nèi)幾乎所有的計(jì)算機(jī)系統(tǒng)，導(dǎo)致供電網(wǎng)絡(luò)陷入癱瘓。這些都是現(xiàn)階段供電局在建設(shè)電力計(jì)算機(jī)局域網(wǎng)絡(luò)時(shí)，應(yīng)當(dāng)重點(diǎn)關(guān)注的主要問(wèn)題。

二、網(wǎng)絡(luò)安全防范工作的重要性

現(xiàn)階段，供電局在發(fā)展建設(shè)過(guò)程中涉及到擴(kuò)大經(jīng)營(yíng)管理規(guī)模的問(wèn)題，而如何保證電力計(jì)算機(jī)局域網(wǎng)絡(luò)安全防范工作能夠順利落到實(shí)處就是工作人員需要解決的主要問(wèn)題。

1安全防火墻的應(yīng)用優(yōu)勢(shì)

首先，從局域網(wǎng)的運(yùn)行情況來(lái)看，供電局需要通過(guò)局域網(wǎng)將計(jì)算機(jī)設(shè)備連接起來(lái)。這個(gè)環(huán)節(jié)還涉及到與其他地區(qū)數(shù)據(jù)庫(kù)的連接工作，比如，員工在異地也可以通過(guò)登錄個(gè)人賬號(hào)進(jìn)入局域網(wǎng)系統(tǒng)，這雖然給各項(xiàng)電力管理工作提供了極大的便利，但是在實(shí)際操作過(guò)程中卻容易發(fā)生安全隱患問(wèn)題。尤其是黑客及網(wǎng)絡(luò)病毒的問(wèn)題十分嚴(yán)重，這就需要供電局安排專(zhuān)業(yè)的技術(shù)人員開(kāi)展網(wǎng)絡(luò)安全防范工作，定期對(duì)硬件系統(tǒng)進(jìn)行升級(jí)，并設(shè)置安全防火墻。通過(guò)這種方法有效隔絕安全風(fēng)險(xiǎn)問(wèn)題，從而保證數(shù)據(jù)存儲(chǔ)、取用以及運(yùn)行等各項(xiàng)工作的有序開(kāi)展。

2促進(jìn)供電工作的發(fā)展進(jìn)步

供電局在具體的工作過(guò)程中需要結(jié)合用戶(hù)的個(gè)人用電信息進(jìn)行變電操作，并將符合用戶(hù)使用需求的電力能源及時(shí)傳輸?shù)浇K端供電系統(tǒng)當(dāng)中。因此，從這方面來(lái)看，用戶(hù)的個(gè)人身份信息是整個(gè)局域網(wǎng)絡(luò)安全防范工作的關(guān)鍵所在，提高安全防范工作的質(zhì)量和效率，可以有效提高用戶(hù)對(duì)供電工作的滿意度，進(jìn)而推動(dòng)供電局各項(xiàng)工作的可持續(xù)發(fā)展。

三、解決現(xiàn)存電力計(jì)算機(jī)局域網(wǎng)安全問(wèn)題的可行方法

供電局必須要意識(shí)到，在應(yīng)用信息技術(shù)開(kāi)展各項(xiàng)運(yùn)行管理工作時(shí)，必須要加大計(jì)算機(jī)局域網(wǎng)信息安全防范的力度，多措并舉的提升防范水平，才能為計(jì)算機(jī)局域網(wǎng)信息的安全傳輸提供保障。

1健全管理結(jié)構(gòu)體系

在電力計(jì)算機(jī)局域網(wǎng)的安全防范工作當(dāng)中，供電局應(yīng)當(dāng)建設(shè)健全的安全管理結(jié)構(gòu)體系。其中，最關(guān)鍵的問(wèn)題就是結(jié)合內(nèi)部各部門(mén)的工作任務(wù)為員工分配相應(yīng)的操作權(quán)限。比如，只有安全管理部門(mén)才有資格進(jìn)行數(shù)據(jù)的修改和更新，其他部門(mén)只能夠上傳及查看數(shù)據(jù)內(nèi)容，并可以指出數(shù)據(jù)存在的錯(cuò)誤問(wèn)題，但不能直接修改。這是為了保障數(shù)據(jù)信息的安全性，避免人為因素的篡改而導(dǎo)致出現(xiàn)安全隱患問(wèn)題。在這個(gè)過(guò)程中，供電局還需要結(jié)合現(xiàn)階段的電力傳輸工作實(shí)際情況來(lái)設(shè)置相應(yīng)的內(nèi)部管理機(jī)制，配合網(wǎng)絡(luò)結(jié)構(gòu)體系的建立工作，將安全防范工作落到實(shí)處。這還涉及到安全防御系統(tǒng)的安裝和應(yīng)用的問(wèn)題，供電局應(yīng)當(dāng)加大資金技術(shù)投入，不斷借鑒其他企業(yè)的局域網(wǎng)管理工作經(jīng)驗(yàn)，全面提升局域網(wǎng)絡(luò)安全防范的等級(jí)。

