前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全體系解決方案范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全體系解決方案范文第1篇

關(guān)鍵詞：校園網(wǎng) 網(wǎng)絡(luò)安全問題 對策解決

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2014）07（b）-0188-01

伴隨著我國各個高校的教育信息量不斷的增加，這個時候校園網(wǎng)就需要提供更多的服務(wù)與網(wǎng)絡(luò)應(yīng)用，這個時候網(wǎng)絡(luò)上的安全問題也會應(yīng)運而生。

1 校園網(wǎng)網(wǎng)絡(luò)特點

在高校當(dāng)中的校園網(wǎng)絡(luò)給學(xué)生的師生們提供了諸多的便利。因此，在某種的程度上學(xué)校只有把校園網(wǎng)絡(luò)當(dāng)中的特點掌握清楚，這樣才有利于其管理與維護(hù)，確保校園網(wǎng)絡(luò)的安全性。

1.1 使用速度大、規(guī)模大

網(wǎng)絡(luò)使用的時候其速度是極為重要的，尤其是在學(xué)校的網(wǎng)絡(luò)當(dāng)中，在學(xué)校中使用的人群是非常廣泛的，同時信息流量是及其大與重要。一般情況下，在各個高校中都是采用的是太網(wǎng)技術(shù)，這種網(wǎng)的網(wǎng)絡(luò)速度快，適合在學(xué)校中使用，但是不可否認(rèn)的是這種網(wǎng)絡(luò)中存在著大量的問題，會給學(xué)校在進(jìn)行管理的時候帶來諸多的不便利。

1.2 使用的群體較多較活躍

在各個高校中一般使用的群體是廣大學(xué)生，同時廣大學(xué)生也是學(xué)校當(dāng)中使用網(wǎng)絡(luò)的積極份子。處于學(xué)生時代，由于他們對計算機的好奇，這樣他們就會常常去利用網(wǎng)絡(luò)娛樂與學(xué)習(xí)。在學(xué)生利用網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)與娛樂的時候就會常常受到來自不同程度上的攻擊，這樣在一定的程度上就會導(dǎo)致其安全性能降低。在我國的一些高校中，會利用網(wǎng)絡(luò)處理學(xué)校內(nèi)的各種事宜，這樣在處理事物的時候就會使網(wǎng)絡(luò)上各種問題應(yīng)運產(chǎn)生。

1.3 校園網(wǎng)絡(luò)處于開放的環(huán)境

各個高校的網(wǎng)絡(luò)主要就是為廣大學(xué)生提供更多的資源，因此，在校園網(wǎng)絡(luò)的使用，最為突出的就是其具有強大的開放性。一般情況下來說，學(xué)校在進(jìn)行教學(xué)的研究時候就要求其網(wǎng)絡(luò)環(huán)境是開放的，這樣在一定程度上對于學(xué)生的學(xué)習(xí)是非常便利的。因為，在某種意義上來說，只有在校園網(wǎng)絡(luò)處于一定的開放性的環(huán)境中，這樣才有利于學(xué)生獲得更多的知識，有利于學(xué)生們之間的交流。正是因為這樣，校園網(wǎng)絡(luò)當(dāng)中目前有著各種各樣的安全性問題。

2 校園網(wǎng)網(wǎng)絡(luò)安全問題

2.1 網(wǎng)絡(luò)設(shè)備對校園網(wǎng)絡(luò)安全威脅

在校園網(wǎng)絡(luò)當(dāng)中，有著一定的安全問題，其中就包括網(wǎng)絡(luò)操作人員與網(wǎng)絡(luò)設(shè)施帶來的問題。在高校中很多的學(xué)生都會私自的安裝路由器，這樣在一定的程度上就會導(dǎo)致校園網(wǎng)絡(luò)速度變得緩慢，同時也會給其他同學(xué)的計算機帶來一定的危險性。另一方面，則是操作人員帶來的安全問題，在學(xué)校中的網(wǎng)絡(luò)通信設(shè)備機房是極為重要的，若是發(fā)生火災(zāi)等情況，這樣在一定的程度上就會威脅網(wǎng)絡(luò)的安全問題。

