局域網絡安全防范基礎知識大全

時間：2024-02-04 10:08:21 懷健20由分享

電力計算機局域網的設置是目前各個供電局正在研究的主要問題，該項設置工作主要是依靠于信息技術的應用優勢將龐大的供電數據信息整合起來，并建立相應的網絡結構體系，確保供電工作的可持續運行狀態。下面就讓小編帶你去看看關于局域網絡安全防范基礎知識大全吧，希望能幫助到大家!

內網安全-主機運維管理

運行資源監控

在 Web 控制臺對終端的 CPU、內存、硬盤的資源占用率和剩余空間以及 CPU和硬盤的溫度進行監控，設定危險報警閾值，終端運行資源達到設置閾值后，可在終端消息提示，并自動生成審計日志上報服務器。

流量管理和控制

蠕蟲病毒和 BT 下載等行為在很多情況下會嚴重占用網絡帶寬，造成網絡的擁塞甚至癱瘓，對此可利用本系統進行流量的管理與監控。

主要功能：

流量采樣閾值設定：用戶自主設定采樣閾值，當流量(含出、入或總流量)超過一定限度并持續一定時間后，進行有關信息上報，防止上報數據過多給網絡帶來負擔。

上報的當前流量進行匯總，對當前的流量進行時實排序，以便網絡管理人員進行快速分析是否是網絡安全事故。

對網絡客戶端的歷史流量進行統計和排序，并可生成報表。

對并發連接數設定閾值并進行采樣。

對網絡掃描的可疑行為進行閾值設定和報警。

對客戶端大量發包的可疑行為進行閾值設定和報警。

對具備可疑行為的客戶端進行報警上報、自動阻斷、客戶端提示等管理。

設定網絡客戶端流量上限閾值，對超過的進行報警上報、自動阻斷、客戶端提示等管理。

流量異常監控

在 Web 控制臺對終端的網絡流入、流出和總流量進行監控和管理。并能夠對產生總流量過大、分時段瞬時流量過大的進程進行統計，輔助分析產生流量過大的原因?？梢宰灾鬟x擇流量監控方式，包括(流量的時間控制，連接數以及流量累積總數量)。通過流量的審計，后臺監控可以對異?？蛻舳瞬扇〖皶r有效的措施，包括終端告警，甚至是阻斷聯網等。

服務與啟動項監控

實時監控終端服務和啟動項的增加、減少、狀態變化情況，自動生成審計日志上報給服務器。

客戶端文件備份

針對終端計算機進行數據實時備份，將本機計算機目錄文件數據實時或定時備份到數據服務器或其它計算機上存儲。針對局域網服務器數據存儲等提供安全數據同步備份解決方案。

電力計算機局域網絡安全防范的重要性

局域網指的是在局部的空間范圍內將網絡信號及硬件設備連接起來進行統一管理的一種方式，從供電局的工作狀態來看，用戶用電信息的管理，電力流通狀態的管理等工作任務量相對較大。為了減輕工作壓力，供電局開始意識到計算機局域網絡的應用優勢，但是在具體使用過程中還存在一些問題需要解決。

一、電力計算機局域網絡安全防范工作的現狀

計算機局域網當中存儲了大量的電力運行數據信息，再加上網絡環境相對復雜多變，如果不進行嚴格的安全防范工作，就容易導致數據信息的丟失或泄露，給供電局的穩定運行狀態造成不良的影響。

1工作能力及意識問題

我國目前已經進入了信息化的時代，在這個時代背景下，信息數據成倍增長，數據的真假性如何分辨的問題是工作人員需要解決的首要問題。同時，在內部計算機局域網的運行過程中，大部分工作人員還沒有意識到安全防范工作的重要性，自身工作行為不規范，對于信息的存儲及取用方式還存在一些問題，就容易引發網絡安全風險問題。這也與員工個人的計算機技術操作能力有待進一步提升有一定的關系，需要各個供電局引起高度重視。

