无线网络安全管理办法范文篇1

1）无线网络的单点设备缺乏系统整合性，在实施网络构架时，很难做到与有线网络的无缝集成。

2）无线网络集成中最常见的安全策略是使用前端数据加密和后端身份验证双重方式。却也只能是从使用者方面保证网络的完全性，不能防止黑客入侵，存在一定的安全隐患。

3）有线网络单点设备是通过网络管理员逐个设置、管理和维护，当企业规模扩大时，有线网络可以增加单点设备，无线网络却由于缺乏管理性而为IT人员带来麻烦。

4）无线网络发展迅速，自国际电工电子工程学会（IEEE）制定了802.11标准诞生以来，几乎每年都有2～3种新的无线标准出台。由于不同的无线网络标准的频率发生装置不同，而且不同的访问接入点（AccessPoint）在运算性能和效率上也无法满足网络通讯数据率与时俱进的需求，因此难以实现对无线网络的持续升级。

2、10层办公大楼无线网络的布设分析

为了能够为企业提供高助理的服务，采用IEEE802.11标准的无线网络产品实现10层办公大楼的全区域网络信号覆盖。由于办公楼每个楼层的用户较多，办公区和会议厅也比较多，要考虑到企业资源计划系统（EnterpriseResourcePlanning；简称ERP）运行。为了能达到较快的网速，建议采用神脑M36、无线MeshAP进行网络覆盖，已达到预期网速。网络布设原则：先进性：为网络布设所选择的设备包括技术都必须达到国际先进水平，并且在技术方面要有一定的前瞻性；高性能：所选择的硬件配备严格依据业界同等技术最高性能标准设计，软件开发必须采用优化平台，所选择的的软硬件设备均须经过严格的功能和性能测试；可管理性：必须能够提供界面友好，易于操作的管理方式，对于新用户的接入，要提供灵活、安全的管理，要为网络管理者提供多种易于使用的故障定位和管理手段；安全性：要给无线网络用户提供全面的安全接入保护，并能够发现及警告无线网络中存在的不安全因素；可扩展性：所选择的设备要具有一定的兼容性，在技术上具有前瞻性，亦可向后兼容，组网灵活，易于扩展；实用性：所选择的产品要具有较高的性价比，在符合用户需求的条件下选择实用性较高的产品。

3、无线网络安全性与扩展应用

3.1如何保证无线网络的安全性

为了保证企业无线网络的正常运行，要对无线网络进行一些调整与策略设置。1）由于无线路由器的默认地址、用户名及密码多数都是admin，增加AP地址密码难度及位数防止恶意用户及黑客恶意连接企业网络。2）禁止AP中的SSID广播，将开放式WEP加密中的容易搜索到的SSID标识隐藏，如果企业有必要开启SSID可以尽量选择较为陌生的名称，让黑客难以破解。3）为了防止计算机在出入企业内外网是被病毒袭击，将企业无线网内的计算机都进行MAC绑定，在AP的管理界面中将绑定的MAC地址填入到允许访问AP的地址列表中，不在列表中的MAC地址则不会被AP接受。这些都是企业网络的安全设置，企业要面对复杂的无线网络威胁还要对企业网络环境进行更多安全管理，如LAN架设AP的认证、SSID和WEP密钥等。

3.2无线网络的扩展应

无线网络安全管理办法范文篇2

关键词:办公自动化;网络安全;病毒;黑客

中图分类号:TP317.1文献标识码:A文章编号:1007-9599(2010)01-0000-01

随着计算机网络技术的普及,利用联网实现办公自动化,并将办公自动化应用到政府、军队和各大企业等安全性要求较高的机构已成为一种迫切的需要。所谓办公自动化是指运用微机及相关外设,有效地管理和传输各种信息,以达到提高工作效率的目的。

办公自动化系统的安全包括网络设备、配套设备的安全、数据的安全、通讯的安全、运行环境的安全,还包括网络内部每台计算机的安全、计算机功能的正常发挥等部分。办公自动化网络是一个中小型的局部网络。办公自动化网络系统是自动化无纸办公系统的重要组成部分。在实现联网办公时,由于覆盖面大,使用人员混杂,管理水平各异,往往不能保证公文在网络上安全传输和管理。还有一些人专门在网络上从事信息破坏活动,给国家、企业造成巨大的损失。因此,加强网络安全,防止信息被泄露、修改和非法窃取成为当前网络办公自动化普及与应用迫切需要解决的问题。

一、系统安全威胁因素

1.物理设备威胁:是指偷窃设备、直接读取设备、间谍行为等以直接方式对系统信息造成的威胁。黑客只要侵人办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个网上的所有数据包,对其进行解包分析,从而窃取关键信息;而本网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。