2各部門(mén)協(xié)作能力方面

網(wǎng)絡(luò)安全防范管理不能只依靠于技術(shù)人員對(duì)系統(tǒng)進(jìn)行升級(jí)和管理，各部門(mén)的工作人員也應(yīng)當(dāng)規(guī)范自身的操作行為，重視起安全防范工作的重要性。這還需要供電局對(duì)員工進(jìn)行思想教育工作，結(jié)合供電工作的發(fā)展目標(biāo)為員工設(shè)定個(gè)人工作目標(biāo)，明確工作的基本內(nèi)容和方向，引導(dǎo)員工自覺(jué)規(guī)范自身的工作行為。同時(shí)，供電局需要通過(guò)培訓(xùn)教育工作提高各部門(mén)員工操作計(jì)算機(jī)設(shè)備開(kāi)展相關(guān)工作的能力。并應(yīng)當(dāng)統(tǒng)一數(shù)據(jù)的存儲(chǔ)格式，結(jié)合工作類(lèi)型對(duì)數(shù)據(jù)信息進(jìn)行科學(xué)合理的分類(lèi)工作，解決現(xiàn)存的網(wǎng)絡(luò)安全問(wèn)題。然后，可以通過(guò)對(duì)員工素質(zhì)及能力的考察，分配相應(yīng)的工作任務(wù)。供電局必須要關(guān)注于各部門(mén)的協(xié)作能力，定期開(kāi)展設(shè)備檢修、數(shù)據(jù)的備份等工作，從而全面保障局域網(wǎng)絡(luò)的安全運(yùn)行狀態(tài)。

3新技術(shù)的應(yīng)用研究

在信息技術(shù)的發(fā)展進(jìn)步背景下，技術(shù)的優(yōu)化創(chuàng)新問(wèn)題成為了局域網(wǎng)絡(luò)安全防范工作的關(guān)鍵環(huán)節(jié)。這就要求供電局應(yīng)當(dāng)對(duì)新技術(shù)展開(kāi)科學(xué)合理的應(yīng)用研究工作，現(xiàn)階段應(yīng)用比較廣泛的就是漏洞掃描系統(tǒng)，其主要以網(wǎng)絡(luò)漏洞偵測(cè)和安全狀態(tài)評(píng)估等工作內(nèi)容為基礎(chǔ)，通過(guò)已經(jīng)定義好的工作程序及參數(shù)來(lái)完成網(wǎng)絡(luò)端口的掃描工作。監(jiān)控由于端口所造成的網(wǎng)絡(luò)服務(wù)漏洞，進(jìn)而得到較為詳細(xì)的漏洞評(píng)估報(bào)告，將其提供給系統(tǒng)管理人員，幫助管理員彌補(bǔ)漏洞，將網(wǎng)絡(luò)系統(tǒng)的整體安全性提升起來(lái)。在實(shí)際應(yīng)用過(guò)程中，新技術(shù)的應(yīng)用能夠有效保障計(jì)算機(jī)系統(tǒng)的運(yùn)行安全，還能解決不同系統(tǒng)運(yùn)行過(guò)程中文件類(lèi)型不兼容的問(wèn)題，避免給供電工作的順利開(kāi)展造成不良影響。結(jié)合漏洞掃描技術(shù)的應(yīng)用，供電局可以發(fā)現(xiàn)目前局域網(wǎng)系統(tǒng)當(dāng)中潛在的安全隱患，從而有針對(duì)性的制定相應(yīng)的解決對(duì)策，順利完成網(wǎng)絡(luò)安全防范工作。

