家庭局域网毕业论文

相关资料：企业内网安全分析与策略一、背景分析提起网络信息安全，人们自然就会想到病毒破坏和黑客攻击。其实不然，政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失，据权威机构调查：三分之二以上的安全威胁来自泄密和内部人员犯罪，而非病毒和外来黑客引起。目前，政府、企业等社会组织在网络安全防护建设中，普遍采用传统的内网边界安全防护技术，即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术，对网络入侵进行监控和防护，抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失，保证组织业务流程的有效进行。这种解决策略是针对外部入侵的防范，对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障，企业基于网络边界的安全防护技术就更是鞭长莫及了，由此危及到内部网络的安全。一方面，企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面，黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络，发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。二、内网安全风险分析现代企业的网络环境是建立在当前飞速发展的开放网络环境中，顾名思义，开放的环境既为信息时代的企业提供与外界进行交互的窗口，同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径，使企业网络面临种种威胁和风险：病毒、蠕虫对系统的破坏；系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏，导致企业安全策略不能真正的得到很好的落实，开放的网络给企业的信息安全带来巨大的威胁。1.病毒、蠕虫入侵目前，开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点，即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护，特别是对新类型新变种的病毒、蠕虫，防护技术总要相对落后于新病毒新蠕虫的入侵。病毒、蠕虫很容易通过各种途径侵入企业的内部网络，除了利用企业网络安全防护措施的漏洞外，最大的威胁却是来自于内部网络用户的各种危险应用：不安装杀毒软件；安装杀毒软件但不及时升级；网络用户在安装完自己的办公桌面系统后，未采取任何有效防护措施就连接到危险的网络环境中，特别是Internet；移动用户计算机连接到各种情况不明网络环境，在没有采取任何防护措施的情况下又连入企业网络；桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中，给企业信息基础设施，企业业务带来无法估量的损失。2.软件漏洞隐患企业网络通常由数量庞大、种类繁多的软件系统组成，有系统软件、数据库系统、应用软件等等，尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂，每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用，都会给企业带来危害，轻者危及个别设备，重者成为攻击整个企业网络媒介，危及整个企业网络安全。3.系统安全配置薄弱企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置，例如，账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用，但在实际的企业网络环境中，这些安全配置却被忽视，尤其是那些网络的终端用户，导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞，完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患，黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。4.脆弱的网络接入安全防护传统的网络访问控制都是在企业网络边界进行的，或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后，用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞，例如，企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP，以太网接入等等网络接入方式，在外网和企业内网之间建立一个安全通道。另一个传统网络访问控制问题来自企业网络内部，尤其对于大型企业网络拥有成千上万的用户终端，使用的网络应用层出不穷，目前对于企业网管很难准确的控制企业网络的应用，这样的现实导致安全隐患的产生：员工使用未经企业允许的网络应用，如邮件服务器收发邮件，这就可能使企业的保密数据外泄或感染邮件病毒；企业内部员工在终端上私自使用未经允许的网络应用程序，在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件，从而感染内部网络，进而造成内部网络中敏感数据的泄密或损毁。5.企业网络入侵现阶段黑客攻击技术细分下来共有8类，分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。对于采取各种传统安全防护措施的企业内网来说，都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说，安全保障就会严重恶化，当移动用户连接到企业内网，就会将各种网络入侵带入企业网络。