2.线缆连接威胁:包括拨号进入、连线或非连线窃听等方式窃取重要信息。

3.身份鉴别威胁:包括口令被破解、加密算法不周全等漏洞性因素。

4.病毒或编程威胁:病毒袭击己成为计算机系统的最大威胁,一旦某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。此外,有的编程人员为了某种目的,故意编写一段程序代码隐藏在系统中,对系统安全构成威胁。

二、针对以上几方面威胁因素的安全保护

1.物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;

服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。

用户对数据的存取应有明确的授权策略,保证用户只能打开自己权限范围之内的文件。

通过审计和留痕技术避免非法者从系统外取得系统数据或是合法用户为逃避系统预警报告的监督而从系统中取得数据。

客户端安全保护,客户端的安全主要是要求能配合服务器的安全措施,提供身份认证、加密、解密、数字签名和信息完整性验证功能,并通过软件强制实现各客户机口令的定期更换,以防止口令泄漏可能带来的损失。

2.对于病毒和灾难破坏的数据保护来说,最为有效的保护方式有两大类:物理保护和数据备份。要防止病毒和灾难破坏数据,首先要在网络核心设备上设置物理保护措施,包括设置电源冗余模块和交换端口的冗余备份;其次是采用磁盘镜像或磁盘阵列存储数据,避免由于磁盘物理故障造成数据丢失;另外,还要使用其他物理媒体对重要的数据进行备份,包括实时数据备份和定期数据备份,以便数据丢失后及时有效地恢复。

3.要有效地防范非法入侵,应做到内外网隔离、访问控制、内部网络隔离和分段管理。

4.内外网隔离。在内部办公自动化网络和外网之间,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。

第一层隔离防护措施是路由器。路由器滤掉被屏蔽的IP地址和服务。可以首先屏蔽所有的IP地址,然后有选择的放行一些地址进人办公自动化网络。

第二层隔离防护措施是防火墙。大多数防火墙都有认证机制,无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。

三、办公自动化网络系统安全设计原则

由于众多的因素造成了对数据完整性威胁和安全威胁,因此,办公自动化网络系统必须建设一套完整的策略和安全措施来保障整个系统的安全。

1.安全性第一的原则:由于安全性和网络的性能是一对矛盾,两者不能兼得。建议选择前者,以牺牲网络的性能,来换取安全性的增强,但采取的措施应让用户感觉不到网络性能受到的影响。

2.多重保护的原则:任何安全保护措施都可能被攻破。建立一个多重保护系统,各重保护相互补充,当一重保护被攻破时,其它重保护仍可保护信息系统的安全。

3.多层次(OSI参考模型中的逻辑层次)的原则:如在链路层和网络层实施包过滤,在表示层实施加密传送,在应用层设置专用程序代码、运行应用审计软件,在应用层之上启动服务等。

4.多个安全单元的原则:把整个网络的安全性赋予多个安全单元,如路由器、屏蔽子网、网关,形成了多道安全防线。

5.网络分段的原则:网络分段是保证安全的重要措施.网络分。

段可分为物理分段和逻辑分段。网络可通过交换器连接各段,也可把网络分成若干IP子网,各子网通过路由器连接,并在路由器上建立可访问表,来控制各子网的访问。

6.最小授权的原则:对特权(超级)网络要有制约措施,分散权力,以降低灾难程度。

7.综合性原则:计算机网络系统的安全应从物理上、技术上、管理制度上以及安全教育上全面采取措施,相互弥补和完善,尽可能地排除安全漏洞。

参考文献:

[1]李海泉.计算机系统安全技术与方法[M].西安:西安电子科技大学出版社,1991。

[2]陈江东.办公自动化系统的系统分析闭[J].计算机系统应用,1998,10

无线网络安全管理办法范文篇3

社会主义学院无线网络建设以“安全快速、操作简易、统一管理、利旧兼容”为建设原则。安全快速:基于无线网络无实质物理链路的特性，决定了无线网络具有可广泛接入的隐患。因此，无线网络建设首先要具备高安全性，必须通过技术手段提供完整的安全防范措施。在保证安全的情况下，无线网络信号可覆盖区域和强度决定了接入速度的体验，因此，在校园设计无线网络时，需要根据现场的实际情况有针对性地部署，以保障无线网络高速快捷。操作简易:社会主义学院信息部门的人员增长速度总是无法应对网络规模的日渐庞大复杂性要求。无线网络接入层应具有即插即用能力，客户端具有零安装、零维护特点，在保障网络安全的情况下提供快捷及智能访问。统一管理:基于无线网设备部署场景不同，无线设备安装也不具备统一性，无线AP安装环境包括房间、走廊、立杆、平台等多种组合，因此，对设备及日常管理的维护是个较大的挑战。这就要求无线接入网络应具备集中管理和维护特性，并通过统一管理系统对无线网络进行在线监测和实时调控，及时查找并排除故障。利旧兼容:各社会主义学院的有线网络发挥了重要的信息化整合和传递作用。为降低投资额度，无线网络设计应充分考虑现有楼宇的装修和有线网络部署状况，在满足要求的情况下，尽量利用现有的线路、设备和基础设施进行无线网络建设。