結(jié)論：電力計(jì)算機(jī)局域網(wǎng)絡(luò)安全防范工作主要是通過(guò)網(wǎng)絡(luò)安全技術(shù)對(duì)數(shù)據(jù)信息進(jìn)行分類(lèi)管理，保障供電信息及用戶(hù)個(gè)人信息的安全與穩(wěn)定，推動(dòng)供電工作的發(fā)展進(jìn)步。在具體的操作過(guò)程中，供電局應(yīng)當(dāng)建立健全的網(wǎng)絡(luò)管理結(jié)構(gòu)體系，明確管理工作的側(cè)重點(diǎn)。并對(duì)員工展開(kāi)培訓(xùn)教育工作，提升各部門(mén)的團(tuán)結(jié)協(xié)作能力，推動(dòng)各項(xiàng)工作的有序運(yùn)行。此外，供電局還應(yīng)當(dāng)加大資金技術(shù)投入，研究技術(shù)的優(yōu)化升級(jí)，以提高系統(tǒng)的信息安全環(huán)境。

無(wú)線局域網(wǎng)(WLAN)安全

一、無(wú)線局域網(wǎng)

無(wú)線局域網(wǎng)是用無(wú)線通信技術(shù)將終端設(shè)備互聯(lián)起來(lái)，構(gòu)成可以互相通信和實(shí)現(xiàn)資源共享的局域網(wǎng)絡(luò)體系。無(wú)線局域網(wǎng)特點(diǎn)是通過(guò)無(wú)線的方式建立連接，利用無(wú)線技術(shù)在空中傳輸數(shù)據(jù)，從而使網(wǎng)絡(luò)的構(gòu)建和終端的移動(dòng)更加靈活。無(wú)線局域網(wǎng)常規(guī)的有效使用距離在100 m以?xún)?nèi)。

無(wú)線局域網(wǎng)在一定程度上扔掉了有線網(wǎng)絡(luò)必須依賴(lài)的網(wǎng)線。這樣，用戶(hù)可以坐在家里的任何一個(gè)角落，抱著筆記本電腦，享受網(wǎng)絡(luò)的樂(lè)趣，而不像從前那樣必須要遷就于網(wǎng)絡(luò)接口的布線位置。

無(wú)線局域網(wǎng)包括2種基本的工作模式：如圖1所示的帶無(wú)線路由器工作模式和如圖2所示的不帶無(wú)線路由器工作模式。

在帶無(wú)線路由器工作模式下，通信需要一個(gè)專(zhuān)門(mén)的無(wú)線局域網(wǎng)設(shè)備：無(wú)線路由器;在不帶無(wú)線路由器工作模式下，無(wú)線終端相互之間直接發(fā)送數(shù)據(jù)。在日常的使用中，用戶(hù)基本上使用帶無(wú)線路由器的模式。

全球范圍內(nèi)，無(wú)線局域網(wǎng)技術(shù)主要包括IEEE802.11系列、Hiper LAN技術(shù)、Home RF和藍(lán)牙技術(shù)，目前，應(yīng)用比較廣泛是IEEE802.11系列和Hiper LAN。

(1)ISO/IEC802.11 系列標(biāo)準(zhǔn)技術(shù)：是美國(guó)電氣和電子工程師協(xié)會(huì)(IEEE)頒布的無(wú)線局域網(wǎng)標(biāo)準(zhǔn)。IEEE802.11系列技術(shù)和產(chǎn)品的安全性一直沒(méi)能很好地解決。近年來(lái)，IEEE802.11技術(shù)和產(chǎn)品不斷爆出重大安全性問(wèn)題，造成用戶(hù)巨大的經(jīng)濟(jì)損失。

(2)Hiper LAN: Hiper LAN是以歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)(ETSI)頒布的無(wú)線局域網(wǎng)標(biāo)準(zhǔn)為核心的技術(shù)和產(chǎn)品的總稱(chēng)。

二、無(wú)線局域網(wǎng)安全概述

安全是無(wú)線局域網(wǎng)面臨的最大問(wèn)題，這是由無(wú)線信號(hào)在空中幾乎無(wú)邊界的傳播特性造成的，不論信號(hào)中的數(shù)據(jù)要發(fā)送的目的地是哪里，任何無(wú)線終端在無(wú)線信號(hào)覆蓋的范圍內(nèi)都可以接收到。為了保證安全通信，無(wú)線局域網(wǎng)中應(yīng)采取必要的安全技術(shù)，包括鑒別、加密、數(shù)據(jù)完整性保護(hù)等。