2.2 校園網(wǎng)絡(luò)外部問題對校園網(wǎng)絡(luò)安全威脅

一般情況下，我們都會知道互聯(lián)網(wǎng)上病毒會影響著校園網(wǎng)絡(luò)的安全，這里主要就是指黑客。校園網(wǎng)絡(luò)在各個高校中的網(wǎng)絡(luò)接口，在一個意義上來說都是容易導(dǎo)致病毒侵入，若是沒有一定的安全措施，必定會造成一定的損失。

2.3 校園網(wǎng)絡(luò)內(nèi)部問題對網(wǎng)絡(luò)安全問題威脅

在目前的很多高校校園網(wǎng)絡(luò)中，依然停留在是個人的安全管理當(dāng)中，這樣在一般情況下是不能夠進(jìn)行統(tǒng)一安裝病毒預(yù)防口令，這樣就會導(dǎo)致其安全策略沒有發(fā)揮其應(yīng)有的作用。因此，就會導(dǎo)致在出現(xiàn)問題的時候就會沒有辦法找到負(fù)責(zé)人。

2.4 校園網(wǎng)絡(luò)缺少一定的統(tǒng)一管理

在很多高校當(dāng)中他們的硬件設(shè)施的安全性是非常高的，但是他們沒有很好的進(jìn)行網(wǎng)路安全的管理。這樣在一定的程度上就會導(dǎo)致校園網(wǎng)絡(luò)的安全性及其低，同時也不能夠?qū)π@網(wǎng)絡(luò)產(chǎn)生的安全問題進(jìn)行評估，這樣就會嚴(yán)重的影響該校校園網(wǎng)絡(luò)的安全性。

3 校園網(wǎng)網(wǎng)絡(luò)安全問題對策

3.1 防范網(wǎng)絡(luò)系統(tǒng)上安全漏洞

（1）在針對網(wǎng)絡(luò)上的各種漏洞應(yīng)該進(jìn)行及時的安裝各種補丁程序，這樣在一定的程度上才增加安全性。（2）加強防火墻的建設(shè)，這樣才能加強校網(wǎng)網(wǎng)絡(luò)的防御系統(tǒng)，保護(hù)其不受到外部的攻擊。（3）進(jìn)行數(shù)據(jù)備份，主要就針對核心設(shè)備，核心配置等進(jìn)行備份，這樣就會在很大程度上避免了若是出現(xiàn)故障之后不能夠恢復(fù)的問題。

3.2 防范網(wǎng)絡(luò)上病毒

對于計算機上的病毒進(jìn)行防御可以算得上是在學(xué)校的網(wǎng)絡(luò)安全問題管理中的重要一方面，因此，學(xué)校應(yīng)該建立起病毒防范的體系，比如說在網(wǎng)絡(luò)訪問的限制帳號設(shè)置等的監(jiān)控。同時還需要殺毒軟件，這樣在一定程度上就會防范病毒的侵入。

3.3 進(jìn)行統(tǒng)一管理

各個高校應(yīng)該針對本學(xué)校的發(fā)展不同特點進(jìn)行制定管理方案，高校除了要增加其技術(shù)上的完善，一般情況也是需要制定一系列的管理制度，比如說可以建立一個有關(guān)的管理部門，之后在校網(wǎng)中應(yīng)該要讓學(xué)生對網(wǎng)絡(luò)安全問題有著一定了解，將網(wǎng)絡(luò)知識發(fā)到網(wǎng)絡(luò)上，這樣在才能使校園網(wǎng)絡(luò)的安全性有著一定的保障。

4 結(jié)語

校園網(wǎng)絡(luò)安全這個問題在某種程度上來說是極其復(fù)雜，因材對其安全問題進(jìn)行管理應(yīng)該從全方位來進(jìn)行考慮，只有這樣，能夠建立起來有利于校園網(wǎng)絡(luò)安全的防線。

參考文獻(xiàn)

[1] 楊宇紅.校園網(wǎng)絡(luò)的安全問題分析與對策[J].信息安全與技術(shù)，2011（4）：30-32.

[2] 陳軍.校園網(wǎng)絡(luò)安全問題及對策研究[J].數(shù)字技術(shù)與應(yīng)用，2012（9）：175.

[3] 關(guān)啟云.校園網(wǎng)絡(luò)安全問題分析及對策探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（11）：88-89.

