網路安全技術論文
網路安全是現在很多人看重得話題,因為網路跟我們的生活如今已經密切相關了,以下就是小編為大家帶來的網路安全技術論文。
網路安全技術論文一
隨著技術發展,無線網路突破了原有的頻寬瓶頸,並且網路穩定性及安全性得到很大提高,商業銀行開始使用無線網路部署自助裝置,並使用無線網路建設關鍵業務資料傳輸備份線路。
一、主要無線網路技術
目前,國內商業銀行常用有3G、GPRS、WLAN三種技術構建無線網路。(1)3G(3rd-generation)。第三代移動通訊技術,是指支援高速資料傳輸的蜂窩移動通訊技術。我國3G有三種標準:CDMA2000(中國電信)、WCDMA(中國聯通)、TD-SCDMA(中國移動)。三種3G制式全部是基於CDMA技術發展而來。採用擴頻技術和偽隨機碼技術,具有非常好的抗干擾、安全通訊、保密性的特性,是一種相對安全的無線通訊技術。(2)GPRS(General Packet Radio Service)。通用分組無線業務,它是GSM標準化組織(ETSI)制定的一套標準,以實現移動分組資料業務。GPRS網路是一個傳輸承載平臺,提供的是端到端分組傳輸模式下資料的傳送和接收。GPRS的實現是在GSM網路上增加分組資料服務裝置,並對GSM無線網路裝置進行升級,從而利用現有的GSM無線覆蓋提供分組資料業務。(3)WLAN(Wireless LAN)。無線連線區域網,它使用無線電波作為資料傳送的媒介,傳送距離一般為幾十米。無線區域網的主幹網路通常使用電纜,無線區域網使用者通過一個或多個無線接取器(wireless access points,WAP)接入無線區域網。無線區域網最通用的標準是IEEE定義的802.11系列標準。
二、商業銀行無線網路組網基本原則
(1)安全性和可靠性。(2)靈活性和可擴充套件性。(3)可管理性。(4)相容性和經濟性。
三、商業銀行無線網路組網設計
商業銀行在構建無線網路應用時,應重點關注無線網路規劃設計、無線網路安全控制及無線網路安全管理三個方面。
(1)無線網路規劃。目前,各商業銀行大都採用傳統的資料專線方式組建設銀行專用網路,按照應用需求劃分不同的網路分割槽,並對不同網路分割槽採取不同級別的安全控制措施。因此,商業銀行在構建無線網路的時候,要充分考慮原有網路拓撲,單獨組建設無線網路接入區,在無線網路接入區內,應部署交換機、路由器、認證裝置、防火牆等裝置,也可以根據無線網路承載業務的型別、重要性,在交換機上部署不同的VLAN,加強不同VLAN間的訪問控制。
(2)無線網路安全控制。無線網路的特點決定了在使用無線網路組網時,必需要重點考慮資料傳輸加密的問題,因此,商業銀行在使用無線網路的時候,要採用IPsec V PN在末端使用者和銀行內網之間進行資料加密,採用的演算法應支援DES、3DES或國家密碼管理局頒發的國密辦加密演算法。無線網路傳輸需保證無線網路入戶的接入為經過授權主的使用者或裝置,因此,商業銀行在部署無線網路時,應部署AAA認證伺服器等認證系統,對接入的各類IP終端裝置進行接入認證授權,確保終端裝置接入的合法性。同時,商業銀行可以針對無線接入網路,要求運營商對銀行業務所用SIM/UIM卡的IMSI號與業務終端(網路終端)、使用者進行繫結,只允許繫結後的使用者通過認證後接入內部網路。商業銀行無線網路邊界必需部署硬體防火牆,如接入的應用較為重要,則要在無線網路邊外聯及內部網路之間分別部署不同品牌的防火牆,實現防火牆異構。
(3)無線網路安全管理。無線網線接入的靈活特點決定,無線網路安全管理對保障網路安全至關重要,商業銀行在使用無線網路時應重點加強接入網路裝置和應用終端的管理,應統一配置、管理,配置必須嚴格、嚴密並統一標準,並要防止配置、使用者名稱、密碼等外洩,防止非法的撥號接入。此外,商業銀行還要加強對運營商SIM/UIM卡的管理,制定嚴密的SIM/UIM卡管理流程,保證SIM/UIM卡使用安全。
網路安全技術論文二
1 引言
隨著無線網路技術的出現,為使用者提供了一種嶄新的接入網際網路的方式,使我們擺脫了網線的束縛,更使我們距離隨時隨地與任何人進行任何內容通訊的人類通訊終極夢想又進了一步。但是由於無線網路是採用公共的電磁波作為載體,電磁波能夠穿過天花板、玻璃、樓層和牆等物體,因此在一個無線網路接入點所在的服務區域中,任何一個無線客戶端都可以接收到此接入點的電磁波訊號,這樣就可能包括一些惡意使用者也能接收到該無線網路訊號,因此資料安全成為了無線網路技術當下迫切要解決的問題。
2 無線網路的安全隱患
當前在規劃和建設無線網路中現面臨兩大問題:
(1)網路劫持