1、鑒別

鑒別提供了用戶(hù)身份合法性的保證，這意味著當(dāng)用戶(hù)聲稱(chēng)具有一個(gè)特定的身份時(shí)，鑒別技術(shù)將提供某種方法來(lái)證實(shí)這一聲明是正確的。用戶(hù)在登錄無(wú)線局域網(wǎng)的時(shí)候，需要輸入特定的密碼或身份信息等來(lái)進(jìn)行身份合法性的驗(yàn)證。

盡管不同的鑒別方式?jīng)Q定用戶(hù)身份驗(yàn)證的具體流程不同，但基本功能是一致的。目前，無(wú)線局域網(wǎng)中采用的鑒別方式主要有基于瀏覽器頁(yè)面的身份鑒別、基于密碼的身份鑒別、基于數(shù)字證書(shū)的身份鑒別。

(1)基于瀏覽器頁(yè)面的身份鑒別

基于瀏覽器頁(yè)面的身份鑒別一個(gè)非常重要的特點(diǎn)是客戶(hù)端只需要在瀏覽器上輸入正確的接入信息憑證即可。這類(lèi)身份鑒別的技術(shù)在公共場(chǎng)所(如機(jī)場(chǎng)、酒店、商場(chǎng)等地方)經(jīng)常用到，用戶(hù)輸入手機(jī)號(hào)碼，通過(guò)手機(jī)獲得相關(guān)的登錄驗(yàn)證碼，然后將登錄驗(yàn)證碼輸入到瀏覽器中即可使用網(wǎng)絡(luò)服務(wù)。

這種身份鑒別技術(shù)屬于安全性最低的一種方案，它只是在無(wú)線局域網(wǎng)的上層應(yīng)用簡(jiǎn)單進(jìn)行身份信息的對(duì)比，實(shí)現(xiàn)對(duì)用戶(hù)使用某種服務(wù)的控制?；跒g覽器頁(yè)面的身份鑒別技術(shù)并沒(méi)有融入密碼學(xué)相關(guān)技術(shù)來(lái)實(shí)現(xiàn)身份信息的保密性和不可篡改性。在無(wú)線局域網(wǎng)底層沒(méi)有調(diào)用任何安全技術(shù)的保護(hù)，所有通信信息明文傳輸，存在較大的安全風(fēng)險(xiǎn)。這種方案類(lèi)似于所有訪客，先進(jìn)入大門(mén)，然后再用筆寫(xiě)下自己的聯(lián)系方式。

(2)基于密碼的身份鑒別

基于密碼的身份鑒別是指用戶(hù)利用手機(jī)或者筆記本電腦原始控制接入無(wú)線局域網(wǎng)的界面，輸入所選擇的無(wú)線網(wǎng)絡(luò)的接入密碼實(shí)現(xiàn)網(wǎng)絡(luò)登錄。這類(lèi)身份鑒別的技術(shù)在家庭、辦公室等場(chǎng)景經(jīng)常用到。

這種身份鑒別技術(shù)屬于安全性中等的一種方案，它通過(guò)綁定密碼學(xué)的技術(shù)實(shí)現(xiàn)用戶(hù)接入身份的鑒別，同時(shí)完成對(duì)通信數(shù)據(jù)的加密處理。這種技術(shù)的缺點(diǎn)在于密碼容易傳播，且所有人使用相同的密碼，容易造成無(wú)法追溯或者“好人辦壞事”的情況。這種方案類(lèi)似于所有訪客，使用同一張卡進(jìn)入同一個(gè)大門(mén)。

(3)基于數(shù)字證書(shū)的身份鑒別

基于數(shù)字證書(shū)的身份鑒別是指用戶(hù)登錄到無(wú)線局域網(wǎng)之前，需要由特定的機(jī)構(gòu)對(duì)用戶(hù)的身份進(jìn)行嚴(yán)格的審核，并為用戶(hù)頒發(fā)數(shù)字證書(shū)，通過(guò)公鑰加密技術(shù)對(duì)用戶(hù)的公鑰信息和用戶(hù)的身份信息做數(shù)字簽名，把用戶(hù)的身份信息與公鑰綁定在一起。用戶(hù)使用證書(shū)進(jìn)行身份鑒別時(shí)，可基于對(duì)權(quán)威鑒別機(jī)構(gòu)的信賴(lài)而信賴(lài)證書(shū)所對(duì)應(yīng)的實(shí)體身份，實(shí)現(xiàn)對(duì)身份的鑒別。