網(wǎng)絡(luò)安全體系解決方案范文第2篇

1.1部署入侵網(wǎng)絡(luò)檢測系統(tǒng)入侵網(wǎng)絡(luò)檢測系統(tǒng)是通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點信息進(jìn)行收集與分析，從而發(fā)現(xiàn)是否有被攻擊或違反安全策略的跡象，協(xié)助系統(tǒng)管理員進(jìn)行安全管理或?qū)ο到y(tǒng)所收到的攻擊采取相應(yīng)的對策。

1.2漏洞掃描系統(tǒng)的建立對服務(wù)器、工作站以及交換機等關(guān)鍵網(wǎng)絡(luò)設(shè)備的檢查其必須要采用當(dāng)前最為先進(jìn)的漏洞掃描系統(tǒng)，同時定期對上述關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行檢查，并對檢測的報告進(jìn)行分析，從而為網(wǎng)絡(luò)的安全提供保障。

1.3培養(yǎng)網(wǎng)絡(luò)安全人才網(wǎng)絡(luò)安全人才的培養(yǎng)是一個很重要的問題。在我國，專門從事網(wǎng)絡(luò)安全問題的部門、單位比較少，技術(shù)人員十分缺乏，并且網(wǎng)絡(luò)人員以及網(wǎng)絡(luò)管理人員網(wǎng)絡(luò)安全意識比較淡薄，缺乏必備的安全知識。所以，我國急切需要培養(yǎng)大量的網(wǎng)絡(luò)安全人才，并提高他們的網(wǎng)絡(luò)安全意識和學(xué)習(xí)必備的安全知識。只有這樣，我國才能在網(wǎng)絡(luò)安全領(lǐng)域的研發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)等方面更快發(fā)展，縮小和國外的，是我國的網(wǎng)絡(luò)更加的安全，國家更加的安全。

1.4大力發(fā)展自主性網(wǎng)絡(luò)安全產(chǎn)業(yè)大力開發(fā)有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品可以有效提高網(wǎng)絡(luò)安全性能，是徹底擺脫進(jìn)口設(shè)備的有效途徑，自己掌握關(guān)鍵技術(shù)是大力發(fā)展自主性網(wǎng)絡(luò)安全產(chǎn)業(yè)的關(guān)鍵。通過加大對網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)研究開發(fā)與研究的投人，可以使網(wǎng)絡(luò)安全技術(shù)水平得到進(jìn)一步的提高。

2網(wǎng)絡(luò)安全的發(fā)展趨勢

隨著我國當(dāng)前網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，原來的采用單點疊加方式的網(wǎng)絡(luò)防護(hù)手段已經(jīng)不能抵御當(dāng)前混合型的網(wǎng)絡(luò)威脅。因此，構(gòu)建考慮局部安全、智能安全和全局安全的一個安全體系，以此為廣大的網(wǎng)絡(luò)用戶提供更為全方位和多層次的立體防護(hù)體系，是當(dāng)前做好網(wǎng)絡(luò)安全建設(shè)的一個重要的理念，同時也是網(wǎng)絡(luò)安全未來發(fā)展趨勢。

2.1網(wǎng)絡(luò)安全技術(shù)的融合發(fā)展在網(wǎng)絡(luò)普及率不斷提高的情況下，網(wǎng)絡(luò)所面臨的威脅也日益加劇。傳統(tǒng)的以單一防護(hù)的方式已經(jīng)成為過去。因此，只有通過技術(shù)的融合，建立更加智能化、集中化的管理體系，成為未來網(wǎng)絡(luò)安全的必然。未來網(wǎng)絡(luò)的規(guī)模會越來越龐大和復(fù)雜，網(wǎng)絡(luò)層的安全和暢通已經(jīng)不能僅僅依靠傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備來保證，因此整體的安全解決方案開始融合以終端準(zhǔn)入解決方案為代表的網(wǎng)絡(luò)管理軟件。終端準(zhǔn)入解決方案為網(wǎng)絡(luò)安全提供了有效保障，幫助用戶實現(xiàn)了更加主動的安全防護(hù)，實現(xiàn)了更加高效、便捷地網(wǎng)絡(luò)管理目標(biāo)，全面推動了網(wǎng)絡(luò)整體安全體系建設(shè)的進(jìn)程。