2信息技術的應用問題

計算機局域網絡的安全防范工作是供電局各項工作穩定運行的基礎，為了保證信息技術的應用價值能夠得到充分的發揮，供電局必須要加大資金技術投入引進相應的計算機軟硬件設備，構建健全的監督管理結構體系，并成立專門的管理部門展開全方位的安全防范工作。然而，現階段大部分城市的供電局在計算機網絡的管理工作上，還存在有信息化機構以及制度建設不夠健全的問題。且沒有設置專門的部門進行單獨管理，無法協調企業各個部門內部之間的合作。此外，目前，局域網逐步建成，廣域網也實現聯通。計算機病毒的傳播速度加快，如果某臺計算機受到了病毒的感染，那么在短時間內將會感染區域內幾乎所有的計算機系統，導致供電網絡陷入癱瘓。這些都是現階段供電局在建設電力計算機局域網絡時，應當重點關注的主要問題。

二、網絡安全防范工作的重要性

現階段，供電局在發展建設過程中涉及到擴大經營管理規模的問題，而如何保證電力計算機局域網絡安全防范工作能夠順利落到實處就是工作人員需要解決的主要問題。

1安全防火墻的應用優勢

首先，從局域網的運行情況來看，供電局需要通過局域網將計算機設備連接起來。這個環節還涉及到與其他地區數據庫的連接工作，比如，員工在異地也可以通過登錄個人賬號進入局域網系統，這雖然給各項電力管理工作提供了極大的便利，但是在實際操作過程中卻容易發生安全隱患問題。尤其是黑客及網絡病毒的問題十分嚴重，這就需要供電局安排專業的技術人員開展網絡安全防范工作，定期對硬件系統進行升級，并設置安全防火墻。通過這種方法有效隔絕安全風險問題，從而保證數據存儲、取用以及運行等各項工作的有序開展。

2促進供電工作的發展進步

供電局在具體的工作過程中需要結合用戶的個人用電信息進行變電操作，并將符合用戶使用需求的電力能源及時傳輸到終端供電系統當中。因此，從這方面來看，用戶的個人身份信息是整個局域網絡安全防范工作的關鍵所在，提高安全防范工作的質量和效率，可以有效提高用戶對供電工作的滿意度，進而推動供電局各項工作的可持續發展。

三、解決現存電力計算機局域網安全問題的可行方法

供電局必須要意識到，在應用信息技術開展各項運行管理工作時，必須要加大計算機局域網信息安全防范的力度，多措并舉的提升防范水平，才能為計算機局域網信息的安全傳輸提供保障。

1健全管理結構體系

在電力計算機局域網的安全防范工作當中，供電局應當建設健全的安全管理結構體系。其中，最關鍵的問題就是結合內部各部門的工作任務為員工分配相應的操作權限。比如，只有安全管理部門才有資格進行數據的修改和更新，其他部門只能夠上傳及查看數據內容，并可以指出數據存在的錯誤問題，但不能直接修改。這是為了保障數據信息的安全性，避免人為因素的篡改而導致出現安全隱患問題。在這個過程中，供電局還需要結合現階段的電力傳輸工作實際情況來設置相應的內部管理機制，配合網絡結構體系的建立工作，將安全防范工作落到實處。這還涉及到安全防御系統的安裝和應用的問題，供電局應當加大資金技術投入，不斷借鑒其他企業的局域網管理工作經驗，全面提升局域網絡安全防范的等級。

2各部門協作能力方面

網絡安全防范管理不能只依靠于技術人員對系統進行升級和管理，各部門的工作人員也應當規范自身的操作行為，重視起安全防范工作的重要性。這還需要供電局對員工進行思想教育工作，結合供電工作的發展目標為員工設定個人工作目標，明確工作的基本內容和方向，引導員工自覺規范自身的工作行為。同時，供電局需要通過培訓教育工作提高各部門員工操作計算機設備開展相關工作的能力。并應當統一數據的存儲格式，結合工作類型對數據信息進行科學合理的分類工作，解決現存的網絡安全問題。然后，可以通過對員工素質及能力的考察，分配相應的工作任務。供電局必須要關注于各部門的協作能力，定期開展設備檢修、數據的備份等工作，從而全面保障局域網絡的安全運行狀態。