這種技術(shù)屬于安全性最高的一種方案，它通過(guò)密碼學(xué)的技術(shù)不但綁定用戶(hù)接入身份的鑒別流程，而且還綁定用戶(hù)身份本身，同時(shí)也完成對(duì)通信數(shù)據(jù)的加密處理。使用這樣的方法，每個(gè)用戶(hù)都有屬于自己個(gè)人的接入憑證，無(wú)法抵賴(lài)。這種方案類(lèi)似于所有訪客，使用唯一標(biāo)識(shí)自己身份的一張卡進(jìn)入同一個(gè)大門(mén)。

2、加密

加密就是保護(hù)信息不泄露或不暴露給那些未授權(quán)掌握這一信息的實(shí)體。通常需要選擇特定的密碼算法來(lái)實(shí)現(xiàn)。常見(jiàn)的密碼算法如下。

(1)數(shù)據(jù)加密標(biāo)準(zhǔn)DES(Data Encryption Standard)：DES的出現(xiàn)引起了學(xué)術(shù)界和企業(yè)界的廣泛重視，許多廠家很快生產(chǎn)出實(shí)現(xiàn)DES算法的產(chǎn)品，但其最大的缺點(diǎn)在于DES的密鑰太短，不能抵抗無(wú)窮搜索密鑰攻擊。

(2)高級(jí)加密標(biāo)準(zhǔn)AES(Advanced Encryption Standard)：為了克服DES的缺點(diǎn)，美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)開(kāi)始尋求高強(qiáng)度、高效率的替代算法，并于1997年推出AES標(biāo)準(zhǔn)。

(3)SM4：SM4是在國(guó)內(nèi)正式使用并于2006年公布的第一個(gè)用于無(wú)線局域網(wǎng)的商用分組密碼算法。WAPI的無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WPI, WLAN Privacy Infrastructure)采用對(duì)稱(chēng)密碼算法SM4實(shí)現(xiàn)對(duì)MAC層MSDU的加、解密操作。

3、數(shù)據(jù)完整性保護(hù)

數(shù)據(jù)完整性保護(hù)，是使接收方能夠確切地判斷所接收到的消息在傳輸過(guò)程中是否遭到插入、篡改、重排序等形式的破壞。完善的數(shù)據(jù)完整性業(yè)務(wù)不僅能發(fā)現(xiàn)完整性是否遭到破壞，還能采取某種措施從完整性中恢復(fù)出來(lái)。

三、無(wú)線局域網(wǎng)面臨的安全問(wèn)題

無(wú)線局域網(wǎng)已廣泛應(yīng)用于各行各業(yè)中，受到人們的青睞，并成為無(wú)線通信與互聯(lián)網(wǎng)技術(shù)相結(jié)合的最熱門(mén)技術(shù)。無(wú)線局域網(wǎng)的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性，它能大幅度提高用戶(hù)訪問(wèn)信息的及時(shí)性和有效性，還可以克服有線限制引起的不便性。但因無(wú)線局域網(wǎng)應(yīng)用具有很大的開(kāi)放性，數(shù)據(jù)傳播的范圍較難控制，無(wú)線局域網(wǎng)面臨非常嚴(yán)峻的安全問(wèn)題。無(wú)線局域網(wǎng)面臨的基本安全問(wèn)題如下。

1、非法接入風(fēng)險(xiǎn)

主要是指通過(guò)未授權(quán)的設(shè)備接入無(wú)線網(wǎng)絡(luò)，例如，企業(yè)內(nèi)部一些員工，購(gòu)買(mǎi)便宜小巧的無(wú)線路由器，通過(guò)有線以太網(wǎng)口接入網(wǎng)絡(luò)，如果這些設(shè)備配置有問(wèn)題，處于沒(méi)加密或弱加密的條件下，那么整個(gè)網(wǎng)絡(luò)的安全性就大打折扣，造成接入危險(xiǎn)?；蛘呤瞧髽I(yè)外部的非法用戶(hù)與企業(yè)內(nèi)部的合法無(wú)線路由器建立了連接，這也會(huì)使網(wǎng)絡(luò)安全失控。