2.2網(wǎng)絡(luò)主動防御的發(fā)展網(wǎng)絡(luò)主動防御的理念已經(jīng)被提出來很多年了，但是和其他理論一樣，在其發(fā)展的時候遇到了很多阻礙。所謂的網(wǎng)絡(luò)主動防御，其實質(zhì)就是通過對指定程序或者是線程方面的行為，并按照事先設(shè)定的規(guī)則，從而判斷該行為是否是屬于病毒或者是比較危險的程序，以此對其進(jìn)行清除。通過主動防御可有效的提高系統(tǒng)整體的安全策略，并推進(jìn)整個互聯(lián)網(wǎng)絡(luò)的智能化的建設(shè)。該產(chǎn)品在現(xiàn)階段的發(fā)展中還不夠成熟，但是未來隨著技術(shù)的進(jìn)步，該技術(shù)會更為完善，從而成為未來互聯(lián)網(wǎng)的發(fā)展趨勢。

3結(jié)語

網(wǎng)絡(luò)安全體系解決方案范文第3篇

現(xiàn)今，無論是網(wǎng)吧、企業(yè)、學(xué)?；蛘咂渌袠I(yè)，對網(wǎng)絡(luò)的安全已成為關(guān)注的焦點，各科基于防火墻、安全網(wǎng)關(guān)等設(shè)備的防毒、防攻擊技術(shù)層出不窮。然而，在各方面利益的驅(qū)使下，病毒和黑客的進(jìn)步更加迅猛。逐漸呈現(xiàn)出病毒智能化、變種、繁殖化及黑客工具“傻瓜”化等發(fā)展趨勢。使得傳統(tǒng)的網(wǎng)絡(luò)安全體系防不勝防，網(wǎng)絡(luò)隨時面臨癱瘓的危險。

面臨的問題

在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，由防火墻、安全網(wǎng)關(guān)等各自為政的安全產(chǎn)品所打造的防線，面對不斷更新的病毒和網(wǎng)絡(luò)攻擊，已變得不堪一擊。

建設(shè)綠色健康、安全穩(wěn)定的網(wǎng)絡(luò)需要解決以下問題：

1網(wǎng)關(guān)常常被欺騙信息“迷惑”；

2各類應(yīng)用搶占帶寬資源；

3惡意信息和網(wǎng)絡(luò)攻擊肆虐；

4關(guān)鍵業(yè)務(wù)無法得到保障；

5內(nèi)網(wǎng)充斥著海量的垃圾信息；

6設(shè)備性能和網(wǎng)絡(luò)資源被惡意訪問消耗殆盡。

切斷傳染途徑

內(nèi)網(wǎng)不安全，大多數(shù)來自對帶有病毒或木馬網(wǎng)站的訪問和文件下載，導(dǎo)致電腦中毒，從而出現(xiàn)上網(wǎng)緩慢、掉線等異?，F(xiàn)象。為防止電腦中毒，在飛魚星VE上網(wǎng)行為管理路由器中提供了網(wǎng)址分類管理、WEB安全、防火墻設(shè)置等功能，可防止用戶訪問高危的網(wǎng)站和帶有病毒或者木馬的各種文件，切斷病毒和木馬入侵電腦的途徑，有效保護(hù)電腦的安全。

保護(hù)易感染電腦

而在飛魚星VS安全聯(lián)動交換機系列中，內(nèi)嵌的飛魚星安全系統(tǒng)和硬件防火墻，能徹底防御ARP病毒、蠕蟲病毒和DDOS攻擊；過濾非法網(wǎng)絡(luò)流量，避免路由器遭受各種異常流量攻擊，減輕路由器負(fù)擔(dān)。同時，交換機的每一個端口可自動診斷出中毒電腦的異常情況(如：流量過大)，并主動識別其電腦異常情況，自動隔離中毒電腦，抑制病毒的蔓延，從而保護(hù)未中毒電腦的安全性和可使用性。

整體安全解決方案

VE(上網(wǎng)行為管理路由器)+VS(安全聯(lián)動交換機)所組成的飛魚星安全聯(lián)動系統(tǒng)(ASN)是一套即時、互動和統(tǒng)一的網(wǎng)絡(luò)安全新架構(gòu)，能有效解決內(nèi)網(wǎng)的安全問題，重建和優(yōu)化內(nèi)網(wǎng)秩序。它通過路由器和安全交換機的聯(lián)動協(xié)作，共同構(gòu)成一套完整的網(wǎng)絡(luò)安全體系。安全策略和QoS策略都被部署到交換機的每個接入端口，極大增強網(wǎng)絡(luò)的主動防御能力，為用戶創(chuàng)建一個內(nèi)外兼“固”的安全環(huán)境。整個網(wǎng)絡(luò)類似井然有序的機場，安檢嚴(yán)格，層層把關(guān)；調(diào)度有序，進(jìn)出港快速穩(wěn)定；內(nèi)網(wǎng)關(guān)鍵業(yè)務(wù)和重要應(yīng)用優(yōu)先級得到保障，猶如機場的VIP通道。

