局域网环境下若干安全问题及对策(6)

　　3.4 无线局域网的安全措施 
　　3.4.1 阻止非法用户的接入 
　　（1）基于服务设置标识符(SSID)防止非法用户接入 
　　服务设置标识符SSID是用来标识一个网络的名称，以此来区分不同的网络，最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，阻止非法用户的接入，保障无线局域网的安全。SSID通常由AP广播出来，例如通过windows XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑，可禁止AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。 
　　（2）基于无线网卡物理地址过滤防止非法用户接入 
　　由于每个无线工作站的网卡都有惟一的物理地址，利用MAC地址阻止未经授权的无限工作站接入。为AP 设置基于MAC 地址的Access Control（访问控制表），确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。但是MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作。如果用户增加，则扩展能力很差，因此只适合于小型网络规模。 
　　3.4.2 实行动态加密 
　　动态加密技术是基于对称加密和非对称加密的结合，能有效地保证网络传输的安全。动态加密着眼于无线网络架构中通信双方本身，认为每个通信方都应承担起会话中网络信息传输的安全责任。会话建立阶段，身份验证的安全需要非对称加密以及对PKI的改进来防止非授权访问，同时完成初始密钥的动态部署和管理工作，会话建立后，大量的数据安全传输必须通过对称加密方式，但该系统通过一种动态加密的模式，摒弃了现有机制下静态加密的若干缺陷，从而使通信双方的每次“通信回合”都有安全保证。在一个通信回合中，双方将使用相同的对称加密密钥，是每个通信方经过共同了解的信息计算而得到的，在通信回合之间，所使用的密钥将实时改变，虽然与上次回合的密钥有一定联系，但外界无法推算出来。 
　　3.4.3 数据的访问控制 
　　访问控制的目标是防止任何资源（如计算资源、通信资源或信息资源）进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证，只是完成了接入无线局域网的第一步，还要获得授权，才能开始访问权限范围内的网络资源，授权主要是通过访问控制机制来实现。访问控制也是一种安全机制，它通过访问BSSID、MAC 地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行：源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。 
　　4.计算机局域网病毒及防治 
　　虽然局域网采用的是专网形式，但因管理及使用方面等多种原因，计算机病毒也开始在局域网出现并迅速泛滥，给网络工程安全带来一定的隐患，对数据安全造成极大威胁，妨碍了机器的正常运行，影响了工作的正常开展。如何防范计算机病毒侵入计算机局域网和确保网络的安全己成为当前面临的一个重要且紧迫的任务。 
　　4.1 局域网病毒 
　　局域网病毒的入侵主要来自蠕虫病毒，同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。计算机病毒表现出以下特点：传播方式和途径多样化；病毒的欺骗性日益增强病毒的传播速度极快；病毒的制作成本降低；病毒变种增多；病毒难以控制和根治；病毒传播更具有不确定性和跳跃性；病毒版本自动在线升级和自我保护能力；病毒编制采用了集成方式等。局域网病毒的传播速度快，传播范围广，危害也大。局域网病毒还特别难以清除，只要有一台工作站的病毒未被彻底清除，整个网络就有可能重新感染。