網路劫持指的是網路黑客將自己的主機偽裝成預設閘道器或者特定主機,使得所有試圖進入網路或者連線到被網路黑客頂替的機器上的使用者都會自動連線到偽裝機器上。典型的無線網路劫持就是使用欺騙性AP。他們會通過構建一個訊號強度好的AP,使得無線使用者忽視通常的AP而連線到欺騙性AP上,這樣網路黑客就會接收到來自其他合法使用者的驗證請求和資訊後,就可以將自己偽裝成為合法使用者並進入目標網路。
(2)嗅探
這是一種針對計算機網路通訊的電子竊 聽。通過使用這種工具,網路黑客能夠察看到無線網路的所有通訊。要想使無線網路不被該工具發現,必須關閉用於網路識別的廣播以及任何未經授權使用者訪問資格。然而關閉廣播意味著無線網路不能被正常使用者端發現,因此要使使用者免受該工具攻擊的唯一方法就是儘可能使用加密。
3 無線網路主要資訊保安技術
(1)擴頻技術
該技術是軍方為了使用無線通訊安全而首先提出的`。它從一開始就被設計成為駐留在噪聲中,是一直被 干擾和越權接收的。擴頻技術是將非常低的能量在一系列的頻率範圍中傳送。通常我們使用直序擴頻技術和跳頻擴頻技術來實現傳輸。一些無線網路產品在ISM波段的2.4~2.4835GHz範圍內傳輸訊號,在這個範圍內可以得到79個隔離的不同通道,無線訊號是被髮送到成為隨機序列排列的每一個通道上。我們知道無線電波每秒鐘變換頻率次數是很多的,現將無線訊號按順序傳送到每一個通道上,並且在每一通道上停留固定的時間,在轉換前要覆蓋所有通道。如果不知道在每—通道上停留的時問和跳頻圖案,系統外的劫持站點要接收和譯碼資料幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網路之間沒有相互干擾,也不用擔心網路上的資料被其他人截獲。
(2)使用者驗證
即採用密碼控制,在無線網路的介面卡端使用網路密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。由於無線網路支援使用筆記本或其它移動裝置的漫遊使用者,所以精確的密碼策略可以增加一個安全級別,這樣就可以確保該無線網路只被授權人使用。
(3)資料加密
對資料的安全要求極高的系統,例如金融或軍隊的網路,需要一些特別的安全措施,這就要用到資料加密的技術。藉助於硬體或軟體,在資料包被髮送之前給予加密,那麼只有擁有正確金鑰的工作站才能解密並讀出資料。
如果要求整體的安全性,資料加密將是最好的解決辦法。這種方法通常包括在有線網路作業系統中或無線區域網裝置的硬體或軟體的可選件中,由製造商提供,另外我們還可以選擇低價格的第三方產品。
(4)WEP加密配置
WEP加密配置是確保經過授權的無線網路使用者不被竊 聽的驗證演算法,是IEEE協會為了解決無線網路的安全性而在802.11中提出的解決辦法。
(5)防止入侵者訪問網路資源
這是用一個驗證演算法來實現的。在這種演算法中,介面卡需要證明自己知道當前的金鑰。這和有線LAN的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連線也必須達到這個前提。
4 改進方法及措施
(1)正確放置網路的接入點裝置
在網路配置中,要確保無線接入點放置在防火牆範圍之外。
(2)利用MAC阻止黑客攻擊
利用基於MAC地址的訪問控制表,確保只有經過註冊的使用者端才能進入網路。MAC過濾技術就如同給系統的前門再加一把鎖,設定的障礙越多,越會使黑客知難而退,不得不轉而尋求其它低安全性的網路。
(3)WEP協議的重要性
WEP是802.11b無線區域網的標準網路安全協議。在傳輸資訊時,WEP可以通過加密無線傳輸資料來提供類似有線傳輸的保護。在簡便的安裝和啟動之後,應該立即更改WEP金鑰的預設值。
最理想的方式是WEP的金鑰能夠在使用者登入後進行動態改變。這樣,黑客想要獲得無線網路的資料就需要不斷跟蹤這種變化。基於會話和使用者的WEP金鑰管理技術能夠實現最優保護,為網路增加另外一層防範。
(4)簡化網路安全管理:整合無線和有線網路安全策略
無線網路安全不是單獨的網路架構,它需要各種不同的程式和協議。制定結合有線和無線網路安全的策略能夠提高管理水平,降低管理成本。例如,不論使用者是通過有線還是無線方式進入網路時,都需要採用整合化的單一使用者ID和密碼。
(5)不能讓非專業人員構建無線網路
儘管現在無線網路的構建已經非常方便,即使是非專業人員也可以自己在辦公室內安裝無線路由器和接入點裝置。但是,他們在安裝過程中很少考慮到網路的安全性,這樣就會通過網路探測工具掃描就能夠給黑客留下攻擊的後門。因而,在沒有專業系統管理員同意和參與的情況下,要限制無線網路的構建,這樣才能保證無線網路的安全。