3新技術的應用研究

在信息技術的發展進步背景下，技術的優化創新問題成為了局域網絡安全防范工作的關鍵環節。這就要求供電局應當對新技術展開科學合理的應用研究工作，現階段應用比較廣泛的就是漏洞掃描系統，其主要以網絡漏洞偵測和安全狀態評估等工作內容為基礎，通過已經定義好的工作程序及參數來完成網絡端口的掃描工作。監控由于端口所造成的網絡服務漏洞，進而得到較為詳細的漏洞評估報告，將其提供給系統管理人員，幫助管理員彌補漏洞，將網絡系統的整體安全性提升起來。在實際應用過程中，新技術的應用能夠有效保障計算機系統的運行安全，還能解決不同系統運行過程中文件類型不兼容的問題，避免給供電工作的順利開展造成不良影響。結合漏洞掃描技術的應用，供電局可以發現目前局域網系統當中潛在的安全隱患，從而有針對性的制定相應的解決對策，順利完成網絡安全防范工作。

結論：電力計算機局域網絡安全防范工作主要是通過網絡安全技術對數據信息進行分類管理，保障供電信息及用戶個人信息的安全與穩定，推動供電工作的發展進步。在具體的操作過程中，供電局應當建立健全的網絡管理結構體系，明確管理工作的側重點。并對員工展開培訓教育工作，提升各部門的團結協作能力，推動各項工作的有序運行。此外，供電局還應當加大資金技術投入，研究技術的優化升級，以提高系統的信息安全環境。

無線局域網(WLAN)安全

一、無線局域網

無線局域網是用無線通信技術將終端設備互聯起來，構成可以互相通信和實現資源共享的局域網絡體系。無線局域網特點是通過無線的方式建立連接，利用無線技術在空中傳輸數據，從而使網絡的構建和終端的移動更加靈活。無線局域網常規的有效使用距離在100 m以內。

無線局域網在一定程度上扔掉了有線網絡必須依賴的網線。這樣，用戶可以坐在家里的任何一個角落，抱著筆記本電腦，享受網絡的樂趣，而不像從前那樣必須要遷就于網絡接口的布線位置。

無線局域網包括2種基本的工作模式：如圖1所示的帶無線路由器工作模式和如圖2所示的不帶無線路由器工作模式。

在帶無線路由器工作模式下，通信需要一個專門的無線局域網設備：無線路由器;在不帶無線路由器工作模式下，無線終端相互之間直接發送數據。在日常的使用中，用戶基本上使用帶無線路由器的模式。

全球范圍內，無線局域網技術主要包括IEEE802.11系列、Hiper LAN技術、Home RF和藍牙技術，目前，應用比較廣泛是IEEE802.11系列和Hiper LAN。

(1)ISO/IEC802.11 系列標準技術：是美國電氣和電子工程師協會(IEEE)頒布的無線局域網標準。IEEE802.11系列技術和產品的安全性一直沒能很好地解決。近年來，IEEE802.11技術和產品不斷爆出重大安全性問題，造成用戶巨大的經濟損失。

(2)Hiper LAN: Hiper LAN是以歐洲電信標準協會(ETSI)頒布的無線局域網標準為核心的技術和產品的總稱。

二、無線局域網安全概述

安全是無線局域網面臨的最大問題，這是由無線信號在空中幾乎無邊界的傳播特性造成的，不論信號中的數據要發送的目的地是哪里，任何無線終端在無線信號覆蓋的范圍內都可以接收到。為了保證安全通信，無線局域網中應采取必要的安全技術，包括鑒別、加密、數據完整性保護等。

1、鑒別

鑒別提供了用戶身份合法性的保證，這意味著當用戶聲稱具有一個特定的身份時，鑒別技術將提供某種方法來證實這一聲明是正確的。用戶在登錄無線局域網的時候，需要輸入特定的密碼或身份信息等來進行身份合法性的驗證。

盡管不同的鑒別方式決定用戶身份驗證的具體流程不同，但基本功能是一致的。目前，無線局域網中采用的鑒別方式主要有基于瀏覽器頁面的身份鑒別、基于密碼的身份鑒別、基于數字證書的身份鑒別。