6.终端用户计算机安全完整性缺失随着网络技术的普及和发展，越来越多的员工会在企业专网以外使用计算机办公，同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外，很有可能被黑客攻陷或感染网络病毒。同时，企业现有的安全投资（如：防病毒软件、各种补丁程序、安全配置等）若处于不正常运行状态，终端员工没有及时更新病毒特征库，或私自卸载安全软件等，将成为黑客攻击内部网络的跳板。三、内网安全实施策略1.多层次的病毒、蠕虫防护病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法，其中的原因是多方面的，有人为的原因，如不安装防杀病毒软件，病毒库未及时升级等等，也有技术上的原因，杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的，但我们可以控制它的危害程度，只要我们针对不同的原因采取有针对性的切实有效的防护办法，就会使病毒、蠕虫对企业的危害减少到最低限度，甚至没有危害。这样，仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。2.终端用户透明、自动化的补丁管理，安全配置为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个企业网络安全不至由于个别软件系统的漏洞而受到危害，完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略，定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全代理，安全代理执行这些策略，以保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。3.全面的网络准入控制为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患，以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题，除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题，同时对传统的网络边界访问控制没有解决的网络接入安全防护措施，而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时，检查客户端的安全策略状态是否符合企业整体安全策略，对于符合的外网访问则放行。一个全面的网络准入检测系统。4.终端设备安全完整性保证主机完整性强制是确保企业网络安全的关键组件。主机完整性可确保连接到企业网的客户端正运行着所需的应用程序和数据文件。信息安全业界已经开发出了多种基于主机的安全产品，以确保企业网络和信息的安全，阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补丁程序等方面的技术进步来有效地保护企业设备。然而，只有在充分保证这些安全技术的应用状态、更新级别和策略完整性之后，才能享受这些安全技术给企业网络安全带来的益处。如果企业端点设备不能实施主机完整性，也就不能将该设备看成企业网络受信设备。仅供参考，请自借鉴希望对您有帮助

随着计算机技术和电子信息技术的日渐成熟，电子产品以史无前例的速度疾速进入千家万户。而网络的提高，家庭用户对Internet的需求也越来越多。我们假如能将冗杂的电子产品有机的停止衔接，组成一个家庭局域网，就能够完成软硬件资源共享，合理应用网络资源，满足各家庭成员的运用需求。如何选择简单有效的方式停止家庭局域网的构建是本文讨论的主题。 一、组网前期准备 在组建家庭无线局域网之前，依据本身家庭的需求停止剖析，本文以根本的一台台式机、一台笔记本、一部手机（支持WLAN）停止论述。 选择组网方式 家庭无线局域网的组网最简单、最便利的方式就是选择对等网，即以无线路由器为中心，其他计算机经过无线网卡与无线路由器停止通讯。 设备的置办 1）调制解调器和路由器的选择。依照宽带的接入方式，当用户经过电话线接入宽带时，必需同时购置调制解调器和无线路由器。而当用户运用光纤接入时，则只需购置无线路由器，就能完成共享上网。在选择调制解调器时，只需跟ADSL宽带传输速率匹配即可完成数模转化完成宽带上网。而关于无线路由器，不只要思索其传输速率，还要思索信号强度的掩盖范围，保证家庭范围内没有死角。 2）网卡的选择。关于台式机来说，要接入无线网络需求装备一块无线网卡。无线网卡分为内置PCI无线网卡和外置USB无线网卡。PCI无线网卡的优点是直接与电脑内存间交流数据，减轻了CPU的担负，但是信号承受位置不可调，易遭到电脑主机的干扰，易掉线 论文网。而USB接口无线网卡具有即插即用、散热性能强、传输速度快的优点，加之价钱廉价，成为扩展台式机的首选。无线接入点的位置 无线接入点，即无线路由器，将有线网络的信号转化为无线信号[2]。在家庭无线局域网中，应首先思索无线路由器的安放位置，无线信号可以穿越墙壁，但其信号会随着障碍物的数量、厚度和位置急速衰减，要使无线信号可以掩盖整个家庭区域，必需尽量使信号直接穿透于墙或构成开放的直接信号传输。在实践的设备布线布置中，还要依据家庭的房屋构造，有无其他信号干扰源，微调无线路由器的位置。

内部网络安全 1、针对局域网采取安全措施 由于局域网采用的是以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析。从而窃取关键信息。这就是局域网固有的安全隐患。 为了解决这个问题，采取了以下措施： 1)网络分段 2)以交换式集线器代替共享式集线器 需要完整的请到我的空间浏览地址：

