如何降低WLAN安全风险1

[安全风险评估的安全风险]◆资产识别与赋值：对评估范围内的所有资产进行识别，并调查资产破坏后可能造成的损失大小，根据危害和损的大小为资产进行相对赋值；资产包括硬件、软件、服务、信息和人员等； ◆威...+阅读

如何降低WLAN安全风险1

思科在SAFE的基础上提供无线安全的策略和解决方案，以降低无线网络的应用所带来的风险。当然，要实现绝对的安全是不可能的，但通过部署恰当的技术可以降低安全风险。在各种设计方案中，需要利用SAFE中的多种模块。 SAFE 无线技术是有线LAN的一种补充，因此它应该尽可能遵循总体安全政策。一方面它必须提高无线网络的安全性，另一方面尽可能保留传统有线LAN的特性。最后，它还必须与基于SAFE安全体系结构的现有网络设计集成。总之，SAFE无线技术应该尽可能地满足网络的功能要。一、无线LAN的安全环节 1.无线网络成为攻击目标无线网络已成为当今黑客最感兴趣的目标之一，单纯的WLAN设备本身并不提供任何安全保护，从而使得黑客有机可寻。无线网络是在空中传输数据的，通常传输范围大于机构的物理边界，这使得传统物理安全控制措施失去效力。

干扰无线通信也很容易，简单的干扰发送器就能使通信陷于瘫痪。相同频率的其它无线服务可以降低WLAN的安全性和可用带宽。例如，“蓝牙”技术使用的频率和WLAN相同，它的使用有可能严重干扰WLAN网络。 2.普遍存在的问题多数WLAN设备都使用直接排序扩展频谱（DSSS）通信技术，但DSSS技术本身既不保密也没有认证功能。WLAN接入点可以按MAC地址识别每块无线网卡，但它仍然存在一些问题。例如，在接受无线服务之前，某些WLAN要对网卡进行登记，但这操作起来比较复杂。某些WLAN卡并不使用内部MAC地址，而使用随机选择或特意假冒的地址，这也为黑客提供了便利。 3.特殊模式与基础设施模式下的安全问题多数WLAN都在“基础设施”模式下操作，在这种模式下，所有无线客户都通过AP相连。

在部署WLAN技术时，用户也可以形成独立的对等网称为特殊WLAN。在特殊WLAN模式下，掌上电脑或台式计算机都配有WLAN适配器，而且不需要使用AP就可以共享文件。特殊WLAN的安全问题比较大。许多无线网卡，包括PC制造商提供的无线网卡，一般都采用特殊模式。借助这些网卡，黑客可以立即与PC连接，并实现非法接入。为了保证安全，WLAN设备至少要遵守以下规定： · 接入点安全建议 ﹣ 为管理接口提供用户认证。 ﹣ 为简单网络管理协议（SNMP）选择特殊的公共字串，并经常修改。 ﹣ 如果管理基础设施允许，应配置为SNMP Read Only。 ﹣ 关闭制造商提供的所有不安全、不必要的管理协议。 ﹣ 只对专用有线子网提供流量管理。 ﹣ 如果可能，对所有流量进行加密。 ﹣ 如果可能，实施无线帧加密。

· 客户机安全建议 ﹣ 关闭特殊模式。 ﹣ 如果可能，实施无线帧加密。 4.谨防欺诈AP 欺诈AP成为黑客盗窃网络资源的重要手段，危险最大的是黑客在非法进入大厦之后将AP安装到网络中。由于AP体积较小，而且容易购买，便于黑客作案。要消除这种危险，可以从政策和防范这两方面来考虑。从政策角度来看，思科建议在整体安全政策的基础上制定完整的无线网络政策，禁止非法AP连接到网络中。例如IT部门应该定期检查办公区，看有没有欺诈性AP，这种检查包括物理搜索和无线扫描。从实施角度看，许多以太网交换机都能根据MAC地址限制对某些端口的访问。这些控制可以识别与端口相连的第一个MAC地址，然后防止后续MAC地址连接。通过控制，还可以防止规定数量以上的MAC地址连接。

这些特性都可以解决欺诈AP问题，但也会增加管理负担。由华彩软件站为您最新收集整理，版权归原作者或公司所有。如有侵权，请与我们联系删除。

怎样保护计算机网络信息安全

1、固有的安全漏洞现在，新的操作系统或应用软件刚一上市，漏洞就已被找出。没有任何一个系统可以排除漏洞的存在，想要修补所有的漏洞简直比登天还难。从CERT(CarnegieMellon 大学计算机紧急事件响应队)那里，可以找到相当全面的程序错误列表。另一个消息的来源就是诸如BugNet或NTBug traq一类的新闻组。