2、客戶(hù)端連接不當(dāng)

一些部署在工作區(qū)域周?chē)臒o(wú)線路由器可能沒(méi)有做安全控制，企業(yè)內(nèi)一些合法用戶(hù)的無(wú)線網(wǎng)卡可能與這些外部無(wú)線路由器連接，一旦這個(gè)用戶(hù)連接到外部無(wú)線路由器，企業(yè)的網(wǎng)絡(luò)就處于風(fēng)險(xiǎn)之中。

3、竊聽(tīng)

一些黑客借助Wi-Fi分析器，會(huì)捕捉到所有的無(wú)線通信數(shù)據(jù)，如果信息沒(méi)有保護(hù)，則可以閱讀信號(hào)中傳輸?shù)膬?nèi)容。如果黑客手段更高明一點(diǎn)，就可以偽裝成合法用戶(hù)，修改空中傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)等。

4、拒絕服務(wù)攻擊

這種攻擊方式，不以獲取信息為目的，黑客只是想讓用戶(hù)無(wú)法訪問(wèn)網(wǎng)絡(luò)服務(wù)而不斷地發(fā)送信息，使合法用戶(hù)的信息一直處于等待狀態(tài)，無(wú)法正常工作。

上面所述的安全問(wèn)題的解決，其核心在于安全機(jī)制和安全協(xié)議如何制定。當(dāng)前主流的無(wú)線局域網(wǎng)技術(shù)Wi-Fi從技術(shù)發(fā)明和協(xié)議設(shè)計(jì)初期到現(xiàn)在，都不能有效解決這些問(wèn)題。導(dǎo)致根據(jù)協(xié)議開(kāi)發(fā)出來(lái)的所有產(chǎn)品，雖然來(lái)自不同的廠家，但均面臨著隨時(shí)被破譯的危險(xiǎn)。

四、無(wú)線局域網(wǎng)安全性

1、Wi-Fi初期安全技術(shù)WEP

Wi-Fi安全技術(shù)最初通過(guò)有線對(duì)等保密協(xié)議WEP(Wired Equivalent Privacy)來(lái)實(shí)現(xiàn)鑒別與數(shù)據(jù)加密，此類(lèi)安全協(xié)議非常脆弱，可輕易從互聯(lián)網(wǎng)上下載到破譯軟件，在幾秒內(nèi)破譯。目前處于正在被淘汰的過(guò)程中。

2、Wi-Fi當(dāng)前安全技術(shù)WPA/WPA2

為了使Wi-Fi技術(shù)從WEP可以被輕易破譯這種被動(dòng)局面中解脫出來(lái)，IEEE重新建立的工作組，開(kāi)發(fā)了新的安全標(biāo)準(zhǔn)IEEE802.11i，標(biāo)準(zhǔn)中除了保留有原來(lái)的WEP之外，新添加了WPA/WPA2這2種技術(shù)。

不幸的是，由于WPA/WPA2依然采用不安全的設(shè)計(jì)理念，WPA技術(shù)在頒布之后就輕易又遭到破譯，而當(dāng)前針對(duì)WPA2的破譯也已經(jīng)從理論破譯分析發(fā)展到了破譯工具開(kāi)發(fā)的階段，在不久的將來(lái)，就會(huì)面對(duì)WEP和WPA被輕易破譯的相同局面。

3、中國(guó)無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI

無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)(WAPI，WLAN Authentication and Privacy Infrastructure)是中國(guó)唯一的無(wú)線局域網(wǎng)技術(shù)標(biāo)準(zhǔn)。WAPI 采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公開(kāi)密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問(wèn)控制和用戶(hù)信息在無(wú)線傳輸狀態(tài)下的加密保護(hù)，旨在徹底扭轉(zhuǎn)目前WLAN采用多種安全機(jī)制并存且互不兼容的現(xiàn)狀，從根本上解決安全問(wèn)題和兼容性問(wèn)題。