(1)基于瀏覽器頁面的身份鑒別

基于瀏覽器頁面的身份鑒別一個非常重要的特點是客戶端只需要在瀏覽器上輸入正確的接入信息憑證即可。這類身份鑒別的技術在公共場所(如機場、酒店、商場等地方)經常用到，用戶輸入手機號碼，通過手機獲得相關的登錄驗證碼，然后將登錄驗證碼輸入到瀏覽器中即可使用網絡服務。

這種身份鑒別技術屬于安全性最低的一種方案，它只是在無線局域網的上層應用簡單進行身份信息的對比，實現對用戶使用某種服務的控制?；跒g覽器頁面的身份鑒別技術并沒有融入密碼學相關技術來實現身份信息的保密性和不可篡改性。在無線局域網底層沒有調用任何安全技術的保護，所有通信信息明文傳輸，存在較大的安全風險。這種方案類似于所有訪客，先進入大門，然后再用筆寫下自己的聯系方式。

(2)基于密碼的身份鑒別

基于密碼的身份鑒別是指用戶利用手機或者筆記本電腦原始控制接入無線局域網的界面，輸入所選擇的無線網絡的接入密碼實現網絡登錄。這類身份鑒別的技術在家庭、辦公室等場景經常用到。

這種身份鑒別技術屬于安全性中等的一種方案，它通過綁定密碼學的技術實現用戶接入身份的鑒別，同時完成對通信數據的加密處理。這種技術的缺點在于密碼容易傳播，且所有人使用相同的密碼，容易造成無法追溯或者“好人辦壞事”的情況。這種方案類似于所有訪客，使用同一張卡進入同一個大門。

(3)基于數字證書的身份鑒別

基于數字證書的身份鑒別是指用戶登錄到無線局域網之前，需要由特定的機構對用戶的身份進行嚴格的審核，并為用戶頒發數字證書，通過公鑰加密技術對用戶的公鑰信息和用戶的身份信息做數字簽名，把用戶的身份信息與公鑰綁定在一起。用戶使用證書進行身份鑒別時，可基于對權威鑒別機構的信賴而信賴證書所對應的實體身份，實現對身份的鑒別。

這種技術屬于安全性最高的一種方案，它通過密碼學的技術不但綁定用戶接入身份的鑒別流程，而且還綁定用戶身份本身，同時也完成對通信數據的加密處理。使用這樣的方法，每個用戶都有屬于自己個人的接入憑證，無法抵賴。這種方案類似于所有訪客，使用唯一標識自己身份的一張卡進入同一個大門。

2、加密

加密就是保護信息不泄露或不暴露給那些未授權掌握這一信息的實體。通常需要選擇特定的密碼算法來實現。常見的密碼算法如下。

(1)數據加密標準DES(Data Encryption Standard)：DES的出現引起了學術界和企業界的廣泛重視，許多廠家很快生產出實現DES算法的產品，但其最大的缺點在于DES的密鑰太短，不能抵抗無窮搜索密鑰攻擊。

(2)高級加密標準AES(Advanced Encryption Standard)：為了克服DES的缺點，美國國家標準和技術研究所(NIST)開始尋求高強度、高效率的替代算法，并于1997年推出AES標準。

(3)SM4：SM4是在國內正式使用并于2006年公布的第一個用于無線局域網的商用分組密碼算法。WAPI的無線局域網保密基礎結構(WPI, WLAN Privacy Infrastructure)采用對稱密碼算法SM4實現對MAC層MSDU的加、解密操作。

3、數據完整性保護

數據完整性保護，是使接收方能夠確切地判斷所接收到的消息在傳輸過程中是否遭到插入、篡改、重排序等形式的破壞。完善的數據完整性業務不僅能發現完整性是否遭到破壞，還能采取某種措施從完整性中恢復出來。

三、無線局域網面臨的安全問題

無線局域網已廣泛應用于各行各業中，受到人們的青睞，并成為無線通信與互聯網技術相結合的最熱門技術。無線局域網的最大優點就是實現了網絡互連的可移動性，它能大幅度提高用戶訪問信息的及時性和有效性，還可以克服有線限制引起的不便性。但因無線局域網應用具有很大的開放性，數據傳播的范圍較難控制，無線局域網面臨非常嚴峻的安全問題。無線局域網面臨的基本安全問題如下。