此套方案中，路由器和交換機不再各自為政，雙劍出擊，保證網(wǎng)絡(luò)安全。且交換機不僅是數(shù)據(jù)交換的核心。還具備專業(yè)安全產(chǎn)品的性能。通過安全交換機串聯(lián)服務(wù)器、安全網(wǎng)關(guān)、終端電腦，組成貫穿整個網(wǎng)絡(luò)的安全防護(hù)體系。

同時，在綠色節(jié)能方面，交換機將自動偵測端口狀態(tài)，在某端口空閑、沒有連接其它網(wǎng)絡(luò)設(shè)備或沒有數(shù)據(jù)交換時。該端口將自動轉(zhuǎn)為“睡眠模式”，降低端口的電量從而節(jié)省能源；同時，能夠?qū)€纜長度進(jìn)行偵測，精確劃分該條網(wǎng)絡(luò)線路正常工作所需的電量，再予以供給?？梢允鼓茉春馁M量大幅度地降低。

網(wǎng)絡(luò)安全體系解決方案范文第4篇

關(guān)鍵詞 信息安全；PKI；CA；VPN

1 引言

隨著計算機網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計算機應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何提高自身核心競爭力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說明。

2 信息系統(tǒng)現(xiàn)狀

2.1 信息化整體狀況

1)計算機網(wǎng)絡(luò)

某公司現(xiàn)有計算機500余臺，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計算機在同一網(wǎng)段，通過交換機連接。

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計算機應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡(luò)的進(jìn)一步完善，計算機應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2 信息安全現(xiàn)狀

為保障計算機網(wǎng)絡(luò)的安全，某公司實施了計算機網(wǎng)絡(luò)安全項目，基于當(dāng)時對信息安全的認(rèn)識和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計算機網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3 風(fēng)險與需求分析

3.1 風(fēng)險分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強，計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。

(2)計算機應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強各計算機應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強對數(shù)據(jù)的備份，并運用技術(shù)手段，提高數(shù)據(jù)的機密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析，也可以看出：隨著計算機技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。

目前實施的安全方案是基于當(dāng)時的認(rèn)識進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內(nèi)部人員可以直接對重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。

美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權(quán)威機構(gòu)的研究也證明了這一點：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個動態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險評估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險評估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運用風(fēng)險評估、風(fēng)險管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費。

3.2 需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險，信息安全的需求主要體現(xiàn)在如下幾點：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強安全防護(hù)的整體布局，擴大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級或重新部署。

(3)信息安全工作日益增強的重要性和復(fù)雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項防范工作，應(yīng)對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4 設(shè)計原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1 標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。

4.2 系統(tǒng)化原則

信息安全是一個復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3 規(guī)避風(fēng)險原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行，這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險。本規(guī)劃特別考慮規(guī)避運行風(fēng)險問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4 保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時，對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5 多重保護(hù)原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護(hù)系統(tǒng)，各層保護(hù)相互補充，當(dāng)一層保護(hù)被攻破時，其它層保護(hù)仍可保護(hù)信息的安全。

4.6 分步實施原則

由于某公司應(yīng)用擴展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加，系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性，尋求安全、風(fēng)險、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費用開支。

5 設(shè)計思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終，如圖2所示。

網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對的，需要在風(fēng)險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現(xiàn)狀的分析，對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計算機專業(yè)公司接觸，初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺，都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺，能夠通過這個安全平臺實現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對方的身份。

數(shù)據(jù)的機密性(Confidentiality)：對敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認(rèn)自己的行為，確保通信方對自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2 邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù)，可以對多種網(wǎng)絡(luò)對象進(jìn)行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3 安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先，它的認(rèn)證機制依賴于層次結(jié)構(gòu)的證書認(rèn)證機構(gòu)，所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證，而最上一級的組織(根證書)之間相互認(rèn)證，整個信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4 桌面安全防護(hù)