WAPI由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WAI, WLAN Authentication Infrastructure)和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WPI, WLAN Privacy Infrastructure)兩部分組成，WAI和WPI分別實(shí)現(xiàn)對(duì)用戶(hù)身份的鑒別和對(duì)傳輸數(shù)據(jù)的加密。

WAPI整個(gè)系統(tǒng)由站點(diǎn)STA、接入點(diǎn)AP和認(rèn)證服務(wù)單元ASU組成。其中，ASU用于幫助STA和AP完成身份鑒別等;STA與AP上都安裝有ASU發(fā)放的公鑰證書(shū)，作為自己的數(shù)字身份憑證。當(dāng)STA登錄到無(wú)線接入點(diǎn)AP時(shí)，在使用或訪問(wèn)網(wǎng)絡(luò)之前必須通過(guò)ASU進(jìn)行身份驗(yàn)證。根據(jù)驗(yàn)證的結(jié)果，只有持有合法證書(shū)的站點(diǎn)STA才能接入持有合法證書(shū)的無(wú)線接入點(diǎn)AP。這樣，不僅可以防止非法STA接入AP而訪問(wèn)并占用網(wǎng)絡(luò)資源，而且還可以防止STA登錄到非法AP而造成信息泄露。

五、WAPI技術(shù)介紹

1、系統(tǒng)組成

在一個(gè)典型的WAPI系統(tǒng)中，WAPI用戶(hù)STA通過(guò)WAPI無(wú)線路由器AP接入互聯(lián)網(wǎng)。如圖3所示。首先，STA與AP進(jìn)行網(wǎng)絡(luò)發(fā)現(xiàn)協(xié)商并開(kāi)啟WAPI功能，STA和AP啟動(dòng)身份鑒別過(guò)程，利用AS完成雙向身份鑒別。當(dāng)身份鑒別通過(guò)后，STA和AP進(jìn)行密鑰管理，協(xié)商用于保護(hù)通信數(shù)據(jù)的密鑰，并利用協(xié)商出來(lái)的密鑰加密通信數(shù)據(jù)。

圖3 WAPI系統(tǒng)典型工作過(guò)程

2、WAPI 網(wǎng)絡(luò)發(fā)現(xiàn)

在一個(gè)采用了WAPI安全的無(wú)線局域網(wǎng)中，當(dāng)STA需要訪問(wèn)該無(wú)線局域網(wǎng)時(shí)，通過(guò)被動(dòng)偵聽(tīng)AP的信標(biāo)(Beacon)幀或主動(dòng)發(fā)送探詢(xún)幀以識(shí)別AP所采用的安全策略。

(1)若AP采用WAPI證書(shū)鑒別方式，AP將發(fā)送鑒別激活分組啟動(dòng)證書(shū)鑒別過(guò)程，當(dāng)證書(shū)鑒別過(guò)程成功結(jié)束后，AP和STA再進(jìn)行單播密鑰協(xié)商和組播密鑰通告。

(2)若AP采用WAPI預(yù)共享密鑰鑒別方式，AP將與STA直接進(jìn)行單播密鑰協(xié)商和組播密鑰通告。

3、WAPI 的身份鑒別

WAPI 支持2種身份鑒別方式：證書(shū)鑒別方式和預(yù)共享密鑰鑒別方式。

(1)證書(shū)鑒別方式

數(shù)字證書(shū)是一種經(jīng)公鑰基礎(chǔ)設(shè)施(PKI, Public Key Infrastructure)證書(shū)授權(quán)中心簽名的、包含公開(kāi)密鑰及用戶(hù)相關(guān)信息的文件，是網(wǎng)絡(luò)用戶(hù)的數(shù)字身份憑證。WAPI 系統(tǒng)中所使用的用戶(hù)證書(shū)為數(shù)字證書(shū)，通過(guò)ASU 對(duì)用戶(hù)證書(shū)進(jìn)行驗(yàn)證，可以唯一確定WAPI 用戶(hù)的身份及其合法性。

證書(shū)鑒別是基于STA和AP雙方的證書(shū)所進(jìn)行的鑒別。鑒別前STA和AP必須預(yù)先擁有各自的證書(shū)，然后通過(guò)ASU對(duì)雙方的身份進(jìn)行鑒別，根據(jù)雙方產(chǎn)生的臨時(shí)公鑰和臨時(shí)私鑰生成基密鑰，并為隨后的單播密鑰協(xié)商和組播密鑰通告做好準(zhǔn)備。