一，设置权限以保证数据安全 为文件或者文件夹指定合适的权限，可极大地保证数据的安全。 1，只授予用户最低级别的权限。如某用户只需要读一个文件，那么仅给其授予对该文件的“读取”权限。这可以在一定程度上避免无意修改或删除重要文件的可能； 2，为个人数据和应用程序文件夹指定权限时，可以授予“读取及运行”权限，可以在一定程度上避免应用程序及数据被无意破坏； 二，用户安全设置 1，删除不必要的用户，去掉所有的Duplicate User 用户、测试用户、共享用户等等。用户组策略设置相应的权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口； 2，把共享文件权限从everyone 组改成授权用户：任何时候都不要把共享文件的用户设置成“everyone”组，包括打印共享，默认的属性就是“everyone”组的，一定不要忘了改。 三，密码安全设置 1，使用安全密码：注意密码的复杂性，不要过于简单，还要记住经常修改密码； 2，设置屏幕保护密码：这是一个很简单也很有必要的操作。也是防止内部人员破坏服务器的一个屏障； 3，开启密码策略；注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天； 4，考虑使用智能卡来代替密码：对于密码，总是使管理员进退两难，密码设置简单容易收到黑客的攻击，设置太复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。 四，系统安全设置 1，使用NTFS格式分区：最好把服务器的所有分区都改成NTFS格式，NTFS文件系统比FAT、FAT32的文件系统安全得多； 2，运行杀毒软件：杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，要注意经常运行程序并升级病毒库； 3，到微软网站下载最新的补丁程序：很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出现很久了，还放着服务器的漏洞不补，给人家当靶子用。访问安全站点，下载最新的Service Park 和补丁漏洞是保障服务器的长久安全的唯一方法； 4，关闭默认共享：Windows XP系统安装好后系统会创建一些隐藏的共享，可以在Cmd下打“NetShare”查看它们。网上有很多关于IPC入侵的文章，都利用默认共享连接。要禁止这些共享，打开“管理工具计算机管理共享文件夹共享”在相应的共享文件夹上按右键，点“停止共享”； 5，禁止用户从软盘和光驱启动系统：一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动硬盘和光驱。当然，把机箱锁起来仍不失为一个好方法. 6，利用Windows XP 的安全设置工具来配置安全策略：微软提供了一套基于MMC（管理控制台）安全配置和分析工具，利用它们可以很方便地配置你的服务器以满足你的要求。 五，服务安全设置 1，关闭不必要的端口，用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客的入侵。具体方法：打开“网上邻居――属性――本地连接――属性――Internet协议(TCP/IP)――属性――高级――选项――TCP/IP筛选――属性”打开“TCP/IP筛选”，添加需要的TCP、UDP协议即可； 2，设置好安全记录的访问权限；安全记录在默认情况下是没有保护的，把它设置成只有Administrators和系统帐户才有权访问； 3，把敏感文件存放在另外的文件服务器中：虽然现在服务器的硬盘容量都很大，还是应该考虑是否有必要把一些重要的用户数据（文件、数据表、项目文件等）存放在另外一个安全的服务器中，并且经常备份它们； 4，禁止建立空连接：默认情况下，任何用户都可以通过空连接连上服务器，进而枚举出帐号，猜测密码，可以通过修改注册表来禁止建立空连接：即把“HKEY_LOCAL_MACHINE\SYSTERM\CurrentControlSet/Control/Lsa”的RestrictAnonymous值改成“1”即可。 六，关闭缩略图的缓存 对于安全性至关重要的共享企业工作站或计算机，必须启用该设置以关闭缩略图视图缓存，因为缩略图缓存可以被任何人读取。打开注册表编辑器：找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\,在右侧窗口中新建或编辑名为“NoThumbnailCache”的DWORD值，将键值设置为“1”，关闭缩略图的缓存；如将键值设置为“0”，则打开缩略图的缓存。 七，设置用户对软驱及CD-ROM的访问权限 打开注册表编辑器，找到：HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,在右侧窗格中新建或编辑名为“AllocateCDRoms"的DOWORD值，将键值设为“1”，仅仅本地登录可以使用CDRom驱动器；如将键值设置为“0”，则只可以被域中的管理员所使用。 在右侧中窗格中新建或编辑名为“AllocateFloppies"的DWOED值，将键值设置为“1”，仅仅本地登录可以使用软盘驱动器；如将键值设置为“0”，则只可以被域中的管理员所使用。 八，设置其他用户对移动存储器的访问权限 打开注册表编辑器，找到：HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,在右侧窗格中新建或编辑名为“AllocateDASD”的DWOD值，如将键值设为“0”，只允许系统管理员可以访问；如将键值设置为“1”，则只允许系统管理员及有权限的用户可以访问；如将键值设置为“2”，则只允许系统管理员及交互式用户可以访问。