（1）缓冲区溢出。这是攻击中最容易被利用的系统漏洞。

很多系统在不检查程序与缓冲区间的变化的情况下，就接收任何长度的数据输入，把溢出部分放在堆栈内，系统还照常执行命令。这样破坏者便有机可乘。他只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。假如破坏者特别配置一串他准备用作攻击的字符，他甚至可以访问系统根目录。

（2）拒绝服务。拒绝服务（DenialofService , DoS）攻击的原理是搅乱 TCP/IP 连接的次序。

典型的 DoS 攻击会耗尽或是损坏一个或多个系统的资源（ CPU 周期、内存和磁盘空间），直至系统无法处理合法的程序。这类攻击的例子是 Synflood 攻击。发动 Synflood 攻击的破坏者发送大量的不合法请要连接，目的是使系统不胜负荷。其结果是系统拒绝所有合法的请，直至等待回答的请超时。

2、合法工具的滥用大部分系统都配备了用以改进系统管理及服务质量的工具软件，但遗憾的是，这些工具同时也会被破坏者利用去收集非法信息及加强攻击力度：例如：NBTSTAT命令是用来给系统管理员提供远程节点的信息的。

但是破坏者也用这一命令收集对系统有威胁性的信息，例如区域控制软件的身份信息、NetBIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用来破译口令。另一个最常被利用的工具是网包嗅探器（PacketSniffer）。系统管理员用此工具来监控及分发网包，以便找出网络的潜在问题。黑客如要攻击网络，则先把网卡变成功能混杂的设备，截取经过网络的包（包括所有未加密的口令和其他敏感信息），然后短时间运行网包嗅探器就可以有足够的信息去攻击网络。

3、不正确的系统维护措施系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击，但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时，管理人员应仔细分析危险程度，并马上采取补救措施。有时候，虽然我们已经对系统进行了维护，对软件进行了更新或升级，但由于路由器及防火墙的过滤规则过于复杂，系统又可能会出现新的漏洞。

所以，及时、有效地改变管理可以大大降低系统所承受的风险。

4、低效的系统设计和检测能力在不重视信息保护的情况下设计出来的安全系统会非常＂不安全＂，而且不能抵御复杂的攻击。建立安全的架构一定要从底层着手。这个架构应能提供实效性的安全服务，并且需要妥善的管理。服务器的代码设计及执行也要进行有效管理。

最近，有很多公开的漏洞报告指出：在输入检查不完全时， cgi bin 是非常脆弱的。黑客可以利用这一漏洞发动拒绝服务攻击，非法访问敏感信息或是篡改 Web 计算机网络信息安全的防护策略尽管计算机网络信息安全受到威胁，但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全：

1、隐藏IP地址黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。

IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS（拒绝服务）攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。

2、关闭不必要的端口黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如Netwatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。

3、更换管理员帐户 Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。

黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。

4、杜绝Guest帐户的入侵 Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。

不幸的是，Guest也为黑客入侵打开了方便之门！禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。

5、封死黑客的＂后门＂俗话说“无风不起浪”，既然黑客能进入，那我们的系统一定存在...

教你如何保护WiFi无线网络安全

周围邻居也可能利用您的WiFi网络上网，降低您的网速。增强家中网络的安全性不但能够在您无线上网时保护您的信息安全，还有助于保护连接到网络的各类设备。

如果您希望提升家中WiFi网络的安全性，采取下列步骤可以有所帮助。

当您的朋友第一次到您家做客，使用您家WiFi网络时，是否需要输入密码？如果不需要，那么您的网络就不够安全。即便他们需要输入密码，您也有多种方式保护自家网络，而这些方法之间也有优劣之分。您可以通过查看WiFi网络设置来了解自家网络已有哪些保护措施。您的网络可能是不安全的，也可能已经添加了有线等效加密（WEP），无线网络安全接入（WPA）或二代无线网络安全接入（WPA2）等保护措施。其中WEP是最早的无线安全协议，效果不佳。WPA优于WEP，不过WPA2才是最佳选择。

2. 将您的网络安全设置改为WPA2

WiFi信号是由家中的无线路由器产生的。如果您的网络没有WPA2保护，则需要访问路由器设置页面进行更改。您可以查阅路由器用户手册，了解如何访问设置页面，或在线搜索针对自己路由器的使用指导。所有在2006年后发售的拥有WiFi商标的路由器都支持WPA2。如果您购买的是早期型号，我们建议您更换支持WPA2的新型路由器。因为它更安全，速度也更快。