對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對企業(yè)機密和專利信息的竊取、財務(wù)欺騙等，因此，對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進(jìn)行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡(luò)。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機構(gòu)指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

5.5 身份認(rèn)證

身份認(rèn)證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。

6 方案的組織與實施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

因此在本方案的組織和實施中，除了工程的實施外，還應(yīng)重視以下各項工作：

(1)在初步進(jìn)行風(fēng)險分析基礎(chǔ)上，方案實施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險評估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對性和投資的回報。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

(4)在方案實施的同時，加強規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7 結(jié)論

網(wǎng)絡(luò)安全體系解決方案范文第5篇

關(guān)鍵詞 WMN網(wǎng)絡(luò)；安全體系；入侵檢測

中圖分類號 TP 文獻(xiàn)標(biāo)識碼 A 文章編號 1673-9671-(2012)031-0113-01

因為無線接入?yún)f(xié)議的完善、電子產(chǎn)品的改良，WLAN的技術(shù)越來越成熟，在100 m范圍內(nèi)的無線上網(wǎng)可以通過WI-FI技術(shù)成熟解決，AP通過有線鏈路接入局域網(wǎng)，STA通過一跳無線鏈路接入AP。無線設(shè)備如果要在很大的范圍內(nèi)移動，就需要很多AP接入互聯(lián)網(wǎng)，這樣就會帶來一系列的問題，如信號干擾、成本提高，為解決這些問題，就提出了WMN網(wǎng)絡(luò)，它是通過無線網(wǎng)絡(luò)連接AP和骨干網(wǎng)絡(luò)，用多個無線中繼連接有線網(wǎng)絡(luò)，這樣就組建了一個很大覆蓋范圍的無線網(wǎng)絡(luò)，并且網(wǎng)絡(luò)信號良好。

WMN網(wǎng)絡(luò)可以分為三種結(jié)構(gòu)的形式：一種是基于客戶的網(wǎng)絡(luò)，該種類型的網(wǎng)絡(luò)不需要MR的參與，用戶間是通過P2P連接，MC承擔(dān)了所有的路由、配置、終端管理任務(wù)，因而需要MC的功能相當(dāng)強大，也注定這種網(wǎng)絡(luò)的移動性相當(dāng)好，魯棒性就差了許多；一種是基于基礎(chǔ)設(shè)施的網(wǎng)絡(luò)，這種網(wǎng)絡(luò)主要由MR作為中堅力量組成MESH骨干網(wǎng)，用戶直接或者通過AP接入MESH骨干網(wǎng)絡(luò)，MESH骨干網(wǎng)絡(luò)通過有線接入互聯(lián)網(wǎng)絡(luò)，這種網(wǎng)絡(luò)層次清晰、路由算法簡單，能提供高效的網(wǎng)絡(luò)服務(wù)，不足之處是MR承擔(dān)了所有任務(wù)，MC沒有充分發(fā)揮作用，不能起到接力的作用，需要的MR數(shù)目太多；還有一種是混合類型的網(wǎng)絡(luò)，這種網(wǎng)絡(luò)結(jié)合了上兩種的優(yōu)勢，MC可以直接接入MR，也可以通過別的MC接入，真正做到了完全無縫覆蓋效果，也支持異構(gòu)網(wǎng)絡(luò)。