1、非法接入風險

主要是指通過未授權的設備接入無線網絡，例如，企業內部一些員工，購買便宜小巧的無線路由器，通過有線以太網口接入網絡，如果這些設備配置有問題，處于沒加密或弱加密的條件下，那么整個網絡的安全性就大打折扣，造成接入危險?；蛘呤瞧髽I外部的非法用戶與企業內部的合法無線路由器建立了連接，這也會使網絡安全失控。

2、客戶端連接不當

一些部署在工作區域周圍的無線路由器可能沒有做安全控制，企業內一些合法用戶的無線網卡可能與這些外部無線路由器連接，一旦這個用戶連接到外部無線路由器，企業的網絡就處于風險之中。

3、竊聽

一些黑客借助Wi-Fi分析器，會捕捉到所有的無線通信數據，如果信息沒有保護，則可以閱讀信號中傳輸的內容。如果黑客手段更高明一點，就可以偽裝成合法用戶，修改空中傳輸的網絡數據等。

4、拒絕服務攻擊

這種攻擊方式，不以獲取信息為目的，黑客只是想讓用戶無法訪問網絡服務而不斷地發送信息，使合法用戶的信息一直處于等待狀態，無法正常工作。

上面所述的安全問題的解決，其核心在于安全機制和安全協議如何制定。當前主流的無線局域網技術Wi-Fi從技術發明和協議設計初期到現在，都不能有效解決這些問題。導致根據協議開發出來的所有產品，雖然來自不同的廠家，但均面臨著隨時被破譯的危險。

四、無線局域網安全性

1、Wi-Fi初期安全技術WEP

Wi-Fi安全技術最初通過有線對等保密協議WEP(Wired Equivalent Privacy)來實現鑒別與數據加密，此類安全協議非常脆弱，可輕易從互聯網上下載到破譯軟件，在幾秒內破譯。目前處于正在被淘汰的過程中。

2、Wi-Fi當前安全技術WPA/WPA2

為了使Wi-Fi技術從WEP可以被輕易破譯這種被動局面中解脫出來，IEEE重新建立的工作組，開發了新的安全標準IEEE802.11i，標準中除了保留有原來的WEP之外，新添加了WPA/WPA2這2種技術。

不幸的是，由于WPA/WPA2依然采用不安全的設計理念，WPA技術在頒布之后就輕易又遭到破譯，而當前針對WPA2的破譯也已經從理論破譯分析發展到了破譯工具開發的階段，在不久的將來，就會面對WEP和WPA被輕易破譯的相同局面。

3、中國無線局域網安全標準WAPI

無線局域網鑒別和保密基礎結構(WAPI，WLAN Authentication and Privacy Infrastructure)是中國唯一的無線局域網技術標準。WAPI 采用國家密碼管理委員會辦公室批準的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，實現設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護，旨在徹底扭轉目前WLAN采用多種安全機制并存且互不兼容的現狀，從根本上解決安全問題和兼容性問題。

WAPI由無線局域網鑒別基礎結構(WAI, WLAN Authentication Infrastructure)和無線局域網保密基礎結構(WPI, WLAN Privacy Infrastructure)兩部分組成，WAI和WPI分別實現對用戶身份的鑒別和對傳輸數據的加密。

WAPI整個系統由站點STA、接入點AP和認證服務單元ASU組成。其中，ASU用于幫助STA和AP完成身份鑒別等;STA與AP上都安裝有ASU發放的公鑰證書，作為自己的數字身份憑證。當STA登錄到無線接入點AP時，在使用或訪問網絡之前必須通過ASU進行身份驗證。根據驗證的結果，只有持有合法證書的站點STA才能接入持有合法證書的無線接入點AP。這樣，不僅可以防止非法STA接入AP而訪問并占用網絡資源，而且還可以防止STA登錄到非法AP而造成信息泄露。