二、关键技术设计

(一)无线网络部署方案

当前无线网络部署方式主要有放装、室分、智分三种形式，几种部署方式适合不同的应用场景，简单对比如下表:要综合考虑环境、面积、建筑结构、建筑材质、设备性能和小气候等多个因素，分区分片的进行无线网络部署设计，且在实施前进行必要的信号强度测试。同时，无线网络部署必须尽量不破坏原有装修。以中央社会主义学院为例，办公楼是一栋六层楼房，为长条筒形建筑，中间为廊道，两侧布设各部门办公室，房间结构相对标准统一;教学楼为四层建筑，中心为中空大厅，周圈各教室形成围合式结构。在装设无线网络时，我们需要综合考虑利旧、实现效果和施工实施的难度，考虑在学院原有的有线网络基础，进行无线网络部署。办公室、小型会议室等房间密集型环境采取室内墙座放装方式，走廊覆盖不佳的地方在廊道顶棚内敷设AP作为辅助;教室、大型会议室、休息室、大厅等大开间、高密度的环境采用高性能室内放装的方式。由于建筑不规则，在无线AP点位设计过程中，需要考虑不同建筑对信号衰减的干扰，合理分配无线接入点的部署位置，辅以X－Sense智能天线、智能负载调节等技术，让无线信号覆盖到所有角落，使之真正满足办公和教学科研需求。

(二)安全设计

无线网络安全是一个复杂的系统工程，不同的业务特征有着不同的需求。具体到社会主义学院无线网络，在满足设备级、网络级的安全特性外，安全策略主要包括用户终端管理、防病毒和入侵检测以及无线网络管理等方面。

1、用户终端管理

(1)身份认证系统设计校园无线网络用户主要有三类:教职工、学员和访客。教职工和学员要求能够随时随地接入无线网络，访问社院办公平台、图书馆数字资源以及在线学习平台等学院内部资源，可以使用终端智能识别的WEB认证;访客主要是来学校参观、培训或者进行学术交流的一些用户，对他们来说最重要的就是可以即时接入互联网络，可以使用访客手机自身认证。身份认证系统建立了覆盖全员的身份管理，员工账号与现有办公平台的员工数据相对接，访客的手机号作为登陆账号。实名管理机制建立了网络世界与现实之间的联系，便于精确定位和追根溯源网络中出现的安全问题，能够提高用户的责任意识，有效预防和控制不负责的网络行为，从而降低无线网络的安全隐患。(2)安全检查除身份认证外，系统还须对接入终端实施安全检查，当接入用户不符合既定安全策略时，采用自动阻断、强制隔离等方式处理，切断有安全隐患的终端对无线网络的影响。(3)用户绑定对用户信息进行多维度绑定，可将用户的帐号与接入的SSID、关联AP/AC的IP和MAC地址进行标识。一旦出现问题，能够快速定位事发用户、终端甚至位置。(4)权限和带宽控制配合身份认证系统，实现精细化的无线用户管理。通过划分SSID可以将用户接入相应的VLAN内，SSID和VLAN一一对应，通过设定VLAN权限做到带宽和用户访问权限的灵活控制。对教职工和学员给予较高的带宽等级，并根据业务特点划分相应的访问权限;访客只给予最基本的带宽、只可访问互联网。(5)用户隔离访客划入单独的SSID，院内用户根据不同的业务特性也划分为多个SSID。采用用户隔离技术，一是将访客和院内用户的流量完全隔离开来，二是认真分析院内业务特点，按需对各SSID子网或VLAN的用户实施隔离，以保护数据和网络资源的安全。(6)监控审计公安部82号令要求，即《互联网安全保护技术措施规定》:“记录并留存用户访问的互联网地址或域名。”需重点考虑对用户行为记录的查询、审计和控制，实时监控无线终端接入网络后的行为，保障无线网络的合法使用。

2、防病毒和入侵检测

病毒具有很强的破坏性，复制性和传染性、为了保证无线网络能够安全运行，必须部署防病毒系统，通过积极的防御和强大的查杀功能，防杀结合，将病毒隔离在网络大门之外，从而保障日常业务工作的正常进行。购买无线入侵检测系统，对设备和系统的运行状况进行监控，监视交有效分析用户的活动，及时检测到攻击事件的发生，准确识别攻击来源，并给出报警和审计信息。

3、无线网络管理