(2)預(yù)共享密鑰鑒別方式

預(yù)共享密鑰鑒別是基于STA和AP雙方的密鑰所進(jìn)行的鑒別。鑒別前STA和AP必須預(yù)先配置有相同的密鑰，即預(yù)共享密鑰。鑒別時(shí)直接將預(yù)共享密鑰轉(zhuǎn)換為基密鑰，然后進(jìn)行單播密鑰協(xié)商和組播密鑰通告。

4、WAPI 的密鑰管理

STA 與 AP 之間交互的單播數(shù)據(jù)利用單播密鑰協(xié)商過(guò)程所協(xié)商出的單播加密密鑰和單播完整性校驗(yàn)密鑰進(jìn)行保護(hù);AP 利用自己通告的、由組播主密鑰導(dǎo)出的組播加密密鑰和組播完整性校驗(yàn)密鑰對(duì)其發(fā)送的廣播/組播數(shù)據(jù)進(jìn)行保護(hù)，而STA 則采用AP通告的、由組播主密鑰導(dǎo)出的組播加密密鑰和組播完整性校驗(yàn)密鑰對(duì)收到的廣播/組播數(shù)據(jù)進(jìn)行解密。首先要進(jìn)行單播密鑰的協(xié)商。

當(dāng)單播密鑰協(xié)商完成后，再使用單播密鑰協(xié)商過(guò)程所協(xié)商出的密鑰進(jìn)行組播密鑰的通告。

5、WAPI 的通信數(shù)據(jù)加密

WAPI對(duì)通信數(shù)據(jù)進(jìn)行加、解密處理。WAPI密碼套件中首選采用的分組密碼算法為SM4，該算法的分組長(zhǎng)度為128bit，密鑰長(zhǎng)度為128bit。完整性校驗(yàn)算法工作在CBC-MAC模式，數(shù)據(jù)保密采用的對(duì)稱(chēng)加密算法工作在OFB模式。

六、無(wú)線局域網(wǎng)(WAPI)安全配置實(shí)例

下面給出一個(gè)實(shí)例說(shuō)明如何進(jìn)行無(wú)線局域網(wǎng)安全配置?；静襟E如下。

(1)本配置實(shí)例中使用的是IWN A2410(WLR4038)無(wú)線路由器。

(2)本配置實(shí)例通過(guò)在無(wú)線路由器側(cè)啟用WAPI-Cert或者WAPI-PSK安全模式來(lái)達(dá)到對(duì)客戶(hù)端數(shù)據(jù)進(jìn)行保護(hù)的目的。

(3)主要配置內(nèi)容如圖8所示，包括：添加無(wú)線網(wǎng)絡(luò)名稱(chēng)(SSID)、設(shè)定射頻發(fā)射功率、無(wú)線工作模式、信道、SSID名稱(chēng)、該SSID綁定的網(wǎng)絡(luò)接口(建議綁定到LAN口)、選擇接入網(wǎng)絡(luò)的安全類(lèi)型(WAPI-Cert或WAPI-PSK)、密鑰更新、MAC地址過(guò)濾、WMM選定等設(shè)備和接口配置。以上內(nèi)容可實(shí)現(xiàn)開(kāi)機(jī)“一鍵配置”。

局域網(wǎng)絡(luò)安全防范基礎(chǔ)知識(shí)大全相關(guān)文章：

★ 局域網(wǎng)安全知識(shí)大全

★ 【網(wǎng)絡(luò)安全】:網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)點(diǎn)匯總

★ 局域網(wǎng)安全基本常識(shí)你知道嗎?

★ 計(jì)算機(jī)局域網(wǎng)基礎(chǔ)知識(shí)講解

★ 網(wǎng)絡(luò)安全知識(shí)內(nèi)容

★ 【網(wǎng)絡(luò)安全】:學(xué)習(xí)網(wǎng)絡(luò)安全需要哪些基礎(chǔ)知識(shí)?

★ 網(wǎng)絡(luò)安全管理方案大全

★ 網(wǎng)絡(luò)基礎(chǔ)知識(shí)匯總學(xué)習(xí)

★ 電腦系統(tǒng)安全基礎(chǔ)知識(shí)大全有哪些

★ 信息網(wǎng)絡(luò)安全管理