五、WAPI技術介紹

1、系統組成

在一個典型的WAPI系統中，WAPI用戶STA通過WAPI無線路由器AP接入互聯網。如圖3所示。首先，STA與AP進行網絡發現協商并開啟WAPI功能，STA和AP啟動身份鑒別過程，利用AS完成雙向身份鑒別。當身份鑒別通過后，STA和AP進行密鑰管理，協商用于保護通信數據的密鑰，并利用協商出來的密鑰加密通信數據。

圖3 WAPI系統典型工作過程

2、WAPI 網絡發現

在一個采用了WAPI安全的無線局域網中，當STA需要訪問該無線局域網時，通過被動偵聽AP的信標(Beacon)幀或主動發送探詢幀以識別AP所采用的安全策略。

(1)若AP采用WAPI證書鑒別方式，AP將發送鑒別激活分組啟動證書鑒別過程，當證書鑒別過程成功結束后，AP和STA再進行單播密鑰協商和組播密鑰通告。

(2)若AP采用WAPI預共享密鑰鑒別方式，AP將與STA直接進行單播密鑰協商和組播密鑰通告。

3、WAPI 的身份鑒別

WAPI 支持2種身份鑒別方式：證書鑒別方式和預共享密鑰鑒別方式。

(1)證書鑒別方式

數字證書是一種經公鑰基礎設施(PKI, Public Key Infrastructure)證書授權中心簽名的、包含公開密鑰及用戶相關信息的文件，是網絡用戶的數字身份憑證。WAPI 系統中所使用的用戶證書為數字證書，通過ASU 對用戶證書進行驗證，可以唯一確定WAPI 用戶的身份及其合法性。

證書鑒別是基于STA和AP雙方的證書所進行的鑒別。鑒別前STA和AP必須預先擁有各自的證書，然后通過ASU對雙方的身份進行鑒別，根據雙方產生的臨時公鑰和臨時私鑰生成基密鑰，并為隨后的單播密鑰協商和組播密鑰通告做好準備。

(2)預共享密鑰鑒別方式

預共享密鑰鑒別是基于STA和AP雙方的密鑰所進行的鑒別。鑒別前STA和AP必須預先配置有相同的密鑰，即預共享密鑰。鑒別時直接將預共享密鑰轉換為基密鑰，然后進行單播密鑰協商和組播密鑰通告。

4、WAPI 的密鑰管理

STA 與 AP 之間交互的單播數據利用單播密鑰協商過程所協商出的單播加密密鑰和單播完整性校驗密鑰進行保護;AP 利用自己通告的、由組播主密鑰導出的組播加密密鑰和組播完整性校驗密鑰對其發送的廣播/組播數據進行保護，而STA 則采用AP通告的、由組播主密鑰導出的組播加密密鑰和組播完整性校驗密鑰對收到的廣播/組播數據進行解密。首先要進行單播密鑰的協商。

當單播密鑰協商完成后，再使用單播密鑰協商過程所協商出的密鑰進行組播密鑰的通告。

5、WAPI 的通信數據加密

WAPI對通信數據進行加、解密處理。WAPI密碼套件中首選采用的分組密碼算法為SM4，該算法的分組長度為128bit，密鑰長度為128bit。完整性校驗算法工作在CBC-MAC模式，數據保密采用的對稱加密算法工作在OFB模式。

六、無線局域網(WAPI)安全配置實例

下面給出一個實例說明如何進行無線局域網安全配置。基本步驟如下。

(1)本配置實例中使用的是IWN A2410(WLR4038)無線路由器。

(2)本配置實例通過在無線路由器側啟用WAPI-Cert或者WAPI-PSK安全模式來達到對客戶端數據進行保護的目的。

(3)主要配置內容如圖8所示，包括：添加無線網絡名稱(SSID)、設定射頻發射功率、無線工作模式、信道、SSID名稱、該SSID綁定的網絡接口(建議綁定到LAN口)、選擇接入網絡的安全類型(WAPI-Cert或WAPI-PSK)、密鑰更新、MAC地址過濾、WMM選定等設備和接口配置。以上內容可實現開機“一鍵配置”。