3. 为您的WiFi网络设置高强度密码

要想使用WPA2保护网络，您需要创建密码。选择独特的密码十分重要，最好使用由数字，字母和符号组成的长密码，这样不易被别人猜出。如果您是在家中这样的私人场所，也可以将密码记录下来以免忘记，并安全保管，以免遗失。另外，您的密码还需要方便使用，以便朋友来访时可以连接您家的WiFi网络。正如您不会将自家钥匙交给陌生人一样，家中的WiFi密码也只能告诉信得过的人。

4. 保护您的路由器，以免他人更改您的设置

您的路由器需要设置单独的密码，要与保护WiFi网络的密码有所区别。新买的路由器一般不设密码，或者只设有简单的默认密码，很多网络犯罪分子都已经知道这个密码。如果您不重设路由器密码，世界上任何地方的犯罪分子都可以轻易入侵您的网络，截取您通过网络分享的数据，并对连接到该网络的电脑发起攻击。许多路由器都可以在设置页面重设密码。这组密码不要告诉其他人，并需要与WiFi密码加以区分（如步骤三所述）。如果您为两者设置相同的密码，任何拥有您家WiFi密码的人便都能够更改您家无线路由器的设置。

5.如果您需要帮助，请查阅使用说明

如果您遗失了路由器手册，还可以在搜索引擎中查找家中使用的基站或路由器的型号，许多设备的信息都能在网上查到。

如何缓解网络传播恶意软件的风险

现在，很多人使用网络作为其日常生活的自然延伸。无论是与朋友聊天、关注时事新闻、进行专项研究还是看电影，他们都需要使用网络。我们知道，坏人肯定也知道。

IT风险经理经常向最终用户讲授标准web安全建议：不要随意点击、卸载插件、定期更改密码、使用杀毒软件等，但这似乎并不奏效。所以，网络已经成为恶意软件头号传播媒介并不意外。再加上技术领域的进步，新的网络传播攻击已经开始崛起。所幸的是，我们有一些办法可以缓解与网页浏览相关的风险，特别是被恶意软件感染的风险。

网络传播的恶意软件：分离和隔离

对于恶意软件，需要记住的是：它必须运行才具有破话性。这意味着，攻击者必须在内存中部署一个程序来利用驻留系统的CPU执行其恶意行为。考虑到这一点，就不难认识到，恶意软件驻留在哪个系统对确定恶意软件破坏程度是至关重要的。企业应该将这个程序与其他生产服务分离开来，以帮助减少破坏。

分离是技术风险管理领域降低风险的长期技术，隔离是其更严格的形式。军方通常利用单个物理系统的“空间间隙”或有时候分离虚拟机来分离机密系统和非机密系统。企业很早就开始使用防火墙和其他网络设备来分离网络。为了满足支付卡行业数据安全标准或PCI-DSS、合规，企业通常会利用令牌化来在数据水平分离范围外系统。

此外，所谓的情境分离的一种方法是沙箱。沙箱是指隔离（通常是虚拟的）环境，它限制了计算程序或进程，限制或防止它与其他程序或进程进行交互。有时候，沙箱被用作各种“鱼缸”来观看和评估可疑软件活动。还有些时候，它被用在生产环境中，运行重要功能（例如网上银行应用程序）或者其他不太重要的具有很高风险的重要功能。在上述的一种或者两种情况下，从操作环境分离浏览器可以最大限度地降低恶意软件的影响。

网络传播的恶意软件：托管浏览器

鉴于这种情况，分离能够很好地帮助用户安全地浏览网页。在网络上一种越来越受欢迎的分离形式是托管浏览器，这通常在完全独立的物理系统中运行，该物理系统负责与前端的网络交互，完成到用户的连接—通过映射活动到后端的用户设备。与终止连接的安全的web网关相比，托管浏览器会运行一些分析，然后转发批准的数据包（原始格式）到最终用户，托管浏览器转换这种内容，并通过专有协议（与用于桌面虚拟化的远程桌面协议或RDP类似）将其传递给最终用户。托管浏览器提供与上述沙箱类似的优势，不过是以网络的形式。现在，这是对分析型沙箱的补充，这将带来更多威胁研究和响应功能。这种优势是显而易见的：如果恶意软件程序只能访问浏览器驻留系统上的资源，我们可以分离该系统与高价值资源，从而限制恶意软件危害的能力。

此外，托管浏览器提供匿名功能，即为每个会话提供干净的浏览环境。

提供这种功能的产品包括Check Point的WebCheck、Authentic8的SILO、Light Point Security的Light Point Web和Spike Security的AirGap。

网络传播的恶意软件：转折点

我们正处于信息安全的转折点，我们必须意识到，传统的技术在保护用户抵御Web传统的恶意软件方面很有限。现在是时候部署其他措施来降低风险，减少或消除用户的参与，同时保护用户。分离模型很好理解，现在技术已经取得改进足以提供这种功能