WMN網(wǎng)絡(luò)具有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)靈活，網(wǎng)絡(luò)拓?fù)鋽U展性良好，魯棒性好，路由算法先進(jìn)，可以自動迂回路由等一般網(wǎng)絡(luò)無法比擬的優(yōu)越性，部署一個WMN網(wǎng)絡(luò)最少只需要一個有線網(wǎng)絡(luò)的接口，其它的AP都可以通過無線鏈路彼此相連，當(dāng)某些節(jié)點的數(shù)據(jù)量突然擁塞時候，這些節(jié)點可以智能的選擇別的節(jié)點，均衡流量，每個AP都與幾個和它相鄰的AP具有連接性，當(dāng)某個AP失效，它就自動路由到別的有效的AP上，保障網(wǎng)絡(luò)的健壯性，要擴大無線網(wǎng)絡(luò)的覆蓋范圍時候，就只要在無線網(wǎng)絡(luò)的邊緣增加AP即可，增加的AP就會連接原有的AP，從而擴大無線網(wǎng)絡(luò)的范圍，從而使系統(tǒng)始終都在高效率運轉(zhuǎn)。WMN網(wǎng)絡(luò)可以與其他無線網(wǎng)絡(luò)兼容并可以互操作，WMN網(wǎng)絡(luò)具有很強的自我修復(fù)、自我形成、自我組織的能力，它整合了包括無線和有線的各種異構(gòu)網(wǎng)絡(luò)，能被無線基礎(chǔ)設(shè)施方便的支持移動性，形成了一種無線骨干網(wǎng)絡(luò)的多跳網(wǎng)絡(luò)，它應(yīng)用了許多WLAN網(wǎng)絡(luò)和Ad hoc網(wǎng)絡(luò)的成熟技術(shù)，融合了兩種網(wǎng)絡(luò)的優(yōu)勢，可以提供大容量，高速度，寬覆蓋的無線網(wǎng)絡(luò)接入技術(shù)，解決了無線網(wǎng)絡(luò)布線的終端移動性的重要問題，適應(yīng)在學(xué)校、醫(yī)院、辦公場所等人口密集區(qū)應(yīng)用。

1 WMN 的安全問題

WMN的STA和MAP之間的鏈路使用的是WLAN連接，MP，MAP，MPP之間使用的是Ad Hoc網(wǎng)絡(luò)連接，WMN吸收了WLAN網(wǎng)絡(luò)和Ad Hoc網(wǎng)絡(luò)的優(yōu)勢，是兩者的集大成。WMN網(wǎng)絡(luò)的安全體系主要存在如下幾種網(wǎng)絡(luò)安全問題：第一個大的安全問題就是網(wǎng)絡(luò)是否可用的可用性問題。這個問題分為如下三種情況：第一種情況是惡意節(jié)點占據(jù)無線鏈路信道，長時間不歸還，使得其他合法節(jié)點無法正常獲得發(fā)送數(shù)據(jù)的權(quán)利，從而造成信號阻塞，致使該節(jié)點報廢，網(wǎng)絡(luò)不可用。第二種情況是通過惡意節(jié)點和被其控制的節(jié)點向正常的節(jié)點無休止的發(fā)送數(shù)據(jù)或者路由信息，搞得正常節(jié)點無法正常工作，進(jìn)行Dos攻擊，最后讓整個網(wǎng)絡(luò)癱瘓，不可用。第三種情況是攻擊者使用各種各樣的辦法耗盡被攻擊者的各種資源，如電源、CPU、帶寬等有限資源，最后迫使網(wǎng)絡(luò)不可用；第二個大的安全問題是怎么樣保護(hù)合法節(jié)點不被俘獲或者假冒，因為WMN網(wǎng)絡(luò)的MP經(jīng)常安裝在室外，這樣保護(hù)的就不夠好，經(jīng)常很容易就被攻擊者接近，獲得對稱密鑰，認(rèn)證信息等這些節(jié)點的內(nèi)部保密信息，并利用這些信息假冒為合法節(jié)點，進(jìn)而變更鄰居節(jié)點的信息，達(dá)到變更相關(guān)的路由信息，它通過惡意廣播非法路由，使網(wǎng)絡(luò)阻塞，甚至于癱瘓，整個網(wǎng)絡(luò)不可用；第三個大的安全問題就是信息的完整性問題，因為WMN網(wǎng)絡(luò)是多跳網(wǎng)絡(luò)，信息從發(fā)出點到接受點，中間要經(jīng)過多跳無線鏈路MC，還要經(jīng)過多個MR，中間中轉(zhuǎn)環(huán)節(jié)很多，破壞者可以在無線鏈路中間截獲信息，對信息進(jìn)行篡改，然后再以合法身份發(fā)出去，迷惑接受者，破壞信息的完整性，達(dá)到篡改信息的目的；第四個大的安全問題就是信息的機密性問題，因為WMN主要是通過無線鏈路傳輸信息，這樣信息破壞者就可以在信息在STA到AP，或者M(jìn)P之間傳輸時進(jìn)行竊聽，把竊聽到得信息進(jìn)行解密，然后加以利用，這樣就破壞了信息的機密性；第五個大的安全問題就是無線路由安全問題，由于WMN網(wǎng)絡(luò)中的無線路由是動態(tài)的，當(dāng)被攻擊時就比固定路由難以檢測，非法用戶容易偽裝成合法用戶發(fā)出路由信息，造成網(wǎng)絡(luò)擁塞，嚴(yán)重的時候還使網(wǎng)絡(luò)癱瘓。第六個大的安全問題就是STA的身份認(rèn)證問題。

2 WMN 的安全解決方案

目前WMN網(wǎng)絡(luò)針對以上提出的安全問題，有針對性的提出了如下的幾個網(wǎng)絡(luò)安全解決方案。

1）嚴(yán)格控制節(jié)點的身份認(rèn)證機制，嚴(yán)格杜絕未授權(quán)節(jié)點在在WMN網(wǎng)絡(luò)中的內(nèi)部路由和外部路由中信息，阻止非法的MESH網(wǎng)絡(luò)服務(wù)，每個新加入的節(jié)點都要得到鄰近節(jié)點的認(rèn)證才可加入，新節(jié)點是認(rèn)證的申請者，鄰近節(jié)點是認(rèn)證的審批者，認(rèn)證方式可以是分布式和集中式兩者的結(jié)合。

2）對路由信息進(jìn)行加密，利用選舉方式定期更換路由表，避免被俘獲的路由信息，確保路由信息的完整性。分為針對內(nèi)部攻擊的安全路由協(xié)議和針對外部攻擊的安全路由協(xié)議，其中針對外部攻擊的安全路由協(xié)議又有基于非對稱加密的安全路由、基于對稱加密的安全路由、基于混合加密的安全路由，針對內(nèi)部攻擊的安全路由協(xié)議解決方案主要是要加強內(nèi)部檢測，一個是對整個網(wǎng)絡(luò)范圍的惡意行為檢測，另一個就是對相鄰節(jié)點的惡意行為檢測，完善路由機制，確保路由安全。

3）建立完善的密鑰生產(chǎn)，分發(fā)，保管體系，使節(jié)點認(rèn)證，數(shù)據(jù)加密等安全操作時使用的密鑰能具有高度的安全性和保密性。第三個解決方案就是利用入侵檢測技術(shù)防止從WMN網(wǎng)絡(luò)內(nèi)部進(jìn)行入侵操作，采用了三種入侵檢測技術(shù)，分別是獨立入侵檢測技術(shù)，分布式入侵檢測技術(shù)，層次式入侵檢測技術(shù)。

4）利用數(shù)字簽名和信息加密來進(jìn)行身份認(rèn)證和數(shù)據(jù)完整性的保證。對身份的認(rèn)證使用了證書系統(tǒng)，由申請者，認(rèn)證者，認(rèn)證服務(wù)器三者組成，申請者發(fā)出認(rèn)證請求，認(rèn)證者把申請者的認(rèn)證申請和認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器把認(rèn)證結(jié)果發(fā)給認(rèn)證者，認(rèn)證者再把認(rèn)證結(jié)果發(fā)給申請者。

3 結(jié)束語

WMN 是無中心節(jié)點的多跳網(wǎng)絡(luò)，它具有其他無線局域網(wǎng)無可比擬的優(yōu)勢，本文主要在對WMN網(wǎng)絡(luò)從網(wǎng)絡(luò)體系結(jié)構(gòu)、功能優(yōu)勢的方面進(jìn)行了概述，提出了WMN網(wǎng)絡(luò)的網(wǎng)絡(luò)的可用性問題、保護(hù)合法節(jié)點不被俘獲或者假冒問題、 信息的完整性問題、信息的機密性問題、 無線路由安全問題、STA的身份認(rèn)證問題等網(wǎng)絡(luò)安全體系問題，并相應(yīng)的給出了對應(yīng)的安全解決方案，對目前無線網(wǎng)狀網(wǎng)（WMN）的安全體系研究進(jìn)行了一個較好的綜述。如何在大規(guī)模實際WMN中進(jìn)行應(yīng)用，是未來進(jìn)一步研究的新課題。

基金項目：湖南省教育廳科學(xué)研究項目《無線網(wǎng)狀網(wǎng)（WMN）的入侵檢測模型研究》，項目編號10C0087。

參考文獻(xiàn)

[1]陳琳琳,劉乃安.無線 Mesh 網(wǎng)絡(luò)與 IEEE802 系列標(biāo)準(zhǔn).2008.